Ich verfolge seit Jahren die Fach- und Blogbeiträge von Herrn Joseph; aus meiner Sicht sind diese der Kategorie „besonders lesenswert“ zuzuordnen. Er schafft es auf pointierte Weise, die – teilweise haarsträubend – gelebte QM-Wirklichkeit auf den Punkt zu bringen.
Der nachfolgende Beitrag [QM Blog vom 22.09.2016] zitiert einen Blog-Artikel von Dipl.-Ing. (FH) Stephan Joseph; die beschriebenen Situationen und Aussagen sprechen mir aus der Seele.
Quelle: http://blog.isoman.de
Risikobasiertes Denken im Zertifizierungsaudit
„Welchen Revisionsstand hat Ihr Organigramm?“ ist keine seltene Einstiegsfrage von Zertifizierungsauditoren. Wenn eine Organisation ein Organigramm hat, dann zeigt man es halt und der Zertifizierungsauditor macht sich eine Notiz. Kritischer wird es, wenn Organisationen kein Organigramm haben und Zertifizierungsauditoren dennoch danach verlangen. Das entbehrt jeder Grundlage! Die ISO 9001 fordert keine Darstellung der Aufbauorganisation. Gemäß ISO 9001 müssen die Verantwortlichkeiten und Befugnisse für relevante Rollen festgelegt und gelebt werden. Hierzu benötigt man nicht zwangsläufig ein Organigramm.
Das Organigramm Beispiel ist vergleichsweise harmlos. Mit der Revision ISO 9001:2015 beobachte ich neue, nicht haltbare Anforderungen von Zertifizierungsauditoren. Teilweise stelle ich mir die Frage, ob diese Zertifizierungsauditoren die neue Norm überhaupt gelesen haben. Hierfür möchte ich das Beispiel „Maßnahmen zum Umgang mit Risiken und Chancen“ anführen.
Auditoren müssen die Abgrenzung zum Risikomanagementsystem kennen!
Der Leitfaden „Anleitung zum Übergang ISO 9001:2015“ der Deutsche Akkreditierungsstelle liefert Hinweise für die Umstellung der ca. betroffenen 120 akkreditierten Zertifizierungsstellen. Der Anhang A regelt die Qualifizierung von Zertifizierungsauditoren. Demnach müssen die Auditoren u.a. geschult werden zu: „Verständnis des risikobasierten Denkens im Kontext des PDCA-Prozesses als wesentlicher neuer Bestandteil des QMS, Grundverständnis Risikodefinition / Prozessrisiken, Abgrenzung zum Risikomanagementsystem (z. B. nach ISO 31000, Methoden)“.
Das Wort Abgrenzung scheinen einige Auditoren nicht verstanden zu haben und prompt taucht im Zertifizierungsaudit die Frage auf „Wie haben Sie Ihr Risikomanagementsystem dokumentiert?“. Diese Frage enthält gleich zwei Fehler. Erstens fordert die ISO 9001:2015 kein Risikomanagementsystem und zweitens werden ermittelte Risiken nicht als dokumentierte Information gefordert.
Ein Auditor meinte daraufhin zu mir: „Wie soll ich denn die Risiken bewerten, wenn diese nicht dokumentiert sind?“ Ist es meine Aufgabe, einem Zertifizierungsauditor seinen Job zu erklären? Ersten ist es nicht die Aufgabe der Zertifizierungsauditoren die Risiken zu bewerten und zweitens bekommt ein guter Zertifizierungsauditor im Laufe des Audits ein Gespür dafür, ob das risikobasierte Denken in einer Organisation gelebt wird.
Ich fürchte, dass aktuell viele bunte Risikomatrizen die QM-Dokumentation ergänzen werden und dass diese im Zertifizierungsaudit gelobt werden. Das hätte zur Folge, dass die Organisationen meinen, alles richtig gemacht zu haben und letztendlich spricht sich herum, dass eine Risikomatrix oder ähnliches von der ISO 9001 gefordert wäre.
Ich stehe Risikomanagementsystemen nicht feindlich gegenüber! Es gibt Themen, bei denen Methoden des Risikomanagements sehr hilfreich sind. Allerdings fordert die ISO 9001:2015 kein Risikomanagementsystem, weshalb es mich ärgert, wenn das Thema falsch auditiert wird.
Was ist zu tun?
Da ich nicht nur meckern möchte, gehe ich nun auf Normanforderung „Maßnahmen zum Umgang mit Risiken und Chancen“ ein.
Ein Qualitätsmanagementsystem an sich ist ein System zu Vermeidung von Qualitätsrisiken. Bereits in vorherigen Versionen der ISO 9001 gab es den Abschnitt „Vorbeugungsmaßnahmen“. Anders als bei der aktuelle Revision 2015 musste sogar ein dokumentiertes Verfahren eingeführt werden, um potenzielle Fehler zu ermitteln.
Zudem liefert die ISO 9001 bereits zahlreiche Themen, bei denen Risiken entdeckt werden und zu denen sogar dokumentierte Informationen gefordert sind. Zum Beispiel können interne Audits Schwachstellen aufdecken, Kennzahlen können als Frühwarnsystem verstanden werden und durch die Lieferantbewertung sollten ebenfalls Risiken frühzeitig erkannt werden.
Im Rahmen von Zertifizierungsaudits wurde das Thema „Vorbeugungsmaßnahmen“ oft nur im Kontext von „Fehlermanagement“ auditiert, da im 8d-Report praktischerweise das Wort „Vorbeugungsmaßnahme“ schon enthalten ist. Als Verfahren diente die Reklamationsbearbeitung und ausgefüllte 8d-Reports als Aufzeichnungen.
Dabei kann jeder Prozess, jede Tätigkeit und sogar das Unterlassen von Handlungen Risiken enthalten. Da wäre es eine Verschwendung, nur im Kontext von Reklamationen über Vorbeugungsmaßnahmen nachzudenken (was eh ein Widerspruch in sich ist).
Mit der Revision der ISO 9001:2015 ist die Anforderung an ein dokumentiertes Verfahren weggefallen. Inhaltlich hat sich jedoch gegenüber den Vorbeugungsmaßnahmen der Vorgängernorm nichts Grundlegendes verändert. Gleichzeitig haben die Normschreiber versucht, das Thema „Vorbeugung“ auf breitere Füße zu stellen.
Es kann als „neu“ betrachtet werden, dass bei der Ermittlung von Risiken der Kontext der Organisation berücksichtigt werden muss. Wenn eine Organisation die Führungskräfte und Mitarbeiter für ein zielgerichtetes, risikobasiertes Denken gewinnen möchte, ist das nur logisch!
Wäre es nicht himmlisch, wenn alle Mitarbeiter einer Organisation die Anforderungen von Kunden und interessierten Parteien kennen und stets nach Möglichkeiten suchen, diese Anforderungen optimal umzusetzen. Aus diesem Grunde erwähnt die ISO 9001 nicht nur Risiken, sondern auch Chancen. Es geht nicht darum, alles aufzuschreiben und zu bewerten. Ziel eines gelebten QM-Systems ist, dass die richten Schlüsse gezogen und passende Maßnahmen abgeleitet werden.
Das Thema „Maßnahmen zum Umgang mit Risiken und Chancen“ kann demnach nicht als isoliertes Thema auditiert werden. Vielmehr ist es die Gesamtbetrachtung der Organisation, inwieweit die Summe aller Maßnahmen zur (Qualitäts-) Verbesserung der Organisation beitragen.
Dipl.-Ing (FH) Stephan Joseph
Berater, Trainer, Mediator
