Umgang mit Risiken und Chancen im internen Audit

Das risikobasierte Denken und damit der Umgang mit Risiken und Chancen geniest eine gewisse Aufmerksamkeit. Solange es in unserem zugrunde liegenden Regelwerk Erwähnung findet, ist es eine zeitlose Anforderung, die stets zu berücksichtigen und von uns Auditoren stets zu auditieren ist. Die Begrifflichkeiten sind nicht so unüblich für den prozessorientiert denkenden Menschen in einer Organisation. Egal, ob es sich dabei also um die oberste Leitung, die Prozesseigentümer oder die internen Auditoren handelt.

Das Kapitel 6.1 der ISO 9001 birgt dennoch ein paar Herausforderungen, sonst wären die angesprochenen Maßnahmen ja so zu auditieren, wie die Maßnahmen zur Zielerreichung. Dann gibt es noch eine zweite Ebene, die bei der Vorbereitung der Audittätigkeiten zu berücksichtigen ist, nämlich, dass bei der Planung eines Audits ebenso das Thema zu berücksichtigen ist, da in der ISO 9001 Kapitel 9.2.2. a wie in ISO 19011 Kapitel 6.3.2.1 angeregt, ebenfalls das Risikobasierte Denken an den Tag zu legen ist. Grund genug diesen Themenkomplex einmal genauer aus der Auditorsicht anzuschauen und zu beleuchten.

Begrifflichkeiten klären im Umgang mit Risiken und Chancen

In der Welt des Qualitätsmanagements auf Basis der ISO 9000er Reihe ist es zunächst immer guter Ton, wenn wir uns die Begrifflichkeiten einmal etwas genauer anschauen. Die Dramaturgie hält sich hier wahrscheinlich in Grenzen. Ich denke dabei immer an die Definition einer Korrekturmaßnahme, die ja in einem Audit bisweilen Sinnkrisen auslösen kann.

Hierzu dient also zunächst der Blick in die ISO 9000, dem Vokabelheft der Norm. Andere Managementsysteme schauen unter der Kap. 3 des betreffenden Regelwerkes, aber wir bei dem Qualitätsmanagementsystem ISO 9001 schauen da ins Leere, resp. lesen: „Für die Anwendung dieses Dokumentes gelten die Begriffe nach ISO 9000:2015.“ Also auch hier einmal mehr der zarte Hinweis, dass dieses Regelwerk auch dem Zugriff des geneigten internen Auditors stehen sollte, am Ende hilft es der Wahrheitsfindung, die ja bei uns bekanntlich Übereinstimmung und Nicht-Übereinstimmung heißt.

Was definiert die ISO 9000? Sie gibt unter Kap. 3.7.9. das „Risiko“ mit der „Auswirkung von Ungewissheit“ an. Es folgen sechs Anmerkungen zur Begriffsdefinition, die teilweise wieder auf Definitionen anderer Regelwerke zurückgeführt werden. Anmerkung 1 zum Begriff lautet: „Eine Auswirkung ist eine Abweichung vom Erwarteten – in positiver oder negativer Hinsicht.“ Da kann man sich daran festhalten, eine Abweichung (der Begriff ist uns als Auditoren geläufig) von Erwartbaren, also Variation, Veränderlichkeit bis hin zum Fehler. Die weiteren Anmerkungen führen hier nicht wesentlich weiter. Der Begriff der Chance wird in der ISO 9000 leider nicht genauer umrissen. Dies ist auch identisch mit einer Recherche in der ISO 19011.

Die ISO 19011 bringt noch einmal einen eigenen Zungenschlag in die Betrachtung mit dem Fokus auf den Auditprozess. Speziell im Kap. 6.3.2.1 „Risikobasierter Ansatz der Planung“ geht es mit ein paar Hinweisen in unseren ureigensten Prozess der internen Auditierung. Hierauf gehen wir im weiteren Verlauf aber noch etwas genauer ein.

Weitere passende Blogbeiträge:

Entdecken Sie auch unsere anderen Blogbeiträge zum Thema Audit und erhalten Sie Expertenwissen unter anderem zu diesen Themen:

Risiken und Chancen in der ISO-Welt

Die ISO 31000:2018 ist eine Norm, die sich grundsätzlich mit dem Thema Risikomanagement beschäftigt. Dies ist sicherlich erhellend, wäre ein Weg zur Vertiefung und hält einen allgemeinen Ansatz zum Thema vor. Wie an vielen Stellen zum Regelwerk der ISO 9001 passend, stellt diese definierte Umsetzungsmöglichkeiten bereit. Diese sind aber nicht als Anforderung formuliert. Auch hier denke ich an Methoden, wie zum Beispiel zur Fehlerursachenanalyse, die auf jeden Fall ihre Existenzberechtigung haben – aber nicht expressis verbis gefordert werden. ISO 9001 halt.

Also bleibt uns hier als Auditor der Nachweis des wirksamen Handelns auf Basis einer internen Festlegung, zum Bestätigen der Übereinstimmung. Also nicht der Nachweis einer angewendeten Methode oder Norm. Es sei denn, es ist intern etwas dazu festgelegt. Im Falle einer nicht wirksamen Umsetzung würden wir eine Abweichung schreiben und ebendies in der Begründung erwähnen. „Die wirksame Umsetzung konnte am Beispiel von xy nicht nachvollzogen werden.“ Was wir auf gar keinen Fall machen dürfen, ist eine Methode oder methodische Vorgehensweise vorzugeben – dies ist Aufgabe des auditierten Bereichs, und zwar nach der Ursachenanalyse. Wir Auditoren achten auf die wirksame Umsetzung von festgelegten Vorgaben.

ISO 9001 führt unter 04. „Zusammenhang mit anderen Normen und Managementsystemen“ aus: „Diese Internationale Norm (also die ISO 9001) ermöglicht einer Organisation die Anwendung des prozessorientierten Ansatzes in Verbindung mit dem PDCA-Zyklus und dem risikobasierten Denken, um ihr Qualitätsmanagementsystem an die Anforderungen anderer Managementsysteme anzugleichen oder zu integrieren.“ Etwas weiter folgt: „Die Internationale Norm enthält keine spezifischen Anforderungen anderer Managementsysteme, z.B. Umweltmanagement, Arbeitsschutzmanagement oder Finanzmanagement.“ Hier schließt sich der Kreis für die ISO 9001, es wird also der prozessorientierte Ansatz in Verbindung mit dem PDCA-Zyklus und dem risikobasierten Denken herausgestellt. Was getan werden soll, nicht wie.

Umgang mit Risiken und Chancen in der ISO Welt

Risikobasiertes Denken

Bleiben wir bei der ISO 9001. Schauen wir in Kapitel 03. „Prozessorientierter Ansatz“ und dort unter 0.3.3. „Risikobasiertes Denken“: „Die Erfüllung der Anforderungen dieser internationalen Norm verlangt von der Organisation, dass sie Maßnahmen plant und umsetzt, mit denen Risiken und Chancen behandelt werden. Die Behandlung von sowohl Risiken als auch Chancen bildet die Grundlage für die Steigerung der Wirksamkeit des QMS, für das Erreichen verbesserter Ergebnisse und für das Vermeiden von negativen Auswirkungen.“

Und hier wird auch zum Thema Chancen etwas ausgeführt: „Chancen können sich infolge einer Situation ergeben, die sich günstig auf das Erreichen eines beabsichtigten Ergebnisses auswirkt, z.B. eine Reihe von Umständen, die es der Organisation ermöglicht Kunden zu gewinnen, neue Produkte und Dienstleistungen zu entwickeln, Abfälle zu verringern oder Produktivität zu verbessern." Jetzt hoffen wir mal, dass mit den Abfällen, die bei dem Kunden anfallenden gemeint sind und die Produktivität ebenfalls auf den Kunden abhebt, was hier allerdings nicht weiter ausgeführt wird.

Ich sehe es so, dass diese Ausführungen das Thema zum Umgang mit Risiken und Chancen beschreiben und das Ziel der Handlungen beschreibt, nämlich Maßnahmen abzuleiten. Treiber dabei sollte das Bemühen zur Steigerung der Wirksamkeit des QMS sein. Was wir hier nicht herauslesen, ist die Art und Weise wie Risiken und Chancen ermittelt werden sollen.

Video: Welche Auditarten und Auditformen gibt es?

Video: Wie läuft ein Audit ab?

Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!

Erläuternde Ausführungen in der ISO 9001 Anhang A4

Da hilft vielleicht der konzeptionelle Ansatz des Anhangs weiter, der Anhang A4 „Risikobasiertes Denken“ der u.a. auf das Konzept weiter eingeht. Er formuliert: „Diese internationale Norm legt Anforderungen an die Organisation fest, dass sie ihren Kontext versteht und die Risiken als Grundlage zur Planung bestimmt. Dies verkörpert die Anwendung des risikobasierten Denkens bei der Planung und Verwirklichung von Prozessen des QMS und hilft bei der Bestimmung des Umfangs von dokumentierten Prozessen.“ Aus diesem Passus lässt sich herauslesen, dass zum einen die Unternehmensrisiken vor dem Hintergrund des Kontextes der Organisation, sondern auch die Risiken der Prozesse des QMS Berücksichtigung finden sollten. Wenn wir später den Normtext betrachten, wird aber aus dem „sollte“ ein „muss“ und das schließt dann natürlich auch die Chancen ein.

Der 2. Absatz macht auf das sinnstiftende Handeln aufmerksam und lässt die Betrachtungen zu Risiken und Chancen weniger als lästige Hausaufgaben erscheinen. „Es ist Kernaufgabe eines QMS als vorbeugendes Instrument zu wirken. Aus diesem Grund enthält diese internationale Norm keinen separaten Abschnitt oder Unterabschnitt zu vorbeugenden Maßnahmen. Das Konzept der vorbeugenden Maßnahmen wird durch die Anwendung des risikobasierten Denkens bei der Formulierung von Anforderungen des QMS zum Ausdruck gebracht.“

Gut finde ich ebenfalls die Erläuterung im vierten Absatz des Anhangs A4. „Obwohl in 6.1. (der ISO 9001) festgelegt ist, dass die Organisation Maßnahmen zur Behandlung von Risiken planen muss, sind keine formellen Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess gefordert.“ Diese Klarstellung ist von Bedeutung, da man im Kap. 6.1 immer geneigt ist dies hineininterpretieren zu wollen. Sehr wohl ergeben sich ein paar Verbindlichkeiten zum Leiten und Lenken der Risiken und Chancen. Und es bedeutet sicher auch nicht Zufall und Irrtum walten zu lassen. Am Ende unserer Betrachtungen als Auditoren geht es stets um den Nachweis der wirksamen Umsetzung.

Zum Abschluss zu Anhang A4

Zum Abschluss runden im Anhang A4 noch zwei Anmerkungen die Ausführungen ab, die zum einem dem Anwender aber auch uns Auditoren erhellendes mit auf den Weg gibt. „Nicht alle Prozesse eines QMS verkörpern den gleichen Risikograd im Hinblick auf die Fähigkeit der Organisation, ihre Ziele zu erreichen, und die Auswirkungen von Unsicherheit sind nicht immer für alle Organisationen gleich.“ Diese Differenzierung stellt einen höheren Anspruch an uns Auditoren dar, dies zu erkennen und zu berücksichtigen. Und weiter: „Entsprechend den Anforderungen von 6.1 (der ISO 9001) ist die Organisation für die Anwendung des risikobasierten Denkens sowie für das Einleiten von Maßnahmen zur Behandlung eines Risikos verantwortlich, einschließlich der Frage, ob dokumentierte Informationen als Nachweis für die Bestimmung von Risiken von ihr aufzubewahren sind oder nicht.“

Allgemeines Verständnis zum Umgang mit Risiken und Chancen

Hört sich gerade alles so an, als ob wir die Audits direkt sein lassen können! Mit Sicherheit nicht. Wir haben uns über die Begriffe und die grundsätzliche Behandlung der „Maßnahmen zum Umgang mit Chancen und Risiken“ verständigt. Die Handlungsoptionen obliegen ja zunächst dem Anwender des Regelwerkes zur Auskleidung wirksam umzusetzender Prozesse. Wir haben ihm dabei im Prinzip über die Schulter geschaut, wie dies – bei allen Freiheiten – normkonform geschehen kann. Zuerst sollten wir erkennen, bei diesem Thema keine Anforderungen in den Raum zu stellen, die die ISO 9001 nicht vorgibt. Des Weiteren ist es aber auch nicht korrekt schlichte Behauptungen als normkonform anerkennen zu müssen.

Nachfolgend wollen wir etwas mehr die Rolle des internen Auditors und des Auditprozesses in den Vordergrund rücken. Die hier zu betrachtenden Themen sind im Auditprogramm wahrscheinlich nur an einer Stelle zu auditieren. Während man die grundsätzlichen Fragen zum Umgang mit Risiken und Chancen in mehreren Prozessen auditieren kann. Das Kapitel 6.1 der ISO 9001 ist zu auditieren und das Kapitel 9.2 ist inhaltlich umzusetzen. In beiden Sichtweisen können Risiken und Chancen liegen, die im Rahmen dieses Teils etwas beleuchtet werden sollen. Ein komplexes Thema und damit Grund genug diesen Themenkomplex noch einmal etwas genauer anzuschauen und zu beleuchten.

Auditfolgemaßnahmen Risiken und Chancen in der ISO Welt

Anknüpfung ISO 9001 Kap. 9.2.

Der erste Anknüpfungspunkt ist natürlich die ISO 9001 mit den Anforderungen an die interne Auditierung, wie in Kapitel 9.2 beschrieben. In ISO 9001 Kap. 9.2.1 ist zunächst beschrieben, was der Prozess der internen Auditierung zu leisten hat. Eine Differenzierung lesen wir aus dem Passus „…ob das QMS a) die Anforderungen an ihr QMS …erfüllt;“ Wenn wir dies mit den Anforderungen aus ISO 9001 Kap. 4.4 „QMS und seine Prozesse“ und dort speziell 4.4.1 „Die Organisation muss … f) die in Übereinstimmung mit den Anforderungen nach 6.1 bestimmen Risiken und Chancen behandeln“ bedeutet dies, dass z.B. das Rechnungswesen (sofern es überhaupt als Prozess für das QMS bestimmt wurde) sicherlich eine andere Aufmerksamkeit durch die interne Auditierung erforderlich macht als z.B. die Fertigung (einmal unabhängig von der organisatorischen und ablauftechnischen Komplexität) rein auf Basis des risikobasierten Denkens erforderlich macht.

Der zweite Aspekt, der in die gleiche Richtung geht, ist in der Auditprogrammplanung beschrieben in Kapitel 9.2.2 der ISO 9001. „Die Organisation muss …a) ein oder mehrere Auditprogramme planen … welche die Bedeutung der betroffenen Prozesse … berücksichtigen“.

Daher müssen Sie den risikobasierten Ansatz mit Bezug auf Kapitel 6.1. und die Anforderungen, aus Kapitel 9.2 berücksichtigen. Nun gibt es zur Umsetzung der internen Auditierung noch den Leitfaden der ISO 19011, den wir im Weiteren zur Konkretisierung betrachten wollen.

Interessante Produkte für Sie

Kursformen

Zertifikat

Informationen

Kostenloser E-Learning Kurs - Was ist ein Audit?

Interner Auditor ISO 9001

Refresher-Training für interne Auditoren

Auditor und Lead Auditor ISO 9001

Kostenloser Gesamtkatalog der VOREST AG zum Download

Auditprinzipien

In der ISO 19011 Kap. 4 „Auditprinzipien“ finden wir Grundsätze die feste Regeln darstellen, an die man sich hält. „Das Auditieren stützt sich auf eine Reihe von Prinzipien. Diese Prinzipien sollten dazu dienen, das Audit zu einem wirksamen und zuverlässigen Werkzeug zur Unterstützung von Managementpolitiken und -steuerungen zu machen, indem sie Informationen bereitstellen, auf deren Grundlage eine Organisation handeln kann, um ihre Leistung zu verbessern. Eine Einhaltung dieser Prinzipien ist eine Voraussetzung, um Auditschlussfolgerungen zu liefern, die relevant und ausreichend sind. Und um unabhängig voneinander arbeitende Auditoren zu befähigen, zu ähnlichen Schlussfolgerungen unter ähnlichen Umständen zu gelangen.“ Hier geht es uns jedoch nur um den risikobasierten Ansatz, einem Auditansatz, der Risiken und Chancen berücksichtigt. „Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung von Audits maßgeblich beeinflussen, um sicherzustellen, dass die Audits, auf die für den Auditauftraggeber und für die Erreichung der Ziele des Auditprogramms relevanten Themen ausgerichtet ist.

Hier sieht man zwei Dinge. Zum einen, dass ein stetes Wiederholen der Audits auf Dauer nicht hilfreich ist, zum anderen, dass die Audits Inhalte benötigen, um sinnstiftend umgesetzt werden zu können. Die Inhalte kommen z.B. also sogenannte Auditkriterien als Vorgabe für ein Audit in das Auditprogramm. Oder es besteht die Anforderung sich als interner Auditor bei der Auditvorbereitung entsprechend zu informieren. Beim externen Auditor ist das ähnlich, um der obersten Leitung am Ende des Audits auch eine relevante Rückmeldung geben zu können.

Klärungsfragen zur Vorbereitung eines Audits

So frage ich vor dem Auditbeginn, spätestens aber zu Beginn des Audits, inwiefern sich Dynamik und Variation in den letzten 12 Monaten für die Organisation ausgewirkt haben. Damit kann ich den Auditplan etwas differenzierter gestalten und zu einem Zeitpunkt, wo keine Überraschungen die Stimmung belasten könnten. Der Partner darf auch spezielle Themen im Vorfeld wissen, dafür ist der Auditplan da.

Generell frage ich die Dynamik der letzten 12 Monate (also seit dem letzten Audit) ab. Was gab es für technischen Änderungen? Welche organisatorische Änderungen gab es? Was gab es für personelle Veränderungen seit dem letzten Audit? Das geht immer. So könnte man auch etwas spezieller für die einzelnen Prozesse abfragen und z.B. Thema „Reklamationsbearbeitung“ nach Klärung gerne den Auditplan ergänzen, um „insbesondere Kundenreklamation 123“, oder „“ oder „“ o.ä, – da diese Themen wahrscheinlich eine besondere Bedeutung hatten und so einen Schwerpunkt setzen.

Ich denke, dass diese besonderen Informationen für einen internen Auditor zur Vorbereitung erreichbar wären. Also Informationen zur Auditvorbereitung, die aus dem Rauschen hervortreten und keine Banalitäten darstellen. Auch gut, wenn die Informationen über das Auditprogramm angewiesen oder im Rahmen eines wie auch immer gearteten Vorbereitungsgesprächs adressiert würden. Möglichkeiten, wie Sie sehen, gibt es intern mehrere. Dies wäre jedenfalls ein Weg zur Umsetzung des risikobasierten Ansatzes und um vorbereitet in ein Audit zu gehen.

Bestimmung und Beurteilung der Auditprogramm Risiken

Risiken und Chancen können Auditoren in jedem Prozess betrachten, je nach Gestaltungshöhe mehr oder weniger. Das Auditprogramm betrachtet man sicherlich nicht in jedem Prozess, aber bei der obersten Leitung oder dem QMB. So heißt es dort: „Mit dem Kontext der Organisation einer auditierten Organisation sind Risiken und Chancen verbunden, die in Zusammenhang mit einem Auditprogramm stehen und das Erreichen seiner Ziele beeinflussen können. Die Person, die das Auditprogramm steuert, sollte die Risiken und Chancen, die bei der Entwicklung des Auditprogramms und der Ressourcenanforderung berücksichtigt wurden, ermitteln und dem Auditauftraggeber vorlegen, damit diese angemessen behandelt werden.“ Die ISO 19011 bietet uns sozusagen sinnvolle Themen an, die wir zu vorkonfektionierten Fragen für das Audit des Auditprozesses / Auditprogramm verwenden können. So werden unter a) – h) Risikobereiche erwähnt, auf die wir sinnvollerweise abheben können.

Beispiel: „Risiken können mit Folgendem in Verbindung stehen a) der Planung, z.B. das Versäumnis Auditziele festzulegen und das Ausmaß, die Anzahl, die Dauer, die Standorte und den Zeitplan zu bestimmen;“ Sie betrachten den freigegebenen Auditplan an und könnten folgende Auditfragen stellen:

„Welche Auditziele sind für das laufende Jahr von der Organisation festgelegt worden?" (der objektive Nachweis sollte idealerweise aus dem Auditprogramm entnommen werden können).
„Woran kann ich erkennen, dass die Bedeutung der betroffenen Prozesse berücksichtigt wurde?“ (die Umsetzung der Wertschöpfungskette „Entwicklung“ ist bedeutender als ein unterstützender Prozess „Instandhaltung“)
„Inwiefern wurden Änderungen mit Einfluss auf die Organisation bei der Auditprogrammplanung berücksichtigt? (vielleicht wurde vorher darüber gesprochen, welche Änderungen mit Einfluss auf die Organisationeingetreten sind)
„Wie fließen die Ergebnisse vorheriger Audits in die Auditprogrammplanung ein? (den Umgang mit Abweichungen sollte sich ein Auditor genau anschauen können. Erwähnte Empfehlungen, Hinweise, weiterzuführende Themen und auch adressierte Chancen und Risiken aus dem letzten Auditbericht sollten natürlich nicht verpuffen, sondern durchaus noch einmal angesprochen werden).

Bestimmung und Beurteilung der Auditprogramm Chancen

Chancen fallen immer ein bisschen geringer in der Wahrnehmung aller Beteiligten aus. Gerade deswegen sollten wir sie im Audit auch würdigen. Chancen zu nutzen sind ja auch Beiträge zur fortlaufenden Verbesserung. Aus den Anregungen des Kapitels möchte ich gerne die Anpassung des Kompetenzgrades des Auditteams (oder Auditors) erwähnen, der an die für das Erreichen der Auditziele benötigten Kompetenzgrad heranreichen muss. Gerne merke ich an, das statistische Methoden in Audits sträflich vernachlässigt werden. Viele Systeme sind seit Jahren auf einem Niveau, wo die Sichtweise differenzierter erfolgen muss. Prozentangaben führen nicht weiter, vielleicht geht man dann besser auf ppm (parts per million). Oder um die Verbesserung wirklich zeigen zu können auf einen Hypothesentest (Vergleich zweier Mittelwerte – z.B. Vorjahr und laufendes Jahr), um eine Verbesserung auch zeigen zu können. Schließlich ist die fortlaufende Verbesserung ein wesentliches Kriterium für den Erhalt des Zertifikates.

Risiken und Chancen sind im Audit bei jedem Prozess möglich zu betrachten. Aber nicht zwingend immer in epischer Breite, da wir genügend Prozesse für diese Betrachtung haben. Risiken du Chancen im Auditprozess selber sind eher Thema bei dem Verantwortlichen für den Prozess. Also wahrscheinlich nur einmal zu auditieren. Das wäre typischerweise beim Auditauftraggeber (oberste Leitung) in Verbindung mit dem Auditprogrammleiter (QMB) der Fall. Da wir sozusagen nur eine Gelegenheit, also ein Audit, haben, um das Thema zu betrachten sollte der Auditor hier auch mehr Zeit investieren.

Video: Auswertung der Auditergebnisse & KVP

Video: Was ist Risikomanagement ISO 9001 im Qualitätsmanagement?

Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!

Umgang mit Risiken und Chancen bei der Planung eines Audits

In vielen Fällen haben wir die Möglichkeit größere Teile eines Audits selbstbestimmt zu planen und umzusetzen. Dieses Privileg haben nicht alle Arbeitskollegen, viele müssen ausführen, was andere geplant haben. Hierzu zählen z.B. die Umsetzung eines Fertigungsauftrages oder die LKW-Fahrt von A nach B. Eben wegen dieser Funktionslust legen sich Auditoren auch ins Zeug, ein „gutes“ Audit abzuliefern. Dazu gehört dann auch, den risikobasierten Ansatz anzuwenden. In der ISO 19011 Kap. 6.3.2 Planung des Audits 6.3.2.1. Risikobasierter Ansatz der Planung heißt es: „Der Auditteamleiter (also Auditor, der ein Audit plant) sollte einen risikobasierten Ansatz für die Planung des Audits auf der Grundlage der Informationen im Auditprogramm und der von der auditierten Organisation bereitgestellten dokumentierten Information verfolgen.“

Hier geht es um die Facette der operativen Auditplanung. Machen wir es an einem speziellen Beispiel fest. Wann ist der geeignete Zeitpunkt den Restaurantbetrieb, z.B. eine Kantine, zu auditieren? Bei den Vorbereitungen, beim Servieren, beim Saubermachen – welcher Prozessschritt hat denn die meiste Variation? Und die meisten Risiken für den Kunden? Wahrscheinlich kommen Sie zu der Erkenntnis, dass in Gegenwart des Kunden die meisten Risiken anwesend sind. Was heißt das jetzt für die Auditplanung? Genau, wir auditieren zu dem Zeitpunkt, wenn das Lokal gut besucht ist. Welche Methoden wenden wir an? Wahrscheinlich wollen wir im laufenden Betrieb Koch und Kellner nicht in ein Auditgespräch verwickeln (Risiko: Störung des Prozesses über Gebühr). Daher wählen wir eher die Methode des „Beobachten von Tätigkeiten“.

Dann können Sie nach dem Publikumsverkehr die eine oder andere Beobachtung hinterfragen und ggf. Nachweise einsehen (Chance: Interaktion mit dem Kunden wird wahrgenommen). Ggf. können Sie auch Ihr Auge schweifen lassen während Sie selbst etwas Essen. Ob es Ihnen persönlich geschmeckt hat, dass wäre ein ziemlich subjektiver Eindruck. Da fallen Ihnen als Auditor sicher andere Wege ein, nach objektiven Nachweisen zu fragen.

Auditieren von Risiken und Chancen

Mangels normativer Vorgaben wird man hier auch nicht vogelwild agieren, sondern den Prozess in irgendeiner Form Leiten und Lenken. Als roter Faden dient hier die ISO 19011 Anhang A10 „Auditieren von Risiken und Chancen“. Hier sollten wir uns als erstes von der Glaubwürdigkeit des Prozesses zur Ermittlung von Risiken und Chancen vergewissern. Dann, ob die ermittelten Risiken und Chancen richtig bestimmt und gesteuert wurden. Und zuletzt, überprüfen, wie die bestimmten Risiken und Chancen behandelt werden. Der Passus endet mit dem Absatz: „Der Umgang der Organisation mit ihren Risiken und Chancen, einschließlich des Risikogrades, den sie bereit ist, zu akzeptieren, und der Art, wie dieser gesteuert wird, erfordert das fachmännische Urteil des Auditors.“

Vor dem Satz bekommt man Respekt, heißt aber auch, dass wir im Audit betrachten, inwiefern die Ausführungen zu Risiken und Chancen in Übereinstimmung (oder eben nicht) mit Aussagen der Qualitätspolitik harmonieren, ob Qualitätsziele durch Risiken ggf. schwierig zu erreichen erscheinen oder wie die Bewertung im Rahmen der Managementbewertung dazu passt. Das fachmännische Urteil besteht darin die Wechselwirkungen mit anderen Anforderungen zu betrachten und die Anforderungen der Norm nicht als Stand-alone Anforderungen zu sehen . Wir auditieren ein Qualitäts-Management-System.

Anknüpfungspunkte an die ISO 9001

Schon der Kontext der Organisation im Kapitel 4.1 der ISO 9001 eröffnet das Thema der Risiken und Chancen mit seinen Anmerkungen 2 „Das Verständnis über den externen Kontext kann durch Betrachten von Themen gefördert werden, die sich aus dem gesetzlichen, technischen, wettbewerblichen, marktbezogenen, kulturellen, sozialen oder wirtschaftlichen Umfeld ergeben, ob international, national, regional oder lokal.“ und 3 „Das Verständnis des internen Kontextes kann durch Betrachten von Themen, die sich auf Werte, Kultur, Wissen und Leistung der Organisation beziehen, gefördert werden.“

Memo: Anmerkungen sind keine Anforderungen. Sie sind als Ideen, Stichworte zu verstehen und helfen uns diese Einflussfaktoren auf Einschlägigkeit zu betrachten. Unsere zu auditierenden Organisationen leben ja nicht auf der Insel der Glückseeligen, sondern sind eingebunden in eine Gemengelage -mit Risiken und Chancen.

Maßnahmen zum Umgang mit Risiken und Chancen

Die ISO 9001 gibt nun in Kap. 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“ eine Konkretisierung: Kap. 6.1.1 „Bei der Planung für das QMS muss die Organisation die in 4.1 genannten Themen und die in 4.2 genannten Anforderungen berücksichtigen sowie die Risiken und Chancen bestimmen, die behandelt werden müssen,…“. So müssen Risiken und Chancen identifiziert werden, die sich an den Kontextpartnern der Organisation spiegeln und je nach Größe der Organisation, sicherlich in unterschiedlicher Ausprägung, auch bei den Prozesseigentümern. Der Weg zur Ermittlung der Risiken und Chancen ist, wie bereits mehrfach erwähnt, nicht konkretisiert. So wäre ein munteres Brainstorming durchaus zu akzeptieren, wenn es denn ritualisiert stattfindet. Z. B. bei konkretem Anlass oder – wie so vieles – einmal jährlich. Am Ende dieser Betrachtungen müssen Risiken und Chancen ermittelt worden sein, die behandelt werden.

Die abwehrende Aussage eines fiktiven Prozesseigentümers „Bei uns gibt es keine Risiken (Chancen)!“ ist somit nicht normkonform. Die flotte Gegenfrage könnte lauten: „Wie kommen Sie denn auf das schmale Brett?“, aber das führt nicht weiter; etwas seriöser gefragt: „Wie haben Sie den Umgang mit Risiken und Chancen in ihrer Organisation festgelegt?“ Wird darauf nicht sofort geantwortet, Überlegen ist erlaubt. Überlegen Sie auch Ihre Position als Auditor – Sie auditieren ein Managementsystem. Folgende Ausführung sollte ihr Handeln leiten: Der risikobasierte Ansatz ist eine Führungsaufgabe (ISO 9001 Kap. 5 1).

Maßnahmenmanagement

In ISO 9001 Kap. 6.1.2 zu „Maßnahmen zum Umgang mit Risiken und Chancen“ folgt nun endlich das Maßnahmenmanagement, wie wir es aus vielen anderen Anforderungen (z.B. Qualitätsziele) kennen: „Die Organisation muss planen: a) Maßnahmen zum Umgang mit Risiken und Chancen: b) wie 1) die Maßnahmen in die QMS-Prozesse der Organisation integriert werden und dort umgesetzt (siehe 4.4) 2) die Wirksamkeit dieser Maßnahmen bewertet wird.“

Nicht jedes Risiko und nicht jede Chance muss dabei automatisch eine Maßnahme zur Folge haben. Dazu hilft eine Priorisierung. Diese darf aber auch nicht immer dazu führen nichts zu tun. Das Regulativ stellt die Managementbewertung dar, die über ISO 9001 Kap. 9.3.2 „Eingaben in die Managementbewertung“ wie folgt lautet: „Die Managementbewertung muss geplant und durchgeführt werden unter Erwägung folgender Aspekte: e) der Wirksamkeit von durchgeführten Maßnahmen zum Umgang mit Risiken und Chancen (siehe 6.1)“.

Damit endet unsere Betrachtung zu dem doch recht weichen Thema zum Umgang mit Risiken und Chancen. Aber auch mit dem harten Urteil, welches in der Managementbewertung erwartet wird. Steigen Sie mutig in das Thema ein, Sie werden Umsetzungen sehen, die begeistern und manche, die das weniger tun. Vergessen Sie nicht, am Ende Ihrer Betrachtungen müssen Sie die Wirksamkeit beurteilen.