Unternehmen unterschiedlichster Branchen bereiten sich aktuell auf die neuen Anforderungen der neuen ISO 9001 vor. Schon jetzt zeichnet sich ab: Vor allem der Bereich Risikomanagement wird stärker in den Fokus rücken.
Veränderungen, Innovationen und schnelle Entwicklungszyklen sind in vielen Organisationen heute an der Tagesordnung. Insbesondere Änderungen ziehen oftmals Risiken nach sich, die sich auf die Leistungsfähigkeit eines Unternehmens auswirken können. Deshalb wird die neue ISO 9001:2015 den Bereich Risikomanagement in Organisationen deutlicher fokussieren als bisher. Das bedeutet: Risikomanagement sowie das dauerhafte Monitoring und die aktive Steuerung von Risiken werden verpflichtend. Das maßgebliche Ziel ist, in der Organisation die Sensibilität für Risiken, die sich auf die Produkt- und Dienstleistungsqualität sowie auf die Kunden auswirken können, zu steigern und Unternehmen dazu anzuhalten, diese Risiken angemessen und aktiv zu managen.
Der Bereich Risikomanagement unterscheidet grob vier zentrale Bereiche: Risikoidentifikation, Risikobewertung, Risikobewältigung und Risikokontrolle. Zunächst ist das Unternehmen gefordert, sich überhaupt mit seinen Risiken zu befassen und diese zu identifizieren (Risikoidentifikation). Das klingt zunächst einfach, ist aber nicht selbstverständlich. In einer Studie fand TÜV Rheinland heraus, dass rund 30 % aller befragten Unternehmen gar keine Risikosteuerung vornehmen. Das bedeutet, diese Organisationen haben sich höchstwahrscheinlich noch nie Fragen wie den folgenden gestellt: Was ist für uns ein Risiko? Welche Werte müssen wir schützen? Wo befinden sich diese Werte? In den Köpfen der Mitarbeiter, in den Prozessen, in der Technik? Mit welchen Bedrohungen könnten wir konfrontiert werden und wie gehen wir damit um?
Ein konkretes Beispiel: Ein Unternehmen mit Standort in Südeuropa, dessen Produktionsprozess wasserabhängig ist, müsste sich Gedanken darüber machen, wie es dem Risiko einer Dürre begegnet und welche Vorkehrungen es für diesen Fall treffen will. So könnte es beispielsweise ein Wasser-Reservoir anlegen, um die Produktion auch in Zeiten einer Dürre aufrechtzuerhalten.
Da jeder Geschäftszweck mit anderen Risiken behaftet ist, die noch dazu standortabhängig differieren können, macht die ISO 9001:2015 auch keine Vorgaben zu konkreten Risiken oder der Anzahl der zu identifizierenden Risiken. Je nach Geschäftszweck gibt es unzählige potenzielle Risiken. Wesentlich ist aber die Frage: Welche Risiken sind wahrscheinlich und welche sind noch dazu gravierend?
Risiken akzeptieren, vermindern oder vermeiden?
Sind die Risiken auf allen Ebenen des Unternehmens – von der Produktion über Personal bis zur IT – erfasst, gilt es, sie mit Blick auf den Unternehmenszweck auf ihre Relevanz hin zu analysieren. Denn nicht jedes Risiko gefährdet das Unternehmen im gleichen Maße, deshalb ist eine Bewertung und Priorisierung absolut sinnvoll und wichtig.
Für die Bewältigung sieht das Risikomanagement verschiedene Optionen vor. Unternehmen können Risiken in Kauf nehmen, sofern sich dies im Rahmen einer Kosten-Nutzenrechnung als sinnvoll darstellt, weil es sich zum Beispiel um ein perspektivisch wichtiges Geschäftsfeld handelt. Es kann Risiken vermeiden, indem es beispielsweise einen Geschäftszweig aufgibt oder es definiert Maßnahmen, um die Auswirkungen eines Risikos gering zu halten, indem zum Beispiel das Produkt bestimmte Schritte der Qualitätssicherung und Produktprüfung durchläuft. Die Risikoakzeptanz ist für das Unternehmen dann erreicht, wenn das Risiko unter den gegebenen wirtschaftlichen Rahmenbedingungen und unter Beachtung eventueller Restrisiken als vertretbar bewertet wird.
Es werden angemessene, das heißt entsprechend wirtschaftlich sinnvolle Maßnahmen definiert und umgesetzt. Diese sollen relevante Risiken mindern oder ganz ausschalten, um die gewünschte Qualität zu erzielen, unerwünschte Effekte zu verhindern oder zu reduzieren und eine kontinuierliche Verbesserung zu erreichen. Die Maßnahmen müssen geplant und in die Prozesse des Qualitätsmanagements integriert werden. Darüber hinaus ist die Effektivität dieser Aktionen abzuschätzen. Die Maßnahmen sind regelmäßig auf ihre Wirksamkeit hin zu prüfen und gegebenenfalls einer dynamischen Wirklichkeit entsprechend anzupassen (Risikokontrolle).
Die Norm gibt nicht vor, welche Methoden für das Risikomanagement einzusetzen sind. In der Produktion sind häufig Methoden wie etwa HACCP (Hazard Analysis and Critical Control Points) im Einsatz, wie sie die Lebensmittelindustrie praktiziert. Aber auch andere Methoden wie FMEA (Fehlermöglichkeits- und Einflussanalyse), das Ishikawa-Diagramm, die 5-Why-Methode oder ein Brainstorming sind denkbar.
Das Risikomanagement ist mindestens in qualitativer Hinsicht zu betreiben. Unternehmen haben durchschnittlich 15 bis 25 Prozesse in der Prozesslandkarte abgebildet. Ein Auditor, der diese Prozesse mit Blick auf die Anforderungen im Risikomanagement prüft, stellt Fragen wie: Wo sind Risiken in den jeweiligen Prozessen? Welches sind die identifizierten Risiken? Auf welcher Basis wurden diese Risiken ermittelt? Wie werden diese Risiken behandelt? ■
Teilen:
