Seit der Normenrevision der DIN EN ISO 9001 spielt die Ermittlung von Risiken und Chancen im Unternehmen eine deutlich gewichtigere Rolle als früher. Grundsätzlich gilt die Anforderung, dass in einem funktionierenden Qualitätsmanagement eine angemessene Risikobetrachtung verankert sein muss.
„Risiko“ wird als das mehr oder weniger wahrscheinliche Auftreten einer Situation und ihrer Folgen verstanden. Dabei werden die möglichen Ursachen, Ereignisse und die Umstände sowie ihre Eintrittswahrscheinlichkeit betrachtet. Die Konsequenzen sind im Regelfall Schäden, die ganz unterschiedlich ausfallen können: von finanziellen Schäden bis zu Verletzungen oder sogar dem Tod eines Menschen. Allerdings können sich Konsequenzen auch positiv auswirken und eine „Chance“ bedeuten, etwa bei Gewinnen aufgrund eines risikoreichen Einstiegs in einen neuen Markt.
Unternehmenstypische Risikofelder sind:
- Gesundheitliche Risiken (z.B. Arbeitssicherheit, Personenschäden)
- Risiken der Personalwirtschaft (z.B. Fachkräftemangel, schlechtes Betriebsklima und mangelnde Mitarbeitermotivation)
- Wirtschaftliche Risiken (z.B. Beschaffungsrisiken)
- Finanzmarktrisiken (z.B. Zins- und Währungsveränderungen)
- Rechtliche und politische Risiken (z.B. Änderung der Steuergesetze, Produkthaftung)
- Strategische Risiken (z.B. Technologische Innovationen der Konkurrenz)
- Technische Risiken (z.B. Produktsicherheit, Brandschutz, Betriebsunterbrechung)
- Leistungsrisiken (z.B. Ausfall der EDV)
- Risiken der Wertschöpfungskette (Lieferanten-, Standort-, Kundenrisiken)
- Umweltrisiken (z.B. Abfall, Boden-, Gewässer- und Luftverschmutzung, Lärm)
- IT-Risiken (z.B. Datenschutz)
Die Norm nach DIN EN ISO 9001:2015 fordert allerdings ausschließlich die Betrachtung derjenigen Risiken und Chancen, die vom Produkt oder von den dazugehörigen Prozessen des Unternehmens ausgehen. Konkret bedeutet Risikobetrachtung gemäß DIN EN ISO 9001:2015 also, die spezifischen Gefahren im eigenen Unternehmen zu erfassen und zu bewerten, Maßnahmen zur Reduktion der Risiken festzulegen und zu dokumentieren. Die Wirksamkeit der geeigneten Maßnahmen muss dann überprüft werden.
Hier drei klassische Beispiele aus der Praxis:
| Thema | Beispiel | E* (1 – 10) | A* (1 – 10) | Maßnahmen |
| Personal/ Mitarbeiter | Ausfall wegen Krankheit | 3 | 9 | Vertreterregelung, Betriebliches Gesundheitsmanagement (BGM) |
| Software / Office-Anwendungen | Eingeschränkter Betrieb wegen technischer Ausfälle, unberechtigtem Zugang, fehlerhaften Updates, Bedienfehlern, Viren | 2 | 8 | Zugangs- und Zugriffskontrolle, Backup, Datensicherung, Virenschutz, gute EDV-Betreuung |
| Mitarbeitende | Arbeitsunfälle wegen Unachtsamkeit, fehlenden Anweisungen | 2 | 8 | Gute Einarbeitung, regelmäßige Schulung, Betrachtung der Beinaheunfälle |
E*: Eintrittswahrscheinlichkeit | A*: Auswirkung
Gerne stellen wir Ihnen hier für Ihr eigenes Unternehmen das Formular zur Risikoermittlung zur Verfügung.
Am Ende wird beim Audit geprüft, ob man sich im Unternehmen Gedanken über typische Risiken und Chancen gemacht hat und diese realistisch einschätzen kann. Deshalb müssen die Risikoermittlung sowie die inhaltliche Bewertung der Risiken und Chancen unbedingt in dokumentierter Form vorliegen. Die Dokumentation zu diesem Thema ist Voraussetzung für die Zertifizierung.
Wir freuen uns, wenn Sie bei Fragen zum Thema „Risikoermittlung“ Kontakt mit uns aufnehmen und sich selbst von unserer Beratungspraxis zum Thema „Qualitätsmanagement nach DIN EN ISO 9001“ überzeugen.