Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Was sind Risiken und Chancen

Was sind Risiken und Chancen

Was sind Risiken und Chancen - ISO 9001 | SMCT-MANAGEMENT
Was sind Risiken und Chancen – ISO 9001 | SMCT-MANAGEMENT

Risiken & Chancen in der ISO 9001

Zuordnung & Bewertung

Risiken lassen sich direkt den Prozessen zuordnen, z. B. über einen Prozesssteckbrief oder ein Turtle-Diagramm. Mit einer Risikomatrix können sie anhand von Kriterien wie Schadensausmaß und Eintrittswahrscheinlichkeit bewertet werden.

Überwachung & Maßnahmen

Unternehmen sollten identifizierte Risiken regelmäßig – etwa viertel- oder halbjährlich – überprüfen. So wird sichergestellt, dass Maßnahmen greifen und neue Entwicklungen erfasst werden.

Ziele der Maßnahmen
  • Beabsichtigte Ergebnisse erzielen
  • Erwünschte Auswirkungen verstärken
  • Unerwünschte Auswirkungen vermeiden oder minimieren
  • Verbesserungen erreichen
Integration ins QM-System

Maßnahmen sollten fest in die bestehenden Prozesse des Qualitätsmanagementsystems eingebettet sein. Dazu gehört auch die Bewertung ihrer Wirksamkeit im Rahmen des kontinuierlichen Verbesserungsprozesses (KVP).

Prozessbeschreibung Prozessmanagement | SMCT MANAGEMENT
Prozessbeschreibung Prozessmanagement | SMCT MANAGEMENT

Bewertung von Risiken

Die Bewertung der Risiken und Chancen erfolgt beispielsweise über eine Risikobewertung anhand von Schadensausmaß und Eintrittswahrscheinlichkeit.

Haben Risiken ein hohes Schadensausmaß, aber eine geringe Eintrittswahrscheinlichkeit, muss nicht zwangsläufig eine Maßnahme definiert werden.

Letztlich liegt es an der obersten Leitung, zu entscheiden, wann ein Risiko mit einer Maßnahme unterstützt werden muss. Oft handelt es sich um eine strategische Entscheidung: Können Sie mit dem Risiko leben – oder soll eine Maßnahme eingeleitet werden?

Risikobewertung ISO 9001 – SMCT MANAGEMENT

Beispiel Risikobewertung ISO 9001

Eine Risikobewertungsmatrix ist ein hilfreiches Werkzeug, um die Risiken zu identifizieren und zu bewerten, die im Zusammenhang mit Ihrem Qualitätsmanagementsystem gemäß ISO 9001 stehen. Hier ist ein Beispiel für eine Risikobewertungsmatrix für kleine Unternehmen:

RisikoWahrscheinlichkeitAuswirkungRisikobewertungVerant.:Maßnahmen zur Risikominderung
Qualitätsmängel bei Produkten MittelHochHochProduktionProzesskontrollen, Mitarbeiterschulungen, Qualitätsprüfungen
Lieferverzögerungen NiedrigMittelMittelEinkaufLieferantenbewertung, Sicherheitsbestände, alternative Lieferanten
Nichtkonformitäten bei Audits MittelMittelMittelQMInterne Audits, Korrekturmaßnahmen, Prozessoptimierung
Gesetzesänderungen NiedrigHochMittelCompliance, GFRegelmäßige Überprüfung von Gesetzen und Vorschriften, Anpassung der Prozesse
Verlust von Schlüsselkunden NiedrigHochMittelVertriebKundenbeziehungsmanagement, Diversifizierung des Kundenstamms
IT-Ausfall NiedrigHochMittelITIT-Sicherheitsmaßnahmen, Datensicherung, Notfallpläne

Anleitung zur Verwendung der Risikomatrix

Mit dieser Matrix können Sie Risiken im Qualitätsmanagementsystem gemäß ISO 9001 strukturiert identifizieren, bewerten und überwachen. Die Schritte sind wie folgt:

1. Risiko Identifizieren Sie die verschiedenen Risiken, die Ihr Qualitätsmanagementsystem beeinflussen können.
2. Wahrscheinlichkeit Schätzen Sie die Eintrittswahrscheinlichkeit jedes Risikos ein (z. B. hoch, mittel, niedrig).
3. Auswirkung Bewerten Sie die Auswirkungen jedes Risikos auf Ihr Unternehmen und sein QM-System (z. B. hoch, mittel, niedrig).
4. Risikobewertung Kombinieren Sie Wahrscheinlichkeit und Auswirkung, um die Risikobewertung zu bestimmen. Häufig wird hierfür eine Skala (z. B. 1–5) genutzt und multipliziert.
5. Verantwortlicher Weisen Sie einem Mitarbeiter oder einer Abteilung die Verantwortung für Überwachung und Maßnahmen zu.
6. Maßnahmen zur Risikominderung Entwickeln Sie Strategien und Maßnahmen, um Eintrittswahrscheinlichkeit oder Auswirkungen zu reduzieren.
7. Regelmäßige Aktualisierung Aktualisieren und überprüfen Sie die Risikomatrix regelmäßig, um auf Veränderungen im Geschäftsumfeld, bei Stakeholder-Anforderungen oder gesetzlichen Vorgaben zu reagieren.
Verbesserung Produkte Prozesse Qualitätsmanagementsystem
Verbesserung Produkte Prozesse Qualitätsmanagementsystem

Prioritäten setzen

Setzen Sie Prioritäten! Nicht jedes Risiko muss detailliert bewertet werden. Besonders kritisch sind heute Datenschutzverstöße, die bei Nichtbeachtung zu hohen Bußgeldern führen können.

Beispiele für relevante Risiken:

  • Cyber- und Hackerangriffe
  • Produktionsausfälle durch veralteten Maschinenpark
  • Produkthaftungsrisiken
  • Prozessrisiken, wenn Qualitätsziele nicht erreicht werden

Abstrakte Risiken wie Flugzeugabstürze oder Erdbeben gehören nur in die Bewertung, wenn Ihr Standort tatsächlich betroffen ist.

Vorbeugemaßnahmen & Risikobasiertes Denken

In der alten ISO 9001:2008 hieß es „Vorbeugemaßnahmen“. Auch die aktuelle Norm betrachtet Risiken implizit – viele Forderungen zielen darauf, Fehler zu vermeiden.

Seit der Revision 2015 ist das risikobasierte Denken fest verankert:

  • Analyse externer und interner Probleme
  • Berücksichtigung der strategischen Ausrichtung
  • Einbindung interessierter Parteien
  • Bewertung aller relevanten Prozesse

Auditoren prüfen das risikobasierte Denken nicht isoliert, sondern durch alle QMS-Aktivitäten – bis hin zur Befragung des Top-Managements.

Neue Revision ISO 9001:2015

In der neuen Revision der ISO Norm 2015 wurden die Anforderungen detaillierter beschrieben. Jeder Geschäftsführer befasst sich mit den Risiken und Chancen, ohne überhaupt diese Normforderung zu kennen. Der Vorteil dieser Forderung: auch die Führungskräfte beschäftigen sich aktiv damit – nicht nur die Geschäftsführung im stillen Kämmerlein.

Bedarf & dokumentierte Informationen

Der Bedarf einer Organisation an und der Umfang und Art der dokumentierten Informationen variieren stark aufgrund des Kontextes der Organisation, ihrer Größe, Kultur, Art der Produkte und Dienstleistungen, der geltenden gesetzlichen und behördlichen Anforderungen oder der Kundenanforderungen hinsichtlich der Risiken.

Objektive Beweise können u. a. sein:

  • SWOT-Analyse
  • Berichte über Kundenfeedback
  • Brainstorming-Aktivitäten
  • Mitbewerberanalyse
  • Planungs-, Analyse- und Bewertungsaktivitäten (Strategie, Entwicklung, Marketing, Produktion …)
  • Management Review
  • Aufzeichnungen zur Risikobestimmung oder -bewertung

Risiko basiertes Denken

Das Konzept der Berücksichtigung von Risiken war immer stillschweigend in der ISO 9001 enthalten, wird nun aber in der Revision 2015 explizit verankert und ins gesamte Managementsystem einbezogen.

  • Risiko basiertes Denken ist Bestandteil des Prozessansatzes
  • Vorbeugemaßnahmen werden zur Routine
  • Risiken sollen auch Chancen sichtbar machen
  • Fokus: Vertrauen schaffen, Forderungen erfüllen, Kundenzufriedenheit steigern

Zusammenfassung

Die Forderungen der ISO 9001 bzgl. Risiken und Chancen lassen sich mit gesundem Menschenverstand und etwas Brainstorming einfach darstellen. Wichtig sind die Bewertungskriterien und der Zeitpunkt, wann eine Maßnahme definiert wird – das ist eine strategische Entscheidung.

Vergessen Sie nicht: Maßnahmen und Bewertungen müssen in der Managementbewertung überprüft werden. Dokumentation und Review sind Teil der jährlichen Überwachung.

FAQ – Risiken & Chancen in der ISO 9001

1Was bedeutet „Risiken und Chancen“ in der ISO 9001?
Seit der Revision 2015 fordert die ISO 9001, dass Organisationen Risiken und Chancen identifizieren, bewerten und geeignete Maßnahmen ergreifen. Ziel ist nicht ein vollständiges Risikomanagement, sondern ein praxisnaher Ansatz zur Schadensbegrenzung und Nutzung von Chancen.
2Fordert ISO 9001 ein Risikomanagement-System?
Nein. Die Norm verlangt kein separates Risikomanagement-System, sondern dass Risiken und Chancen in die Prozesse integriert und bei Planung und Steuerung berücksichtigt werden.
3Wie lassen sich Risiken im Unternehmen identifizieren?
Typische Methoden sind SWOT-Analysen, Brainstorming, Mitbewerberanalysen, Kundenfeedback, interne Audits sowie Management Reviews. Auch Prozess-Turtles und Risikomatrizen sind gängige Hilfsmittel.
4Wie werden Risiken bewertet?
Meist mit einer Risikomatrix anhand von Schadensausmaß und Eintrittswahrscheinlichkeit (niedrig, mittel, hoch). So lassen sich Prioritäten setzen, welche Risiken Maßnahmen erfordern und welche akzeptiert werden können.
5Müssen auch Chancen dokumentiert werden?
Ja. Chancen sind die positive Seite des Risikobegriffs. Beispiele: neue Märkte, effizientere Prozesse, gesteigerte Kundenzufriedenheit. Sie sollten dokumentiert und in die Managementbewertung einbezogen werden.
6Welche Rolle spielt das Top-Management?
Führungskräfte müssen Risiken und Chancen aktiv in die Strategie einbinden, Ressourcen bereitstellen und sicherstellen, dass die Maßnahmen in Prozessen und Zielen berücksichtigt werden. Damit wird risikobasiertes Denken Teil der Unternehmensstrategie.
7Wie oft müssen Risiken überprüft werden?
Risiken und Chancen sind regelmäßig zu überprüfen – etwa quartalsweise oder halbjährlich. Spätestens im Rahmen des jährlichen Management Reviews muss die Aktualität bewertet werden.
8Welche Nachweise erwartet ein Auditor?
Auditoren suchen nach objektiven Nachweisen wie Risikomatrizen, Maßnahmenplänen, Prozesssteckbriefen oder Auditberichten. Auch Gesprächsnachweise, Schulungsunterlagen oder Managemententscheidungen können Belege sein.
9Gibt es Vorgaben zur Dokumentation?
Die Norm schreibt keine feste Form vor. Ob Matrix, Liste oder Softwaretool – entscheidend ist, dass die Bewertung nachvollziehbar ist und Maßnahmen dokumentiert werden.
10Warum ist risikobasiertes Denken so wichtig?
Es stärkt die Fähigkeit der Organisation, geplante Ergebnisse zu erreichen, unerwünschte Auswirkungen zu verhindern und Chancen für Verbesserungen zu nutzen. Damit ist es ein zentrales Element für ein wirksames und zukunftsfähiges Qualitätsmanagementsystem.
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel