Wo haben Sie ihre Risiken dokumentiert?

Typische Auditsituation

Ein Betrieb mit ca. 40 Mitarbeiter:innen wird rezertifiziert. Nach dem üblichen Small Talk werden die aktuellen Herausforderungen besprochen, deren Highlights sogar in einem Bericht zur Managementbewertung dokumentiert sind. Anschließend werden Ergebnisse interner Audits und die Reklamationen aus dem letzten Jahr besprochen.

Kurz vor Mittag kommt die typische Frage: „Und wo haben Sie Ihre Risiken dokumentiert?“

Innerlich denke ich: ‚Was von dem bisher Gezeigten haben die Auditoren nicht mitbekommen? Wir haben den ganzen Morgen über erkannte Risiken gesprochen. In der Managementbewertung wurden sogar einige der aktuellen Risiken zum Kontext der Organisation verschriftlicht. Auch aus Audits und Reklamationen wurden Risiken erkannt und angemessen behandelt. Was wollen die denn noch sehen?‘

Ich sage stattdessen: „Im Maßnahmenplan haben wir Maßnahmen zum Umgang mit Chancen und Risiken festgelegt. Diese stammen aus verschiedenen Quellen, wie zum Beispiel aus Audits, Reklamationen oder aus dem aktuellen Kontext.“

In diesem Audit gab es keine weiteren Diskussionen und die beiden Auditoren habe sich dem Maßnahmenplan gewidmet. Leider habe ich das auch schon anders erlebt. Ich möchte nicht wissen, wie oft Risikomatrizen jährlich und ausschließlich für Zertifizierungsaudits aktualisiert werden, jedoch unterjährig keine Beachtung finden.

Bitte nicht falsch verstehen: Wenn Unternehmen mit Risikomatrizen erfolgreich arbeiten, dann sollten diese auch in Audits gezeigt werden. Jedoch fordert die ISO 9001 nicht die Dokumentation aller Risiken.

Was fordert die Norm zum Thema Risiken?

Zunächst lohnt ein Blick in den Anhang A.4 der ISO 9001:2015.

Folgende Formulierungen fallen dabei ins Auge:

• Das Konzept des risikobasierten Denkens war bereits in den Vorgängerversionen dieser internationalen Norm enthalten …
• Es ist eine Kernaufgabe eines Qualitätsmanagementsystems als vorbeugendes Instrument zu wirken.
• Obwohl in 6.1 festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess erforderlich.

Im referenzierten Abschnitt 6.1 finden wir folgende Anforderung:

Bei Planungen für das Qualitätsmanagementsystem muss die Organisation die in 4.1 (Verstehen der Organisation und ihres Kontextes) genannten Themen und die in 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) genannten Anforderungen berücksichtigen sowie die Risiken und Chancen bestimmen, die behandelt werden müssen.

Man beachte, dass keine dokumentierten Informationen gefordert werden. Im weiteren Text gibt die Norm vor, wie die bestimmten Risiken und Chancen zu behandeln sind:

Die Organisation muss planen: Maßnahmen zum Umgang mit diesen Risiken und Chancen.

Die Organisation muss planen: Wie die Maßnahmen in die Qualitätsmanagementsystem-Prozesse der Organisation integriert und dort umgesetzt werden und wie die Wirksamkeit dieser Maßnahmen bewertet wird.

Auch hier finden wir keine konkrete Anforderung zur Dokumentation von Risiken und Chancen. Stattdessen finden wir im Abschnitt 4.4 (QM-System und seine Prozesse) den folgenden Satz:

Die Organisation muss in erforderlichem Umfang dokumentierte Informationen aufrechterhalten, um die Durchführung ihrer Prozesse zu unterstützen.

Bedeutung für die Praxis

In der ISO 9001 werden Anforderungen zu verschiedenen Themen formuliert, zu denen Unternehmen gut aufgestellt sein sollten, damit Kunden mit erhöhter Wahrscheinlichkeit zufrieden sind:

• Vor einer Auftragsbestätigung erfolgt eine ordentliche Machbarkeitsbewertung.
• Eingesetzte Prüf- und Messmittel sind für die Prüfaufgaben geeignet.
• Es wird sichergestellt, dass das Personal für seine Aufgaben kompetent ist.
• Durch interne Audits wird die Umsetzung interner Vorgaben hinterfragt.
• Die oberste Leitung interessiert sich für Ergebnisse aus QM-Aktivitäten.
• … und viele weitere Themen der ISO 9001.

Wenn sich Unternehmen mit diesen Themen ernsthaft auseinandersetzten, werden Risiken und Chancen erkannt. Jemand muss bewerten, ob es angemessen und erwünscht ist, darauf zu reagieren. Werden Maßnahmen beschlossen, dann sollte die Nachhaltigkeit dieser Aktivität bewertet werden.

Da das immer noch etwas abstrakt ist, hilft ein Beispiel.

Dilemma einer Eisdiele

Ein wesentliches Qualitätsziel eines Eisverkäufers ist die Kundenzufriedenheit, welche sich an vergleichbaren Sommertagen über die Menge verkaufter Eisportionen messen lässt.

Aktuelle Risiken könnten sein:

• Verbot von Plastiklöffeln für Eisbecher zum Mitnehmen.
• Steigende Energiekosten zur Herstellung und Kühlung der Ware.
• In einer Nebenstraße wurde eine neue Eisdiele eröffnet.

Wie geht der Eisverkäufer mit diesen identifizierten Risiken um?

Was die Löffel angeht, beschließt er, die Restbestände aufzubrauchen und auf Holzlöffel umzustellen. Die Maßnahme ist somit bestimmt und wirksam umgesetzt. Hierzu bedarf es keiner weiteren Dokumentation, um normkonform mit dem Risiko umzugehen. Im Audit sind die neuen Holzlöffel ein hinreichender Nachweis.

Die steigenden Nebenkosten würde der Eisverkäufer gerne an seine Kunden weitergeben. Gleichzeitig fürchtet er den neuen Wettbewerber, dessen Preise er bisher nicht kennt. Hier könnte es sich lohnen, dass der Eisverkäufer seine Optionen aufschreibt (Brainstorming: Preis pro Kugel erhöhen, Portionen verkleinern, reduzierten Gewinn hinnehmen …). Damit keine Möglichkeit vergessen wird, bewahrt er dieses Dokument auf und aktualisiert neue Erkenntnisse durch Randnotizen.

Anders als bei den Löffeln ist der zeitliche Horizont vom Bestimmen einer Maßnahme (etwa eine Preiserhöhung) bis zur Bewertung der Umsatzentwicklung deutlich größer. Mit der Zeit sammelt der Eisverkäufer immer mehr Rückmeldungen und kann erst später reflektieren, ob das Qualitätsziel der Kundenzufriedenheit gefährdet ist. Mit dem Brainstorming-Ergebnis samt Notizen und der Umsatzanalyse liegen dokumentierte Informationen zum Umgang mit dem Risiko in angemessenem Umfang vor. Auch dieses Vorgehen ist normkonform. Im Audit könnten die Notizen und Auswertungen der Verkaufszahlen eingesehen werden.

Je mehr Personen in das Sammeln, Bündeln und Bewerten von Informationen involviert sind oder je mehr Zeit zwischen Reiz und Reaktion liegt, desto mehr dokumentierte Informationen wird man zum sinnvollen Umgang mit den Risiken benötigen.

Machen statt dokumentieren ist normkonform

Es gibt zahlreiche Tools, um Risiken einer Organisation zu ermitteln. Da wäre etwa die SWOT-Analyse zur Ermittlung unternehmerischer Risiken, die Design-FMEA zur Ermittlung von Produktrisiken oder die Prozess-FMEA zur Bewertung von Herstellungsrisiken. Auch ein Brainstorming oder Brainwriting zu einem Thema kann Risiken und Chancen zutage fördern.

Gute Unternehmen kennen Aufwand und Nutzen verschiedener Tools. Passende Tools sollten zielgerichtet und sinnvoll eingesetzt werden. Entstehen bei der Umsetzung dokumentierte Informationen (Analysen, Pläne, Datensätze, Fotos, Notizen …), können diese in Audits präsentiert werden.

Jedoch ist es genauso normkonform, wenn die Umsetzung von Maßnahmen zu erkannten Risiken oder Chancen lediglich erkennbar ist. Hierzu können im Audit umgesetzte Maßnahmen auf unterschiedliche Art präsentiert werden:

• Kennzahlen oder andere Formen der Rückmeldung zur Wirksamkeitsbewertung
• Aussagen zum Status von Maßnahmen (schließlich heißt „audire“ zuhören)
• Maßnahmenpläne, insbesondere für Aktivitäten, die sonst im Tagesgeschäft untergehen könnten
• Neu gestaltete oder verbesserte dokumentierte Informationen (Formulare, Aushänge, Arbeitsanweisungen, Bildschirmmasken …)
• Umgestaltete Arbeitsbereiche (Beleuchtung, Reduzierung von Störungen, Ordnung und Sauberkeit, Hygiene …)
• … und viele andere Möglichkeiten

Wichtig ist ausschließlich, dass Chancen und Risiken in angemessener Form gemanagt werden.

Passende Beiträge

Weitere Impulse findest Du im Beitrag aus dem Jahr 2016 mit dem Titel „Risikobasierter Ansatz im Zertifizierungsaudit“. Auch der Beitrag „Was nicht dokumentiert ist …“ passt zum Thema.

Zudem gibt es im QM-Podcast immer wieder Hinweise und Empfehlungen, wie erkannte Chancen und Risiken gemanagt werden können. Hör doch gleich mal rein. Du findest die QM-Impulse, den QM-Podcast von Stephan Joseph überall, wo es Podcasts gibt.