qualitaet-header-blog-dqs-bunte bausteine

Risikobasierter Ansatz in ISO 9001

Nadja Götz

DQS-Produktmanagerin für Qualitätsmanagement
Nov. 08 , 2022
# Anforderungen an Qualitäts­management

Ein Unternehmen ist dann erfolgreich, wenn es einerseits systematisch Chancen erkennt, analysiert und ergreift und andererseits die damit verbundenen Risiken identifiziert und entsprechend handelt. Beim risikobasierten Ansatz in ISO 9001 geht es vor allem darum, die Auswirkungen unternehmerischer Unsicherheiten zu identifizieren und die Risiken als Grundlage zur Planung zu bestimmen.

Nun ist das Thema „Risiko“ in einem Qualitätsmanagementsystem nicht gänzlich neu. In den alten Versionen von ISO 9001 war es in den Anforderungen zu Vorbeugungsmaßnahmen eingebettet. Dieses Kapitel ist mit der Revision im Jahr 2015 entfallen. Es wurde durch das Betrachten von Risiken und Chancen ersetzt.

INHALT

Was ist ein risikobasierter Ansatz?

Ausgangspunkt für das aufmerksame Betrachten von Chancen und Risiken ist der geschärfte Fokus von ISO 9001 auf das Erzielen „beabsichtigter Ergebnisse“. Dies gilt sowohl für das Qualitätsmanagementsystem als auch bei der Planung und Verwirklichung der hierfür benötigten Prozesse.

Die Norm definiert Risiko als die „Auswirkung von Ungewissheiten“ auf ein erwartetes Ergebnis.

DIN EN ISO 9001:2015 – Qualitätsmanagementsysteme – Anforderungen

Die beabsichtigten Ergebnisse hingegen ergeben sich aus dem Anwendungsbereich des Managementsystems. Ziel dabei ist es, Produkte und Dienstleistungen zur Verfügung zu stellen, die durch Folgendes erfüllt werden müssen:

  • Kundenerfordernisse
  • gesetzliche und/ober behördliche Vorgaben
  • unternehmenseigene Festlegungen

Wie regelt man Risiken und Chancen?

Der risikobasierte Ansatz zieht sich wie ein roter Faden durch die international anerkannte Qualitätsnorm DIN EN ISO 9001, denn es ist eine Kernaufgabe eines Qualitätsmanagementsystems präventiv zu wirken.

In Kapitel 6.1 (Planung) der bekannten ISO-Norm werden allgemeine Anforderungen zum Umgang mit Risiken und Chancen gestellt. Die Norm gibt aber lediglich vor, dass entsprechende Maßnahmen geplant, in das Qualitätsmanagementsystem integriert, umgesetzt und auf ihre Wirksamkeit hin bewertet werden müssen. Wie diese Anforderung umzusetzen ist, wird nicht vorgegeben.

Weder ist von einem umfassenden Risikomanagementsystem, zum Beispiel auf Basis der Norm ISO 31000, noch von einem formellen Risikomanagementprozess die Rede. Auch stellt die Qualitätsnorm keine Anforderungen in Bezug auf konkrete anzuwendende Methoden zur Risikoermittlung oder Risikobewertung. Organisationen können selbst entscheiden, welche Vorgehensweise sie für das Risikomanagement entwickeln möchten.

In der Anmerkung 1 nennt die Norm aber folgende Möglichkeiten zum Umgang mit Risiken:

  • Risiken vermeiden
  • Risikoquellen beseitigen
  • Einfluss nehmen auf die Eintrittswahrscheinlichkeit
  • Einfluss nehmen auf die möglichen Konsequenzen
  • Risikoteilung
  • oder aber ein Risiko auf Basis einer fundierte Entscheidung gezielt eingehen, zum Beispiel um eine Chance wahrzunehmen
kvp-dqs-two men working together on flipchart with pens and notes

Mit messbaren Zielen ein QM-System steuern

Schulung

  • Herleitung von Zielen mit Kennzahlen und -systemen 
  • Kennzahlenhierarchie – Tracking von Kennzahlen – Aufbau von Aktions-/Maßnahmenplänen  
  • Vertiefung und praktische Anwendung in Gruppenarbeiten
Jetzt informieren und anmelden

Was fordert ISO 9001:2015 zu den Chancen und Risiken?

Entsprechend den Normanforderungen ist das Unternehmen für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich. Dabei muss es die in Kapitel 4.1 und 4.2 genannten Themen berücksichtigen sowie die Risiken und Chancen bestimmen, bewerten, Maßnahmen ableiten und deren Wirksamkeit bewerten.   

  • Identifikation (Bestimmung) von Risiken und Chancen, um 
    – das Erreichen beabsichtigter Ergebnisse abzusichern,
    – erwünschte Auswirkungen zu verstärken – dies sind die Chancen,
    – unerwünschte Auswirkungen (Risiken) zu verhindern oder zu verringern und
    – Verbesserungen zu erreichen.
     
  • Bewertung von Risiken und Chancen. Hier sind keine obligatorisch anzuwendenden Methoden genannt. Gängige, etablierte Werkzeuge sind aber durchaus empfehlenswert, zum Beispiel:
    – (Prozess-)FMEA (Fehlermöglichkeits- und -Einflussanalyse)
    – SWOT-Analysen (Stärken und Schwächen, Chancen und Risiken)
    – Risikomatrix bzw. Risikodiagramm
    – ABC-Analysen
     
  • Maßnahmen aus den identifizierten Risiken und Chancen ableiten. Diese können ...
    – sich auf die Beseitigung beziehungsweise Vermeidung des Risikos oder der Risikoquelle beziehen,
    – auf die Reduzierung des Risikos durch eine Veränderung der Eintrittswahrscheinlichkeit oder der Auswirkungen beziehungsweise  Konsequenzen ausgerichtet sein oder
    – die Akzeptanz des Risikos umfassen, zum Beispiel um eine Chance wahrzunehmen.
     
  • Bewertung der Wirksamkeit der Maßnahmen, zum Beispiel anhand von
    – Nichteintritt eines identifizierten Risikos,
    – der Absenkung einer Eintrittswahrscheinlichkeit oder
    – der Verringerung der negativen Auswirkungen, zum Beispiel durch Versicherungen oder vertragliche Absicherungen in Kundenverträgen.

 

Dokumentierte Information als Nachweis 

Die Frage, in welcher Form oder in welchem Umfang hierüber dokumentierte Informationen als Nachweis erforderlich sind, kann wie folgt beantwortet werden: Es gibt hierzu keine konkrete, präzise Anforderung in den relevanten Kapiteln der Norm!

Stattdessen heißt es im ebenfalls lesenswerten Anhang A4 der QM-Norm DIN EN ISO 9001: „… ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Beantwortung der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Einfacher ausgedrückt: Das legt das Unternehmen individuell für sich selbst fest – nicht die Norm! Und: Dies legt auch nicht die Zertifizierungsgesellschaft oder der Auditor fest.

iso-9001-auditleitfaden-dqs-kostenfrei

ISO 9001 in der Praxis

Profundes Expertenwissen zu

  • guten Auditfragen
  • möglichen Nachweisen und Kennzahlen
  • Umsetzungsbeispielen
Mehr als nur eine Checkliste! Jetzt kostenfrei herunterladen.

Hinweis zu DIN EN ISO 9001

Alle in dieser internationalen Norm festgelegten Anforderungen sind allgemeiner Natur und auf alle Unternehmen und Organisationen zutreffend, unabhängig von deren Größe und Komplexität sowie der Art der von ihr bereitgestellten Produkte und Dienstleistungen. Dieser  Anforderungen basieren auf den sieben Grundsätzen des Qualitätsmanagements.

Die Norm fördert die Umsetzung eines prozessorientierten Ansatzes zur Erfüllung von Kundenanforderungen. Die Steuerung der Prozesse und des Managementsystems als Ganzes kann durch den PDCA-Zyklus erreicht werden. Dabei steht die kontinuierliche Verbesserung der Prozesse im Vordergrund.

Die deutschsprachige Fassung der Qualitätsnorm wird vom Deutschen Institut für Normung (DIN) herausgegeben, die internationale ISO 9001:2015-09 von der ISO (Internationale Organisation für Normung). Beide Normen sind beim Beuth Verlag erhältlich.

Interessierte Parteien und deren relevante Anforderungen

Ein Aspekt, der nicht übersehen werden sollte, ist die Betrachtung der wesentlichen Anforderungen der für das Qualitätsmanagementsystem (QMS) relevanten interessierten Parteien (Kap. 4.2).

Dabei ist „Relevanz“ folgendermaßen auszulegen:
Auswirkung auf die Fähigkeit der Organisation, fortlaufend konforme, also den Kundenerwartungen und gesetzlichen, behördlichen Anforderungen entsprechende Produkte und Dienstleistungen zur Verfügung zu stellen. Damit sind im Kontext des risikobasierten Ansatzes auch diese zu berücksichtigen (Kap. 6.1.1 Planung).

 

Unterscheidung Chancen und Risiken im Sinne von ISO 9001 

Die Anforderung der Norm geht neben der Betrachtung von Risiken auch auf die der Chancen ein, die sich aus Risiken ergeben können. Allerdings stehen viele Unternehmen vor der Frage, was konkret Chancen sein können. Nicht gemeint ist mit einer Chance die Erreichung beabsichtigter Ergebnisse. Dies ist eine grundlegende Anforderung an das Managementsystem und seine Prozesse.

Die Chance wird in der internationalen Norm als „Möglichkeit bzw. Gelegenheit“ (opportunities) verstanden, die sich ergeben kann, wenn ein Unternehmen ein beherrschbares Risiko eingeht.

Gute Hinweise dazu gibt das Kapitel 0.3.3 von ISO 9001. Dort sind folgende Möglichkeiten für Chancen aufgeführt:

  • Kundengewinnung
  • Entwicklung neuer Produkte und Dienstleistungen
  • Verringerung von Ausschuss bzw. Abfall
  • Verbesserung der Produktivität

Weitere Hinweise, was unter einer Chance verstanden werden kann, finden sich in den Anmerkungen zum Kapitel 6.1.2:

  • Übernahme neuer Praktiken und Einsatz neuer Techniken
  • Markteinführung neuer Produkte
  • Erschließung neuer Märkte
  • Neukundengewinnung und Aufbau von Partnerschaften
  • Einsatz neuer Techniken etc.

ISO 9001 – zertifiziertes Qualitätsmanagement

Zertifizierung nach DIN EN ISO 9001 gesucht? Die DQS bietet über 35 Jahre Erfahrung ★ Profitieren Sie von unserem Expertenwissen ★

Mehr erfahren

Weitere Tipps

Kapitel 0.3.3 von DIN ISO 9001 bietet gute und ergänzende Erläuterungen zum Umgang mit dem risikobasierten Ansatz. Unter anderem wird dort ausgeführt, dass risikobasiertes Denken für ein wirksames Qualitätsmanagementsystem unerlässlich ist und zum Erreichen verbesserter Ergebnisse und dem Vermeiden von negativen Auswirkungen eingesetzt werden soll.

Darüber hinaus bietet der internationale Leitfaden ISO 31000 einen umfassenden, systematischen Ansatz zum Umgang mit Risiken, der deutlich über die Anforderungen der Qualitätsnorm hinaus geht.

Auch sind zwei durch das zuständige ISO-Komitee veröffentlichte Dokumente wirklich empfehlenswert, die in kurzer und prägnanter Form erläutern, worum es beim risikobasierten Ansatz tatsächlich geht. Dies ist zum einen ein Foliensatz („ISO 9001 and Risk Based Thinking“) und zum anderen das Dokument „Risk Based Thinking in ISO 9001:2015“.

 

Fazit zum risikobasierten Ansatz in ISO 9001

Risiken sind „Auswirkungen von Unsicherheiten“. Damit können sich aus Risiken auch Chancen ergeben. Chancen können zum Beispiel zur Neukundengewinnung und Erschließung neuer Märkte führen, was aber auch bedeutet, dass sich aus Chancen wiederum Unsicherheiten und damit verbundene Risiken ergeben können.

Lassen Sie durch risikobasiertes Denken Vorbeugungsmaßnahmen zum Teil Ihrer täglichen Routine werden. Setzen Sie Ihre „Risiko- und Chancenbrille“ auf und überprüfen Sie Ihre Prozesse. Betrachten Sie dabei auch den Kontext Ihrer Organisation, interne und externe Rahmenbedingungen, unterschiedliche Produkte und Dienstleistungen oder besondere organisatorische Abläufe.

Alles in allem empfehlen wir, mit der gleichen Intensität, mit der Risiken bestimmt, bewertet und daraus Maßnahmen abgeleitet werden, mit den möglichen Chancen umzugehen. Auch sie sind zu bestimmen und zu bewerten – und Maßnahmen zu deren Ergreifung abzuleiten. So lässt sich durch den richtigen Umgang mit Risiken ein Nutzen ziehen.

gerber-hermsdorf-werner-korall-audit dqs

Gerne helfen wir Ihnen bei der Zertifizierung nach ISO 9001

In einem unverbindlichen Termin informieren wir Sie über den Ablauf und die Kosten einer Zertifizierung. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen.

ISO 9001 – Mit Mehrwert auditiert

Das erste ISO 9001-Zertifikat in Deutschland stellte die DQS am 28. August 1986 aus – auf Basis einer Entwurfsfassung. Die Erstveröffentlichung der ISO 9000-Normenreihe (ISO 9001/2/3) erfolgte im Jahr 1987 als Modell für Qualitätssicherungssysteme. 1991 wurden wir als erste Zertifizierungsstelle in Deutschland durch die damalige TGA GmbH (heute: DAkkS) akkreditiert.

Heute zählen knapp 20 der 30 DAX-notierten Unternehmen zu unseren langjährigen Kunden. Erwarten auch Sie von einer Zertifizierung mehr als einen Konformitätsnachweis!

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

qualitaet-explore-dqs-mensch bewegt digitale anzeige

Mit messbaren Zielen ein QM-System steuern

Schulung

  • Herleitung von Zielen mit Kennzahlen und -systemen 
  • Kennzahlenhierarchie – Tracking von Kennzahlen – Aufbau von Aktions-/Maßnahmenplänen  
  • Vertiefung und praktische Anwendung in Gruppenarbeiten
Jetzt informieren und anmelden
Autor
Nadja Götz

Produktmanagerin ISO 9001 sowie DQS-Expertin für Gesundheitsmanagementsysteme und BSI-KRITIS-Prüfungen, Auditorin und Produktmanagerin für diverse Qualitätsstandards der Rehabilitation sowie der stationären und ambulanten Versorgung.

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns