Was ist ein risikobasierter Ansatz gemäß ISO 9001?

Der risikobasierte Ansatz der ISO 9001 soll unerwünschte Ergebnisse vermeiden und die kontinuierliche Verbesserung des QM Systems anregen. Werden wir Pech haben oder wird uns vielleicht doch das Glück beistehen? Diese Umstände sind leider nicht steuerbar! Oder doch? Von Philosophen, Esoterikern oder pragmatischen Unternehmensführern erhalten wir auf diese Frage zum Teil ganz unterschiedliche Antworten. Allen Antworten gemein ist die Erkenntnis, dass man hinsichtlich der Zukunft nicht weiß, „was sie bringt“ oder „wie es letztendlich kommen wird“.

Aber, vielleicht haben wir doch gewisse Möglichkeiten, dem Glück auf die Sprünge zu helfen? Eine Idee dazu liefert uns die DIN EN ISO 9001 mit dem risikobasierten Ansatz. Die Norm betrachtet ein Risiko als eine Auswirkung von Ungewissheit, die zum Teil durch das Fehlen von Informationen im Hinblick auf das Verständnis vorhandener Situationen zustande kommt. Häufig wird diese mögliche Auswirkung nur in negativer Sicht wahrgenommen, also als Risiko. Die Norm sieht jedoch ebenso die positive Perspektive und damit auch die Chance. Im Folgenden finden Sie einige Ideen, wie wir „das Heft in die Hand nehmen“ können, um Risiken zu reduzieren und Chancen wahrzunehmen, damit das Pech und Glück doch nicht nur vom Schicksal bestimmt werden.

Wie funktioniert das Management von Risiken und Chancen im risikobasierten Ansatz?

Ignoriert ein Unternehmen Chancen wie z.B. Einführung neuer Technologien, Möglichkeit der Diversifizierung oder ähnliches und nehmen Wettbewerber diese Chancen wahr, dann kann dies für das eigene Unternehmen negative Konsequenzen bedeuten. Eine nicht erkannte Chance oder die Nichtnutzung einer erkannten Chance kann also für das Unternehmen selbst wieder ein Risiko darstellen. Ein wirkungsvolles Management von Risiken und Chancen darf deshalb nicht nur auf die Abschwächung der negativen Seite fokussieren, sondern muss gleichzeitig die positiven Auswirkungen maximieren. Ein integriertes Chancen- und Risikomanagement stellt damit den Gegenentwurf zur separierten Konzentration auf die positiven bzw. negativen Aspekte der Umfeldentwicklung dar und ermöglicht es, Themen unvorbelastet hinsichtlich möglicher Erfolgspotenziale zu bewerten. Damit fokussiert das Management auf proaktives Handeln zur besseren Zielerreichung!

Die DIN EN ISO 9001 verdeutlicht die Bedeutung von Risiken und Chancen in Verbindung mit dem Kontext (Umfeld, Rahmenbedingungen), den Zielen des Unternehmens sowie dem prozessorientierten Ansatz. Risiken und Chancen sollen in einem immer dynamischer sowie komplexer werdenden Umfeld beim Erstellen, Einführen, Aufrechterhalten und bei der fortlaufenden Verbesserung des Qualitätsmanagementsystems und dessen Prozessen berücksichtigt werden. Das risikobasierte Denken, mit der Betrachtung von sowie dem Umgang mit Risiken und Chancen, wird als eine Vorbeugung gegen das Eintreten unerwünschter Ereignisse verstanden. Deshalb findet sich in der neuen Norm der Abschnitt 8.5.3 Vorbeugungsmaßnahmen der ISO 9001:2008 nicht mehr.

Was ist Risikomanagement nach DIN EN ISO 9001?

Die Notwendigkeit der Handhabung unternehmerischer Risiken, also Risikomanagement, ist nicht wirklich neu. So sind Unternehmen gut beraten, bei allen strategischen sowie operativen Entscheidungen das damit verbundene Risikoniveau einzubeziehen. Da Führungskräfte eine divergierende Risikoneigung an den Tag legen, hat der Gesetzgeber mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gehandelt, um hier ein unternehmensübergreifendes akzeptiertes Niveau sicherzustellen. Speziell Vorstände werden somit verpflichtet, ein Risikomanagement gem. ISO 9001 im Unternehmen zu implementieren.

Die Art und Weise des Umgangs mit Risiken ist jedoch noch in einer weiteren Perspektive relevant, die im Zuge der Bankenregulierung mit dem Begriff „Basler Akkord“ bezeichnet wird. Wollen sich Unternehmen am Geldmarkt Kapital beschaffen, hängen die Finanzierungskonditionen dabei vom Ratingergebnis der geldgebenden Bank ab, die zur Berechnung das Ausfallrisiko des Kreditnehmers bewertet. Betreibt ein Unternehmen ein Risikomanagement nach ISO 9001, sinken somit die Kosten. Auf dieser Seite zeigen wir Ihnen, wie Sie mit dem Management von Risiken finanzielle Mittel für Ihre Organisation sichern und dabei die Gefahr deliktischer Haftung reduzieren.

Gründe für ein Risikomanagement nach ISO 9001

Die wachsende Komplexität des Marktes und der zunehmende Erfolgsdruck, verbunden mit einem permanenten Wandel, veranlasst Unternehmen nicht selten dazu, immer größere Risiken einzugehen. Kommt es dann zu einer Krise, liegt die Ursache meistens in einer so genannten Kontrollschwäche, d. h. in einer unzureichenden Identifikation, Analyse, Überwachung und Bewältigung von Risiken.

Risiken können sich dabei durch äußere Faktoren ergeben, die auf das Geschehen im Unternehmen einwirken und Entscheidungen im Unternehmen beeinflussen, wie z.B.:

Gesetzgebung und Rechtsprechung:
Produkthaftung, Umweltschutz, Handelsrecht, usw.

Gesellschaftliche Entwicklungen:
Veränderung des Kaufverhaltens, des politischen Verhaltens

Gesamtwirtschaftliche Entwicklungen:
Preis- sowie Einkommensentwicklung, Bevölkerungsentwicklung, usw.

Marktgeschehen:
Konkurrenzdruck, Nachfragerückgang, Preisverfall, Käuferansprüche, usw.

Die Medaille hat zwei Seiten – „no risk, no fun“

Ein Spruch, den wahrscheinlich jeder schon in irgendeinem Zusammenhang gehört hat, lautet: „no risk, no fun“. Was dahinter steht, ist der Dualismus von Risiken und Chancen. Die beiden Perspektiven liegen eng beieinander, ja sie sind sogar untrennbar miteinander verbunden. Der englische Begriff „risk“ hebt dieses Phänomen deutlicher hervor als unser deutsches „Risiko“, wo wir zumeist nur an die negativen Effekte denken. Im englischsprachigen Raum wird im Falle eines Risikos deshalb auch zwischen „upside risk“ und „downside risk“ unterschieden. Das Risiko, ein definiertes Ziel zu verfehlen, ist ein „downside risk“. Die Chance, dass ein Ziel durch Eingehen eines Risikos besser erreicht wird, als ursprünglich geplant ist dagegen ein „upside risk“. Diese beiden Seiten der Medaille sind dafür verantwortlich, dass Chancen und Risiken von unterschiedlicher Natur sind, damit unterschiedliche Charakteristiken aufweisen und sachgerecht nicht vollkommen gleichartig behandelt werden können.

Worin unterscheiden sich Chancen und Risiken?

Die nachfolgende Tabelle zeigt Ihnen Eigenschaften von Risiken sowie Chancen auf. So sehen Sie direkt, worin sich Risiken von Chancen unterscheiden.

Tabelle

Wie kann man Risiken und Chancen im Rahmen des risikobasierten Ansatzes unterteilen?

Das Management von Risiken und Chancen bewegt sich typischerweise auf zwei unterschiedlichen Ebenen:

Strategische Risiken und Chancen

Auf dieser Ebene geht es um Erfolgsfaktoren, die für das Unternehmen existenzielle oder zumindest wesentliche Gefährdungen darstellen:

• Image, Krisen, Notfälle, Kontinuität, neue Produkte bzw. Leistungen,…

Für die strategische Betrachtung eignet sich die SWOT-Analyse, die Chancen sowie Risiken als einen wiederkehrenden Untersuchungsgegenstand versteht.

Operationelle Risiken

Auf der operationellen Ebene geht es um Risiken und Chancen, aufgrund von unzulänglichen bzw. verbesserungsfähigen Prozessen, d.h. um Fragen der Beherrschung der Geschäftsprozesse im Tagesgeschäft. Im täglichen Arbeitsleben sind Risiken und Chancen stets präsent und immer mit den Prozesskriterien wie z.B. mangelhafte Infrastruktur, schlecht ausgebildete Mitarbeiter, unverständliche Arbeitsanweisungen verbunden. Dieses Denkmuster nutzt das Turtle-Modell, indem im Zusammenhang mit der Prozessanalyse Risiken und Chancen systematisch hinterfragt werden. Die bereits in der Prozessanalyse benutzten Fragen „Womit? “, „Wer?“, „Wie?“ und „Wieviel“ führen auf die Spur der Risiken und Chancen.

Risikomanagement nach ISO 9001 sensibilisiert mit dem Blick auf den Kontext

Bei der Betrachtung der äußeren und internen Faktoren, welche zu Risiken führen, fällt sofort auf, dass auch die DIN EN ISO 9001 diese Kriterien für relevant hält. Die Ermittlung des Kontexts im Sinne der Revision 2015 leitet uns mit den internen sowie externen Themen direkt zu den Risikofaktoren eines Unternehmens. Laut Anmerkung im Unterabschnitt 4.1 der Norm kann das Verständnis für den Kontext dabei durch Betrachtung der in der Grafik dieser Seite dargestellten internen und externen Themen gefördert werden. Damit diese Aspekte im Unternehmen verinnerlicht sowie in entsprechenden Planungen und Handlungen umgesetzt werden, ist ein Prozess der Organisationsentwicklung erforderlich, der möglichst alle Mitarbeiter in einen intensiven Kommunikationsprozess mit einbezieht. Die Qualifizierungs- sowie Führungssysteme sind zusätzlich auf diesen Prozess hin auszurichten, um den Kontext der Organisation als Basis zur Ermittlung von Risiken bei externen sowie internen Themen zu nutzen und um dsomit em ISO 9001 Risikomanagement gerecht zu werden.

Externe Themen

  • gesetzliches Umfeld
  • technisches Umfeld
  • wettbewerbliches Umfeld
  • marktbezogenes Umfeld
  • kulturelles Umfeld
  • wirtschaftliches Umfeld 

Interne Themen

  • Werte
  • Kultur
  • Wissen
  • Leistung der Organisation

Was fordert die ISO 9001 zum Umgang mit Risiken und Chancen?

In der ISO 9001 Revision 2015 speilt der risikobasierte Ansatz eine wichtige Rolle. Es ist nun erforderlich, dass Unternehmen die Risiken und Chancen ermitteln, die einen Einfluss darauf haben, dass das Qualitätsmanagement System die gewünschten Ergebnisse erzielen kann. Das risikobasierte Denken soll Risiken sowie Chancen von Anfang an und in den gesamten Prozessketten berücksichtigen. Diese Tabelle zeigt Ihnen die Forderungen der ISO 9001 zum Umgang mit Risiken sowie Chancen.

Tabelle

Wie kann man Chancen und Risiken priorisieren?

Sowohl die strategischen, als auch die operationellen Risiken und Chancen müssen analysiert und bewertet werden, um erkennen zu können, welche wichtiger und welche weniger wichtig sind. Hier bietet sich für beide Perspektiven die Anwendung einer Matrix an.

Die Bewertungsfaktoren für die Risiken sind die Eintrittswahrscheinlichkeit und das erwartete Schadensausmaß. Chancen dagegen werden nach deren Realisierungswahrscheinlichkeit und dem erwarteten Nutzen eingestuft. In beiden Fällen lassen sich so Grenzen für die Umsetzung von Maßnahmen ziehen.

Risikomanagement reduziert die Gefahr der deliktischen Haftung

In der nachfolgenden Tabelle sehen Sie die verschiedenen Pflichtkreise eines Unternehmens sowie die dazugehörigen Abschnitte der Qualitätsmanagementnorm, welche Anforderungen an das Risikomanagement stellen. Überprüfen Sie, ob die zur Umsetzung der Anforderungen der in der Tabelle zugeordneten Normabschnitte der DIN EN ISO 9001 getroffenen Festlegungen in Ihrem QM-System hinreichende Regelungen enthalten, die in Ihrem Unternehmen die Umsetzung der unternehmerischen Sorgfaltspflichten nachhaltig sicherstellen.

Tabelle