Risicomanagement en de ISO 9001:2015
In de ISO 9001:2015 staat risicomanagement centraal. Ik zal u aangeven wat dit voor u betekent en hoe u dit kunt aanpakken.
Gelukkig geeft de ISO 9001:2015 u daarvoor houvast. De norm maakt om te beginnen onderscheid in risicomanagement op twee niveau’s: op strategisch niveau en op operationeel niveau. Laten we beiden bekijken.
Risicomanagement op strategisch niveau
Binnen de ISO 9001 norm wordt dit behandelt binnen de paragraaf over de context van de organisatie. Hierin wordt van u verwacht dat u de kansen en risico’ s in kaart brengt waar uw organisatie de komende tijd (jaren) meet te maken kan krijgen. Denk daarbij aan de te verwachte economische groei of krimp, schaarste op de arbeidsmarkt etc. ISO 9001 geeft niet aan hoe u deze risicoinventarisatie moet maken. Dat is aan de ene kant prettig want u zit niet aan een bepaalde aanpak vast. Tegelijkertijd maakt het dit ook lastig. Hoe gedetailleerd moet je de risicoinschatting bijvoorbeeld maken? Er is een norm voor die exact aangeeft hoe met risicomanagement kunt omgaan. Dat is de ISO 31000. Maar dan wordt het voor de meeste organisaties wel heel complex. Gelukkig hoeft dit dus niet. Voor de meeste MKB bedrijven is het voldoende om vooral je gezonde verstand te gebruiken. Dat blijkt in de praktijk een goede methode te zijn om een risico-inventarisatie te maken. ISO 9001 geeft nog wel aan dat je dit moet doen voor de externe omgeving en voor de interne organisatie. Dat onderscheidt moet u dus wel maken.
Belangrijk na het maken van de risico-inventarisatie is daarna om na te gaan of u de risico; s accepteert of niet. Een risico met een kleine kans dat deze gaat voorkomen en een kleine impact wilt u echt niet gaan borgen. Een risico met een grote kans en grote impact weer zeker wel. Aan u de keuze.
Daar denkt de certificeerder soms heel anders over. Het gebeurt wel eens dat de certificeerder aangeeft dat de risico-inventarisatie onvolledig is en anders, meer gestructureerd moet worden uitgevoerd. Het is dan aan u om aan te tonen dat dit in uw geval niet nodig is. De norm staat aan uw kant.
Zorg er wel voor dat deze risico-inventarisatie altijd een afgeleide is van uw strategisch beleid. Laat in ieder geval dat strategisch beleid de richting vormen van uw risico-inventarisatie.
Risicomanagement op operationeel niveau
Wanneer u de risico’ s op strategisch niveau heeft vastgesteld wordt het tijd om dit ook op operationeel niveau te doen. Als afgeleide van dat strategisch beleid. Het makkelijkste gaat dit door dat op procesniveau te bekijken. Ga bij elk deelproces na wat de risico’ s zijn die bij dat deelproces horen. Binnen de procesbeschrijving geeft u dan aan hoe u het benoemde risico borgt. Ook hier is het voor de ISO 9001 voldoende wanneer u het gezonde verstand gebruikt. Zorg er wel voor dat de risico’ s op operationeel niveau een afgeleide zijn van uw strategisch niveau.
Het is goed om de definitie van een risico scherp te hebben. Risico is de kans maal effect. Dat betekent dat wanneer de kans klein is dat iets plaatsvind en dat het effect daarvan ook klein is het risico ook klein is. meestal de moeite niet waard om daar wat mee te doen.
Wanneer de kans groot is dat iets voorkomt maar de gevolgen klein zijn wordt het al wat ingewikkelder. Het risico is immers al wat groter. Het ligt er nu aan hoe vervelend het voor uw klanten of eigen organisatie is dat het steeds weer verkeerd gaat. Meestal wil je hier wel wat aan doen.
Wanneer de kans klein is dat iets gebeurd maar de gevolgen groot zijn wordt het al wat duidelijker. Zeker wanneer de gevolgen echt groot zijn kun je niet riskeren dat het verkeerd gaat. Hier zet je een borgings maatregel op.
Wanneer de kans groot is dat het voorkomt en de gevolgen groot zijn is de meest duidelijke situatie. Natuurlijk zet u hier borgingsmaatregelen voor in. En die gaat u goed monitoren op effectiviteit.
Geïnteresseerd in de ISO 9001? Kijk dan eens hier.