Risicogebaseerd denken: onmisbaar voor ISO en kwaliteitsmanagement


Vraag tien MKB-ondernemers wat risicogebaseerd denken is en je krijgt tien verschillende antwoorden. Van "een risicomatrix invullen" tot "dat doet de kwaliteitsmanager toch?" In onze praktijk zien we dat risicogebaseerd denken bij 8 van de 10 organisaties niet verder komt dan een Excel-bestand dat bij de certificeringsaudit wordt afgestoft. Dat is niet alleen jammer — het is een gemiste kans.
Risicogebaseerd denken is namelijk geen administratieve exercitie. Het is de manier waarop succesvolle organisaties beslissingen nemen, kansen benutten en problemen voorkomen vóórdat ze ontstaan. Sinds de publicatie van ISO 9001:2015 is het een expliciet vereiste in clausule 6.1, en het vormt de rode draad door het hele managementsysteem. In dit artikel leg ik uit wat risicogebaseerd denken precies inhoudt, hoe je het praktisch toepast zonder in bureaucratie te verzanden, en waarom het verschil maakt tussen organisaties die hun certificaat ophangen en organisaties die er echt beter van worden.
Risicogebaseerd denken is een proactieve benadering waarbij je bij elke beslissing, elk proces en elke verandering bewust stilstaat bij mogelijke risico's én kansen. Het is geen aparte activiteit maar een manier van werken die verweven is met alles wat je doet.
De ISO 9000:2015 norm definieert risico als:
"Het effect van onzekerheid op een verwacht resultaat."
Belangrijk: die onzekerheid kan zowel negatief (bedreiging) als positief (kans) uitpakken. Veel organisaties focussen alleen op wat er mis kan gaan, maar risicogebaseerd denken gaat evengoed over het herkennen en benutten van kansen.
De drie kernprincipes zijn:
Concreet betekent dit dat een projectleider die een nieuwe leverancier selecteert automatisch nadenkt over wat er mis kan gaan (levertijd, kwaliteit, continuïteit) én welke kansen er liggen (innovatie, kostenbesparing, snellere doorlooptijd). Zonder dat daar een apart formulier voor nodig is.
ISO 9001:2015 introduceerde risicogebaseerd denken als vervanging van het oude concept "preventieve maatregelen" uit de 2008-versie. Clausule 6.1 — Acties om risico's en kansen op te pakken — is de spil waar alles om draait.
Wat eist clausule 6.1 concreet?
Wat clausule 6.1 nadrukkelijk niet eist, is een formeel risicomanagementproces of uitgebreide risicomatrix. De norm laat de methodiek bewust open. Dit is waar veel organisaties — en helaas ook veel consultants — de mist ingaan. Ze bouwen een bureaucratisch risicomanagementsysteem terwijl de norm vraagt om een denkwijze.
De input voor clausule 6.1 komt uit meerdere delen van het managementsysteem:
Bij een ISO 9001 audit kijkt de auditor niet naar je risicomatrix, maar naar hoe risicogebaseerd denken doorwerkt in je beslissingen. Kun je uitleggen waarom je bepaalde keuzes hebt gemaakt? Dan zit je goed.
Dit is een cruciaal onderscheid dat veel verwarring voorkomt. Risicogebaseerd denken en formeel risicomanagement (zoals ISO 31000) zijn niet hetzelfde.
| Aspect | Risicogebaseerd denken | Formeel risicomanagement |
|---|---|---|
| Karakter | Denkwijze, houding | Gestructureerd proces |
| Vereist door ISO 9001 | Ja (clausule 6.1) | Nee |
| Documentatie | Niet verplicht | Uitgebreide documentatie |
| Methodiek | Vrij te kiezen | Gestandaardiseerd (bijv. ISO 31000) |
| Geschikt voor | Elke organisatie | Complexe/risicovolle organisaties |
Voor de meeste MKB-organisaties is risicogebaseerd denken als werkwijze ruim voldoende. Je hoeft geen risicomanager aan te stellen of FMEA-analyses uit te voeren voor elk proces. Een taak risico analyse kan wel nuttig zijn voor specifieke operationele risico's, maar het is geen vereiste van ISO 9001.
Wil je organisatie wél een formeel risicomanagementproces opzetten — bijvoorbeeld omdat je in een sterk gereguleerde sector werkt — dan is ISO 31000 een uitstekend raamwerk. Maar voor ISO 9001-certificering is het geen vereiste.
Hoe maak je risicogebaseerd denken concreet zonder er een papieren tijger van te maken? Deze vijf stappen helpen je op weg:
Begin bij het begin: welke interne en externe factoren beïnvloeden je organisatie? Denk aan marktomstandigheden, wetgeving, technologische ontwikkelingen, personeelsbeschikbaarheid en klantverwachtingen. Dit is tegelijkertijd de input voor clausule 4.1 van ISO 9001.
Loop je kernprocessen langs en stel bij elk proces twee vragen: "Wat kan hier misgaan?" en "Welke kansen laten we hier liggen?" Betrek de mensen die het proces daadwerkelijk uitvoeren — zij weten het best waar de knelpunten zitten.
Niet elk risico verdient dezelfde aandacht. Maak een eenvoudige inschatting: hoe waarschijnlijk is het dat dit risico zich voordoet, en wat is de impact als het gebeurt? Een simpele hoog/midden/laag-beoordeling volstaat voor de meeste MKB-organisaties.
Voor de significante risico's bepaal je wat je eraan doet. Je hebt vier opties: vermijden (stop de activiteit), verminderen (neem maatregelen), overdragen (verzeker of besteed uit), of accepteren (bewust niets doen). Wijs elke maatregel toe aan een eigenaar.
Beoordeel periodiek of je maatregelen effectief zijn. Zijn er nieuwe risico's bijgekomen? Zijn eerder geïdentificeerde risico's veranderd? Dit sluit naadloos aan op de PDCA-cyclus voor continue verbetering.
Risicogebaseerd denken is niet uniek voor ISO 9001. Het is een kernprincipe in vrijwel alle ISO-managementsysteemnormen, maar de focus verschilt:
| Norm | Risicofocus | Specifieke eis |
|---|---|---|
| ISO 9001 | Kwaliteitsrisico's voor producten/diensten | Clausule 6.1 |
| ISO 14001 | Milieurisico's en compliance-verplichtingen | Clausule 6.1.1-6.1.4 |
| ISO 27001 | Informatiebeveiligingsrisico's | Clausule 6.1.2 (formele risicobeoordeling vereist) |
| ISO 45001 | Arbeidsrisico's en gevaren | Clausule 6.1.1-6.1.4 |
Belangrijk verschil: ISO 27001 eist wél een formeel risicomanagementproces met gedocumenteerde risicobeoordeling en risicobehandeling. Dit gaat verder dan het risicogebaseerd denken van ISO 9001. Wie een ISMS opzet, moet dus een stap extra zetten.
Werk je met meerdere normen tegelijk? Dan is risicogebaseerd denken een uitstekend verbindend element. Je kunt één risicobeoordelingsmethodiek hanteren die zowel kwaliteits-, milieu- als informatiebeveiligingsrisico's afdekt.
Hier wordt het interessant — en eerlijk. In onze ervaring met meer dan 100 MKB-organisaties zien we drie patronen die risicogebaseerd denken laten mislukken:
Patroon 1: Het risico-Excel-kerkhof De kwaliteitsmanager maakt een uitgebreide risicomatrix met 80+ risico's, compleet met scores en maatregelen. Het document wordt besproken bij de certificeringsaudit en daarna nooit meer geopend. Niemand op de werkvloer weet dat het bestaat, laat staan dat het beslissingen beïnvloedt.
Patroon 2: De angstcultuur Risico's worden alleen benoemd als ze al zijn opgetreden. Medewerkers melden geen potentiële problemen omdat ze bang zijn voor de gevolgen. Het systeem is reactief in plaats van proactief — precies het tegenovergestelde van wat de norm beoogt.
Patroon 3: De consultant-afhankelijkheid Een externe consultant heeft de risicoanalyse opgesteld als onderdeel van het certificeringstraject. De organisatie heeft er geen eigenaarschap over en kan niet uitleggen waarom bepaalde risico's zijn geïdentificeerd. Bij de eerste surveillance-audit valt dit door de mand.
De oplossing is verrassend eenvoudig: maak risicogebaseerd denken onderdeel van bestaande overlegstructuren. Geen apart risico-overleg, maar een vast agendapunt bij het werkoverleg: "Welke risico's of kansen zien we deze week?" Dat kost 5 minuten en levert meer op dan een kwartaalrapport.
Een installatiebedrijf met 35 medewerkers waarmee we werkten, had moeite met risicogebaseerd denken. Ze hadden een risicomatrix met 52 risico's, maar de projectleiders op locatie namen geen risico-overwegingen mee in hun dagelijkse werk.
We hebben het omgedraaid. In plaats van een centraal risicoregister introduceerden we drie eenvoudige vragen die projectleiders zichzelf stellen bij elk nieuw project:
Deze drie vragen werden onderdeel van het projectstart-overleg. Het resultaat na 6 maanden:
De auditor was onder de indruk, niet vanwege een uitgebreide risicomatrix, maar omdat de projectleiders konden uitleggen hoe ze risico's meewegen in hun dagelijkse beslissingen. Dát is wat de norm bedoelt.
Je hebt geen dure software nodig. Dit zijn de methoden die we het meest effectief zien bij MKB-organisaties:
Ideaal als startpunt voor strategische risico's en kansen. Combineer het met je contextanalyse voor clausule 4.1.
Bij incidenten of afwijkingen: stel vijf keer de vraag "waarom?" om bij de grondoorzaak te komen. Voorkomt dat je symptomen bestrijdt in plaats van oorzaken.
Een 3x3 of 5x5 matrix met waarschijnlijkheid en impact. Houd het simpel — als je meer dan 20 risico's in je matrix hebt, ben je waarschijnlijk te gedetailleerd bezig.
Voor complexere risico's: visualiseer de oorzaken links, het risico in het midden, en de gevolgen rechts. Maatregelen plaats je als "barrières" tussen oorzaak en risico (preventief) of tussen risico en gevolg (reactief).
Loop regelmatig door de organisatie en praat met medewerkers over wat er goed gaat en wat beter kan. Dit levert vaak meer bruikbare risico-informatie op dan welke spreadsheet dan ook.
Belangrijk: de beste tool is de tool die je team daadwerkelijk gebruikt. Een simpele whiteboard-sessie bij het koffieapparaat is effectiever dan een geavanceerde risicomanagement-applicatie die niemand opent.
Gebruik deze checklist om te toetsen of risicogebaseerd denken in jouw organisatie echt werkt:
Risicogebaseerd denken is geen bureaucratisch moetje maar een krachtige manier om betere beslissingen te nemen. De norm vraagt geen uitgebreide risicomatrices of formele risicomanagementprocessen — het vraagt een organisatie die bewust omgaat met onzekerheid en daar proactief op handelt.
De organisaties die hier het meest succesvol in zijn, hebben drie dingen gemeen: ze houden het simpel, ze betrekken hun mensen, en ze integreren het in bestaande werkwijzen in plaats van er een apart systeem van te maken.
Met de verwachte komst van ISO 9001:2026 wordt risicogebaseerd denken alleen maar belangrijker. Organisaties die nu investeren in een pragmatische aanpak, zijn straks klaar voor de toekomst.
Wil je weten hoe jouw organisatie scoort op risicogebaseerd denken, of zoek je begeleiding bij het verankeren ervan in je managementsysteem? Neem contact op met MaasISO — we denken graag met je mee.