Menü

Was ist risikobasiertes Denken in ISO 9001:2015?

Mit der Neufassung von ISO 9001:2015 wurden einige wichtige Managementthemen in die Norm neu aufgenommen. Der Normenausschuss hatte im Vorfeld eine Umfrage unter Unternehmen und Nutzern durchgeführt. Als Resultat wurden mehrere aktuelle Themen identifiziert, die im Management von Organisationen eine wichtige Rolle spielen, in ISO 9001 aber bislang noch nicht berücksichtigt wurden. Eines dieser Themen bezog sich auf Risiken und Chancen.

Risikomanagement in der Praxis

Risikomanagement ist im unternehmerischen Alltag an vielen Stellen verankert. Meist wird es aus betriebswirtschaftlicher Sicht dargelegt. Kapitalgesellschaften sind in vielen Ländern verpflichtet, sich explizit mit Risikomanagement zu beschäftigen. Interne Kontroll-Systeme (IKS) oder ähnliche Methoden werden dazu verwendet und vom Wirtschaftsprüfer verlangt. Im Marketing spielen Risiken und Chancen ebenfalls eine herausragende Rolle. Viele Instrumente stammen aus diesem Management-Umfeld, wie z. B. die SWOT-Analyse, die Boston-Portfolio-Analyse oder die PEST-Analyse.

Somit können Unternehmen, die bereits etablierten Risikomanagement-Methoden gut nutzen und diese mit Qualitätsmanagement-Aspekten erweitern. Kleinere Unternehmen müssen solche umfangreichen Instrumente aber nicht einführen. Wichtig ist es, die Risiken und Chancen auf strategischer, wie auf operativer Ebene zu klären und entsprechende Maßnahmen einzuführen. Die Risiken und Chancen sollen auf jeden Fall im Unternehmen operativ berücksichtigt werden, z. B. in Qualitätsplänen.

Bislang war die Betrachtung von Risiken vor allem in einer Qualitätsmethode verankert, der Fehlermöglichkeits- und Einflussanalyse (FMEA). Dort beschäftigt man sich aber mit Risiken, die durch ein neues Produkt und seine Produktion auftreten können. Ein ganzheitlicher, unternehmerischer Ansatz ist das nicht. Die FMEA ist in ISO 9001:2015 nicht berücksichtigt.

In ISO 9001:2015 wird explizit erläutert, dass es kein formales Risikomanagement gibt. Die Norm legt einen großen Wert darauf, sich vom Risikomanagement klar abzugrenzen.

Risikomanagement vs. risikobasiertes Denken

Zunächst einmal liegt ein großer Unterschied zum Risikomanagement darin begründet, dass es in ISO 9001:2015 zwar die Identifizierung von Risiken und Chancen gibt, diese aber nicht bewertet werden müssen. Natürlich kann das der Nutzer tun, in der Norm ist das aber nicht vorgesehen. Damit ist gemeint, dass man nicht unbedingt eine Bewertung in „kleines Risiko“, „mittleres Risiko“ oder „hohes Risiko“ vornehmen muss. Dies wäre beim typischen Risikomanagement eine übliche Vorgehensweise.

Auf der anderen Seite werden im Risikomanagement meist nur die Risiken adressiert. Beim risikobasierten Denken geht es nicht nur um die „bösen“ Risiken, sondern dies bezieht sich auch auf die „guten“ Risiken – diese werden als Chancen bezeichnet. Risiken und Chancen sind oftmals direkt miteinander verbunden. Wer unternehmerisch tätig ist, der tut dies, um Chancen auf dem Markt zu nutzen. Dabei entstehen aber auch Risiken. Das Unternehmen muss für sich selbst abwägen, welche Risiken es akzeptieren und welche Chancen es nutzen will.

Von den Vorbeugungsmaßnahmen zum risikobasierten Denken

Wer ISO 9001:2008 kennt, der erinnert sich sicherlich noch an die Vorbeugungsmaßnahmen. Im Sinne der Vorbeugung mussten Fehler vor deren Auftreten identifiziert werden und Maßnahmen der Prävention ergriffen werden. Das war allerdings nur sehr allgemein gehalten, ohne konkrete Anforderungen. Dieses Kapitel existiert in ISO 9001:2015 nun nicht mehr. Die Vorbeugungsmaßnahmen sind nun in das risikobasierte Denken überführt worden.

Wobei das risikobasierte Denken vielleicht das größte neue Thema in ISO 9001:2015 darstellt. In folgenden Kapiteln kommt das risikobasierte Denken vor:

  • 6.1 Risiken und Chancen
  • 4.1 Kontext der Organisation
  • 4.2 Interessierte Parteien
  • 4.4 Prozesse
  • 9.3 Management-Review

Schauen wir uns diese Normkapitel etwas genauer an:

Kapitel 6.1 Risiken und Chancen

Dieses Kapitel ist nicht das erste der Norm, in dem Risiken und Chancen angesprochen werden. Hier beginnt es allerdings thematisch. Risiken und Chancen müssen vom Unternehmen erkannt werden. Entsprechende Maßnahmen im Umgang mit den Chancen und Risiken müssen definiert werden. Dieses Kapitel verweist zurück auf die Kap. 4.1 (Kontext), 4.2 (interessierte Parteien) und Kap. 4.4 (Prozesse). Zu erwähnen ist, dass an dieser Stelle keine dokumentierten Informationen vom Unternehmen gefordert werden. Im Sinne einer transparenten Herangehensweise sind sie jedoch empfehlenswert.

Die Maßnahmen müssen dazu führen, dass die Risiken und Chancen gemanagt werden. Risiken werden dadurch reduziert, vorbeugend vermieden, geteilt oder akzeptiert. Chancen werden durch die Maßnahmen entsprechend ausgenutzt.

Kapitel 4.1 Kontext der Organisation

Externe und interne Themen müssen von der Organisation bestimmt werden, die für das Unternehmen relevant sind. In 6.1 wird hierauf Bezug genommen. Somit müssen für diese Themen die Risiken und Chancen benannt und entsprechende Maßnahmen definiert werden.

Kapitel 4.2 interessierte Parteien

Die interessierten Parteien repräsentieren den sog. Stakeholder-Value-Management-Ansatz, der in der Betriebswirtschaft schon lange eine wichtige Rolle spielt. Auch im TQM, wie in der ISO 9004, existiert diese Philosophie schon lange. Es geht darum, die interessierten Parteien am Unternehmen zu identifizieren, deren Anforderungen zu bestimmen (nicht diese alle umzusetzen!) und somit einen langfristigen Unternehmenserfolg zu sichern. Aus Kapitel 6.1 wissen wir nun, dass wir auch an dieser Stelle noch die Risiken und Chancen, die mit den interessierten Parteien verbunden sind, bestimmen und entsprechende Maßnahmen festlegen müssen.

Kapitel 4.4 Prozesse

In allen Prozessen müssen die Risiken und Chancen bestimmt werden. Es reicht nicht mehr aus, die Prozesse einfach durch Kennzahlen zu überwachen. Die Risiken und Chancen müssen nun systematisch ermittelt werden, die im Prozessablauf auftreten können. Im Anschluss müssen entsprechende Maßnahmen abgeleitet werden, um die Risiken zu reduzieren und die Chancen zu nutzen. ISO 9001:2015 fordert hier nicht den Einsatz von spezifischen Werkzeugen oder Qualitätsmethoden, wie z. B. die FMEA. Die Prozess-FMEA könnte eine passende Methode sein, um die Risiken im Prozess zu bestimmen und Maßnahmen abzuleiten. Beachten Sie aber, dass ISO 9001:2015 keine Bewertung der Risiken fordert, sondern lediglich deren Bestimmung und die Ableitung von Maßnahmen.

Kapitel 9.3 Management-Review

Das Management-Review (die Managementbewertung) wurde weitestgehend wie in der alten Norm ISO 9001:2008 beibehalten. Das Top-Management muss das QM-System in regelmäßigen Abständen bewerten. Es gibt allerdings zwei bis drei neue Aspekte, die als Input ins Management-Review einfließen müssen. Dazu gehört die Bewertung der Maßnahmen zu den Risiken und Chancen der Organisation. Empfehlenswert ist es an dieser Stelle, die generellen Risiken und Chancen des Unternehmens zu überdenken und evtl. zu aktualisieren. Dokumentierte Informationen zur Bewertung sind an dieser Stelle gefordert!

 


Der Autor Dipl.-Kaufmann Christof Dahl, geb. 1971, arbeitete mehrere Jahre als Prüfungsleiter bei PricewaterhouseCoopers in Madrid. Seit 2003 ist er selbstständiger Unternehmensberater und Trainer für Qualitätsmanagment in Kirkel-Altstadt und Esslingen am Neckar. Dahl ist als DGQ-Trainer auch in der Auditoren-Ausbildung und im Bereich Prozessmanagement aktiv.

PraxisWerkstatt

DGQ-PraxisWerkstatt: Risikomanagement in ISO 9001

Sie möchten einen Überblick über risikobasiertes Denken und die wichtigsten Begriffe eines risikobasierten Prozessmanagements? Dieses Training vermittelt Ihnen die wichtigsten Grundlagen!

Mehr Details
DGQ-Studie

Kostenfreier Download DGQ-Infografik
„Prozesse verbessern nach DMAIC“

Lernen Sie die Phasen und Methoden der DMAIC Roadmap kennen!

 

Mehr Details