In diesem Blogbeitrag möchte ich nicht kleinlich starten, allerdings muss ich zuerst gleich darauf hinweisen, dass die ISO 9001:2015 kein Risikomanagement fordert. Wer im Bereich Risikomanagement bewandert ist und sich mit den Begrifflichkeiten auskennt der weiß, dass es für ein Risikomanagementsystem eine eigene Zertifizierungsnorm gibt (die ISO 31000:2018). Und der kann sich schwer vorstellen, dass die Qualitätsmanagementnorm ISO 9001 ein Risikomanagement(-system) fordert. Dies tut sie auch nicht: Die ISO 9001 fordert jedoch ganz explizit das risikobasierte Denken beziehungsweise den risikobasierten Ansatz.
Was fordert die ISO 9001 genau?
Die ISO 9001 erwähnt das risikobasierte Denken beziehungsweise den risikobasierten Ansatz an vielen Stellen und gibt dabei ebenso an vielen Stellen auch Erläuterungen zu den Begrifflichkeiten. Allerdings macht die Norm nur an zwei Punkten explizite Forderungen an zertifizierte Unternehmen auf.
Bei dem ersten Punkt handelt es sich um das Unterkapitel „6.1 Maßnahmen zum Umgang mit Chancen und Risiken“. An dieser Stelle fordert die Norm, dass sich Unternehmen ganz explizit mit Chancen und Risiken beschäftigen müssen. Dabei geht es hauptsächlich darum zu erreichen, dass zum Beispiel erwünschte Auswirkungen verstärkt werden sowie unerwünschte Auswirkungen verhindert oder zumindest verringert werden. Die Norm fordert von zertifizierten Unternehmen, dass Maßnahmen zum Umgang mit diesen Chancen und Risiken geplant werden müssen und diese im Qualitätsmanagementsystem bzw. dessen Prozessen implementiert und umgesetzt werden müssen. Ebenso ist es eine Normforderung, dass die Wirksamkeit dieser Maßnahmen bewertet werden muss.
In den Anmerkungen zu diesem Unterkapitel geht die ISO 9001 auch auf die verschiedenen Möglichkeiten zum Umgang mit Risiken ein und zählt als Beispiel dafür auf, dass die Beseitigung von Risikoquellen und auch die Änderungen der Wahrscheinlichkeit eines Risikos zum Umgang mit Risiken zählen können. Ganz explizit erwähnt die ISO 9001 allerdings auch, dass die Beibehaltung eines Risikos durch eine fundierte Entscheidung zu den Möglichkeiten zum Umgang mit Risiken zählen kann.
Wie oben bereits beschrieben, bezieht sich die ISO 9001 noch an einer weiteren Stelle ganz explizit auf Chancen und Risiken: Im Unterkapitel „9.3.2 Eingaben für die Managementbewertung“. Hier wird gefordert, dass die Wirksamkeit von durchgeführten Maßnahmen in Bezug auf Chancen und Risiken ganz zwingend als Eingabe für die durchzuführende Managementbewertung zu behandeln sind.
Was bedeutet dies in der Praxis?
Jedes Unternehmen behandelt Chancen und Risiken seit seiner Gründung und schon lange bevor dieses Thema überhaupt Einzug in die ISO 9001 gehalten hat. Ja, ich möchte mich sogar festlegen und behaupten, dass es zu den Haupteigenschaften eines jeden Unternehmens gehört, Chancen zu sehen und diese zu ergreifen bzw. Risiken ebenso zu identifizieren und wenn möglich zu vermeiden, zu verhindern oder abzumindern.
Lassen sie mich dies an einem kurzen und einfachen Beispiel erläutern:
Versetzen wir uns hierzu gedanklich in die Rolle eines kleinen produzierenden Unternehmens: Jedes produzierende Unternehmen ist dem Risiko ausgesetzt, dass diese Rohmaterialien oder Vorprodukte geliefert bekommen, die nicht den Anforderungen entsprechen. Jetzt mag der geneigte Leser an dieser Stelle gleich einwenden und berechtigter Weise sagen: „Dafür gibt es ja die Wareneingangskontrollen, die in solchen Unternehmen in der Regel durchgeführt werden.“ Ja, das ist richtig und damit haben wir auch schon das praktische Beispiel, das in einem Unternehmen ein Risiko gesehen wurde und eine diesbezügliche Maßnahme umgesetzt wurde! Dies wurde vielleicht nicht ganz so wie es die ISO 9001 aktuell fordert als Risiko und diesbezügliche Maßnahme dokumentiert. Aber im Endeffekt fordert die Norm nichts anderes an dieser Stelle als, dass ein Risiko identifiziert und eine Maßnahme umgesetzt wird, um dieses Risiko zu mindern. Und sie erweitert diese Forderung jetzt noch in der Art und Weise, dass die Wirksamkeit dieser Maßnahme beurteilt wird.
Ich hoffe, dass ich durch dieses kleine Beispiel verdeutlichen konnte, dass die ISO 9001 in Bezug auf Chancen und Risiken kein Hexenwerk von Unternehmen fordert, sondern eigentlich nur Dinge, die der gesunde Menschenverstand an dieser Stelle schon von allein empfiehlt.
Die größten Probleme liegen gerade bei kleinen und mittelständischen Unternehmen darin, zu entscheiden, bei welchen Risiken zum Beispiel Handlungsbedarf besteht und bei welchen nicht. Ein geeignetes Werkzeug, um hier eine Entscheidung zu treffen, ist vielleicht das Werkzeug der Risikoprioritätszahl. Auf diese werde ich kurzfristig in einem weiteren Blogbeitrag eingehen.
Nachtrag:
Der angekündigte weiterführende Blogbeitrag zum Thema Risikoprioritätszahl ist zwischenzeitlich erschienen. Zum Beitrag gelangen Sie hier.