Of risicomanagement altijd aanwezig was in de ISO 9001-standaarden, daar wordt nog wel eens aan getwijfeld. Feit is dat in de 2015-versie van ISO 9001 het ‘risicogebaseerde denken’ wél expliciet aanwezig is. Maar wat is het precies en hoe werkt het?

Risicogebaseerd denken is niet iets nieuws. Sterker nog: u doet het automatisch bij elke beslissing die u neemt! Bewust of onbewust weegt u verschillende opties tegen elkaar af, op basis van de impact en de waarschijnlijkheid dat iets zich voor doet. Of u nu een zwabberende vrachtwagen inhaalt op de snelweg, een nieuwe televisie koopt of de weg wilt oversteken: u weegt zaken tegen elkaar af.

Deze manier van ‘zaken tegen elkaar afwegen’ vormt de basis van het risicogebaseerde denken in ISO 9001. Of u nu iets plant, uitvoert, analyseert of evalueert: het risicogebaseerde denken zorgt ervoor dat u beter beslagen ten ijs komt. Een simpel voorbeeld, vanuit de ISO/TC 176 zelf, gaat over risicogebaseerd denken tijdens het oversteken van een weg.

Risicomanager onderweg

Als u een weg oversteekt om op tijd te komen voor een afspraak, spelen er allerlei factoren die van invloed zijn om uw doel te bereiken. U kunt ervoor kiezen om de weg over te steken, en zo sneller op de afspraak te zijn; of te kiezen voor een voetgangersbrug die verderop staat, en zo veiliger maar wel langzamer over te steken.

Beiden opties hebben een vorm onzekerheid en onvoorspelbaarheid in zich: de drukte van het verkeer, de mogelijkheden om naar de overkant van te komen, je eigen mobiliteit, de overzichtelijkheid van de weg, de doel van de afspraak of het weer. Ook gaat het over impact: wat is acceptabel en wat niet? In hoeverre weegt het risico om te laat te komen op tegen het risico om aangereden te worden?

Waarschijnlijk zult u liever wat later op uw afspraak komen, dan dat u aangereden wordt. Dus gebruikt u de brug of steekt u de weg direct over?

Het antwoord is gelukkig niet eenduidig te geven.

Mocht de weg druk zijn dan is de eerste optie het beste, maar mocht de weg rustig zijn dan lijkt de tweede optie het beste. De context waarin u zich bevindt speelt dus een belangrijke rol voor het risicogebaseerde denken!

De contextanalyse in hoofdstuk 4 van ISO 9001 is er daarom niet voor niets: het vormt een goede basis voor het risicogebaseerd denken, aangezien de impact en waarschijnlijkheid van risico’s per organisatiecontext verschilt. Voor een zakelijk dienstverlening is een stroomstoring vervelend, voor een datawarehouse vervelender, voor een kernreactor kan het catastrofale gevolgen hebben.

Verschil risicogebaseerd denken en risicomanagement

ISO 9001:2015 heeft het expliciet over risicogebaseerd denken, en niet over risicomanagement. ISO 9001 bevat geen eisen voor het onderhouden van een risicomanagementsysteem, noch bevat het enige eisen voor het bijhouden van gedocumenteerde informatie over risico’s. ISO 9001:2015 schept dus ook niet de verwachting dat elke keer als u een weg oversteekt (of een andere beslissing neemt), u een professioneel risicomanager bent.

Het grote verschil tussen het risicogebaseerde denken van ISO 9001:2015 en een risicomanagementsysteem (zoals de handreiking van ISO 31000), is dat risicomanagement explicieter, structureler en cyclisch gebeurt. ISO 9001 verlangt van u dat u de risico’s, gebaseerd op de context van uw organisatie, in overweging neemt om zo tot, zoals ISO 9001 het noemt, ‘passende’ (appropriate) maatregelen te komen. Immers, iets is pas een ‘passende maatregel’ als er is nagedacht over de verschillende risico’s die het met zich meebrengt!
Kortom: risico’s die spelen in de context van uw organisatie, hebben invloed op de beslissingen die u neemt. Zorg dat u zich bewust bent van die risico’s en overweeg ze om betere beslissingen te nemen.

Meer weten? Download hier de paper van ISO/TC 176 en hier de presentatie.