Wat is risicomanagement met betrekking tot de ISO 9001 norm?

Risicomanagement staat binnen de ISO 9001 norm centraal. Maar wat is risicomanagement precies? En hoe integreer je het in je organisatie?

wat is risicomanagement in ISO 9001
Portretfoto Steven Zwarts
Steven Zwarts
Manager Opleidingen

Steven Zwarts is Manager Opleidingen bij CertificeringsAdvies Nederland. Doelmatig, ondernemend en betrouwbaar zijn waarden waarmee Steven tot de juiste oplossing komt, zowel intern als voor klanten.

steven@certificeringsadvies.nl

Risicomanagement staat binnen de ISO 9001 norm centraal. Maar wat is risicomanagement precies? En hoe integreer je risicomanagement in je organisatie wanneer je aan de slag gaat met de implementatie van ISO 9001? In dit artikel leggen we daarop de focus. We vertellen je alles over risicomanagement en tonen je hoe risicomanagement verweven zit door de ISO 9001 norm. Vervolgens geven we je enkele handvaten voor het implementeren door de risicomanagement stappen uit te schrijven. Tot slot vertellen we je nog wat meer over een risicomanagementcultuur waarin risico-gebaseerd denken het uitgangspunt is. 

Wat is risicomanagement?

Het is voor organisaties van belang dat zij risico’s in kaart brengen die een bedreiging kunnen vormen voor (het voortbestaan van) de organisatie. Als organisatie wil je doelen bereiken en daarvoor is het zaak dat je onzekerheden, die het bereiken van die doelen belemmeren, zoveel mogelijk minimaliseert. Risicomanagement betekent dat je risico’s zodanig beheerst dat er meer zekerheid bestaat dat de organisatie doelstellingen zal realiseren. Het is daarom een vanzelfsprekendheid dat risicomanagement structureel onderdeel uitmaakt van het beleid van je organisatie. Gedegen risicomanagement draagt namelijk bij aan het waarborgen van de continuïteit van je organisatie.

Er zijn verschillende soorten risico’s, zoals:

  • Strategische risico’s
  • Markt/Externe risico’s
  • Financiële risico
  • Operationele risico’s

Risicomanagement is geen doel op zich, maar een middel waarmee je risico’s identificeert en kwantificeert. Je bepaalt daarbij de kans van het optreden van het risico en de impact daarvan voor je organisatie. Wanneer je deze risico’s in kaart hebt ga je beheersmaatregelen vaststellen. Dit zijn activiteiten waarmee de kans van optreden of de gevolgen van risico’s worden beïnvloed. Met behulp van de maatregelen probeer je de risico’s te beheersen. Het is dan vervolgens zaak dat het effect van de maatregelen wordt gemonitord en dat er op basis daarvan wordt bijgestuurd waar nodig. Wanneer je de ontwikkelingen omtrent risico’s en de geïmplementeerde maatregelen continu monitort en daarop verbeteracties uitzet, ontstaat er een gedegen risicomanagement proces. Je organisatie komt daardoor op een steeds hoger niveau.

Hoe werkt risicomanagement in de ISO 9001 norm?

In de nieuwe generatie ISO normen, zoals ISO 9001:2015, staat risicomanagement centraal. Wanneer je dus met de implementatie van een bedrijfsnorm, zoals ISO 9001, aan de slag gaat, dan kom je ongetwijfeld in aanraking met risicomanagement. De norm geeft een aantal richtlijnen met het oog op risico-gebaseerd denken die je als organisatie dient te volgen. Daarbij wordt onderscheid gemaakt in twee niveaus van risicomanagement: strategisch en operationeel.

Strategisch risicomanagement binnen ISO 9001

De contextanalyse vormt een belangrijk onderdeel van de nieuwe generatie ISO normen, waaronder ISO 9001:2015. Vanuit die contextanalyse wordt verwacht dat je voor je organisatie zowel de kansen als risico’s voor de korte en lange termijn in kaart kunt brengen. De norm laat organisaties vrij in het bepalen van de manier waarop zij die risico-inventarisatie en -analyse inrichten. Het enige wat de norm hierin meegeeft is dat je zowel je interne organisatie als je externe omgeving meeneemt bij het bepalen van de risico’s. Je dient o.a. te kijken naar de situatie in de markt en de invloed daarvan op (keuzes binnen) jouw organisatie.

Voor de strategische risico-inventarisatie wordt vaak gebruik gemaakt van modellen zoals een SWOT-analyse of een DESTEP-analyse (trends, ontwikkelingen). Binnen deze modellen kijk je naar kansen, bedreigingen, trends & ontwikkelingen binnen de markt of binnen je organisatie. Met deze input kijk je welke effecten deze risico’s kunnen hebben op de strategie of continuïteit van de organisatie.

Operationeel risicomanagement binnen ISO 9001

Wanneer de risico’s op strategisch niveau in kaart zijn gebracht, kun je dat ook op operationeel gaan doen. De (deel)processen binnen je organisatie vormen daarbij het uitgangspunt. Bij ieder proces bekijk je de mogelijke risico’s en daarna geef je aan hoe je die risico’s borgt. Uiteraard dient er een duidelijke samenhang te zijn tussen de risico’s op strategisch en operationeel niveau. Het is daarbij van belang dat je daadwerkelijk begrijpt wat de cruciale punten in een proces zijn die van invloed zijn op de uiteindelijke kwaliteit van het product of dienst dat je organisatie levert.

Dat gaat veel verder dan enkel processen beschrijven en de risico’s die daarbij in horen in kaart brengen. Je dient namelijk niet de norm als uitgangspunt en als doel te nemen, maar juist het principe van risico-gebaseerd denken als leidraad te nemen. Dat is je uitgangspunt en daar hang je een goede evaluatiecyclus aan vast. De hamvraag die je jezelf steeds stelt: Hoe ontwikkelen risico’s zich en hoe speelt onze organisatie daarop in? Denk dus niet vanuit de norm, maar haal je houvast uit risico-gebaseerd denken en bouw daar een gedegen structuur omheen. Dat levert je veel meer op dan enkel het invullen van modellen of het volgen van de richtlijnen uit de norm.

Wat zijn de risicomanagement stappen?

Zoals aangegeven is risicomanagement idealiter een continu (verbeter)proces. Wanneer je dat in een stappenplan giet dan kom je op de volgende risicomanagement stappen:

  • Identificeren
    Hierbij ga je, op basis van je beleid en doelstellingen, voor zowel korte als lange termijn o.a. strategische, financiële en operationele risico’s in kaart brengen.
  • Analyseren
    Je bekijkt per risico de kans dat het risico zich voordoet en bepaalt de mate van impact daarvan voor je organisatie. Vervolgens geef je prioriteiten aan de risico’s.
  • Beheersen
    Je bepaalt of en welke beheersmaatregelen je gaat implementeren om de risico’s te voorkomen, verminderen, uitbesteden of accepteren.
  • Monitoren & beoordelen
    Je monitort het effect van de maatregelen en blijft ondertussen ook de ontwikkeling van de risico’s monitoren. Maak er een continu proces van, want enkel dan kun je risico’s effectief beheersen.
  • Rapportage & communicatie
    Maak dit alles inzichtelijk voor de organisatie en neem anderen mee in het risicomanagementproces door o.a. in te zetten op een stuk bewustwording onder medewerkers.

Hoe kun je risico-gebaseerd denken verweven door je organisatie?

Wanneer je risicomanagement als organisatie omarmt dan is het belangrijk om een risicomanagementcultuur te creëren. Dat doe je o.a. door:

  • Draagvlak voor risicomanagement te creëren door alle lagen van de organisatie;
  • Duidelijkheid te scheppen omtrent wie waarvoor verantwoordelijk is met betrekking tot risicobeheersing;
  • Medewerkers bewust te maken en te trainen in de praktische aspecten van risicomanagement;
  • Medewerkers actief te betrekken bij het proces en hun kennis met betrekking tot risicomanagement te vergroten.

In de praktijk betekent dat bijvoorbeeld dat risicomanagement vast onderdeel is op de agenda bij besprekingen en/of dat medewerkers juist beoordeeld worden op input aan het risicomanagementproces. Er zijn allerlei praktische toepassingen te bedenken om risicomanagement te integreren in de dagelijkse werkzaamheden.

Aan de slag?

Wil je na het lezen van dit artikel meer weten over risicomanagement en/of risico-gebaseerd denken? Of wil je concreet aan de slag met de implementatie van ISO 9001 en daarin risicomanagement integreren? Neem dan gerust contact met onsop. Onze adviseurs vertellen je graag meer over de mogelijkheden!

New call-to-action

Portretfoto Steven Zwarts
Steven Zwarts
Manager Opleidingen

Steven Zwarts is Manager Opleidingen bij CertificeringsAdvies Nederland. Doelmatig, ondernemend en betrouwbaar zijn waarden waarmee Steven tot de juiste oplossing komt, zowel intern als voor klanten.

steven@certificeringsadvies.nl

Meer over ISO 9001 weten?

Download de gids

  • Uitleg norm
  • Stappenplan
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields