28.10.2016

Risikobasierter Ansatz: Die Anforderung der neuen Norm auditieren

Mit der Überarbeitung der ISO 9001:2015 sind eine ganze Menge Anforderungen neu hinzugekommen. Anders als bisher können diese jedoch schlecht über klassische Checklisten im Audit hinreichend geprüft werden. Vielmehr müssen zum Teil umfangreiche, kausale Zusammenhänge betrachtet werden. Wir zeigen Ihnen Möglichkeiten auf, wie Sie dies zum Thema „risikobasierter Ansatz“ tun können.

Risikobasierter Ansatz: So sind Sie für Audits gewappnet
nito100 /​ iStock /​ Thinkstock

Risikobasiertert Ansatz: Ein komplexes Thema

Gerade der risikobasierte Ansatz ist ein sehr komplexes Thema der ISO 9001:2015. Er setzt sich aus den folgenden Themengebieten zusammen:

  • Interne und externe Themen der Organisation
  • Relevante interessierte Parteien
  • Relevante Anforderungen dieser interessierten Parteien
  • Risiken und Chancen innerhalb der Prozesse

Daher ist es entscheidend, diese komplexen Zusammenhänge auch im Audit darzustellen und entsprechend zu überprüfen, in wieweit die neuen Ansätze bereits verstanden und von den Prozessverantwortlichen umgesetzt wurden.

Expertentipp

Ich habe mir angewöhnt, diese Themen nicht alleine zu auditieren, sondern sie als Bestandteil der regulären prozessorientierten Audits einfließen zu lassen. Dies ist mir insofern wichtig, da eine Stichprobe in nur einigen Prozessen kein aussagekräftiges Bild darüber ergibt, in wieweit das neue Thema bei allen Prozessverantwortlichen auch angekommen ist und zuverlässig umgesetzt wird. Gerade am Anfang hilft stärkere Kontrolle und Unterstützung, das System auf sichere Beine zu stellen.

 

Vorbereitung ist wichtig

Eine gute Vorbereitung ist zwingend notwendig. Im Vorfeld eines Audits sollten Sie die neuen Themen, die intern oder extern hinzugekommen sind, im Blick haben. Diese können dann im Audit herangezogen werden.

Beispiele für Ihren Fragenblock:

  • Gab es in den vergangenen acht Wochen neue Themen (intern oder extern), mit denen Sie hier in Ihren Prozessen umgehen müssen bzw. die Sie beeinflussen?
  • Wie wurden diese Themen im Unternehmen kommuniziert?

Sollten hier keine Themen genannt werden, kommt Ihre Vorbereitung ins Spiel. Sprechen Sie den Prozessverantwortlichen gezielt auf Themen an, die Sie in der Vorbereitungsphase ermittelt haben und die in seinem Bereich voraussichtlich Auswirkungen haben.

Umgang mit Themen

Werden im Audit hingegen konkrete Themen genannt, ist zu überprüfen, was die entsprechenden Prozessverantwortlichen mit diesen Informationen getan haben, wie z.B.

  • Wurden alle erforderlichen Ressourcen für die Planung identifiziert?
  • Sind bereits konkrete Maßnahmen festgelegt worden?
  • Sind deren Termine und Maßnahmen realistisch?
  • Sind die erforderlichen Ressourcen verfügbar?
  • Wurde im Rahmen des Risikoprozesses ermittelt, in wieweit dieses Thema sich auf die Konformität der Produkte und Leistungen des eigenen Prozesses auswirken kann?
  • Sind die festgelegten Maßnahmen diesem Risiko angemessen?

Beispiel

Ich führe z.B. gerne Audits als komplette Prozesskette durch. Das heißt, ich beginne im Vertrieb, wo der Kundenauftrag hereinkommt, gehe über die Beschaffung, die Arbeitsvorbereitung, die Produktion, die Qualitätssicherung und den Versand. Habe ich jetzt z.B. den Hinweis, dass sich eine wichtige Materialnorm in Kürze ändern wird, prüfe ich, ob in der Beschaffung dieser Hinweis schon vorliegt und hier schon erste Maßnahmen ergriffen wurden (z.B. Bestellung der neuen Norm). Hat diese Norm auch eine Relevanz in Richtung Kunde, dann kontrolliere ich natürlich auch im Vertrieb, ob hier die Änderung bekannt ist und wie damit umgegangen wird. Erwarten würde ich in diesem Fall, dass das Datum der Änderung bekannt ist, und dass z.B. schon Maßnahmen geplant sind, wie „Spezifikationen im System ändern“ oder ähnliches. Sollten Themen noch nicht bekannt sein, muss im Nachgang zum Audit überprüft werden, wer diese Info hätte heranschaffen und verteilen müssen. Sind hier die Zuständigkeiten eindeutig festgelegt? Dies ist dann durchaus ein Thema, welches auch das Wissen der Organisation betrifft. Dort getroffene Regelungen müssten dann ggf. noch einmal überprüft bzw. in Frage gestellt werden.

 

Interessierte Parteien

Nun sollte geprüft werden, ob den Prozessverantwortlichen die eigenen interessierten Parteien bekannt sind. Für die Beschaffung könnten das bspw. Lieferanten sowie Dienstleister (z. B. Spediteure) sein. Sind diese als relevant fürs Unternehmen eingestuft worden? Wenn ja, so sollten deren Anforderungen ermittelt und erfüllt werden.

Beispiel

Wurde z. B. ein Lieferant als besonders relevant eingestuft, da seine Produkte einen sehr hohen Einfluss auf die eigene Produktqualität haben? Und gibt es vielleicht für diesen Lieferanten keinen adäquaten Ersatz? Dann besteht in diesem Fall ein Risiko für den Prozess, da eine fehlende oder fehlerhafte Belieferung einen schätzungsweise deutlichen Einfluss auf die Qualität der eigenen Produkte haben kann. Daher ist es wichtig, vorbeugend die Anforderungen dieser Interessierten Partei zu ermitteln und die für uns wichtigen davon vollständig zu erfüllen. Zusätzlich könnte man natürlich versuchen, schnellstmöglich einen geeigneten Ersatzlieferanten zu finden. So könnte z. B. durch eine künftige Quotenbeschaffung das Ausfallrisiko gesenkt werden. Die Risikobewertung für den Prozess würde sich hierdurch positiv verändern.

Die Fragen für ein Audit könnten z. B. so lauten:

  • Welche interessierten Parteien haben Sie für Ihren Prozess als relevant eingestuft?
  • Welche Anforderungen dieser interessierten Parteien sind für Sie von großer Bedeutung?
  • Wie haben Sie in Ihrem Prozess sichergestellt, dass Sie diese Anforderungen erfüllen?
  • Besteht derzeit ein Risiko, dass Sie die Anforderungen dieser Interessierten Parteien nicht erfüllen?
  • Wie häufig bewerten Sie Ihre Interessierten Parteien?

Prozessrisiken und Chancen

Im nächsten Schritt prüfen wir, ob es neben den Risiken aus Themen und Anforderungen der Interessierten Parteien weitere Risiken im Prozess gibt. Mögliche Auditfragen könnten also demnach sein:

  • Wie haben Sie die Bewertung der Risiken und Chancen in Ihrem Prozess durchgeführt?
  • Welche Risiken und Chancen haben Sie dabei ermittelt?
  • Was ist zu den erkannten Chancen geplant?
  • Wie haben Sie die erkannten Risiken bewertet?
  • Welchen Maßstab haben Sie für die Bewertung angesetzt?
  • Welche Maßnahmen haben Sie für die für Sie bedeutsamen Risiken definiert?
  • Wie erfolgt die Maßnahmenüberwachung?
  • Wie führen Sie die Wirksamkeitsmessung der Maßnahmen durch?
  • Wie führen Sie die erneute Risikobewertung nach Abschluss der Maßnahmen durch?
  • Welche dokumentierte Informationen haben Sie nzum risikobasierten Ansatz?
  • Wie erfahren Vertretungen von den erkannten Risiken und den noch offenen Maßnahmen?

Neben den allgemeinen Fragen sollten Sie natürlich die Sachverhalte noch an konkreten Beispielen nachvollziehen. Suchen Sie sich hierzu einige Risikoaspekte aus dem Prozess heraus und lassen Sie sich daran die oben dargestellten Fragen beantworten.

Die oberste Leitung

Als letztes kommt nun noch die oberste Leitung ins Spiel. Natürlich muss diese nicht bei jedem Audit befragt werden. Aber hin und wieder sollte sie zum risikobasierten Ansatz Stellung beziehen. Zunächst einmal geht es darum, herauszufinden, ob der Nutzen des Systems erkannt wurde. Hierzu könnte man z. B. folgende Fragen definieren:

  • Was versprechen Sie sich vom risikobasierten Ansatz?
  • Welche Rahmenbedingungen zum risikobasierten Ansatz haben Sie definiert?
  • Wie sehen hier die Zuständigkeiten aus? Wer ermittelt die Risiken? Wer bewertet sie? Wer kontrolliert die Maßnahmen?

Diese Fragen würde man dann natürlich nicht jedes Mal erneut stellen, sondern sich vielleicht nur noch die Änderungen aufzeigen lassen. Auch hier konkret werden Da auch ein Audit mit der Geschäftsleitung nicht nur auf Aussagen beruhen kann, gilt es nun, das Vorgehen anhand von Beispielen nachzuvollziehen. Hierzu bietet es sich an, einen Prozess zu wählen, der größere Risikopotenziale in sich birgt. Anhand dieses Prozesses soll die oberste Leitung nun darstellen, was sie mit den erkannten Ergebnissen macht. Mögliche Fragen könnten hier sein:

  • Zu welchem Zeitpunkt liegen Ihnen die aktuellen Risikobewertungen vor?
  • In welcher Form bekommen Sie die erkannten Risiken und Chancen vorgelegt?
  • Was machen Sie mit diesen Ergebnissen?

Schön wäre es, wenn die oberste Leitung hier erläutert, dass sie sich der erkannten Risiken bewusst ist und prüft, ob die Maßnahmen angemessen sind und das Restrisiko für sie tragbar ist. Denn darum geht es schließlich. Für alle nicht behandelten Risiken trägt zunächst einmal die oberste Leitung die Verantwortung. Mit dem risikobasierten Ansatz hat sie die Möglichkeit, sich über die aktuelle Gefährdungslage zu informieren und hier ggf. noch korrigierend einzugreifen. Ebenso kann sie für verbleibende Restrisiken geeignete Versicherungen abschließen oder aber zumindest für den Ernstfall Rücklagen bilden.

 

Hinweis

Bedenken Sie jedoch bitte immer, dass es sich hierbei gem. ISO 9001:2015 nicht um finanzielle oder wirtschaftliche Risiken handelt. Der Geltungsbereich der Norm bezieht sich auf Risiken und Chancen für die Konformität von Produkten und Leistungen sowie die Steigerung der Kundenzufriedenheit. Sicherlich macht es Sinn, diese Betrachtungen zu einem späteren Zeitpunkt zu ergänzen. Aber nicht als Zwang von Seiten der ISO 9001.

 

Fazit

Sie sehen, dass es sich beim risikobasierten Ansatz um ein sehr komplexes Thema handelt, das nicht in die Hände von unerfahrenen Auditoren gehört. Vielfach macht es auch Sinn, die Auditoren erst einmal auf die neue, erweiterte Sichtweise zu schulen, um einen möglichst hohen Output zu erzeugen. Weitere Themen wie z.B. das Wissen der Organisation sowie die Schulungsplanung können ebenfalls in diese komplexe Betrachtung miteinbezogen werden.

Autor*in: Stefanie Gertz