DQS im Dialog
DQS Website Abonnieren

Risikobasierter Ansatz in ISO 9001

Ein Unternehmen ist dann erfolgreich, wenn es einerseits systematisch Chancen erkennt, analysiert und ergreift und andererseits die damit verbundenen Risiken identifiziert und entsprechend handelt. Beim risikobasierten Ansatz in ISO 9001 geht es vor allem darum, die Auswirkungen unternehmerischer Unsicherheiten zu identifizieren und die Risiken als Grundlage zur Planung zu bestimmen. Nun ist das Thema „Risiko“ in einem Qualitätsmanagementsystem nicht gänzlich neu. In den alten Versionen von ISO 9001 war es in den Anforderungen zu Vorbeugungsmaßnahmen eingebettet. Dieses Kapitel ist mit ISO 9001:2015 entfallen und wurde durch das Betrachten von Risiken und Chancen ersetzt.
© iStock risikobasierter Ansatz in ISO 9001

Was ist ein risikobasierter Ansatz?

Ausgangspunkt für das aufmerksame Betrachten von Chancen und Risiken ist der geschärfte Fokus von DIN EN ISO 9001:2015 auf das Erzielen „beabsichtigter Ergebnisse“. Dies gilt sowohl für das Qualitätsmanagementsystem (QMS) als auch der hierfür benötigten Prozesse.

Die Norm definiert Risiko als die „Auswirkung von Ungewissheiten“ auf ein erwartetes Ergebnis.

DIN EN ISO 9001:2015 – Qualitätsmanagementsysteme – Anforderungen

Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Managementsystems mit dem Ziel, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Folgendes erfüllt werden müssen:

  • Kundenerfordernisse
  • gesetzliche und/ober behördliche Vorgaben
  • unternehmenseigene Festlegungen

Wie regelt man Risiken und Chancen?

Der risikobasierte Ansatz zieht sich wie ein roter Faden durch ISO 9001. In Kapitel 6.1 (Planung) der bekannten ISO-Norm werden allgemeine Anforderungen zum Umgang mit Risiken und Chancen gestellt. Die Norm gibt aber lediglich vor, dass entsprechende Maßnahmen geplant, in das Qualitätsmanagementsystem integriert, umgesetzt und auf ihre Wirksamkeit hin bewertet werden müssen. Wie diese Anforderung umzusetzen ist, wird nicht vorgegeben.

ISO 9001 Kostenfreies Whitepaper

ISO 9001 Auditleitfaden

Mehr als nur eine Checkliste!
Profundes Wissen unserer Experten zu

  • guten Auditfragen
  • möglichen Nachweisen und Kennzahlen
  • Umsetzungsbeispielen
Jetzt kostenfrei herunterladen

Weder ist von einem umfassenden Risikomanagementsystem, z.B. auf Basis der Norm ISO 31000, noch von einem formellen Risikomanagementprozess die Rede. Auch werden in ISO 9001 keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung gestellt.

Ansonsten gilt:

  • Risiken vermeiden,
  • Risikoquellen beseitigen,
  • Einfluss nehmen auf die Eintrittswahrscheinlichkeit,
  • Einfluss nehmen auf die möglichen Konsequenzen oder aber
  • Risiken durch eine fundierte Entscheidung gezielt eingehen, z.B. um eine Chance wahrzunehmen.

Risikobasierter Ansatz – Was fordert die Norm?

  • Identifikation (Bestimmung) von Risiken und Chancen, um
    – das Erreichen beabsichtigter Ergebnisse abzusichern,
    – erwünschte Auswirkungen zu verstärken – dies sind die Chancen,
    – unerwünschte Auswirkungen (Risiken) zu verhindern oder zu verringern und
    – Verbesserungen zu erreichen.
  • Bewertung der erkannten, bestimmten Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge sind aber durchaus empfehlenswert, z.B.:
    – (Prozess-)FMEA
    – SWOT-Analysen
    – ABC-Analysen
    – Risikomatrix
  • Maßnahmen aus den identifizierten Risiken und Chancen ableiten. Diese können
    – sich auf die Beseitigung bzw. Vermeidung des Risikos oder der Risikoquelle beziehen,
    – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen bzw. Konsequenzen ausgerichtet sein oder
    – die Akzeptanz des Risikos umfassen, z.B. um eine Chance wahrzunehmen.
  • Bewertung der Wirksamkeit der Maßnahmen, z.B. anhand von
    – Nichteintritt eines identifizierten Risikos,
    – der Absenkung einer Eintrittswahrscheinlichkeit oder
    – der Verringerung der Auswirkungen, z.B. durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

Die innere Logik von ISO 9001

Risikobasierter Ansatz in ISO 9001
Risikobasierter Ansatz eines Qualitätsmanagementsystems

Dokumentierte Information als Nachweis

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm!

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm ISO 9001: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Einfacher ausgedrückt: Das legt eine Organisation individuell für sich fest – nicht die Norm! Und: Dies legen auch nicht die Zertifizierungsgesellschaft oder deren Auditoren fest.

Interessierte Parteien und deren relevante Anforderungen

Ein Aspekt, der nicht übersehen werden sollte, ist die Betrachtung der wesentlichen Anforderungen der für das Qualitätsmanagementsystem (QMS) relevanten interessierten Parteien (Kap. 4.2).

Dabei ist „Relevanz“ folgendermaßen auszulegen:
Auswirkung auf die Fähigkeit der Organisation, fortlaufend konforme, also den Kundenerwartungen und gesetzlichen, behördlichen Anforderungen entsprechende Produkte und Dienstleistungen zur Verfügung zu stellen. Damit sind im Kontext des risikobasierten Ansatzes auch diese zu berücksichtigen (Kap. 6.1.1 Planung).

Unterscheidung Chancen und Risiken im Sinne von ISO 9001

Die Anforderung der Norm geht neben der Betrachtung von Risiken auch auf die der Chancen ein, die sich aus Risiken ergeben können. Allerdings stehen viele Unternehmen vor der Frage, was konkret Chancen sein können. Nicht gemeint ist mit einer Chance die Erreichung beabsichtigter Ergebnisse. Dies ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse.

Die Chance wird in der QM-Norm als „Möglichkeit bzw. Gelegenheit“ (opportunities) verstanden, die sich ergeben kann, wenn ein Unternehmen ein beherrschbares Risiko eingeht. Gute Hinweise dazu gibt das Kapitel 0.3.3 von ISO 9001. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

  • Kundengewinnung
  • Entwicklung neuer Produkte und Dienstleistungen
  • Verringerung von Ausschuss bzw. Abfall
  • Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2:

  • Übernahme neuer Praktiken und Einsatz neuer Techniken
  • Markteinführung neuer Produkte
  • Erschließung neuer Märkte
  • Neukundengewinnung und Aufbau von Partnerschaften
  • Einsatz neuer Techniken etc.
ISO 9001:2015 in der Praxis: der Auditleitfaden

ISO 9001 in der Praxis

Profundes Expertenwissen zu

  • guten Auditfragen
  • möglichen Nachweisen und Kennzahlen
  • Umsetzungsbeispielen
Mehr als nur eine Checkliste!

Weitere Tipps

Kapitel 0.3.3 von DIN ISO 9001 bietet gute und ergänzende Erläuterungen zum Umgang mit dem risikobasierten Ansatz. Unter anderem wird dort ausgeführt, dass risikobasiertes Denken für ein wirksames Qualitätsmanagementsystem (QMS) unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen an ein QMS hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

Fazit zum risikobasierten Ansatz in ISO 9001

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können z.B. zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können.

Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen. Auch sie sind zu bestimmen und zu bewerten – und Maßnahmen zu deren Ergreifung abzuleiten.

ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Heute zählen knapp 20 der 30 DAX-notierten Unternehmen zu unseren langjährigen Kunden. Erwarten auch Sie von einem Zertifizierungsaudit mehr als einen Konformitätsnachweis!

Audit DQS

Gerne helfen wir ihnen bei der Zertifizierung nach ISO 9001

In einem unverbindlichen Termin informieren wir Sie über den Ablauf und die Kosten einer Zertifizierung. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen.