Was fordert die ISO 9001:2015 zu den Chancen und Risiken?
Wenn man heutzutage über die ISO 9001 spricht, dann vielfach auch von den Chancen und Risiken. Dies hat nicht zuletzt damit zu tun, dass dies eine der größten neuen Anforderungen in der 2015er Version ist. Doch was fordert die ISO 9001:2015 in diesem Bereich eigentlich? Dies möchten wir in diesem Blogbeitrag beleuchten. Und wundern Sie sich bitte nicht – die Norm spricht immer von „Risiken und Chancen“, ich persönlich habe allerdings das positive Word gerne vorne. ;-)
Was fordert die ISO 9001:2015 zu den Chancen und Risiken genau?
Die Norm fordert an diese Stelle KEIN Risikomanagement. Und auch wenn viele Unternehmen als ersten Reflex sagen „dann machen wir halt eine SWOT-Analyse“ muss ich darauf antworten – könnt Ihr gerne tun, aber die Anforderungen der ISO 9001:2015 sind viel geringer.
Die ISO 9001 fordert, dass die Chancen und Risiken bestimmt werden und Maßnahmen umgesetzt werden um sicherzustellen:
- dass die beabsichtigten Ergebnisse erzielt werden können,
- die erwünschten Auswirkungen verstärkt werden,
- die unerwünschten Auswirkungen reduziert oder ausgeschlossen werden und
- Verbesserungen erreicht werden.
Diese Maßnahmen müssen nicht nur umgesetzt, sondern auch auf ihre Wirksamkeit hin bewertet werden.
Kleiner Praxistipp an dieser Stelle – die ISO 9001 fordert beim Thema der Managementbewertung ebenfalls, dass die Wirksamkeit von Maßnahmen in Bezug auf Chancen und Risiken als Eingabe in die Bewertung mit einfließen müssen. An dieser Stelle würde ich nix doppelt machen, sondern dieses Thema wenn möglich in der Managementbewertung und nicht an zwei Stellen behandeln.
Die Maßnahmen in Bezug auf Chancen und Risiken müssen proportional zu den Auswirkungen der Chancen und Risiken sein! Dies fordert die Norm ganz explizit und ich finde diese Aussage gerade in zwei Richtungen sehr interessant. Die eine Richtung ist die umsetzende Richtung – also der Verantwortliche im Unternehmen. Diesem wird hier aufgezeigt, dass er sich nicht um jede Chance oder jedes Risiko in epischer Länge kümmern muss. Die andere Richtung ist für mich in diesem Fall die prüfende Richtung – also dem Auditor. Dem wird an dieser Stelle ganz klar gesagt, dass er hier die Kirche im Dorf lassen muss und sich das Unternehmen nicht um jede Eventualität kümmern muss. Auch ich hatte natürlich schon Auditoren, die den Fall eines Flugzeugabsturzes auf das Firmengebäude gedanklich durchgespielt haben wollen – ein lockeres „Wir halten das proportional nicht für angemessen.“ reicht dann aber in der Regel aus. ;-)
Weil das Thema Chancen und Risiken ja noch sehr neu ist, gibt es in der ISO 9001 auch noch zwei relativ ausführliche Anmerkungen.
In Anmerkung eins werden Umgangsmöglichkeiten zu Risiken aufgezählt. Das wären zum Beispiel:
- Vermeidung von Risiken
- Inkaufnahme von Risiken um Chancen wahrzunehmen
- Beibehaltung des Risikos durch eine fundierte Entscheidung
- u.a.
In Anmerkung zwei werden Möglichkeiten von Chancen aufgezählt. Dies wären zum Beispiel:
- Erschließung neuer Märkte
- Aufbau von Partnerschaften
- Einführung neuer Techniken
- u.a.
An dieser Stelle könnte ich den Blogbeitrag auch schon beenden, denn das war es schon mit den Forderungen der Norm zu diesem Thema. All dies was nördlich dieser Zeile geschrieben steht, wird in der ISO 9001 gefordert – nicht mehr und nicht weniger. Alles was südlich dieser Zeile steht, sind jetzt Erläuterungen von mir, weil mir meine tägliche Arbeit zeigt, dass dieses Thema teilweise zu Unsicherheiten führt.
Erläuterungen im Anhang A.4 Risikobasiertes Denken
Im Anhang A.4 Risikobasiertes Denken erläutert die ISO 9001 nochmal ausführlich das Thema und ich möchte hier einfach mal 2 Zitate herausgreifen, um das Thema näher zu erläutern, bzw. andere Erläuterungen von mir (z.B. die ISO 9001 fordert KEIN Risikomanagement).
Zitat 1:
Obwohl in 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich.
Ich glaube dieses Zitat kann man dann mal einfach so stehen lassen als Beleg, dass sehr wohl der Ansatz des risikobasierten Denkens Einzug in die Norm gehalten hat und nicht das Risikomanagement. Aber hat der Ansatz des risikobasierten Denkens Einzug in die ISO 9001 gefunden? Ja, das hat er – allerdings schon wesentlich früher und nicht erst mit der 2015er Version.
Zitat 2:
Das Konzept des risikobasierten Denkens war bereits in den Vorgängerversionen dieser Internationalen Norm enthalten, z.B. durch die Anforderungen an die Planung, Überprüfung und Verbesserung.
Und eigentlich kann man es auch mit einem Wort formulieren – Vorbeugungsmaßnahmen. So hieß es noch in der 2008er Version, meinte aber nichts anderes. Ein Risiko (möglicher Fehler) wurde gefunden, die Ursache sollte ermittelt werden, Maßnahmen ergriffen….. Weiter muss ich wohl nicht schreiben, da die meisten die 2008er Version sicher gut genug kennen.
Vor einiger Zeit habe ich mal ein Gespräch mit einem Geschäftsführer zu dem Thema gehabt und ihm erklärt, dass die Ermittlung von Chancen und Risiken etc. inzwischen von der Norm gefordert werden. Er meinte dann ganz trocken sinngemäß zu mir – „Herr Thode, das ist schön, dass sich die Norm jetzt auch darum kümmert, aber ich mache seit Jahren nichts anderes. Ich komme morgens in Unternehmen und sehe Risiken und Chancen. Und dann treffe ich Entscheidungen und Maßnahmen, um die Risiken zu vermeiden und um die Chancen nutzen zu können. Das ist mein Job als Geschäftsführer.“ Da konnte ich ihm nicht widersprechen.
Ich persönlich habe die Erfahrung gemacht, dass sich bestimmte Themen nicht nur als Chance oder Risiko einschätzen lassen, sondern teilweise sogar beides sind. Vielfach steckt in einem Risiko auch eine Chance und umgekehrt.
Nun allerdings glaube ich, dass wir uns dem Thema lange genug auf theoretische Art und Weise genähert haben. Jetzt einfach mal zwei Praxisbeispiele. Diese sind mit Absicht so gewählt, dass diese eigentlich für jeden nachvollziehbar sein sollten und auch aufzeigen, dass das Thema Chancen und Risiken wirklich viel älter als die ISO 9001 ist.
Praxisbeispiele
Praxisbeispiel 1 – Jedes produzierendes Unternehmen hat ein großes Risiko. Und zwar, dass nicktkonforme Rohprodukte oder -materialien ins Unternehmen kommen. Da gibt es eine gute Maßnahmen dagegen und zwar die Wareneingangskontrolle, die von vielen Unternehmen durchgeführt wird. Sie haben ein Risiko gefunden, ein Maßnahme ermittelt und umgesetzt – jetzt müssen sie nur noch deren Wirksamkeit beurteilen und dann sind die Normforderungen erfüllt.
Praxisbeispiel 2 – Viele Unternehmen sichern ihre Daten und zwar momentan immer mehr in der Cloud. Doch warum? Ganz einfach um bei einem lokalen Datenverlust die eigenen Daten über die Sicherung wiederherstellen zu können. Also lag auch dieser Entscheidung bzw. Maßnahme ein Risiko zugrunde.
Praxistipp zur Ermittlung von Chancen und Risiken
Hier könnte ich jetzt meinen Standardtipp bringen, dass Sie dies mit den betroffenen Mitarbeitern tun sollten, weil dies die Ergebnisqualität steigert. Und der Tipp wäre auch an dieser Stelle nicht so verkehrt.
Wenn es aber um die Methodik geht, dann habe ich einen anderen Tipp, den ich von einem Kunden erhalten habe, der Anfangs damit Probleme hatte. Aber wenn man einfach mal auf das vergangene Jahr zurückschaut und mal schaut, was man am oder im Unternehmen verändert hat, dann ist der Grund dafür in der Regel eine Chance oder ein Risiko, welches man gesehen hat. Das war einem zum damaligen Zeitpunkt vielleicht nicht so abstrakt bewusst, aber im Rückblick und nach Lektüre dieses Blogbeitrages dann sicher schon eher. Und dieser Rückblick mach einen sicherlich sensibler für die Chancen und Risiken und die diesbezüglichen Maßnahmen in der Gegenwart.
Fazit
Chancen und Risiken bzw. das risikobasierte Denken ist zwar vom wording her neu in der ISO 9001, war allerdings auch schon früher sinngemäß enthalten. Die Anforderungen diesbezüglich haben sich auch nur leicht verändert. Und wenn man an das Thema ganz unverkrampft und mit gesundem Menschenverstand herangeht, dann sollte es auch kein großes Problem darstellen.
Vorlage Interessierte Parteien nach ISO 9001:2015 Vorlage Schulungsbewertung / Schulungsbeurteilung
Sehr geehrter Herr Thode,
danke für diesen erkenntnisreichen Beitrag zu Chancen und Risiken.
Wer etwas gut verstanden hat, kann es einfach und gut erklären.
Sie haben sich trotz hoher Fachkenntnis den gesunden Menschenverstand und den Humor erhalten, Gratulation ;-)
Beste Grüße aus dem Qualitäter-Team aus Bad Orb
Uwe Riegelmann
Sehr geehrter Herr Riegelmann,
vielen Dank für Ihren Kommentar und die sprichwörtlichen warmen Worte.
Ich wünsche Ihnen, Ihrer Familie und allen Kollegen besinnliche Weihnachtstage und einen guten Rutsch in ein gesundes, glückliches und erfolgreiches Jahr 2022.
Viele Grüße
Michael Thode
Sehr geehrter Herr Thode,
zu Risiken und Chancen ist bereits eine ganze Menge gesagt worden. Auf ihrer Seite und auch Anderen. Diese Informationen versuche ich nun (zu einem tatsächlichen Praxisproblem) mit den Aussagen der ISO 9001 in Übereinstimmung zu bekommen.
Nach einer hoffentlich recht guten theoretischen Ausbildung habe ich im Januar in meiner ersten Position als QMB gestartet. In dem Unternehmen, für das ich tätig bin, ist ein Risiko- und Chancenmanagement implementiert, in dem operative und strategische R+C behandelt werden. Soviel kurz zum Hintergrund.
Wenn ich die ISO 9001 richtig interpretiere ergeben sich die Risiken und Chancen aus den für das QMS relevanten Prozessen heraus, und sollten auch dort behandelt werden (definiertes Risiko–> Maßnahme–>Bewertung). Meine Erklärungskette dahinter:
4.4.1 Die Organisation muss die Prozesse bestimmen, die für das Qualitätsmanagementsystem benötigt werden, sowie deren Anwendung innerhalb der Organisation festlegen, und muss: … f) die in Übereinstimmung mit den Anforderungen nach 6.1 bestimmten Risiken und Chancen behandeln; … 6.1.2 Die Organisation muss planen: … b) wie 1) die Maßnahmen in die Qualitätsmanagementsystem-Prozesse der Organisation integriert und dort umgesetzt werden …
Auf der einen Seite stehen nun strategische R+C, die auch auf strategischer Ebene behandelt werden, und auf der anderen Seite R+C aus den jeweiligen QMS-Prozessen heraus, die auch innerhalb der Prozesse behandelt werden sollen.
In die Praxis übertragen: die Abteilungsleiter=Prozessverantwortliche melden strategische R+C aus der Abteilung heraus an das RCM. Im Prozess wird nichts zu R+C behandelt. Der neue QMB sagt, R+C sollen im jeweiligen Prozess behandelt werden und können, müssen aber nicht zwangsläufig strategische R+C sein. Deshalb R+C aus dem Prozess heraus behandeln und die wirklich wichtigen (strategischen) R+C übernehmen und an RCM weitergeben.
Vielleicht haben sie einen Tip für einen QMB-Frischling, wie ich mit der Situation umgehen kann?
Mit freundlichen Grüßen,
Ronald Franzke
Hallo Herr Franzke,
vielen Dank für Ihren Kommentar.
Es ist in der Regel schwierig, solch individuellen Fragen ohne genaueres Wissen über die Unternehmensgröße und -ausrichtung zu beantworten. Ich versuche es trotzdem:
Auch ich unterscheide immer in prozessuale und unternehmensweite (Sie nennen es strategische) Chancen und Risiken. Die unternehmensweiten (strategischen) Chancen und Risiken sehe ich in Ihrem Risike- und Chancenmanagement richtig aufgehoben. Und bei den prozessualen Chancen und Risiken sehe ich dann wirklich auch die Prozesseigner in der Verantwortung, diese im Prozess zu behandeln, also Chancen und Risiken zu sehen und im Prozess Maßnahmen zu implementieren, um die Chancen zu nutzen und die Risiken zu minimieren oder zu elimieren. Jetzt gehe ich aber davon aus, dass nicht jeder Prozesseigner die Kompetenzen hat, dies allein durchzuführen. Da würde ich dann empfehlen, dass es Unterstützung vom QMB oder den Mitarbeitern des Risiko- und Chancenmanagements gibt.
Ich hoffe Ihnen hiermit etwas weitergeholfen zu haben.
Viele Grüße
Michael Thode