qualitaet-header-blog-dqs-bunte bausteine

Risicogebaseerde aanpak in ISO 9001

Frank Graichen

Expert voor ISO 9001-kwaliteitsmanagement
nov. 08 , 2022
# Eisen inzake kwaliteitsmanagement

Een bedrijf is succesvol als het enerzijds systematisch kansen identificeert, analyseert en daarop actie onderneemt, en anderzijds de bijbehorende risico's identificeert en dienovereenkomstig handelt. De risicogebaseerde aanpak in ISO 9001 heeft in de eerste plaats betrekking op het identificeren van de gevolgen van bedrijfsonzekerheden en het bepalen van de risico's als basis voor de planning. Nu is het onderwerp "risico" in een kwaliteitsmanagementsysteem niet helemaal nieuw. In de oude versies van ISO 9001 was het verankerd in de eisen inzake preventieve maatregelen. Dit hoofdstuk is met ISO 9001:2015 weggevallen en is vervangen door het kijken naar risico's en kansen.

INHOUD

Wat is een risicogestuurde aanpak?

Uitgangspunt voor het zorgvuldig kijken naar kansen en risico's is de verscherpte focus van ISO 9001:2015 op het bereiken van "beoogde resultaten". Dit geldt zowel voor het kwaliteitsmanagementsysteem (QMS) als voor de processen die daarvoor nodig zijn.

De norm definieert risico als het "effect van onzekerheid" op een verwacht resultaat.

ISO 9001:2015 - Kwaliteitsmanagementsystemen - Eisen

Beoogde resultaten daarentegen vloeien voort uit het toepassingsgebied van het managementsysteem met als doel producten en diensten te leveren waaraan moet worden voldaan door:

  • Eisen van de klant
  • Wettelijke en/of reglementaire vereisten
  • De eigen specificaties van de organisatie

 

Hoe beheert u risico's en kansen?

De op risico's gebaseerde aanpak loopt als een rode draad door ISO 9001. Hoofdstuk 6.1 (Planning) van de internationale ISO-norm bevat algemene eisen voor het omgaan met risico's en kansen. De norm specificeert echter alleen dat passende maatregelen moeten worden gepland, geïntegreerd in het kwaliteitsmanagementsysteem, geïmplementeerd en op hun doeltreffendheid beoordeeld. Hoe deze eis moet worden uitgevoerd, wordt niet gespecificeerd.

Evenmin is er sprake van een alomvattend risicobeheersysteem, bijvoorbeeld gebaseerd op de ISO 31000-norm, of van een formeel risicobeheerproces. ISO 9001 bevat evenmin eisen inzake specifieke methoden die moeten worden gebruikt voor risico-identificatie of risicobeoordeling.

Voor het overige geldt het volgende:

  • Vermijd risico's,
  • Elimineer bronnen van risico's,
  • de waarschijnlijkheid van optreden beïnvloeden
  • de mogelijke gevolgen beïnvloeden, of
  • Risico's gericht nemen door een gefundeerde beslissing te nemen, bijvoorbeeld om een kans te grijpen.

Risicogebaseerde aanpak - Wat vereist de ISO 9001:2015 norm?

  • Identificatie (bepaling) van risico's en kansen om:
    - Het bereiken van beoogde resultaten te verzekeren
    - Gewenste effecten te versterken - dit zijn de kansen
    - Ongewenste effecten (risico's) te voorkomen of te beperken
    - Verbeteringen tot stand te brengen
  • Evaluatie van geïdentificeerde, vastgestelde risico's en kansen. Hier worden geen verplicht te gebruiken methoden genoemd. Gangbare, gevestigde instrumenten zijn echter zeer aan te bevelen, bijvoorbeeld:
    - (proces) FMEA
    - SWOT-analyses
    - ABC-analyses
    - Risicomatrix
  • Leid maatregelen af uit de geïdentificeerde risico's en kansen. Deze kunnen:
    - betrekking hebben op het wegnemen of vermijden van het risico of de bron van het risico
    - gericht zijn op het verminderen van het risico door een verandering van de waarschijnlijkheid dat het zich voordoet of van de effecten of gevolgen
    - een aanvaarding van het risico inhouden, bv. om een kans te grijpen.
  • Evaluatie van de doeltreffendheid van de maatregelen, bv. op basis van:
    - Het niet-optreden van een geïdentificeerd risico
    - De verlaging van een waarschijnlijkheid van optreden
    - De vermindering van eventuele negatieve gevolgen, bv. door verzekering of contractuele waarborgen in klantencontracten.

 

 

 

ISO 9001 - gecertificeerd kwaliteitsmanagement

Op zoek naar certificering volgens ISO 9001? DQS biedt meer dan 35 jaar ervaring ★ DQS heeft in 1986 het eerste ISO 9001-certificaat in Duitsland afgegeven ★ Profiteer van de knowhow van onze experts ★

Meer informatie

Gedocumenteerde informatie als bewijs

De vraag in welke vorm of in welke mate gedocumenteerde informatie als bewijs vereist is, kan als volgt worden beantwoord: In de desbetreffende hoofdstukken van de norm is hiervoor geen concrete, precieze eis opgenomen!

In plaats daarvan staat in bijlage A4 van de ISO 9001 QM-norm, die ook de moeite van het lezen waard is, dat "... de organisatie verantwoordelijk is voor het toepassen van risicogebaseerd denken en voor het initiëren van acties om een risico aan te pakken, met inbegrip van het beantwoorden van de vraag of gedocumenteerde informatie al dan niet door haar moet worden bewaard als bewijs voor de vaststelling van risico's."

Eenvoudiger gezegd: dit is iets wat een organisatie individueel voor zichzelf bepaalt - niet de norm! En: dit wordt ook niet bepaald door de certificatie-instelling of haar auditoren.

 

Belanghebbende partijen en hun relevante eisen

Een aspect dat niet over het hoofd mag worden gezien is de afweging van de essentiële eisen van de belanghebbende partijen die relevant zijn voor het kwaliteitsmanagementsysteem (QMS) (hoofdstuk 4.2).

In deze context moet "relevantie" als volgt worden geïnterpreteerd:
impact op het vermogen van de organisatie om continu conforme producten en diensten te leveren, d.w.z. producten en diensten die voldoen aan de verwachtingen van de klant en aan de wettelijke, regelgevende eisen. In het kader van de risicogestuurde aanpak moet hiermee dus ook rekening worden gehouden (punt 6.1.1 Planning).

 

Onderscheid tussen kansen en risico's in de zin van ISO 9001

Naast het in aanmerking nemen van risico's behandelt de eis van de norm ook die van kansen die uit risico's kunnen voortvloeien. Veel bedrijven zitten echter met de vraag wat concrete kansen kunnen zijn. Wat niet onder een kans wordt verstaan, is het bereiken van beoogde resultaten. Dit is een fundamentele eis van het managementsysteem en zijn processen.

In deze internationale norm wordt de kans opgevat als een "mogelijkheid of opportuniteit" die zich kan voordoen wanneer een onderneming een beheersbaar risico neemt. Goede referenties zijn te vinden in hoofdstuk 0.3.3 van ISO 9001, waar de volgende mogelijkheden voor kansen worden opgesomd:

  • Klantenwerving
  • Ontwikkeling van nieuwe producten en diensten
  • Vermindering van uitval of afval
  • Verbetering van de productiviteit

Verdere aanwijzingen over wat onder een kans kan worden verstaan, zijn te vinden in de toelichting bij hoofdstuk 6.1.2:

  • Invoering van nieuwe praktijken en gebruik van nieuwe technieken
  • Marktintroductie van nieuwe producten
  • Ontwikkeling van nieuwe markten
  • Verwerven van nieuwe klanten en opbouwen van partnerschappen
  • Gebruik van nieuwe technieken, enz.

Verdere tips

Hoofdstuk 0.3.3 van ISO 9001 geeft goede en aanvullende uitleg over hoe om te gaan met de risicogebaseerde benadering. Hierin staat onder andere dat risicogebaseerd denken essentieel is voor een effectief kwaliteitsmanagementsysteem (QMS) en moet worden gebruikt om betere resultaten te bereiken en negatieve effecten te voorkomen.

Bovendien biedt de ISO 31000-gids een uitgebreide, systematische aanpak voor risicobeheer die veel verder gaat dan de vereisten van een QMS.

Ook twee documenten die door het verantwoordelijke ISO-comité zijn gepubliceerd, zijn echt aanbevelenswaardig en leggen kort en bondig uit wat de risicogebaseerde aanpak eigenlijk inhoudt. Het gaat in de eerste plaats om een reeks dia's ("ISO 9001 and Risk Based Thinking") en in de tweede plaats om het document "Risk Based Thinking in ISO 9001:2015".

 

Conclusie over de risicogebaseerde benadering in ISO 9001

Risico's zijn "gevolgen van onzekerheden". Risico's kunnen dus ook leiden tot kansen. Kansen kunnen bijvoorbeeld leiden tot het verwerven van nieuwe klanten en het ontwikkelen van nieuwe markten, maar dit betekent ook dat kansen op hun beurt weer aanleiding kunnen geven tot onzekerheden en bijbehorende risico's.

Laat preventieve maatregelen deel uitmaken van uw dagelijkse routine door risicogebaseerd denken. Zet uw "risico- en kansenbril" op en herzie uw processen. Denk ook aan de context van uw organisatie, interne en externe omgevingen, verschillende producten en diensten, of bepaalde organisatieprocessen.

Al met al bevelen wij aan potentiële kansen met dezelfde intensiteit te behandelen als waarmee risico's worden bepaald, beoordeeld en er maatregelen aan worden ontleend. Ook zij moeten worden bepaald en geëvalueerd - en er moeten maatregelen uit worden afgeleid om ze te benutten. Dit is hoe goed risicobeheer u ten goede kan komen.

 

ISO 9001 - Geauditeerd met toegevoegde waarde

Bij alles wat we doen, stellen we de hoogste normen voor kwaliteit en competentie in elk project. Daardoor worden onze handelingen de maatstaf voor onze branche, maar ook onze eigen leidraad, die wij elke dag vernieuwen.

Onze kerncompetenties liggen in het uitvoeren van certificeringsaudits en beoordelingen. Dit maakt ons wereldwijd tot een van de toonaangevende aanbieders met de pretentie steeds nieuwe maatstaven te stellen op het gebied van betrouwbaarheid, kwaliteit en klantgerichtheid.

audit-gerber-hermsdorf-werner-korall-dqs.jpg

Wij helpen u graag met uw certificering volgens ISO 9001

Tijdens een vrijblijvend gesprek informeren wij u over het proces en de kosten van een certificering. Geheel vrijblijvend en kosteloos.

We kijken ernaar uit om met u te praten
Auteur
Frank Graichen

Normenexpert en reeds lang DQS-auditor voor ISO 9001 met diverse activiteiten als gepassioneerd keynote speaker, veelgevraagd trainer, moderator en auteur van publicaties over normen en managementsystemen.

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op