Fachbeitrag zur Revision der DIN EN ISO 9001

Die Internationale Organisation für Normung (ISO) hat eine Revision der ISO 9001 erarbeitet, die Ende September 2015 erscheinen wird. Da der Anwendungsbereich nicht geändert wird, bleibt die Kontinuität weitgehend erhalten. Als herausragende Änderung ist die Umgestaltung der Struktur zu nennen, die die Norm jetzt in 10 Abschnitte einteilt.

Vergleich der Strukturen

Die ISO hat sich vorgenommen, allen Managementsystemstandards eine einheitliche Struktur zugrunde zu legen. Dadurch werden die Bezeichnung und die Reihenfolge der Abschnitte in allen Managementsystemnormen vereinheitlicht. Darüber hinaus sollen Begriffe und Text bei den Managementsystemnormen so weit wie möglich angeglichen werden, um eine Vereinheitlichung der Sprache und des Managementansatzes sicherzustellen. Dies ist sehr zu begrüßen, da es die Integration aller Managementsysteme einer Organisation erleichtert.

Die neue Struktur hat keinen Einfluss auf die Beschreibung des Qualitätsmanagementsystems in den Organisationen, bis auf die Anforderung, dass diese in Zukunft prozessorientiert sein muss. Die neuen Anforderungen müssen berücksichtigt werden, so dass dies zu gewissen Änderungen und Ergänzungen des Qualitätsmanagementsystems führen wird.

Große Revision – Änderungen in der DIN EN ISO 9001:2015

Gestaltung der Norm

Die Gestaltung des Managementsystems soll unverändert prozessorientiert bleiben, aber aus der bisherigen Empfehlung der „Prozessorientierung“ wird eine explizite Anforderung. Auf die Prozessorientierung wird später noch einmal eingegangen.

Grundsätze des Qualitätsmanagements

Ein Anhang B wurde aufgenommen, in dem die Grundsätze des Qualitätsmanagements im Zusammenhang aufgeführt werden. Er enthält die „Aussage“, die jeden Grundsatz beschreibt und nennt die zugehörige „Begründung“. Sie sind unterteilt in:

• Kundenorientierung
• Führung
• Einbeziehung von Personen
• Prozessorientierter Ansatz
• Verbesserung
• Faktengestützte Entscheidungsfindung
• Beziehungsmanagement

Einbeziehung der Dienstleistungen

Der ISO 9000-Reihe wurde immer wieder vorgeworfen, zu „produktorientiert“ und nur schwer auf Dienstleistungen anwendbar zu sein. Darum wird in der neuen ISO 9001 anstelle des Begriffs „Produkt“ nun eindeutig die Bezeichnung „Produkte und Dienstleistungen“ verwendet. Darüber hinaus wird durch entsprechende Textüberarbeitungen die bessere Anwendbarkeit für das Managen von Dienstleistungen angestrebt. Merkmal einer Dienstleistung ist, dass „mindestens ein Teil der Ergebnisse an der Schnittstelle mit dem Kunden umgesetzt wird“.

Zielvorgaben

Grundsätzlich müssen alle Ziele der Organisation messbar sein. Dies führt zur eindeutigen Darstellung und Überwachung der Ziele.

Planung von Änderungen

Speziell der Planung von Änderungen wurde ein Absatz gewidmet (6.3). Alle Änderungen des Qualitätsmanagementsystems müssen geplant und systematisch durchgeführt werden. Die Organisation hat dabei Folgendes zu berücksichtigen:

• den Zweck der Änderung
• jede mögliche Konsequenz aus der Änderung
• die Wahrung der Integrität des Qualitätsmanagementsystems
• die Verfügbarkeit von Ressourcen
• die Zuweisung oder die erneute Zuweisung von Verantwortungen und Befugnissen

Risikobasierter Ansatz

Die Grundsätze des Risikomanagements müssen berücksichtigt werden. Man spricht in der Norm von einem „Risikobasierten Ansatz“. Dabei wird die Berücksichtigung von Risiken schon bei der Planung des Systems angemahnt. Deshalb enthält die Norm keinen eigenen Abschnitt mit der Überschrift „Vorbeugende Maßnahmen“. Es gilt, das Risiko abzuschätzen und zu berücksichtigen.

Eine formelle Anforderung, ein Risikomanagement oder einen dokumentierten Risikomanagementprozess einzuführen, gibt es nicht. Zur Ermittlung des Risikos empfehlen wir als GFQ Akademie, methodisch vorzugehen und Werkzeuge wie FMEA, Brainstorming, Fragebögen, Benchmarking usw. anzuwenden.

Diese Risikominimierung kann man auch ausdrücken, indem man statt „No risk, no fun!“ den fast gleichlautenden Satz „Know risk, know fun!“ in die Tat umsetzt. Ziel muss es sein, die Risiken zu kennen und zu minimieren. Meist birgt ein bekanntes Risiko bereits die Lösung in sich. Es geht im Grunde darum, das Restrisiko zu kennen und es so klein wie möglich zu halten.

Man kann sich für Informationen über die Grundsätze zum Risikomanagement der ISO 31000 bedienen. Auch der VDA-Band „Produktentstehung – Reifegradabsicherung für Neuteile“ befasst sich speziell mit den Risiken in der Lieferkette.

Den meisten ist die Vorgehensweise bereits aus der Erstellung von FMEAs bekannt. Allgemein sollte man, wo möglich, das Risiko mit Geldwerten erfassen. Aber es geht auch bis zum Schaden an Leib und Leben, der sich meist nicht in Geldwerten ausdrücken lässt.

Vielleicht hilft es auch, sich durch die Berücksichtigung unterschiedlicher Risiken, diese deutlich zu machen. Man kann unterscheiden zwischen:

• Produktrisiken: Gefährdung zu Lasten der Kunden bei dem Gebrauch der Produkte und Dienstleistungen.
• Finanzielle Risiken: Gefährdung durch Ausfall von Krediten und/oder anderen Einkommen (beispielsweise offene Außenstände).
• Umweltrisiken: Risiken für die menschliche Gesundheit bzw. Schaden für das Ökosystem.
• Technische Risiken: Gefahren am Arbeitsplatz, die durch Arbeitsschutzmaßnahmen minimiert werden können.
• Betriebs- und Logistikrisiken: Risiken, die bei Herstellung und Transport auftreten können.
• Software-Risiken: Risiken, die bei Einsatz von Software entstehen können.
• Rechtliche Risiken: Risiken, die evtl. durch Verstoß gegen Gesetze oder Vorschriften auftreten.

Speziell im Rahmen der Entwicklung könnte auch folgendes Risiko eine Rolle spielen und ist zu berücksichtigen:

• Risiken des Projektmanagements
• Fehlende oder unvollständige Zeitpläne
• Inflation von Anforderungen
• Mitarbeiterfluktuation
• Spezifikationskollaps (zu viele und zu enge Toleranzen)
• Lieferantenengpässe
• Gruppendruck im Team

Betrachtet man das Risikomanagement als Prozess, um Risiken abzustellen bzw. zu minimieren, wird folgendes schrittweises Vorgehen vorgeschlagen, um dieses zu dokumentieren:

• Auswirkungen, um sich das Schadensausmaß zu verdeutlichen.
• Ursachen finden, wobei es darum geht, die „Grundursache“ zu finden.
• Sorgfältige Analyse der einzelnen Risiken.
• Prioritäten setzen. Um dazu imstande zu sein, ist eine Risikobewertung durch Vergleich mit zuvor gesetzten Standards für die Risikoakzeptanz durchzuführen.
• Risikobewältigung. Dabei geht es darum, die Eintrittswahrscheinlichkeit zu reduzieren oder die Folgen beherrschbarer zu machen.
• Risikoüberwachung. Diese geschieht am besten mit Hilfe von Parametern, die Aufschluss über das aktuelle (verminderte) Risiko geben (sogenannte Risikoindikatoren). Sie dienen darüber hinaus zur Beobachtung der laufenden Risikominimierung.

Die Dokumentation besteht aus der Beschreibung aller Vorgänge, die im Zusammenhang mit der Risikoanalyse stehen und mit deren Beurteilung.

Allgemein gilt es, in Zusammenhang mit der Revision der ISO 9001, Risiken zu kennen und zu minimieren. Dabei hat sich oft herausgestellt, dass ein bekanntes Risiko schon zu dessen Minimierung beiträgt. Das gilt vor allem für das Projektmanagement, in dem Leiter und Team des Projekts die Risiken kennen und berücksichtigen.

Prozessorientierung

Zur Vertiefung der Prozessorientierung eignet sich sehr gut das Turtle-Modell. Dabei fängt die Anwendung dieses Modells bereits bei der Anwendung auf alle Prozesse des Qualitätsmanagements an. Es geht dann weiter und ist auf alle Prozesse der Organisation anzuwenden. Eine bildliche Darstellung des Turtle-Modells soll bei der Anwendung helfen:

Turtle-Modell für Prozessdarstellung

Die Prozessbeschreibung klärt die Begriffe und gibt Antwort auf folgende Fragen:

• Prozesseigner: Der für den Gesamtprozess Verantwortliche (Zuständige) ist zu nennen. Dabei kann nur immer einer verantwortlich sein. Es wird aber empfohlen, zusätzlich seinen Vertreter anzugeben.
• Input: Was will der Kunde? Klärt und beschreibt die Anforderungen an den Lieferanten, sonstige Eingaben werden genannt und er gibt Auskunft über den Auslöser des Prozesses.
• Prozess: Der Prozess wird beschrieben, d. h. die Umwandlung des Inputs in den Output. Meist in Form eines Flussdiagramms mit Aufgabenbeschreibung und Angaben über Zuständigkeit und Unterstützung.
• Output: Was bekommt der Kunde? Hier werden die Anforderungen des Kunden aufgeführt und die Ergebnisse der Prozesse (Resultate).
• Kennzahlen: Wieviel? Wie wird der Prozess gemessen? Hierzu dienen sowohl Kennzahlen, Indikatoren, messbare Ziele als auch Leistungsindikatoren. Alle Angaben müssen sich messen lassen (messbar sein).
• Dokumente: Wie? Wie und wo wird der Prozess beschrieben? Alle Anweisungen, Methoden und anzuwendenden Techniken werden genannt.
• Arbeitsmaterial: Womit? Womit führen wir den Prozess durch? Das sind die Einrichtungen, Ausrüstung und das zusätzliche Arbeitsmaterial (Verbrauchsmaterial).
• Beteiligte: Mit wem? Wer ist beteiligt? Hierzu gehört das Personal, das vorausgesetztes Wissen mitbringt und die Fähigkeiten zur Lösung der Aufgabe besitzt. Eventueller Schulungsbedarf für Teammitglieder ist zu berücksichtigen.

Erst wenn alle Fragen beantwortet sind, ist der Prozess ausreichend beschrieben. Wechselwirkungen mit anderen Prozessen kommen – wenn zutreffend – hinzu.

Änderungen gegenüber der ISO 9001:2008

Allgemein

Die formale Anforderung an ein Qualitätsmanagementhandbuch entfällt.

Der „Beauftragte der obersten Leitung“ für das Qualitätsmanagementsystem wird nicht mehr explizit gefordert. Die oberste Leitung muss aber einen Verantwortlichen zuweisen und bekannt machen.

Änderung der Bezeichnungen

Für „Kunden“, „Produkte“, „kontinuierliche Verbesserung“, „Aufzeichnungen und Dokumente“ werden eindeutigere Begriffe genannt. Was sicher am Anfang zu Schwierigkeiten bei der Umstellung führen wird, aber insgesamt eine Klarstellung bedeutet.

Es sollen zum besseren Verständnis einige Benennungen geändert bzw. ergänzt werden:

• Der Begriff „dokumentierte Informationen“ gilt als Sammelbegriff sowohl für „dokumentierte Verfahren“ (bzw. „Dokumente“) als auch für „Aufzeichnungen“.
• Wird beispielsweise in der ISO 9001:2008 auf dokumentierte Verfahren verwiesen, wird dies in der ISO 9001:2015 als „eine Anforderung zur Aufrechterhaltung dokumentierter Informationen“ (maintain documented information) zum Ausdruck gebracht.
• Wird beispielsweise in der ISO 9001:2008 auf Aufzeichnungen verwiesen, wird dies in der ISO 9001:2015 als „eine Anforderung zur Beibehaltung dokumentierter Informationen“ (retain documented information) zum Ausdruck gebracht.
• Aus „Arbeitsumgebung“ wird „Umgebung zur Durchführung von Prozessen“ (damit ist auch die Erbringung von Dienstleistung gemeint).
• Aus „beschafftes Produkt“ wird „extern bereitgestellte Produkte und Dienstleistungen“.
• Der „Lieferant“ wird zum „externen Anbieter“.

Grundsätzlich gilt, dass jede Organisation eigene Begriffe verwenden kann, die für die Abläufe am besten geeignet sind. Es empfiehlt sich jedoch, eine Übersicht zu schaffen, die die Zusammenhänge zwischen den Normbezeichnungen und den eigenen, gewählten Bezeichnungen herstellt. Dies wird sich bei externen Audits als praktisch herausstellen.

Anwendungsbereich

Die Organisation muss den Anwendungsbereich festlegen, dokumentieren und dabei alle Anforderungen anwenden, die sich aus dem Anwendungsbereich ergeben und angewendet werden können. Wenn eine Anforderung der Norm nicht angewendet werden kann, muss dies begründet und dokumentiert werden. Die Anforderungen werden auf Anwendbarkeit hin geprüft und sind auf

• die Größe der Organisation
• das gewählte Managementmodell
• den Tätigkeitsbereich der Organisation und
• die Risiken und Chancen hin

abzustimmen.

Die Nichtanwendbarkeit darf keinesfalls zu Fehlern beim Erreichen der Konformität von Produkten und Dienstleistungen führen. Ebenfalls dürfen Anforderungen nicht ausgeschlossen werden, die der Verbesserung der Kundenzufriedenheit entgegenstehen.

Wissensstand (Wissensmanagement)

Das Wissen der Organisation, das notwendig ist, um ihre Prozesse durchzuführen und um die Konformität der Produkte und Dienstleistungen zu erreichen, muss bestimmt und aufrechterhalten werden. Der Wissensstand ist zu vermitteln. Wie notwendiges Zusatzwissen erlangt wird und wie darauf zurückgegriffen wird, muss die Organisation bestimmen.

Kontrolle von extern bereitgestellten Produkten und Dienstleistungen

Wieder ist die „Eingangskontrolle“ ein wichtiger Punkt innerhalb der Norm. Grundsätzlich werden alle Formen der externen Bereitstellung behandelt, egal ob es sich um

• Kauf von einem Lieferanten
• Zulieferung von einem Beteiligungsunternehmen
• Ausgliederungen von Prozessen und Funktionen oder
• andere Vorkehrungen

handelt. Die Organisation ist verpflichtet, einen risikobasierten Ansatz zugrunde zu legen, um Art und Umfang von Maßnahmen festzulegen, die für die Sicherstellung der Qualität der extern bereitgestellten Produkte und Dienstleistungen geeignet ist.

Zusammenfassung

Die DIN EN ISO 9001:2015 liegt bisher in einer ISO/DIS 9001:2014 als Entwurf vor, welcher der Öffentlichkeit zur Prüfung und Stellungnahme vorgelegt wird. Gewisse Änderungen sind noch möglich, weil noch Stellungnahmen berücksichtigt werden sollen. Grundsätzlich wird das an der Norm nichts ändern, so dass die eingangs gemachten Anmerkungen zur Vorbereitung auf die Änderungen am Qualitätsmanagementsystem benutzt werden können. Sicher wird die Übergangszeit von 3 Jahren dazu dienen, den einzelnen Organisationen die Umstellung zu erleichtern. Da die neue Norm aber auch viele Vorteile bietet, empfehlen wir als GFQ Akademie, mit der Planung zu beginnen und nach Inkrafttreten der neuen Norm möglichst schnell auf die neue Norm umzustellen.

Anhang A der E DIN EN ISO 9001:2014 „Erläuterung der neuen Struktur, Terminologie und Konzepte“ gibt hilfreiche Hinweise.

Prof. Dr.-Ing. Horst Quentin, September 2014

Weiterführende Links

• Seminar: ISO/DIS 9001:2014 – Entwurf der DIN EN ISO 9001:2015