Risikomanagement gemäß ISO 9001:2015 umsetzen

von | 19.10.2019

Risiken reduzieren, Chancen nutzen

Die neue DIN EN ISO 9001:2015 fordert von Unternehmen und Organisationen mit Qualitätsmanagementsystemen, dass sie systematisch mit Themen wie „Wissensmanagement“, aber auch mit Risiken und Chancen umgehen sollen – und zwar mit solchen, die das Erreichen Ihrer Ziele beeinflussen – positiv oder negativ.

Ziel ist, dass eventuelle Risiken durch gezielte Maßnahmen reduziert und Chancen aktiv genutzt werden. Welche Risiko- und Chancenfaktoren dies im Einzelnen sind, bestimmt das Unternehmen selbst. Ein guter Ansatz!

Risiko-Orientierung im Sinne der ISO 9001:2015

Was genau ist der Sinn der Risiko-Orientierung der neuen Norm? Von Ihnen als Unternehmen wird gefordert, dass Sie

  1. Risiken gezielt ermitteln und minimieren
  2. Chancen systematisch identifizieren und nutzen
  3. Die Erreichung von Zielen nachhaltig sicherstellen

1. Risiken gezielt ermitteln und minimieren

Relevante Risiken bestimmen

Wie identifiziert man zunächst möglichst einfach die für das Unternehmen relevanten Risiken?
Wenn man sich an den typischen Interessenpartnern und Rahmenbedingungen eines Unternehmens orientiert, kann man sehr gut mit der Fragestellung starten, welches Risiko von folgenden Faktoren ausgeht oder mit ihnen in Zusammenhang steht:

  • Mitarbeiter / Beschäftigte (bspw. aufgrund von Personalausfällen)
  • Investoren, wie Eigentümer und Banken (bspw. aufgrund von Zinsänderungen)
  • Lieferanten und Dienstleistern (bspw. aufgrund von Lieferengpässen)
  • Kunden, d.h. den Beziehern der Produkte oder Dienstleistungen (bspw. bei Insolvenz eines Kunden oder Änderung seiner Strategie)
  • dem Markt (bspw. sich ändernden Kundenwünschen, neue Wettbewerber)
  • den (internen) Prozessen, sowohl administrative als auch technische Prozesse (bspw. aufgrund von sich ändernden Technologien wie bei Software oder Produktionstechnik)
  • der Infrastruktur (d. h. auch bzgl. der IT / EDV) und der örtlichen Umgebung des Unternehmens (bspw. aufgrund von Emissionen und Immissionen)
  • Produkte und Dienstleistungen (bspw. Ausfallrisiken und Folgen fehlerhafter Dienstleistungen)
  • gesetzliche / behördliche Anforderungen (wie bspw. Änderungen zum Datenschutz oder Umweltschutz)

Der Fokus der Beurteilung sollte stets darauf liegen, was hier das Erreichen der Ziele gefährden könnte. So erstellen Sie schnell eine entsprechende Themensammlung.

Neben einer solchen ersten tabellarischen Sammlung sind auch methodische Herangehensweisen à la Ishikawa (Ursache-Wirkungsanalyse) zur Identifizierung von Risiken denkbar. Auch weitergehende Tools wie bspw. eine FMEA (Fehlermöglichkeits- und Einflussanalyse) oder Fehlerbaumanalysen können gut für eine systematische Bearbeitung der Risiken genutzt werden. Der Einsatz ist unter den Gesichtspunkten von Aufwand und Nutzen im Einzelfall abzuwägen.

Risiken bewerten, Maßnahmen festlegen und umsetzen

Im Kern geht es dann darum, die Risiken bezogen auf ihre Relevanz (Auftretenswahrscheinlichkeit) und der Schwere der möglichen Auswirkungen zu bewerten. Ziel ist nachfolgend zu definieren, mit welchen Risiken sich das Unternehmen intensiv auseinandersetzen sollte, um Maßnahmen zur Risiko-Minimierung zu ergreifen.

Auf Basis der Gewichtung bzw. Priorisierung der einzelnen Risiken kann dann die Entwicklung von Maßnahmen und deren Umsetzung geplant werden. Die Aufwände für die Bearbeitung bestimmen Sie selbst. Nach Umsetzung der Maßnahmen beurteilen Sie natürlich noch die Wirksamkeit.

Hilfen bei der Identifizierung von Geschäftsrisiken

Aufgrund einer alljährlichen Umfrage zu Unternehmensrisiken der Allianz Global Corporate & Specialty (AGCS), an der sich über 800 Risikomanager und Versicherungsexperten aus über 40 Ländern beteiligten, wurden als die drei wichtigsten der TOP-10-Geschäftsrisiken 2016 genannt:

  1. Betriebs- oder Lieferkettenunterbrechung (mit bspw. dem Risiko, den Kunden nicht termingerecht beliefern zu können)
  2. Marktentwicklungen (die bspw. das Risiko beinhalten, dass Kunden andere Produkte oder Leistungen interessanter finden werden)
  3. Cybervorfälle (die zum Abfluss von internen Informationen oder auch technischen Versagen führen können)

Diese liefern einen ersten Ansatzpunkt dafür, um welche möglichen Risiken man sich im Sinne einer Schadensverhütung Gedanken machen kann.

Muss ich alle identifizierten Risiken (sofort) bearbeiten?

Nein. Es wird Risiken geben, um deren Vermeidung Sie sich (zunächst) nicht kümmern (können) – denn nach der ISO 9001 müssen Maßnahmen nur proportional zur möglichen Auswirkung sein. Sie bewerten also die Folgen und entscheiden dann, welche Maßnahmen Sie zuerst einleiten und mit welchem Aufwand.

Wenn somit erste Maßnahmen umgesetzt und die Wirksamkeit beurteilt wurde, ist die Maßnahmenplanung zu aktualisieren – analog dem PDCA-Zyklus und damit im ständigen Kreislauf von Planung, Umsetzung, Prüfung und Verbesserung. Dies dient zum einen dazu, Fehlerkosten zu vermeiden, und zum anderen dazu, insbesondere im Schadensfall beweisen zu können, dass Sie nicht fahrlässig agieren.

2. Chancen systematisch identifizieren und nutzen

Bezüglich der Chancen bietet sich eine analoge Vorgehensweise an. Auch hier kommt es zunächst darauf an zu bestimmen, in welchen Feldern Chancen gesehen werden. Für die Bewertung der Chancen ist auf der einen Seite die Höhe des Potenzials und auf der anderen Seite wie einfach oder aufwändig dies zu erobern ist, zu bewerten. So können auch Chancen systematisch identifiziert, Ziele und Maßnahmen abgeleitet und in der Folge Chancen genutzt werden.

All das passiert auf Basis Ihrer unternehmerischen Entscheidung – Ziel ist, dass Sie Risiken proaktiv vermeiden und Chancen aktiv angehen: Sie lenken!

3. Die Erreichung von Zielen nachhaltig sicherstellen

Legt man für das chancen- und risikoorientierte Denken und Handeln den PDCA-Zyklus zugrunde, biete es sich an, die Sammlung, Bearbeitung, Überwachung und Bewertung von Chancen und Risiken mit Hilfe eines unternehmensweiten Systems – also geplant und gelenkt – umzusetzen.

So kann jeder Mitarbeiter beispielsweise den Prozessverantwortlichen („PV“) über Chancen und Risiken informieren, indem er diese zunächst einfach in einem digitalen Tool erfasst und dokumentiert (z.B. in factro, s. Abbildung). Diese fortlaufende Sammlung bewertet nun der PV oder ein Chancen-/Risikoteam, um erforderlichen Handlungsbedarf festzulegen und nachfolgend die Bearbeitung zu starten.

Ein Screenshot des factro Qualitätsmanagement-Leitfadens

Der ISO 9001-Leitfaden für factro

Nachweisführung im Chancen- und Risikomanagement

Die Vorgehensweise bei der Bearbeitung sollte nach einen festgelegten Schema erfolgen, das bspw. in factro als „Vorlage“ hinterlegt ist und auf Knopfdruck aktiviert werden kann. Wenn dann auch die dokumentierten Informationen, d.h. Ergebnisse der Arbeiten im System hinterlegt werden, hat man es bspw. in Audits oder Schadenfällen sehr leicht, die benötigten Nachweis zu erbringen.

Die Anzahl neuer Chancen / Risiken oder auch die „Bearbeitungs- oder Abschlussquote“ kann ebenfalls dem System entnommen werden und steht somit als Prozesskennzahl zur Verfügung – beispielsweise auch zum Nachweis der fortlaufenden Verbesserung.

Hat Dir dieser Artikel gefallen? Gerne kannst Du den Beitrag hier bewerten:
[Anzahl: 6 Durchschnitt: 5]

Niels Kindl

Niels Kindl kennt Projektmanagement und Collaboration in allen Facetten Niels ist bei factro im Marketing-Team. Seine langjährige Erfahrung und Leidenschaft für digitale Zusammenarbeit und Projektmanagement-Software teilt er gerne im factro Blog. Denn: Ein Tool allein löst noch keine Probleme!