Risico Management. Nieuw in de ISO 9001 / 14001

Transcriptie

1 Risico Management Nieuw in de ISO 9001 / Hans Snoeren, Senior Trainer / Lead Auditor Matthijs Dierick, Principal Trainer / Lead Auditor 3 december SAFER, SMARTER, GREENER

2 Agenda Waarom risicomanagement? Relatie tussen risicomanagement en de (nieuwe) ISO 9001 / normen; Algemene toepassing van de principes; Risico beheersing; Enkele methodieken. 2

3 Wilt u dit? 3

4 Wilt u dit? 4

5 5

6 6

7 Begripsbepaling risicomanagement Dekt verschillende ladingen: Financieel Industrie Accountancy Projecten Kwaliteit Milieu (Arbo) veiligheid Doel risicomanagement: Uitsluiten van onaanvaardbare risico s, zaken die uw organisatie niet aan kan Beheersen van risico s Impact beheersing Creëren van een veilige werkomgeving (kwaliteit, financieel, arbo, etc.) 7

8 Behoefte aan zekerheid Mens; vaak ontbreekt het aan een schade ervaring. Organisatie; noodzaak tot verdiepen in de risico s waaraan zij blootstaan. Zowel mens als organisatie proberen te interpreteren vanuit hun ervaringskader: Zo doen we het altijd ; Het gaat nooit mis ; Dat is de klant wel van ons gewend. 8

9 Risicomanagement komt voor uit: Behoefte aan veiligheid, zekerheid; Reactie op omvangrijke rampen; Verzekeraars; Wetgeving; Normgeving. Maar ook: Klanten stellen strengere eisen; Ontwikkelingen in de markt; Veranderingen in de organisatie. 9

10 Wat is de link tussen ISO 9001/14001 en Risicomanagement? Risico gebaseerd denken 10

11 Wat is de definitie van RISICO in de norm? Effect van onzekerheid Opmerking 1 bij de term: Een effect is een afwijking ten opzichte van de verwachting positief of negatief. Opmerking 2 bij de term: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie (3.8.2) over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet. Opmerking 3 bij de term: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen en gevolgen, of een combinatie daar van. Opmerking 4 bij de term: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet. 11

12 6 Planning Introductie in Risicogebaseerd denken Een van de belangrijkste wijzigingen in de ISO 9001:2015 is het risicogebaseerd denken. Dit is een kernaspect in de nieuwe norm. In de vorige versie van de ISO 9001 was Preventieve maatregelen (eigenlijk het vaststellen van risico s) een losse paragraaf. Het risicogebaseerd denken is een integraal onderdeel geworden van de norm. Door risicogebaseerd denken wordt een organisatie proactief i.p.v. reactief. Het voorkomen of beperken van ongewenste effecten is een goed voorbeeld van Continue Verbetering. Door te kijken naar risico s (die nog niet hebben plaats gevonden) wordt men proactief (is preventief). Risico management hoort thuis op verschillende niveaus. 12

13 Waar komt risicomanagement aan de orde in de ISO 9001:2015? Hoofdstuk 5 (Leiderschap) 5.1 Business strategy 5.1 Aim and intended outcome of MS Top management moet risicogebaseerd denken promoten (5.1.1) en moet ervoor zorgen dat risico s met effect op outputs en klanttevredenheid bepaald en beheerst worden (5.1.2) 4.1 Internal & external business context 4.2 Expectation of interested parties Hoofdstuk 6 (Planning) 6.1 Risk & opportunity assessment De organisatie is verplicht actie te nemen op geïdentificeerde risico s en kansen Hoofdstuk 8 (Uitvoering) Hoofdstuk 9 (Evaluatie van de prestaties) 5.1/8.1 Embedding into business processes & 6.2 objective 9 Monitoring & evaluation of performance Risico s moeten worden ingebed in de bedrijfsprocessen (inclusief beheersmaatregelen) De organisatie moet risico s meten, monitoren en de effectiviteit van de beheersmaatregelen vaststellen Hoofdstuk 10 (Verbetering) 10 Improvement De organisatie moet reageren op risico s en veranderingen 13

14 6.1 Acties om risico s en kansen op te pakken Bij het plannen van het kwaliteitsmanagementsysteem, moet de organisatie de in 4.1 genoemde onderwerpen en de in 4.2 genoemde eisen overwegen, en de risico s en kansen vaststellen die moeten worden aangepakt om: a) te bewerkstelligen dat het kwaliteitsmanagementsysteem zijn beoogde resulta(a)t(en) behaalt; b) de gewenste effecten te verhogen; c) ongewenste effecten te voorkomen of te verminderen; d) verbetering te bereiken. 14

15 Link tussen 4.1, 4.2, 6.1 en 8(.1) External Interested parties Needs & Expectations Issues in the organization Risks and opportunities 6.1 Internal Needs & Interested Expectations parties Incorporation into the management system

16 Link tussen 4.1, 4.2, 6.1 en 8(.1) External Interested parties Needs & Expectations Strategic Risk management Issues in the organization Risks and opportunities 6.1 Internal Needs & Interested Expectations parties Incorporation into the management system

17 Link tussen 4.1, 4.2, 6.1 en 8(.1) External Interested parties Needs & Expectations Strategic Risk management Issues in the organization Risks and opportunities 6.1 Internal Interested parties Needs & Expectations Incorporation into the management system Operational risk management and control 17

18 3 vragen Weet je wat je organisatie kan schaden (of voordeel kan opleveren)? Van deze elementen, weet je welke belangrijk zijn? Doe je genoeg om de belangrijke te managen? Kortom: Welke risico s en kansen beïnvloeden uw bedrijfsvoering? It takes 20 years to build a reputation, and five minutes to ruin it Warren Buffet, Chairman, Berkshire Hathaway 18

19 Zou vooruitzien een verschil gemaakt hebben? Emerging threat or problem Recognition Prioritisation Mobilisation Was it recognised? Ye s Was it prioritised? Yes Was a response mobilised? Yes No No No Should have recognised? Should have prioritised? Should have mobilised? No Yes No Yes No Yes Unavoidable surprise Predictable surprise Unavoidable surprise Predictable surprise Unavoidable surprise Predictable surprise Effective preventive response Harvard Business Review, March

20 6.1 Acties om risico s en kansen op te pakken De organisatie moet: a) acties plannen om deze risico s en kansen op te pakken; b) plannen op welke manier: 1) de acties in haar kwaliteitsmanagementsysteem processen worden geïntegreerd en geïmplementeerd (zie 4.4); 2) de doeltreffendheid van deze acties wordt geëvalueerd. OPMERKING 1. Opties om risico s op te pakken kunnen bestaan uit het vermijden van risico s, het nemen van risico s om een kans te benutten, het wegnemen van de bron van risico s, het veranderen van de waarschijnlijkheid of de gevolgen, het spreiden van risico s of het behouden van risico s na weloverwogen besluitvorming. 20

21 Risicomanagement: sleutelproces van het managementsysteem Dit is het sleutelproces van het managementsysteem. Ondanks dat de norm geen methodiek voor het vaststellen van risico s en kansen aangeeft, is er een noodzaak voor een gedefinieerd proces om een geschikt resultaat zeker te stellen. Om een betrouwbaar en herhaalbaar proces te bereiken is het aanbevelingswaardig om zowel het proces als de resultaten ervan te documenteren. Het moet een repeterend proces zijn om interne en externe wijzigingen te weerspiegelen (4.1, 4.2). De belangrijkheid van dit proces is toegenomen nu de clausule preventieve maatregelen uit de norm verdwenen is. Met betrekking tot risicobeperkende maatregelen: Voor maatregelen met betrekking tot procesbeheersing zie 8.1. Voor maatregelen die een verbeteractie vereisen, zou dit afgedekt worden door het proces van doelstellingen (zie 6.2). 21

22 Internationale standaard 22 9 oktober 2014

23 ISO 31000: Risicomanagement, principes en richtlijnen Vormt de basis voor risicomanagement; Is een niet certificeerbare norm, dus dient als hulpmiddel voor de implementatie van risico management. 23

24 Structuur van de ISO (figuur 3 uit de ISO 31000) 24

25 Geïdentificeerde risico s en kansen moeten gebruikt worden voor: Het vaststellen van welke (gedocumenteerde) procedures noodzakelijk zijn; Welke competentie eisen noodzakelijk zijn; Hoe het managementsysteem wordt ingericht; Etc. Eigenlijk kun je stellen: Elke maatregel in het managementsysteem moet er op gericht zijn een risico te beheersen 25

26 Wat of wie bepaalt dat een risico acceptabel is? Het bedrijf zelf; De cultuur van een land; Wet- en regelgeving. 26

27 Dus risico s zijn subjectief Wanneer is een risico acceptabel? DNV GL Definitie van Veiligheid: The absence of unacceptable Risks Dit stellen we vast via een Risk assessment of Safety assessment: Je mag dus risico s nemen wanneer dit volgens de wet en volgens je organisatie aanvaardbaar is. 27

28 Wanneer zijn risico s dan acceptabel? Hier komt risicomanagement om de hoek kijken: Hoe bepalen we de risico s? Hoe kwantificeren we deze? Welke criteria gebruiken we daarvoor? Welke conclusie trekken we? Stel: Het gevaar: Er is veel contant geld in de organisatie aanwezig. Het risico is: één van de medewerkers gaat er mee vandoor. De organisatie heeft besloten dit niet accpetabel te vinden. Hoe kun je het risico dan beheersbaar maken? 28

29 Voorbeeld hoe dit aangepakt kan worden. DNV GL Training heeft een tool ontwikkeld die gebruikt zou kunnen worden. Zoals eerder gezegd, de norm schrijft geen methode voor dus dit is slechts een suggestie. De tool zal u beschikbaar worden gesteld na deze klantendag 29

30 Risico en kansen tool: de disclaimer 30

31 Vaststellen interne en externe belanghebbende partijen (4.2) 31

32 Vaststellen van belangrijke punten (issues) 4.1 NB: Per belanghebbende partij kunnen er meerdere issues zijn. Meerdere belanghebbende partijen kunnen hetzelfde issue hebben. Het is belangrijk de belanghebbende specifiek te definiëren, anders loopt de analyse spaak in algemeenheden. 32

33 Van issues naar kansen en risico s 33

34 Van issues naar kansen en risico s Het is belangrijk vast te stellen in welke processen of welke afdelingen de risico s en kansen zich voor kunnen doen. Het is ook mogelijk dat hier meerdere processen of afdelingen bij betrokken zijn. In deze fase van de assessment gaat het spaak lopen wanneer intern bijvoorbeeld alleen medewerkers zijn geïdentificeerd. Probeer dit specifiek te maken naar groepen medewerkers of naar functies toe. Dit laatste geldt ook voor groepen als klanten, leveranciers. Probeer zo specifiek mogelijk te zijn, om verderop tot specifieke beheersmaatregelen te komen. 34

35 Maar welke kansen en risico s zijn relevant? 35

36 Maar welke kansen en risico s zijn relevant? In deze tool is gebruik gemaakt van de criteria zoals weergegeven op de volgende slides. U krijgt deze criteria NIET, u moet ze zelf definiëren: Een financieel risico van euro is voor een klein bedrijf heel anders dan voor een groot bedrijf; Het ene bedrijf heeft klanten, een ander bedrijf heeft 3 klanten; Etc. 36

37 Maar welke kansen en risico s zijn relevant? 37

38 Maar welke kansen en risico s zijn relevant? 38

39 Maar welke kansen en risico s zijn relevant? 39

40 Maar welke kansen en risico s zijn relevant? De tool is een oefentool en kan tot onwerkbare resultaten leiden. De scores zullen per organisatie moeten worden aangepast. Voor deze tool is de volgende indeling gekozen: 40

41 De nieuwe structuur van het managementsysteem 41

42 De tool is te gebruiken voor: Welke interne / externe belanghebbende partijen moeten we onderscheiden? Welke issues en risico s zijn daar mee gemoeid? Welke risico s vinden we belangrijk genoeg om aan te pakken? Planning maatregelen / aangeven welke maatregelen al zijn geïmplementeerd. De tool geeft niet aan dat de scores periodiek moeten worden beoordeeld, immers de norm verlangt ook dat de effectiviteit van de maatregelen wordt beoordeeld. Dit kan er toe leiden dat een risico eerst hoog scoort, maar dat het risico na verloop van tijd wordt afgewaardeerd, omdat de beheersmaatregelen hebben bewezen te werken. 42

43 Hoe beheersen we risico s (kwaliteit, veiligheid en milieu)? De Arbeidshygiënische strategie (veiligheid) biedt een goede leidraad voor de beheersing van elk willekeurig risico. Vrij vertaald krijg je dan zoiets als: 1. Eliminatie: We doen geen betalingen meer in het bedrijf. 2. Substitutie: geen contant geld meer, alleen nog pinnen. 3. Technische maatregelen: we schaffen een kluis aan met tijdslot. 4. Competence 5. Administratief: we stellen procedures op waarin we stellen dat je geen geld mag pakken. 6. PBM: We stellen toezicht in bij elke financiële handeling. 7. Noodhulp: Als iemand iets steelt schakelen we de politie in. 8. SO what Algemeen kun je stellen: Hoe dichter de maatregel bij de bron zit, hoe effectiever de beheersing! 43

44 Voorbeeld Gevaar: we leveren het verkeerde product aan de klant. Risico: de klant is niet tevreden / de klant gaat naar de concurrent. 44

45 Ook hier kunnen we dezelfde afweging weer maken: 1. Eliminatie: Moeten wij deze dienst wel leveren? 2. Substitutie: Is er een alternatieve manier van werken die de kans op foute levering verkleint? 3. Technische maatregelen: Alle producten krijgen een unieke barcode die moet worden gescand. 4. Administratief: We stellen een werkinstructie op waarin wordt benoemd hoe de producten gepikt moeten worden. 5. Toezicht: Voor verzenden controleren we elke zending. 6. Noodhulp: Als het verkeerde product verzonden is sturen we zo snel mogelijk het goede product na. 45

46 Ander voorbeeld: gewenste risico s Met beheersmaatregelen kun je op 2 manieren een risico beheersbaar maken: Je kunt de kans verkleinen dat een ongewenste situatie zich voor doet; Je kunt de effecten verkleinen van de ongewenste situatie. 46

47 Ander voorbeeld: preventie is beter dan herstellen Met beheersmaatregelen kun je op 2 manieren een risico beheersbaar maken: Je kunt de kans vergroten dat een gewenste situatie zich voor doet; Je kunt de effecten vergroten van de gewenste situatie. 47

48 Stappen die doorlopen moeten worden in risicomanagement (1) Gevaar Wat is het gevaar, de bron? Kennen we deze voldoende? Is er nader onderzoek noodzakelijk? Risico Wat kan er mis gaan (negatief)? Welke kansen hebben we (positief)? Gevolgen Kennen we de consequenties? Denk breed: bedrijfsvoering, toekomst, milieu, etc. 48

49 Stappen die doorlopen moeten worden in risicomanagement (2) Beoordeling van de gevolgen Zijn de gevolgen acceptabel (negatief)? Zijn de gevolgen groot genoeg (positief)? Wat zijn uw criteria hiervoor? Als alles naar wens is kunt u nu stoppen, maar is het risico onacceptabel dan. Beheers maatregelen Welke beheersmaatregelen kiest u? Welke condities zijn hiervoor noodzakelijk? Hanteert u de bron benadering? Hoe beoordeelt u de doeltreffendheid? Herbeoordeling Risico s Op basis van de implementatie van de beheersmaatregelen én de Herbeoordeling van de risico s kunt u nu vaststellen of het gewenste niveau gerealiseerd is. 49

50 Gehanteerde methodieken Onderscheid moet worden gemaakt in: Gevaar en risico identificatie methodieken: Hoe identificeer ik mogelijke gevaren? Hoe bepaal ik welke risico s daar bij horen? Bijvoorbeeld Bow Tie, FMEA, werkplek inspecties, ongevalsonderzoeken, SOAT, BSCAT etc. Risico beoordelingsmethodieken: Hoe waardeer ik het risico? Wat zijn mijn grenzen t.a.v. acceptabel / niet acceptabel? 50

51 Risico identificatie via: 51

52 Na het vaststellen (identificatie) van de risico s moeten ze beoordeeld worden Enkele TIPS: Beoordeel het risico zonder beheersmaatregelen mee te wegen (dus wat is het onbeheerste risico?); Bepaal welke beheersmaatregelen er al getroffen zijn. Dit is de Nul situatie De Nul situatie is de positie waar uw organisatie zich nu in bevindt. Dit is het uitgangspunt voor de Risico evaluatie. 52

53 Kies criteria die bij uw organisatie passen, kies criteria die betrekking hebben op het onderwerp. 53

54 Dus samengevat 54

55 Kortom: Risico s kunnen ook kansen zijn! Dus een risico kan zowel positief als negatief zijn; Uitgangspunt moet immer zijn wat u acceptabel vindt (en dat binnen de wettelijke kaders past); Hanteer éénduidige criteria, boven discussie verheven; Hanteer de bronaanpak benadering bij het vaststellen van de beheersmaatregelen (bedenk dat procedures laag in de hiërarchie staan!); Zijn de beheersmaatregelen qua omvang / complexiteit wel in lijn met de mogelijke consequenties (met hagel op een mug schieten); Hoe kunt u een uitspraak doen over de doeltreffendheid van uw beheersmaatregelen? Hoe beheerst en/of beperkt u de in hoofdstuk 6 geïdentificeerde risico s en bereikt u toch uw doelstellingen? Hoe laat ik wijzigingen beheerst verlopen en hoe bepaal ik de risico s Hoe beheers ik uitbestede processen m.b.t. doelstellingen en risico s Bedenk: geen enkele beheersing biedt zekerheid, maar werkt het voor u? 55

56 Nog enkele tips: De norm vereist geen documentatie t.a.v. de context analyse, maar wel dat deze als basis dient voor: Risico evaluatie; H8: Operationele beheersing; Moet worden geïmplementeerd en bijgehouden; Als input dient voor de directiebeoordeling. Maak het niet onnodig moeilijk en documenteer deze analyse; Laat de analyse enkele keren per jaar de revue passeren en hou hier registraties van bij; Maak onderscheid tussen strategische risico s (directie) en vertaal dit naar operationele risico s en wijs deze aan processen en managers toe; Bedenk dat al uw trainingen, procedures, werkinstructies zijn opgesteld omdat er kennelijk een risico beheerst moet worden! Blader ze eens door, stel de vraag welk risico / risico s hier aan ten grondslag liggen. Dekt het middel de lading? 56

57 Trainingen die DNV GL biedt op dit vlak zijn: Aanpassen managementsystemen aan de nieuwe ISO-normen; Proces- en operationeel Risicomanagement; Normkennis training ISO 9001 en/of ISO 14001; Bow Tie; SOAT/ BSCAT; ISO (in de loop van 2016). Kijk voor al onze trainingen op: 57

58 Ik dank u voor uw aandacht! 58

59 Vragen? Hans Snoeren en Matthijs Dierick SAFER, SMARTER, GREENER 59