Er is een verschil tussen risicogebaseerd denken (waar ISO 9001 het over heeft) en risicomanagement. ISO 9001:2015 bevat geen eisen voor het onderhouden van een risicomanagementsysteem of gedocumenteerde informatie. ISO 9001:2015 wil dat je de de risico’s, gebaseerd op de context van de organisatie, beoordeelt en met passende maatregelen komt.
Risicomanagement
risicomanagement gebeurt structureler en cyclisch.
Stap 1: uitvoeren integrale risicoanalyse
De eerste stap is het inzichtelijk maken van de stand van zaken op een bepaald moment. Dit gebeurt door het uitvoeren van een risicoanalyse.
Vaststellen doel
Door vast te stellen waar de risicoanalyse op gericht is (wat het doel is), wordt vastgesteld wat de gebeurtenis is die je niet wilt dat die zich voordoet.
In kaart brengen risico’s
Tijdens de risicoanalyse worden de risico’s aan de hand van verschillende invalshoeken in kaart gebracht.
Vaststellen belangrijkste risico’s
Vervolgens wordt bepaald welke het belangrijkste zijn, bijvoorbeeld door puntverdeling of door kans x effect.
Meestal kies ik hier voor een overzicht van risico’s gespecificeerd naar de verschillende categorieën (denk aan verschillende normen zoals GDP, TAPA, AEO of ISO 14001 en zelfs aan de verschillende normelementen).
Indien gewenst kun je de risico’s in beeld brengen door deze in de flowcharts visueel zichtbaar te maken.
In kaart brengen beheersmaatregelen
Denk hierbij aan vermijden, verminderen, overdragen, accepteren,
Stap 2: vaststellen van beheersmaatregelen
Uit de risicoanalyse is voor de belangrijkste risico’s een aantal mogelijke beheersmaatregelen naar voren gekomen. Het managementteam besluit welke maatregelen hiervan daadwerkelijk worden genomen. Dit gebeurt op basis van een inschatting van enerzijds het verwachte effect van de beheersmaatregel en anderzijds de kosten of inspanning die de beheersmaatregel vergt. Tevens wordt vastgesteld wie de beheersmaatregelen daadwerkelijk gaat uitvoeren en/of wie verantwoordelijk is voor de uitvoering.
Het resultaat is een lijstje met daarin achtereenvolgens opgenomen:
- het risico
- de vastgestelde beheersmaatregel
- de verantwoordelijke persoon.
Stap 3: implementeren van beheersmaatregelen
De verantwoordelijke personen zorgen er vervolgens voor dat de maatregelen daadwerkelijk worden genomen.
Stap 4: evalueren van beheersmaatregelen
Op regelmatige basis dient te worden gekeken of de beheersmaatregelen zijn uitgevoerd en of de maatregelen het gewenste effect hebben gehad. Dit kan bijvoorbeeld tijdens de directiebeoordeling.
Stap 5: uitvoeren update van de risicoanalyse
Na de evaluatie van de beheersmaatregelen moet een update worden gemaakt van de lijst met risico’s, zoals die oorspronkelijk is voortgekomen uit de risicoanalyse. Dus toevoegen, aanpassen of verwijderen.