Risikobasiertes Denken in der ISO 9001:2015

Posted on by Auditor

Risikobasiertes Denken in der ISO 9001:2015

Im Kapitel 6 (Planung) der neuen ISO 9001 wird verlangt, dass die Organisationen die in 4.1 genannten Themen und in 4.2 genannten Anforderungen berücksichtigen müssen sowie Chancen und Risiken zu bestimmen sind, mit denen gerechnet werden muss. Es werden jedoch keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess verlangt, sondern die Organisationen können entscheiden, ob sie eine ausgedehntere Vorgehensweise für das Risikomanagement entwickeln wollen, als die neue Norm fordert. Die Maßnahmen sollen im Verhältnis stehen zur möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen.

Der neue Standard ist von den präventiven Maßnahmen abgekommen. Die „alte“ ISO 9001 verlangte noch ein dokumentiertes Verfahren zu Vorbeugungsmaßnahmen (Abs. 8.5.3) Dieses dokumentierte Verfahren musste u.a. auch die Ermittlung potentieller Fehler und ihrer Ursachen sowie Aussagen zur Bewertung der Wirksamkeit der ergriffenen Vorbeugungsmaßnahmen enthalten. Eine bestimmte Vorgehensweise, die jedoch weder von der alten Norm gefordert wurde noch von der neuen verlangt wird, bezieht alle Aufgaben eines systematischen Risikomanagements in das Verfahren ein. Im wesentlichen werden darin folgende Arbeitsschritte geregelt: Risikoidentifikation, -analyse, – steuerung und -überwachung. Bei der Identifikation und Analyse von Risiken hat sich in der Praxis die Methode der Fehler-Möglichkeits- und einflussanalyse (FMEA) bewährt (die in der neuen ISO 9001 allerdings auch nicht erwähnt wird). Die FMEA ist eine in der Industrie weit verbreitete, präventive Methode des Qualitätsmanagements. Im Dienstleistungsbereich erfreut sich die FMEA zwar einer steigenden Beliebtheit, sie ist allerdings bei weitem noch nicht so verbreitet wie in der Produktion.
Schon der Wortlaut in der alten ISO war nicht ganz klar, aber er verpflichtete Organisationen, proaktiv nach Möglichkeiten für Präventivmaßnahmen zu suchen. Nach unseren Erfahrungen aus einer Vielzahl von externen Audits führte dies leider dazu, dass Organisationen einfach ein System einführten, das eigentlich identisch war mit ihrer Vorgehensweise zu Korrekturmaßnehmen (Abs. 8.5.2). Dieses Verfahren ist aber reaktiv, wobei Vorbeugungsmaßnahmen ihrer Natur nach proaktiv sind. Warum diese Vorgehensweise? Weil es eben einfacher ist, ein System einzuführen zur Reaktion, weil man auf etwas reagiert, das schon geschehen ist oder das bereits existiert! Ein proaktives Vorgehen bedeutet, dass Sie sich mit etwas auseinandersetzen müssen, was noch nicht existiert oder noch nicht passiert ist. Eine ganze Anzahl von Organisationen ist anders vorgegangen. Es entstand bei uns durchaus der Eindruck, dass Unternehmen einfach ihr externes Audit abgewartet haben; kurz vorher wurden einige Formulare mit angeblichen Vorbeugungsmaßnahmen gefüllt mit Pseudo-Maßnahmen, die während des Jahres durchgeführt worden sein sollen; und zwar erfolgten die Aufzeichnungen auf eine Art und Weise, die eine proaktive Handlung vermitteln sollten. Was soll das? Was bringt es den Betrieben, wenn sie auf diese Art und Weise den externen Auditoren etwas vormachen wollen? Was die ISO 9001:2008 wirklich wollte (und die Versionen aus 87, 94 und 2000 auch), war Risikobewertung und -management.
Es erfordert bestimmte Anstrengungen und Sie können sich auch nicht sicher sein, ob das Problem wirklich auftritt, aber das Management ist in einer viel besseren Position für Entscheidungen, Ressourcenzuweisung und Verteilung von Verantwortlichkeiten. Kleine Unternehmen können eben eine „schmale“ Lösung umsetzen (einfache kurze Reviews, schnelle Updates, schlanke Dokumentation). Größere Unternehmen werden Mitarbeiter haben, die sich permanent mit dem Thema beschäftigen. So oder so, die Möglichkeit für vorausschauendes Handeln bringt Organisationen greifbare Vorteile.
Der neue Standard stellt klar:
Im Kapitel 6.1 der neuen ISO 9001 werden Ausführungen gemacht zum Umgang mit Risiken und Chancen (6.1 nimmt auch Bezug auf Kapitel 4.1 und 4.2 der Norm).
Obwohl in diesem Kapitel festgelegt wird, dass die Organisationen Maßnahmen zur Behandlung von Risiken planen müssen, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich, also auch kein Risikomanagement nach DIN 31000. Die Organisationen entscheiden selbst, wie ausgedehnt ihre Vorgehensweise hinsichtlich des Risikomanagements sein soll.