Die Anforderungen an risikoorientiertes Denken gehören zu den wichtigsten Neuerungen der ISO 9001:2015 – und sind das wichtigste neue Konzept in Qualitätsmanagementsystemen der vergangenen 15 Jahre. Risiko ist nach der neuen Norm als „Auswirkung von Unsicherheiten“ definiert.
Risikoorientiertes Denken muss im oberen Management beginnen. Dies ergibt sich aus den neuen Anforderungen der ISO 9001:2015 (Punkt 5.1.2). Auf Unternehmensebene müssen die Risiken für Produkte und Serviceleistungen sowie Kundenzufriedenheit ermittelt und berücksichtigt werden. Nach Identifikation der Risiken auf Firmenebene muss eine Risikobewertung auf der jeweiligen Prozessebene durchgeführt werden. Risiken sind auch innerhalb des Rahmens zu berücksichtigen, in dem das Unternehmen tätig ist (Kontext des Unternehmens und Anforderungen der Entscheidungsträger).
Zwei verbreitete Modelle zur Durchführung von Risikobewertungen sind die Fehlermöglichkeits- und Einflussanalyse (FMEA) sowie die Risikomatrix. Der Vorteil dieser beiden Werkzeuge liegt darin, dass sie eine rigorose beziehungsweise sortierte quantitative Risikobewertung (mit Zahlen) ermöglichen. Zwar sind diese Werkzeuge sehr leistungsfähig und können sehr effektiv sein, für die Bewertung von Prozessen in einem kleineren Unternehmen sind sie möglicherweise jedoch nicht geeignet. Ein deutlich einfacheres Ergebnis kann durch die Diskussion zwischen erfahrenen Mitarbeitern auch ohne numerische Bewertung erreicht werden. Dieses Konzept der Risikobewertung ist qualitativ, weil es auf der Beobachtung und dem „Bauchgefühl“ der Prozessverantwortlichen basiert.
Um die Anforderungen nach ISO 9001:2015 Punkt 4.4 zu erfüllen, sollte ein Unternehmen mit den Hauptprozessen beginnen und Risiken und Chancen im Kontext berücksichtigen. Die Risiken werden dann für eine Maßnahme unter Berücksichtigung der Gefährdung für das Produkt, den Kunden und das Unternehmen ausgewählt. Das bevorzugte Verfahren zur Modellierung von Prozessen ist ein Ablaufdiagramm. Wenn die Risikobewertung das Erstellen von Ablaufdiagrammen vorsieht, kann ein beliebiges Format, etwa das Modell „Risk is the Compass“ für diese Aufgabe leicht angepasst werden. Die Risiken werden im Ablaufdiagramm einfach neben jedem Kästchen notiert.
Bei der Berücksichtigung der Prozessrisikoarten oder Risikokategorien kann es sinnvoll sein, diese Risiken in den Dimensionen eines einfachen Ursache-Wirkungs- Diagramms (Ishikawa) zur Berücksichtigung von Menschen, Maschinen, Materialien, Verfahren und Messungen zu verwenden.
In vielen Fällen entscheidet das Risikobewertungsteam, die Risiken nicht in dem Ablaufdiagramm selbst aufzulisten, sondern die Prozessrisiken stattdessen bei einem Brainstorming in einer Liste zu erfassen. Als Orientierung für das Brainstorming genügt eine einfache Tabelle. Im Tabellenkopf werden der Name des Prozesses, die internen und externen Kunden für den Prozess, die Entscheidungsträger oder „interessierten Parteien“ eingetragen. In der Tabelle kann dann der Name des Prozessschritts angegeben werden; und zwar aus dem Ablaufdiagramm für diesen Prozess. Es bleibt genügend Platz zur Erfassung der Risiken aus der Gruppe.
Die Risikotabelle lässt sich nach den gleichen 5M-Kategorien wie für das Fishbone-Diagramm aufschlüsseln. Die Risikokategorien können beliebige, vom Team gewünschte Kategorien sein. In einem Produktionsprozess können dies beispielsweise Risikokategorien wie „Teile-inspektion“, „Berichte und Papierunterlagen“, „Rohstoffe“ oder „Verpackung/Etikettierung“ sein.
Wie nach Klausel 9.3.1 in ISO 9001:2015 gefordert, wird die Effektivität der Maßnahmen, die nach Risikoanalysen ergriffen werden, vom leitenden Management geprüft. Nach Abschluss der Bewertungen können daher ein oder zwei weitere Schritte erfolgen. Als erster Schritt könnte eine Liste der vorgeschlagenen Prozessverbesserungsmaßnahmen für die Prüfung durch das Management erstellt werden. Nach deren Diskussion und Bestätigung werden die Maßnahmen durchgeführt.
Als zweiter Schritt würden dann die Ergebnisse der Maßnahmen dem Management zur Prüfung übergeben. Die zweite Maßnahme für die Gruppe könnte eine autonome Durchführung der Maßnahmen zur Verbesserung der Prozesse sein (wenn die Gruppe über ausreichende Vollmachten und Entscheidungsmöglichkeiten verfügt), sodass sie dann dem Management lediglich die Ergebnisse zur Prüfung meldet.
Das Protokoll der Managementprüfung belegt dann die Prüfung dieser Verbesserungsmaßnahmen und die nach diesen Maßnahmen erforderlichen Nachkontrollen. Mit dieser Bestimmung des Standards lässt sich sehr effektiv sicherstellen, dass die Risikobewertungen jedes Prozessverantwortlichen ordnungsgemäß durchgeführt wurden.
Reicht der Kontrollgrad aus oder werden zusätzliche Kontrollen und Eventualpläne benötigt?
Risiko ist nach den Definitionen der Standards ISO 9000 und ISO 31000 ein sehr einfaches Konzept. Unternehmen können ein funktionsübergreifendes Team zur Risikobewertung auf Firmenebene und Prozessebene zusammenstellen. Ziel der Risikobewertung ist ein Vergleich der Prozessrisiken mit den aktuellen Prozesskontrollen, um zu ermitteln, ob der Kontrollgrad ausreicht oder ob zusätzliche Kontrollen und Eventualpläne benötigt werden. Praktiker können mit einem Ablaufdiagramm starten und die Risiken und Kontrollen („Enabler“) sowie jeden Schritt des Prozesses auflisten.
Wenn ein Ablaufdiagramm nicht verfügbar oder nicht gewünscht ist, kann stattdessen eine einfache Risikotabelle mit den Risikokategorien des Fishbone-Diagramms als Grundlage für ein Brainstorming verwendet werden. Bei dieser qualitativen Risikobewertung ist es nicht notwendig, Punkte oder Zahlenwerte zu vergeben, wie es bei einer FMEA oder Risikomatrix erforderlich wäre. Nach Durchführung der Verbesserungsmaßnahmen werden die Ergebnisse dieser Verbesserungen bei einer entsprechenden Managementprüfung kontrolliert. ■
Der Autor
Denis J. Devos
Fellow
American Society for Quality (ASQ)
Teilen:
