Liest denn keiner die Norm?

NormZu oft habe ich schon den folgenden Satz gehört oder gelesen: „Die neue ISO 9001:2015 fordert neuerdings ein Risikomanagement!“ Diese Aussage ist schlichtweg FALSCH!

Woher ich das weiß? Ganz einfach: Ich habe die Norm (DIS vom August 2014) gelesen und ergänzende Beiträge vom TC 176 (von diesem technischen Komitee wird die Norm geschrieben) studiert.

Ich könnte von vielen „Empfehlungen“ berichten, die ich bereits von Beratern und Auditoren gehört oder gelesen habe. Aber das werde ich nicht tun, sondern ich werde mich hier auf die vorhandenen Fakten konzentrieren und diese hier für Sie zusammenfassen.

Fangen wir mit dem Begriff Risiko an. Ein „Risiko“ wird definiert als „Auswirkung von Ungewissheit auf ein erwartetes Ergebnis“. Die Auswirkung kann positiv oder negativ sein, weshalb Risiken stets mit Chancen einhergehen.

Kunden fordern von ihren Lieferanten ein zertifiziertes Qualitätsmanagementsystem, um sicherer sein zu können, dass eine zertifizierte Organisation in der Lage ist, die Konformität von Produkten und Dienstleistungen sicherzustellen. Sicherlich ist auch die Einhaltung rechtlicher  Anforderungen ein wichtiger Aspekt, sofern für den Kunden z.B. (Produkt-)Haftungsrisiken folgen könnten.

Daher findet man im Abschnitt 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“ die Anforderung, dass bei der Planung für das QM-System Risiken und Chancen betrachtet werden müssen, um sicherzustellen, dass das QM-System seine „beabsichtigten Ergebnisse“ erzielen kann. Diese „beabsichtigten Ziele“ ergeben sich teilweise aus dem Kontext der Organisation und den Anforderungen interessierter Parteien, weshalb die Norm an dieser Stelle auf die entsprechenden Normkapitel verweist.

Ferner muss man Maßnahmen zum Umgang mit diesen Risiken und Chancen planen und in die Prozesse integrieren, wobei die Maßnahmen proportional zum möglichen Einfluss auf die Konformität von Produkten und Dienstleistungen sein sollen.

Dass es nicht darum geht, Risiken komplett zu eliminieren, wird durch eine Anmerkung klargestellt: „Zu den Möglichkeiten zum Umgang mit Risiken und Chancen kann Folgendes zählen: Vermeiden von Risiken , ein Risiko auf sich zu nehmen, um eine Chance wahrzunehmen , Beseitigen der Risikoquelle, Ändern der Wahrscheinlichkeit oder der Konsequenzen, Risikoteilung oder Beibehaltung des Risikos durch verantwortungsbewusste Entscheidung.“

Zudem wäre da noch der Anhang 4 mit der Überschrift „Risikobasierter Ansatz“. Hier wird einleitend noch mal zusammengefasst „Diese Internationale Norm fordert von der Organisation, dass sie ihren Kontext versteht und die Risiken und Chancen, die zu berücksichtigen sind, bestimmt“ und darauf hingewiesen, dass „es keine Anforderung für ein formelles Risikomanagement oder einen dokumentierten Risikomanagementprozess gibt“!

Ein Blick in das letzte Kapitel der noch aktuellen ISO 9001:2008 trägt die Bezeichnung „Vorbeugungsmaßnahmen“. Hier heißt es: „Die Organisation muss Maßnahmen zur Beseitigung der Ursachen von möglichen Fehlern festlegen, um deren Auftreten zu verhindern. Vorbeugungsmaßnahmen müssen den Auswirkungen der möglichen Probleme angemessen sein.“

Jetzt lautet die Preisfrage: Was ist denn jetzt eigentlich neu?

Antwort: Die Norm lädt dazu ein, das Thema der Vorbeugung weitergefasst zu betrachten, als die meisten Organisationen dies heute tun. Durch den Verweis auf den Kontext der Organisation besteht die Chance, dass die Themen „Qualitätsmanagement“ und „Management“ weiter zusammenwachsen, so wie es eigentlich sein sollte.

Insgesamt finde ich im Normtext mehrere Hinweise darauf, dass die Normschreiber die ISO 9001 weg von „Papier und Formalismus“, hin zu „einem Führungsinstrument“ entwickeln möchten. Ich befürworte diese Entwicklung. Gleichzeitig bleibt zu befürchten, dass viele Zertifizierungsauditoren hiermit überfordert sein werden und weiterhin formalistische Dinge abfragen. Solche Auditoren werden begeistert sein, wann man ihnen bunte Risikographen und Ampelfunktionen vorzeigt, welche der QMB kurz vor dem Audit vorbereitet hat.

Mein Appell: Machen Sie nichts ausschließlich für Auditoren! Zur Not können Sie diese austauschen. Lesen Sie lieber die Norm, suchen Sie den Sinn hinter den Normanforderungen und überlegen Sie, mit welcher Form der Umsetzung Sie für Ihre Organisation den größten Nutzen erzielen. Dann macht auch Qualitätsmanagement wieder richtig Spaß!

Ein letzter Tipp zum Thema: Auf der Website vom TC 176 finden Sie öffentlich zugängliche Dokumente, welche auch Erläuterungen zum risikobasierten Ansatz enthalten (http://isotc.iso.org/livelink/livelink/open/tc176SC2public/).

Dieser Artikel ist auch in der Industrial Quality erschienen.