ISO 9001 Risikobewertung
Hier finden sie eine Anleitung zur Anpassung unser Risikobewertung.
1.Vorbereitung
a.Team festlegen
Im ersten Schritt sollte man ein Team festlegen. In dem Team sind am besten Personen, die das gesamte Unternehmen gut kennen. Es macht Sinn, dass sich sowohl Führungskräfte als auch Mitarbeiter in dem Team befinden.
Die Größe des Teams sollte an die Unternehmensgröße angepasst werden.
b.Dokumente / Vorlagen vorbereiten
Die Vorlage einer Risikoanalyse kann man auf unserer Homepage unter http://www.qm-guru.de/wp-content/uploads/2014/07/Risikoanalyse-ISO-9001-Revision-2015.xlsx herunterladen.
Alternativ kann man eine eigene Vorlage erstellen.
c.Termin festlegen
Es sollte ein Termin für die Erstellung der Risikoanalyse festgelegt werden. Dies sollte am besten in einem Besprechungszimmer stattfinden. So werden andere Mitarbeiter nicht gestört und die Erarbeitung kann in einer angenehmen Atmosphäre stattfinden.
2.Erstellung der Risikoanalyse
a.Moderator ernennen
Zu Beginn sollte ein Moderator ernannt werden (insbesondere bei einem größeren Team). Der Moderator sorgt hauptsächlich dafür, dass das Gespräch nicht in andere Themen „abgleitet“ und bindet alle Teilnehmer in die Erarbeitung ein.
b.Brainstorming
Die Erarbeitung der Risikoanalyse sollte mit einem Brainstorming beginnen. Informationen, wie man ein Brainstorming durchführt, findet man am besten unter http://de.wikipedia.org/wiki/Brainstorming
c.Klastern
Wenn die verschiedenen Risiken anhand des Brainstormings ermittelt wurde, können diese Risiken in Themenbereich bzw. Interessierte Parteien unterteilt werden. (Siehe Spalte A im Muster)
d.Wahrscheinlichkeit definieren
Die Abstufung der Wahrscheinlichkeit (= wie wahrscheinlich ist es, dass das jeweilige Risiko auftritt) sollte definiert werden. (Siehe Legende / Wahrscheinlichkeit im Muster).
Am einfachsten ist es hierfür erst einmal ein Maßeinheit zu definieren. Also z.B. Anzahl der Vorkommnisse pro Jahr oder pro Monat.
Die Anzahl der Stufen sind beliebig wählbar. Empfehlenswert ist gering / mittel / hoch.
Nun werden die Vorkommnisse, z.B. pro Jahr, diesen Stufen zugeteilt.
Z.B. gering = Vorkommnis pro Jahr 1 x (Siehe auch Muster)
Um die spätere Einordnung zu vereinfachen, könnte man noch Erklärungen festlegen z.B. gering = kommt wahrscheinlich nicht vor. (Siehe auch Muster)
e.Wahrscheinlichkeiten dem Risiko zuordne
n
Nun kann man die Risiken der Reihe nach durcharbeiten und die festgelegen Zahlen (wie hoch die Wahrscheinlichkeit ist, dass das Risiko eintritt) hinterlegen.
Also z.B.
Risiko: Standort nicht mehr nutzbar (wegen Brand).
Von der Erklärung würde man dieses Risiko wie folgt einordnen: kommt wahrscheinlich nicht vor.
Bei Anzahl der Vorkommnisse / Jahr würde man dieses Risiko am ehesten wie folgt einordnen: 1
Somit ist es eindeutig, dass die Wahrscheinlichkeit für dieses Risiko die Zahl 1 bekommt.
Achtung! Wenn man bei der Zuordnung merkt, dass die Legende nicht ausreichend / zutreffend ist, kann man diese natürlich nachträglich anpassen!
f.Eskalationsstufe definieren
Im nächsten Schritt sollte man die Eskalationsstufe definieren. Eskalationsstufe bedeutet: Wie schlimm ist es für das Unternehmen, wenn dieses Risiko auftritt.
Hier wird ähnlich wie bei Schritt 2 d) eine Einstufung in Worten erstellt. Es bietet sich folgende Abstufung an: gering / mittel / kritisch / katastrophal (siehe auch Muster).
Auch dieser Abstufung werden Zahlen zugeteilt:
Gering = 1, Mittel = 2 usw.
Hier ist empfehlenswert eine Erklärung mit einzufügen.
z.B. Kosten / Wie schnell kann das behoben werden / Wie stark ist die Arbeit beeinträchtigt. (Siehe Muster)
g.Eskalationsstufe dem Risiko zuordnen
Wenn die Eskalationsstufen festgelegt sind, kann man wie auch bei der Wahrscheinlichkeit mit der Zuordnung zu den Risiken beginnen.
Also man fragt sich für jedes Risiko: „Wie schlimm ist es, wenn dieses Risiko eintritt?“
Also z.B.
Risiko: Daten aus Programmen gehen verloren.
Von der Erklärung würde man dieses Risiko wie folgt einordnen:
Kosten: Kann aus liquiden Mitteln entnommen werden, kann nur mit hohem Aufwand behoben werden, Arbeit ist vorübergehen nicht möglich
Da die Anzahl der Erklärung 3 überwiegt, würde man hier die Eskalationsstufe 3 wählen. Auch von der Stufe in Worten ist „kritisch“ zutreffend für dieses Risiko.
h.Ergebnisse und Maßnahmen
Nun stehen hinter jedem Risiko die „Wahrscheinlichkeitszahlen“ und die „Eskalationszahlen“. Im nächsten Schritt nimmt multipliziert man diese Zahlen miteinander. (Siehe Muster).
Wenn man das Ergebnis dieser Zahlen erhält, sollte man festgelegen, ab wann es notwendig ist, eine Maßnahme einzuleiten.
Auch hier ist es wieder sinnvoll im Voraus Erklärungen festzulegen. Z.B.: Mit diesem Risiko kann man leben, für dieses Risiko wird ein Maßnahmenkatalog erstellt usw. (siehe Muster)
3.Nachbereitung
Für die Nachbereitung sollten die Maßnahmen schon verantwortlichen Personen zugeteilt werden. Dies kann entweder über die Risikoanalyse erfolgen (siehe Muster) oder z.B. auch über einen separaten Maßnahmenkatalog (Beispiel liegt zum Download unter http://www.iso9001.info/wp-content/uploads/2013/12/Ma%25C3%259Fnahmekatalog_Kunde_Jahr.xlsx).
Zudem sollte eine Person benannt werden, die für die Überwachung der Maßnahmen verantwortlich ist.