Toen ISO 9001:2015 verscheen, was een van de meest besproken vernieuwingen de introductie van risico-gebaseerd denken (in het Engels: risk-based thinking). Het concept verving de verplichte preventieve maatregelen uit de oude versie — maar het gaat verder dan dat. Risico-gebaseerd denken is geen afzonderlijke activiteit die je jaarlijks uitvoert; het is een manier van denken die verweven is met alle aspecten van je kwaliteitsmanagementsysteem. In dit artikel leggen wij uit wat dit betekent, hoe je het implementeert en hoe je kansen en risico’s effectief beheert.
Wat is risico-gebaseerd denken?
Risico-gebaseerd denken houdt in dat je bij het plannen en uitvoeren van processen proactief nadenkt over wat er mis kan gaan (risico’s) en wat er beter kan (kansen). Het doel is om je QMS zo in te richten dat ongewenste effecten worden voorkomen of beperkt, en dat gunstige kansen worden benut.
ISO 9001:2015 stelt risico-gebaseerd denken in clausule 6.1 als expliciete eis. De norm schrijft echter niet voor hoe je dit moet aanpakken — er is geen vereiste voor een formeel risicomanagementsysteem of een specifieke methode. De norm verwacht wel dat je:
- Risico’s en kansen in je context heeft geïdentificeerd
- Hebt bepaald hoe je ermee omgaat
- Acties heeft gepland om risico’s te beheersen en kansen te benutten
- De effectiviteit van die acties evalueert
Risico-gebaseerd denken is daarmee een continu proces, verweven met planning, procesontwerp en verbeterbeheer.
Risico’s en kansen identificeren
De eerste stap is het identificeren van relevante risico’s en kansen. Gebruik hiervoor de context van je organisatie (clausule 4) als vertrekpunt: de interne en externe factoren die je QMS beïnvloeden, en de behoeften en verwachtingen van je belanghebbenden.
Mogelijke bronnen voor risicoidentificatie:
- Resultaten van de stakeholderanalyse (welke partijen hebben invloed op je kwaliteit?)
- Historische nonconformiteiten en klachten (wat ging er in het verleden mis?)
- Markt- en omgevingsveranderingen (nieuwe regelgeving, technologische wijzigingen, concurrentie) | - Procesanalyse (waar zitten de kwetsbare schakels in je primaire processen?)
Een eenvoudige risicoanalyse werkt met drie dimensies:
| Dimensie | Toelichting |
|---|---|
| Kans van optreden | Hoe waarschijnlijk is het dat dit risico zich voordoet? (laag / midden / hoog) |
| Impact | Wat is het gevolg als het risico optreedt? (laag / midden / hoog) |
| Risicoscore | Kans x Impact = prioriteit voor behandeling |
Vergeet bij de analyse ook de kansen niet. Een kans is een gunstige omstandigheid die je kunt benutten om je doelstellingen beter te realiseren: een nieuwe technologie die je proces verbetert, een groeiende vraag in een marktsegment, een partnership dat je kwaliteit versterkt.
Tip: Betrek proceseigenaren actief bij de risicoanalyse. Zij kennen de dagelijkse praktijk en signaleren risico’s die vanuit het management niet altijd zichtbaar zijn. Maak risicoanalyse een teamactiviteit, niet een deskresearch-exercitie.
Risico’s behandelen: vier strategieën
Zodra risico’s zijn geïdentificeerd en geprioriteerd, bepaal je per risico welke behandelingsstrategie je toepast. ISO 9001 schrijft de strategie niet voor, maar gangbare opties zijn:
Vermijden: Het risico elimineren door de activiteit of het proces te stoppen of aan te passen. Geschikt voor hoge-impact risico’s die onacceptabel zijn.
Beperken: Maatregelen nemen die de kans van optreden of de impact verlagen. De meest gebruikte strategie in een QMS-context.
Overdragen: Het risico overdragen aan een derde partij, bijvoorbeeld via verzekering of contractuele afspraken met een leverancier.
Accepteren: Bewust besluiten het risico te accepteren zonder aanvullende maatregelen, omdat de kosten van behandeling niet opwegen tegen het risico. Documenteer deze beslissing altijd expliciet.
Risico-gebaseerd denken integreren in je QMS
Risico-gebaseerd denken heeft alleen waarde als het daadwerkelijk is ingebed in de dagelijkse werking van het QMS — niet als een jaarlijks ritueeltje. Integreer het op de volgende manieren:
In procesontwerp: Denk bij het beschrijven van processen na over de risico’s die aan elk processtap verbonden zijn. Verwerk beheersmaatregelen direct in de procedure.
In doelstellingsbepaling: Koppel risico’s expliciet aan kwaliteitsdoelstellingen. Een risico op leveringstijdoverschrijding leidt tot een doelstelling op leverbetrouwbaarheid.
In de managementreview: Bespreek de ontwikkeling van het risicoprofiel periodiek. Zijn er nieuwe risico’s bijgekomen? Zijn bestaande risico’s veranderd van prioriteit?
In interne audits: Laat auditors expliciet toetsen of risico’s zijn geïdentificeerd en of de gekozen beheersmaatregelen effectief zijn.
Veelgestelde vragen
Moet ik een formeel risicoregister bijhouden voor ISO 9001?
ISO 9001 verplicht geen specifiek formaat of instrument. Een risicoregister — of dat nu een spreadsheet, een eenvoudig document of een softwaretool is — is in de praktijk de meest gebruikte en auditeerbare methode. Het stel je in staat om risico’s te documenteren, opvolging te bewaken en trends te analyseren.
Wat is het verschil tussen risico-gebaseerd denken in ISO 9001 en een volledig risicomanagementframework zoals ISO 31000?
ISO 9001 vraagt proportioneel risicobeheer gericht op kwaliteitsdoelstellingen — geen volledig strategisch risicomanagement. ISO 31000 biedt een breder kader voor enterprise risk management. Voor de meeste MKB-organisaties is wat ISO 9001 vraagt ruimschoots voldoende. Grotere organisaties of organisaties in gereguleerde sectoren kunnen baat hebben bij een uitgebreider framework.
Risico-gebaseerd denken is de ruggengraat van een modern, effectief QMS. Het verschuift de focus van reageren op problemen naar het proactief voorkomen ervan — en dat is precies de geest van ISO 9001:2015. Wil je weten hoe Control One je helpt risico-gebaseerd denken structureel in te bedden in je kwaliteitsmanagementsysteem? Bekijk ons aanbod op /prijzen.
Klaar om te starten met ISO 9001?
Control One structureert je kwaliteitsmanagementsysteem: procesoverzichten, KPI’s, interne audits en directiebeoordeling. Alles op één plek.
Gerelateerde artikelen
Continu verbeteren met ISO 9001: de PDCA-cyclus
Plan-Do-Check-Act is de motor van ISO 9001. Hoe maak je de PDCA-cyclus werkend in je organisatie?
Een effectief kwaliteitsbeleid opstellen voor ISO 9001
Het kwaliteitsbeleid is de strategische verklaring van je QMS. Zo schrijft je er een die écht werkt.
Documentbeheer in ISO 9001: wat is verplicht?
ISO 9001 stelt eisen aan gedocumenteerde informatie. Wat is verplicht en hoe organiseert je het efficiënt?
ISO 9001 certificaat behouden: jaarlijkse verplichtingen
Certificering is een begin, niet een eindpunt. Wat je jaarlijks moet doen om ISO 9001 gecertificeerd te blijven.