Risiken und Chancen
Was sind Risiken und Chancen in der ISO 9001? Die Risiken und Chancen sind seit der Ausgabe 2015 der ISO Norm 9001 eine durch aus sinnvolle Forderung. Das wichtigste ist, dass die ISO 9001 kein Risikomanagement fordert, sondern das sich die Unternehmen mit den Risiken und den daraus ergebenen Chancen befasst. Nicht mehr und nicht weniger.
Was bedeutet das jetzt für Unternehmen? Jedes Unternehmen hat sich bewusst oder unbewusst schon immer mit den Risiken auseinandergesetzt. Vielleicht wurden diese nicht immer dokumentiert und Maßnahmen waren eher Kopfsache. Jetzt fordert die ISO 9001 dass sie sich damit befassen und Maßnahmen zur Schadensbegrenzung dokumentieren. Ich empfehle die Risiken mit einem Schadensausmaß und einer Eintrittswahrscheinlich zu bewerten.
Risiken und Chancen ISO 9001
Die Risiken lassen sich wunderbar in einem Prozess Turtle oder Prozesssteckbrief den jeweiligen Prozessen zuordnen. Mit Verweis auf eine Matrix Risikobewertung können sie dann dort die Risiken nach bestimmten Kriterien bewerten und Maßnahmen definieren. Die Überwachung dieser Risken können sie viertel- oder halbjährlich vornehmen.
Bewertung von Risiken
Die Bewertung der Risiken und Chancen erfolgt beispielsweise über eine Risikobewertung anhand Schadensausmaß und Eintrittswahrscheinlichkeit. Haben sie eine hohes Schadensausmaß und eine geringe Eintrittswahrscheinlichkeit muss nicht zwangsläufig eine Maßnahme definiert werden. Überhaupt liegt es an der obersten Leitung, wann ein Risiko mit einer Maßnahme unterstützt werden muss. Letztendlich ist es eine strategische Entscheidung ob sie mit den Risiko leben können.
Beispiel Risikobewertung ISO 9001
Eine Risikobewertungsmatrix ist ein hilfreiches Werkzeug, um die Risiken zu identifizieren und zu bewerten, die im Zusammenhang mit Ihrem Qualitätsmanagementsystem gemäß ISO 9001 stehen. Hier ist ein Beispiel für eine Risikobewertungsmatrix für kleine Unternehmen:
Risiko | Wahrscheinlichkeit | Auswirkung | Risikobewertung | Verant.: | Maßnahmen zur Risikominderung |
---|---|---|---|---|---|
Qualitätsmängel bei Produkten | Mittel | Hoch | Hoch | Produktion | Prozesskontrollen, Mitarbeiterschulungen, Qualitätsprüfungen |
Lieferverzögerungen | Niedrig | Mittel | Mittel | Einkauf | Lieferantenbewertung, Sicherheitsbestände, alternative Lieferanten |
Nichtkonformitäten bei Audits | Mittel | Mittel | Mittel | QM | Interne Audits, Korrekturmaßnahmen, Prozessoptimierung |
Gesetzesänderungen | Niedrig | Hoch | Mittel | Compliance, GF | Regelmäßige Überprüfung von Gesetzen und Vorschriften, Anpassung der Prozesse |
Verlust von Schlüsselkunden | Niedrig | Hoch | Mittel | Vertrieb | Kundenbeziehungsmanagement, Diversifizierung des Kundenstamms |
IT-Ausfall | Niedrig | Hoch | Mittel | IT | IT-Sicherheitsmaßnahmen, Datensicherung, Notfallpläne |
Anleitung zur Verwendung der Matrix
- Risiko:
Identifizieren Sie die verschiedenen Risiken, die Ihr Qualitätsmanagementsystem beeinflussen können. - Wahrscheinlichkeit:
Schätzen Sie die Wahrscheinlichkeit des Eintretens jedes Risikos ein (z. B. hoch, mittel, niedrig). - Auswirkung:
Schätzen Sie die Auswirkungen jedes Risikos auf Ihr Unternehmen und sein Qualitätsmanagementsystem ein (z. B. hoch, mittel, niedrig). - Risikobewertung:
Kombinieren Sie Wahrscheinlichkeit und Auswirkung, um eine Risikobewertung für jedes Risiko zu erstellen (z. B. hoch, mittel, niedrig). Eine verbreitete Methode ist das Multiplizieren der Wahrscheinlichkeit mit der Auswirkung, wenn beide als numerische Werte (z. B. 1-5) dargestellt sind. - Verantwortlicher:
Weisen Sie einem Mitarbeiter oder einer Abteilung die Verantwortung für die Überwachung und Bewältigung jedes Risikos zu. - Maßnahmen zur Risikominderung:
Entwickeln Sie Strategien und Maßnahmen, um die Wahrscheinlichkeit und/oder die Auswirkungen der identifizierten Risiken zu reduzieren.
Die Risikobewertungsmatrix sollte regelmäßig aktualisiert und überprüft werden, um sicherzustellen, dass Ihr Unternehmen auf Veränderungen im Geschäftsumfeld, in den Anforderungen der interessierten Parteien oder in den gesetzlichen Vorschriften reagiert.
Prioritäten setzen
Setzen sie Prioritäten! Nicht jedes Risiko muss bewertet werden. Aktuell ist der Datenschutz in aller Munde. Hieraus resultieren bei Nichtbeachtung hohe Geldbußen. Haben sie sich damit schon auseinandergesetzt? Oder mit Cyper- und Hackerangriffen? Mit Produktionsausfällen aufgrund eines veralteten Maschinenparks? Risiken aus der Produkthaftung? Prozessrisiken wenn die Ziele nicht erreicht werden? Flugzeugabstürze oder Erdbeben gehören sicherlich nicht in diese Kategorien, sofern sie nicht in einem Erdbeben Gebiet ihren Standort haben.
Vorbeugemaßnahmen
Vorbeugemaßnahmen lautete in der alten ISO Norm 2008 das Zauberwort. Das Risiko war in ISO 9001 immer implizit und wurde angesprochen. Viele seiner Anforderungen zielen darauf ab, Risiken zu vermeiden. Daher sind Risiken und ISO 9001 keine neue Kombination. Frühere Ausgaben der ISO 9001 enthielten eine Klausel über vorbeugende Maßnahmen, die darauf abzielte, das Auftreten von Fehlern zu verhindern. Die ISO 9001 legt Anforderungen an die Organisation fest, um ihren Kontext zu verstehen und Risiken als Grundlage für die Planung zu bestimmen.
Risikobasiertes Denken berücksichtigt sowohl Risiken als auch Chancen. Die Einleitung und Anhang A der ISO 9001: 2015 enthalten Erläuterungen zum risikobasierten Denken, einschließlich Erläuterungen zu Risiko- und Chancenkonzepten. Eine Prüfung des risikobasierten Denkens in einer Organisation kann nicht als eigenständige Aktivität durchgeführt werden. Dies sollte während der gesamten Prüfung eines QMS implizit sein, auch bei der Befragung des Top-Managements. Ein Auditor sollte gemäß den folgenden Schritten handeln und objektive Nachweise wie folgt sammeln: Welche Inputs werden von der Organisation zur Risiko- und Chancenbestimmung verwendet? Diese Eingaben sollten folgendes enthalten:
In der neuen Revision der ISO Norm 2015 wurden die Anforderungen detaillierter beschrieben. Jeder Geschäftsführer befasst sich mit den Risiken und Chancen, ohne überhaupt diese Normforderung zu kennen. Den Vorteil den ich mit dieser Forderung verbinde ist, dass sich auch die Führungskräfte damit beschäftigten und nicht nur die Geschäftsführer im stillen Kämmerlein.
Der Bedarf einer Organisation an und der Umfang und Art der dokumentierten Informationen variieren stark aufgrund des Kontextes der Organisation, ihrer Größe, Kultur, Art der Produkte und Dienstleistungen, der geltenden gesetzlichen und behördlichen Anforderungen oder der Kundenanforderungen hinsichtlich der Risiken für Produkte , usw. Wie kann eine Organisation ihre Risiken und Chancen unter Berücksichtigung der oben genannten Punkte bestimmen? Objektive Beweise können in verschiedenen Formen vorliegen, zum Beispiel:
Risiko basiertes Denken
Zusammenfassung
Die Forderungen der ISO 9001 bzgl. der Risiken und Chancen lassen sich mit einen gesunden Menschenverstand und einwenig Brainstorming ohne Probleme darstellen. Wichtig sind die Bewertungskriterien und wann sie eine Maßnahme definieren – ist alleine eine strategische Entscheidung. Vergessen sie nicht diese in der Managementbewertung zu bewerten. Das Dokumentieren und bewerten im Review ist auch eine eine jährliche Überwachung.