Ri­si­ko­ba­sier­ter Ansatz in ISO 9001

Was ist ein risikobasierter Ansatz?

Ein risikobasierter Ansatz im Sinne der Norm ISO 9001 beschreibt eine systematische und vorausschauende Vorgehensweise, bei der Unternehmen Unsicherheiten sowie potenzielle Auswirkungen auf Ziele frühzeitig erkennen, bewerten und steuern – statt erst auf auftretende Probleme zu reagieren. 

Ziel ist es, Qualität, Kundenzufriedenheit und Prozessstabilität nachhaltig zu sichern und kontinuierlich zu verbessern. Alle Entscheidungen und Planungen im Qualitätsmanagement basieren dabei auf einer fundierten Risiko- und Chancenbewertung. Der risikobasierte Ansatz ist ein integraler Bestandteil von ISO 9001 und fließt als zentrale Anforderung in die Planung und Durchführung operativer Prozesse ein.

Wie regelt man Risiken und Chancen?

Der risikobasierte Ansatz zieht sich wie ein roter Faden durch die international anerkannte Qualitätsnorm DIN EN ISO 9001, denn es ist eine Kernaufgabe eines Qualitätsmanagementsystems, präventiv zu wirken.

In Kapitel 6.1 (Planung) der bekannten ISO-Norm werden allgemeine Anforderungen zum Umgang mit Risiken und Chancen gestellt. Die Norm gibt aber lediglich vor, dass entsprechende Maßnahmen geplant, in das Qualitätsmanagementsystem integriert, umgesetzt und auf ihre Wirksamkeit hin bewertet werden müssen. Wie diese Anforderung umzusetzen ist, wird nicht vorgegeben.

Weder ist von einem umfassenden Risikomanagementsystem, zum Beispiel auf Basis der Norm ISO 31000, noch von einem formellen Risikomanagementprozess die Rede. Auch stellt die Qualitätsnorm keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung. Organisationen können selbst entscheiden, welche Vorgehensweise sie für das Risikomanagement entwickeln möchten.

In der Anmerkung 1 nennt die Norm aber folgende Möglichkeiten zum Umgang mit Risiken:

• Risiken vermeiden
• Risikoquellen beseitigen
• Einfluss nehmen auf die Eintrittswahrscheinlichkeit
• Einfluss nehmen auf die möglichen Konsequenzen
• Risikoteilung
• oder aber ein Risiko auf Basis einer fundierte Entscheidung gezielt eingehen, zum Beispiel um eine Chance wahrzunehmen

Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Managementsystems. Ziel dabei ist es, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Folgendes erfüllt werden müssen:

• Kundenerfordernisse
• gesetzliche und/ober behördliche Vorgaben
• unternehmenseigene Festlegungen

Wie alle Managementsystemnormen wird auch die ISO 9001 in regelmäßigen Abständen überprüft und – falls erforderlich – überarbeitet. Aktuell befindet sich die Norm in der Revision. In der überarbeiteten Fassung sollen nicht nur Risiken, sondern auch Chancen eine deutlich stärkere Betonung erhalten: Erstmals sind spezifische Anforderungen zum Umgang mit Chancen in einem eigenen Abschnitt vorgesehen.

Was fordert ISO 9001:2015 zu den Chancen und Risiken?

Entsprechend den Normanforderungen ist das Unternehmen für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich. Dabei muss es die in Kapitel 4.1 und 4.2 genannten Themen berücksichtigen sowie die Risiken und Chancen bestimmen, bewerten, Maßnahmen ableiten und deren Wirksamkeit bewerten.   

• Identifikation (Bestimmung) von Risiken und Chancen, um 
  – das Erreichen beabsichtigter Ergebnisse abzusichern,
  – erwünschte Auswirkungen zu verstärken – dies sind die Chancen,
  – unerwünschte Auswirkungen (Risiken) zu verhindern oder zu verringern und
  – Verbesserungen zu erreichen.
   
• Bewertung von Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge sind aber durchaus empfehlenswert, zum Beispiel:
  – (Prozess-)FMEA (Fehlermöglichkeits- und -Einflussanalyse)
  – SWOT-Analysen (Stärken und Schwächen, Chancen und Risiken)
  – Risikomatrix bzw. Risikodiagramm
  – ABC-Analysen
   
• Maßnahmen aus den identifizierten Risiken und Chancen ableiten. Diese können ...
  – sich auf die Beseitigung beziehungsweise Vermeidung des Risikos oder der Risikoquelle beziehen,
  – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen beziehungsweise  Konsequenzen ausgerichtet sein oder
  – die Akzeptanz des Risikos umfassen, zum Beispiel um eine Chance wahrzunehmen.
   
• Bewertung der Wirksamkeit der Maßnahmen, zum Beispiel anhand von
  – Nichteintritt eines identifizierten Risikos,
  – der Absenkung einer Eintrittswahrscheinlichkeit oder
  – der Verringerung der negativen Auswirkungen, zum Beispiel durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

Dokumentierte Information als Nachweis 

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm!

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm ISO 9001: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Einfacher ausgedrückt: Das legt das Unternehmen individuell für sich selbst fest – nicht die Norm! Und: Dies legt auch nicht die Zertifizierungsgesellschaft oder der Auditor fest.

Hinweis zu DIN EN ISO 9001

Alle in dieser internationalen Norm festgelegten Anforderungen sind allgemeiner Natur und auf alle Unternehmen und Organisationen zutreffend, unabhängig von deren Größe und Komplexität sowie der Art der von ihr bereitgestellten Produkte und Dienstleistungen. Dieser  Anforderungen basieren auf den sieben Grundsätzen des Qualitätsmanagements.

Die Norm fördert die Umsetzung eines prozessorientierten Ansatzes zur Erfüllung von Kundenanforderungen. Die Steuerung der Prozesse und des Managementsystems als Ganzes kann durch den PDCA-Zyklus erreicht werden. Dabei steht die kontinuierliche Verbesserung der Prozesse im Vordergrund.

Die deutschsprachige Fassung der Qualitätsnorm wird vom Deutschen Institut für Normung (DIN) herausgegeben, die internationale ISO 9001:2015-09 von der ISO (Internationale Organisation für Normung). Beide Normen sind bei DIN Media erhältlich.

Unterscheidung Chancen und Risiken

im Sinne von ISO 9001 

Die Anforderung der Norm geht neben der Betrachtung von Risiken auch auf die der Chancen ein, die sich aus Risiken ergeben können. Allerdings stehen viele Unternehmen vor der Frage, was konkret Chancen sein können. Nicht gemeint ist mit einer Chance die Erreichung beabsichtigter Ergebnisse. Dies ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse.

Die Chance wird in der internationalen Norm als „Möglichkeit bzw. Gelegenheit“ (opportunities) verstanden, die sich ergeben kann, wenn ein Unternehmen ein beherrschbares Risiko eingeht.

Gute Hinweise dazu gibt das Kapitel 0.3.3 von ISO 9001. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

• Kundengewinnung
• Entwicklung neuer Produkte und Dienstleistungen
• Verringerung von Ausschuss bzw. Abfall
• Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2:

• Übernahme neuer Praktiken und Einsatz neuer Techniken
• Markteinführung neuer Produkte
• Erschließung neuer Märkte
• Neukundengewinnung und Aufbau von Partnerschaften
• Einsatz neuer Techniken etc.

Weitere Tipps zum risikobasierten Ansatz

Kapitel 0.3.3 von DIN ISO 9001 bietet gute und ergänzende Erläuterungen zum Umgang mit dem risikobasierten Ansatz. Unter anderem wird dort ausgeführt, dass risikobasiertes Denken für ein wirksames Qualitätsmanagementsystem unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der internationale Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen der Qualitätsnorm hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

Fazit zum risikobasierten Ansatz

in ISO 9001

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können zum Beispiel zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können.

Lassen Sie durch risikobasiertes Denken Vorbeugungsmaßnahmen zum Teil Ihrer täglichen Routine werden. Setzen Sie Ihre „Risiko- und Chancenbrille“ auf und überprüfen Sie Ihre Prozesse. Betrachten Sie dabei auch den Kontext Ihrer Organisation, interne und externe Rahmenbedingungen, unterschiedliche Produkte und Dienstleistungen oder besondere organisatorische Abläufe.

Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen. Auch sie sind zu bestimmen und zu bewerten – und Maßnahmen zu deren Ergreifung abzuleiten. So lässt sich durch den richtigen Umgang mit Risiken ein Nutzen ziehen.

DQS: ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Sie haben Fragen? Wir sind gerne für Sie da.

Informieren Sie sich. ganz unverbindlich und kostenfrei. Wir freuen uns auf den Kontakt mit Ihnen!

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.