Risicomanagement en risicoanalyse bij ISO 9001
Risicomanagement bij ISO 9001 betekent: nadenken over wat er mis kan gaan in je organisatie en daar vooraf maatregelen voor nemen. De norm noemt dit risicogebaseerd denken en legt het vast in hoofdstuk 6 van de eisen. Je hoeft geen ingewikkelde risicomatrix te bouwen, maar je moet wel kunnen laten zien dat je risico’s serieus neemt. De officiële norm vraagt dit sinds ISO 9001:2015 , uitgegeven door NEN .
Risicogebaseerd denken vervangt sinds 2015 de aparte eis voor “preventieve maatregelen”. Het idee: voorkomen is beter dan achteraf corrigeren.
Wat is risicogebaseerd denken in ISO 9001?
Risicogebaseerd denken is geen los project, maar een houding die door je hele systeem loopt. Bij elke beslissing vraag je je af: wat kan hier misgaan, en wat doen we eraan? Een risico is iets dat een negatief effect kan hebben. Een kans is het omgekeerde: iets dat je werk juist beter maakt.
Een installatiebedrijf merkt bijvoorbeeld dat één leverancier 80% van de onderdelen levert. Dat is een risico: valt die leverancier weg, dan ligt het werk stil. De maatregel is een tweede leverancier kwalificeren. Zo simpel mag het zijn.
Hoe maak je een risicoanalyse voor ISO 9001?
Een risicoanalyse hoeft niet meer te zijn dan een overzichtelijke tabel. Belangrijk is dat je hem actueel houdt en er echt iets mee doet.
Risico’s en kansen verzamelen
Loop je belangrijkste processen langs. Wat kan er per stap misgaan? Betrek je medewerkers, want zij zien de praktijk het beste.
Kans en impact inschatten
Geef per risico aan hoe waarschijnlijk het is (kans) en hoe groot de gevolgen zijn (impact). Een simpele schaal van laag, midden en hoog volstaat.
Maatregelen bepalen
Bedenk per risico wat je doet om het te beperken. Bij hoge kans én hoge impact pak je het eerst aan.
Evalueren en bijstellen
Bespreek de risico’s in je directiebeoordeling en pas de analyse aan als er iets verandert.
Voorbeeld risicoanalyse ISO 9001 (installatiebedrijf)
Onderstaand een uitgewerkt voorbeeld voor een installatiebedrijf met acht medewerkers. Dit is precies het soort overzicht dat een auditor wil zien: concreet, met maatregelen die je ook echt uitvoert.
| Risico of kans | Kans | Impact | Maatregel |
|---|---|---|---|
| Hoofdleverancier valt weg | Laag | Hoog | Tweede leverancier kwalificeren en jaarlijks toetsen |
| Personeelstekort in de techniek | Hoog | Hoog | Eigen opleidingsprogramma en samenwerking met ROC |
| Monteur maakt installatiefout | Midden | Hoog | Opleveringschecklist en steekproefcontrole |
| Verouderde planningssoftware | Midden | Midden | Migratieplan met budget en deadline |
| Nieuwe markt: warmtepompen | Midden | Hoog (kans) | Twee monteurs certificeren, pilotproject starten |
Maak geen lijst van vijftig risico’s die je daarna nooit meer bekijkt. Beter tien risico’s die je echt beheerst dan een dik document dat in een la verdwijnt.
Verschil tussen ISO 9001 en ISO 31000
Mensen verwarren risicogebaseerd denken soms met formeel risicomanagement. Dat zijn twee verschillende dingen.
| ISO 9001 | ISO 31000 | |
|---|---|---|
| Wat is het? | Kwaliteitsnorm met risicogebaseerd denken als onderdeel | Aparte richtlijn die volledig over risicomanagement gaat |
| Certificeerbaar? | Ja | Nee, het is een leidraad |
| Diepgang risico’s | Praktisch, passend bij je organisatie | Uitgebreid en cyclisch raamwerk |
Voor ISO 9001 hoef je ISO 31000 niet te gebruiken. Wil je risicomanagement professioneler aanpakken, dan kan ISO 31000 een nuttig naslagwerk zijn. Verplicht is het niet.
Veelgemaakte fouten bij de risicoanalyse
- Te theoretisch. Een risicoanalyse die niet over je echte werk gaat, herkent de auditor meteen.
- Eenmalig invullen. Risico’s veranderen. Werk de analyse minstens jaarlijks bij.
- Geen maatregelen. Een risico benoemen zonder actie heeft geen zin.
- Te veel detail. Houd het werkbaar, anders gebruikt niemand het.
Volgende stap
Bekijk hoe risico’s terugkomen in de eisen van ISO 9001 of hoe de auditor je risicoanalyse beoordeelt. Een leeg sjabloon staat bij de hulpmiddelen. Twijfel je nog ergens over? Lees de veelgestelde vragen.