ISO 9001, ISO 14001 oder ISO 45001: Mit welchem Managementsystem zuerst beginnen

Ein Hersteller aus Bursa stellte uns kürzlich eine Frage, die wir fast wöchentlich hören: Der Exportkunde verlangt eine ISO-Zertifizierung, die Bank hat sie für eine Ausschreibung erwähnt, und eine neue Arbeitsschutzvorschrift landete gerade auf dem Schreibtisch des Betriebsleiters. Drei Normen liegen gleichzeitig auf dem Tisch, ISO 9001, ISO 14001 und ISO 45001, und das Unternehmen hat Budget und Energie für genau eine in diesem Jahr. Welche verdient den ersten Platz?

Das ist die eigentliche Entscheidung, und die Normen selbst beantworten sie nur selten. Alle drei sind ausgereift, breit anerkannt und auf derselben Annex-SL-Struktur aufgebaut, sodass sie auf dem Papier austauschbar wirken. In der Praxis steuern sie sehr unterschiedliche Risiken, fordern unterschiedliche Personen im Unternehmen und zahlen sich in unterschiedlichem Tempo aus. Die richtige Norm zum Einstieg zu wählen kann ein Jahr vergeudeten Aufwand ersparen.

Drei Normen, drei unterschiedliche Dinge, die gesteuert werden

Am saubersten trennt man die Normen, indem man fragt, was schiefgeht, wenn jede einzelne fehlt. Sie konkurrieren nicht miteinander, sie decken unterschiedliche Fehlerarten ab.

ISO 9001 steuert die Beständigkeit dessen, was Sie liefern. Ihr Gegenstand ist das Produkt oder die Leistung und die Prozesse, die es hervorbringen. Die Fehler, die sie verhindert, sind die teuren und rufschädigenden: die falsche Spezifikation in der Auslieferung, die wiederkehrende Reklamation, die niemand abschließt, der Auftrag, der kippt, weil keiner die Übergabe verantwortet. Wenn ein Kunde ISO 9001 verlangt, fragt er, ob Sie beim hundertsten Auftrag ein gutes Ergebnis genauso zuverlässig wiederholen wie beim ersten. Der Geltungsbereich ist hier Ihr Qualitätsmanagementsystem, und die Disziplin, die es einführt, berührt jede Abteilung, die den Kunden berührt.

ISO 14001 steuert Ihre Wechselwirkung mit der Umwelt. Ihr Gegenstand sind Ihre Umweltaspekte und deren Auswirkungen: Energie- und Wasserverbrauch, Abfallströme, Emissionen, Einleitungen, gelagerte Stoffe und Ihre Stellung gegenüber dem Umweltrecht. Die Fehler, die sie verhindert, sind Bußgelder, eine bei der Erneuerung verlorene Genehmigung, ein Vorfall, der zur Sanierungsrechnung wird, und zunehmend der verlorene Auftrag, weil die Nachhaltigkeitsberichterstattung eines Kunden keinen ungesteuerten Lieferanten akzeptiert. Die Arbeit konzentriert sich auf Betrieb, Anlagen und Einkauf, nicht auf jeden kundennahen Prozess.

ISO 45001 steuert Schaden an Menschen bei der Arbeit. Ihr Gegenstand ist das Risiko für Sicherheit und Gesundheit am Arbeitsplatz: die Gefährdungen in der Halle, die Beinaheunfälle, die einer schweren Verletzung vorausgehen, der Fremdfirmen-Mitarbeiter auf dem Gelände, der Ihre Regeln nicht kennt, die Hebetätigkeit, die über ein Jahrzehnt Rücken ruiniert. Die Fehler, die sie verhindert, tragen den höchsten menschlichen und rechtlichen Einsatz, und ihre stärkste Einzelanforderung, die echte Beteiligung der Beschäftigten, wird am häufigsten vorgetäuscht und im Audit am schnellsten entlarvt. Der Schwerpunkt liegt bei der Führung in der Linie und bei der Belegschaft selbst, nicht bei einem Dokumentationsteam.

So gelesen sind die drei Normen keine Auswahl ähnlicher Optionen. Sie sind drei unterschiedliche Blickwinkel auf drei unterschiedliche Risikokategorien, und ein ernsthaftes Unternehmen braucht am Ende alle drei. Die Frage lautet nicht Auswahl, sondern Reihenfolge.

Was jede Norm tatsächlich von Ihnen verlangt

Die gemeinsame Annex-SL-Struktur bedeutet, dass die Management-Mechanik einheitlich ist: Führungsverantwortung, Kontext und interessierte Parteien, risikobasiertes Denken, Ziele, internes Audit, Managementbewertung, Korrekturmaßnahme. Bauen Sie das einmal auf, und die zweite und dritte Norm übernehmen den Großteil davon. Das ist die wichtigste Einzeltatsache für die Reihenfolge, und wir kommen darauf zurück. Doch der Inhalt, den jede Norm zusätzlich auf dieses Gerüst legt, unterscheidet sich deutlich, und ebenso die Art des Aufwands.

ISO 9001 ist am Anfang die leichteste und im Unterhalt die breiteste. Die meisten Unternehmen erledigen die zugrunde liegende Arbeit bereits informell, daher geht es im Projekt vor allem darum, bestehende Prozesse sichtbar, verantwortet und messbar zu machen. Der Aufwand ist organisatorische Reichweite, nicht technische Tiefe: Jede Funktion muss mitspielen, und die Anforderung an dokumentierte Information ist breiter, als man erwartet. Die Aufgabe des Sponsors in der Geschäftsführung besteht darin, zu verhindern, dass Qualität zum Privathobby des Qualitätsmanagers wird.

ISO 14001 ist mittelschwer und am Anfang lastenintensiv. Die bestimmende Aufgabe ist die Bewertung der Umweltaspekte und ihrer Auswirkungen, samt dem Verzeichnis der bindenden Verpflichtungen daneben. Das ist echte fachliche Arbeit, und genau hier zeigt sich eine dünne Umsetzung sofort: ein Aspektenverzeichnis, das die tatsächlichen Stoffströme des Unternehmens übergeht, ist der häufigste Grund, weshalb ein 14001-Audit schlecht verläuft. Ist dieses Fundament solide, fällt der Unterhalt leichter als bei 9001, weil das System in einer definierten Menge von Tätigkeiten verankert ist und nicht im gesamten Unternehmen.

ISO 45001 ist kulturell die anspruchsvollste und gegenüber reiner Papier-Konformität die unnachsichtigste. Gefährdungsermittlung und Risikobewertung müssen lebendig und im Betrieb wirksam sein, kein Ordner. Die Pflicht zur Konsultation der Beschäftigten lässt sich nicht an eine Beratung delegieren, und ein Auditor spricht mit den Menschen in der Halle, um sie zu prüfen. Von den dreien ist dies die Norm, bei der ein gut geschriebenes Handbuch und eine hohle Praxis am weitesten auseinanderliegen und bei der die Führung sichtbar und persönlich eingebunden sein muss.

Eine Reihenfolge-Logik für ein Unternehmen, das nicht alle drei zugleich stemmen kann

Wenn die Ressourcen eine Wahl erzwingen, beginnen Sie nicht damit, welches Zertifikat das günstigste ist. Beginnen Sie mit drei Fragen, in dieser Reihenfolge, und lassen Sie diese die Normen für Sie ordnen.

Erstens: Was zwingt Sie vertraglich oder rechtlich? Eine Bestellung eines Kunden, eine Präqualifikation in einer Ausschreibung oder die Frist einer Behörde stehen über allem anderen, denn eine Norm, die Sie in diesem Quartal halten müssen, kann nicht auf einen sauberen Fahrplan warten. Nennt ein Exportvertrag ausdrücklich ISO 9001, ist die Debatte für den ersten Zyklus beendet. Hat eine ernste Arbeitsschutzkontrolle oder ein Vorfall 45001 auf den Tisch gebracht, macht das menschliche und rechtliche Risiko sie zur Priorität, unabhängig davon, was billiger zu zertifizieren wäre.

Zweitens: Wo liegt Ihr größtes ungesteuertes Risiko tatsächlich? Ohne externen Auslöser zertifizieren Sie gegen Ihre reale Gefährdung. Eine Gießerei, ein Bauunternehmen oder jeder Betrieb mit erheblicher manueller Handhabung und schwerem Gerät sollte ISO 45001 als echte Priorität behandeln und nicht als spätere Annehmlichkeit, denn die Kosten des Fehlers, den sie verhindert, stellen die Projektkosten in den Schatten. Ein Chemiebetrieb, ein Metallveredler oder ein Unternehmen nahe an sich verschärfenden Einleitungsgrenzwerten hat seine schärfste Gefährdung in ISO 14001. Ein Präzisionshersteller oder ein Dienstleister, dessen Schmerz Nacharbeit, Retouren und uneinheitliche Lieferung ist, ist klar ein Fall für ISO 9001.

Drittens: Welche Reihenfolge baut den günstigsten Weg zu allen dreien? Hier zahlt sich die Annex-SL-Struktur aus. Für die meisten Unternehmen ohne übergeordneten externen Auslöser ist ISO 9001 der vernünftige erste Schritt, nicht weil es das einfachste Zertifikat wäre, sondern weil es das Management-Rückgrat einführt, Kontextanalyse, Dokumentenlenkung, internes Audit, Managementbewertung, Korrekturmaßnahme, das die anderen beiden dann wiederverwenden. Zertifizieren Sie zuerst 9001, und 14001 oder 45001 wird zur Erweiterung eines laufenden Systems statt zu einem Projekt bei null. Bauen Sie es von Anfang an als integriertes Managementsystem auf, mit einem Satz Verfahren für alle drei Normen, dann kann ein einziges Auditteam sie später in einem kombinierten Besuch gemeinsam bewerten statt in drei getrennten.

Die Reihenfolge, die fast nie funktioniert, ist die, die rein nach gefühlter Leichtigkeit oder danach gewählt wird, welcher Prospekt zuerst eintraf. Wir haben Unternehmen gesehen, die 14001 isoliert zertifizierten, weil es überschaubar wirkte, und achtzehn Monate später die Hälfte neu aufbauten, als 9001 hinzukam und Dokumentenlenkung und Auditprogramm für beide zugleich umgestellt werden mussten. Mit dem Endzustand vor Augen zu ordnen, ist der Unterschied zwischen drei Projekten und einem System, das wächst.

Wie die Entscheidung in der Praxis ausfällt

Für einen mittelständischen Exporteur mit einem Reklamationsproblem und einem Kunden, der nachfragt, ist der Weg klar: zuerst die ISO-9001-Zertifizierung, aufgebaut als Management-Rückgrat, mit Umwelt- und Sicherheitssystemen, die in den folgenden Zyklen darüber gelegt werden. Für einen Hersteller, dessen Risikoregister von Emissionen und Abfall dominiert wird, führt ISO 14001, wobei die gemeinsame Managementstruktur vom ersten Tag an so ausgelegt wird, dass sie die anderen trägt. Für einen Schwerindustriebetrieb, dessen reale Gefährdung die Verletzung ist, ist ISO 45001 nicht die Norm, die Sie aufschieben. Sie ist die, die Sie als dringend behandeln und um die herum Sie den Rest aufbauen.

Was sich nicht ändert, ist das Prinzip unter allen drei Fällen: Zertifizieren Sie gegen das Risiko, das Ihnen am meisten schaden würde, und gestalten Sie dann das erste System so, dass die nächsten beiden es übernehmen statt es zu wiederholen. Sistem Patent Kalite plant diese Programme als einen einzigen Fahrplan und nicht als drei zusammenhanglose Audits, sodass jedes weitere Zertifikat weniger kostet als das vorherige. Wenn Sie abwägen, mit welcher Norm Sie beginnen, dreht sich das nützlichste erste Gespräch gar nicht um das Zertifikat. Es dreht sich darum, wo Ihr größtes ungesteuertes Risiko tatsächlich liegt.