Wat is de ISO 9001 risicoanalyse en hoe voer je het uit?
De risicoanalyse is een vast onderdeel in alle ISO-normen. Maar wat is een risicoanalyse precies en hoe voer je het uit? Steven neemt je mee in de praktijk.
Steven Zwarts is Manager Opleidingen bij CertificeringsAdvies Nederland. Doelmatig, ondernemend en betrouwbaar zijn waarden waarmee Steven tot de juiste oplossing komt, zowel intern als voor klanten.
steven@certificeringsadvies.nlDe risicoanalyse is een onderdeel dat tegenwoordig in iedere ISO-norm terugkomt, of je het nu hebt over ISO 9001, ISO 27001 of bijvoorbeeld ISO 14001. Het is als het ware een methode om meer relevantie aan te brengen op het gebied van kwaliteitsmanagement (in het geval van de ISO 9001 risicoanalyse). Je gaat niet meer eindeloos beschrijven hoe iets werkt zoals jaren geleden het geval was binnen ISO-normen, maar je kijkt preventief naar wat de belangrijkste onderwerpen zijn binnen je organisatie waar je iets mee moet. Maar hoe voer je een risicoanalyse uit in de praktijk? Steven Zwarts, Adviseur binnen CertificeringsAdvies Nederland (CAN) vertelt je er alles over.
Waarom een risicoanalyse?
ISO normen zijn voor alle organisaties. Uitzendbureaus, handelsbedrijven, bouw, techniek, etc. met een hele diversiteit aan processen. Als we dan kijken naar de ISO 9001, een procesnorm, dan is het belangrijk om te kunnen bepalen wat de context is van de organisatie om ook te weten wat qua kwaliteit van processen belangrijk is voor die organisatie. Wat je doet met een risicoanalyse is dat je per organisatie een methode hebt om binnen de processen te gaan kijken wat de grootste risico’s of kansen zijn om de optimale klanttevredenheid te waarborgen. Bij ISO 14001 is dat bijvoorbeeld om zo duurzaam mogelijk te worden. En bij ISO 27001 om de optimale informatiebeveiliging te kunnen waarborgen. Dat is het verschil tussen de normen, maar de methode is overal hetzelfde. Je kijkt dus als het ware preventief naar o.a.:
- Waar liggen bij ons de belangrijkste punten waar we kritisch naar moeten kijken?
- Doen we de juiste dingen?
- Spreken we de juiste dingen af met elkaar?
- Hebben we de juiste processen en instructies?
Om uiteindelijk de optimale klanttevredenheid te bereiken.
Welke stappen doorloop je bij een risicoanalyse?
Een risicoanalyse voeren wij uit volgens een stappenplan waarbij je risico’s gaat:
- Identificeren
- Analyseren
- Beheersen
- Monitoren en beoordelen
- Rapporteren en communiceren
Het is wel belangrijk om onderscheid te maken in het soort risicoanalyse. Er zijn namelijk twee verschillende soorten. Aan de ene kant heb je strategische risico’s die je vaak in een SWOT-analyse borgt. Aan de andere kant heb je ook de operationele risico’s en die zijn voor de ISO 9001 norm belangrijk. Wat daarvoor essentieel is, is dat je eerst goed weet welke processen er allemaal zijn binnen je organisatie. Dus voordat je überhaupt met risico’s aan de slag gaat, identificeer je eerst welke processen je allemaal hebt. Als we hier binnen CAN naar kijken dan heb je bijvoorbeeld marketing, sales, uitvoering (advies), opleidingen, facturatie, HR, etc. Vanuit daar ga je kijken naar welke mensen je nodig hebt om die risicoanalyse uit te voeren. Je hebt namelijk de mensen binnen zo’n proces nodig om te weten welke risico’s er zijn. Dat zijn dan proceseigenaren. Met die proceseigenaren ga je bedenken welke methode je gaat gebruiken om die risicoanalyse uit te voeren. Je hebt hier veel verschillende manier voor. Denk aan de FMEA-methode of de Bowtie-methode.
Op basis daarvan ga je naar risico’s kijken. Als je dat hebt gedaan ga je ze prioriteren. Welke risico’s scoren het hoogst? En daarna kijk je: beheersen we die risico’s goed? Of hebben we een actieplan nodig om die risico’s te kunnen beheersen?
Welke risico’s komen veel voor bij organisaties?
Vaak zijn de risico’s uit een risicoanalyse binnen soortgelijke bedrijven vergelijkbaar aan elkaar. Wij zijn bijvoorbeeld een kennisorganisatie, dus de mensen zijn essentieel omdat we hen moeten inzetten. Een van onze belangrijkste risico’s is dan dat mensen wegvallen of niet de juiste kennis hebben. Je ziet bij consultancy bedrijven vaak diezelfde risico’s. Maar bij handelsbedrijven heb je bijvoorbeeld ook weer soortgelijke risico’s. Je zou zelfs bijna per branche al ‘standaard’ risico’s kunnen opstellen. Bij het ene bedrijf is dat risico hoger dan bij het andere bedrijf. Met ervaring kun je dat op een gegeven moment wel goed inschatten.
Wat is het nut van een risicoanalyse?
Dat is vooral relevantie bepalen. Je hebt waarschijnlijk veel processen bij elkaar. Vroeger had je binnen de normen dat je procedures moest beschrijven. Dus vooral opschrijven wat je doet. Maar hetgeen dat je dan mist is: ‘is hetgeen dat je doet ook wel de juiste manier?’ Door een risicoanalyse toe te voegen in je evaluatie of je plan van aanpak ga je kijken wat je ziet gebeuren.
Zo kwam uit onze eigen risicoanalyse dat onze klanten het lastig vinden om te bepalen in welk gedeelte van een traject ze zitten. Dat is voor ons een risico voor de kwaliteit van onze dienst. Dus dan moeten wij met een betere projectplanning gaan werken. Door te werken met risico’s en kansen kun je veel beter kijken: wat is echt relevant voor ons? Waar moeten we ons op focussen? En wat gaat nu al heel goed en moeten we minder tijd aan besteden?
Welke fouten worden vaak gemaakt bij de uitvoering van een risicoanalyse?
Een veelvoorkomende fout is dat een MT gaat bepalen wat de risico’s zijn op de werkvloer. Of dat de KAM coördinator even een lijstje moet invullen. Dan is het een papieren exercitie en gaat het natuurlijk ook zijn doel voorbij. Je moet dus echt werken met die proceseigenaren. Vanuit de uitvoering en processen ga je kijken welke risico’s relevant zijn. Een bottom-up benadering met betrekking tot risico’s bepalen is essentieel wat mij betreft. Wat je ook veel ziet is, als je kijkt naar de PDCA-cyclus (continu verbeteren), dat bedrijven het leuk vinden om de risico’s in te schatten, een plan te maken en uit te voeren. Maar evalueren en daarop reageren kost tijd. Dus dat besteden organisaties dan vaak uit. Wij kijken vanuit onze expertise hoe je die cyclus rondmaakt. Daar zit de toegevoegde waarde in. Zonder evaluatie weet je niet of iets goed gaat.
Tot slot kunnen mensen ook blind worden voor risico’s (bedrijfsblindheid). Soms zie je, als je zo in het werk zit, de risico’s niet meer. Een externe kan dat mooi van buitenaf, van een afstand bekijken. Een extra voordeel is dat wij ook kennis meebrengen vanuit andere organisaties.
Hoe kun je je voorbereiden op een risicoanalyse?
Dat zit hem vooral in het kiezen van de juiste mensen. Dus de proceseigenaren, maar ook mensen uit het proces zelf. Wij organiseren zelf vaak een sessie bij organisaties en dan sparren we over welke methode het beste bij de organisatie past. Bij kleinere organisaties moet je er geen enorm ingewikkeld theoretisch kader achter leggen om de risico’s te bepalen. Bij grotere organisaties kan dat vaak weer wel. Voor de rest vind ik het belangrijk dat mensen blanco in zo’n sessie stappen, omdat dan vaak het meeste loskomt. En mensen gaan dan niet vanuit het verleden denken.
Hulp nodig?
Heb jij hulp nodig bij het uitvoeren van de risicoanalyse? Neem dan gerust contact met ons op of vraag direct een offerte aan. We helpen je graag!
Steven Zwarts is Manager Opleidingen bij CertificeringsAdvies Nederland. Doelmatig, ondernemend en betrouwbaar zijn waarden waarmee Steven tot de juiste oplossing komt, zowel intern als voor klanten.
steven@certificeringsadvies.nlRisico's op niveau beheersen?
Wij helpen je graag
- Voorkom bedrijfsblindheid
- Toegevoegde waarde
- Praktische insteek