Hätten nach ISO 9001 zertifizierte Unternehmen besser auf Corona vorbereitet sein müssen?19 | 05 | 20

Fernglas - War eine Pandemie vorhersehbar?

Die aktuelle Corona-Situation hat Auswirkungen auf nahezu alle Unternehmen. Auf einige mehr, auf andere weniger – aber für die absolute Mehrzahl sind die Auswirkungen negativ. Wenn man sich die Besonderheit der Situation vor Augen ruft und schaut, auf welche Art und Weise die Wirtschaft damit umgeht (z. B. extrem schnelle Schaffung von Homeoffice-Möglichkeiten), dann beweist dies, dass trotz des hohen Drucks besondere Lösungen schnell gefunden bzw. geschaffen werden.

Wenn wir jetzt aber gedanklich mal einen Schritt zurückgehen, stellt sich die Frage: Hätten nach ISO 9001 zertifizierte Unternehmen besser auf Corona vorbereitet sein müssen?

Risiken und Chancen in der ISO 9001

ISO 9001:2015 ist im Jahr 2015 in Kraft gesetzt worden. Seit September 2018 müssen alle nach ISO 9001 zertifizierten Unternehmen ein Qualitätsmanagementsystem nach dieser Normfassung führen. Im Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“ greift die ISO 9001 zum ersten Mal die Themen Risiken und Chancen als Normforderungen auf. Die Norm fordert, dass sowohl Risiken und Chancen, als auch der Umgang mit diesen bestimmt werden müssen. Die dazugehörigen Maßnahmen und deren Wirksamkeit müssen bewertet werden. Im Unterkapitel gibt die ISO 9001 auch die Proportionalität dieser Maßnahmen vor, die gegeben sein muss.

Doch wie kann diese Proportionalität nicht einfach nur nach Bauchgefühl bewertet, sondern mit Zahlen, Daten und Fakten unterlegt werden?

Risikoprioritätszahl versus Corona

An dieser Stelle kommt die Risikoprioritätszahl ins Spiel.

Zahlreiche Unternehmen bestimmen das Risiko anhand einer Risikoprioritätszahl, die sich wie folgt berechnet:

 

Auftretenswahrscheinlichkeit x Fehlerschwere x Entdeckungswahrscheinlichkeit = Risikoprioritätszahl.

 

Dabei werden die Faktoren mit einer Kennzahl von 1-10 bewertet. Das Ergebnis, die Risikoprioritätszahl, liegt somit zwischen 1 und 1.000.

Eine Risikoprioritätszahl von 1 bedeutet, dass alle drei Faktoren (Auftreten, Schwere und Entdeckung) mit 1 bewertet wurden. Das heißt: die Auftretenswahrscheinlichkeit und die Fehlerschwere sind extrem niedrig und die Entdeckungswahrscheinlichkeit ist extrem hoch.
Eine Risikoprioritätszahl am anderen Ende der Skala bei einer Höhe von 1.000 würde bedeuten, wir haben eine extrem hohe Auftretenswahrscheinlichkeit, eine extrem hohe Fehlerschwere und die Entdeckungswahrscheinlichkeit wäre extrem niedrig.

Doch versetzen wir uns gedanklich mal in den Sommer 2019: ein Qualitäter in einem Unternehmen nutzt die Ruhe der Sommerferien dazu, sich Gedanken darüber zu machen, ob eine weltweite Pandemie (die sowohl eine Unterbrechung der Lieferkette, als auch einen Zusammenbruch des Absatzmarktes nach sich ziehen würde) als Risiko betrachtet bzw. behandelt werden muss. Wenn wir ohne das heutige Wissen eine Risikoprioritätszahl erstellen würden, dann würden wir bei der Auftretenswahrscheinlichkeit maximal eine 2 vergeben. Tendenziell sogar eher eine 1, weil im Jahr 2019 die heutige Situation noch komplett unvorstellbar war. Bei der Fehlerschwere würde vielleicht eine 8 vergeben werden. Denn wenn dieser Zustand eintritt, so wie es jetzt passiert ist, hat dies massive Auswirkungen.
Im Bereich der Entdeckungswahrscheinlichkeit können wir jetzt einfach mal eine maximal mögliche 10 vergeben. Nach der üblichen Vorgehensweise müsste hier eine 1 stehen, da eine Pandemie sicher nicht unentdeckt bleibt und ihre Entdeckungswahrscheinlichkeit somit sehr hoch ist. Allerdings wird eine Pandemie zu spät entdeckt, als dass sich Unternehmen im Sinne der Unternehmenssicherung noch auf das zu erwartende Ereignis in angemessener Form vorbereiten könnten – daher 10.

Dann haben wir folgendes Ergebnis bzw. folgenden Rechenweg:

 

2 (Auftretenswahrscheinlichkeit) x 8 (Fehlerschwere) x 10 (Entdeckungswahrscheinlichkeit) = 160 (Risikoprioritätszahl).

 

Schon an dieser Zahl und der Skala 1-1.000 sehen wir, dass sich 160 am unteren Ende der Skala bewegt. Und jeder, der des Öfteren eine Risikoprioritätszahl einsetzt und Erfahrungen damit hat, wird mir bei folgender Aussage Recht geben: Risiken mit einer Risikoprioritätszahl von 160 sind in der Regel keine Risiken, an die man rangeht, da es zahlreiche Szenarien gibt, deren Risikoprioritätszahl deutlich höher ist.

Für mich ist das Fazit daraus, dass es bei den Unternehmen nicht um eine schlechte Vorbereitung auf diese Corona-Situation ging. Die Auftretenswahrscheinlichkeit war einfach so gering, dass selbst wenn man sich mit dem Thema gedanklich beschäftigt hätte, man nicht zwangsweise wirklich hätte handeln müssen. An diesem Punkt sind wir auch wieder beim Thema der Proportionalität, die in ISO 9001 gefordert wird.

Es gibt meiner Meinung nach auch nicht wirklich viele Möglichkeiten, wie man sich auf solch eine Situation hätte einstellen können. Eine dieser wenigen Möglichkeiten wäre, dass sich Unternehmen ein liquides Finanzpolster in Höhe eines 3-4fachen Monatsumsatzes zurücklegen. Damit wäre theoretisch in der Zeit des Shutdowns die Begleichung aller finanziellen Verbindlichkeiten möglich gewesen. Man kann jetzt trefflich z. B. über Fluggesellschaften streiten, die fast wahnweise jeden liquiden Euro in Dividenden oder Aktienrückkaufprogramme gesteckt haben, jetzt aber durch staatliche Finanzspritzen gerettet werden möchten. Aber ich kenne so gut wie kein Unternehmen, das den 3-4fachen Monatsumsatzes als liquide Mittel hat bzw. überhaupt die Möglichkeit hätte, sich solch ein Finanzpolster aufzubauen.

Wie sollten Unternehmen weiter damit umgehen?

Zum aktuellen Zeitpunkt dieser Beitragserstellung werden die Corona-Maßnahmen (Kontaktbeschränkungen, Öffnungen im Einzelhandel usw.) allmählich gelockert. Bis diese komplett aufgehoben sind, vergeht sicherlich noch einige Zeit.

Es stellt sich aber die Frage: wie gehen Unternehmen in Zukunft damit um?

Und an diesem Punkt bringe ich erneut die Risikoprioritätszahl ins Spiel. Denn hier verändert sich die Bewertung und Rechenweise auf einmal ganz deutlich, wenn man die aktuelle Situation kennt.

Der Einfachheit halber bleibe ich bei einer Fehlerschwere von 8 und bei einer Entdeckungswahrscheinlichkeit von 10. Die Auftretenswahrscheinlichkeit bewerte ich jetzt allerdings mit 5 (nicht wie im Jahr 2019 mit 1 bzw. 2). Denn selbst wenn der Worst Case, dass es weltweit zu einem fast zeitgleichen Shutdown kommt, nicht mehr eintritt, so halte ich es persönlich für nicht ausgeschlossen, dass partiell und regional begrenzt solche Maßnahmen wieder nötig sind bzw. sein werden – zumindest solange, bis es einen Impfstoff gibt.

So oder so hat uns die aktuelle Situation aber gezeigt, dass wir mit der Bewertung einer Auftretenswahrscheinlichkeit von 1-2 komplett daneben gelegen haben. Denn es kann jederzeit auch einen anderen Virus geben, der eben diese Verbreitungswege nimmt und entsprechende Auswirkungen hat.

Aber machen wir die Rechnung der Risikoprioritätszahl einfach nochmal mit der Änderung in der Auftretenswahrscheinlichkeit:

 

5 (Auftretenswahrscheinlichkeit) x 8 (Fehlerschwere) x 10 (Entdeckungswahrscheinlichkeit) = 400 (Risikoprioritätszahl).

 

Somit kommen wir auf eine Risikoprioritätszahl von 400. Damit ist der Wert mehr als doppelt so hoch wie in unserer ersten Rechnung. Dies bedeutet bzw. impliziert in Zukunft Handlungsbedarf bei den Unternehmen. Dieser Handlungsbedarf mag von Unternehmen zu Unternehmen stark unterschiedlich sein – ist meiner Meinung nach aber dennoch zu berücksichtigen.

Wir können gespannt sein, wie sich dieses Thema in den kommenden Wochen, Monaten und Jahren auch in den externen Audits entwickeln wird und wie externe Auditoren diesbezüglich ein Auge darauf werfen werden.

Fazit

„Das Leben ist das, was passiert, während man Pläne macht.“

In der aktuellen Situation denke ich, trifft dieses Zitat ganz gut zu. Denn wie schon beschrieben, konnten sich die wenigsten im letzten Jahr vorstellen, dass wir eine Situation wie diese bekommen. Aber die Pläne, die wir machen, sind nicht in Stein gemeißelt und man kann und sollte diese verändern, wenn es neue Informationen – wie in diesem Fall – gibt.

Damit nicht folgendes Zitat zutrifft: „Wer nicht mit der Zeit geht, der geht mit der Zeit.“

Über den Autor:

Michael Thode betreut mit der Lösungsfabrik kleine und mittelständische Unternehmen im Bereich Qualitätsmanagement und ISO 9001. Außerdem betreibt er einen Blog, um darauf ständig interessantes und wissenswertes aus der QM-Welt zu veröffentlichen.

6 Kommentare bei “Hätten nach ISO 9001 zertifizierte Unternehmen besser auf Corona vorbereitet sein müssen?”

  1. 744b1cdf333e4ee21ff11d544cb32e6f Olaf Stenske sagt:

    Hallo Herr Tode,
    ein interessanter Ansatz, die geforderte Bewertung von Risiken und Chancen mal auf ihre Alltagstauglichkeit zu bewerten, auch wenn ich zu einigen Aspekten folgende andere Ansicht habe.
    Nur, weil sehr konkret „eine Pandemie“ in den wenigsten Notfallplänen vorkommt, ist das Werkzeug der Risiken und Chancenbewertung nicht als „nur bedingt alltagstauglich“ zu bewerten.
    Die Effizienz eines Werkzeugs ist immer auch sehr stark von seiner Handhabung durch den Anwender bestimmt.
    Welche Bewertung ein Wert auf einer Skala von 1 – 1000 erfährt, sollte nicht alleine durch seine absolute Position auf dem Zahlenstrahl festgemacht werden. Insbesondere wer mit RPZ-Zahlen jongliert, sollte den einzelnen Zahlenwerten verbale Definitionen zuordnen und auch seiner daraus individuell resultierenden „RPZ“ sehr individuelle Handlungsbedarfe zuweisen.
    Bei meinen FMEAs im Automotivebereich z.B. hätte bei einer RPZ von über 120 schon die Alarmglocke pausenlos geklingelt, RPZ 160 wäre nicht zu dulden. Ein reines Zahlenspiel ohne verbale Definitionen der einzelnen Werte bei Auftretenswahrscheinlichkeit, Entdeckung und Bedeutung ist wie eine Kompassrose ohne Magnetnadel.
    Die Niedrige Einstufung der Auftretenswahrscheinlichkeit lasse ich mal gelten, da die wenigsten Risikobewerter Pandemieexperten sind. Alle 100 Jahre sind wir im Schnitt „fällig“ für eine Pandemie und über diesen Zeitraum waren wir gerade rüber. Bei Ihren Betrachtungen zur Bedeutung und zu den Entdeckungswahrscheinlichkeiten gehe ich voll mit.
    Die Kunst einer guten Riskobewertung sehe ich in der Verallgemeinerung von Risiken und deren Auswirkungen. Schauen wir uns hierzu die Auswirkungen einer Pandemie an:
    – plötzlicher und existenzbedrohlicher Ausfall von Zulieferern oder Kunden
    – plötzlicher totalausfall von Produktionsstätten und Verwaltungbüros
    – plötzliche Abwanderung oder Ausfall vieler Mitarbeiter
    Gleiches kann durch Brände, Unwetterschäden, Abwerbungen, Arbeitskämpfe, aber auch lokale Epidemien im Unternehmen jeder Zeit auftreten. Entsprechende Notfallmaßnahmen könnten also als Teilpakete in jedem Notfallscenario definiert sein.
    Nicht jede Eventualität kann durch so allgemeine Szenarien im Detail vorbereitet und abgewendet werden, aber es verschafft einem eventuell das bisschen mehr an erforderlicher Luft und Handlungsfreiheit, um nicht an diesem Notfall zu ersticken.
    Die finanziellen Potentiale eines guten Hygienemanagements – auch außerhalb einer Pandemie – werden übrigens von vielen Unternehmen unterschätzt: Es werden die Kosten für Desinfektionsspender auf Fluren gesehen, über fehlendes Händewaschen nach dem Toilettengang wird hinweggeschaut (ca. 60%!), Verzicht auf Händeschütteln in Unternehmen mit hoher Reiseaktivität wird als unhöflich angesehen, Homeoffice hat bei vielen Vorgesetzten immer noch den Beigeschmack des bezahlten Urlaubs. Schon zu „normalen“ Zeiten ließen sich durch angemessene Maßnahme viele unternehmensinterne Infektionsketten einfach durchbrechen oder gar nicht erst entstehen. Würden wir diese „Normalen“ Infektiosketten durch Magen-Darm Infektionen oder Erkältungsinfekte professioneller handhaben, wäre das bei einer Pandemie ein großes Plus und würde sich zudem durch geringere Krankenquoten rechnen.
    Mein persönliches „Lessons learned“ aus der Pandemie:
    – man kann nicht alles im Detail vorausplanen und sollte den Mut zum Verallgemeinern haben.
    – Tools können nur so gut sein wie ihre Anwender mit deren Umgang geschult sind
    – In einer „Shutdown-Situation“ zeigt sich anhand der Aufrechterhaltung von Kommunikationswegen, Kommunikationsqualität und Kommunikationsgeschwindigkeiten die Qualität der Führungskräfte.

    1. Michael Thode sagt:

      Sehr geehrter Herr Stenske,
      vielen Dank für Ihren Kommentar und die darin enthaltenen Gedankenanstöße – da gehe ich in vielen Punkten voll mit.
      Es war nie meine Absicht, die Chancen- und Risikenbewertung mittels RPZ als nicht alltagstauglich zu bewerten, sondern einfach nur eine meiner Meinung nach vorhandene Grenze des Tools aufzuzeigen.
      Ich persönlich nutze die RPZ gerne und viel für meine Kunden, besonders dann, wenn diese sich zum ersten Mal mit diesem Thema auseinandersetzen müssen.

  2. Lieber Herr Thode, auch in der ISO 9001:2008 wurde im Einleitungstext bereits das Thema „Risiken“ angesprochen. Ja, in der derzeitigen Version finden wir dazu eine Anforderung, jedoch lediglich in Verbindung mit der Planung des Qualitätsmanagementsystems. Das heißt, dass am Ende der Gestaltung des QMS ein System implementiert wurde, welches die Anforderungen der ISO 9001:2015 in Übereinstimmung mit dem Anwendungsbereich (Kapitel 1) des Standards erfüllt. Hier heißt es u.a. „…wenn eine Organisation ihre Fähigkeit darlegen muss, beständig Produkte und Dienstleistungen bereitstellen zu können, die die Anforderungen der Kunden … erfüllen“. Das QMS ist so aufgestellt, dass kleinere Störungen nicht dazu führen das Produkte und Dienstleistungen nicht bereitgestellt werden können. In dem von Ihnen angesprochenen Kapitel 6.1 werden bei der Planung des QMS ausschließlich Risiken betrachtet, welche unter normalen Umständen Einfluss auf die grundsätzliche Fähigkeit zur Bereitstellung von Produkten und Dienstleistungen haben kann. Eine Feuer oder auch eine Pandemie fallen nicht darunter. Auch zeigt das von Ihnen dargestellte Beispiel, die Risiken mit einer RPZ zu betrachten, die Schwäche dieser Systematik auf. Bitte auch bedenken, dass ISO 9001 kein Risikomanagement fordert, sondern lediglich die Berücksichtigung von Risiken und Chancen bei der Gestaltung des QMS.Im Falle der Pandemie, wie auch bei Feuer befinden wir uns im Bereich des tatsächlichen Risikomanagements, welches sich mit dem Thema „Schaffung und Schutz von Werten“ beschäftigt. Hier kann ich nur empfehlen sich einmal mit der DIN ISO 31000 auseinanderzusetzen. Die Kernaussage ist, dass weniger mehr ist. Somit wird in diesem Standard lediglich mit einer Vier-mal-vier Matrix gearbeitet. Eine Pandemie ist ein Thema, welches sicherlich in kaum einer Risikobetrachtung einer ISO 9001 zertifizierten Organisation auftauchen wird. Eine Pandemie gehört, wenn überhaupt, in ein ganzheitliches Risikomanagementsystem. Es ist nicht die Forderung der ISO 9001 eine Pandemie oder ähnliche nicht „normale“ Fälle als Risiken bei der Implementierung eines ISO 9001 Managementsystems zu betrachten. Ich hoffe nur, dass Auditoren weiterhin objektiv und mit der erforderlichen persönlichen Distanz ihren Job erledigen und jetzt nicht plötzlich die Pandemie in Verbindung mit einem QMS zum Thema machen. Eine belastbare Grundlage gibt es dafür in der ISO 9001:2018 nicht.

  3. Michael Thode sagt:

    Hallo Herr Roggensack,
    vielen Dank für Ihren Kommentar.
    Sie haben völlig recht, dass in der ISO 9001:2015 kein Risikomanagement gefordert wird. Aber es wird ja vielfach gefragt, wie denn bestimmte Dinge passieren können, obwohl das Unternehmen nach ISO 9001 zertifiziert ist – ich denke da an minderwertige Materialien in Brustimplantaten oder auch den Dieselskandal. Und das wollte ich halt hier bei diesem Thema auch aufgreifen.
    Bezüglich der Auditoren bin ich persönlich auch mal gespannt, wie dieses Thema die Audits der nächsten Zeit beeinflusst – ab Mitte Juni habe ich wieder die ersten externen Audits zu begleiten. Ich bin aber eigentlich der Überzeugung, dass die Mehrzahl der Auditoren „ordentlich“ mit dem Thema umgehen wird.

    1. 33b84450a10fd199b5d2eedc6bd7e9b2 Jörg Brokmann sagt:

      Das Thema der Risiken ist recht mannigfaltig und vielfach nicht mit einer RPZ realitätsnah abzubilden. Gerade im Bereich der Medizinprodukte gehen die Forderungen zum einen hinsichtlich eines produkt- und prozessbezogenen Risikomanagementsystems deutlich über die Anforderungen der 9000ff oder der ISO 31000 hinaus, zudem wird hier auch das Konzept der multiplikativen Verknüpfung der Faktoren grundlegend abgelehnt. Und das aus Sicht der Patientensicherheit sehr zurecht und ohne Einbeziehung der Entdeckungswahrscheinlichkeit des betreffenden Ereignisses.
      Auf die Frage, ob nun Unternehmen mit zertifiziertem QMS besser hätten vorbereitet sein müssen, so meine ich recht eindeutig „Nein“. Eine derartig weltumspannende Pandemie ist im Gegensatz zum Internet wirklich Neuland für die arbeitsteilige und industrialisierte Gesellschaft. Bei künftigen ähnlichen Ereignissen sollten ebenjene zertifizierten Organisationen allerdings ihre Lernkurve unter Beweis stellen und entsprechende Maßnahmen in der Hinterhand haben.
      Weniger aus normativen Erfordernissen als dem Interesse der Sicherung des Unternehmens geschuldet.

  4. Kommentar zu: http://blog.dgq.de/haetten-nach-iso-9001-zertifizierte-unternehmen-besser-auf-corona-vorbereitet-sein-muessen/
    Einen wunderschönen Sonntagmorgen wünsche ich meinen Vor(rednern)…schreibern.

    Ich finde den Ansatz von Herrn Thode sehr interessant und … insbesondere die einleitende Frage des Blogbeitrags sehr interessant. Natürlich können wir nun in die Diskussion fallen, ist ein Risikomanagement für externe Einflussfaktoren verpflichtend oder kann ein Risikomanagement alle Gefahren abbilden. … Und ich denke, beide Fragen lassen sich natürlich mit einem „nein“ beantworten.

    Faszinierend finde ich aber den Gedankengang, dass mensch sich als Führungskraft auch mit Gefahren beschäftigen sollte, die bisher nicht im dokumentierten Risikomanagement des Unternehmens verankert sind. Warum auch nicht? Die Methodiken haben sich bewehrt und bieten auch die Möglichkeit, zu erfahren, ob ich über den Tellerrand sehen muss.

    Ich schlie0e mich aber auch Herrn Stenske an. In meiner Ausbildung habe ich gelernt, dass in den verschiedenen mathematischen Modellen zur Berechnung von Potentialen, Indizes oder Prioritätszahlen von Risiken sich die „Handlungsgrenze“ dadurch bestimmen lässt, dass mensch die mittleren Stufen der einzelnen Faktoren mit der Methodik anwendet. Im beschriebenen Fall von Herrn Thode 5x5x5=125. Damit wäre eigentlich schon im ersten Abschnitt ein Handlungsbedarf zu sehen. Interessant finde ich doch aber eigentlich, dass man bei der oben beschriebenen Risikoprioritätszahl ja eigentlich zwei Faktoren hat, die zu einer Senkung der Risikoprioritätszahl führen würden.
    1.) … die Auswirkung und
    2.) … die Entdeckungswahrscheinlichkeit.

    Die ersten Informationen zu diesem neuen Virus kamen bereits im Dezember 2019. Schon Mitte Januar wurde klar, dass es sich um eine Gefahr handelt, die eventuell auf unser Leben einwirken kann. Dadurch ist eigentlich die Entdeckungswahrscheinlichkeit gar nicht einmal bei 10 einzugruppieren, sondern aus meiner Sicht bei 5, da ich zwar nicht alle eventuellen Auswirkungen kenne, aber die Entwicklung beobachte. Im ersten Schritt wären wir daher bei 5x8x5=200.
    Eine genaue Beobachtung der Situation ist nicht ausreichend. Es muss also noch das Risiko für das Unternehmen gesenkt werden. Aber dabei ist es nicht notwendig, das Risiko durch einen „… 3-4fachen Monatsumsatzes…“ auf vielleicht 2…3 zu senken. Eine Reduzierung im ersten Schritt auf „6“ würde ja reichen.

    Fazit: Also mir hat der Blog-Beitrag von Herrn Thode einen schönen Denkansatz gegeben. Danke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.