Risicogebaseerd denken is niet iets nieuws. Sterker nog: je doet het automatisch bij elke beslissing die je neemt! Bewust of onbewust weeg je verschillende opties tegen elkaar af, op basis van de impact en de waarschijnlijkheid dat iets zich voor doet. Of je nu een zwabberende vrachtwagen inhaalt op de snelweg, een nieuwe televisie koopt of de weg wilt oversteken: je weegt zaken tegen elkaar af.
Deze manier van ‘zaken tegen elkaar afwegen’ vormt de basis van het risicogebaseerde denken in ISO 9001. Of je nu iets plant, uitvoert, analyseert of evalueert: het risicogebaseerde denken zorgt ervoor dat je beter beslagen ten ijs komt. Een simpel voorbeeld, vanuit de ISO/TC 176 zelf, gaat over risicogebaseerd denken tijdens het oversteken van een weg.
Als je een weg oversteekt om op tijd te komen voor een afspraak, spelen er allerlei factoren die van invloed zijn om jouw doel te bereiken. Je kan ervoor kiezen om de weg over te steken, en zo sneller op de afspraak te zijn; of te kiezen voor een voetgangersbrug die verderop staat, en zo veiliger maar wel langzamer over te steken.
Beiden opties hebben een vorm onzekerheid en onvoorspelbaarheid in zich: de drukte van het verkeer, de mogelijkheden om naar de overkant van te komen, je eigen mobiliteit, de overzichtelijkheid van de weg, de doel van de afspraak of het weer. Ook gaat het over impact: wat is acceptabel en wat niet? In hoeverre weegt het risico om te laat te komen op tegen het risico om aangereden te worden?
Waarschijnlijk zal je liever wat later op jouw afspraak komen, dan dat je aangereden wordt. Dus gebruik je de brug of steek je de weg direct over?
Het antwoord is gelukkig niet eenduidig te geven.
Mocht de weg druk zijn dan is de eerste optie het beste, maar mocht de weg rustig zijn dan lijkt de tweede optie het beste. De context waarin je zich bevindt speelt dus een belangrijke rol voor het risicogebaseerde denken!
De contextanalyse in hoofdstuk 4 van ISO 9001 is er daarom niet voor niets: het vormt een goede basis voor het risicogebaseerd denken, aangezien de impact en waarschijnlijkheid van risico’s per organisatiecontext verschilt. Voor een zakelijk dienstverlening is een stroomstoring vervelend, voor een datawarehouse vervelender, voor een kernreactor kan het catastrofale gevolgen hebben.
ISO 9001:2015 heeft het expliciet over risicogebaseerd denken, en niet over risicomanagement. ISO 9001 bevat geen eisen voor het onderhouden van een risicomanagementsysteem, noch bevat het enige eisen voor het bijhouden van gedocumenteerde informatie over risico’s. ISO 9001:2015 schept dus ook niet de verwachting dat elke keer als je een weg oversteekt (of een andere beslissing neemt), je een professioneel risicomanager bent.
Het grote verschil tussen het risicogebaseerde denken van ISO 9001:2015 en een risicomanagementsysteem (zoals de handreiking van ISO 31000), is dat risicomanagement explicieter, structureler en cyclisch gebeurt. ISO 9001 verlangt van je dat je de risico’s, gebaseerd op de context van jouw organisatie, in overweging neemt om zo tot, zoals ISO 9001 het noemt, ‘passende’ (appropriate) maatregelen te komen. Immers, iets is pas een ‘passende maatregel’ als er is nagedacht over de verschillende risico’s die het met zich meebrengt!
Kortom: risico’s die spelen in de context van jouw organisatie, hebben invloed op de beslissingen die je neemt. Zorg dat je zich bewust bent van die risico’s en overweeg ze om betere beslissingen te nemen.
Meer weten? Download hier de paper van ISO/TC 176 en hier de presentatie.