Jedes Unternehmen ist Teil einer “Lieferkette”. Die “Lieferkette” rückt in den in den letzten ein bis zwei Jahren in den Vordergrund der Interessen von Unternehmen. Die Angst vor dem “worst case scenario”, vor dem Kettenriss, macht sich breit. Die Infrastrukturen des “global sourcing & selling” scheinen eher brüchig als elastisch. Die Pandemie wirkt als Vergrößerungsglas der Schwachstellen der Ketten. Die mehr oder weniger ausgesprochenen Wirtschaftskriege, Produktembargos und Handelshemmnisse tun das Ihrige und das Übrige.
Die “Lieferkette” wird in Deutschland danz aktuell zum Gegenstand des “Lieferkettengesetzes”, ein Compliance-Gesetz zur Vermeidung von Menschenrechtsverletzungen in globalen Wertschöpfungsketten erlassen werden. Jedes Unternehmen in einer (globalen) Lieferkette wird gezwungen, sich mit dieser Kette neu auseinanderzusetzen.
Das Thema “Qualität” und das neue Thema “Risiko” im Zusammenhang mit der “Lieferkette” wird in Unternehmen aktuell thematisiert.
Die Norm ISO 28001:2007 - eigentlich ein Standard jenseits des unausgesprochenen Verfallsdatums von ISO Normen stellt weder die richtigen Fragen, noch gibt sie die mehr oder weniger richtige Antworten. Sie widmet sich dem Unterthema “security management”. Nicht ausreichend für ein “Qualitätsrisikomanagement in Lieferketten.”
In den ISO Normen zu Qualitätsmanagementsystemen und zu Risikomanagement wird nach richtungsweisenden Konzepten bei den Anforderungen, bei den Empfehlungen und in den sogenannten “informativen” Abschnitten gesucht. Vergebens.
Die klassische Norm ISO 9001:2015 mit Anforderungen an Qualitätsmanagementsysteme kann in den Kontext (Normkapitel 4. Kontext der Organisation”) der Lieferkette gebracht werden. Dazu braucht es eine produktbezogene Definition von Qualität, welche über die Definition in der Norm ISO 9000:2015 hinausgeht. Dazu braucht es eine unternehmerische Definition von Risiko, welche die belastungschwachen Definitionen von Risiko in den Normen ISO 9000:2015 und ISO 31000:2018 endlich vergessen lässt. Dazu braucht es “etwas mehr” Risikomanagement in der Norm ISO 9001:2015 als das informative “Risikobasierte Denken”, nämlich so etwas, wie eine Integration von Qualität und Risiko oder Risiko und Qualität. Das läuft auf eine etwas kreative Nutzung der Norm ISO 9001:2015 mit der Norm ISO 31000:2018 als Impulsgeber hinaus.
Was es noch braucht, wo diese genannten zwei ISO Normen wirklich “alt aussehen” sind einige wenige klare Anforderungen an die Informationsinfrastruktur, die Liefer- und Wertschöpfungsketten begleiten. Dazu braucht man nicht ewig auf die nächsten Revisionen dieser Normen zu warten, sondern kann sie mit etwas erfahrungs-bewährten 4.0 Konzepten selbst aktualisieren. Eine ISO Norm mit Anforderungen an Managementsysteme ist ein Mindeststandard. Warum nicht mit ein paar eigenen Anforderungen an Managementsysteme nachlegen?
Ein wenig Denken ist angesagt. Der externe Auditor wird es danken!