Neue ISO 9001 stellt verschärfte Anforderungen an die Unternehmen

Einkauf muss Risiken bewerten

Seit Herbst 2015 gibt es eine neue Version der QualitätsmanagementNorm ISO 9001. Unternehmen, die sich nach ISO 9001:2015 neu zertifizieren lassen oder ihr bestehendes Zertifikat erneuern wollen, haben einige Änderungen zu beachten. So müssen für das Qualitätsmanagement-System Risiken ermittelt werden, „um unerwünschte Auswirkungen zu vermeiden bzw. erwünschte Auswirkungen zu verstärken“, wie es in der Norm heißt.

„Neu ist, dass jetzt eine explizite, ganzheitliche Risikobetrachtung vorgenommen werden muss und dass das Topmanagement viel stärker eingebunden wird als bisher“, bringt es Johannes Wesseling, Auditor beim TÜV Rheinland, auf den Punkt. Zwar hätten Einkaufsrisiken bei der ISO 9001 immer schon eine große Rolle gespielt, sagt Wesseling. Die bisherigen Erfahrungen mit der neuen Norm zeigten, dass aber noch Nachholbedarf bestehe, vor allem beim Versicherungsschutz: „Die Unternehmen erkennen, dass sie nicht genügend gegen ein Ausfallrisiko abgesichert sind.“ Umstellungsfrist ist der 14. September 2018, danach gilt nur noch die ISO 9001:2015.

Obwohl die QM-Norm bestimmte Vorgaben macht, müssten die Unternehmen letztlich selbst entscheiden, welche Risiken sie für wesentlich erachten, betont Claus Engler, Produktmanager Risikomanagementsysteme beim TÜV Süd: „Wir schreiben den Kunden da nichts vor.“ Da mit der Beschaffung aber Risiken verbunden seien, sollten diese bestimmt und bewertet werden. Die Risikolage könne sich aber schnell ändern, gibt Engler zu bedenken.

Mark Winkler plädiert dafür, das Risikomanagement als Chance zu begreifen. Der Geschäftsführer der BDT Prolog GmbH spricht daher auch lieber von „Potenzialanalyse“, wie er im Gespräch mit Einkäufer im Markt sagt. BDT-Prolog wickelt Einkauf und Logistik für die BDT-Gruppe ab, einen Anbieter von Datenspeichersystemen mit Sitz in Rottweil.

Auslöser für den Aufbau eines systematischen Risikomanagements bei BDT-Prolog war die Weltwirtschaftskrise 2008/09. Damals sei es häufiger zu kleineren Störungen in der Supply Chain gekommen, die sich in der Summe aber durchaus ausgewirkt hätten, erläutert Winkler. Aus diesem Grund sollten von vornherein nicht nur große Risikoereignisse wie Produktionsausfall beim Lieferanten, Naturkatastrophen oder Insolvenz in den Blick genommen werden, sondern auch die kleinen, alltäglichen Lieferunterbrechungen.

Wie ging man bei BDT-Prolog vor? Um zu ermitteln, welche Beschaffungsrisiken es überhaupt gibt, setzten sich Einkauf, Qualitätssicherung, Supply Chain und Entwicklung zu einem Brainstorming zusammen. Ergebnis nach drei Monaten: „eine ganze Tapete von Risiken“, erinnert sich Winkler. Jetzt kam es darauf an, die verschiedenen Risiken messbar zu machen und zu bewerten.

Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe der einzelnen Risiken wurden mittels der Failure Mode Effect Analysis (FMEA) berechnet. „Das ist nicht ganz ohne“, sagt Winkler, der das Glück hatte, über einen Diplom-Mathematiker zu verfügen, der die Berechnungen anstellte.

Anders als es dem Laien erscheinen mag, korrespondiere die Gewichtung eines Risikos nicht zwangsläufig mit der Größe des Ereignisses, das zum Risikoeintritt führt, erläutert Winkler. So kann ein Großereignis wie etwa ein Erdbeben einen niedrigeren Risikowert aufweisen als ein Compliance-Verstoß, wenn sich die durch das Beben verursachte Störung der Lieferkette rasch beheben lässt. Wichtig ist laut Winkler, dass in die Risikobewertung nicht nur abstrakte Kriterien einfließen, sondern auch die praktischen Erfahrungen des Einkaufs. Am Ende wurde jedes Risiko gewichtet, indem ihm eine „Risiko-Prioritätszahl“ zugeordnet wurde.

Der darauf basierende, ausführliche Fragenkatalog wird als Excel-Datei an alle A- und B-Lieferanten verschickt. Die Fragen gliedern sich in sieben „Cluster“: Technologie, Management, Qualität, Erreichbarkeit, Lieferfähigkeit, wirtschaftliche Kennzahlen sowie Soziales und Umwelt. Anhand der Antworten kann der Einkauf einschätzen, wie hoch die Wahrscheinlichkeit ist, dass der Risikofall eintritt.

Der Lieferant muss die Anforderungen in jedem Risikocluster zu mindestens 80 Prozent erfüllen, so lautet die Vorgabe des Einkaufs. Bleibt er darunter, werden Verbesserungsmaßnahmen vereinbart. Korrektive Maß- nahmen werden auch dann eingeleitet, wenn der Lieferant in einem Cluster zwar die 80-Prozent-Hürde nimmt, aber bei Fragen, denen eine besonders hohe Risiko-Prioritätszahl zugeordnet ist, darunter liegt.

Mit der Verschickung der Fragebögen per Mausklick ist es aber nicht getan, betont Winkler. Damit die Geschäftspartner auch antworten, müsse der Einkauf erläutern, was er mit der Aktion bezweckt und dass auch den Lieferanten damit geholfen sei. Diese müssten darauf vertrauen können, dass sie nicht allein gelassen werden, wenn sich Defizite ergeben. Dies empfehle sich besonders bei Lieferanten, denen gegenüber der Einkauf nur wenig Nachfragemacht hat. Nicht zuletzt sei das System kontinuierlich zu pflegen, „es muss gelebt werden“, wie Winkler sagt.

„Der Aufbau eines Risikomanagements zahlt sich aus“, lautet das Fazit des Geschäftsführers. BDT-Prolog will nach seinen Worten noch in diesem Jahr auf die ISO 9001:2015 wechseln. Der Einkauf nutzt das Risikobewertungstool übrigens auch für seine Lieferantenbewertung und schlägt damit zwei Fliegen mit einer Klappe.