Nieuwe ISO 9001 introduceert ‘risicodenken'

maart 2016

Dat de nieuwe ISO 9001 (versie 2015) ruim aandacht besteedt aan risicobeheersing is niet meer dan logisch. Risicobeheersing is immers essentieel en een goede bedrijfsvoering. Maar wat houdt het begrip risico feitelijk in? En welke hulpmiddelen bestaan er voor het uitvoeren van een risicoanalyse?

Risicodenken neemt de laatste jaren duidelijk een hoge vlucht. Bedrijven en organisaties zijn op diverse fronten bezig met onderwerpen als informatiebeveiliging, persoonlijke gegevens in het internet- en ‘cloud'-tijdperk, continuïteit van het bedrijf (‘business continuity'), en meer exotische nieuwe topics zoals ‘food defence'. Het toenemend aantal stakeholders waar bedrijven mee willen rekening houden is hier zeker niet vreemd aan.

Anderzijds vraagt de huidige economische toestand van bedrijven en mensen dat zij wat betreft innovatie en ‘businessmodel' de gebruikelijke paden verlaten en zich buiten hun comfortzone begeven. Met bijhorende risico's uiteraard.
Het is dan ook niet verwonderlijk dat de auteurs van de nieuwe ISO 9001-versie het begrip ‘risico' breed introduceren in de nieuwe versie van de norm.

Risk Based Thinking

Het nieuwe item ‘risico-gebaseerd denken” kreeg een expliciete paragraaf in de inleiding tot de nieuwe norm. Daar wordt ook direct de link gemaakt tussen de risico's en het opzetten van preventieve beheersmaatregelen om negatieve effecten te minimaliseren. Dit risico-gebaseerd denken heeft tot gevolg dat er in de norm niet meer gesproken wordt van “preventieve maatregelen”; de norm heeft het alleen nog over corrigerende maatregelen als acties die de onderliggende systemische oorzaken van fouten wegnemen. Daarnaast komen er specifieke (nieuwe) eisen rond risicobeheer en change management.

Context- en stakeholderanalyse

Het begrip risico kan je niet loskoppelen van de begrippen klant en stakeholders. Een klant die vanuit zijn positie van marktleider graag jouw nieuwste technologie uittest, maakt zich allicht wat minder zorgen over de ‘kinderziekten' van die nieuwe technologie. Beide partijen hebben in dit geval waarschijnlijk een wat grotere ‘risk appetite'. Maar in andere gevallen zal een klant iets aan jouw organisatie uitbesteden, juist omdat hij op die manier bepaalde risico's wil afdekken. En hij wil dat bezegeld zien met een stevige SLA (Service Level Agreement).

Een risico is een bedreiging of een onzekere factor voor het halen van de doelstellingen van de organisatie. Klanten, leveranciers, partners en andere stakeholders delen dikwijls die doelstellingen. Het is dan ook niet verwonderlijk dat ISO 9001 de begrippen ‘context van de organisatie' en ‘noden en verwachtingen van belanghebbenden invoert.

Wie is de klant?

Samen met de scope (toepassingsgebied) vraagt de nieuwe ISO ook de context van de organisatie te schetsen. Via die context- en stakeholderanalyse kunnen we onder andere duidelijker stellen wie we vanuit het kwaliteitssysteem als klant beschouwen. Een school bijvoorbeeld kan dan duidelijk stellen dat zij streeft naar specifieke elementen van tevredenheid bij zowel leerlingen, ouders, ouderraad en inrichtende macht als subsidiërende overheid. De contextbeschrijving moet ook aan het licht brengen wat wij zien als noden en verwachtingen bij deze verschillende klantengroepen en/of stakeholders. N

aast die noden en verwachtingen, kunnen wij dan de risico's plaatsen die ons verhinderen aan deze noden en verwachtingen te voldoen. In een B2B-context kan dit bijvoorbeeld betekenen dat wij verschillende klantenprofielen en -verwachtingen definiëren voor verschillende business units. Als je expliciet streeft naar win-win relaties met bepaalde leveranciers, kan je dat hier ook duiden. Leveranciers-tevredenheid kan je dus ook een plaats geven.

Welke technieken gebruik je voor risicoanalyse?

Bedoeling is dat je vanuit een expliciete risicoanalyse zelf gaat uitmaken waar de uitdagingen liggen voor het beheren van je bedrijfsprocessen. Deze analyse zal bij voorbeeld bepalen hoe eenvoudig of complex de beheermechanismen rond meetapparatuur moeten worden. Risicoanalyse zal bepalen hoe je omgaat met leveranciers en onderaannemers. Formeel risicobeheer, in heel wat bedrijven reeds gekend via FMEA of HACCP-technieken, zal dus voor iedereen de norm zijn.
ISO 31000 met principes en richtlijnen rond risicobeheer kan een houvast bieden. In de aansluitende tekst ISO 31010 vinden we concrete voorbeelden van bruikbare technieken voor risicoanalyse. FMEA is slechts één van de meer dan 30 technieken die ISO 31010 bespreekt

Hoe omgaan met veranderingen?

Een nieuwe eis is ook de aandacht voor wijzigingen ( in het kwaliteitsmanagementsysteem of in de productieprocessen). Bedoeling is dat we ons bij wijzigingen in processen of productspecificaties de vraag stellen in hoeverre dit geen nieuwe risico's introduceert. Wat kan er misgaan als we een geroutineerde operator een week vervangen door een interimaris of door een jobstudent? Wat als we een machine vervangen door een nieuwer maar misschien toch niet 100% compatibel exemplaar? Wat bij introductie van een zogenaamd equivalente grondstof?

Voor alle duidelijkheid: ISO 9001 vraagt niet dat we uitgroeien tot een zero-risk organisatie. Bedoeling is wel dat we ons van de risico's bewust zijn en daar eventuele bijsturende acties aan koppelen, in functie van onze ‘risk appetite'. De tekst heeft het dan ook over het afwegen van risico's en opportuniteiten. Ook als je de slogans ‘one risk a day' of ‘no risk, no fun' hoog in het vaandel draagt, blijft certificatie binnen bereik.

Kürt t'Kindt en Ivo Demeulenaere
Senior consultants
Amelior

Op de hoogte blijven van onze opleidingen?

Schrijf je in op onze nieuwsbrief

Recente blogs