Dienstag, 18.09.2018

Foto: aprott/Thinkstock/Getty Images

Oberflächenstruktur: Wer hier keine Fehler sieht, wäre als Qualitätsprüfer ein Risiko – das besagt die neue ISO-Norm.

Einkauf
Risikomanagement

Das sind die Neuerungen der ISO 9001:2015

Die neue ISO-Norm 9001:2015 verlangt auch von Mittelständlern ein Risikomanagement. Diese Vorgabe bedeutet zunächst einen Mehraufwand – hat später aber auch Vorteile. Und Unternehmen, die die Norm nicht umsetzen, kann der sofortige Lieferstopp drohen.

Wann waren Sie eigentlich das letzte Mal beim Sehtest? Für diese Frage interessiert sich nicht nur der Augenarzt. Auch der Zertifizierer will das unter Umständen genau wissen. Der Grund ist die Einführung der neuen ISO 9001:2015. Findet die Endkontrolle beispielsweise in einem Leiterplattenwerk manuell statt, muss das Unternehmen nachweisen, dass der Mitarbeiter mit dem bloßen Auge Produktionsmängel erkennen kann. Die neue Norm, die Ende September die ISO 9001:2008 ablöst, bringt nicht nur zahlreiche neue Regelungen mit sich, sondern auch Verschärfungen.

Aktuelles aus dem Mittelstand: Folgen Sie uns auf Zum Linkedin Profil von Markt und Mittelstand und Zum Linkedin Profil von Markt und Mittelstand


Von der Umstellung sind alle 2008-Zertifikate betroffen – unabhängig von ihrem Ausstellungsdatum.  Rezertifizieren müssen sich vor allem diejenigen Unternehmen, deren Kunden eine solche Zertifizierung verlangen; so ist die ISO 9001 zum Beispiel in weiten Teilen der Automobilindustrie bereits verpflichtend.

Zulieferer durchleuchten

Foto: Altenloh, Brinck & Co.

Hans Boot von der Schraubenfabrik Altenloh, Brinck & Co.

Eine der größten Veränderungen betrifft das Risikomanagement. „Mit der ISO 9001:2015 müssen Unternehmen nun vorbeugende Maßnahmen für eventuell auftretende Risiken ergreifen“, sagt Sami Gatz, Product Compliance Manager beim Sicherheitszertifizierer TÜV Süd. Und Unternehmensberater Frank Sundermann ergänzt: „Risk- Management sah bis dahin so aus, dass die Qualität erst bei der Auslieferung überprüft wurde; gab es da ein Problem, war es oft schon zu spät, um eine gute Alternative zu finden.“

Bei der Neuauflage der 9001er-Norm hatte die Internationale Organisation für Normung (ISO) ganz konkrete Risiken im Kopf, wie beispielweise die Pleite eines Lieferanten, die Abhängigkeit von nur einer Rohstoffquelle (Single-Source-Einkauf) oder schwankende Fremdwährungen. Zwar dauert die anschließende Abnahme durch den Auditor verlängert künftig länger, aber die verschärften Anforderungen bieten zugleich auch einen Mehrwert (siehe Kasten Seite 14): „Das ganze Unternehmen wird dadurch transparenter“, sagt Wolfgang Bechtold, Geschäftsführer des Kunststoffverarbeiters Bechtold & Sohn. Aufgrund des zunehmenden Wettbewerbs und des permanenten Innovationsdrucks könnten die geforderten Überlegungen sogar positive Impulse geben.

Zudem verschafft die neue ISO-Norm den Unternehmen mehr Spielraum: Mussten Vorschriften bisher zuweilen selbst dann umgesetzt werden, wenn sie für die eigene Produktion oder die Qualitätssicherung gar nicht relevant waren, können Betriebe nun selbst entscheiden, wo sie den Hebel ansetzen. Aber Achtung: Entschließt sich die Geschäftsführung in einzelnen Bereichen gegen ein Risk-Management, muss sie dies auch begründen. „Das Unternehmen muss dem Auditor schon zeigen, dass es sich damit auseinandergesetzt und abgewogen hat, wie anfällig die Produktion oder die Dienstleistungserbringung ist“, sagt Zertifizierungsexperte Gatz. Risiken lauern vor allem in den Bereichen, die Kontakt zur „Außenwelt“ haben. „Der Vertrieb sollte sich die Aufträge sowie Kundenlisten genauer anschauen, der Einkauf sollte die einzelnen Warengruppen unter die Lupe nehmen“, rät Frank Sundermann. Bisher spielten Einkauf und Vertrieb gerade in mittelständischen Unternehmen oft nicht die erste Geige, wenn es um die Absicherung von Geschäften ging. Das soll sich ändern, denn ein Vernachlässigen des Mikromanagements kann das Unternehmen direkt treffen.

Vor eineinhalb Jahren hat die Schraubenfabrik Altenloh, Brinck & Co. (ABC) für die ISO-Rezertifizierung der „Spax“-Schrauben ein eigenes Risikomanagement für die Zulieferer aufgebaut. Dafür hat das mittelständische Unternehmen die gesamte Lieferkette durchleuchtet: Alle Lieferanten wurden im Hinblick auf ihre Bonität oder latente Insolvenzgefahr gecheckt und darauf, ob es sich um den einzigen Lieferanten in einer Warengruppe handele und ob Transportrisiken bestünden. „Erst durch diese Analyse fiel uns auf, dass wir mehr risikobehaftete Lieferanten haben, als wir dachten“, sagt Hans Boot, Chief Procurement Officer (CPO) der Altenloh, Brinck & Co-Gruppe.

Info

Das ist neu bei der ISO 9001:2015

  • Die einzelnen Unternehmensziele rücken in den Hintergrund, stattdessen wird die strategische Ausrichtung der Organisation wichtiger.
  • Neben der Produktion gilt die ISO-Norm auch für ausgelagerte Zulieferer und Dienstleister. Outgesourcte Fertigungsaufträge, etwa bei Lohnherstellern, müssen verifiziert und regelmäßig kontrolliert werden.
  • Proaktives Risikomanagement: Das Unternehmen muss sich mit eventuell auftretenden Problemen frühzeitig auseinandersetzen und sich mit Lösungsalternativen beschäftigen.
  • Mikromanagement: Die Risikobetrachtung muss auf die einzelnen Abteilungen (wie Einkauf, Vertrieb oder Produktion) heruntergebrochen werden.
  • Um die Weiterführung des Unternehmens in Notfällen zu sichern, müssen die Verantwortlichkeiten dezentral aufgeteilt werden.
  • Um den Verlust von Fachwissen und Know-how durch den Weggang von Fach- und Führungskräften zu vermeiden, muss es ein Wissensmanagement im Unternehmen geben.
  • Jeder Mitarbeiter muss Zugang zur Dokumentation des für ihn relevanten Know-hows haben. Das bedeutet das Aus für das Qualitätsmanagement-Handbuch in Papierform.

Zehn Leitz-Ordner

Als Beispiel nennt Boot die Oberflächenbehandlung von Schrauben. Von den wenigen Spezialisten, die es dafür in Deutschland gebe, sei in den vergangenen Jahren einer durch Feuer zerstört worden, ein weiterer pleitegegangen. „Damit kein Engpass entsteht, wenn unser Bearbeiter einmal ausfällt, haben wir uns nach weiteren Betrieben umgesehen“, sagt Boot. Mittlerweile ist sein Team stärker im Thema eingearbeitet und hat weitere Kriterien in den Katalog aufgenommen. Mindestens zwei Mal im Jahr kommen nun auch die Liefertreue, die Qualität und die Flexibilität auf den Prüfstand. Für jeden Zulieferer wurde auch abgeklärt, über welche Zertifikate und Qualitätsmanagement(QM)-Systeme er verfügt. Für die Risikobeurteilung nutzt ABC die Softwarelösung Enrisma.

Wolfgang Bechtold ist Geschäftsführer von Bechtold & Sohn.

Im Vertrieb liegen die Knackpunkte oft in den Bereichen Kostendeckung, Vertragsgestaltung und längerfristige Verpflichtungen. Will der Kunde etwas Besonderes haben oder bestellt er eine kleine Stückzahl, ist es wichtig, diese Faktoren einzupreisen. Risiken könnten sich auch ergeben, wenn das Produktmuster nicht rechtzeitig ankommt und sich dadurch die Produktion verzögert. Und langfristige Verträge können heikel sein, wenn die Produktion eines bestimmten Artikels auslaufen soll. „In Einzelfällen kann es deshalb sinnvoll sein, einen Auftrag auch mal nicht anzunehmen“, sagt Frank Sundermann, Geschäftsführer der Beratungsgesellschaft Durch Denken Vorne Consult.

Der Kunststoffverarbeiter Bechtold & Sohn, der auf einen Jahresumsatz von rund 15 Millionen Euro kommt, betreibt neben seinem Stammwerk in Beerfelden mit rund 80 Mitarbeitern einen weiteren Standort im tschechischen Kralovice mit 70 Leuten. Der Mittelständler beliefert unter anderem die anspruchsvolle Automobilindustrie, die sich mit weniger als der neuesten ISO-Norm 9001 nicht zufrieden gibt. Bis zu neun Seiten pro Arbeitsanweisung füllen die Unterlagen bei dem Odenwälder Unternehmen bis zu zehn Leitz-Ordner pro Jahr. „Wir sind seit 14 Jahren nach ISO 9001 zertifiziert, und in den meisten Fällen reichte bisher eine Aktualisierung aus“, berichtet Wolfgang Bechtold. Da das Unternehmen auch komplexe Produkte wie Notfallsets für Reifenpannen herstellt, wurden die Prozesse schon immer kontinuierlich verbessert – beim Risikomanagement war man bereits gut aufgestellt.

Was bei der aktuellen Rezertifizierung viel Zeit gekostet hat, war die Implementierung neuer Anforderungen, die bisher nicht Teil des ISO-Pflichtenheftes waren. „Wir müssen jetzt auch unsere Zulieferer und Dienstleister, an die wir einzelne Produktionsschritte ausgelagert haben, überprüfen und überwachen“, erläutert Bechtold weiter. Neu ist unter anderem, dass das Risk-Management nun auch direkt der Geschäftsführung zugeordnet ist. In der Vorgänger- Version lag die meiste Verantwortung noch bei den QM-Beauftragten.

Gravierende Folgen ohne Rezertifizierung

Wegen dieser zusätzlichen Verantwortung hat der Seniorchef auch einen externen Berater mit der Umsetzung beauftragt. Der komme alle zwei Monate zu ihm in den Betrieb und kenne sich bestens mit den Anforderungen und der betrieblichen Ausgestaltung aus, sagt Bechtold. Der Berater kümmere sich auch um die Zertifizierung des Auslandsstandorts und die ausgelagerte Lohnfertigung. „Dass alles aus einer Hand kommt, spart zudem auch Kosten, weil ich sonst extra jemand dafür einstellen müsste“, sagt der Inhaber.

Bechtold schätzt bei der neuen ISO-Norm vor allem die neuen Freiräume. Nun könne er sich auf die wichtigen Prozesse konzentrieren, um die Ausfallzeiten von Maschinen noch weiter zu reduzieren und um die Qualität weiter zu steigern. „Wenn wir für ein Produkt nur ein oder zwei Kunden haben und die Stückzahl gering ist, dann machen wir das nicht mehr – und da lassen auch die Auditoren mit sich reden.“ Mit der FMEA-Methode (Failure-Mode- Effect-Analyse) nahm die gesamte ISO-Zertifizierung samt Vorbereitung etwa ein Jahr in Anspruch – und dauerte damit rund ein Drittel länger als bisher. Die Kosten für die Zertifizierung beziffert der Unternehmer auf rund 40.000 Euro, wovon etwa 25.000 Euro auf den Berater, den Auditor und die Kosten für das Zertifikat entfallen würden.

Neue Vorschriften, großer Aufwand, Deadline – das alles dürfte mittelständische Unternehmen an das Reizthema DSGVO erinnern. Doch bei der neuen ISO-Norm sollte nach Einschätzung von Experten ein ähnliches Desaster bei der Umsetzung ausbleiben. Das liegt vor allem an einem Grund: Der Zertifizierer kommt in der Regel einmal im Jahr ins Unternehmen. „Seit März 2018 darf das Audit nur noch nach der ISO 9001:2015 durchgeführt werden“, sagt Sami Gatz vom TÜV Süd. Vergessen dürfte es eigentlich keiner haben, die Auditoren haben alle Kunden darauf hingewiesen, und man habe sie angeschrieben. Zudem sei die Umsetzung im ureigenen Interesse: „Für Betriebe, die OEMs oder den Bund beliefern, und das neue Zertifikat nicht vorlegen können, hätte das den sofortigen Lieferstopp zur Folge“, weiß der Experte.

Für die Spax-Schrauben der Schraubenfabrik Altenloh, Brinck & Co. ist das neue Zertifikat bisher nicht verpflichtend, trotzdem gab es gute Gründe: Erstens wäre es möglich, dass Großkunden in Zukunft ebenfalls ein professionelles Qualitätsmanagement verlangen. Und zweitens zeigen sich jetzt schon klare Vorteile für das Unternehmen: „Auch andere Abteilungen haben mittlerweile erkannt, wie wichtig das Risikomanagement ist“, sagt Einkaufsleiter Hans Boot: „Einige sind sogar der Ansicht, dass diese Überlegungen oberste Priorität haben sollten.“


Der Artikel gehört zu einem Thema aus der „Markt und Mittelstand“-Ausgabe September 2018, die am 7. September erscheint. Hier können Sie das Heft bestellen und „Markt und Mittelstand“ abonnieren.