Risikobasierter Ansatz in der ISO 9001:2015 – Was kommt auf uns zu?

Seit September 2015 gibt es die neueste Revision der ISO 9001 Qualitätsmanagementnorm. Immer noch stehen viele Unternehmen vor der Herausforderung, ob und wann sie auf die neue Norm zu wechseln sollen.

In einer Informationsveranstaltung am 14.02.2017 in Aachen stellte Dr. Georg Bayer von der team babel AG die neue Revision kurz vor. Sein Fokus lag dabei auf den risikobasierten Ansatz in der ISO 9001:2015.

Dass die ISO 9001:2015 Norm immer noch Kopfzerbrechen und Unsicherheiten bei vielen Unternehmen hervorruft, zeigte die große Resonanz an Teilnehmern an diesem Abend. 20 QM-Verantwortlichen aus regionalen Unternehmen wollten mehr darüber erfahren, was auf sie zukommt. Denn keiner im Raum hat sich bislang auf die ISO 9001:2015 re-zertifizieren lassen.

Zunächst präsentierte Dr. Bayer kurz Aufbau, Struktur und Übergangsfristen der neuen Norm, bevor er ausführlich und mit Beispielen den risikobasierten Ansatz erklärte.

Eine der Schlüsselveränderungen in aktuellen Überarbeitung der ISO 9001 ist die Einführung einer systematischen Herangehensweise an Risiken und Chancen. Das „risikobasierte Denken” durchzieht sämtliche Kapitel der Norm und bildet damit einen breiteren (oder umfassenderen)  Ansatz in der Norm als bisher.

Unternehmen werden jetzt mehr in die Pflicht genommen, sich proaktiv mit allen möglichen Risiken und Chancen auseinander zu setzen. Es wird stets die Frage in den Mittelpunkt gestellt, was mit welcher Wahrscheinlichkeit geschehen könnte und wie die Auswirkung dieses Geschehens sein könnte.

Konkret werden folgende Aktion für risikobasiertes Denken in der ISO 9001:2015 gefordert:

• Kapitel 4 (Kontext) die Organisation ist verpflichtet, die Risiken zu bestimmen, die diese beeinflussen könnten.
• Kapitel 5 (Führung) Die oberste Geschäftsführung ist verpflichtet, sicherzustellen, dass der Bestimmung 4 gefolgt wird.
• Kapitel 6 (Planung) Die Organisation ist verpflichtet, Tätigkeiten durchzuführen, um Risiken und Chancen zu erkennen.
• Kapitel 7 (Unterstützung) Ressourcen
• Kapitel 8 (Durchführung) Die Organisation ist verpflichtet, Prozesse einzuführen, die Risiken und Chancen behandeln.
• Kapitel 9 (Leistungsbewertung) Die Organisation ist verpflichtet, die Risiken und Chancen zu überwachen, zu messen, zu analysieren und zu bewerten.
• Kapitel 10 (Verbesserung) Die Organisation ist verpflichtet, sich durch Reaktionen auf Veränderungen im Risiko zu verbessern.

Um den Zuschauern diesen Ansatz mit all seine Facetten leichter verständlich zu machen, nutzte der Referent ein Beispiel.

Eine Person muss eine Straße überqueren, um auf der anderen Seite an einem Meeting teilzunehmen. Es ist wichtig pünktlich zu erscheinen. Gute Vorbereitung und sicheres Auftreten sind ausschlaggebend.

Um die Straße zu überqueren, kann sie direkt gehen oder eine nahe Fußgängerbrücke benutzen.

Hier kommt die Abwägung der Chancen und Risiken ins Spiel:

1. Die Straße überqueren, pünktlich sein, aber hohes Risiko, verletzt zu werden
2. Die Brücken nutzen, niedriges Risiko, verletzt zu werden, aber hohes Risiko, zu spät zu kommen.

Eine Analyse dieser Situationen zeigt weitere Gelegenheiten zur Verbesserung:

3. Einen Tunnel nutzen, der direkt unter der Straße entlangführt
4. Eine Fußgängerampel nutzen oder
5. Eine Verkehrsinsel nutzen.

Wichtig ist zudem, dass weitere Einflussfaktoren eine Rolle spielen wie z.B. Verkehrsdichte, Tageszeit, Wetter, persönliche Beweglichkeit, usw.

Das risikobasierte Denken soll also dazu führen, Risiken und Chancen zu analysieren und zu priorisieren. Daraus ergibt sich ein Plan, der das im Moment optimale Ergebnis darstellt.

Im Beispiel der Straßenüberquerung wäre das z.B. die Straße zu einem Zeitpunkt zu überqueren, wenn keine Autos in meiner Nähe fahren, um die Wahrscheinlichkeit eines Unfalls zu reduzieren. Zudem könnte die Person den Ort der Überquerung dort wählen, wo sie eine gute Sicht hat und wo sie sicher in der Mitte anhalten kann, um die Zahl der fahrenden Autos neu zu bewerten.

Im zweiten Teil des Vortrags erläuterte der Berater und QM-Experte Rolf Schlenter seine Sichtweise und Erfahrungen als Qualitätsmanager und Auditor.

QM-Experte und Auditor Rolf Schlenter stellt die ISO 9001:2015 den Zuschauen vor.

Er beschreibt die Idee des risikobasierten Ansatzes als „eine Art systematische Vorbeugung gegen alles, was Ihrer Organisation Schaden zufügen kann.“

Risiken können intern und extern zu finden sein. Gegen die Externen Risiken z.B. ein Unwetter, Erdbeben, Terroranschlag etc. kann man sich nur z.B. mit einer Versicherung schützen. Interne Risiken wie Datenverlust, Krankheit von Mitarbeitern, Streiks, Maschinenausfall usw. kann man z.B. durch interne Prüfungen der Dokumente, Prozesse, Kennzahlen und frühere Auditberichte erkennen. Auch die Befragung von Mitarbeitern, Kunden und Lieferanten führt zur Identifikation möglicher Risiken.

Zum Abschluss stellte Rolf Schlenter einige Techniken und Methoden zur Risikobewertung vor. Hierzu zählen u.a. die ABC-Analyse, die Risikomatrix, das Ishikawa-Diagramm mit 10 Hauptkategorien, die SWOT-Analyse, FMEA, Portfolioanalyse mittels 9 oder 16 – Feldmethode, das Prozessmodell aus der ISO 31000 sowie Brainstroming, Brainwriting, Moderationsmethoden, Punktabfrage, Szenarien, usw.