Risikobasiertes Denken vs Risikomanagement

Risikobasierter Ansatz im Zertifizierungsaudit

Missverständnisse in Auditsituationen gibt es nicht nur zum Thema „risikobasierter Ansatz“.

So ist zum Beispiel die Frage: „Welchen Revisionsstand hat Ihr Organigramm?“ von Zertifizierungsauditoren keine Seltenheit. Wenn ein Unternehmen ein Organigramm hat, dann zeigt man diese gerne im Audit und Zertifizierungsauditor*innen machen sich eine Notiz.

Kritischer wird es, wenn Unternehmen kein Organigramm haben und Zertifizierungsauditor*innen dennoch danach verlangen. Das entbehrt jeder Grundlage! Die ISO 9001 fordert keine Darstellung der Aufbauorganisation.

Gemäß ISO 9001 müssen die Verantwortlichkeiten und Befugnisse für relevante Rollen festgelegt und gelebt werden. Hierzu benötigt man nicht zwangsläufig ein Organigramm.

Das Organigramm Beispiel ist vergleichsweise harmlos. Seit der Revision ISO 9001:2015 beobachte ich neue, nicht haltbare Anforderungen von Zertifizierungsauditoren zum Thema risikobasierter Ansatz.

Teilweise stelle ich mir bei einigen Zertifizierungsauditor*innen die Frage, ob diese die Norm jemals gelesen haben. Aktuell stehen oftmals die Anforderungen aus dem Abschnitt „Maßnahmen zum Umgang mit Risiken und Chancen“ im Mittelpunkt der Diskussion in Zertifizierungsaudits.

Auditor*innen müssen die Abgrenzung zum Risikomanagementsystem kennen

Der Leitfaden „Anleitung zum Übergang ISO 9001:2015“ der Deutsche Akkreditierungsstelle liefert Hinweise für die Umstellung der akkreditierten Zertifizierungsstellen (Quelle). Der Anhang A regelt die Qualifizierung von Zertifizierungsauditoren. Demnach müssen die Auditoren u.a. geschult werden zu: „Verständnis des risikobasierten Denkens im Kontext des PDCA-Prozesses als wesentlicher neuer Bestandteil des QMS, Grundverständnis Risikodefinition / Prozessrisiken, Abgrenzung zum Risikomanagementsystem (z. B. nach ISO 31000, Methoden)“.

Das Wort Abgrenzung scheinen einige Auditor*innen nicht verstanden zu haben und prompt taucht im Zertifizierungsaudit die Frage auf „Wie haben Sie Ihr Risikomanagementsystem dokumentiert?“

Diese Frage enthält gleich zwei Fehler. Erstens fordert die ISO 9001:2015 kein formelles Risikomanagement und zweitens werden ermittelte Risiken nicht als dokumentierte Information gefordert.

Risikobasierter Ansatz ist KEIN Risikomanagement!

Diese PowerPoint Folie zeigt die Abgrenzung Risikomanagement vs. risikobasierter Ansatz. Der risikobasierte Ansatz wird leider oftmals nicht verstanden, sogar von Auditor*innen.
Abgrenzung Risikomanagement vs. risikobasierter Ansatz

Ein Auditor meinte daraufhin zu mir: „Wie soll ich denn die Risiken bewerten, wenn diese nicht dokumentiert sind?“

Ist es meine Aufgabe, einem Zertifizierungsauditor seinen Job zu erklären?

Ersten ist es nicht die Aufgabe der Zertifizierungsauditoren die Risiken zu bewerten und zweitens bekommen gute Zertifizierungsauditor*innen im Laufe des Audits ein Gespür dafür, ob der risikobasierte Ansatz in einer Organisation gelebt wird.

Ich fürchte, dass viele bunte Risikomatrizen die QM-Dokumentation verzieren werden und dass diese in Zertifizierungsaudits gelobt werden. Das hätte zur Folge, dass die Organisationen meinen, alles richtig gemacht zu haben und letztendlich spricht sich herum, dass eine Risikomatrix oder ähnliches von der ISO 9001 gefordert wäre.

Ich stehe einem Risikomanagementsystemen nicht feindlich gegenüber! Es gibt Themen, bei denen Methoden des Risikomanagements sehr hilfreich sind. Allerdings fordert die ISO 9001:2015 kein Risikomanagementsystem, weshalb es mich ärgert, wenn das Thema falsch auditiert wird.

Risikobasierter Ansatz … was ist zu tun?

Da ich nicht nur meckern möchte, gehe ich nun auf die eigentliche Normanforderung „Maßnahmen zum Umgang mit Risiken und Chancen“ ein.

Ein Qualitätsmanagementsystem an sich ist ein System zu Vermeidung von Qualitätsrisiken.

Die ISO 9001 enthält zahlreiche Themen, bei denen Risiken entdeckt werden und zu denen teilweise dokumentierte Informationen gefordert sind. Zum Beispiel können interne Audits Schwachstellen aufdecken, Kennzahlen können als Frühwarnsystem verstanden werden und durch die Lieferantbewertung sollten Risiken im Einkaufsprozess frühzeitig erkannt werden.

Bereits in vorherigen Versionen der ISO 9001 gab es den Abschnitt „Vorbeugungsmaßnahmen“. Anders als bei der Revision 2015, musste damals sogar ein dokumentiertes Verfahren eingeführt werden, um potenzielle Fehler zu ermitteln.

Im Rahmen von Zertifizierungsaudits wurde das Thema „Vorbeugungsmaßnahmen“ oft nur im Kontext von „Fehlermanagement“ auditiert, da im 8d-Report praktischerweise das Wort „Vorbeugungsmaßnahme“ schon enthalten ist. Als Verfahren diente die Reklamationsbearbeitung und ausgefüllte 8d-Reports als Aufzeichnungen.

Mit der Revision 2015 wollten die Normschreiber den risikobasierten Ansatz als grundlegendes Paradigma für Managementsysteme in den Vordergrund stellen.

Jeder Prozess, jede Tätigkeit und sogar das Unterlassen von Handlungen kann Risiken enthalten. Mit dem risikobasierten Ansatz lädt die Norm dazu ein, sich nicht nur im Kontext von Reklamationen über Vorbeugungsmaßnahmen zur Vermeidung eines Wiederauftretens Gedanken zu machen. Die Norm lädt zu einem proaktiverem Handeln ein.

Beispiel

Eine Führungskraft agiert risikobasiert, wenn sie hin und wieder das Tagesgeschäft verlässt, um zum Beispiel

  • auf lateraler Führungsebene Schnittstellen zu Nahtstellen zu verbinden.
  • die Rahmenbedingungen zu reflektieren und Fehlerquellen zu eliminieren.
  • Kompetenzlücken zu identifizieren und Mitarbeitende für die Bedeutung von Qualität zu sensibilisieren.
  • interne oder externe Veränderungen zu erkennen, die Einfluss auf das Arbeitsleben haben.
  • aussagefähige Kennzahlen zu ermitteln, um Veränderungen bewerten zu können.
  • den Bedarf an Hilfestellungen (z.B. Arbeitsanweisungen) zu ermitteln und diese bereitzustellen.
  • … im Grunde die Themen aus dem Turtle-Diagramm zu managen.

Wenn diese Führungskraft diese Themen alle dokumentieren müsste, käme sie nicht zur viel wichtigeren Umsetzung.

Daher ist Revision der ISO 9001:2015 ist die Anforderung an ein dokumentiertes Verfahren weggefallen. Inhaltlich hat sich jedoch gegenüber den Vorbeugungsmaßnahmen der Vorgängernorm nichts Grundlegendes verändert. Die Normschreiber haben das Thema „Vorbeugung“ auf breitere Füße gestellt.

Es kann als „neu“ betrachtet werden, dass bei der Ermittlung von Risiken der Kontext der Organisation berücksichtigt werden muss. Wenn eine Organisation die Führungskräfte und Mitarbeiter für ein zielgerichtetes, risikobasiertes Denken gewinnen möchte, dann ist das nur logisch!

Fazit

Wäre es nicht himmlisch, wenn alle Mitarbeiter einer Organisation die Anforderungen von Kunden und interessierten Parteien kennen und stets nach Möglichkeiten suchen, diese Anforderungen optimal umzusetzen. Aus diesem Grunde erwähnt die ISO 9001 nicht nur Risiken, sondern auch Chancen. Es geht nicht darum, alles aufzuschreiben und zu bewerten.

Ziel eines gelebten QM-Systems ist, auf allen Managementebenen die richten Schlüsse zu ziehen und passende Maßnahmen zur Qualitätsverbesserung abzuleiten.

Das Thema „Maßnahmen zum Umgang mit Risiken und Chancen“ kann demnach nicht als isoliertes Thema auditiert werden. Vielmehr ist es die Gesamtbetrachtung der Organisation, inwieweit die Summe aller Maßnahmen zur (Qualitäts-) Verbesserung der Organisation beitragen.

Dieser Artikel erschien in leicht anderer Fassung im unabhängigen Fachmagazin Quality Engineering Ausgabe 03.2016.
Haben Sie schon ein Abonnement? Infos unter www.qe-online.de.

Scroll to Top