‘Risico’ is zo prominent aanwezig in ISO 9001:2015 dat je er niet meer omheen kunt. Vanzelfsprekend dat risicogestuurd auditen voor auditors de norm wordt. Dat dit echt toegevoegde waarde heeft, weet Onno Coster te vertellen. Hij deed al risicogestuurde audits voordat de term bestond.
Risicodenken is zijn tweede natuur. Dat komt doordat Onno Coster als werktuigbouwkundige van meet af aan met machineveiligheid bezig was. Hij deed er zijn voordeel mee als kwaliteitsmanager en nu als auditor. Het mooiste van risicogestuurd werken is dat je de focus op risico’s verankert in de dagelijkse praktijk, vindt Onno. ‘Je zoekt naar risico’s in het hele proces, hoe je die kunt tackelen en hoe je maatregelen daartegen inbouwt. Doordat je bedrijfsbreed kijkt, kun je de bedrijfsvoering echt verbeteren.’
Onno Coster startte zijn loopbaan als technisch consultant. Hij specialiseerde zich in machineveiligheid en werd vervolgens kwaliteitscoördinator, manager QHSE en manager QES bij technische bedrijven. Drie jaar geleden richtte hij zijn eigen bedrijf op. Hij werkt nu als zelfstandig auditor en adviseert bedrijven omtrent de nieuwe ISO 9001:2015.
Preventieve maatregelen
‘In de oude ISO 9001 was risicodenken verpakt in de woorden ‘preventieve maatregelen’’, zegt Coster. ‘Preventief werken betekent dat je risico’s in kaart brengt om ze te voorkomen. Alleen werd het in negen van de tien bedrijven correctief geïnterpreteerd. Correctief werken is voorkomen dat iets nog een keer gebeurt door een correctie in je proces aan te brengen. Preventief werken betekent voorkomen dat iets gebeurt dat nog niet is gebeurd. Nadenken over wat er zou kunnen gebeuren en of er een vergelijkbaar proces is waarin dat ook kan gebeuren, dat is preventief. Hoe voorkom en beperk ik de schade die kan ontstaan? Maar ook: welke kansen kan ik pakken? Die insteek hanteer ik al jaren. Wat ik ga auditen bepaal ik op basis van risico’s en kritische factoren in het proces.’
Risicogestuurd auditen
Bij risicogestuurd auditen kun je sneller focussen op de wezenlijke zaken, is Onno’s ervaring. ‘Bij een systeemaudit kijk je of wat je doet overeenkomt met de norm. Bij risicogestuurd auditen zoek je de kritische punten van een proces, waar zitten risico’s, wat is het doel van het proces en wat zijn de omstandigheden die die risico’s kunnen veroorzaken?
Bij risicogestuurd auditen zoek je de kritische punten van een proces, waar zitten risico’s, wat is het doel van het proces en wat zijn de omstandigheden die die risico’s kunnen veroorzaken?
Bij risicogestuurd auditen moet de auditor zich dus verdiepen in de doelen en context van de organisatie. Kennis daarover zit meestal in het bedrijf, in de hoofden van de werknemers. Ik stel dan ook vragen als: wat is jullie missie? Wat wil je doen in de markt? Hoe ziet die markt eruit? Wat doe je met de risico’s? En als een bedrijf bijvoorbeeld afhankelijk is van kritische leveranciers in een inkoopproces, zoeken we samen naar de oorzaak, hoe ze die hebben geïdentificeerd en wat ze ermee doen. Heeft het te maken met levertijden, technische complexiteit van producten of een unieke leverancier? Het is beter als een tweede, gecertificeerde leverancier stand-by staat. Bij hoogwaardige producten krijg je dat niet voor elkaar van de ene op de andere dag.’
Werkt de nieuwe ISO 9001 qua risicosturing?
ISO 9001:2015 noemt expliciet het risicogebaseerd denken. Drie jaar geleden veroorzaakte dit reuring onder kwaliteitsmanagers. Onno Coster is blij met de nieuwe norm, omdat bedrijven nu echt aan de slag gaan. Hij legt uit dat de nieuwe ISO 9001 is gebaseerd op de doelen, de context en stakeholders, en de risico’s van het bedrijf.
‘Zo eenvoudig is het. Hierop kun je het hele kwaliteitssysteem baseren. De auditor kijkt naar wat het bedrijf doet en waar het naartoe wil. Wat speelt er in- en extern waarmee je rekening moet houden, dat is de “context en de stakeholders”. De context gaat bijvoorbeeld over de economische situatie, de arbeidsmarkt, de afzetmarkt, de cultuur op de werkvloer. Hoe ziet het personeel er uit: technici, niet-technici, hoog of laag opgeleid, welke taal spreken ze, hoe gaan ze met elkaar om?
Focus op interne cultuur
Ik was laatst bij een bedrijf waar het management moeite had om door te dringen tot de werkvloer, waar een sterk onderling verbonden, haast gesloten groep mensen werkte. Het management durfde de productiviteit niet op te hogen, terwijl ze wisten dat het kon. Ze slaagden er dan ook niet in de resultaten van goede lean-verbeterprojecten door te voeren naar de werkvloer om een volgende slag te maken. De interne cultuur zorgde hier voor een communicatieprobleem, dat dus een risico vormde voor de productiviteit.’
Mensen moeten zicht krijgen op het hele bedrijfsproces. Ze moeten begrijpen wat de gevolgen zijn van hun werk. Haal muren weg en kijk wat voor het bedrijf het beste is.
De noodzaak tot focus op wat er intern speelt, betekent onder meer dat je procesgericht over de afdelingsgrenzen heen kijkt. ‘Belangrijk is dat mensen zicht krijgen op het hele bedrijfsproces. Dat ze begrijpen wat de gevolgen zijn van hun werk. Haal muren weg en kijk wat voor het bedrijf het beste is. Een mismatch in een productlijn kan funest zijn. Als een werknemer zijn machine ten volle wil benutten en alsmaar meer maakt dan nodig is, krijg je een ophoping verderop in de fabriek. De rol van de consultant is te zorgen dat werknemers begrijpen waar ze mee bezig zijn en voor welke doelen ze het doen. Dat is goed voor het bedrijf en voor de klant. Een kwaliteitssysteem moet ondersteunend zijn en prettig om mee te werken. Anders bereik je het tegenovergestelde. Meer regels betekent dan meer ellende. Als je mensen zelf hun regels laat bepalen, zullen ze zich niet meer ellende op de hals halen dan strikt noodzakelijk.
Professionals in hun waarde laten
De kunst is ook dat je professionals in hun waarde laat en ze hun werk op hun eigen manier laat doen, met in het achterhoofd dat het binnen de doelen van het bedrijf past. Als je de risico’s op kwaliteitsgebied goed in kaart hebt gebracht, er op de juiste manier mee omgaat en risicobeperkende maatregelen effectief in de processen hebt geïntegreerd, hoef je voor een audit niets extra’s te doen. Je ziet nog steeds dat bedrijven gauw nog wat dingen oppoetsen voor de audit. Dat zou niet nodig moeten zijn.’
Waarderend auditen
Onno Coster ziet vaak onbekendheid met risicogericht denken. ‘Het komt veel voor dat iemand de manier waarop hij dagelijks risico’s afdekt, niet als zodanig herkent. Als je lekker aan het werk bent, dan is het soms ook lastig jouw processen te doorgronden, risico’s te zoeken en je werk te veranderen. De kunst als auditor is mensen te laten zien dat je geen controle-instrument bent van de baas, maar dat je komt helpen prestaties te verbeteren. Waar ze vrolijk van worden is samen zoeken naar manieren om met risico’s om te gaan. Je kijkt niet meer naar de puntkomma’s, maar triggert ze na te denken. Ik laat zien dat het hun proces is. Als ze een procesbeschrijving hebben waarover ze niet tevreden zijn, leg ik het aan de kant en vraag wat hun wensen zijn. Op een positieve manier benaderen en mee laten denken, dat spreekt de auditee aan. Men noemt dat ook wel “waarderend auditen”.’
De kunst als auditor is mensen te laten zien dat je geen controle-instrument bent van de baas, maar dat je komt helpen prestaties te verbeteren.
In elk signaal zit een risico. Wat betekent dat in de praktijk? Onno Coster: ‘Ik vraag altijd een paar stappen door. Als ik hoor dat ze een bepaalde grondstof gebruiken, vraag ik waar die te krijgen is, in welke landen de leverancier zit en of ze weten wat de voorraad daar is. Als het een zeldzame grondstof is die over twee jaar misschien op is, denk je dan na over alternatieven? Is die alternatieve markt een onrustig land waar sancties heersen? Dat is de context waarnaar je altijd met een schuin oog moet kijken. Hoe ziet de markt er uit, politiek en economisch? Je ziet het aan auto fabrikanten. Ford heeft al gezegd dat ze niet in Mexico uitbreiden, maar in Detroit. Anderen die juist veel hebben geïnvesteerd in Mexico, zullen zich niet snel terugtrekken. In deze gevallen komen de risico’s vanuit de context, maar het kan ook kansen opleveren.’
Risicomanagement ondersteunt risicogestuurd auditen
Als een bedrijf al aan risicomanagement doet, dan zijn de mensen gewend met risico’s om te gaan. Maar dat komt Onno Coster bijna alleen tegen op financiële afdelingen. ‘Financiële risico’s worden over het algemeen wel in beeld gebracht, maar risicomanagement op het gebied van bijvoorbeeld klanttevredenheid en continuïteit staat nog in de kinderschoenen. Als je goed management verricht, maak je de PDCA-cirkel rond, dat betekent dat je ook evalueert of wat je doet effectief is. De voordelen daarvan komen naar boven bij een risicogestuurde audit.’
Als je goed management verricht, maak je de PDCA-cirkel rond, dat betekent dat je ook evalueert of wat je doet effectief is. De voordelen daarvan komen naar boven bij een risicogestuurde audit.
Dus bedrijfsbreed risicomanagement kan ondersteunend zijn aan risicogestuurd auditen. ‘Aan de andere kant zijn er duidelijke verschillen tussen risicomanagement en risicogestuurd werken. Risicomanagement is bezig met voorkómen en risicogestuurd werken probeert risico’s en de gevolgen daarvan te beperken.
Risicomanagement gaat meer over systemen, hoe je dingen moet doen, over verantwoordelijkheid wegnemen en meer in het systeem verankeren. Risicogestuurd werken is meer gericht op de verantwoordelijkheid bij de mensen leggen, zo min mogelijk regels om ze het werken niet te belemmeren, keuzes durven maken. Met risicomanagement probeer je vaak alles beet te pakken. Met risicogestuurd werken valt er niet aan te ontkomen dat je nog restrisico’s overhoudt, waar je dan op een bewust pragmatische manier mee omgaat. En daar zijn de risicogestuurde audits dan weer ondersteunend aan.’
BowTie-methode
Technici kwantificeren risico’s graag. Dat vinden ze fijn, zegt Onno Coster. ‘Je kent dan een getal toe aan de aspecten van risico’s, zoals het effect, de waarschijnlijkheid, de gevaarsafwending. Een getal wekt de indruk van objectiviteit, maar pas op, het is subjectief, want als iemand anders de inschatting doet, kan hij tot een andere uitkomst komen. Risico’s zijn in principe onzekerheden – je weet nooit wanneer, of en hoe vaak iets zal gebeuren en wat het gevolg is. Je bewust zijn van risico’s en vervolgens een keuze durven maken waarmee je aan de gang gaat, daar gaat het om.’
Onno Coster gebruikt de BowTie-methode, de vlinderstrikmethode, om risico’s in beeld te brengen. Hij legt uit: ‘Je stelt een ongewenste gebeurtenis centraal, bijvoorbeeld een inkoopproces waarbij een levering niet op tijd komt. Dat kan verschillende oorzaken hebben. Een leverancier is failliet, er is brand geweest, de voorraden zijn op, er is een transportprobleem, et cetera. De gevolgen zijn bijvoorbeeld dat het magazijn leegloopt, een klant ontevreden is, een project tot stilstand komt, je reputatie naar de maan gaat of dat je een certificaat kwijtraakt.
Risico’s zijn in principe onzekerheden, je weet nooit wanneer, of en hoe vaak iets zal gebeuren. Je bewust zijn van risico’s en keuzes durven maken, daar gaat het om.
Maatregelen
Tussen oorzaak en gebeurtenis kun je barrières plaatsen, de rode balkjes. Dat zijn maatregelen om het risico in te dammen. Bij het risico dat je leverancier failliet gaat, kun je als maatregel een tweede leverancier zoeken, of een buffervoorraad aanleggen. Aan elk blokje kun je een escalatiefactor toevoegen, een onderliggende maatregel, want elke maatregel heeft ook z’n zwakke kanten. Bijvoorbeeld een training of een controlemaatregel. En hetzelfde geldt voor de gevolgen. Je kunt een voorraad aanleggen zodat je de klant niet teleur hoeft te stellen. Of je kunt je verzekeren tegen financiële gevolgen van bijvoorbeeld een vertraging die de bedrijfsvoering in gevaar brengt.
Door op deze manier gestructureerd na te denken, komen er dingen boven die je helpen risico’s in kaart te brengen en maatregelen te bedenken. Overigens kun je de BowTie-methode ook gebruiken voor het oppakken van kansen ofwel positieve risico’s. Centraal komt dan een gewenste gebeurtenis te staan. In plaats van barrières praat je dan over stimuli om mogelijkheden en gevolgen positief te beïnvloeden.’
Door: Bernadette Koopmans
Bron: Sigma, nr. 2, april 2017
