De onzekerheden van Risicomanagement in ISO 9001:2015

In de High Level Structure (HLS), die de basis vormt voor de nieuwe ISO-managementsystemen, zijn de volgende zes essentiële elementen van corporate governance te onderscheiden:

• 1. Leiderschap en creativiteit
• 2. Risicomanagement
• 3. Compliance management
• 4. Procesbenadering
• 5. Verbetermanagement
• 6. Borging en aantoonbaarheid

In deze blog ga ik nader in op risicomanagement. Deze blog is onderdeel van de serie over de herziening van de kwaliteitsmanagementsysteemnorm ISO 9001:2015 en de nieuwe High Level Structure (HLS).

Risicomanagement
Uit de informatie die nu voortkomt uit de herziening van de managementsysteemnormen lijkt dat risicomanagement als eis zal worden toegevoegd aan de volgende editie van ISO 9001 (2015) en eventueel preventieve maatregelen zal vervangen. Als dit gebeurt, wat betekent dat voor jouw organisatie?

ISO 31000
Je zou denken dat ISO 31000 Risicomanagement – Principes en Richtlijnen, die medio 2009 van kracht is geworden, ten grondslag zou liggen aan de wijziging van de managementsysteemnormen. Helaas moet ik je teleurstellen. ISO 31000 is zeker niet een normatieve eis die wordt gerefereerd in de ‘identieke tekst’ voor alle managementsysteemnormen. Zelfs de ISO 31000 definitie van risico wordt niet als een van de gemeenschappelijke kerndefinities vastgesteld, omdat er ernstige twijfel bestaat in de groep die de identieke tekst heeft opgesteld of het risicomanagementprincipe van de ISO 31000/Guide 73 geschikt is voor de managementsysteemnormen.

ISO 9001:2015 4.4.2—Process approach
The organization shall:

d) determine the risks to conformity of goods and services and customer satisfaction if unintended outputs are delivered or process interaction is ineffective;

In deze paragraaf wordt de link gelegd tussen afwijkingen tijdens het voorbrengingsproces of in sturende en ondersteunende processen en de mogelijkheid dat eindproducten of diensten niet aan de verwachtingen van de klant voldoen. Dit heeft nogal wat implicaties. Binnen bijvoorbeeld de medische hulpmiddelen industrie is het gebruikelijk om de gevolgen van bepaalde faalwijzen van het proces of het product voor de gebruiker te beoordelen. Dit gebeurt meestal aan de hand van een Failure Mode Effect Analysis (FMEA), een tamelijk arbeidsintensieve exercitie. Maar binnen de medische hulpmiddelen industrie kunnen de gevolgen voor bijvoorbeeld de veiligheid van het hulpmiddel voor de patiënt kunnen behoorlijk ingrijpend zijn, tot fataal aan toe. Ook andere sectoren die hoog betrouwbare producten leveren passen de FMEA toe. Dat zal niet voor elke bedrijfstak gelden. De mate waarin energie wordt besteed aan risico analyse zal dus afhangen van een primaire inschatting van de risico’s. Wat daarin precies zal worden verwacht zal een onderwerp van discussie vormen.

ISO 9001:2015 5.1.2—Leadership and commitment with respect to the needs and expectations of customers
Top management shall demonstrate leadership and commitment with respect to customer focus by ensuring that:

a) the risks which can affect conformity of goods and services and customer satisfaction are identified and addressed;

De kans op afwijkende producten of diensten kan worden bepaald aan de hand van de procescapaciteit van elk productieproces, inclusief assemblage, verpakking, levering en installatie. Het vermogen van het voortbrengingsproces om conforme producten af te leveren is een eenvoudige indicator voor het kwantificeren van de procesrisico’s. Het doel is om het hoogst mogelijk technisch en economisch haalbare voor elk proces te realiseren, waardoor het risico op zogenaamde onbedoelde output van het productieproces wordt geminimaliseerd.

ISO 9001:2015 6.1—Actions to address risks and opportunities
When planning for the quality management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 (4.2 Understanding the needs and expectations of interested parties) and determine the risks and opportunities that need to be addressed to:

a) assure the quality management system can achieve its intended outcome(s)

b) assure that the organization can consistently achieve conformity of goods and services and customer satisfaction

c) prevent, or reduce, undesired effects, and

d) achieve continual improvement.

The organization shall plan:

a) actions to address these risks and opportunities, and

b) how to
1) integrate and implement the actions into its quality management system processes (see 4.4), and

2) evaluate the effectiveness of these actions.

In deze paragraaf valt de toevoeging “opportunities” op. Onzekerheden worden vaak als risico’s gezien, dat wil zeggen voorvallen met negatieve consequenties. Maar onzekerheden kunnen ook onontdekte kansen zijn. De bedoeling is altijd geweest om ervoor te zorgen dat het kwaliteitsmanagementsysteem effectief is, en dat het wordt beheerd en gecontroleerd. Maar een controle is meestal gericht op het voorkomen van negatieve gevolgen van onverwachte gebeurtenissen en omstandigheden. Met de nieuwe normdefinitie zal er bij de kwaliteitsplanning ook gekeken moeten worden naar mogelijke positieve gevolgen van onverwachte omstandigheden. Bijvoorbeeld welke kansen er liggen door de ontwikkeling van klantverwachtingen, zodat een nieuw product of dienst kan worden ontwikkeld om aan een toekomstige vraag te voldoen.

Elke ondernemer weet ook dat bedreigingen en mogelijkheden vaak hand in hand gaan. Daarom zijn veranderingen vaak ook zo lastig. Was elke keuze maar zo simpel dat de ene keuze succes betekent en de ander falen. Veel vaker liggen ze op hetzelfde pad. De kunst is het om het kwaliteitsmanagementsysteem zodanig in te richten dat er een optimum aan meerwaarde wordt gecreëerd met zo min mogelijk risico. Dit is wat we meestal verstaan onder het begrip geschiktheid van het systeem.

ISO 9001:2015 8.3—Operational planning process
In preparing for the realization of goods and services, the organization shall implement a process to determine the following, as appropriate:

b) actions to identify and address risks related to achieving conformity of goods and services to requirements;”

Dit is slechts een herhaling van wat reeds is gezegd.

ISO 9001:2015 8.5.1—Development processes
In determining the stages and controls for the development processes, the organization shall take account of:

e) the determined risks and opportunities associated with the development activities with respect to
1) the nature of the goods and services to be developed and potential consequences of failure

2) the level of control expected of the development process by customers and other relevant interested parties, and

3) the potential impact on the organization’s ability to consistently meet customer requirements and enhance customer satisfaction.

Naast risico’s in de processen kunnen de producten een risico bij gebruik een veiligheidsrisico vormen voor de gebruiker of kan de functionaliteit of werking van het product niet voldoen aan de verwachtingen van de klant. Dus bedrijven moeten niet alleen kijken of hun voortbrengingsprocessen kunnen leiden tot afwijkende producten, maar moeten ook bepalen of de producten of diensten zelf geen ongewenste gevolgen hebben op de klanttevredenheid. Dat zou kunnen gaan betekenen dat alle risico’s behorende bij een product bekend zouden moeten zijn. Denk je eens in wat dat voor de tabaksindustrie zou hebben betekend als deze eis al jaren eerder was ingevoerd. Als een bedrijf erkent dat er een klein risico bestaat (laten we zeggen een op een miljoen kans) dat er iets ongewenst zou kunnen voorvallen, dan zouden advocaten zeggen dat het bedrijf wist dat er een risico is en is het bedrijf dus aansprakelijk. Je kunt geen producten maken met nul risico’s; niemand zal de kosten voor het ontwikkelen van een dergelijk product willen betalen, omdat klanten dat ook niet willen. Vanuit een juridisch oogpunt heeft deze eis nogal wat consequenties. Binnen de farmaceutische en medisch technologische is het echter al wel gebruikelijk om productrisico’s te onderzoeken en te registreren. Dit onderzoek leidt tot de waarschuwingen die in bijsluiters vermeld staan. Ook handleidingen van apparaten bevatten waarschuwingen om bekende risico’s (van oneigenlijk gebruik) te vermijden. Maar hoe zit dat voor producten of diensten die deze mogelijkheden niet hebben.

ISO 9001:2015 8.6.5—Post delivery activities
The extent of post delivery activities that are required shall take account of:

a) the risks associated with the goods and services

Dit klinkt als een garantie-kostenanalyse die door veel bedrijven al lange tijd wordt uitgevoerd.

ISO 9001:2015 9.1—Monitoring, measurement, analysis and evaluation
The organization shall take into consideration the determined risks and opportunities and shall:

Het vaststellen van risico’s kan natuurlijk niet zonder gevolgen blijven. Waar nodig moeten maatregelen getroffen worden om risico’s te vermijden. Mooi zou zijn als de risico’s volledig tot het nul niveau kunnen worden geëlimineerd, maar dat is vaak economisch en technisch gezien onhaalbaar. Wanneer er toch een onaanvaardbaar restrisico overblijft moet er een geschikt detectiesysteem zijn ingericht om de afwijkingen of ongewenste omstandigheden op zijn minst te detecteren. Verschillende inspectie, monitoring en alarmsystemen zijn hiervoor geschikt.

ISO 9001:2015 9.2—Internal audit
The organization shall:

a) plan, establish, implement and maintain an audit program(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit program(s) shall take into consideration the quality objectives, the importance of the processes concerned, the related risks, and the results of previous audits;

In de huidige norm is het al vereist om de frequentie van interne audits af te stemmen op het belang dat het auditonderwerp heeft voor het bedrijfssucces. Maar in de praktijk is het ook al lang gebruikelijk om het auditprogramma en het plan van een interne audit af te stemmen op de (bedrijfs)risico’s behorende bij het betreffende auditonderwerp. Gezien voorgaande eisen wordt het nu voor het auditteam makkelijker om de risico’s te identificeren die moeten worden overwogen bij het samenstellen van het auditprogramma en het auditplan. Er zijn namelijk risicoanalyses voor de processen en de producten beschikbaar. Het wordt voor de auditor daarmee eenvoudiger om meerwaarde te genereren voor de organisatie in plaats van met rapporten te komen met futiliteiten waarvan de oplossingen door de organisatie alleen als verloren tijd en energie beschouwd worden.

ISO 9001:2015 10.2-Continual improvement
The organization shall continually improve the quality management system, processes and goods and services, as appropriate, through responding to:

c) changes in identified risk (see 6.1);

De grootste bedreiging voor de geleverde kwaliteit vormen onbeheerste wijzigingen. Je hebt al je beheersmaatregelen ingericht op basis van ingeschatte risico’s, uitgaande van de bestaande situatie. Maar de bestaande situatie kan al geschiedenis zijn op het moment dat het risicomanagementrapport wordt gepubliceerd en de maatregelen worden ingevoerd. Als veranderingen worden doorgevoerd zonder de consequenties van de wijzing te beoordelen ontstaat een onbeheersbare situatie. Risicomanagement is dus een continue activiteit. Bij elke verandering moet worden gekeken of de bestaande risicoschatting nog actueel is. Bij voorkeur zijn risico’s natuurlijk gereduceerd, omdat dat nu eenmaal ook vaak het doel van verandering is.
Omgekeerd is ook waar. Risico’s worden vaak geschat. Maar uit de feiten kan later blijken dat risico’s hoger kunnen zijn dan geschat. In dat geval kan het noodzakelijk zijn om aanvullende maatregelen te treffen. Het omgekeerde, het opheffen van maatregelen omdat de risico’s lager blijken, valt de meeste bedrijven wat moeilijker. Mits onderbouwd met feiten is er geen enkele reden om dit niet te doen.

Samengevat
Onze dagelijkse bedrijfsvoering is al doorspekt van risicomanagement. De managementsysteemnormen bleven daar bij achter. Daarin komt verandering met de herziening van de managementsysteemnormen die rond 2015 wordt verwacht. Verspreid in de normeisen wordt het beheersen van risico’s aangehaald. Omdat onze procesbewaking veelal op basis van beoordeelde risico’s is ingericht zal het voldoen aan deze eisen in veel gevallen geen probleem vormen. Maar op sommige plaatsen zijn de eisen zo vaag geformuleerd dat ze aanleiding kunnen geven tot verschillende interpretaties en dus problemen bij de certificering.
De verwarring tussen corrigerende en preventieve maatregelen zal tot het verleden behoren, omdat de term preventieve maatregelen zal worden vervangen door risicomanagement, wat het feitelijk ook is of behoort te zijn. Wel jammer dat het langzaam breder ingeburgerde begrip CAPA (wat staat voor corrective action preventive action) zal moeten komen te vervallen. Het zal nu als CARM bekend moeten gaan worden.

Advertentie