Prozessorientiertes Risikomanagement – schaffen Sie neue Denkmuster und erfüllen Sie die Anforderungen der ISO 9001 – ISO 9001 Serie Teil 2

Das Qualitätsmanagement und dessen strategische Ausrichtung hat sich in den letzten Jahrzehnten stark gewandelt. Beschäftigt man sich allerdings mit Managementsystemen, die nach den Vorgaben der ISO 9001:2008 aufgebaut wurden, ist festzustellen, dass der Aspekt der Vorbeugung nicht wirklich gelebt wurde. Korrekturmaßnahmen sollen das wiederholte Auftreten eines Fehlers verhindern. Dies haben die meisten Unternehmen verstanden und wirksam umgesetzt. Vorbeugungsmaßnahmen sollen dagegen das erstmalige Auftreten eines Fehlers verhindern. Der Bogen, den die Norm ISO 9001 hier gespannt hat, ist vielen Organisationen zu weit und damit zu abstrakt. Dies zeigt sich in vielen Audits, wenn die Frage gestellt wird: „Welche Vorbeugungsmaßnahmen haben Sie seit dem letzten Audit getroffen?“ Mit der neuen ISO 9001 : 2015 wird dieser Aspekt viel klarer, da sich Vorbeugung nun als „Maßnahmen zur Behandlung von Risiken“ versteht. Dass ein Unternehmen gewissen Risiken im Rahmen eines prozessorientiertes Risikomanagement vorbeugen muss, ist einfach einleuchtender, als Fehler zu verhindern, welche noch nie aufgetreten sind.

Unsere ISO 9001 Serie zu den strukturellen und normativen Änderungen:

 ‏              ‏ Lesen Sie auch:
‏ ‏              ‏ ISO 9001 Serie mit Tipps und Tricks zur praktischen Umsetzung 

Unser Tipp
Ausbildung: In der Ausbildung Basiswissen Qualitätsmanagement ISO 9001 erlangen Sie fundierte Kenntnisse über die ISO 9001 und lernen, wie Sie deren Anforderungen in Ihrem Qualitätsmanagementsystem umsetzen.

E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Sparen Sie Zeit und lernen Sie in Ihrem optimalen Tempo. Werfen Sie hier direkt einen Blick in den kostenlosen Demokurs!

Prozessorientiertes Risikomanagement – die Idee der DIN EN ISO 9001 : 2015

Jede unternehmerische Entscheidung und Handlung ist mit Risiken verbunden. Werden Risiken mit einer „Risikolandkarte“ dargestellt, lassen sich diese in typische Risikofelder gliedern, wie zum Beispiel

• wirtschaftliche Risiken,
• technische Risiken (Produktsicherheit, Arbeitssicherheit, Brandschutz, Betriebsunterbrechung, Versorgung/Entsorgung, …),
• Umweltrisiken,
• Risiken des Datenschutzes (IT),
• personelle Risiken,
• uvm.

Eine detaillierte Betrachtung und Handhabung der Risiken soll das Eintreten von Risiken und ggf. damit verbundenen Krisen vermeiden. Dieses Risikomanagement umfasst die vorbeugende systematische Auseinandersetzung mit den einzelnen Risiken eines Unternehmens und davon abgeleitete kontinuierliche Verbesserungsaktivitäten. Im Gegensatz zur isolierten Betrachtung der einzelnen Risiken fordert die ISO 9001 : 2015 eine Berücksichtigung der Wechselwirkungen zwischen den Risiken.

Risiken in Chancen verwandeln – die Devise der ISO 9001 : 2015

Häufig wird nicht bedacht, dass Risiken durchaus Positives bewirken können. Hinter allen Strategien, Handlungen und resultierenden Erfolgen stecken fast immer Chancen und gleichzeitig Bedrohungen, wenn auch in durchaus unterschiedlicher Ausprägung. Chance und Bedrohung definieren zusammen das Risiko. Erfolge resultieren aus der Nutzung von Chancen und dem planvollen Umgang mit Gefahren. Werden Bedrohungen nicht beachtet, können Erfolge zunichte gemacht oder geschmälert werden. Eine Abgrenzung der Begriffe Bedrohung und Chance kann wie folgt vorgenommen werden:

Bedrohung: Potenzieller Umstand eines Risikos, der zu einer ungünstigen Entwicklung führen kann.
Chance: Potenzieller Umstand eines Risikos, der zu einer positiven Entwicklung führen kann.

Unter der Berücksichtigung dieser Zusammenhänge versteht die DIN EN ISO 9001 : 2015 risikobasiertes Denken mit der Betrachtung von und dem Umgang mit Risiken und daraus resultierender Chancen als eine Vorbeugung gegen das Eintreten unerwünschter Ereignisse. Deshalb findet sich in der neuen ISO 9001 : 2015 der Abschnitt 8.5.3 Vorbeugungsmaßnahmen der DIN EN ISO 9001:2008 nicht mehr. Die folgende Tabelle gibt einen schnellen Überblick über die expliziten Forderungen der ISO 9001 : 2015 für ein prozessorientiertes Risikomanagement und die Handhabung von Risiken und Chancen. Mit diesen Hinweisen wird wesentlich klarer, an welchen Stellen vorbeugende Aktivitäten gefordert bzw. notwendig sind.

Bei der Planung und Festlegung, wie ausgeprägt prozessorientiertes Risikomanagement in der Organisation betrieben werden sollte, gibt die ISO 9001 : 2015 vor, sich am Kontext (Umfeld) der Organisation auszurichten. Abhängig von der Kritikalität, die sich aus den internen und externen Faktoren ergibt, kann der „Ball“ im Risikomanagement „flach gespielt werden“ oder die Einführung eines Risikomanagementsystems im Sinne der ISO 31000 „Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements“ kann geboten sein. Achtung: Von der ISO 9001 wird die Einführung der ISO 31000 jedoch „per se“ nicht gefordert!

Unser Tipp
Gratis Vorlage: Mit der kostenlosen Vorlage Stellenbeschreibung QMB ISO 9001 definieren Sie die Aufgaben und Verantwortlichkeiten des Qualitätsmanagementbeauftragten für Ihr Unternehmen.

Risikomanagement und die enge Verknüpfung mit Prozessen

Das Ziel eines Prozessmanagements ist die für das Unternehmen beherrschte Bereitstellung von Produkten und Dienstleistungen, um die Anforderungen der Kunden und weiteren interessierten Parteien zu erfüllen. Für die Steuerung der Prozesse und des gesamten Systems verweist die Norm auf das Denkmuster des PDCA-Zyklus mit dessen Hauptaugenmerk auf das risikobasierte Denken. Um ein prozessorientiertes Risikomanagement bestmöglich umzusetzen, sind bereits beim erstmaligen Prozessdesign Maßnahmen zur Handhabung von Risiken in die Prozessgestaltung zu integrieren, indem zum Beispiel Kontrollen bzw. Kontrollaufgaben direkt bei der Prozessgestaltung zugewiesen werden. In der Infobox unten finden Sie die explizit genannten Anforderungen der DIN EN ISO 9001 : 2015 zur Organisation des Prozessmanagements. Die unterstrichenen Aufzählungen verdeutlichen den Bezug zum Umgang mit Risiken und Chancen.

Unser Tipp
Ausbildung: Lernen Sie mit der Ausbildung Qualitätsmanagementbeauftragter ISO 9001 die Rolle des Qualitätsmanagementbeauftragten kennen und erfahren Sie wie Sie diesen Anforderungen gerecht werden.

So können Sie ein prozessorientiertes Risikomanagement gemäß ISO 9001 : 2015 pragmatisch gestalten

Der prozessorientierte Ansatz ist also über das Denkmodell „Plan – Do – Check – Act“ mit dem risikobasierten Ansatz verknüpft:

Risikoidentifikation
ISO 9001 : 2015 legt als ersten Schritt für ein prozessorientiertes Risikomanagement die Kenntnis über die Risiken fest, d. h. Identifikation. Dies erfordert eine systematische Erhebung der Risiken, die auf die Prozesse bzw. in Summe auf das ganze QM-System einwirken. Aufgrund der sich ständig ändernden Situation ist die Risikoidentifikation eine kontinuierliche Aufgabe, die in die Prozessabläufe integriert werden muss. Die Ermittlung der Risiken kann durch unterschiedliche Methoden erfolgen:

• analytische Methoden, wie z.B. FMEA, FTA, Fragenkataloge,
• Kollektionsmethoden, wie z.B. Checklisten, Expertenbefragung, Datenbankauswertungen,
• Kreativitätsmethoden, wie z.B. Brainstorming, Synektik, Delphi-Methode.

Damit die Risiken in einem dauerhaften Prozess gewonnen werden, sind die Verantwortlichkeiten eindeutig festzulegen.

Risikobewertung
Prozessorientiertes Risikomanagement nennt die Aufgabe einer Risikobewertung, die in der vorausgegangenen Phase der Risikoidentifikation entdeckten Risiken daraufhin zu beurteilen, inwieweit Handlungsbedarf gegeben ist. Der Handlungsbedarf hängt im Wesentlichen davon ab, wie hoch der Erwartungswert eines Risikos ist. Der Erwartungswert eines Risikos ergibt sich aus dem Produkt der Eintrittswahrscheinlichkeit x Schadensausprägung des Risikos. Nicht jedes Risiko lässt sich genau quantifizieren. In manchen Fällen können die möglichen Auswirkungen nur geschätzt werden. Die Bewertungsverfahren sollten deshalb pragmatisch ausgewählt werden.

Risikosteuerung
Nachdem ein Risiko identifiziert und mit dem Ergebnis „Handlungsbedarf gegeben“ bewertet wurde, stellt sich die Frage nach dem Umgang mit dem Risiko. Folgende Strategien zur Risikosteuerung sind zu nennen:

• Vermeiden des Risikos,
• Vermindern des Risikos,
• Begrenzen der Auswirkungen,
• Überwälzen auf eine Versicherung.

Sind diese Optionen nicht realisierbar, muss das Risiko bewusst übernommen werden. Die Strategien Vermeidung, Verminderung und Begrenzung gehören zur akti ven Seite der Risikosteuerung. Überwälzen und Übernahme gehören zur passiven Seite.

Risikoüberwachung
Im Rahmen dieses Schrittes ist zu überwachen, ob die aktuelle Risikolage mit der angestrebten Risikosituation übereinstimmt. Überprüft werden dabei sowohl die Risiken der operativen als auch der strategischen Prozesse. An diesem Punkt sollte die vom Kontext der Organisation abhängige Risikostrategie dahingehend überprüft werden, ob die definierten Maßnahmen und Zielvorgaben angemessen und wirksam sind. Die Risikoüberwachung stellt somit den letzten Schritt für ein prozessorientiertes Risikomanagement dar und dient gleichzeitig als Ausgangspunkt, um den kompletten Zyklus kontinuierlich zu durchlaufen.

Ich wünsche Ihnen viel Erfolg und Gelingen bei der Umsetzung.
Reinhold Kaim

Gerne teilen wir unser Wissen mit Ihnen, bitte beachten Sie dennoch, dass die Inhalte der Blogbeiträge urheberrechtlich geschützt sind.

Durch die Publizierung der Blogbeiträge sind Sie daher nicht berechtigt, diese zu verkaufen, zu lizenzieren, zu vermieten oder anderweitig für einen Gegenwert zu übertragen oder zu nutzen. Sie sind weiterhin nicht berechtigt, die Inhalte der Blogbeiträge in eigenständigen Produkten, welche nur die Inhalte der Blogbeiträge selbst beinhalten oder als Teil eines anderen Produkts zu vertreiben. Weiterhin dürfen Inhalte dieses Blogs auch auszugsweise nur mit schriftlicher Genehmigung des Herausgebers verwendet werden.
Besten Dank für Ihr Verständnis.