Kwaliteitsmanagement en risicomanagement kruipen steeds dichter naar elkaar toe. Zo vereist de nieuwe ISO 9001 kwaliteitsnorm het expliciet omgaan met kwaliteitsrisico’s. Toonaangevende bedrijven in de Nederlandse hightechindustrie brengen deze combinatie al in de praktijk. Jacco van Dam, Head of Quality van ruimtevaartbedrijf Airbus Defence and Space Netherlands, en Gijsbert Portheine, Department Head HSEQ&RC van offshorebedrijf Bluewater, leggen uit hoe zij dat doen.
In de afgelopen decennia hebben kwaliteitsmanagement en risicomanagement zich grotendeels los van elkaar ontwikkeld. In de jaren negentig van de vorige eeuw ging elke zichzelf respecterende organisatie serieus aan de slag met kwaliteitsmanagement. Risicomanagement maakte vooral na de eeuwwisseling een opmars. Door opeenvolgende crises is dit de laatste jaren in een stroomversnelling geraakt. Inmiddels is er ook de nodige kritiek op risicomanagement, omdat veel organisaties ondanks hun afdeling risicomanagement in serieuze problemen zijn gekomen. De laatste jaren lijken kwaliteit en risico elkaar steeds beter te vinden, om in combinatie met elkaar de vaak ambitieuze organisatiedoelen te realiseren. De nieuwe ISO 9001:2015 helpt hierbij. Hoe gaat dit in de Nederlandse hightechindustrie in zijn werk? Jacco van Dam (Airbus Defence and Space Netherlands) en Gijsbert Portheine (offshorebedrijf Bluewater) vertellen over hun ervaringen.
Hoe werkt de combinatie kwaliteits-risicomanagement in jullie hightechpraktijk?
Jacco van Dam: ‘Onze ruimtevaarttechnologie moet in extreme omstandigheden presteren. Soms wel 15 jaar lang. Dat maakt dat kwaliteits- en risicomanagement al langer zijn geïntegreerd. Zo is in de ECSS-standaard, opgesteld door de European Cooperation for Space Standardization, het zogeheten critical item control vast onderdeel van het kwaliteitsprogramma van een project. Doordat deze critical items input vormen voor het bepalen van de risico’s, is er een directe relatie met risicomanagement. Met de daaruit voortvloeiende risicoclassificaties stellen we vervolgens de prioriteit van ieder kritisch punt vast. Verder komen risicomitigatie-acties overeen met de controlemaatregelen voor critical items. Met het uitvoeren van de vereiste kwaliteitsactiviteiten wordt dus meteen aan risicomanagement gedaan. Andersom zorgt het meenemen van de risico’s in kwaliteit ervoor dat de focus op de belangrijkste kwaliteitsaspecten en -zorgen blijft liggen. Zo waarborgen we dat we op efficiënte wijze aan de belangrijkste kwaliteitscriteria voldoen; we houden de aandacht gericht én de kosten binnen de perken. Ons kwaliteitsteam meet daarnaast ook de performance van onze projecten. Met een dashboard volgen we onder andere de financiële gegevens en voortgang en ook de mate waarin aan “Actief Risico & Opportunity Management” wordt gedaan.’
Gijsbert Portheine: ‘Bij Bluewater hebben we vanuit kwaliteitsmanagement gekeken naar de business process flows, de wijze waarop onze processen lopen. Dit heeft ons geholpen om de meest kritische stappen te identificeren. Datgene wat die kritische stappen bedreigt is een geprioriteerd risico. Dergelijke interne risico’s worden via corporate risicomanagement in de gaten gehouden. We hebben het dan vooral over aspecten als: Waar liggen de cruciale handovers van de ene naar de andere afdeling? Waar worden bijzaken voor hoofdzaak aangezien? Andersom leidt risicomanagement op bedrijfsniveau tot prioritering van de aan te pakken bedrijfsonderdelen. Daar richten we ons op met interne audits. Ligt het probleem al op tafel, dan geven we direct kwaliteitsondersteuning. Vanuit efficiencyoverwegingen zetten we de oplossing dan al in gang, om die in een later stadium aan een audit te onderwerpen en zo te toetsen op effectiviteit. De afdeling HSEQ (Health, Safety, Environment en Quality Assurance) voert bij ons beide programma’s uit: het bewaken van de kwaliteit én het op het juiste niveau inzichtelijk maken van de bedrijfsrisico’s. Dit is bij ons voortgekomen uit het feit dat de Health-afdeling – vanuit de RI&E van bijvoorbeeld de Arbowet – en de Safety-afdeling al veel ervaring hebben met risico-inventarisatie. Dezelfde gereedschappen kunnen dus worden ingezet op het corporate organisatieniveau. Daarbij komt dat de kwaliteitsafdeling al gewend is te kijken naar de doelen van de organisatie en daarbij evalueert of de werkprocessen, gegeven de randvoorwaarden, voldoende zekerheid bieden op het behalen van die doelen. Een essentiële voorwaarde is dat zowel een kwaliteitsafdeling als een afdeling die bedrijfsrisico’s evalueert en bewaakt, onafhankelijk zijn van enig bedrijfsonderdeel. De HSEQ-afdeling zou in het organigram dus direct onder de CEO moeten hangen. En dat is bij Bluewater ook zo.’
De ervaringen uit beide bedrijven laten zien dat kwaliteitsmanagement en risicomanagement elkaar scherp houden en versterken. Bij Bluewater zijn ze zelfs verenigd in één afdeling. Toch blijkt het daadwerkelijk implementeren van zowel kwaliteitsmanagement als risicomanagement in de werkprocessen vaak geen sinecure. Op papier, in de vorm van een organisatieschema, procedures en protocollen, is het vrij eenvoudig. In de praktijk vraagt het continue aandacht voor de relevante en kritische onderdelen in het productieproces.
Welke obstakels komen jullie tegen bij het combineren van kwaliteits- en risicomanagement?
Gijsbert Portheine: ‘Drie punten spelen bij ons. Ten eerste, een suggestie ter verbetering wordt nogal eens opgevat als ongewenste kritiek. Dit geldt trouwens zowel voor kwaliteitsbeheersing als voor risicomanagement. Men ziet risicobeheersing vooral als iets operationeels voor de werkvloer en daarmee ziet men niet altijd het strategische belang. Ook is ons bedrijf eigenlijk pas een paar jaar expliciet bezig met deze aanpak. Dus waar haal je de tips & tricks vandaan over wat wel en wat niet werkt op het gebied van effectieve risicobeheersing? Veel bedrijven in onze peer group hebben bijvoorbeeld toch echt andere ‘grootste risico’s’, vanwege een ander personeelsbeleid, andere financiering en dergelijke.’
Jacco van Dam: ‘Onze producten moeten aan extreem hoge eisen voldoen en als ze eenmaal gelanceerd zijn – letterlijk de ruimte in – dan kunnen we er niet meer bij. Zorgvuldigheid is dan ook van groot belang. Dat maakt het verleidelijk om volle aandacht aan álle aspecten te besteden. De uitdaging is om dit te beperken en de aanpak af te stemmen op de mate van risico van de kritische onderdelen.’
Uit deze reacties volgt een aantal klassiekers voor effectief risicomanagement: Welke keuzes maak je ten aanzien van de beheersing en de inzet van middelen? Hoe wordt het gezien als middel voor verbetering, in plaats van als kritiek op professionals? Op welke manier zorg je ervoor dat kwaliteitsrisico’s, die je met de ISO-NEN-definitie kunt omschrijven als ‘effecten van onzekerheid op kwaliteitsdoelen’, tóch de aandacht krijgen die nodig is om ze tijdig en effectief te kunnen beheersen? Hoe organiseer je dit in de hectiek van de dagelijkse praktijk?
Hoe lossen jullie knelpunten op?
Jacco van Dam: ‘Voor offertes voor omvangrijke projecten interviewen we collega’s uit verschillende disciplines om alle risico’s en kansen binnen het project te identificeren en rapporteren. Per punt beoordelen we of er een actie nodig is om het risico te verlagen. Zo worden binnen het project alle voorziene risico’s behandeld. Dit zorgt ervoor dat alle aspecten worden bekeken, dat er prioriteiten worden gesteld en dus de aandacht wordt gericht op de belangrijkste onderdelen. Van belang is om het team goed te betrekken, zodat er een gezamenlijk beeld ontstaat en het héle team zich richt op de belangrijkste zaken. Dit aspect heeft voortdurend aandacht nodig.’
Gijsbert Portheine: ‘Het begint met goed nadenken over hoe je de risicoboodschap brengt en je in eerste instantie richten op die mensen in de organisatie die je boodschap willen horen. Zoeken naar waar de vruchtbare bodem ligt voor dit risico-onderwerp in het bedrijf en van daaruit verder werken. Een essentieel onderdeel van dergelijke communicatie is altijd dat kwaliteit op álle niveaus belangrijk is. Verder leren we van andere organisaties en sectoren, door rond te kijken in het brede terrein van risicobeheersing. Zo bracht een symposium op Nyenrode me op het spoor van het jaarrapport van de AIVD, waarin duidelijk werd hoe belangrijk cybercrime als risico is…’
Verschillende benaderingen dus, met als rode draad aandacht voor teamwork en gerichte communicatie. Zowel kwaliteits- als risicomanagement kosten tijd en geld. Het vergt investeringen in procedures, opleidingen en rapportages. Een valkuil is dat het middel vooral een doel op zich wordt, vanuit de roep om verantwoording.
Bluewater
De core business van offshore bedrijf Bluewater uit Hoofddorp is het ontwerpen, bouwen, installeren en onderhouden van drijvende productie- en opslagsystemen voor de olie- en gasindustrie. Ook verzorgt Bluewater operationeel en logistiek management. Sinds de oprichting in 1978 is Bluewater een technologische front runner in de internationale olie- en gasindustrie. |
Wat levert de combinatie de business nu eigenlijk op?
Gijsbert Portheine: ‘Het levert realiteitszin op bij mijn auditors. Alleen ‘gelijk hebben’ levert ze immers niets op. Wat wél werkt is het helpen bedenken van een maatregel die werkt en als waardevol wordt gezien. Dit geeft tevens inzicht in de organisatie, bijvoorbeeld met wie je het snelste kunt schakelen. En het levert een aantal nieuwe acties op om ons in te dekken tegen nieuw geïdentificeerde risico’s, zoals cybercrime. Verder leidt de combinatie tot een groeiend kwaliteitsbesef in het bedrijf. En tot uniforme prioriteit van het onderwerp in de organisatie. Zo kwamen alle (deel)maatregelen die al waren genomen in het kader van kwaliteitsbeheersing naar boven in het initiële onderzoek naar risico’s. Die beheersmaatregelen hebben nu een plek gekregen in het risicomanagementprogramma. Daarop aansluitend hebben we nieuwe maatregelen genomen.’
Jacco van Dam (Airbus): ‘Door de nieuwe ISO-norm komt kwaliteit nog dichter bij de business en performance.’
Jacco van Dam vervolgt: ‘Het combineren van kwaliteits- en risicomanagement levert een meer geïntegreerde aanpak op. Risicomanagement is niet meer alleen iets voor de projectmanager doordat vanuit kwaliteit het hele team betrokken wordt. Uiteindelijk moet het zorgen voor kwaliteit op alle aspecten. In techniek, tijd en geld.’
Welke ontwikkelingen zien jullie in de combinatie kwaliteits- en risicomanagement?
Jacco van Dam: ‘We zijn gestart met de toepassing van Advanced Product Quality Planning (APQP) in een project. Belangrijk hierin is de planning van producten die critical to quality zijn. Een essentiële activiteit is risicoanalyse, om de risicovolle onderdelen te selecteren die via APQP worden gevolgd. Met deze methodiek worden de twee vakgebieden dus nog explicieter geïntegreerd.’
Gijsbert Portheine: ‘Bij ons zie je dat risicomanagement in de normen als een koepel over kwaliteitsmanagement wordt geschoven.’
De nieuwe ISO-normen krijgen allemaal dezelfde structuur, de zogenoemde High Level Structure (HLS). Het is een basistekst met kerneisen waaraan alle managementsystemen minimaal moeten voldoen. Aspecten als risicomanagement en compliance management zijn hiermee verankerd in de HLS. Dit zorgt voor een integratie van expliciet risicogebaseerd denken en werken in alle ISO-kwaliteitsnormen.
| Airbus Defence and Space Netherlands
Airbus Defence and Space Netherlands in Leiden levert een vitale bijdrage aan de internationale ruimtevaartindustrie op de werkterreinen Zonnepanelen, Lanceerstructuren, Instrumenten & Systemen. Deze hightechproducten maken missies mogelijk die van groot belang zijn voor ons dagelijks leven op aarde, zoals satellietnavigatie, communicatie, klimaatonderzoek en het permanent monitoren van de luchtkwaliteit. |
Wat is de rol van de nieuwe, risicogestuurde ISO-richtlijnen en normen in jullie praktijk?
Gijsbert Portheine: ‘De nieuwe normen zetten in ieder geval een stap richting helderheid. In het management moet iedereen zijn commitment ermee kunnen aantonen. Als je dat niet kunt, is dat een non conformity, punt. Het betekent ook dat deze nieuwe normen ons dwingen en helpen te sturen op het beheersen van risico’s. De neiging bestaat om bij een ‘nieuw’ geïdentificeerd risico toch te gaan voor de gebruikelijke maatregelen. Terwijl door iedere situatie met een verse blik te bekijken, waarschijnlijk tot een meer efficiënte maatregel leidt, wat tot afname van het risico leidt. Wat mij betreft worden quality assurance (QA) en quality control (QC) nog verder uit elkaar getrokken. QA wordt verder geduwd naar waar het thuishoort: in de boardroom. Hoewel de oude client focus en continuous improvement benaderingen hun nut hebben bewezen, is nu de onderliggende vraag centraal komen te staan: Welke aspecten zijn het meest van invloed op het feit dat wij onze doelen wel of niet halen? En daarmee ben je weliswaar op hoog niveau bezig, maar het stelt ons in staat om sneller in te spelen op het veranderende speelveld.’
Jacco van Dam: ‘Risicosturing vanuit ISO-normen zorgt ervoor dat het onderwerp risicomanagement meer op de agenda komt bij bedrijven. Door het vanuit kwaliteit te benaderen kan het meer procesmatig en hierdoor geborgd worden ingevuld. Het stimuleert de aandacht voor risico- & opportunitymanagement. Positief vind ik dat kwaliteit hierdoor nog dichter bij de business en performance komt en hiermee grotere meerwaarde kan laten zien.’
Gijsbert Portheine (Bluewater): ‘Kwaliteit is bij uitstek een vakgebied waar iederen van elkaar kan leren.
Wat kunnen organisaties in andere sectoren leren van jullie ervaringen?
Jacco van Dam: ‘Het procesmatig koppelen van kwaliteits- en risicomanagement, dat wil zeggen de uitkomst van de eerste gebruiken bij de tweede en andersom, zorgt voor een geïntegreerde aanpak. Dit komt zowel de kwaliteit als de beheersing van risico’s ten goede.’
Gijsbert Portheine: ‘Kwaliteit is bij uitstek een vakgebied waar iedereen van elkaar kan leren. Dit omdat er zoveel verschillende aspecten zijn om in uit te blinken. QA-professionals hebben verschillende talenten. Maar juist de oude “recepten” bij ons, in de vorm van procedures, werden als letter-van-de-wet gezien. Dan ligt het voor de hand dat ze als minimum compliance-eis worden gebruikt. Het gezond verstand moet altijd aanwezig blijven. In compliance denken werkt verlammend in een sector die continu moet innoveren, alleen al om bij te blijven.’
Martin van Staveren helpt als adviseur vanuit risicobureau VSRM organisaties met het ontwikkelen en inbedden van innovatief risicomanagement. Hij is daarnaast kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente, redacteur Risicosturing van Sigma, en auteur van Risicogestuurd Werken in de Praktijk (Vakmedianet, 2015).
Bron: Sigma, nr. 3, juni 2016
