ISO 9001 Revision einfach erklärt
Konzept des „risikobasierten Denkens“
Im März 2015 wurde nun von der ISO ein Communique an ihre Mitglieder herausgegeben, wie der weitere Zeitplan für die Publikation der ISO 9001:2015 ablaufen soll. Der Zeitplan sieht vor, dass der Letztentwurf (FDIS ISO 9001:2015) in deutscher Sprache Anfang Juli gemeinsam mit den anderen Amtssprachen der ISO veröffentlicht werden sollte. Damit würde die weltweite Abstimmung Anfang September abgeschlossen sein und die Norm könnte mit September 2015 erscheinen.
Quality Austria bietet in einer Reihe von Fachbeiträgen Informationen zur Revision der ISO 9001:2015. Jeden Monat wird ein Kernkonzept der Revision vertiefend erläutert. Diesen Monat erläutert Eckehard Bauer, MSc das Konzept des „risikobasierten Denkens“.
Risiken und Chancen in der ISO 9001:2015
Eckehard Bauer, MSc
Die Kernanforderungen zum „risikobasierten Denken“ sind in der ISO 9001:2015 im Abschnitt 6.1, „Maßnahmen zum Umgang mit Risiken und Chancen“, enthalten.
Risiken und Chancen zu managen ist eine Entscheidung für eine positive Zukunft und bedeutet, heute zu erkennen, was uns morgen beeinflussen kann, die besten Chancen zu nutzen und die damit einhergehenden Risiken mit geeigneten Maßnahmen im Sinne der Unternehmensziele und -strategie zu steuern.
Der systematische Umgang mit Risiken ist kein formales System, sondern spiegelt vielmehr die unternehmerische Grundhaltung und den Gestaltungswillen wider. Um Risiken und Chancen erfolgreich zu managen muss es zu einer vollständigen Integration des risikobasierten Denkens in die Unternehmens-Steuerungssysteme und in die Entscheidungsprozesse der Organisationen kommen. Dazu ist es erforderlich, das systematische Managen von Risiken und Chancen in den Köpfen der Entscheidungsträger zu verankern.
Das wichtigste Ziel dabei ist die systematische Verhinderung von Schadensfällen und die systematische Nutzung von Chancen durch das Setzen gezielter Handlungen.
Risiken sind ein integraler Bestandteil jeder unternehmerischen Tätigkeit. Unter Risiken werden alle zukünftigen Ereignisse (finanzielle und nicht finanzielle) und alle möglichen Entwicklungen innerhalb und außerhalb eines Unternehmens verstanden, die sich (negativ/positiv) auf die Erreichung von Unternehmenszielen auswirken können.
Um am Markt erfolgreich agieren zu können, müssen Risiken einerseits vermieden, vermindert oder auf Dritte übertragen werden. Andererseits müssen Risiken jedoch auch bewusst akzeptiert und eingegangen werden um Chancen wahrzunehmen (unternehmerisches Risiko).
In der Praxis gibt es eine Vielzahl von Instrumenten und Methoden zum Managen von bekannten Risiken, aber auch um neue Risiken und Veränderungen bereits erkannter Risiken frühzeitig zu identifizieren. Beim systematische Managen von erkannten Risiken handelt es sich um ein bedeutsames Instrument, das diese Aufgabe unterstützt. Im Gegensatz zum sog. Krisen- oder Problemmanagement ist das Managen von Risiken durch eine ausgeprägte Zukunftsorientierung durch die Chancenorientierung geprägt.
Durch aktive Maßnahmen soll ein effektives und effizientes Managen von Risiken dazu beitragen, das Eintreten akuter Probleme bis hin zu Krisen zu vermeiden bzw. deren meist negativen Auswirkungen zu vermindern – nach dem Motto "Good managers manage risks, poor managers manage problems".
„Muss von Seiten der Organisation ein Risikomanagementsystem im Rahmen der ISO 9001:2015 dargelegt werden?“
Nein, es gibt keine Forderung für ein vollständiges Risikomanagementsystem, wie es z.B. in der ISO 31000 beschrieben wird. Es müssen die Risiken und Chancen an den von der Norm bestimmten Stellen betrachtet und entsprechende Maßnahmen zur Risikobewältigung getroffen werden.
Der Sinn des risikobasierten Dankens in die ISO 9001:2015 ist es, Organisationen zu unterstützen, kundenorientierte Chancen wahrzunehmen und die dabei entstehenden Risiken zu bewältigen. Die Risiken und Chancen sind ein wichtiges Element im Planungsprozess, ausgehend von der Strategie und dem Umfeld in dem die Organisation agiert, bis hin zu Prozessen und Teilprozessen. Im Fokus steht immer die Erreichung der von der Organisation geplanten Ergebnisse und die Wirksamkeit des Systems, also die Fähigkeit und Robustheit des Systems in der Zielerreichung.
Die Umsetzung des „risikobasierten Ansatzes“ in der Praxis
Zur Umsetzung des „risikobasierten Ansatzes“ gibt es eine Vielzahl von Werkzeugen und Methoden. Aus der Praxis hat sich bewährt zuerst festzustellen, welche Methoden und Werkzeuge in der Organisation bekannt sind und im Alltag genutzt werden.
Beispiele:
- Organisationen, welche noch nie einen risikobasierten Ansatz verwendet haben, können mit Tools wie dem Risikoscan einen ersten Überblick schaffen um so ein Fundament für die Bearbeitung von Chancen und Gefahren zu erhalten. Das Ergebnis des Risikoscan (vgl. Abbildung 1), kann dann in der Folge direkt mit Aktionen bearbeitet oder im Bedarfsfall verfeinert werden.
- Für die Identifikation der potentiellen Risiken kann Brainstorming angewandt werden. Das Ergebnis des Brainstormings kann in einem Ishikawa Diagramm weiterbearbeitet und das Ergebnis mit einer klassischen Punktebewertung quantifiziert werden.
- Eine oftmals bewährte Vorgehensweise ist es ein Brainstorming durchzuführen, danach eine Erstbewertung mittels der 3F-Methode und Weiterbearbeitung von spezifischen Aspekten mit der FMEA (z.B. produktspezifische oder prozessspezifische Aspekte).
Es lässt sich jedes von der Organisation gewünschte oder geplante Ergebnis mit einfachen Fragen im Sinn des risikobasierten Ansatzes, hin zur positiven Erreichung des Ergebnisses, hinterfragen. Dabei ist es egal ob die Unternehmensstrategie, ein Prozess oder ein Teilprozess betrachtet wird:
- Was fördert oder was kann die Erreichung des Ergebnisses steigern?
- Was verhindert oder was kann die Erreichung des Ergebnisses verhindern?
- Wie können erwünschte Auswirkungen verstärkt werden?
- Wie können unerwünschte Auswirkungen auf das gewünschte Ergebnis verhindert oder verringert werden?
- Wie kann eine fortlaufende Verbesserung erzielt werden?
Für die Planung des Qualitätsmanagementsystems (QMS) nach ISO 9001:2015 ist es erforderlich, dass die Organisation die Anforderungen aus dem Kapitel 4.1 „Verstehen der Organisation und ihres Kontext“ und 4.2 „Verstehen der Erfordernisse und Erwartungen interessierter Parteien“ berücksichtigt und daraus die Risiken (Gefahren und Chancen) bestimmt.
Die Organisation hat dann, entsprechend Kapitel 6.1.2, folgendes zu planen:
- Maßnahmen zum Umgang mit Risiken und Chancen
- wie die Maßnahmen in die QMS-Prozesse der Organisation integriert und umgesetzt werden
- wie die Wirksamkeit dieser Maßnahmen bewertet wird
Um mit Risiken nutzbringend und für die Organisation gesamtheitlich zu arbeiten, ist es entscheidend die Risikobeurteilung systematisch durchzuführen. Dazu gehört auch entsprechende Daten und Informationen zu analysieren und zu bewerten, relevante Entscheidungen im Managementreview zu treffen und beim Auftreten von Fehlern Annahmen zu den Risiken und Chancen zu hinterfragen.
