Risicogebaseerd denken: hoe doe je dat?

17-09-2019 Veel kwaliteitsmanagers hebben de afgelopen jaren hun kwaliteitsmanagement moeten aanpassen aan de eisen van de nieuwe norm ISO 9001:2015. Deze versie had een aantal vernieuwende aspecten, zoals het volledig gestructureerd zijn volgens de HLS en het introduceren van risicogebaseerd denken. Maar hoe doet een bedrijf dat, risicogebaseerd denken? Catja Coonen deed, in opdracht van NEN, in het eerste half jaar van 2019 onderzoek. Dit artikel bevat de belangrijkste conclusies.

Onderzoek laat zien dat interpretatie nogal verschilt

Risicogebaseerd denken wordt door zowel auditors van certificatie-instellingen als bedrijven als heel positief gezien. Bedrijven geven aan dat het heeft geholpen hun processen of de kwaliteit van hun producten te verbeteren. Auditors die onder andere ISO 9001 auditen zijn van mening dat risicogebaseerd denken leidt tot beter management. De verschillen in interpretatie van risicogebaseerd denken is het eerste wat opvalt in gesprekken met auditors en kwaliteitsmanagers.

Door Catja Coone, Master student Supply Chain Management aan de Erasmus Universiteit Rotterdam (EUR).

Risicogebaseerd denken is het bewust omgaan met de risico’s en kansen die een negatief dan wel positief effect kunnen veroorzaken. Het van tevoren nadenken over de mogelijke negatieve en positieve effecten van acties en daar iets mee doen. Daarover is iedereen het wel zo ongeveer eens. Vanaf dat punt lopen de meningen nogal uiteen. Want betekent risicogebaseerd denken dat de kwaliteitsmanager een risicoanalyse moet uitvoeren of ligt die verantwoordelijkheid bij de directie? Welke delen van deze risicoanalyse moeten eigenlijk worden gedocumenteerd? En identificeer je risico’s reactief of proactief?

De contextanalyse

Als we ISO 9001:2015 volgen, krijgt risicogebaseerd denken vooral vorm in de paragrafen 4.1, 4.2, 6.1, 8.1 en 9.3. Deze para grafen vormen een stappenplan, vergelijkbaar met veel bekende risicomethoden. Eerst wordt in hoofdstuk 4 de context van het bedrijf geanalyseerd, waarbij zowel de belangrijke punten als belanghebbenden voor het kwaliteitssysteem in kaart worden gebracht. Vanuit deze analyse worden risico’s en kansen geïdentificeerd, waar eventueel actie op moet worden ondernomen (6.1 en 8.1). De resultaten van die acties worden gemonitord en beoordeeld en daarover wordt gerapporteerd aan de directie, die de effectiviteit van het systeem beoordeelt (9.3).
Uit de interviews blijkt dat in de tekst van ISO 9001 nogal wat zaken in het midden worden gelaten, waardoor de interpretatie in de praktijk verschilt. Zo zijn er bedrijven die zich bij de contextanalyse vooral richten op meer strategische onderwerpen en daaropvolgend ook risico’s op dat niveau identificeren. Andere bedrijven focussen bij hun contextanalyse meer op operationele onderwerpen, wat resulteert in operationele risico’s voor specifieke processen. Het grote verschil tussen deze twee benaderingen is vooral het abstractieniveau. Een risicoanalyse met een strategische focus komt bijvoorbeeld uit op zaken zoals de kans op burn-outs bij het personeel of de kans op imagoschade.
Een risicoanalyse met een meer operationele focus heeft vaak veel specifiekere onderwerpen. Een voorbeeld kwam van een bedrijf dat vaak informatie nodig heeft van klanten. Het bedrijf heeft een risico geïdentificeerd dat deze informatie niet op tijd wordt aangeleverd of dat deze informatie foutief is. Waar beide benaderingen weer weinig uiteen lopen blijkt wet- en regelgeving te zijn. Bedrijven geven bij beide benaderingen aan dat aanpassingen in wet- en regelgeving impact kunnen hebben op de productspecificaties en daarom worden meegenomen als risico.

Gedocumenteerde informatie

Een onderwerp waarop vooral de meningen van auditors uiteenlopen is de hoeveelheid gedocumenteerde informatie die nodig is om aan te tonen dat risicogebaseerd denken in het bedrijf wordt toegepast. De norm vereist dat er gedocumenteerde informatie moet zijn over de resultaten van de directiebeoordeling. Tijdens deze beoordeling worden de acties die zijn genomen in reactie op risico’s en kansen geëvalueerd.
Over wat er nog meer moet worden gedocumenteerd blijken de auditors het niet altijd eens. Een groot aantal auditors geeft aan dat het lastig is om te controleren of bedrijven iets aan risicogebaseerd denken doen. Vaak moet een auditor lange gesprekken voeren waarin diep wordt gegraven, om erachter te komen hoe risico’s zijn geïdentificeerd en geëvalueerd en wat daarmee is gedaan. Na zo’n gesprek is er dan vaak alsnog geen objectief bewijs dat een bedrijf niet aan de eis voldoet.
Andere auditoren blijken hier helemaal geen probleem in te zien. Zij leggen de bewijslast bij de bedrijven en als er niet kan worden aangetoond dat er aan risicogebaseerd denken wordt gedaan, dan is dat simpelweg onvoldoende. Aantonen doet een bedrijf natuurlijk het makkelijkst door registraties bij te houden.

Preventief vs reactief

Iets anders dat opvalt is hoe bedrijven aangeven risico’s te identificeren die relevant zijn voor hun kwaliteitsmanagementsysteem. Eén van de bedrijven, die ook ISO 14001 en ISO 45001 gecertificeerd is, gaf aan op dezelfde wijze risico-analyses te gaan uitvoeren voor kwaliteit zoals er al worden uitgevoerd voor arbo en milieu. Op deze manier worden risico’s preventief gesignaleerd en kan er actie ondernomen worden om negatieve risico’s te voorkomen, en positieve risico’s (kansen) te benutten. Andere bedrijven hebben geen soortgelijke risicoanalyse voor kwaliteit opgesteld en identificeren risico’s vooral op basis van de evaluaties van klantklachten.
Dit is een reactieve manier van risicoanalyse. Dit raakt aan een onderwerp dat in ISO 9001:2015 wat onduidelijk wordt geformuleerd. Er wordt niet expliciet gezegd dat risico’s moeten worden geïdentificeerd en beoordeeld voordat ze een probleem vormen. Er staat wel, in bijlage A.4, dat preventieve maatregelen tot uiting komen in risicogebaseerd denken. Hieruit kan worden opgemaakt dat het de bedoeling is om risico’s te identificeren voordat ze plaatsvinden. Daarnaast wordt in paragraaf 10.2 gesteld dat risico’s en kansen moeten worden bijgesteld, in het geval van een afwijking. Een reactieve manier van het bijhouden van de risico’s en kansen wordt dus wel gesteld. Het is daardoor niet duidelijk of de intentie van de norm vraagt om risico’s zowel preventief als reactief te identificeren of alleen reactief. Ongeveer de helft van de bedrijven die deelnamen aan het onderzoek geef aan alleen op risico’s te reageren die al een probleem hebben veroorzaakt. Een deel hiervan geeft aan moeite te hebben om risico’s preventief af te dekken. Een ander deel geeft aan klantklachten als voornaamste bron voor identificatie van kwaliteitsrisico’s te zien. Dit laatste is ook reactief, omdat het risico zich al heeft voorgedaan.

Best practices

Het onderzoek ging ook over wat er van bedrijven wordt verlangd en wat volgens de wetenschappelijke literatuur de best practices zijn op het gebied van risicomanagement. Hieruit blijkt dat over het algemeen de belangrijkste punten uit de literatuur door ISO 9001 gevolgd worden. Toch zijn er verschillen. Een van de dingen die in de literatuur specifiek wordt aangeraden is het vaststellen van een methode om risico’s te identificeren en te evalueren, wat in ISO 9001:2015 niet wordt vereist. Hierbij is het ook belangrijk om binnen het bedrijf duidelijk te maken wat het maximale risico is dat een bedrijf wil lopen. Deze methode moet ook gecommuniceerd worden naar de verschillende lagen van het bedrijf. Voor risicomanagement op het operationele niveau is het belangrijk om de risicoevaluatie te decentraliseren naar de gerelateerde business units. Een laatste best practice gaat vooral over het inzichtelijk maken van de vorder ingen die met operationeel risicomanagement worden bereikt. Hiervoor is het belangrijk om de verliezen die veroorzaakt worden door risico’s op operationeel niveau bij te houden en te rapporteren.

Een combinatie

Op basis van de theorie zou de manier waarop de aanpak van risico’s in de norm wordt beschreven verbeterd kunnen worden, maar dat is misschien niet nodig. Er moet voldoende ruimte zijn voor bedrijven om risicogebaseerd denken in te vullen zoals het in hun bedrijf het beste past. Misschien is het op dat gebied meer aan de bedrijven zelf om te besluiten of een systematische methode, of het beter inzichtelijk maken van de vorderingen, bij het bedrijf past en kan leiden tot verbeteringen.
Er zou wel moeten worden gekeken naar hoe breed het concept mag worden geïnterpreteerd, hoe verschillend het mag worden toegepast en wat er vervolgens over gedocumenteerd moet worden. De norm heeft als doel duidelijkheid te geven over een bepaalde uitkomst: bedrijven die ISO 9001 volgen moeten consistent de kwaliteit kunnen leveren die ze aan klanten beloven. Je kan je afvragen welke interpretatie van risicogebaseerd denken daar het beste aan bijdraagt. Het is belangrijk dat de volgende revisie meer duidelijkheid gaat verschaffen over wat risicogebaseerd denken inhoudt en hoe het in een bedrijf geïmplementeerd moet worden. Er zou bijvoorbeeld kunnen worden gespecificeerd of risicogebaseerd denken door de directie moet worden uitgevoerd met een strategische focus of dat de focus meer op de processen zou moeten liggen. Waarschijnlijk zou een combinatie van beide de beste resultaten opleveren voor het doel van het kwaliteitsmanagementsysteem, met een toelichting over hoe de relatie tussen de strategische risico’s en operationele risico’s met elkaar in verhouding staan. Dit advies is ook naar NEN gerapporteerd.

Over dit onderzoek

Het onderzoek is onderdeel van een masterscriptie voor de Erasmus Universiteit Rotterdam. Voor het onderzoek zijn interviews gehouden met 13 bedrijven en 9 auditors van certificatie-instellingen. De bedrijven gaven gedetailleerd inzicht in hoe risicogebaseerd denken in hun kwaliteitsmanagementsysteem geïmplementeerd is. De auditoren gaven een overzicht van wat zij veel bij bedrijven tegenkomen. Het risicodenken in ISO 9001 – en hoe bedrijven dat hebben geïntroduceerd in hun systeem – werd ook vergeleken met de wetenschappelijke literatuur over risicomanagement.

Dit artikel is eerder gepubliceerd in Kwaliteit in bedrijf #4, juli-augustus 2019.

Meer informatie

Voor inhoudelijke informatie kunt u contact opnemen met Ortwin Costenoble, NEN Milieu & Maatschappij, e-mail mm@nen.nl. Online informatie op: www.nen.nl/hls en/of discussieer mee in de LinkedIngroep ‘NEN | ISO-managementsystemen’.

Eerder door u bekeken

Meer informatie

Voor meer informatie kunt u contact opnemen met Ortwin Costenoble, consultant normontwikkeling.

mm@nen.nl

Top normen Managementsystemen

Download gratis gids