Anforderungen an das „Risikomanagement gemäß ISO 9001:2015“ pragmatisch umsetzen

Hand stoppt fallende Dominosteine
Risiken und Chancen zu kennen heißt reagieren zu können, um unerwünschte Auswirkungen zu verhindern und so Ergebnisse besser zu erreichen. Ein systematisches Risikomanagement ist eine neue Anforderung der ISO 9001:2015.

Risiken reduzieren, Chancen nutzen

Die neue DIN EN ISO 9001:2015 fordert von Unternehmen und Organisationen mit Qualitätsmanagementsystemen, dass sie systematisch mit Themen wie „Wissensmanagement“, aber auch mit Risiken und Chancen umgehen sollen – und zwar mit solchen, die das Erreichen Ihrer Ziele beeinflussen können – positiv oder negativ.

Ziel ist, dass eventuelle Risiken durch gezielte Maßnahmen reduziert und Chancen aktiv genutzt werden. Welche Risiko- und Chancenfaktoren dies im Einzelnen sind, bestimmt das Unternehmen selbst. Ein guter Ansatz!

Chancen-Risiko-Matrix als professionelle Excel-Vorlage

Cover Chancen-Risiko-Matrix

Mit unserer Chancen-Risiko-Matrix können Sie direkt starten und Ihre gesamte Wertschöpfungskette in die Risikobetrachtung mit einbeziehen.

Sie erhalten die vollständige Matrix als Excel-Vorlage exklusiv zum Vorzugspreis von 49,99 EUR zzgl. Mehrwertsteuer.

Alle relevanten Chancen und Risiken sammeln, priorisieren, bearbeiten und bewerten.

CTA-Button zur Chancen-Risiko-Matrix

Risikomanagement und weitere neue Anfoderungen der ISO 9001:2015 einfach umsetzen

Wie Sie Ihr QM-System inklusive dem geforderten Risikomanagement einfach und schnell in Eigenregie auf die neue DIN EN ISO 9001:2015 umstellen, erfahren Sie von unserem QM-Experten und Auditor Herrn Uhlmann in diesem Webinar.

Umsetzung von Risiko-Orientierung im Sinne der ISO 9001:2015

Was genau ist der Sinn der Risiko-Orientierung der neuen Norm? Sie sind als Unternehmen aufgefordert,

  • Ihre Risiken gezielt zu ermitteln und zu minimieren,
  • Ihre Chancen systematisch zu identifizieren und zu nutzen,
  • die Erreichung Ihrer Ziele nachhaltig sicherzustellen.

Relevante Risiken bestimmen

Wie identifiziert man zunächst möglichst einfach die für das Unternehmen relevanten Risiken?
Wenn man sich an den typischen Interessenpartnern und Rahmenbedingungen eines Unternehmens orientiert, kann man sehr gut mit der Fragestellung starten, welches Risiko von folgenden Faktoren ausgeht oder mit ihnen in Zusammenhang steht:

  • Mitarbeiter / Beschäftigte (bspw. aufgrund von Personalausfällen)
  • Investoren, wie Eigentümer und Banken (bspw. aufgrund von Zinsänderungen)
  • Lieferanten und Dienstleistern (bspw. aufgrund von Lieferengpässen)
  • Kunden, d.h. den Beziehern der Produkte oder Dienstleistungen (bspw. bei Insolvenz eines Kunden oder Änderung seiner Strategie)
  • dem Markt (bspw. sich ändernden Kundenwünschen, neue Wettbewerber)
  • den (internen) Prozessen, sowohl administrative als auch technische Prozesse (bspw. aufgrund von sich ändernden Technologien wie bei Software oder Produktionstechnik)
  • der Infrastruktur (d. h. auch bzgl. der IT / EDV) und der örtlichen Umgebung des Unternehmens (bspw. aufgrund von Emissionen und Immissionen)
  • Produkte und Dienstleistungen (bspw. Ausfallrisiken und Folgen fehlerhafter Dienstleistungen)
  • gesetzliche / behördliche Anforderungen (wie bspw. Änderungen zum Datenschutz oder Umweltschutz)

Der Fokus der Beurteilung sollte stets darauf liegen, was hier das Erreichen der Ziele gefährden könnte. So erstellen Sie schnell eine entsprechende Themensammlung.

Neben einer solchen ersten tabellarischen Sammlung sind auch methodische Herangehensweisen à la Ishikawa (Ursache-Wirkungsanalyse) zur Identifizierung von Risiken denkbar. Auch weitergehende Tools wie bspw. eine FMEA (Fehlermöglichkeits- und Einflussanalyse) oder Fehlerbaumanalysen können gut für eine systematische Bearbeitung der Risiken genutzt werden. Der Einsatz ist unter den Gesichtspunkten von Aufwand und Nutzen im Einzelfall abzuwägen.

Risiken bewerten

Im Kern geht es dann darum, die Risiken bezogen auf ihre Relevanz (Auftretenswahrscheinlichkeit) und der Schwere der möglichen Auswirkungen zu bewerten. Ziel ist nachfolgend zu definieren, mit welchen Risiken sich das Unternehmen intensiv auseinandersetzen sollte, um Maßnahmen zur Risiko-Minimierung zu ergreifen.

Maßnahmen festlegen und umsetzen

Auf Basis der Gewichtung bzw. Priorisierung der einzelnen Risiken kann dann die Entwicklung von Maßnahmen und deren Umsetzung geplant werden. Die Aufwände für die Bearbeitung bestimmen Sie selbst. Nach Umsetzung der Maßnahmen beurteilen Sie natürlich noch die Wirksamkeit.

Hilfen bei der Identifizierung von Geschäftsrisiken

Aufgrund einer alljährlichen Umfrage zu Unternehmensrisiken der Allianz Global Corporate & Specialty (AGCS), an der sich über 800 Risikomanager und Versicherungsexperten aus über 40 Ländern beteiligten, wurden als die drei wichtigsten der TOP-10-Geschäftsrisiken 2016 genannt:

  1. Betriebs- oder Lieferkettenunterbrechung (mit bspw. dem Risiko, den Kunden nicht termingerecht beliefern zu können)
  2. Marktentwicklungen (die bspw. das Risiko beinhalten, dass Kunden andere Produkte oder Leistungen interessanter finden werden)
  3. Cybervorfälle (die zum Abfluss von internen Informationen oder auch technischen Versagen führen können)

Diese liefern einen ersten Ansatzpunkt dafür, um welche möglichen Risiken man sich im Sinne einer Schadensverhütung Gedanken machen kann.

Und: Müssen Sie alle identifizierten Risiken (sofort) bearbeiten?

Nein. Es wird Risiken geben, um deren Vermeidung Sie sich (zunächst) nicht kümmern (können) – denn nach der ISO 9001 müssen Maßnahmen nur proportional zur möglichen Auswirkung sein. Sie bewerten also die Folgen und entscheiden dann, welche Maßnahmen Sie zuerst einleiten und mit welchem Aufwand.

Wenn somit erste Maßnahmen umgesetzt und die Wirksamkeit beurteilt wurde, ist die Maßnahmenplanung zu aktualisieren – analog dem PDCA-Zyklus und damit im ständigen Kreislauf von Planung, Umsetzung, Prüfung und Verbesserung. Dies dient zum einen dazu, Fehlerkosten zu vermeiden, und zum anderen dazu, insbesondere im Schadensfall beweisen zu können, dass Sie nicht fahrlässig agieren.

Wie kann ein Unternehmen Chancen aktiv nutzen?

Bezüglich der Chancen bietet sich eine analoge Vorgehensweise an. Auch hier kommt es zunächst darauf an zu bestimmen, in welchen Feldern Chancen gesehen werden. Für die Bewertung der Chancen ist auf der einen Seite die Höhe des Potenzials und auf der anderen Seite wie einfach oder aufwändig dies zu erobern ist, zu bewerten. So können auch Chancen systematisch identifiziert, Ziele und Maßnahmen abgeleitet und in der Folge Chancen genutzt werden.

All das passiert auf Basis Ihrer unternehmerischen Entscheidung – Ziel ist, dass Sie Risiken proaktiv vermeiden und Chancen aktiv angehen: Sie lenken!

Umsetzung, Überwachung und Nachweisführung im Chancen- und Risikomanagement

Legt man für das chancen- und risikoorientierte Denken und Handeln den PDCA-Zyklus zugrunde, biete es sich an, die Sammlung, Bearbeitung, Überwachung und Bewertung von Chancen und Risiken mit Hilfe eines unternehmensweiten Systems – also geplant und gelenkt – umzusetzen.

So kann jeder Mitarbeiter beispielsweise den Prozessverantwortlichen („PV“) über Chancen und Risiken informieren, indem er diese zunächst einfach in einem digitalen Tool erfasst und dokumentiert (z.B. in factro, s. Abbildung). Diese fortlaufende Sammlung bewertet nun der PV oder ein Chancen-/Risikoteam, um erforderlichen Handlungsbedarf festzulegen und nachfolgend die Bearbeitung zu starten.

Projektbaum: Risiken sammeln, bewerten und bearbeiten

Die Vorgehensweise bei der Bearbeitung sollte nach einen festgelegten Schema erfolgen, das bspw. in factro als „Vorlage“ hinterlegt ist und auf Knopfdruck aktiviert werden kann. Wenn dann auch die dokumentierten Informationen, d.h. Ergebnisse der Arbeiten im System hinterlegt werden, hat man es bspw. in Audits oder Schadenfällen sehr leicht, die benötigten Nachweis zu erbringen.

Die Anzahl neuer Chancen / Risiken oder auch die „Bearbeitungs- oder Abschlussquote“ kann ebenfalls dem System entnommen werden und steht somit als Prozesskennzahl zur Verfügung – beispielsweise auch zum Nachweis der fortlaufenden Verbesserung.

Starten Sie jetzt mit unserem Webinar

Nehmen Sie sich 30 Minuten Zeit und lernen Sie in unserem Webinar, wie Sie in Eigenregie Ihr QM-System – inklusive der Anforderungen an das Risikomanagement – innerhalb von nur 3 Monaten an die neuen Anforderungen anpassen.

QM-Webinar

Gerne beraten und unterstützen wir Sie natürlich auch bei der Einführung eines Risikomanagements im QM-System, der Einführung oder Anpassung auf ISO 9001:2015 und der Weiterentwicklung Ihres Unternehmens.

Ausführliche Referenzliste

Lernen Sie uns kennen und überzeugen Sie sich von unseren Referenzen. Gerne können Sie sich unsere ausführliche Referenzliste mit konkreten Beispielen aus unserer Beratungspraxis – insb. zum Thema „Qualitätsmanagement nach DIN EN ISO 9001“ – kostenlos hier herunterladen.

CTA-Button zum Referenzen anfordern

 

Kontaktieren Sie uns noch heute:
Die Schuchert Managementberatung GmbH & Co.KG erhebt, verarbeitet und nutzt die hier erhobenen Informationen ausschließlich zur vertraulichen Bearbeitung Ihrer Anfrage, zur Vorbereitung eines Beratungstermins und Kontaktaufnahme mit Ihnen. Eine Weitergabe an Dritte erfolgt nur im Rahmen einer vertraglichen Auftragsverarbeitung gem. §28 DSGVO. Sie können Auskunft über die bei der Schuchert Managementberatung GmbH & Co.KG gespeicherten Daten erhalten sowie die Berichtigung, Löschung bzw. Anonymisierung Ihrer Daten verlangen. Die Löschung bzw. Anonymisierung Ihrer Daten können der Bearbeitung Ihres Anliegens entgegenstehen. Die vorgenannten Rechte können Sie gegenüber der Schuchert Managementberatung GmbH & Co.KG per E-Mail an datenschutz@schuchert.de oder durch eine Mitteilung über die im Impressum angegebenen Kontaktkanäle geltend machen. Es gelten die AGBs und Datenschutzbestimmungen der Schuchert Managementberatung GmbH & Co.KG.

 


Hat Ihnen dieser Artikel gefallen? Gerne können Sie den Beitrag hier bewerten:
[Abstimmungsergebnisse: 66 Bewertung: 4.9]
Über den Autor Klaus Uhlmann
Klaus Uhlmann

garantiert abgestimmte Prozesse und starke Organisation. Exakt definieren, präzise umsetzen und alles im Blick. Terminwunsch: Am liebsten gestern? "Nicht ganz, aber wir kommen nah ran."

Weitere Artikel zum Thema "Qualitätsmanagement"
-->