Binnen de ISO 9001 norm wordt dit behandelt binnen de paragraaf over de context van de organisatie. Hierin wordt van u verwacht dat u de kansen en risico' s in kaart brengt waar uw organisatie de komende tijd (jaren) meet te maken kan krijgen. Denk daarbij aan de te verwachte economische groei of krimp, schaarste op de arbeidsmarkt etc. ISO 9001 geeft niet aan hoe u deze risicoinventarisatie moet maken. Dat is aan de ene kant prettig want u zit niet aan een bepaalde aanpak vast.
Tegelijkertijd maakt het dit ook lastig. Hoe gedetailleerd moet je de risicoinschatting bijvoorbeeld maken? Er is een norm voor die exact aangeeft hoe met risicomanagement kunt omgaan. Dat is de ISO 31000. Maar dan wordt het voor de meeste organisaties wel heel complex. Gelukkig hoeft dit dus niet. Voor de meeste MKB bedrijven is het voldoende om vooral je gezonde verstand te gebruiken. Dat blijkt in de praktijk een goede methode te zijn om een risico-inventarisatie te maken. ISO 9001 geeft nog wel aan dat je dit moet doen voor de externe omgeving en voor de interne organisatie. Dat onderscheidt moet u dus wel maken.
Belangrijk na het maken van de risico-inventarisatie is daarna om na te gaan of u de risico; s accepteert of niet. Een risico met een kleine kans dat deze gaat voorkomen en een kleine impact wilt u echt niet gaan borgen. Een risico met een grote kans en grote impact weer zeker wel. Aan u de keuze.
Daar denkt de certificeerder soms heel anders over. Het gebeurt wel eens dat de certificeerder aangeeft dat de risico-inventarisatie onvolledig is en anders, meer gestructureerd moet worden uitgevoerd. Het is dan aan u om aan te tonen dat dit in uw geval niet nodig is. De norm staat aan uw kant.
Zorg er wel voor dat deze risico-inventarisatie altijd een afgeleide is van uw strategisch beleid. Laat in ieder geval dat strategisch beleid de richting vormen van uw risico-inventarisatie.