Toen de meest recente versie van ISO 9001 in 2015 uitkwam, introduceerden de auteurs van de norm een belangrijke wijziging die zelfs vandaag de dag voor sommige kwaliteitsprofessionals een bron van verwarring is. Er lag namelijk een grote nadruk op risicogebaseerd denken, een ietwat vage term die tot nogal wat discussies leidt over wat het nou eigenlijk betekent – en hoe je het praktisch implementeert.
Dus kijken we eens terug naar de basisprincipes van risicogebaseerd denken volgens de ISO-norm én geven we een strategie prijs die bedrijven kunnen gebruiken om aan de norm te voldoen en tegelijkertijd productiefouten te verminderen.
Risicogebaseerd denken is de nieuwe preventieve actie
Een opvallende verandering die gepaard ging met de nieuwe eisen, was het schrappen van de clausule inzake preventieve actie in ISO 9001: 2015. En dat is geen toeval. In de nieuwe versie heeft op risico gebaseerd denken de plaats ingenomen van preventieve actie, wat ook meteen het startpunt is voor het begrijpen van de term.
ISO verklaarde in afzonderlijke begeleidende documenten dat het doel van de verandering was om organisaties ertoe te brengen preventie niet langer te beschouwen als een op zichzelf staand onderdeel van het kwaliteitsmanagementsysteem (QMS). In plaats daarvan is de verwachting dat bedrijven preventie in het hele kwaliteitsproces opnemen. Risico is verweven in meerdere clausules van de norm, waaronder planning, operatie, analyse en evaluatie.
Risicogebaseerd denken om kansen te identificeren
Het is belangrijk op te merken dat risico niet beperkt is tot negatieve mogelijkheden. Bedrijven kunnen ook risicogebaseerd denken gebruiken om kansen te identificeren, die de positieve kant van risico vertegenwoordigen. Gebieden waar risico verschijnt in de nieuwe standaardvereisten zijn onder meer:
- Organisatorische context: bij het vaststellen van de context van de organisatie vereist ISO dat bedrijven risico’s identificeren die van invloed kunnen zijn op kwaliteitsdoelstellingen. Ze moeten ook het risico evalueren van het produceren van niet-conforme producten, dat kan variëren afhankelijk van het soort product dat wordt vervaardigd.
- Leiderschap: het management van je bedrijf moet zich inzetten voor het aanpakken van risico’s en kansen die de productkwaliteit kunnen beïnvloeden.
- Planning: dit deel van de norm vereist dat je niet alleen risico’s en kansen identificeert, maar ook plannen maakt om deze aan te pakken.
- Operatie: ISO vereist dat je de acties implementeert en controleert die tijdens de planningsstappen zijn geïdentificeerd.
- Prestatie-evaluatie: hier volg en analyseer je de geïdentificeerde risico’s en kansen.
- Verbetering: organisaties moeten verbeteringen aanbrengen op basis van eventuele risicoveranderingen.
Risicogebaseerd denken en de procesaanpak
Het is belangrijk op te merken dat de ISO-vereisten voor risicogebaseerd denken bedrijven niet verplichten een formeel risicobeheerproces te implementeren. Dit is in overeenstemming met de opzettelijke flexibiliteit van ISO wat betreft de manier waarop bedrijven standaardvereisten implementeren. ISO-richtlijnen merken echter op dat risicogebaseerd denken centraal staat in de PDCA-benadering, waarbij organisaties worden verplicht om:
- Risico’s te identificeren en begrijpen;
- Acties te plannen om risico’s te vermijden, elimineren en/of te beperken;
- De plannen uit te voeren en de effectiviteit te controleren;
- Voortdurend verbeteren aan de hand van geleerde lessen;
Risicogebaseerd denken vs. risicomanagement
Als risicogebaseerd denken zo goed aansluit bij risicomanagement, waarom noem je het dan niet zo? Vraag het aan een paar experts en je zou kunnen horen dat risicogebaseerd denken slechts een afgezwakte versie van risicomanagement is. ISO 9001: 2015 vereist bijvoorbeeld geen enkele vorm van formele risicobeoordeling en je hoeft ook geen risicoregister bij te houden. ISO’s vereisten voor risicogebaseerd denken zijn gericht op het opnemen van risico in de besluitvorming, zonder te formaliseren hoe het precies moet. Dit komt waarschijnlijk omdat de organisatie meer flexibiliteit wil bieden in de manier waarop bedrijven in verschillende bedrijfstakken aan de standaardvereisten voldoen. Anderen zullen zeggen dat het gewoon een te grote sprong was om risicomanagementbenaderingen tot een formele vereiste voor certificering te maken.
Hoe dan ook: bedrijven hebben een manier nodig om risico’s onderdeel te maken van hun QMS, en er zijn verschillende technische tools die kunnen helpen daar te komen.
Technologie gebruiken om risico’s te beperken
Een van de belangrijkste onderdelen van het toepassen van risicogebaseerd denken op je kwaliteitsmanagementproces is om het daadwerkelijk een onderdeel van je proces te maken, in plaats van een silo-activiteit. Vanuit technisch oogpunt betekent dit dat er risicotools in je QMS zijn ingebouwd in plaats van een afzonderlijke oplossing of tijdrovende handmatige processen te gebruiken. De belangrijkste mogelijkheden van risicogestuurde kwaliteitsmanagementsoftware zijn onder meer:
- Geïntegreerd risicoregister: je hebt een gecentraliseerde plaats nodig om individuele gevaren en risico-items te registreren en te bewaken. Hoewel het formeel geen deel uitmaakt van ISO-normen, helpt het consequent gebruik van een risicoregister je om aan verschillende vereisten te voldoen.
- Flexibele risicotools: je moet risicobeoordelingsinstrumenten zoals een risicomatrix of beslissingsboom binnen elke QMS-toepassing kunnen activeren, van audits en afwijkingen tot het volgen van de naleving van regelgeving.
- Op risico gebaseerde effectiviteitscontroles: het toevoegen van een laatste op risico gebaseerde verificatiestap voor processen zoals corrigerende maatregelen helpt om te voldoen aan prestatie-evaluatie en verbeteringsvereisten.
En tot slot is automatisering een van de belangrijkste manieren waarop je technologie kunt gebruiken om risico’s te verminderen. Door geautomatiseerde risicobeheerprocessen te creëren, zorg je ervoor dat er niets uit de hand loopt, waardoor je een gedocumenteerde geschiedenis hebt waar je naar kunt kijken als er iets misgaat.
