14001

Risico Management Nieuw in de ISO 9001 / 14001 Hans Snoeren, Senior Trainer / Lead Auditor Matthijs Dierick, Principal Trainer / Lead Auditor 3 december 2015

1

DNV GL © 2014

1.0

SAFER, SMARTER, GREENER

Agenda Waarom risicomanagement?

Relatie tussen risicomanagement en de (nieuwe) ISO 9001 / 14001 normen; Algemene toepassing van de principes; Risico beheersing; Enkele methodieken.

2

DNV GL © 2014

Wilt u dit?

3

DNV GL © 2014

Wilt u dit?

4

DNV GL © 2014

5

DNV GL © 2014

6

DNV GL © 2014

Begripsbepaling risicomanagement Dekt verschillende ladingen:

7



Financieel



Industrie



Accountancy



Projecten



Kwaliteit



Milieu



(Arbo) veiligheid

DNV GL © 2014

Doel risicomanagement: 

Uitsluiten van onaanvaardbare risico’s, zaken die uw organisatie niet aan kan



Beheersen van risico’s



Impact beheersing



Creëren van een ‘veilige’ werkomgeving (kwaliteit, financieel, arbo, etc.)

Behoefte aan zekerheid 

Mens; vaak ontbreekt het aan een schade ervaring.



Organisatie; noodzaak tot verdiepen in de risico’s waaraan zij blootstaan.



Zowel mens als organisatie proberen te interpreteren vanuit hun ervaringskader:

8

–

“Zo doen we het altijd”;

–

“Het gaat nooit mis”;

–

“Dat is de klant wel van ons gewend”.

DNV GL © 2014

Risicomanagement komt voor uit: 

Behoefte aan veiligheid, zekerheid;



Reactie op omvangrijke rampen;



Verzekeraars;



Wetgeving;



Normgeving.

Maar ook: 

Klanten stellen strengere eisen;



Ontwikkelingen in de markt;



Veranderingen in de organisatie.

9

DNV GL © 2014

Wat is de link tussen ISO 9001/14001 en Risicomanagement?



10

Risico gebaseerd denken

DNV GL © 2014

Wat is de definitie van RISICO in de norm?  Effect van onzekerheid

 Opmerking 1 bij de term: Een effect is een afwijking ten opzichte van de verwachting – positief of negatief.  Opmerking 2 bij de term: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie (3.8.2) over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.

 Opmerking 3 bij de term: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen en gevolgen, of een combinatie daar van.  Opmerking 4 bij de term: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.

11

DNV GL © 2014

6

Planning

 Introductie in Risicogebaseerd denken  Een van de belangrijkste wijzigingen in de ISO 9001:2015 is het risicogebaseerd denken. Dit is een kernaspect in de nieuwe norm.

 In de vorige versie van de ISO 9001 was “Preventieve maatregelen” (eigenlijk het vaststellen van risico’s) een losse paragraaf. Het risicogebaseerd denken is een integraal onderdeel geworden van de norm.  Door risicogebaseerd denken wordt een organisatie proactief i.p.v. reactief. Het voorkomen of beperken van ongewenste effecten is een goed voorbeeld van Continue Verbetering. Door te kijken naar risico’s (die nog niet hebben plaats gevonden) wordt men proactief (is preventief).  Risico management hoort thuis op verschillende niveaus.

12

DNV GL © 2014

Waar komt risicomanagement aan de orde in de ISO 9001:2015? 5.1 Business strategy

Hoofdstuk 5 (Leiderschap) 5.1 Aim and intended outcome of MS

4.1 Internal & external business context

Top management moet risicogebaseerd denken promoten (5.1.1) en moet ervoor zorgen dat risico’s met effect op outputs en klanttevredenheid bepaald en beheerst worden (5.1.2)

4.2 Expectation of interested parties

Hoofdstuk 6 (Planning)

6.1 Risk & opportunity assessment

De organisatie is verplicht actie te nemen op geïdentificeerde risico’s en kansen

Hoofdstuk 8 (Uitvoering)

5.1/8.1 Embedding into business processes & 6.2 objective

Risico’s moeten worden ingebed in de bedrijfsprocessen (inclusief beheersmaatregelen)

Hoofdstuk 9 (Evaluatie van de prestaties)

9 Monitoring & evaluation of performance

Hoofdstuk 10 (Verbetering)

10 Improvement

13

DNV GL © 2014

De organisatie moet risico’s meten, monitoren en de effectiviteit van de beheersmaatregelen vaststellen

De organisatie moet reageren op risico’s en veranderingen

6.1 Acties om risico’s en kansen op te pakken 6.1.1 Bij het plannen van het kwaliteitsmanagementsysteem, moet de organisatie de in 4.1 genoemde onderwerpen en de in 4.2 genoemde eisen overwegen, en de risico’s en kansen vaststellen die moeten worden aangepakt om:

a) te bewerkstelligen dat het kwaliteitsmanagementsysteem zijn beoogde resulta(a)t(en) behaalt; b) de gewenste effecten te verhogen; c) ongewenste effecten te voorkomen of te verminderen; d) verbetering te bereiken.

14

DNV GL © 2014

Link tussen 4.1, 4.2, 6.1 en 8(.1)

External Interested parties

Needs & Expectations

Issues in the organization Internal Interested parties

Risks and opportunities

Needs & Expectations

Incorporation into the management system 4.2 15

DNV GL © 2014

6.1

4.1

4.2

8.1

Link tussen 4.1, 4.2, 6.1 en 8(.1) Strategic Risk management External

Needs &

Interested

Expectations

parties

Issues in the organization Internal Interested parties

Risks and opportunities

Needs & Expectations

Incorporation into the management system 4.2 16

DNV GL © 2014

6.1

4.1

4.2

8.1

Link tussen 4.1, 4.2, 6.1 en 8(.1) Strategic Risk management External

Needs &

Interested

Expectations

parties

Issues in the organization Internal Interested parties

Risks and opportunities

Needs & Expectations

Incorporation into the management system 4.2 17

DNV GL © 2014

6.1

4.1

8.1

Operational risk management and control

3 vragen  Weet je wat je organisatie kan schaden (of voordeel kan opleveren)?

 Van deze elementen, weet je welke belangrijk zijn?  Doe je genoeg om de belangrijke te managen?

 Kortom: Welke risico’s en kansen beïnvloeden uw bedrijfsvoering?

“It takes 20 years to build a reputation, and five minutes to ruin it” Warren Buffet, Chairman, Berkshire Hathaway

18

DNV GL © 2014

Zou vooruitzien een verschil gemaakt hebben? Emerging threat or problem Recognition Was it recognised?

Prioritisation

No

Should have recognised?

Ye s

Was it prioritised?

No

Should have prioritised?

No

Unavoidable surprise

Yes

Predictable surprise

No

Unavoidable surprise

Yes

Predictable surprise

No

Unavoidable surprise

Yes

Predictable surprise

Yes Mobilisation Was a response mobilised?

No

Should have mobilised?

Yes Effective preventive response 19

DNV GL © 2014

Harvard Business Review, March 2003

6.1 Acties om risico’s en kansen op te pakken 6.1.2 De organisatie moet:

a) acties plannen om deze risico’s en kansen op te pakken; b) plannen op welke manier: 1) de acties in haar kwaliteitsmanagementsysteem processen worden geïntegreerd en geïmplementeerd (zie 4.4); 2) de doeltreffendheid van deze acties wordt geëvalueerd. OPMERKING 1. Opties om risico’s op te pakken kunnen bestaan uit het vermijden van risico’s, het nemen van risico’s om een kans te benutten, het wegnemen van de bron van risico’s, het veranderen van de waarschijnlijkheid of de gevolgen, het spreiden van risico’s of het behouden van risico’s na weloverwogen besluitvorming.

20

DNV GL © 2014

Risicomanagement: sleutelproces van het managementsysteem Dit is het sleutelproces van het managementsysteem.  Ondanks dat de norm geen methodiek voor het vaststellen van risico’s en kansen aangeeft, is er een noodzaak voor een gedefinieerd proces om een geschikt resultaat zeker te stellen.  Om een betrouwbaar en herhaalbaar proces te bereiken is het aanbevelingswaardig om zowel het proces als de resultaten ervan te documenteren.  Het moet een repeterend proces zijn om interne en externe wijzigingen te weerspiegelen (4.1, 4.2).  De belangrijkheid van dit proces is toegenomen nu de clausule preventieve maatregelen uit de norm verdwenen is.  Met betrekking tot risicobeperkende maatregelen: – Voor maatregelen met betrekking tot procesbeheersing zie 8.1.

– Voor maatregelen die een verbeteractie vereisen, zou dit afgedekt worden door het proces van doelstellingen (zie 6.2).

21

DNV GL © 2014

Internationale standaard

22

DNV GL © 2014

9 oktober 2014

ISO 31000: Risicomanagement, principes en richtlijnen  Vormt de basis voor risicomanagement;

 Is een niet certificeerbare norm, dus dient als hulpmiddel voor de implementatie van risico management.

23

DNV GL © 2014

Structuur van de ISO 31000

24

DNV GL © 2014

(figuur 3 uit de ISO 31000)

Geïdentificeerde risico’s en kansen moeten gebruikt worden voor:  Het vaststellen van welke (gedocumenteerde) procedures noodzakelijk zijn;

 Welke competentie eisen noodzakelijk zijn;  Hoe het managementsysteem wordt ingericht;  Etc.

Eigenlijk kun je stellen: Elke maatregel in het managementsysteem moet er op gericht zijn een risico te beheersen

25

DNV GL © 2014

Wat of wie bepaalt dat een risico acceptabel is?

 Het bedrijf zelf;

 De cultuur van een land;

 Wet- en regelgeving.

26

DNV GL © 2014

Dus risico’s zijn subjectief

Wanneer is een risico acceptabel? DNV GL Definitie van Veiligheid: “The absence of unacceptable Risks” Dit stellen we vast via een Risk assessment of Safety assessment:

Je mag dus risico’s nemen wanneer dit volgens de wet en volgens je organisatie aanvaardbaar is.

27

DNV GL © 2014

Wanneer zijn risico’s dan acceptabel? Hier komt risicomanagement om de hoek kijken:

 Hoe bepalen we de risico’s?  Hoe kwantificeren we deze? Welke criteria gebruiken we daarvoor?  Welke conclusie trekken we?

Stel:  Het gevaar: Er is veel contant geld in de organisatie aanwezig.  Het risico is: één van de medewerkers gaat er mee vandoor. De organisatie heeft besloten dit niet accpetabel te vinden. Hoe kun je het risico dan beheersbaar maken?

28

DNV GL © 2014

Voorbeeld hoe dit aangepakt kan worden.  DNV GL Training heeft een tool ontwikkeld die gebruikt zou kunnen worden.

 Zoals eerder gezegd, de norm schrijft geen methode voor dus dit is slechts een suggestie.  De tool zal u beschikbaar worden gesteld na deze klantendag

29

DNV GL © 2014

Risico en kansen tool: de disclaimer

30

DNV GL © 2014

Vaststellen interne en externe belanghebbende partijen (4.2)

31

DNV GL © 2014

Vaststellen van belangrijke punten (issues) 4.1

NB: Per belanghebbende partij kunnen er meerdere issues zijn.

Meerdere belanghebbende partijen kunnen hetzelfde issue hebben. Het is belangrijk de belanghebbende specifiek te definiëren, anders loopt de analyse spaak in algemeenheden. 32

DNV GL © 2014

Van issues naar kansen en risico’s

33

DNV GL © 2014

Van issues naar kansen en risico’s  Het is belangrijk vast te stellen in welke processen of welke afdelingen de risico’s en kansen zich voor kunnen doen. Het is ook mogelijk dat hier meerdere processen of afdelingen bij betrokken zijn.  In deze fase van de assessment gaat het spaak lopen wanneer intern bijvoorbeeld alleen “medewerkers” zijn geïdentificeerd. Probeer dit specifiek te maken naar groepen medewerkers of naar functies toe. Dit laatste geldt ook voor groepen als ”klanten”, ”leveranciers”. Probeer zo specifiek mogelijk te zijn, om verderop tot specifieke beheersmaatregelen te komen.

34

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?

35

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?  In deze tool is gebruik gemaakt van de criteria zoals weergegeven op de volgende slides.  U krijgt deze criteria NIET, u moet ze zelf definiëren: – Een financieel risico van 10.000 euro is voor een klein bedrijf heel anders dan voor een groot bedrijf; – Het ene bedrijf heeft 1.000 klanten, een ander bedrijf heeft 3 klanten; – Etc.

36

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?

37

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?

38

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?

39

DNV GL © 2014

Maar welke kansen en risico’s zijn relevant?  De tool is een oefentool en kan tot onwerkbare resultaten leiden. De scores zullen per organisatie moeten worden aangepast. Voor deze tool is de volgende indeling gekozen:

40

DNV GL © 2014

De nieuwe structuur van het managementsysteem

41

DNV GL © 2014

De tool is te gebruiken voor:  Welke interne / externe belanghebbende partijen moeten we onderscheiden?

 Welke issues en risico’s zijn daar mee gemoeid?  Welke risico’s vinden we belangrijk genoeg om aan te pakken?  Planning maatregelen / aangeven welke maatregelen al zijn geïmplementeerd.

 De tool geeft niet aan dat de scores periodiek moeten worden beoordeeld, immers de norm verlangt ook dat de effectiviteit van de maatregelen wordt beoordeeld. Dit kan er toe leiden dat een risico eerst hoog scoort, maar dat het risico na verloop van tijd wordt afgewaardeerd, omdat de beheersmaatregelen hebben bewezen te werken.

42

DNV GL © 2014

Hoe beheersen we risico’s (kwaliteit, veiligheid en milieu)? De Arbeidshygiënische strategie (veiligheid) biedt een goede leidraad voor de beheersing van elk willekeurig risico. Vrij vertaald krijg je dan zoiets als: 1. Eliminatie: We doen geen betalingen meer in het bedrijf. 2. Substitutie: geen contant geld meer, alleen nog pinnen. 3. Technische maatregelen: we schaffen een kluis aan met tijdslot. 4. Competence 5. Administratief: we stellen procedures op waarin we stellen dat je geen geld mag pakken. 6. PBM: We stellen toezicht in bij elke financiële handeling.

7. Noodhulp: Als iemand iets steelt schakelen we de politie in. 8. SO wHAT Algemeen kun je stellen: Hoe dichter de maatregel bij de bron zit, hoe effectiever de beheersing! 43

DNV GL © 2014

Voorbeeld  Gevaar: we leveren het verkeerde product aan de klant.

 Risico: de klant is niet tevreden / de klant gaat naar de concurrent.

44

DNV GL © 2014

Ook hier kunnen we dezelfde afweging weer maken: 1. Eliminatie: Moeten wij deze dienst wel leveren? 2. Substitutie: Is er een alternatieve manier van werken die de kans op foute levering verkleint? 3. Technische maatregelen: Alle producten krijgen een unieke barcode die moet worden gescand. 4. Administratief: We stellen een werkinstructie op waarin wordt benoemd hoe de producten gepikt moeten worden. 5. Toezicht: Voor verzenden controleren we elke zending.

6. Noodhulp: Als het verkeerde product verzonden is sturen we zo snel mogelijk het goede product na.

45

DNV GL © 2014

Ander voorbeeld: gewenste risico’s Met beheersmaatregelen kun je op 2 manieren een risico beheersbaar maken:

 Je kunt de kans verkleinen dat een ongewenste situatie zich voor doet;  Je kunt de effecten verkleinen van de ongewenste situatie.

46

DNV GL © 2014

Ander voorbeeld: preventie is beter dan herstellen Met beheersmaatregelen kun je op 2 manieren een risico beheersbaar maken:

 Je kunt de kans vergroten dat een gewenste situatie zich voor doet;  Je kunt de effecten vergroten van de gewenste situatie.

47

DNV GL © 2014

Stappen die doorlopen moeten worden in risicomanagement (1)

Gevaar

Risico

• Wat is het gevaar, de bron? • Kennen we deze voldoende? Is er nader onderzoek noodzakelijk?

• Wat kan er mis gaan (negatief)? • Welke kansen hebben we (positief)?

• Kennen we de consequenties? • Denk breed: bedrijfsvoering, toekomst, milieu, etc. Gevolgen

48

DNV GL © 2014

Stappen die doorlopen moeten worden in risicomanagement (2)

Beoordeling van de gevolgen

Beheers maatregelen

Herbeoordeling

Risico’s

49

DNV GL © 2014

•Zijn de gevolgen acceptabel (negatief)? •Zijn de gevolgen groot genoeg (positief)? •Wat zijn uw criteria hiervoor? •Als alles naar wens is kunt u nu stoppen, maar is het risico onacceptabel dan….

•Welke beheersmaatregelen kiest u? •Welke condities zijn hiervoor noodzakelijk? •Hanteert u de bron benadering? •Hoe beoordeelt u de doeltreffendheid?

•Op basis van de implementatie van de beheersmaatregelen én de •Herbeoordeling van de risico’s kunt u nu vaststellen of het gewenste niveau gerealiseerd is.

Gehanteerde methodieken Onderscheid moet worden gemaakt in:

 Gevaar en risico identificatie methodieken: – Hoe identificeer ik mogelijke gevaren? – Hoe bepaal ik welke risico’s daar bij horen?

Bijvoorbeeld Bow Tie, FMEA, werkplek inspecties, ongevalsonderzoeken, SOAT, BSCAT etc.

 Risico beoordelingsmethodieken: – Hoe waardeer ik het risico? – Wat zijn mijn grenzen t.a.v. acceptabel / niet acceptabel?

50

DNV GL © 2014

Risico identificatie via:

51

DNV GL © 2014

Na het vaststellen (identificatie) van de risico’s moeten ze beoordeeld worden Enkele TIPS:

 Beoordeel het risico zonder beheersmaatregelen mee te wegen (dus wat is het onbeheerste risico?);  Bepaal welke beheersmaatregelen er al getroffen zijn. Dit is de ‘Nul’ situatie De Nul situatie is de positie waar uw organisatie zich nu in bevindt. Dit is het uitgangspunt voor de Risico evaluatie.

52

DNV GL © 2014

Kies criteria die bij uw organisatie passen, kies criteria die betrekking hebben op het onderwerp.

53

DNV GL © 2014

Dus samengevat

54

DNV GL © 2014

Kortom:  Risico’s kunnen ook kansen zijn! Dus een risico kan zowel positief als negatief zijn;  Uitgangspunt moet immer zijn wat u acceptabel vindt (en dat binnen de wettelijke kaders past);

 Hanteer éénduidige criteria, boven discussie verheven;  Hanteer de bronaanpak benadering bij het vaststellen van de beheersmaatregelen (bedenk dat procedures laag in de hiërarchie staan!);  Zijn de beheersmaatregelen qua omvang / complexiteit wel in lijn met de mogelijke consequenties (met hagel op een mug schieten);  Hoe kunt u een uitspraak doen over de doeltreffendheid van uw beheersmaatregelen?  Hoe beheerst en/of beperkt u de in hoofdstuk 6 geïdentificeerde risico’s en bereikt u toch uw doelstellingen?  Hoe laat ik wijzigingen beheerst verlopen en hoe bepaal ik de risico’s  Hoe beheers ik uitbestede processen m.b.t. doelstellingen en risico’s Bedenk: geen enkele beheersing biedt zekerheid, maar werkt het voor u? 55

DNV GL © 2014

Nog enkele tips:  De norm vereist geen documentatie t.a.v. de context analyse, maar wel dat deze als basis dient voor: – Risico evaluatie; – H8: Operationele beheersing; – Moet worden geïmplementeerd en bijgehouden; – Als input dient voor de directiebeoordeling.  Maak het niet onnodig moeilijk en documenteer deze analyse;  Laat de analyse enkele keren per jaar de revue passeren en hou hier registraties van bij;  Maak onderscheid tussen strategische risico’s (directie) en vertaal dit naar operationele risico’s en wijs deze aan processen en managers toe;  Bedenk dat al uw trainingen, procedures, werkinstructies zijn opgesteld omdat er kennelijk een risico beheerst moet worden! Blader ze eens door, stel de vraag welk risico / risico’s hier aan ten grondslag liggen. Dekt het middel de lading?

56

DNV GL © 2014

Trainingen die DNV GL biedt op dit vlak zijn:  Aanpassen managementsystemen aan de nieuwe ISO-normen;

 Proces- en operationeel Risicomanagement;  Normkennis training ISO 9001 en/of ISO 14001;  Bow Tie;  SOAT/ BSCAT;

 ISO 45001 (in de loop van 2016). Kijk voor al onze trainingen op:

 www.DNVBA.nl/Training

57

DNV GL © 2014

Ik dank u voor uw aandacht!

58

DNV GL © 2014

Vragen?

Hans Snoeren en Matthijs Dierick [email protected] - [email protected] 010 29 22 700

www.dnvba.nl

SAFER, SMARTER, GREENER

59

DNV GL © 2014