Risicomanagement en ISO/ HKZ

Risicomanagement is een belangrijk onderdeel geworden van het kwaliteitsmanagementsysteem. In de nieuwe HKZ en ISO-normen neemt risicomanagement een belangrijke plaats in. Maar wat moet er nu precies geregeld worden volgens de normen?

We zijn in de oude HKZ-normen al gewend geraakt aan risicomanagement door de eis dat er voor kritische processen een prospectieve risico-inventarisatie moest worden uitgevoerd en er voor cliŽnten een individuele risico-inschatting moest worden gemaakt.

In de nieuwe HKZ-eisen is nog steeds de eis opgenomen dat risico’s in kaart moeten worden gebracht. Dit is onder andere als eis opgenomen in rubriek 1.1 Primaire processen en risico-inventarisatie en 1.2 Professioneel handelen en 2.5 Risico-inventarisatie op individueel cliŽntniveau. Door de koppeling tussen risico-inventarisatie en rubriek 1.1 lijkt het er op dat het bij het inventariseren van risico’s naast de cliŽntgebonden risico’s vooral gaat om risico’s in processen. Dit wordt verder in de hand gewerkt door HKZ rubriek 4.4 waar staat dat de organisatie ten aanzien van de cruciale processen de risico’s moet bepalen. Als we echter verder lezen zien we in rubriek 4.5 zien we dat het inventariseren van procesrisico’s en cliŽntgebonden risico’s niet voldoende is. We lezen in rubriek 4.5 namelijk dat de organisatie periodiek de risico’s en mogelijkheden moet bepalen in relatie tot:

-          interne en externe factoren

-          de eisen van klanten

-          de eisen van relevante stakeholders

-          de beschikbare interne middelen

-          de benodigde externe middelen

Vervolgens moet dan volgens HKZ worden bepaald welke risico’s en mogelijkheden planmatig moeten worden opgepakt en worden geŽvalueerd op effectiviteit. De teksten in ISO 9001:2015 komen op hetzelfde neer, alleen is de tekst daar iets abstracter.

De bedoeling van risicomanagement

Laten we eerst eens kijken naar wat eigenlijk de bedoeling is van de normen ten aanzien van risicomanagement. Waarom is het managen een onderdeel geworden van het kwaliteitsmanagementsysteem?

Om daar een goed antwoord op te kunnen geven, moeten we eerst stilstaan bij het eigenlijke doel van een kwaliteitsmanagementsysteem. Het kwaliteitsmanagementsysteem is bedoeld om systematisch op een georganiseerde wijze het kwaliteitsbeleid en de kwaliteitsdoelstellingen te kunnen realiseren en zo te voldoen aan de eisen, wensen en verwachtingen van klanten en stakeholders. 

ISO en HKZ gaan over risico’s en kansen (ISO 9001) of over risico’s en mogelijkheden (HKZ). Voor de goede orde: risico’s worden gedefinieerd als het effect van onzekerheid op het behalen van doelstellingen. Deze effecten kunnen negatief zijn, maar ook positief. Risico’s zijn dus niet per definitie negatief! Dit sluit aan bij risk management als basis van ondernemen, want ‘ondernemen is risico nemen’, dat wil zeggen omgaan met onzekerheden die positieve en negatieve effecten op de bedrijfsresultaten en daarmee het succes van de organisatie kunnen hebben.

Een andere manier van formuleren is te praten over kansen en bedreigingen. Maar kansen en bedreigingen voor wat, in relatie tot wat? Terug naar de bedoeling van het kwaliteitsmanagementsysteem. Het kwaliteitsmanagementsysteem is bedoeld als hulpmiddel voor het realiseren van het kwaliteitsbeleid en de kwaliteitsdoelstellingen en het voldoen aan de wensen en eisen van klanten en relevante stakeholders. In dat licht moeten we ook de kansen en bedreigingen zien. Welke mogelijke bedreigingen zijn er die er toe kunnen leiden dat het kwaliteitsbeleid niet wordt gerealiseerd, dat niet aan de eisen van klanten en stakeholders wordt voldaan. En vooral; welke bedreigingen kunnen er toe leiden dat niet kan worden voldaan aan wat met de cliŽnten is afgesproken? Maar ook: welke kansen zien we? Zien we mogelijke nieuwe klantgroepen, zien we mogelijkheden voor nieuwe diensten en producten, zien we mogelijkheden om bestaande werkwijzen te verbeteren, bijvoorbeeld met behulp van nieuwe technologieŽn?

Om kansen en bedreigingen goed in kaart te brengen, is het zaak om met een zekere regelmaat de volgende vragen te laten beantwoorden door het topmanagement:

-          welke zaken in onze organisatie kunnen er toe leiden dat we niet kunnen voldoen aan de eisen van klanten en relevante stakeholders?

-          welke zaken spelen er rondom onze organisatie die er toe kunnen leiden dat we niet kunnen voldoen aan de eisen van klanten en relevante stakeholders?

-          aan welke eisen van relevante stakeholders kan waarschijnlijk niet worden voldaan?

-          maar ook: welke mogelijke nieuwe doelgroepen zouden we kunnen bedienen?

-          welke mogelijkheden zien we voor nieuwe diensten en/ of producten?

-          welke processen kunnen we verbeteren of moeten we verbeteren?

Het ligt voor de hand om dit soort vragen deel te laten uitmaken van een terugkerende strategische meeting met het hoogste management. Maar laat het niet alleen bij het management. Gebruik vooral ook de ervaringen van medewerkers. Breng verschillende disciplines vanuit verschillende geledingen bij elkaar. Een manager ziet niet altijd de risico’s waar medewerkers mee te maken hebben en vice versa.

Op basis van deze inventarisatie kunnen we dan wat ISO 9001 noemt ‘het kwaliteitsmanagementsysteem plannen’. Hiermee wordt bedoeld het vaststellen van relevante processen die nodig zijn om bedreigingen te minimaliseren en kansen te benutten. Het is belangrijk om in de gaten te houden dat er volgens de normen geen formele methode hoeft te worden gebruikt voor het inventariseren van de risico’s en kansen. De organisatie kan zelf de methodes kiezen die zij passend en bruikbaar vindt. 

Risicogericht denken

Belangrijk bij het risicomanagement is dat het ook vooral gaat om een manier van denken: ‘risicogericht denken’. Er zijn naast strategische sessies legio momenten denkbaar waarin risicogericht denken belangrijk is. Denk bijvoorbeeld maar aan:

-          het plannen en uitvoeren van interne audits; wat zijn risicovolle processen en activiteiten, hoe kunnen de auditoren objectief vaststellen dat de kansen en bedreigingen in kaart zijn gebracht en zijn vertaald naar goede, effectieve maatregelen?

-          het omgaan met incidenten en ongewenste situaties. Wat kunnen we leren van incidenten en ongewenste situaties om risico’s en risicogericht denken verder aan te scherpen?

-          het definiŽren en opstarten van projecten. Waar zitten in de projecten mogelijke risico’s en moeten we alert op zijn?

-          het introduceren van nieuwe diensten en producten. Waar zitten de risico’s?

-          nieuwe huisvesting.

-          leveranciers en samenwerking met derden zoals ketenpartners.

-          het aantrekken en inwerken van nieuwe medewerkers.

-          het aanpassen van bestaande afspraken en documentatie.

-          het vaststellen van nieuwe afspraken en documentatie. 

Het gaat er iedere keer weer om, om alert te zijn op mogelijke consequenties van te nemen besluiten en uit te voeren handelingen. Wat zijn de mogelijke gevolgen van dit besluit voor ons kwaliteitsbeleid, voor ons vermogen om cliŽnten en stakeholders goed van dienst te zijn? Wat zijn de mogelijke consequenties van ons handelen als we er voor kiezen om de temperatuur in een koelkast niet langer te registreren of om niet op te schrijven in een cliŽntdossier dat een cliŽnt een probleem heeft met vast voedsel? Risicogericht denken is dus iets wat iedereen in de organisatie aangaat en eigenlijk een onderdeel moet zijn van de organisatiecultuur.

Wat nu concreet te doen?

1.     Kijk naar de ontwikkelingen binnen en buiten de organisatie; bieden die ontwikkelingen kansen, of zijn het juist bedreigingen?

2.     Kijk naar de eisen van relevante stakeholders; leiden die eisen wellicht tot nieuwe kansen of zijn ze een bedreiging?

3.     Bepaal welke processen cruciaal zijn om te kunnen voldoen aan de eisen van relevante stakeholders. Dit zijn per definitie altijd de primaire processen, een aantal belangrijke ondersteunende processen, zoals het aannemen, inzetten en ontwikkelen van medewerkers, het inkopen en eventueel onderhouden van materiaal, het beheren van gegevens en informatie (ICT, documentatie), financiŽle processen, etc. Kijk per proces wat het doel van het proces is en welke potentiŽle risico’s er zijn die er toe kunnen leiden dat het procesdoel niet wordt gerealiseerd.

4.     Nu komt het belangrijkste: gebruik de uitkomsten van stappen 1, 2 en 3 en stel vast welke kansen en bedreigingen het meest van invloed kunnen zijn op het realiseren van het (kwaliteits)beleid en de kwaliteitsdoelstellingen, de klanttevredenheid en het kunnen realiseren van de met cliŽnten afgesproken zorg en/of dienstverlening. Gebruik hierbij eenvoudige systemen als kans maal impact op een schaal van 1 t/m 5. De hoogste risico’s scoren dus maximaal 5 x 5 = 25 punten. Stel op basis van de scores prioriteiten vast en beperk het aantal risico’s tot een hanteerbaar aantal. Het is niet de bedoeling om een lijst met vele tientallen risico’s te krijgen. Dit is in de praktijk niet te managen. Liever een beperkt aantal risico’s goed beheerst, dan vele risico’s in kaart waar verder weinig tot niets mee gebeurt. Gebruik in deze eventueel ook uitkomsten van analyses van klachten, incidentmeldingen, calamiteiten, etc. Wellicht zeggen deze ‘feedbackinstrumenten’ iets over mogelijke risico’s binnen de organisatie.

5.     Stel op basis van de geprioriteerde acties concrete maatregelen vast voor de onacceptabele risico’s en voor het eventueel realiseren van nieuwe kansen en mogelijkheden. Kijk dan nog een keer kritisch en met gezond verstand naar de lijst met risico’s en maatregelen. Zijn dit nu de meest belangrijke risico’s of zien we nog iets over het hoofd?

6.     Voer de maatregelen door en maak ze onderdeel van het kwaliteitsmanagementsysteem. Als de risico’s en maatregelen goed gekozen zijn, ontstaat er in beginsel een zinvol, helpend kwaliteitsmanagementsysteem.

7.     Check periodiek de effectiviteit van de genomen maatregelen, bijvoorbeeld met behulp van een indicator of door middel van interne audits en beoordeel de resultaten van het risicomanagement tijdens de directie-beoordeling. Is het risicomanagement effectief, lukt het om meer risicogericht te denken? 

8.     Trek lering uit deze periodieke checks en beoordelingen en voer daar waar nodig verder verbeteringen door. Gebruik retrospectieve risico-inventarisaties (bijvoorbeeld op basis van klachten, uitingen van ongenoegens, incidenten, calamiteiten, audituitkomsten) om de risico’s verder aan te scherpen of te actualiseren. Blijf risico’s zoveel mogelijk zien in het licht van het kwaliteitsbeleid, de klanttevredenheid en het kunnen realiseren van de beoogde zorgdoelen.

 

Waarmee kunnen we u helpen?

Wilt u kosteloos van gedachten wisselen? Een offerte aanvragen? Bel of mail ons!

085 87 80 640

Ontvang ca. 8x per jaar onze Walvisgeluiden met praktische informatie en tips

Als bonus ontvangt u het e-book 'Praktisch Kwaliteismanagement', 60 pagina's boordevol tips en informatie over veiligheid, kwaliteit, audits en nog veel meer.

 

Op zoek naar oude Walvisgeluiden?
Klik op onderstaande afbeelding voor het archief.

Walvisgeluiden