Skip to content

De onzekerheden van Risicomanagement in ISO 9001:2015

15 september 2013

normen
In de High Level Structure (HLS), die de basis vormt voor de nieuwe ISO-managementsystemen, zijn de volgende zes essentiële elementen van corporate governance te onderscheiden:

In deze blog ga ik nader in op risicomanagement. Deze blog is onderdeel van de serie over de herziening van de kwaliteitsmanagementsysteemnorm ISO 9001:2015 en de nieuwe High Level Structure (HLS).

Risicomanagement
Uit de informatie die nu voortkomt uit de herziening van de managementsysteemnormen lijkt dat risicomanagement als eis zal worden toegevoegd aan de volgende editie van ISO 9001 (2015) en eventueel preventieve maatregelen zal vervangen. Als dit gebeurt, wat betekent dat voor jouw organisatie?

ISO 31000
Je zou denken dat ISO 31000 Risicomanagement – Principes en Richtlijnen, die medio 2009 van kracht is geworden, ten grondslag zou liggen aan de wijziging van de managementsysteemnormen. Helaas moet ik je teleurstellen. ISO 31000 is zeker niet een normatieve eis die wordt gerefereerd in de ‘identieke tekst’ voor alle managementsysteemnormen. Zelfs de ISO 31000 definitie van risico wordt niet als een van de gemeenschappelijke kerndefinities vastgesteld, omdat er ernstige twijfel bestaat in de groep die de identieke tekst heeft opgesteld of het risicomanagementprincipe van de ISO 31000/Guide 73 geschikt is voor de managementsysteemnormen.

ISO 9001:2015 4.4.2—Process approach
The organization shall:

    d) determine the risks to conformity of goods and services and customer satisfaction if unintended outputs are delivered or process interaction is ineffective;

In deze paragraaf wordt de link gelegd tussen afwijkingen tijdens het voorbrengingsproces of in sturende en ondersteunende processen en de mogelijkheid dat eindproducten of diensten niet aan de verwachtingen van de klant voldoen. Dit heeft nogal wat implicaties. Binnen bijvoorbeeld de medische hulpmiddelen industrie is het gebruikelijk om de gevolgen van bepaalde faalwijzen van het proces of het product voor de gebruiker te beoordelen. Dit gebeurt meestal aan de hand van een Failure Mode Effect Analysis (FMEA), een tamelijk arbeidsintensieve exercitie. Maar binnen de medische hulpmiddelen industrie kunnen de gevolgen voor bijvoorbeeld de veiligheid van het hulpmiddel voor de patiënt kunnen behoorlijk ingrijpend zijn, tot fataal aan toe. Ook andere sectoren die hoog betrouwbare producten leveren passen de FMEA toe. Dat zal niet voor elke bedrijfstak gelden. De mate waarin energie wordt besteed aan risico analyse zal dus afhangen van een primaire inschatting van de risico’s. Wat daarin precies zal worden verwacht zal een onderwerp van discussie vormen.

ISO 9001:2015 5.1.2—Leadership and commitment with respect to the needs and expectations of customers
Top management shall demonstrate leadership and commitment with respect to customer focus by ensuring that:

    a) the risks which can affect conformity of goods and services and customer satisfaction are identified and addressed;

De kans op afwijkende producten of diensten kan worden bepaald aan de hand van de procescapaciteit van elk productieproces, inclusief assemblage, verpakking, levering en installatie. Het vermogen van het voortbrengingsproces om conforme producten af te leveren is een eenvoudige indicator voor het kwantificeren van de procesrisico’s. Het doel is om het hoogst mogelijk technisch en economisch haalbare voor elk proces te realiseren, waardoor het risico op zogenaamde onbedoelde output van het productieproces wordt geminimaliseerd.

ISO 9001:2015 6.1—Actions to address risks and opportunities
When planning for the quality management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 (4.2 Understanding the needs and expectations of interested parties) and determine the risks and opportunities that need to be addressed to:

      a) assure the quality management system can achieve its intended outcome(s)
      b) assure that the organization can consistently achieve conformity of goods and services and customer satisfaction
      c) prevent, or reduce, undesired effects, and
    d) achieve continual improvement.

The organization shall plan:

      a) actions to address these risks and opportunities, and
      b) how to

        1) integrate and implement the actions into its quality management system processes (see 4.4), and
      2) evaluate the effectiveness of these actions.

In deze paragraaf valt de toevoeging “opportunities” op. Onzekerheden worden vaak als risico’s gezien, dat wil zeggen voorvallen met negatieve consequenties. Maar onzekerheden kunnen ook onontdekte kansen zijn. De bedoeling is altijd geweest om ervoor te zorgen dat het kwaliteitsmanagementsysteem effectief is, en dat het wordt beheerd en gecontroleerd. Maar een controle is meestal gericht op het voorkomen van negatieve gevolgen van onverwachte gebeurtenissen en omstandigheden. Met de nieuwe normdefinitie zal er bij de kwaliteitsplanning ook gekeken moeten worden naar mogelijke positieve gevolgen van onverwachte omstandigheden. Bijvoorbeeld welke kansen er liggen door de ontwikkeling van klantverwachtingen, zodat een nieuw product of dienst kan worden ontwikkeld om aan een toekomstige vraag te voldoen.

Elke ondernemer weet ook dat bedreigingen en mogelijkheden vaak hand in hand gaan. Daarom zijn veranderingen vaak ook zo lastig. Was elke keuze maar zo simpel dat de ene keuze succes betekent en de ander falen. Veel vaker liggen ze op hetzelfde pad. De kunst is het om het kwaliteitsmanagementsysteem zodanig in te richten dat er een optimum aan meerwaarde wordt gecreëerd met zo min mogelijk risico. Dit is wat we meestal verstaan onder het begrip geschiktheid van het systeem.

ISO 9001:2015 8.3—Operational planning process
In preparing for the realization of goods and services, the organization shall implement a process to determine the following, as appropriate:

    b) actions to identify and address risks related to achieving conformity of goods and services to requirements;”

Dit is slechts een herhaling van wat reeds is gezegd.

ISO 9001:2015 8.5.1—Development processes
In determining the stages and controls for the development processes, the organization shall take account of:

      e) the determined risks and opportunities associated with the development activities with respect to

        1) the nature of the goods and services to be developed and potential consequences of failure
        2) the level of control expected of the development process by customers and other relevant interested parties, and
      3) the potential impact on the organization’s ability to consistently meet customer requirements and enhance customer satisfaction.

Naast risico’s in de processen kunnen de producten een risico bij gebruik een veiligheidsrisico vormen voor de gebruiker of kan de functionaliteit of werking van het product niet voldoen aan de verwachtingen van de klant. Dus bedrijven moeten niet alleen kijken of hun voortbrengingsprocessen kunnen leiden tot afwijkende producten, maar moeten ook bepalen of de producten of diensten zelf geen ongewenste gevolgen hebben op de klanttevredenheid. Dat zou kunnen gaan betekenen dat alle risico’s behorende bij een product bekend zouden moeten zijn. Denk je eens in wat dat voor de tabaksindustrie zou hebben betekend als deze eis al jaren eerder was ingevoerd. Als een bedrijf erkent dat er een klein risico bestaat (laten we zeggen een op een miljoen kans) dat er iets ongewenst zou kunnen voorvallen, dan zouden advocaten zeggen dat het bedrijf wist dat er een risico is en is het bedrijf dus aansprakelijk. Je kunt geen producten maken met nul risico’s; niemand zal de kosten voor het ontwikkelen van een dergelijk product willen betalen, omdat klanten dat ook niet willen. Vanuit een juridisch oogpunt heeft deze eis nogal wat consequenties. Binnen de farmaceutische en medisch technologische is het echter al wel gebruikelijk om productrisico’s te onderzoeken en te registreren. Dit onderzoek leidt tot de waarschuwingen die in bijsluiters vermeld staan. Ook handleidingen van apparaten bevatten waarschuwingen om bekende risico’s (van oneigenlijk gebruik) te vermijden. Maar hoe zit dat voor producten of diensten die deze mogelijkheden niet hebben.

ISO 9001:2015 8.6.5—Post delivery activities
The extent of post delivery activities that are required shall take account of:

    a) the risks associated with the goods and services

Dit klinkt als een garantie-kostenanalyse die door veel bedrijven al lange tijd wordt uitgevoerd.

ISO 9001:2015 9.1—Monitoring, measurement, analysis and evaluation
The organization shall take into consideration the determined risks and opportunities and shall:

Het vaststellen van risico’s kan natuurlijk niet zonder gevolgen blijven. Waar nodig moeten maatregelen getroffen worden om risico’s te vermijden. Mooi zou zijn als de risico’s volledig tot het nul niveau kunnen worden geëlimineerd, maar dat is vaak economisch en technisch gezien onhaalbaar. Wanneer er toch een onaanvaardbaar restrisico overblijft moet er een geschikt detectiesysteem zijn ingericht om de afwijkingen of ongewenste omstandigheden op zijn minst te detecteren. Verschillende inspectie, monitoring en alarmsystemen zijn hiervoor geschikt.

ISO 9001:2015 9.2—Internal audit
The organization shall:

    a) plan, establish, implement and maintain an audit program(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit program(s) shall take into consideration the quality objectives, the importance of the processes concerned, the related risks, and the results of previous audits;

In de huidige norm is het al vereist om de frequentie van interne audits af te stemmen op het belang dat het auditonderwerp heeft voor het bedrijfssucces. Maar in de praktijk is het ook al lang gebruikelijk om het auditprogramma en het plan van een interne audit af te stemmen op de (bedrijfs)risico’s behorende bij het betreffende auditonderwerp. Gezien voorgaande eisen wordt het nu voor het auditteam makkelijker om de risico’s te identificeren die moeten worden overwogen bij het samenstellen van het auditprogramma en het auditplan. Er zijn namelijk risicoanalyses voor de processen en de producten beschikbaar. Het wordt voor de auditor daarmee eenvoudiger om meerwaarde te genereren voor de organisatie in plaats van met rapporten te komen met futiliteiten waarvan de oplossingen door de organisatie alleen als verloren tijd en energie beschouwd worden.

ISO 9001:2015 10.2-Continual improvement
The organization shall continually improve the quality management system, processes and goods and services, as appropriate, through responding to:

    c) changes in identified risk (see 6.1);

De grootste bedreiging voor de geleverde kwaliteit vormen onbeheerste wijzigingen. Je hebt al je beheersmaatregelen ingericht op basis van ingeschatte risico’s, uitgaande van de bestaande situatie. Maar de bestaande situatie kan al geschiedenis zijn op het moment dat het risicomanagementrapport wordt gepubliceerd en de maatregelen worden ingevoerd. Als veranderingen worden doorgevoerd zonder de consequenties van de wijzing te beoordelen ontstaat een onbeheersbare situatie. Risicomanagement is dus een continue activiteit. Bij elke verandering moet worden gekeken of de bestaande risicoschatting nog actueel is. Bij voorkeur zijn risico’s natuurlijk gereduceerd, omdat dat nu eenmaal ook vaak het doel van verandering is.
Omgekeerd is ook waar. Risico’s worden vaak geschat. Maar uit de feiten kan later blijken dat risico’s hoger kunnen zijn dan geschat. In dat geval kan het noodzakelijk zijn om aanvullende maatregelen te treffen. Het omgekeerde, het opheffen van maatregelen omdat de risico’s lager blijken, valt de meeste bedrijven wat moeilijker. Mits onderbouwd met feiten is er geen enkele reden om dit niet te doen.

Samengevat
Onze dagelijkse bedrijfsvoering is al doorspekt van risicomanagement. De managementsysteemnormen bleven daar bij achter. Daarin komt verandering met de herziening van de managementsysteemnormen die rond 2015 wordt verwacht. Verspreid in de normeisen wordt het beheersen van risico’s aangehaald. Omdat onze procesbewaking veelal op basis van beoordeelde risico’s is ingericht zal het voldoen aan deze eisen in veel gevallen geen probleem vormen. Maar op sommige plaatsen zijn de eisen zo vaag geformuleerd dat ze aanleiding kunnen geven tot verschillende interpretaties en dus problemen bij de certificering.
De verwarring tussen corrigerende en preventieve maatregelen zal tot het verleden behoren, omdat de term preventieve maatregelen zal worden vervangen door risicomanagement, wat het feitelijk ook is of behoort te zijn. Wel jammer dat het langzaam breder ingeburgerde begrip CAPA (wat staat voor corrective action preventive action) zal moeten komen te vervallen. Het zal nu als CARM bekend moeten gaan worden.

Advertenties
17 reacties leave one →
  1. Olga permalink
    18 juni 2014 10:39

    Beste Jan, in je artikel geef je aan gebruik te maken van de bestaande ‘Risicoanalyse voor de processen en de producten’, heb jij toevallig de voorbeelden van de analysemethodes die wij als bedrijf het beste kunnen toepassen?

    Alvast bedankt.

    Olga

    • 18 juni 2014 17:52

      Beste Olga,

      Een veel gebruikte techniek is de FMEA (Failure Mode and Effect Analysis). Maar ook andere methodes, zoals FTA (Failure Tree Analysis) en HACCP (Hazards Analyses Critical Control Point) zijn bruikbaar. Elke methode kan worden toegepast op de gevaren van het proces en het product (in jullie geval een dienst) Gevaren van de dienst zijn gevaren die jullie klanten kunnen ervaren. Gevaren van jullie processen zijn gevaren die jullie in jullie bedrijfsvoering (bv bij orderverwerking, vervoer naar de klant) ervaren, en die uiteindelijk ook consequenties kunnen hebben voor de tevredenheid van jullie klanten.
      Bijvoorbeeld een te late levering aan de klant is een gevaar van de dienst. Een file is een proces gevaar mbt het transportproces. Met de FTA methode ga je op zoek naar alle mogelijke onderliggende oorzaken. Met de FMEA methode kijk je ook naar alle (ongewenste) gevolgen. Met de HACCP methode bepaal je wanneer een fout het laatst kan worden ontdekt.

  2. Olga permalink
    5 augustus 2014 13:44

    Beste Jan, heel erg bedankt voor je reactie.

    Olga

  3. Toine permalink
    20 augustus 2014 08:30

    Beste Jan, Ik begrijp dat er nogal wat verwarring kan bestaan bij de begrippen correctieve en preventieve maatregelen. Ik heb het blog over dit onderwerp goed gelezen en ik begrijp wat bedoeld wordt. Maar met het voorstel om CAPA te veranderen in CARM, heb ik een andere mening. Risico management is in mijn beleving toch meer overkoepelend, en gaat over ingrijpen bij ongewenste gebeurtenissen die mogelijk kunnen plaatsvinden (preventief) maar ook i.g.v. ongewenste gebeurtenissen die hebben plaatsgevonden (correctief). Dus in mijn beleving kan CAPA blijven bestaan naast RM. Ik ben heel erg benieuwd naar je inzichten.
    Toine

    • 30 augustus 2014 08:36

      Feitelijk is de norm ook zo geformuleerd dat risicomanagement als rode draad door de norm loopt. Preventieve maatregelen verdwijnt als norm eis en wordt niet specifiek vervangen door risico management. De normcommissie heeft als reden van het vervallen van preventieve maatregelen aangegeven, dat deze eis niet noodzakelijk is, omdat dit al wordt ondervangen door de risicomanagement eis. Risicomanagement wordt benoemd als activiteit voor het plannen van het managementsysteem (ISO 9001:2015 sectie 6.1). Dit is een continue activiteit.

Trackbacks

  1. Verschil tussen de corrigerende en preventieve maatregelen | Quality Business Support Blog
  2. Quality Business Support Blog
  3. De procesbenadering in ISO 9001:2015 | Quality Business Support Blog
  4. ISO 9000 voor de creatieve leider | Quality Business Support Blog
  5. Alles van Waarde | Quality Business Support Blog
  6. Management en leiderschap in de nieuwe kwaliteitsmanagementsysteemnorm ISO 9001:2015 | Quality Business Support Blog
  7. ISO 9001 Continu verbeteren | Quality Business Support Blog
  8. Borging en aantoonbaarheid van ISO 9001:2015 | Quality Business Support Blog
  9. Herziening van de kwaliteitsmanagementsysteem norm ISO 9001:2015 | Quality Business Support Blog
  10. Volwassenheid van risicomanagement | Quality Business Support Blog
  11. Gaat de directie de rol van kwaliteitsmanager vervullen | Quality Business Support Blog
  12. Wijzigingen in de toekomst: managementsysteemnormen | Quality Business Support Blog

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: