Risiken im Blick – mit der ISO 9001:2015
In der Version 2015 wird der Umgang mit Risiken im Prozess zum festen Bestandteil eines QM-Systems nach ISO 9001. Doch in welcher Form müssen Risiken und Chancen berücksichtigt werden und wie wirken sie sich auf Ihr QM-System aus?
Wie soll mit Risiken in Zukunft umgegangen werden?
Risikobasiertes Denken ist ein neues Konzept in der ISO 9001:2015. Anstatt Risiken mit einer pauschalen Verfahrensanweisung (VA) zu regeln, wird die Beschäftigung mit Risiken in die einzelnen Prozesse und deren Dokumentation integriert. Die bisherige Pflicht-VA „Vorbeugungsmaßnahmen“ wird dadurch hinfällig.
Risiko oder doch Chance?
Die ISO 9001:2015 fordert an zahlreichen Stellen, Risiken und Chancen zu behandeln. Der Begriff „Risiko“ (laut ISO/DIS 9000:2014 „die Auswirkung von Ungewissheit auf ein erwartetes Ergebnis“) ist eindeutig definiert, der Begriff „Chance“ bleibt allerdings unklar. Risiko und Chance hängen jedoch zusammen: Das erwartete Ergebnis ist ein Sollbereich, der im optimalen Fall erreicht wird. Kann der Sollbereich aufgrund von Ungewissheiten nicht erreicht werden kann, dann besteht ein Risiko. Wird der Sollbereich wegen Ungewissheiten hingegen übererfüllt, besteht eine Chance.
Wo in der Norm finden sich Anforderungen zu Risiken?
In der ISO 9001:2015 existiert kein separates Kapitel zum Thema Risiko. Das risikobasierte Denken bzw. der risikobasierte Ansatz ist jedoch in sechs von sieben Kapiteln in Anforderungen erkennbar.
- In Kapitel 4 wird der Kontext der Organisation thematisiert. Interessierte Parteien müssen analysiert werden, denn sie können aufgrund ihres Einflusses oder ihrer Anforderungen eine Ungewissheit darstellen (z.B. Einfluss von Behörden, Abhängigkeit von Lieferanten).
- Kundenorientierung bleibt wie bisher die Aufgabe der obersten Leitung (Kapitel 5). Sie muss die Risiken und Chancen bezüglich Produkt- und Dienstleistungskonformität berücksichtigen.
- Erkenntnisse aus den Kapiteln 4 und 5 müssen in der Planung für das Qualitätsmanagementsystem (Kapitel 6) berücksichtigt und Maßnahmen eingeplant werden.
- Im Betrieb (Kapitel 8) müssen die geplanten Maßnahmen umgesetzt werden.
- Bei Kundendienstleistungen (Tätigkeiten nach der Lieferung) müssen ebenfalls Risiken in Verbindung mit Produkten und Dienstleistungen berücksichtigt werden.
- In der Managementbewertung (Kapitel 9) müssen Maßnahmen bezüglich der Risiken bewertet werden. Neue potenzielle Chancen zur ständigen Verbesserung sollen Berücksichtigung finden.
- Im Rahmen der fortlaufenden Verbesserung müssen die Ergebnisse der Managementbewertung umgesetzt werden.
Kein Risikomanagementsystem gefordert
Risikobasiertes Denken ist nicht gleichzusetzen mit einem Risikomanagementsystem (z.B. nach ISO 31000). Die ISO 9001 beschäftigt sich ausdrücklich mit den Risiken, die die Erfüllung von Anforderungen beeinträchtigen, nicht mit unternehmerischen Risiken.
Nehmen Sie Ihre Prozesse unter die Lupe!
Im Mittelpunkt des risikobasierten Denkens stehen die Prozesse. Ihre Betrachtung führt dazu, die Prozessschritte und/oder Schnittstellen zu finden, die Ungewissheiten für die Erfüllung der Anforderungen darstellen. Es werden punktuell Vorbeugungsmaßnahmen festgelegt. Das risikobasierte Denken hat dabei Auswirkungen auf die Gestaltung der Prozesse, die Auswahl von Ressourcen und die Dokumentation.
Nach ISO 9001:2008 wird mit der Verfahrensanweisung „Lenkung von Dokumenten“ klargestellt, wer zuständig ist. Mit der Revision wird diese Pflicht-Verfahrensanweisung zurückgenommen. Es ist also dem Unternehmen freigestellt, eine generelle Regelung zu schaffen oder nicht. Die Entscheidung richtet sich nun nach dem Bedarf. Der Bedarf wird u.a. durch das risikobasierte Denken gesteuert. Werden relevante Risiken erkannt, müssen Maßnahmen festgelegt werden. Damit diese als Standard im Prozess etabliert werden können, ist eine Dokumentation notwendig.
Fehlendes Wissen = Risiko
In diesem Kontext wird die Bedeutung von Know-how als Risikofaktor deutlich. Somit hat das risikobasierte Denken einerseits auf die Qualität der Infrastruktur und der Umgebung der Prozesse Einfluss, andererseits auch auf die Feststellung des notwendigen Wissens.
Mit risikobasiertem Denken Prozesse verbessern
Mit dem risikobasierten Denken unterziehen Sie Ihre Prozesse einer weiteren Optimierung. Es geht nicht nur um Effizienz und Effektivität, sondern auch um nachhaltige Erfüllung von Anforderungen.
Die Anforderungen an die Dokumentation werden laut ISO/DIS 9001:2014 reduziert. Auf festgelegte Verfahrensanweisungen und Handbuch-Anforderungen wird verzichtet.