DQS im Dialog
DQS Website Abonnieren

Risikobasierter Ansatz in ISO 9001

Ein Unternehmen ist dann erfolgreich, wenn es einerseits systematisch Chancen erkennt, analysiert und ergreift und andererseits die damit verbundenen Risiken identifiziert und entsprechend handelt. Beim risikobasierten Ansatz in ISO 9001 geht es vor allem darum, die Auswirkungen unternehmerischer Unsicherheiten zu identifizieren und die Risiken als Grundlage zur Planung (Kap. 6.1) zu bestimmen. Nun ist das Thema „Risiko“ nicht gänzlich neu, nur war es bislang in den Anforderungen zu Vorbeugungsmaßnahmen eingebettet. Dieses Kapitel ist mit ISO 9001:2015 entfallen und wurde durch das Betrachten von Risiken und Chancen ersetzt.
risikobasierter Ansatz in ISO 9001

Risikobasierter Ansatz

Ausgangspunkt für das Betrachten von Risiken und Chancen ist der geschärfte Fokus von DIN EN ISO 9001 auf das Erzielen „beabsichtigter Ergebnisse“ – sowohl des Qualitätsmanagementsystems als auch der hierfür benötigten Prozesse. Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Systems mit dem Ziel, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Kundenerfordernisse, durch gesetzliche bzw. behördliche Vorgaben oder durch unternehmenseigene Festlegungen erfüllt werden müssen.

Die Norm definiert Risiko als die „Auswirkung von Ungewissheiten“ auf ein erwartetes Ergebnis.

DIN EN ISO 9001:2015 – Qualitätsmanagementsysteme – Anforderungen

Es ist damit also nicht von einem umfassenden Risikomanagementsystem z.B. auf Basis von ISO 31000 die Rede. Es wird auch kein formeller Risikomanagementprozess gefordert. Auch werden in ISO 9001 keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung gestellt.

Konkrete Anforderungen der Norm

  • Identifikation (Bestimmung) von Risiken und Chancen, um
    – die Erzielung beabsichtigter Ergebnisse abzusichern,
    – erwünschte Auswirkungen zu verstärken (dies sind die Chancen),
    – unerwünschte Auswirkungen zu verhindern oder zu verringern (dies sind die Risiken) und
    – Verbesserungen zu erreichen.
  • Bewertung der erkannten, bestimmten Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge wie z.B. (Prozess-) FMEA’s, SWOT-Analysen, ABC-Analysen oder Risikomatrix sind aber durchaus empfehlenswert.
  • Maßnahmen aus den identifizierten Risiken und Chancen ableiten.
    Diese können
    – sich auf die Beseitigung bzw. Vermeidung des Risikos oder der Risikoquelle beziehen,
    – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen bzw. Konsequenzen ausgerichtet sein oder
    – eine Akzeptanz des Risikos beinhalten, um z.B. eine Chance wahrzunehmen.
  • Bewertung der Wirksamkeit der Maßnahmen, z.B. anhand von
    – Nichteintritt eines identifizierten Risikos,
    – der Absenkung einer Eintrittswahrscheinlichkeit oder
    – der Verringerung der Auswirkungen, z.B. durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

Dokumentierte Information

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm.

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“ Einfacher ausgedrückt: Das legt eine Organisation individuell für sich fest – nicht die Norm und nicht die Zertifizierungsgesellschaft oder deren Auditoren.

Die innere Logik von ISO 9001

Risikobasierter Ansatz in ISO 9001
Risikobasierter Ansatz eines Qualitätsmanagements

Interessierte Parteien und deren relevante Anforderungen

Ein Aspekt, der nicht übersehen werden sollte, ist die Betrachtung der relevanten Anforderungen der für das Qualitätsmanagementsystem (QMS) relevanten interessierten Parteien (Kap. 4.2).

Dabei ist „Relevanz“ folgendermaßen auszulegen: Auswirkung auf die Fähigkeit der Organisation, fortlaufend konforme, also den Kundenerwartungen und gesetzlichen, behördlichen Anforderungen entsprechende Produkte und Dienstleistungen zur Verfügung zu stellen. Damit sind im Kontext des risikobasierten Ansatzes auch diese zu berücksichtigen (Referenz: Kap. 6.1.1 Planung).

Stiefkind: Chancen

Auch wenn die QM-Norm mit ihrem risikobasierten Ansatz die Risiken immer auch in Bezug zu Chancen setzt, stehen viele vor der Frage, was konkret Chancen sein können. Nicht gemeint ist damit die Erreichung beabsichtigter Ergebnisse, denn das ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse. Auch hier gibt das Kapitel 0.3.3 gute Hinweise. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

  • Kundengewinnung
  • Entwicklung neuer Produkte und Dienstleistungen
  • Verringerung von Ausschuss bzw. Abfall
  • Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2, z.B.

  • Übernahme neuer Praktiken und Einsatz neuer Techniken
  • Markteinführung neuer Produkte
  • Erschließung neuer Märkte
  • Neukundengewinnung und Aufbau von Partnerschaften
  • Einsatz neuer Techniken
ISO 9001 Kostenfreies Whitepaper

DQS-Auditleitfaden zu ISO 9001:2015

Mehr als nur eine Checkliste!
Die meist gestellten Auditfragen und mögliche Nachweise:

  • Bedeutung von Anforderungen
  • Gute Auditfragen
  • Nachweise, Umsetzungsbeispiele und Kennzahlen
Jetzt herunterladen

Weitere Tipps zum risikobasierten Ansatz in ISO 9001

Eine gute und ergänzende Erläuterung zum Umgang mit dem risikobasierten Ansatz bietet auch das Kapitel 0.3.3 von DIN ISO 9001, in dem unter anderem ausgeführt wird, dass risikobasiertes Denken für ein wirksames QMS unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen an ein QM hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

Fazit

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können z.B. zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können. Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen und auch diese zu bestimmen, zu bewerten und ebenfalls Maßnahmen zu deren Ergreifung abzuleiten.

ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Heute zählen knapp 20 der 30 DAX-notierten Unternehmen zu unseren langjährigen Kunden. Erwarten auch Sie von einem Zertifizierungsaudit mehr als einen Konformitätsnachweis!

Audit DQS

Sie haben Fragen?

Kontaktieren Sie uns!
Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden