Inhaltsverzeichnis
Worum solltest Du die Norm ISO 9001 lesen? Nun ja, zum Beispiel habe ich schon das Gerücht vernommen, dass die ISO 9001:2015 ein Risikomanagement fordern würde. Dabei taucht das Wort „Riskmanagement“ lediglich im Anhang der Norm auf. Dort wird explizit darauf hingewiesen, dass die ISO 9001:2015 KEIN Risikomanagement fordert.
Wer der Norm gelesen hat, weiß das. Wer noch interessierter ist, kann zusätzlich Beiträge vom TC 176 (Technisches Komitee, welches die Norm geschrieben hat) durchstöbern. Diese findet man im öffentlichen Bereich des Komitees auf ISO.org.
Dass leider sogar einige Berater*innen und Zertifizierungsauditor*innen die Norm anscheinend nicht lesen, kann man beispielsweise an manchen „Empfehlungen“ zum Nicht-Norm-Thema „Risikomanagement“ erkennen.
ISO 9001 lesen, aber nicht nur punktuell!
Die ISO 9001:2015 verfolgt den risikobasierten Ansatz. Um diesen zu verstehen, muss man mehrere Normabschnitte übergreifend betrachten. Dies möchte im am Thema „risikobasierter Ansatz“ beispielhaft erläutern.
Der Begriff „Risiko“ wird in der ISO 9000 definiert als „Auswirkung von Ungewissheit auf ein erwartetes Ergebnis“. Die Auswirkung kann positiv oder negativ sein, weshalb Risiken stets mit Chancen einhergehen. Qualitätsrisiken sind demnach jene Risiken, die dazu führen können, dass Kundenanforderungen nicht erfüllt werden.
Schließlich fordern Kunden von ihren Lieferanten ein zertifiziertes Qualitätsmanagementsystem, um sicherer sein zu können, dass eine zertifizierte Organisation in der Lage ist, die Konformität von Produkten und Dienstleistungen sicherzustellen. Hierzu gehören auch qualitätsrelevante rechtliche Anforderungen, sofern für den Kunden z.B. (Produkt-) Haftungsrisiken bestehen.
Um die Qualität sicherzustellen, ergreifen Unternehmen gemäß Normabschnitt 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. Diese führen zu Planungen für das QM-System, damit beabsichtigten Ergebnisse erzielt werden. Diese „beabsichtigten Ergebnisse“ ergeben sich primär aus den Kundenanforderungen und werden ergänzt durch den Kontext der Organisation und den Anforderungen relevanter interessierter Parteien.
Maßnahmen zum Umgang mit diesen Risiken und Chancen wiederum sind in die Prozesse zu integrieren, wobei die Maßnahmen proportional zum möglichen Einfluss auf die Konformität von Produkten und Dienstleistungen sein sollen.
Die Wirksamkeit der getroffenen Maßnahmen sollten bewertet werden, was in Form von Kennzahlen, durch interne Audits oder mittels interner Kommunikation erfolgen kann.
Diese kurze „Zusammenfassung“ des risikobasierten Ansatzes zieht sich durch mehrere Normkapitel der ISO 9001.
Dass es in den Anforderungen nicht darum geht, Risiken komplett zu eliminieren, wird durch eine Anmerkung im Normtext klargestellt: „Zu den Möglichkeiten zum Umgang mit Risiken und Chancen kann Folgendes zählen: Vermeiden von Risiken, ein Risiko auf sich zu nehmen, um eine Chance wahrzunehmen , Beseitigen der Risikoquelle, Ändern der Wahrscheinlichkeit oder der Konsequenzen, Risikoteilung oder Beibehaltung des Risikos durch verantwortungsbewusste Entscheidung.“
Zudem wäre da noch der Anhang 4 mit der Überschrift „Risikobasierter Ansatz“. Hier wird einleitend noch mal zusammengefasst „Diese Internationale Norm fordert von der Organisation, dass sie ihren Kontext versteht und die Risiken und Chancen, die zu berücksichtigen sind, bestimmt“ und darauf hingewiesen, dass „es keine Anforderung für ein formelles Risikomanagement oder einen dokumentierten Risikomanagementprozess gibt“!
Was ist mit der ISO 9001:2015 eigentlich neu gekommen?
Ein Blick in das letzte Kapitel der noch aktuellen ISO 9001:2008 trägt die Bezeichnung „Vorbeugungsmaßnahmen“. Hier heißt es: „Die Organisation muss Maßnahmen zur Beseitigung der Ursachen von möglichen Fehlern festlegen, um deren Auftreten zu verhindern. Vorbeugungsmaßnahmen müssen den Auswirkungen der möglichen Probleme angemessen sein.“
Jetzt lautet die Preisfrage: Was ist denn jetzt eigentlich neu?
Antwort: Die Norm lädt dazu ein, das Thema der Vorbeugung weitergefasst zu betrachten, als die meisten Organisationen dies heute tun. Durch den Verweis auf den Kontext der Organisation besteht die Chance, dass die Themen „Qualitätsmanagement“ und „Management“ weiter zusammenwachsen, so wie es eigentlich sein sollte.
Insgesamt finde ich im Normtext mehrere Hinweise darauf, dass die Normschreiber die ISO 9001 weg von „Papier und Formalismus“, hin zu „einem Führungsinstrument“ entwickeln möchten. Ich befürworte diese Entwicklung.
Gleichzeitig bleibt zu befürchten, dass viele Zertifizierungsauditoren (gefördert durch die DAkkS) hiermit überfordert sein werden und weiterhin formalistische Dinge abfragen. Solche Auditoren werden begeistert sein, wann man ihnen bunte Risikographen und Ampelfunktionen vorzeigt, welche der QMB kurz vor dem Audit vorbereitet hat.
Mein Appell: Mache nichts ausschließlich für Auditoren! Zur Not kannst Du Zertifizierungsauditor*innen austauschen.
Lies Sie lieber die Norm, suche den Sinn hinter den Normanforderungen und überlege, mit welcher Form der Umsetzung Du für Deine Organisation den größten Nutzen erzielst.
ISO 9001 lesen und verstehen, dann macht auch Qualitätsmanagement wieder richtig Spaß!
ISO 9001 lesen oder per Videotraining kennenlernen
Im Videotraining der Lev-Akademie lernst Du die Anforderungen der ISO 9001 kennen und Du erhältst zahlreiche Anregungen zur praktischen Umsetzung.
