Dieser Beitrag ist Teil unserer Praxisserie zur ISO 9001 Zertifizierung für KMU — ein Schritt-für-Schritt-Leitfaden für kleine und mittlere Unternehmen, die den Zertifizierungsprozess ohne bürokratischen Overhead angehen. Sie haben bereits Qualitätspolitik und Qualitätsziele erarbeitet. Jetzt verlangt ISO 9001, dass Sie systematisch überlegen, was schiefgehen könnte — und wo Potenzial liegt. Genau das ist Kapitel 6.1.
Die gute Nachricht: Sie brauchen kein komplexes Risikomanagement-System. Sie brauchen einen praxistauglichen Prozess, den Ihr Team auch wirklich nutzt.
Was ISO 9001 wirklich fordert (Kapitel 6.1)
ISO 9001:2015 Kapitel 6.1 verlangt von Ihrer Organisation:
- Risiken und Chancen im Kontext Ihres QMS identifizieren
- Maßnahmen planen, um damit umzugehen
- Diese Maßnahmen in Ihre QMS-Prozesse integrieren
- Die Wirksamkeit der Maßnahmen bewerten
Wichtig: Die Norm verlangt kein formales Risikoregister und keine spezifische Methodik. Sie verlangt Nachweise, dass Sie die Thematik ernst genommen und gehandelt haben.
Zwei Ebenen von Risiken — was ISO 9001 wirklich abdeckt
Ein häufiges Missverständnis: ISO 9001 adressiert Risiken auf zwei verschiedenen Ebenen, die durch unterschiedliche Klauseln geregelt werden. Wer das versteht, baut ein Risikomanagement auf, das vollständig und gleichzeitig verhältnismäßig ist.
Ebene 1 — Geschäftliche und strategische Risiken (Kapitel 6.1)
Das sind unternehmensweite Risiken, die beeinflussen, ob Ihr QMS seine beabsichtigten Ergebnisse erreichen kann. Sie leiten sich aus Ihrem Unternehmenskontext (Kapitel 4.1) und den Anforderungen interessierter Parteien (Kapitel 4.2) ab. Beispiele: Marktveränderungen, neue Regularien, Abhängigkeit von Schlüsselpersonen, Ausfall eines strategischen Lieferanten oder neue Wettbewerber. Hier gehört die Unternehmensleitung aktiv eingebunden.
Ebene 2 — Prozessimmanente Risiken (Kapitel 4.4 und Kapitel 8.1)
Das sind Risiken innerhalb einzelner Betriebsprozesse — was konkret schiefgehen kann, wenn Sie Ihre Produkte oder Dienstleistungen erbringen. ISO 9001 Kapitel 4.4 verlangt, Risiken bei der Gestaltung von Prozessen zu berücksichtigen. Kapitel 8.1 erweitert das auf die operative Planung.
Der wirksamste Ansatz hier ist der prozessorientierte: Gehen Sie jeden Ihrer relevanten Prozesse durch und fragen Sie: „Was kann hier schiefgehen, und welche Auswirkung hätte das?“ Genau hier zahlt sich die Prozessorientierung von ISO 9001 aus — weil Sie bereits eine definierte Prozesslandschaft haben (oder aufbauen werden), können Sie diese systematisch als Risiko-Checkliste durcharbeiten.
| Prozess | Risikobeispiel | Mögliche Auswirkung |
|---|---|---|
| Auftragsannahme | Kundenanforderungen falsch verstanden oder nicht dokumentiert | Nacharbeit, Reklamationen, Lieferverzug |
| Beschaffung | Einzel-Lieferant fällt aus oder liefert zu spät | Produktionsstopp, verpasste Liefertermine |
| Produktion / Leistungserbringung | Ungeschulter Mitarbeiter führt kritischen Schritt aus | Fehlerhafte Produkte, Gewährleistungskosten |
| Qualitätsprüfung | Prüfschritt wird unter Zeitdruck übersprungen | Fehlerhaftes Produkt gelangt zum Kunden |
| Reklamationsbearbeitung | Ursache nicht ermittelt, Problem wiederholt sich | Kundenverlust, wiederkehrende Abweichungen |
Für Prozesse mit hoher Kritikalität oder Komplexität — z. B. einen kerntechnischen Produktionsschritt oder eine sicherheitsrelevante Prüfung — kann eine strukturierte FMEA (Fehlermöglichkeits- und -einflussanalyse) sinnvoll sein. Die FMEA geht tiefer als ein Standard-Risikoregister: Sie analysiert systematisch alle möglichen Fehlerarten in einem Prozessschritt, bewertet Auftretenswahrscheinlichkeit, Bedeutung und Entdeckungswahrscheinlichkeit und priorisiert, welche Fehlerarten zuerst adressiert werden müssen. ISO 9001 schreibt keine FMEA vor, aber sie ist ein anerkanntes und auditfestes Werkzeug, wenn die Prozesskomplexität es rechtfertigt.
In der Praxis fließen beide Ebenen in dasselbe Risikoregister ein — die Quellen und Maßnahmen unterscheiden sich aber. Geschäftsrisiken führen zu strategischen Entscheidungen und angepassten Qualitätszielen. Prozessrisiken führen zu überarbeiteten Arbeitsanweisungen, zusätzlichen Prüfschritten oder geänderten Prozessabläufen.
Schritt 1: Risiken und Chancen identifizieren
Starten Sie mit einer einfachen SWOT-Analyse. Übertragen Sie die Ergebnisse direkt auf Ihr QMS:
| SWOT-Element | ISO 9001 Betrachtung | Beispiel (KMU) |
|---|---|---|
| Stärke | Chance | Treue Kundenbasis → Zusatzleistungen anbieten |
| Schwäche | Risiko | Nur eine Person kennt alle Prozesse → Wissensrisiko |
| Gelegenheit | Chance | Neue Regularien erzeugen Nachfrage nach zertifizierten Lieferanten |
| Bedrohung | Risiko | Schlüssellieferant fällt aus → Lieferengpass |
Beziehen Sie Ihre Teamleitungen ein — sie kennen die echten Schwachstellen.
Schritt 2: Bewerten und priorisieren
Bewerten Sie jedes Risiko anhand von Eintrittswahrscheinlichkeit und Auswirkung (je Niedrig / Mittel / Hoch). Eine 3×3-Matrix reicht für die meisten KMU: Hoch + Hoch = sofort handeln, Niedrig + Niedrig = nur beobachten. Keine aufwändige Software notwendig — eine Excel-Tabelle genügt.
Schritt 3: Maßnahmen planen
Für jedes wesentliche Risiko oder jede Chance definieren Sie: die Maßnahme (Vermeiden, reduzieren, akzeptieren oder übertragen), Verantwortlichen, Termin und Wirksamkeitskriterium. Diese Maßnahmen sollten direkt in Qualitätsziele oder Prozessbeschreibungen einfließen — nicht in einem Dokument landen, das niemand liest.
Typische Fehler im KMU-Kontext
- Risiken ohne Maßnahmen auflisten: Überzeugt keinen Auditor.
- Operative mit strategischen Risiken verwechseln: ISO 9001 betrifft QMS-Risiken — was Ihre Fähigkeit beeinträchtigt, konforme Produkte und zufriedene Kunden zu liefern.
- Einmalige Übung: Risiken verändern sich — mindestens jährlich überprüfen.
- Überkomplizieren: 10 echte, gepflegte Risiken sind besser als 50 theoretische Einträge.
Was der Auditor prüft
- Wie identifizieren Sie Risiken in Ihrem QMS?
- Können Sie ein konkretes Risiko zeigen und Ihre Maßnahme erläutern?
- Wie haben Sie die Wirksamkeit überprüft?
Sie brauchen echte Nachweise — ein Protokoll, eine überarbeitete Prozessbeschreibung, eine angepasste Lieferantenbewertung.
Praxis-Template für KMU
Ein minimales Risikoregister für ISO 9001 benötigt nur diese Spalten:
| Risiko/Chance | Kategorie | Wahrscheinlichkeit | Auswirkung | Maßnahme | Verantwortlich | Bis wann | Status |
|---|---|---|---|---|---|---|---|
| Schlüsselmitarbeiter verlässt das Unternehmen | Risiko | Mittel | Hoch | Kritische Prozesse dokumentieren | QM-Beauftragter | Q2 2026 | In Bearbeitung |
| Neue Regulierung schafft Nachfrage | Chance | Hoch | Hoch | Neues Serviceangebot entwickeln | Vertrieb | Q3 2026 | Geplant |
Einordnung in den Zertifizierungsweg
Die Risiken-und-Chancen-Planung gehört zur Planungsphase (Kapitel 6) — sie baut auf der Kontextanalyse auf und mündet in die Qualitätsziele (Kapitel 6.2). Danach folgt die Unterstützungsphase: Prozesse definieren, Kompetenzanforderungen festlegen, Dokumentation aufbauen.
Dieser Beitrag ist Teil unserer Praxisserie zur ISO 9001 Zertifizierung für KMU. Vorherige Beiträge: Qualitätspolitik und Qualitätsziele. Nächster Teil: Prozesse definieren und dokumentieren.
So setzen wir das in Ihrem Unternehmen um
Risiko- und Chancenmanagement klingt in der Theorie einfach — in der Praxis wird es häufig entweder überformalisiert oder ganz übergangen. Bei Sternberg Consulting arbeiten wir beide Risikoebenen mit Ihnen durch. Für geschäftliche und strategische Risiken analysieren wir Ihren Unternehmenskontext, Ihre Marktlage und kritische Abhängigkeiten. Für prozessimmanente Risiken schauen wir uns jeden Ihrer relevanten Prozesse genau an — wo die echten Schwachstellen liegen, welche Auswirkung ein Fehler hätte, und was eine verhältnismäßige Maßnahme ist. Wo ein Prozess besonders komplex oder sicherheitsrelevant ist, führen wir eine strukturierte FMEA durch, um Fehlerarten zu identifizieren und zu priorisieren, bevor sie zu Abweichungen werden. Wir begleiten auch die Umsetzung: Prozessbeschreibungen anpassen, Prüfschritte ergänzen, Nachweise aufbauen. Nehmen Sie Kontakt auf für ein unverbindliches Erstgespräch.
Häufige Fragen
Brauche ich ein formales Risikoregister für ISO 9001?
Nein. Die Norm schreibt kein bestimmtes Format oder Tool vor. Sie müssen nachweisen, dass Sie relevante Risiken und Chancen identifiziert, bewertet und Maßnahmen ergriffen haben. Eine einfache Tabelle oder ein dokumentiertes SWOT-Gespräch reicht aus.
Was ist der Unterschied zwischen risikobasiertem Denken und Risikomanagement?
Risikobasiertes Denken (ISO 9001 Kapitel 6.1) ist eine Denkweise im QMS — Sie überlegen proaktiv, was Ihre Qualitätsziele gefährden könnte. Ein formales Risikomanagementsystem (z. B. nach ISO 31000) geht weit darüber hinaus. ISO 9001 verlangt nur ersteres.
Wie oft muss die Risikobewertung überprüft werden?
Mindestens einmal jährlich — im Rahmen der Managementbewertung. Zusätzlich bei wesentlichen Veränderungen: neue Produkte, Personalwechsel, neue Lieferanten, Marktveränderungen.
Können Chancen gemeinsam mit Risiken erfasst werden?
Ja, und das sollten sie auch. ISO 9001 verlangt ausdrücklich, Risiken und Chancen zu berücksichtigen. Chancen können Marktveränderungen, neue Technologien oder Prozessverbesserungen sein.
Über den Autor
Jonathan Sternberg ist zertifizierter interner Auditor und externer Qualitätsmanagementbeauftragter mit Erfahrung in der Automobil-, Halbleiter-, Laseroptik- und Medizintechnikbranche. Mit Sternberg Consulting unterstützt er kleine und mittlere Unternehmen im DACH-Raum bei der Einführung von ISO 9001, ISO 14001, ISO 45001 und ISO 13485. Als BAFA-zugelassener Berater unterstützt er auch bei Förderanträgen. Kontakt aufnehmen für ein unverbindliches Erstgespräch.
