Met de komst van de nieuwe generatie ISO normen, waaronder ISO 9001: 2015, is de contextanalyse geïntroduceerd: een belangrijke wijziging in de nieuwe ISO 9001 norm. Deze contextanalyse in de nieuwe ISO 9001 norm is onderverdeeld in een stakeholderanalyse en een risicoanalyse. De vraag wat de context van de organisatie überhaupt is en de wijze waarop men een context-analyse kan uitvoeren, is een vraagstuk dat zo ongeveer iedere KAM-manager hoofdbrekens bezorgd. In dit artikel ga ik uitgebreid in op het uitvoeren van de contextanalyse in de nieuwe ISO 9001 norm. 

Tip: geen tijd om het artikel helemaal te lezen? Download het stappenplan vrijblijvend in pdf!

De beschreven methode kan uiteraard ook gebruikt worden voor bijvoorbeeld ISO 14001. De focus ligt dan op het onderwerp milieu.

De context van de organisatie

Contextanalyse in de nieuwe ISO 9001 norm

Wat is de context van een organisatie nu eigenlijk precies? De context van de organisatie is de omgeving waarin jouw organisatie zich bevindt. De context van de organisatie volgens de nieuwe ISO 9001 norm, is onderverdeeld in risico’s en stakeholders in uw omgeving. Het analyseren en managen van die risico’s en stakeholders is de contextanalyse. Tot zover is het redelijk voor de hand liggend. De uitvoering levert echter geregeld problemen op.

De stakeholderanalyse

Stap 1: vaststellen van het team
Het uitvoeren van het eerste gedeelte van de contextanalyse in de nieuwe ISO 9001 norm, de stakeholderanalyse, kan op allerlei manieren en met allerlei mensen. Met name het laatste is belangrijk: met welke mensen voer je jouw stakeholderanalyse uit? Dit kan bijvoorbeeld het managementteam zijn, maar nergens in de ISO 9001 norm staat dat het op die manier moet. Een verkoper kan ook een heel duidelijk beeld bij de stakeholders en hun eisen, verwachtingen en wensen hebben. Ook je medewerkers in het primaire proces zijn belangrijk. De ‘man achter de machine’ moet ook weten wie de stakeholder op zijn gebied is. Met een groepje mensen uit verschillende lagen van je organisatie kom je uiteindelijk tot het beste resultaat.

Lees ook het artikel: Het uitvoeren van de stakeholdersanalyse in ISO 9001

Het is natuurlijk wel aan te raden om de directie of het managementteam erbij te betrekken. Inspelen op de verwachtingen van stakeholders begint tenslotte op strategisch niveau. Daarnaast is met betrekking tot leiderschap, de betrokkenheid van het management een belangrijk thema in ISO 9001: 2015. Uit onze ervaring blijkt dat een groepje van 4 of 5 mensen voldoende is. Teveel zou uiteraard ook weer uitdagingen met zich meebrengen. Dat groepje zou dus kunnen bestaan uit drie leden van de directie / het managementteam, een verkoper en iemand die iedere dag op de werkvloer staat.

Inventarisatie en invloed stakeholders

Stap 2: vaststellen van methode en stakeholders
Nadat je een team hebt samengesteld, is het tijd om aan de slag te gaan. Stakeholders zijn diegenen die belang bij- en invloed op het bedrijf hebben en wie het succes van het bedrijf zouden kunnen schaden. Vaak zijn dit zaken die wel tussen de oren zitten. Juist daarom is het belangrijk om dat eens naar elkaar uit te spreken en op papier te zetten, onder andere in het kader van kennismanagement.

Er zijn verschillende methodes om stakeholders vast te stellen. Denk bijvoorbeeld aan de vijf niveaus uit de MVO Prestatieladder, of een bolletjesmatrix die we bij CertificeringsAdvies Nederland vaak gebruiken, zie bovenstaande afbeelding. Per stakeholder kan vervolgens aangegeven worden:

  • De mate van belang voor de onderneming.
  • De mate van invloed op de onderneming.

Denk hierbij ruim. De leverancier van je leverancier zou een stakeholder kunnen zijn, maar vergeet ook je medewerkers niet! Vervolgens kunnen de stakeholders ingedeeld worden op basis van belangrijkheid / niveau. Dit kan in één of meerdere interactieve sessies. Maak deze sessies niet te lang. Op die manier blijft de betrokkenheid van alle leden van de groep hoog.

Onze ervaring is dat een stakeholderanalyse ontzettend waardevol én leuk kan zijn voor je organisatie!

Stap 3: vaststellen in hoeverre voldaan wordt aan wensen, verwachtingen en eisen
Nu je vastgesteld hebt wat je stakeholders en hun wensen, verwachtingen en eisen zijn, moet er bepaald worden in welke mate daaraan voldaan wordt. Dit kan door hier een classificatie aan te hangen. Bijvoorbeeld slecht, matig, goed of kan niet beter. Je kan uiteraard ook kiezen voor een andere classificatie.

Stap 4: verbetermogelijkheden en acties vaststellen
Je hebt je stakeholders in kaart, evenals hun mate van belang en invloed. Om dit door te vertalen naar echte waarde voor je organisatie, is het vaststellen van verbetermogelijkheden en acties van cruciaal belang. Vergeet daarbij natuurlijk niet om ook actieverantwoordelijken aan de acties te koppelen en een planning op te stellen. Eventueel zouden daar zelfs nog Kritische Prestatie Indicatoren voor opgesteld kunnen worden. Let wel op: je hebt nu zelf je stakeholders en hun belangen en invloed op je organisatie vastgesteld. Een van-binnen-naar-buiten benadering dus. Het verdient aanbeveling om nog eens zelf het veld in te gaan en daadwerkelijk aan je stakeholders te vragen wat zij nou eigenlijk van je verwachten.

De rol van de consultant

Bij CertificeringsAdvies Nederland geloven we in een faciliterende rol voor de consultant. Hij kan je handvatten en modellen aanreiken om een start te maken. Door de juiste kritische vragen te stellen kan hij het gesprek gaande houden en met een helikopterview zorgt hij dat je niets vergeet. Maar uiteindelijk zijn het de mensen uit je organisatie die het beste weten wat de stakeholders zijn en waar er nog verbetermogelijkheden liggen. Samen komen we tot het beste resultaat.

De risicoanalyse

De contextanalyse in de nieuwe ISO 9001 norm bestaat naast de stakeholderanalyse uit de risicoanalyse. Risicomanagement gaat over de gebeurtenissen in de organisatieomgeving (issues en factoren) en de kansen en bedreigingen die hieruit voortkomen. Dit zijn zowel interne- als externe kansen en bedreigingen.

De wet van Murphy: als iets fout kán gaan, dan zál het ook fout gaan!

Stap 1: vaststellen van het team
Dezelfde stap als stap 1 van de stakeholderanalyse. Dat betekent niet dat je een ander team samen moet stellen, maar wij adviseren dit wel. Hoe meer mensen betrokken zijn, hoe groter het draagvlak in de organisatie is en daarmee de effectiviteit van het managementsysteem zal zijn. Het draait erom dat je (1) de betrokkenheid van het management aan kunt tonen en (2) tot het beste resultaat voor je Organisatie komt.

Stap 2: vaststellen van de methode, processen, risico’s en kansen en effect
Net als voor de stakeholderanalyse, zijn er ook voor de risicoanalyse meerdere methodes. ISO 9001 schrijft geen specifieke methode voor. Eventueel zou je hier de ISO 31000 norm voor kunnen gebruiken. Dit is een norm waar je niet voor kunt certificeren, maar die wel richtlijnen geeft voor risicomanagement. Bij CertificeringsAdvies Nederland gebruiken we een methodiek die is gebaseerd op de uitgangspunten van de Failure Mode and Effects Analysis (FMEA) methode.

Na keuze voor een methode is het belangrijk de processen van jouw organisatie op hoofdlijnen in kaart te brengen. Om de risicoanalyse concreet te maken, adviseren wij deze uit te voeren op basis van de belangrijkste processen binnen de organisatie. Neem hiervoor bijvoorbeeld de primaire processen en daarnaast HRM, afwijkingen en beleid. Per proces voer je een risicoanalyse uit. Vergeet daarbij ook de kansen niet! Vervolgens stel je het effect van deze risico’s en kansen vast. De centrale vraag die iedereen zich moet stellen: wat kan er mis gaan in het proces?

Voorbeeld: een risico in het sales proces zou een gebrek aan opvolging van offertes kunnen zijn. Dit kan resulteren in een teleurgestelde prospect, omdat afspraken niet worden nagekomen. Het effect hiervan is hoog, want dit kost de organisatie klanten.

Stap 3: vaststellen oorzaak en huidige beheersmaatregelen
Een logische volgende stap is het vaststellen van de oorzaak van het falen of de kans. Wellicht dat er al beheersmaatregelen voor zijn getroffen. In bovenstaand voorbeeld zou een huidige beheersmaatregel een CRM systeem kunnen zijn. Hierin zou dan bijgehouden worden wanneer en door wie offertes opgevolgd moeten worden. Cruciaal is het vaststellen van de bronoorzaak waarom dat in dit geval niet gebeurt. Op basis hiervan kunnen concrete verbetermaatregelen worden vastgesteld die de organisatie echt een stap vooruit helpen.

Stap 4: vaststellen van de belangrijkste risico’s
Om prioriteiten aan te geven, kun je een waarde toekennen aan elk risico. Bijvoorbeeld door zelf een waarde te bepalen zoals, hoog, middel en laag. Binnen de FMEA methode doe je dit via een formule. De waarde die hieruit komt noemen we het Risk Priority Number (RPN). De formule is als volgt:

RPN = waarschijnlijkheid van het risico x ernst van het risico x kans op ontdekking.

Bepaald dus hoe waarschijnlijk het is dat het risico daadwerkelijk leidt tot het falen van een proces. De waarschijnlijkheid maal de ernst van het risico, maal de kans op ontdekking bepaald de RPN waarde. De uitkomsten kan je vervolgens weer groeperen in de risico’s met een hoge RPN waarde, een medium RPN waarde en een lage RPN waarde. Bij een hoge waarde is actie verplicht, bij een medium waarde is een actie gewenst en bij een lage waarde is geen actie noodzakelijk.

Stap 5: verbeterplan
Je risico’s zijn in kaart gebracht, evenals de RPN waarde. De laatste stap in de risicoanalyse, is dan het bepalen van acties, actieverantwoordelijken en het opstellen van een planning. Probeer altijd eerst de bronoorzaak van een risico te elimineren. Mocht dat niet mogelijk zijn, kan je de kans van het voorkomen van het risico proberen te verminderen. Als laatste is het mogelijk de kans op ontdekking te vergroten. Houd hierbij wel in gedachten dat het risico nog steeds voorkomt. Het is dus dweilen met de kraan open.

Als we teruggrijpen naar het voorbeeld van het gebrek aan opvolging binnen het sales proces, zou een aanvullende maatregel getroffen moeten worden. Dat zou een wekelijks overleg in het sales team kunnen zijn over de status van de offertes. Dat verminderd de kans op het voorkomen van het risico. Maak in ieder geval de acties concreet en wijs actieverantwoordelijken aan.

De contextanalyse in de nieuwe ISO 9001 norm: waardevol en leuk!

Bij CertificeringsAdvies Nederland hebben we inmiddels meerdere contextanalyses uitgevoerd. De ervaring leert dat dit ontzettend waardevolle én leuke trajecten zijn. Op strategisch niveau kan er beleid worden vastgesteld op basis van de eisen en wensen van je stakeholders en de risico’s en kansen in de omgeving van je organisatie. Het vertalen van beleid naar strategische, tactische en operationele acties, helpt organisaties echt vooruit. Het uiteindelijke resultaat is dan ondersteunend aan je organisatie en bedrijfsdoelen.