Risikobasiertes Qualitätsmanagement

Risikobasiertes Qualitätsmanagement (ISO 9001:2015)

In der zweiten Hälfte dieses Jahres wird die neue Version der Qualitätsnorm ISO 9001 zum Standard erhoben. Zwar gibt es großzügige Übergangsfristen für den Vorgänger von 2008. Unternehmen und andere Organisationen, für die das Qualitätsmanagement (QM) eine strategische Rolle spielt, sollten sich schnellstmöglich mit den neuen Anforderungen beschäftigen.

Die Zielsetzung, formal regelkonform bzw. zertifiziert zu bleiben oder werden, tritt dabei hinter eine neue ganzheitliche Qualitätsstrategie i.S.d. Normversion 2015 zurück. Diese zu entwickeln und zu implementieren kann in größeren Organisationen die dreijährige Übergangsfrist andauern.

Was ist neu?

Die dritte Revision der Norm 9001 hat auf einem weitgehend ausgereiften Stand aufgesetzt, so dass alle wesentlichen Konzepte und Strukturen der Version 2008 erhalten geblieben sind. Ein dokumentiertes QM-System, das alle Aspekte, die die Qualität von Produkten und Dienstleistungen ausmachen oder beeinflussen, abdeckt, bleibt ebenso eine zentrale Anforderung, wie das prozessorientierte Denken oder das dokumentierte Behandeln von Abweichungen durch geeignete Maßnahmen (plan → do → check → act).
 
Die wichtigsten Änderungen:

  • Das „Stakeholder-Prinzip“ setzt einen Schwerpunkt auf Kollaboration und Wissensvernetzung eingebettet in den organisatorischen Kontext.
  • Das QM soll risikobasiert sein.
  • Qualitätsziele sollen normenübergreifend verfolgt werden.
  • Gewichtsverlagerung von formalen Dokumentationspflichten dem ökonomischen Prinzip folgend hin zu Effektivität.
  • Prozessorientierung wird nunmehr für das QM ausdrücklich gefordert.

Was heißt „risikobasiert“?

Der Grundgedanke ist einfach: (auch) das QM soll dort seine Schwerpunkte setzen, wo es die größtmögliche Wertschöpfung erreicht. Diesem ökonomischen Prinzip folgend muss zunächst festgestellt werden, wo in der Bereitstellung von Produkten und Dienstleistungen die Risiken von Qualitätsmängeln liegen, wie schwer die wirtschaftlichen Konsequenzen wiegen und wie wahrscheinlich ihr Eintritt ist. Dieser Erhebungs- und Bewertungsvorgang (Risikoanalyse) ist Kern des gesamten Risikomanagements (RM). Stehen Eintrittswahrscheinlichkeit und Auswirkung für alle Phasen und Geschäftsprozesse fest, werden je nach Bedeutung „Klassifikation“ geeignete Risikostrategien entwickelt. Dabei wird die Lage der Schwerpunkte klar und wo demnach der Einsatz des QMs mit welcher Priorität und welchem Aufwand sinnvoll ist.

Aber Moment! Im Rahmen der allgemeinen Risikostrategien gibt es ein ganzes Spektrum von Möglichkeiten, die das QM i.e.S. nicht betreffen aber Einfluss auf Eintrittswahrscheinlichkeit oder Auswirkung nehmen: Entscheidungen zur Überwälzung oder Vermeidung des Risikos sind tendenziell unternehmerischer Natur, während Mitigation und Tragung des Risikos in den konkreten operativen Aufgabenbereich des QM fallen:

Einzelne Risikostrategien müssen in konkrete Maßnahmen übertragen und umgesetzt werden. Aufdeckende Kontrollen müssen eingerichtet, Kommunikationskanäle definiert werden, um alle Risiken zu überwachen, da selbst bei eingetretenen Risiken, diese festgestellt und der vorgesehenen Strategie zugeführt werden müssen.

Wie setzt man den risikobasierten Ansatz praktisch um?

Alle länger existierenden Unternehmen oder Organisationen müssen eine Form von RM haben oder sie hätten nicht überlebt. Die Verankerung des Qualitätsaspekts in dem vorhandenen RM ist demzufolge naheliegend und wirtschaftlich.

Risikoerhebung

Marktumfeld, Standort, Produkt oder Geschäftsmodell jedes Unternehmens sind individuell. Generische Risikokataloge kann es somit nicht geben.

Einen solchen Katalog sollte das Unternehmen erarbeiten. Praxisbewährt ist die Methode, die organisatorischen Einheiten die Risiken selbst melden zu lassen (Stakeholder-Prinzip). Einzelne Risiken können miteinander korrelieren, was sich erst nach zentraler Sammlung im Gesamtzusammenhang eines ´vollständigen Katalogs beurteilen lässt.

Alternativ kann man prozessorientiert vorgehen: alle, in den unterschiedlichen Phasen des Produktlebenszyklus zur Wertschöpfung beitragenden Geschäftsprozesse, werden nach vorhandenen Risiken und Kontrollen im Hinblick darauf erfasst, ob sie zu Qualitätsmängeln verursachen können.

Stakeholder bzw. Prozessverantwortliche, ihr Informationsbedarf, ihr Verantwortungsbereich und ihre Meldepflichten hinsichtlich des QM können in diesem Zuge ebenfalls definiert werden.

Es dürfen keine Tabuzonen existieren - gerade dort, wo sich in frühen Phasen des Produktlebenszyklus Unternehmensstrategie, Wettbewerbsposition, Innovationskraft und QM verzahnen.

Das QM moderiert den Prozess zur Festlegung der Produkteigenschaften (Qualität i.e.S.), um ihn für spätere Phasen des Lebenszyklus so weit zu treiben, dass Qualitätsrisiken aufgrund von Konstruktionsfehlern, Herstellungstoleranzen, Lieferantenauswahl oder (Produkt-)Haftungs- bzw. Gewährleistungsansprüchen möglichst genau bewertbar werden.

Marktstudien, Testkäufe oder Prototypen sind ein branchenübergreifend übliches Instrument in dieser Phase. Reaktive Risikobeherrschung wird nach Markteinführung sehr teuer. – Erinnern Sie sich noch an den Elchtest?

Risikobewertung

Das Produkt aus Eintrittswahrscheinlichkeit und Auswirkung – normalerweise monetär bewertet – ergibt das Bruttorisiko.

Doch wie misst man die Eintrittswahrscheinlichkeit?

Im laufenden Herstellungsprozess ist dies relativ einfach. Für Toleranzüberschreitungen kritischer funktionaler oder technischer Produkteigenschaften gibt es statistisch auswertbare Produktionsberichte zur Ausschussquote, Servicecalls, Lieferantenaudits, Wareneingangskontrollen, Abnahmeprotokolle. Bei Dienstleistungen kann es nur eine laufende Kontrolle während der Erbringung geben.

Problem bei seltener durchlaufenen Geschäftsprozessen:

Die Wahrscheinlichkeit, Fehler in seltener durchlaufenen Geschäftsprozessen (z.B. Produktentwicklung) zu quantifizieren, wird aufgrund der nicht belastbaren statistischen Gesamtheit und fehlender alternativer Messverfahren ungleich schwieriger. Während Wareneingänge, Servicecalls oder Fertigungsprozesse relativ häufig stattfinden, werden Produkte weitaus seltener kreiert, erforscht, designt, konstruiert als hergestellt, ausgeliefert und eingesetzt. Die Mitarbeiter und Instrumente für die Kreations-, Forschungs- und Entwicklungsphase wechseln über größere Zeiträume. Dadurch ist eine statistische Vergleichbarkeit für die Zukunft nur bedingt gegeben.

Pragmatischer Ausweg: Komplexität

Eine erste Annäherung an die Eintrittswahrscheinlichkeit besteht darin, die Komplexität eines Produkts als Indikator für design-, konstruktions-, forschungsbedingter oder durch falsche Werbebotschaften ausgelöste Qualitätsmängel anzusehen. Wie Eintrittswahrscheinlichkeit und ermittelte Komplexität korrelieren, lässt sich durch eigene Erfahrung feststellen oder anhand der Literatur studieren.

Wie misst man Komplexität?

Pragmatisch ist eine relative Bewertung der Komplexität des betrachteten Produkts gegenüber anderen Produkten des Unternehmens. Rechercheaufwand bzw. –zeit und Erkenntnisgewinn müssen hierbei in einem vernünftigen (ökonomischen) Verhältnis stehen.

RM darf Unternehmen nicht lähmen.

Auswirkungen

Materialisiert sich ein Risiko, sind die direkten, monetären Einflüsse feststellbar. Typischerweise übernimmt das Controlling die Aufgabe und liefert mit dem Repertoire an finanziellen Modellierungsinstrumenten angemessen genaue Aussagen.

Schwieriger wird die Bewertung der indirekten, langfristigen Folgen. Branding, Reputation, Marktposition und Folgen geringerer Cashflows können zwar qualifiziert aber nur bedingt quantifiziert werden.

Vorsicht – hat man kein Startup auf der grünen Wiese so benötigt man einen Nettoansatz:

Die Statistiken im Rahmen der Bewertung basieren auf einer Situation mit bereits eingerichteten Kontrollen (z.B. Eintrittswahrscheinlichkeit für Ausschuss) und implementierten Strategien (Gewährleistungskosten).

Demzufolge sind die Aussagen der Risikoanalyse im Rahmen der bereits existierenden RM-Strategie zu verstehen. Der Abbau von als überflüssig oder ineffektiv erkannten Maßnahmen kann risikoneutral vorgenommen werden. Das spart Kosten oder ermöglicht die Reallokation von Ressourcen.

Stets ist zu berücksichtigen: Vorhandene statistische Eintrittswahrscheinlichkeiten beruhen auf bereits implementierten Kontrollen.

Risikostrategie

Die vier generischen Risikostrategien lassen sich auch auf das QM übertragen:
 

  • Überwälzung
    Das Risiko wird etwa vertraglich auf Geschäftspartner übertragen. (Versicherungen, Einkaufsbedingungen, Gewährleistungsausschluß, …)
  • Vermeidung
    Das erkannte und bewertete Risiko wird als untragbar eingestuft und nicht eingegangen (unerfüllbare Kundenerwartungen, zu hohe Umweltanforderungen, Überschreitung ethischer Grenzen, unvertretbare jur. Risiken, finanzielle Unwägbarkeiten, Reputationsrisiken, …)
  • Mitigation
    Das Risiko wird durch flankierende Maßnahmen verkleinert. (Qualitygates, Wareneingangskontrollen, Mitarbeiterschulungen, Lieferantenauswahl,, …)
  • Tragen
    Das (Netto-) Restrisiko übernimmt das Unternehmen durch seine Wirtschafts- und Finanzkraft selber.

 
Die einzelnen Risikostrategien müssen sodann in konkrete Maßnahmen übertragen und umgesetzt werden. Denn selbst bei eingetretenen Risiken müssen diese wahrgenommen bzw. festgestellt und der vorgesehenen Strategie zugeführt werden. Dadurch ändert sich die Abschätzung der Eintrittswahrscheinlichkeit statistisch. Die aktualisierte Angabe wird im Zuge der Risikobewertung wieder berücksichtigt.

Risikoüberwachung

Bewertung und Vorbereitung entsprechender Strategien genügen nicht. Es müssen Kontrollen eingerichtet werden.

Präventive Kontrollen zielen auf Minimierung oder Vermeidung ab. Verfahrensanweisungen und ein IT-gestütztes Outputmanagementsystem, den Einsatz derselben Textbausteine für Verträge sicherstellt, vermeidet das Haftungsrisiko, sofern die entsprechende Passage dadurch in jeden abgeschlossenen Vertrag einfließt.

Aufdeckende Kontrollen stellen den Eintritt des Risikoereignisses bzw. sein Ausbleiben fest. Die (dokumentierte) Messung der Materialeigenschaften eines Fertigprodukts sichert gegen Lieferung schadhafter Produkte und gegen die Folgekosten ab.

Risikokommunikation

Zeichnet sich ein Risiko ab oder materialisiert sich, müssen verantwortliche Entscheidungsträger bis ggf. hin zur Unternehmensleitung davon in Kenntnis gesetzt werden, um die vorgesehenen Gegenmaßnahmen tatsächlich zu ergreifen. Ein Risikofrüherkennungssystem, wie etwa nach §91 Abs 2 AktG gefordert, umfasst die Einrichtung entsprechender Kanäle und Eskalationsverfahren.

Natürlich ist jede Maßnahme in einem kontinuierlichen Verbesserungsprozess, Feststellung im Audit, Kundenbeschwerde, jeder betriebliche Verbesserungsvorschlag, Ausschuss, entdeckte Designfehler oder Produktmangel kommuniziertes Risiko.

Wie bei der Analyse und Überwachung übernimmt das QM auch hier eine Moderationsfunktion, so dass das Wissen aus den verschiedenen Bereichen des Unternehmens zu einem funktionierenden RM und QM zusammengeführt wird.

Was bedeutet normenübergreifend?

Neben dem ISO-Rahmenwerk haben viele gesetzliche Vorgaben, weitere Branchenstandards, Verbands- oder Satzungsvorgaben sich überschneidende Regelungsbereiche. Die Organisation benötigt konsistente Vorgaben unter Vermeidung von Redundanzen und Auflösung von Zielkonflikten.

Der Bezug zu verschiedenen Regelwerken hält die eigene Qualitätsstrategie schlank, überschau- und damit umsetzbar. Ertrinken die Mitarbeiter in konkurrierenden evtl. sogar widersprüchlichen Vorgaben aus verschiedenen Bereichen, so werden im Zweifel weder Risiken beherrscht noch Qualitätsziele erreicht.

Qualität wird in Zukunft mit neuen Maßstäben bewertet (vgl. Christian Rauch vom Zukunftsinstitut). Individualisierung, Gesundheit und Ökologie gewinnen zunehmende Bedeutung. Gerade deshalb führt ein normenübergreifender Ansatz in die Zukunft der Qualität.

Wie setzt man den normenübergreifenden Ansatz ins Werk?

Identifizierte Schnittmengen müssen in Form von Vorgaben und Kontrollen in das RM-System eingebettet werden. Das QM muss gemeinsam mit den anderen für die jeweiligen Regelwerke zuständigen Bereiche Redundanzen vermeiden und Konflikte lösen.

Die für Organisationseinheiten entstehenden, kohärenten Vorgaben werden verteilt, geschult und überwacht.

In kleinen und mittelständischen Unternehmen (KMU) verdichten sich diese Aufgaben für alle Regelwerke häufig auf einen begrenzten Personenkreis. Die Anzahl der Regelwerke und die Wertschöpfung dafür weniger komplex. Da es bei Qualität um die langfristigen Erfolgspotenziale des Unternehmens geht, sollten KMU den Ressourcenbedarf und Chancen erkennen und ausreichende Unterstützung bereitstellen.

Welche Bedeutung hat die Prozessorientierung für den risikobasierten und normenübergreifenden Ansatz?

Im Rahmen eines Unternehmens werden Veränderungen an Produkten und damit an ihrer Qualität im Durchlaufen verschiedener Geschäftsprozesse erzielt. Die Gliederung der Wertschöpfung in (Geschäfts-) Prozesse ermöglicht den Einsatz der Systematik „Input – Process – Output“. In dieser Struktur können Risiken und Kontrollmaßnahmen sowie Verantwortlichkeiten systematisch definiert, beschrieben und behandelt werden.

Welche Rolle spielt der/die Qualitätsmanager/-in dabei?

Modernes QM nimmt eine zentrale Moderationsfunktion eingebettet in das RM-System wahr und vernetzt das Wissen der Organisation so, dass eine tragfähige Unternehmens-, Risiko-, Qualitäts- und Produktstrategie entwickelt und umgesetzt wird.

Das QM überwacht das System kontinuierlich und passt es ggf. an die aktuellen Marktbedingungen an. Für Soll/Ist-Abweichungen richtet er geeignete Gremien (z.B. Qualitätszirkel, KVP, Beschwerdewesen, …) für die Risikokommunikation ein und eskaliert Situationen, die erweitertes RM oder gar Anpassungen der Unternehmensstrategien erfordern könnten.

Wie identifiziert man die „Stakeholder“?

Anders gewendet: Wer hat Interesse an Qualität? Neben die unternehmensinternen Beteiligten (Bereichs-, Prozessverantwortlichen), deren Informationsbedarf über ein Reporting aus einem integrierten IT-gestützten QM-System leicht zu adressieren ist, treten externe Gruppen, wie Geschäftspartner, Nutzer, Eigentümer des Unternehmens, Regulatoren oder die allgemeine Öffentlichkeit hinzu.

Z.T. ist der externe Informationsbedarf gesetzlich normiert (in Deutschland etwa im Rahmen des Lageberichts als Element des Jahresabschlusses - Risikomanagement, Umweltbelange, Forschung und Entwicklung gemäß §289 HGB Abs. (2) Nr. 2 a), 3. und Abs. (3)). Etwa über die Produkthaftung, Arbeitssicherheit oder Entsorgungsverpflichtungen werden auch die gesamten Lieferketten einbezogen. Hier wird deutlich, dass die jeweiligen Informationsbedarfe der Stakeholder normenübergreifend sind. Z.B. treten für einige Adressaten Umwelt- (Emission, Entsorgung) und Energiebelange (Effizienzklasse) bis hin zu ethischen Normen (Sterbehilfe als Dienstleistung) in ihrer Wahrnehmung der Qualität stark in den Vordergrund.

Wie transformiert man ein bestehendes QM-System?

Wichtige Herausforderungen sind:

  • Effizienter Ressourceneinsatz - Die Einbettung in ein vorhandenes RM, um Ressourcen dort einzusetzen, wo das Qualitätsrisiko am größten ist. Also früh im Produktlebenszyklus.
  • Kohärentes Managementsystem - Die Erarbeitung der Gemeinsamkeiten und die Beseitigung von Zielkonflikten von unterschiedlichen Normen und Regelwerken,
  • Bürokratieabbau und Kommunikationsstrategie - Die Organisation um redundante und allgemeine Informationen erleichtern und jedem Teil der Organisation mit prägnanten und individuell abgestimmten Vorgaben eine
    effektive (Qualitäts-)Zielerreichung ermöglichen.

Typischerweise verfügen QM-Systeme nach ISO 9001 : 2008 nicht über die Risikobetrachtung – auch wenn sie meist bereits im Hintergrund vorhanden ist.

Das dokumentierte QM-System muss „lediglich“ mit dem Risikokatalog verknüpft werden. Daraus entstehende neue Erkenntnisse und Gewichtungen sollen zusätzlichen Nutzen stiften. Wesentliche Teile des RM müssen richtig sein und sollten deshalb erhalten bleiben können. Sonst wäre das Überleben bzw. die fortdauernde Existenz des Unternehmens eine Verkettung von sehr vielen Zufällen – und die gibt es nach dem 2. Hauptsatz der Thermodynamik nicht.