Mache Risiken sichtbar!

Posted on 09/09/2017

Schön langsam wird es Ernst und immer mehr ISO9001-zertifizierte Unternehmen stehen vor der Re-Zertifizierung nach ISO9001:2015. Ein Überwachungsaudit ist aufgrund der nicht unwesentlichen Änderungen dieses Mal nicht ausreichend.

Management von Risiken und Chancen

Besonders spannend in der neuen Norm ist das Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen„. Die wesentlichste Änderung im Gegensatz zur ISO9001:2008 besteht wohl darin, dass es nun die Verpflichtung gibt, eine bewusste Chancen- und Risikobetrachtung ins Qualitätsmanagementsystem zu integrieren. ISO9001:2015 macht sich also auf den Weg ein risikobasiertes Qualitätsmanagementsystem (QMS) zu werden.

Risikodefinition

Die Norm definiert Risiko als die Auswirkung von Ungewissheit. Auswirkungen verstehen sich dabei als eine Abweichung von den Erwartungen und die Unwissenheit als Zustand des (auch teilweisen) Fehlens von Informationen.

Bewusster Umgang mit Risiko

Die Organisation hat die Aufgabe das Risiko auf ein „annehmbares Maß“ zu verringern. Das klingt doch eigentlich ganz einfach, oder? Risiken zu (er)kennen, mögliche Auswirkungen zu eruieren und entsprechend danach eine Entscheidung zu treffen, ist das Gebot der Stunde. Vermeiden, vermindern, überwälzen oder selbst tragen… diese Entscheidung kann der Organisation nicht abgekommen werden und wird nun bewusst eingefordert.

Bewusster Umgang mit Chancen

Mit Risiken beschäften sich zum Glück viele Unternehmen ohnehin, aber diese sind bekanntlich nur eine Seite der Medaille. Chancen zu erkennen und gezielt wahrzunehmen ist nun auch eine Aufgabe eines QMS nach ISO9001:2015.

Im Geschäftsbericht der deutschen Telekom findet sich 2012 eine Grafik, die meines Erachtens perfekt darstellt, worum es geht… nämlich nicht nur um ein initiales definieren der Risiken und Chancen in der Planungsphase (zB eines Projektes, eines Jahres, eines Produktes, …) sondern darum, dass das Management von Risiken und Changen ein permanenter Prozess ist.

Risiken_Chancen

Grafik: Dt. Telekom, Geschäftsbericht 2012

Methoden des Risikomanagements

Die Norm schreibt selbstverständlich nicht vor, wie bzw. mit welchen Methoden das Risikomanagement stattfinden soll. Meines Erachtens müssen sie für die Aufgabenstellung angemessen sein. Risiken müssen verstanden werden und entsprechende Maßnahmen eingeleitet werden können. In Hinblick auf den Prozess des Risikomanagements muss die gewählte Methodik verständlich, umsetzbar, verifizierbar und wiederholbar sein. Sprich: dauerhaft in der Organisation umsetzbar sein.

Beispiele:

  • Risikoscan
  • Neun-Felder-Matrix
  • FMEA

In der Praxis oft beobachtet

Ich kenne viele Unternehmen, die in der Planungsphase die Risiken genau identifizieren, Gegenmaßnahmen definieren und planen… dieses Gesamtpaket wird aber oft, schön dokumentiert in diversesten Collaboration-Tools, im Laufe der Zeit vergessen. Das Daily-Business schlägt zu 😉

Den für mich wohl zielführendsten Ansatz des Umgangs mit Risiko stellen Klaus Leopold und Michael Bayer im folgenden Video dar. Es zeigt wie mit Risiko offensiv umgegangen werden kann… transparent, für jeden einsehbar, mitten im Büro… eine Neun-Felder-Matrix par excellence… Auditoren würden sich darüber mit Sicherheit sehr freuen 🙂

Tipp am Rande

Probieren sie doch mal aus, ob sie Chancen öfter wahrnehmen bzw. von mehr MitarbeiterInnen erkannt werden, wenn damit genau so offensiv umgegangen wird wie mit den Risiken bei der SBB. Ich glaube JA und freue mich auf die eine oder andere Rückmeldung 🙂