Hallo,
da bin ich auch mal gespannt, weil Prozessrisiko ist das nicht. Ich habe die ISO bisher so gelesen, das beides gefordert ist, die Chancen und Risiken für Unternehmensziele, interessierte Parteien aber auch die Prozesse.
Den wie du selber formulierst:
Da heisst das Zauberwort Prozessorientierung - wenn ein QMS Prozessorientiert ist, sind Prozessrisiken ein Risiko für das QMS.In Kapitel 6.1 steht, die Organisation muss die Risiken und Chancen bestimmen, die behandelt werden müssen, damit (lax formuliert) das QMS so funktioniert, wie geplant und gewollt.
Gruß
TamTOm
Moinsen,
ich Euch noch einen "Erfahrungsbericht" schuldig.
Das Audit lief bei uns butterweich. Keine (Neben-) Abweichungen im QMS, dafür aber angeregte Diskussionen zwischen den TÜV-Auditoren, der GF und mir.
Die Auditoren hatten erwartet, dass es eine Liste mir Risiken zu Prozessen gibt und waren ersteinmal überrascht genau das nicht zu sehen. Kommentar ging in die Richtung "Ja klar, ist nicht gefordert, aber 95% der Firmen machen genau das...".
Des Rätzels-Lösungs-Kern kam von der GF, die bei dem Thema "Risikomanagement" bei uns komplett das Ruder in der Hand hat und nicht überzeugt werden musste, dass hier was zu tun sei.
Im Gegenteil: unsere GF ist der Überzeugung, dass Risikomanagement ein integraler Bestandteil unternehmerischen Handelns ist und somit sowieso getan werden muss, "ob das nun eine DIN 9001 fordert oder nicht".
In der Vorbereitungszeit hat nun die GF ein Vorgabedokument verfasst, welches den Rahmen zum Risikomanagement aus ihrer Sicht definiert...Umstände (Kontext, interessierte Parteien), Themengebiete (über "QMS" hinaus), Bewertungskriterien, Reportingstruktur. Das alles gab es bereits und wurde nicht neu erfunden; es wurde "nur" einmal zusammen gefasst und als übergeordnetes Dokument zur Lenkung von Risikomaßnahmen freigegeben.
Und darin steht, selbstverständlich, dass Risiken (und Chancen) erfasst, bewertet und mit Korrekturmaßnahmen versehen werden müssen. Alles getacktet durch die GF, von dieser dokumentiert und gesteuert.
Praktisch heißt das für mich als "Stakeholder": ich bewerte Re- und Proaktiv meine Prozesse in regelmäßigen Abständen. Auf welcher Datenbasis und mit welcher Methode ich das tue, ist mir überlassen. Gibt es Risiken, die noch nicht bekannt sind oder die sich geändert haben, melde ich diese zu Stichtagen bzw in meinem Regeltermin mit der GF. Darüber hinaus muss ich das aber selbst tun, eigenverantwortlich.
Das hat bei uns Nutzen, wurde sowieso bereits durch (fast) jeden getan und ist somit nicht "Muda" der 9001 willen, sondern ist eine kurze, knappe aber zielführende Antwort auf die Forderung der DIN.
Und wie läufts bei Euch?
Bin gespannt auf Eure Berichte und Erfahrungen aus den Audits!