De 5 Stappen van een degelijk Risicobeheerssysteem in relatie tot de nieuwe ISO 14001.

In onze blog over het risicogebaseerd denken in ISO 14001, hadden we aangegeven, dat we nog dieper zouden ingaan op het “risicobeheerssysteem” zelf. Hierbij dus…

 

In deze blog hadden we gezegd dat één van de kerneisen is voor zowel ISO 9001 als ISO 14001, dat er risicogebaseerd moet worden gedacht in het opzetten en beheren van het managementsysteem.

 

Risico gebaseerd denken verzekert dat risico’s worden beschouwd doorheen het hele management systeem. Door risico gebaseerd te denken zullen risico’s en kansen op een gestructureerde wijze aangepakt worden. Om er zeker van te zijn, dat dit op een gestructureerde manier gebeurt, kan er referentie gehaald worden in de standaard rond het beheersen van risico’s.

Binnen ISO wordt het risicobeheerssysteem omschreven in de ISO 31000 standaard. In zowel ISO 14001 als 9001 wordt niet rechtstreeks naar de ISO 31000 geattendeerd, maar er wordt wel naar verwezen in de “Bibliography”.

Let op! Deze norm gaat dus over risicobeheer (Risk Management) en niet over risicobeoordeling (Risk Assessment)!

Deze blog zal het hebben over welke stappen er volgens de norm moeten genomen worden om een succesvol risicomanagement te introduceren. Ook zullen we het hebben over de manier waarop het risicogebaseerd denken in de ISO 14001 zit verweven, als dit proces wordt gevolgd. Omgekeerd zullen we ook bespreken wat aan het milieubeheerssysteem kan toegevoegd worden opdat de risicobeheersing in lijn zou zijn met de ISO 31000.
industrie-risico-iso-14001

 

Het risicobeheerssysteem volgens ISO 31000 bestaat uit 5 stappen:

Vooraf: Communicatie en consultatie

Communicatie en consultatie met interne- en externe belanghebbenden speelt doorheen het hele proces van het risicobeheerssysteem: van het identificeren van de risico’s tot het voorstellen van de maatregelen om de risico’s te beheren en de bepaling of deze voorgestelde maatregelen voldoende zijn.

Het is dus belangrijk dat alle betrokken partijen in de verschillende stadia worden betrokken bij het risicobeheerssysteem zodat zij de juiste input kunnen geven in het proces en het voor hen ook duidelijk is wat hun eigen verantwoordelijkheden zijn!

Best wordt hiervoor een communicatie- en consultatie plan wordt opgemaakt. Onze ervaring leert dat dit op een eenvoudige manier met een communicatiematrix kan gebeuren.

In de ISO 14001 norm worden de vereisten rond communicatie gegeven in 7.4.2 en 7.4.3. Deze communicatie moet zowel intern als extern gebeuren. In het kader van het “risicogebaseerd denken” is het daarom niet meer dan logisch om de informatie uit het risicobeheerssysteem mee te integreren in de communicatie rond het milieubeheerssysteem.

  1. De context (=stap 1)

Over het vaststellen van de context in een milieubeheerssysteem hebben we reeds een eerdere blog gewijd. Wij verwijzen graag naar deze.

Bij het vaststellen van de context van het risicobeheerssysteem in relatie tot het milieubeheerssysteem, mag men logischerwijze veronderstellen dat het over één en dezelfde context kan gaan. Volgens ISO 31000 worden verschillende vereisten gesteld, die in het ISO 14001 systeem rechtstreeks of onrechtstreeks onder “Planning” vallen: zoals daar zijn:context

  • De wettelijke vereisten
  • De objectieven
  • De scope
  • De middelen
  • De verantwoordelijken
  • Het gezag
  • Identificeren en specificeren welke beslissingen moeten genomen worden

 

Wat echter niet specifiek wordt vereist volgens de ISO 14001 norm is:

  • Bepaling van de risicobeoordelingstechniek
  • Op welke manier de prestaties en effectiviteit van het risicobeheersysteem zullen worden geëvalueerd (dit is verschillend van de bepaling van de prestaties en de effectiviteit van het milieubeheerssysteem).
  • Bepaling van de risicocriteria: alhoewel hiermee al op rechtstreekse en onrechtstreekse manier wordt rekening gehouden bij de bepaling van de context van het milieumanagementsysteem, moet er in ieder geval met volgende factoren ook rekening gehouden worden:
    • Hoe wordt de waarschijnlijkheid gedefinieerd?
    • Hoe wordt het risiconiveau bepaald?
    • Wanneer wordt een risico aanvaardbaar?
    • Moet er een mogelijke combinatie van verschillende risico’s beschouwd worden.
  1. De risicobeoordeling (Risk Assessment)

 De Risicobeoordeling is het algehele proces van Risico-identificatie, Risicoanalyse en risico-evaluatie

a. Risico-identificatie (= Stap 2)

Deze risico-identificatie houdt in, dat er wordt gezocht naar:

  • Risicobronnen
  • Plaats van de impact
  • De mogelijke gebeurtenissen (evenementen), die tot zo’n impact kunnen leiden.
  • De mogelijke consequenties van de impact

De bedoeling van deze stap is, dat er een uitgebreide lijst van risico’s  wordt gemaakt, gebaseerd op de mogelijke gebeurtenissen, die een invloed op de verwezenlijking van de doelstellingen kunnen hebben.

Als de planning voor het milieumanagement systeem wordt opgemaakt in lijn met de voorschriften van ISO 14001: 2015, dan zullen deze elementen automatisch in de planning aanwezig zijn.

ISO 31000 vereist dat er risico-identificatietechnieken zouden toegepast worden, die in lijn zijn met de objectieven, de mogelijkheden, en de te verwachten risico’s.

In feite wordt daar zo wie zo aan voldaan bij de invulling van:

  • De studie rond de mogelijke “Aspecten en Impacts”
  • Het wetgevingsregister
  • De context van de organisatie.

Opmerking: Het niet uitvoeren van een geïdentificeerde kans is eigenlijk ook een risisico en kan dus op dezelfde manier verder behandeld worden.

b. Risicoanalyse (= Stap 3)

De risicoanalyse is de input voor de risico-evaluatie en of een risico moet behandeld worden en op welke manier.

Risicoanalyses houden de inachtneming in van de oorzaken van het risico, de positieve of  negatieve gevolgen en de waarschijnlijkheid dat de gevolgen kunnen plaatsvinden. Dus de factoren die het gevolg en de waarschijnlijkheid kunnen beïnvloeden worden bepaald in de risicoanalyse

Wat is een ernstig gevolg, wat is een te verwaarlozen gevolg; wat is heel waarschijnlijk en wat is onwaarschijnlijk… dit zijn zaken, die worden vastgelegd in de risicocriteria (zie boven).

Ervaring leert dat het soms moeilijk is (en in ISO 14001 is dit zeker het geval) om een cijfertje te kleven op deze gevolgen (en dus de ernst) en op de waarschijnlijkheid. Bijvoorbeeld, zo riskeert men dat risico’s, gelinkt aan het niet uitvoeren van kansen op de achtergrond verdwijnen als deze op een zelfde manier worden gewogen als een reëel negatief risico. Tijdens sessies waarin in teams de planning voor een milieumanagementsysteem werd opgesteld hebben wij meermaals mogen ondervinden, dat het vrij eenvoudig was om binnen een zekere consensus te gaan bepalen of een risico hoog of laag is, zonder eigenlijk het effect en de waarschijnlijkheid afzonderlijk te gaan “wegen”.

Kan dit?

  • Ja dit kan! Wij baseren ons voor dit antwoord op de norm ISO 31010:

Deze norm behandelt de verschillende risicobeoordelingsmethoden. Bij de qualititatieve beoordelingsmethode wordt gezegd:

“Qualitative assessment defines consequence, probability and level of risk by significance

levels such as “high”, “medium” and “low”, may combine consequence and probability, and evaluates the resultant level of risk against qualitative criteria.”

Dus het is mogelijk om gevolg en waarschijnlijkheid te combineren. Belangrijk is dat de “kwalitatieve criteria” worden bepaald, zodat het risico tegenover deze bepaalde criteria kan worden gewogen.

c. Risico-evaluatie (= Stap 4)

De bedoeling van de risico-evaluatie is om de gepaste beslissingen te gaan nemen, gebaseerd op de uitkomsten van de risicoanalyses. De uitkomsten van de risicoanalyses moeten dus getoetst worden aan de criteria, zoals bepaald in de vaststelling van de context. Hieruit kan dan de nood voor een behandeling overwogen worden.

In sommige omstandigheden kan de risico-evaluatie besluiten date r verder risico-onderzoek moet gebeuren. De  risico-evaluatie kan zelfs doen beslissen dat om het risico niet te verder behandelen, dan het in standhouden van de bestaande maatregelen.

Deze beslissing zal worden beïnvloed door de houding van de organisatie tegenover risico’s en door de criteria, die in de context warden bepaald.

  1. Risicobehandeling (= Stap 5)

    Vooraf:

    De opties voor de risicobehandeling kunnen het volgende inhouden:

a) het vermijden van het risico door de activiteit die aanleiding geeft tot het risico te stoppen;

b) het risico nemen of zelfs verhogen door een aangeboden kans na te jagen

c) het verwijderen van het risico aan de bron;

d) het veranderen van de waarschijnlijkheid;

e) het veranderen van de gevolgen;

f) het delen van de risico’s met een andere partij of partijen (gedeeld risico)

g) behoud van de risico’s door weloverwogen beslissing.

Selectie van de risicobehandelingsopties

Bij de keuze van de beste risicobehandelingsoptie, zal er een afweging moeten gemaakt worden van de kost en de inzet tegenover de voortvloeiende  voordelen.

Het risicobehandelingsplan moet duidelijk prioriteiten stellen. In de ISO 14001, betekent dit dus dat er bij de acties, die worden opgelijst in de planning, prioriteiten moeten bepaald worden.

Monitoring moet integraal deel uitmaken van het risicobehandelingsprogramma, om er zeker van te zijn, dat de genomen maatregelen effectief blijven.

 

Opmaken van de planning

Als de planning, zoals bepaald in de ISO 14001:2015 wordt opgesteld in de geest van het risicobeheerssysteem zoals in ISO 31000, moet dit plan dus ook minstens volgende elementen bevatten:

⎯ De reden waarom voor een bepaalde optie wordt gekozen

⎯ Wie is verantwoordelijk om het plan goed te keuren en wie is verantwoordelijk voor de uitvoering

⎯ De voorgestelde acties

⎯ Welke zijn de vereiste middelen en wat zouden de onvoorziene uitgaven kunnen zijn

⎯ Hoe de prestaties te meten en welke de belemmeringen zouden kunnen zijn;

⎯ Vereisten voor rapportering en monitoring

⎯ Timing

Natuurlijk moet de planning worden besproken met de belanghebbenden.

 

Beleidsmakers en belanghebbenden moeten bewust gemaakt worden van het soort en de grootte van het restrisico, nadat het oorspronkelijk risico is behandeld.Dit restrisico moet gedocumenteerd zijn en moet blijvend worden  onderworpen aan monitoring, aan verdere review en waar mogelijk, eventuele verdere behandeling.

In ISO 14001 is de periodieke management review hiervoor een ideaal medium.

 

Achteraf: Monitoring en review

Zowel de monitoring als de review moeten gepland worden: dit kan periodiek ad hoc gebeuren.

De verantwoordelijkheden voor de monitoring en de review moeten duidelijk bepaald zijn.

De resultaten van de monitoring en de review moeten vastgelegd worden en extern en intern gerapporteerd worden.

 

Advertenties

Risicogebaseerd denken in ISO 14001:2015

In september 2015 zijn de nieuwe edities van ISO 9001 en ISO 14001 gepubliceerd.

Deze ra-teambeide normen zijn op een identieke manier gestructureerd: de zogenoemde “High Level Structure” (HLS).

Wat is HLS?
De term refereert aan het initiatief dat ISO in 2008 heeft genomen om een ‘structuur op hoofdlijnen’ voor de managementsysteemnormen te ontwikkelen. Zoals de naam aangeeft was dit initiatief in eerste instantie bedoeld om een identieke hoofdstukstructuur vast te stellen, zodat alle managementsysteemnormen dezelfde volgorde en onderlinge samenhang in de beschrijving van de systeemelementen zouden gaan hanteren. Naderhand is deze structuur verder uitgewerkt naar (sub)paragrafen en zijn gemeenschappelijke kerneisen, termen en definities ontwikkeld.high-level-structure

Risicogebaseerd denken als kerneis binnen de HLS

Een van de kerneisen voor zowel ISO 9001 als ISO 14001 is dat er risicogebaseerd moet worden gedacht in het opzetten en beheren van het managementsysteem. In de introductie van de ISO 14001 wordt “Common Approach”, en “Risk Based Thinking” in één zin genoemd, in relatie tot een mogelijke integratie met andere beheerssystemen.

Risico gebaseerd denken verzekert dat risico’s worden beschouwd doorheen het hele management systeem. Door risico gebaseerd te denken zullen risico’s en kansen op een gestructureerde wijze aangepakt worden

ISO 14001:2015 heeft het expliciet over risicogebaseerd denken, en niet over risicomanagement.

Waar wordt naar risico/kans verwezen in de ISO 14001: 2015?

  • Introductie – Het concept van risicogebaseerd denken is er gelinkt met de mogelijke integratie met andere managementsystemen.
  • Bepaling 3: Begrippen en definities: bij de verklaring van het begrip milieubeheerssysteem wordt referentie gemaakt naar het aanpakken van risico’s en kansen. In deze zelfde bepaling wordt het begrip “Risico” omschreven als een effect van onzekerheid of als een mogelijke negatieve effect – bedreiging.
  • Bepaling 6: Planning: De organisatie moet gedocumenteerde informatie hebben over de risico’ s en kansen, die moeten worden aangepakt. Bij de opmaak van het actieplan moet rekening gehouden worden met de geïdentificeerde risico’s en kansen. Deze risico’s en kansen kunnen verwant zijn met de milieu aspecten, met de nalevingsverplichtingen, of met andere problemen of andere behoeften en verwachtingen van de betrokken partijen.
  • Bepaling 9: In de “management review”  moet de organisatie mogelijke veranderingen in de risico’s en kansen beschouwen.

Het is dus vooral in de bepaling rond de planning (6) waar de risico’s en kansen zullen worden beschouwd. Het is de algemene opzet van deze bepaling om er voor te zorgen dat de organisatie in staat is om de beoogde resultaten van zijn milieubeheerssysteem te bereiken, ongewenste effecten worden vermeden of beperkt en er een continue verbetering wordt bereikt. De bedoeling van de norm is dus, dat dit wordt verwezenlijkt door eerst de risico’s en kansen te gaan bepalen en deze dan aan te pakken.

De contextanalyse in hoofdstuk 4 van ISO 14001 is er daarom niet voor niets: het is een van de bronnen om de planning te voeden.

management-school-3-1524193

En hoe pakt me deze risico’s en kansen nu best aan?

Het aanpakken van de risico’s:

ISO 14001:2015 schrijft geen risicomethodologie voor. Organisaties zijn vrij om hun eigen aanpak te kiezen.

Mocht men voor een meer formele aanpak kiezen, dan zou men zich kunnen baseren op de ISO 31000 (Risk management: Principles and guidelines). Deze standaard biedt een kader en proces om risico’s te beheren van organisaties, hoe groot of klein deze ook mogen zijn. Let op! Dit gaat dus over risicobeheer (Risk Management) en niet over risicobeoordeling (Risk Assessment). Wij zullen in een latere blog even dieper ingaan op het feitelijke principe van het Risicobeheer van een organisatie.

Eens de organisatie de risico’s en de kansen heeft bepaald, moet er beslist worden, hoe deze zullen worden aangepakt. De voorgestelde acties zullen moeten worden afgewogen op de mogelijke gevolgen van het risico of de kans op de mogelijkheid van de organisatie om de gestelde doelen van het milieubeheerssysteem te bereiken.

Dit kan inhouden om het risico te vermijden, de bron te elimineren, de waarschijnlijkheid beïnvloeden of de consequentie of zelfs het risico delen kan een optie zijn. Het erkent ook dat niet alle risico’s moeten aangepakt worden!

Welke zaken zijn nu belangrijk om de risico’s en kansen op een degelijke manier in de planning te beschouwen om zo deze risico’s en kansen succesvol aan te pakken?

Hiervoor verwijzen we naar een volgend artikel, waarin we gaan uitleggen hoe men best een planning opmaakt, die de verwachtingen van de ISO 14001 kan invullen en zo een efficiënt middel binnen het milieubeheerssysteem kan zijn.

ISO 14001: Context van de organisatie

Met de publicatie van de recente versie van de milieusysteemnorm ISO 14001 in 2015, zijn er een aantal belangrijke wijzigingen aan deze norm aangebracht.

Met één van deze wijzigingen wordt nu vereist dat de interne en externe context van de organisatie wordt bepaald.

De context van de organisatie is de omgeving waarin de organisatie zich bevindt ten aanzien van het milieu: wie of wat beïnvloedt het beleid van de organisatie ten aanzien van het milieu.

De bepaling van deze context gebeurt best op een gestructureerde manier: de “contextanalyse”.

Tot hier alles duidelijk, maar hoe doen we nu zo’n “contextanalyse”?

Een antwoord op deze vraag blijkt niet eenvoudig of eenduidig.

Toen we voor het eerst met deze vraag in aanraking kwamen en dus op zoek gingen naar een antwoord, werden we geconfronteerd met veel informatie,… heel veel informatie. Echter, een duidelijk recept van hoe zo’n contextanalyse kan gebeuren was niet te vinden.
swot-analysisVeelal wordt verwezen naar “SWOT”- en “PEST(EL)” analyses.

Ook wij hebben geprobeerd om deze methodes te gebruiken, maar al vlug moesten we vaststellen dat de bekomen resultaten veelal niet relevant waren, of dat belangrijke, evidente informatie niet uit de analyse kwam.

pestel-analysis

Uiteindelijk zijn we het antwoord gaan zoeken in de norm.


Wat zegt de norm nu zelf?

De eis tot bepaling van de context van de organisatie wordt omschreven in:

  1. Context of the organisation

            4.1 Understanding the organization and its context

            The organisation shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcomes of its environmental management system. Such issues shall include environmental conditions being affected by or capable of affecting the organisation.

4.2 Understanding the needs and expectations of interested parties

The organisation shall determine:

  1. The interested parties that are relevant to the environmental management system;
  2. The relevant needs and expectations (i.e. requirements) of these interested parties;
  3. Which of these needs and expectations become its compliance obligations;

Als het bovenstaande wordt vertaald naar duidelijke acties, bekomt men:

Volgens 4.1:

We moeten de organisatie en de context waarin deze zich bevindt begrijpen. Daartoe moeten we de externe en interne factoren bepalen, die

  1. relevant zijn aan het doel van het milieubeheerssysteem
  2. het vermogen kunnen beïnvloeden om de beoogde resultaten van het milieubeheersysteem te bereiken,

Volgens 4.2:

Om de noden en verwachtingen van de belanghebbenden te begrijpen, gaan  we het volgende bepalen:

  1. wie zijn de belanghebbenden, die relevant zijn voor ons milieubeheerssysteem?
  2. wat zijn hun noden en verwachtingen?
  3. welke van deze noden en verwachtingen zijn nalevingsvereisten?

Gebaseerd op het bovenstaande, hebben we een tabel gemaakt, die de basis vormt voor onze contextanalyse:

Factor Relevantie (4.1.1 en 2) Belanghebbende (4.2.1) Behoeften en verwachtingen van de belanghebbende (4.2.2) Nalevings-verplichting?

(4.2.3)

Wanneer er behoeften of verwachtingen zijn, die blijken onvoldoende vervuld te zijn of onvoldoende geborgd te zijn in ons milieubeheerssysteem, moet daarnaast een verbeteractie geformuleerd worden.

En… eigenlijk is dit het.

In “6. Planning” wordt onder andere omschreven wat met de resultaten van deze contextanalyse verder moet gebeuren. Er moet ook bepaald worden of de verbeteracties een risico of een kans inhouden.

Hoe de risico- en kansbepaling moet gebeuren en welke de andere zaken zijn, die in de planning moeten meegenomen worden, zullen we in een latere blog verder bespreken.

 

Zoekt u alvast hulp om de contextanalyse voor uw organisatie te maken, neem dan contact op via onze contactpagina. Wij zijn ervan overtuigd dat we u op de gepaste manier kunnen helpen!