Hoe gaat u praktisch om met ISO 9001:2015?

Met de lancering – eind 2015 – van de nieuwe versie van de ISO 9001 norm werden een aantal nieuwe aspecten geïntroduceerd. De nieuwe norm ISO 9001:2015 eist van de gebruiker dat er een risicoanalyse wordt uitgevoerd maar de norm laat de wijze waarop dat gebeurt vrij.

Achtergrond

Met de lancering – eind 2015 – van de nieuwe versie van de ISO 9001 norm werden een aantal nieuwe aspecten geïntroduceerd. Het concept HLS (‘High Level Structure’) trad op de voorgrond, een structuur voor een nieuwe en vaste opzet en indeling van kernelementen van managementsystemen- en dito normen, zoals ISO 9001, ISO 14001, ISO 45001 (de toekomstige vervanger van OHSAS 18001), ISO 50001, ISO 55001 en ISO 27001.

De ‘nieuwe ISO’ legt ook andere accenten meer nadrukkelijk op tafel. Een van deze accenten betreft permanent risicomanagement naast een (organisatie)contextanalyse bestaande uit een stakeholderanalyse en een risicoanalyse.
De nadruk op een prominente en integrale benadering van (bedrijfs)risico’s komt voort uit het inzicht dat een doeltreffend managementsysteem direct samenhangt met een bedrijfsvoering die gebaseerd is op het identificeren, analyseren, evalueren en behandelen van (relevante) risico’s.

Risico

Iedere organisatie – groot en klein – wordt geconfronteerd met risico’s. Afgezien van de vraag of deze risico’s een intern of een extern karakter hebben, is het van belang om een heldere definitie te hanteren als we het hebben over risico’s.
De zoektocht naar een nuchtere, objectieve en werkbare definitie van het begrip risico is een interessant traject. Omwille van een heldere en praktische toepasbaarheid hanteren we hier de min of meer letterlijke omschrijvingen van de norm ISO 31000 (risicomanagement – principes en richtlijnen) in relatie tot de het kernbegrip ‘risico’ en de direct hiermee verband houdende aspecten ‘risiconiveau’ en ‘risicoanalyse’.

Definities

De norm ISO 31000 omschrijft het begrip ‘risico’ als ‘een effect van onzekerheid op het behalen van doelstellingen’, een nogal brede typering, gevolgd door een (eerste) opmerking: ‘een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief’ (een risico heeft derhalve niet per definitie een negatieve lading maar kan ook een gunstig gevolg hebben).

Het tweede basisbegrip betreft ‘risiconiveau’. ISO 31000 omschrijft deze kreet als ‘omvang van een risico of combinatie van risico’s, uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid’.

De term ‘risicoanalyse’ – de laatste in deze elementaire opsomming – wordt in de norm verwoord als ‘proces dat doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen’.

Handvaten voor risicoanalyse

Definities doen het over het algemeen goed op papier, echter de reële waarde ervan zit in de ‘maakbaarheid’ – de vertaalslag – en uitvoerbaarheid binnen de context van dagelijkse bedrijfsvoering, met andere woorden: ‘hoe pak je het aan?’.

De nieuwe norm ISO 9001:2015 eist van de gebruiker dat er een risicoanalyse wordt uitgevoerd maar de norm laat de wijze waarop dat gebeurt vrij.

Dat lijkt op zich gunstig – er is vrijheid van keuze – maar in de praktijk blijkt dit voor veel organisaties op z’n minst een uitdaging en vaak een moeilijk uit te voeren stap.

Op zich is er ruim voldoende informatie en literatuur voorhanden met betrekking tot manieren en methoden voor het uitvoeren van risicoanalyses. Dat maakt het er echter niet per definitie eenvoudiger op. Welke methode zou je moeten kiezen? Zou je gebruik moeten maken van de norm ISO 31000 – risicomanagement (feitelijk een geheel van richtlijnen)? Kies je wellicht voor de FMEA methode (Failure Modes & Effects Analysis) of pas je de zogeheten BowTie benadering toe?

Los van de te kiezen manier van het uitvoeren van de risicoanalyse komen er andere vragen bovendrijven, zoals het bepalen van de belangrijkste risico’s. Hoe kan dat het beste worden aangepakt en welke criteria hanteer je hierbij?
Dan zijn er uiteraard nog andere en eveneens belangrijke aspecten die bij een risicoanalyse om de hoek komen kijken. Een daarvan is hoe om te gaan met geconstateerde risico’s en op welke wijze opvolging te geven?

Praktisch aan de slag met de risicoanalyse

Zoals u in de uitnodiging heeft kunnen lezen hebben we in de programmering van 23 maart a.s. naast een informatief onderdeel – dat ingaat op de belangrijkste veranderingen tussen de ‘oude’ en de ‘nieuwe’ versie van ISO 9001 – een interactieve workshop opgenomen.
Deze workshop zal in het teken staan van het voorbereiden van de risicoanalyse voor uw eigen organisatie als onderdeel van uw ISO 9001:2015 managementsysteem. Samen met u proberen we u op dit punt op weg te helpen.

Workshop ‘Praktisch omgaan met ISO 9001:2015’

focus op veranderingen in de norm en aanpak van risico-analyse

Datum + Tijd: 23 maart 2017 – 14.00-18.00 uur – Bavel
Kantoorlocatie Kleemans Organisatieadvies

• 14.00-14.30
• ontvangst deelnemers
• 14.30-15.00
• presentatie: verschillen tussen ‘oude’ en nieuwe ISO 9001 norm en auditor beoordeling Bureau Veritas Certification
• 15.00-15.30
• presentatie: hoe pak je de risico-analyse aan binnen ISO 9001 :2015 ? Kleemans Organisatieadvies
• 15.30-15.45
• mini break
• 15.45-16.00
• toelichting opdracht workshop: voorbereiding van praktische risico-analyse in eigen organisatie Kleemans Organisatieadvies
• 16.00-16.30
• uitwerking opdracht in individuele groepen
• 16.30-17.00
• korte presentatie opdracht per individuele groep
• 17.00-17.15
• evaluatie workshop en uitkomsten Kleemans Organisatieadvies
• 17.15-18.00
• netwerken / lopend buffet / sluiting