Risicogebaseerd denken is een noodzaak geworden

in één taal

Svetlana Mochalina, directeur van de juridische afdeling en de afdeling risicobeheer van L'Occitane Rus, sprak over hoe de op risico's gebaseerde benadering in het werk van toezichthoudende autoriteiten het werk van een bedrijf beïnvloedt.

BIJ afgelopen jaren de benadering van overheidsinstanties bij dergelijke inspecties is veranderd. Nu evalueren ze overtredingen door te kijken naar criteria zoals de mate van risico voor het bedrijf; implementatie van preventieve maatregelen; de procedure voor het uitvoeren van een risicobeoordeling; maatregelen gericht op het verminderen van risico's door een economische entiteit en het uitoefenen van controle daarop.

– Omdat we ook actief zijn in de retailmarkt, en naast het groothandelssegment, franchising, gelicentieerde SPA-activiteiten en online winkels, hebben we meer dan honderd eigen winkels, de zogenaamde "open" verkooppunten, moeten we erop voorbereid zijn dat op elk moment zonder voorafgaande kennisgeving (en daarmee) andere overheidsinstanties en hun territoriale onderverdelingen in het hele land: de Federale Antimonopoliedienst van de Russische Federatie, de Federale Belastingdienst van de Russische Federatie, het Ministerie van Noodsituaties van de Russische Federatie, Rospotrebnadzor van de Russische Federatie, Roszdravnadzor, OATI, het Ministerie van Economische Zaken en politiek van de stad Moskou. In dit verband hebben we nagedacht over hoe we effectieve bedrijfsbescherming en duurzame communicatie met overheidsinstanties kunnen garanderen”, zegt Svetlana Mochalina. – Een van de instrumenten voor het voorkomen en verminderen van risico's in het algemeen is de invoering van een preventief compliancesysteem in de brede zin dit woord. Hier is het enerzijds belangrijk om de wetgever te horen, om zijn wil te realiseren en te vervullen; aan de andere kant, door wettelijke vereisten in te voeren, vertrouwen op de specifieke taken van het bedrijf en het verzekeren bij elke stap om het doel te bereiken; een flexibele maar veerkrachtige brug bouwen tussen de starre voet aan de grond van de wet en de fragiele realiteit van de opportunistische aard van het Russische bedrijfsleven in een snel veranderende omgeving.

Het doel van het invoeren van compliance, inclusief antitrustcompliance, is om de kans op overtreding en, als gevolg daarvan, op sancties te verkleinen. De belangrijkste doelstellingen van het implementeren van een effectief nalevingssysteem zijn echter niet alleen het minimaliseren van bedrijfsrisico's en het vergroten van hun rol in het werk van overheidsinstanties, maar ook het beheren van bedrijfsprocessen in het algemeen, evenals het verhogen van de efficiëntie van het personeel.

– Het belangrijkste en moeilijk te bereiken, en vooral, het meest succesvolle tool toekomst en heden is de onberispelijke reputatie van het bedrijf / bedrijf, de oprichting ervan, werk er elke dag aan. Als een bedrijf preventieve nalevingsmaatregelen doorvoert, zijn reputatie waardeert, zelfs in het geval van een mogelijke overtreding, kan het rekenen op beperking van de aansprakelijkheid en soms zelfs helemaal vermijden. Dit axioma wordt actief ondersteund door de vele bovengenoemde overheidsinstanties, waardoor we dezelfde taal spreken”, vat Svetlana Mochalina samen.

Focus op kansen

Irina Walter, hoofd Supply Chain Quality bij FM Logistic, deelde haar ervaring met het integreren van risicobeheer in belangrijke besluitvormingsprocessen.

“Omdat we een bedrijf met meerdere klanten zijn, moeten we niet alleen risico's beoordelen en beheren vanuit een intern compliance-perspectief, maar moeten we ons ook richten op meerdere klanten wiens opslag- en transportvereisten heel verschillend kunnen zijn. We zijn dus voortdurend in contact met klanten en nemen de informatie die we van hen ontvangen mee in onze risicobeheeraanpak”, verduidelijkt de spreker.

FM Logistic beschouwt een van de belangrijkste prioriteiten bij de ontwikkeling van een eerlijke en winstgevende zaak naleving van wetten en eerlijke concurrentie in de kwaliteit van de geleverde diensten. Tegelijkertijd wordt het risico van omkoping en corruptie op het niveau van leveranciers geëlimineerd door interne en externe audits, inspecties worden uitgevoerd op een geplande en ongeplande basis. Daarnaast voert het moederbedrijf continu compliance-audits uit in alle landen waar FM Logistic actief is. De rol van de veiligheidsdienst is ook groot, die elke tegenpartij controleert alvorens met hem aan de slag te gaan om volledig te voldoen aan de wetgeving van de Russische Federatie.

Irina concentreerde zich op risicoresponsstrategieën. In plaats van risico's te vermijden, adviseerde ze met name om deze in het voordeel van het bedrijf te gebruiken. Het projectplan kan bijvoorbeeld worden aangepast om een ​​bedreiging weg te nemen of om projectdoelstellingen te isoleren van de gevolgen van risico's door meer gekwalificeerd personeel aan te trekken en meer Van hoge kwaliteit vergeleken met de planning. Deze aanpak is effectiever dan een categorische afwijzing van risicovolle projecten en onbetrouwbare partners.

– We passen een op risico's gebaseerde benadering toe op het bedrijfsleven, waarbij we ons niet alleen richten op risico's als bedreigingen voor het bedrijfsleven, maar ook op kansen die bijdragen aan de ontwikkeling ervan. Ons bedrijf maakt gebruik van op risico's gebaseerde strategische planning, die de basis vormt voor de geleidelijke implementatie van het verandermanagementproces. Er zijn verschillende tools om bestaande risico's te minimaliseren: interne analyses, interne procesaudits, focus op de ontwikkeling van een continu verbeteringsproces, evenals audits van aannemers - transportbedrijven waarmee we samenwerken. Het risico minimaliseren betekent voor ons het op een beheersbaar niveau brengen, het vinden van de optimale beheersmaatregel. Een op risico's gebaseerde benadering is geïmplementeerd in FM Logistic op bedrijfsniveau en is ingebouwd in: globaal proces"Compliance", die het mogelijk maakt om risico's systematisch te beoordelen vanuit het oogpunt van de risicobereidheid van risico-eigenaren, deze te bewaken, de effectiviteit van de vervulde risico's te evalueren en het effect op het bedrijf te zien van de geïmplementeerde inspanningen van ons team, ', legt Irina Walter uit.

Mayak voor projectmanagement

Een van de belangrijkste punten van het programma was de toespraak van Sergey Salamatov, stafchef van NLMK Vice President voor Risicobeheer, die sprak over de kenmerken van de integratie van risicobeheer in het projectbeheersysteem.

De spreker haalde gegevens aan uit de PMI's Capturing the Value of Project Management-studie, uitgevoerd in 2015, waarin de activiteiten van drieduizend bedrijven werden geanalyseerd. Uit het onderzoek blijkt dat gemiddeld slechts 64% van de projecten hun doelstellingen haalt. Vertegenwoordigers van het Project Management Institute probeerden erachter te komen waarom toonaangevende bedrijven hun doelen beter bereiken. Als resultaat worden belangrijke succesfactoren geformuleerd, waarvan de aanwezigheid het niveau van het bereiken van doelen verhoogt.

Het grootste effect op projectsucces wordt volgens PMI-onderzoek uitgeoefend door de eenvoudigste factoren: de verantwoordelijkheid van het topmanagement voor het project; een duidelijk begrip van de reikwijdte en waarschijnlijkheid van het behalen van projectvoordelen in de loop van het project levenscyclus; begrijpen dat het resultaat van het project in lijn is met de strategie van het bedrijf; organisatie van kennisuitwisseling tussen projectmanagers.

Succesvolle implementatie van deze factoren wordt bereikt door de integratie van risicomanagement met het projectmanagementsysteem. De rol van risicobeheer bij investeringsactiviteiten kan niet worden overschat, en de PMI-studie illustreert dat de complexe en systematische toepassing van kwantitatieve investeringsrisicobeoordeling de kans op het behalen van projectdoelen met 15-20% zal vergroten en niet alleen financiële voordelen zal opleveren, maar ook efficiëntie verhogen.

– Risicobeoordeling wordt op de een of andere manier door iedereen toegepast, maar ook groot verschil tussen uitvoeringsmogelijkheden. BIJ individuele gevallen het kan een typische risicokaart zijn met een kwalitatieve beoordeling van een aantal risico's volgens het “verkeerslichtsysteem” – rood/geel/groen. Maar wat moeten projectmanagers doen op basis van deze beoordeling? Welke informatie geeft het hen? - legt Sergey Salamatov uit. – Een heel andere situatie is wanneer de impact van risico's op projectdoelen wordt gekwantificeerd met behulp van tools zoals scoringsmodellen of simulaties. Met deze aanpak kunt u de gevoeligheid van projectdoelen voor verschillende risicofactoren analyseren, de waarschijnlijkheid van het behalen van resultaten beoordelen, rekening houden met wederzijdse beïnvloeding factoren en het gecombineerde effect van risicorealisatie. Op basis van dergelijke gegevens wordt het mogelijk om op risico gebaseerde beslissingen te nemen over de uitvoering van projecten. De beoordeling van doelindicatoren van een risicoproject (IRR, NPV) zal dus helpen bij het prioriteren van projecten op basis van risico en het optimaliseren van het cumulatieve effect van de implementatie van de strategie.

Sprekend over het projectmanagementsysteem benadrukt de spreker dat bij de uitvoering van investeringsprojecten drie groepen doelindicatoren kunnen worden onderscheiden: projectbegroting, uitvoeringsperiode en efficiëntie. Dienovereenkomstig bestaat het risico van stijgende kosten, vertragingen en verminderde winstgevendheid. Het is belangrijk om te begrijpen dat projectmanagement constant verandermanagement impliceert: het is duidelijk dat het niet mogelijk zal zijn om het project te beschermen tegen alle ongunstige gebeurtenissen, maar het is mogelijk om beslissingen te nemen op basis van hun potentiële impact op het project. De kwaliteit van de genomen beslissingen hangt af van de nauwkeurigheid van deze beoordeling.

– Sommige van de risico's zijn typisch, ze zijn inherent aan de bedrijfsprocessen die zijn opgenomen in de perimeter van de projectimplementatie. Ze kunnen en moeten worden beoordeeld door risicobeheer te integreren met het interne controlesysteem van de onderneming. Het beheersen van deze risico's gaat gepaard met een verhoging van de kwaliteit van de risicodekking door interne controles. Op deze manier is het bij investeringsactiviteiten mogelijk om de stijging van de projectimplementatiekosten te beoordelen als gevolg van inefficiënte implementatie van ontwerpprocessen, leveranciersselectie, constructie- en installatiewerkzaamheden en andere, -
deskundige opmerkingen. – Daarnaast zijn er in elk project specifieke risico’s veroorzaakt door de uniciteit gebied projecteren. Ze gaan gepaard met een hoge onzekerheid - het is onmogelijk om de verwachte verliezen ondubbelzinnig in te schatten. Deze onzekerheid mag niet over het hoofd worden gezien: het kan het project tot diametraal tegenovergestelde resultaten leiden, en dit kan niet zonder simulatiemodellering. Timing-offsetrisico's kunnen ook worden beoordeeld met behulp van Monte Carlo-simulatietools. Een dergelijke beoordeling stelt de projectmanager in staat om meer controle te krijgen over de uitvoering van kritiek werk en om op de meest effectieve manier middelen toe te wijzen voor projectrisicobeheer in het kader van deadlines en begroting.

Title="(!LANG:Galina)
Shakleina (EuroChem)">Количественная оценка рисков инвестиционных проектов с использованием инструментов имитационного моделирования признана востребованной среди мировых лидеров и применяется в разных отраслях экономики. Допустим, Лондонский метрополитен использует этот метод для оценки рисков инвестиционных проектов и безопасности пассажиров, а мировые лидеры в сфере поставки потребительских товаров – компании Unilever и Procter&Gamble – для оценки рисков в отношении разработки и применения !} de nieuwste technologieën, implementatie innovatieve projecten. In Rusland gebruiken beduidend minder niet-financiële bedrijven regelmatig een kwantitatieve beoordeling van beleggingsrisico's. Het is veelzeggend dat de PMI-enquête ook alleen Europese en Amerikaanse respondenten omvatte.

– Er moet worden aangenomen dat de effectieve integratie van risicobeheer met het projectbeheersysteem het "baken" is waarnaar projectbeheer in Rusland de komende jaren zal evolueren, waarbij wereldwijde trends worden herhaald. Omdat dit "baken" de informatie levert die het management nodig heeft om op risico gebaseerde beslissingen te nemen die de efficiëntie van het implementeren van strategische initiatieven helpen verbeteren en het vereiste financiële resultaat behalen", concludeerde de spreker.

Concurreer niet, vul aan

Voor- en nadelen van het integreren van de functies van risicobeheer en risicogebaseerd interne audit Igor Vinnikov, de risicomanager van de NefteTransService Group of Companies, is aangewezen.

Hij vestigde de aandacht van zijn collega's op de verschillen tussen risicomanagement en internal audit, waarbij hij opmerkte dat de eerste wordt geassocieerd met de analyse en evaluatie van externe alternatieven, bedreigingen en kansen voor strategische en tactische bedrijfsontwikkeling, en de laatste vooral is gericht op het beoordelen van de effectiviteit van de bedrijfsprocessen van de onderneming, inclusief risicobeheer. In de praktijk overlappen de functies van risicobeheer en interne audit elkaar vaak binnen dezelfde eenheid, wat het niet mogelijk maakt om een ​​synergetisch effect en onafhankelijke informatie te verkrijgen over hoe effectief risicobeheer eigenlijk werkt.

Aangezien op risico gebaseerde audit vaak dezelfde mechanismen en instrumenten gebruikt als risicobeheer (bijvoorbeeld kaarten en risicoregisters), kan het management van het bedrijf verwarring en onbegrip ervaren over het doel van deze twee functies, en rijst terecht de vraag - waarin verschillen deze diensten?

– Risicobeheer en interne audit kunnen elkaar effectief aanvullen: de uitwisseling van informatie tussen deze afdelingen zal het mogelijk maken om een ​​bepaald risico in vroege fase, - Igor Vinnikov opmerkingen. – In de risicobeoordelingsfase berekent het risicomanagement wat het totale resultaat voor het bedrijf zou kunnen zijn als het wordt geïmplementeerd; risicogebaseerde audit richt zich op een onafhankelijke, meestal retrospectieve beoordeling van het gecontroleerde bedrijfsproces. Om het risico te beïnvloeden, ontwikkelt risicomanagement passende maatregelen en is het, indien nodig, bijsturen van het bedrijfsproces verantwoordelijk voor tijdige verandering. De functie van een op risico's gebaseerde audit in deze stadia is het ontwikkelen van aanbevelingen en het bewaken van de uitvoering ervan.

Om dergelijke interactie te verbeteren, is het noodzakelijk om de gebruikte terminologie en benaderingen te verenigen; audits plannen op basis van signalen externe omgeving; de risicomanager informeren en betrekken bij de ontwikkeling en implementatie van een correctief actieplan in aanwezigheid van externe factoren; versterken van de rol van internal audit als factor in de ontwikkeling van risicomanagement, en vice versa.

Het is beter om de gevolgen te voorkomen dan te elimineren

Afdelingshoofd Ecologie en Bescherming omgeving Ruspetro JSC Nadezhda Sheveleva sprak over het belang van milieurisicobeheer bij de activiteiten industriële ondernemingen. Nadezhda sprak met name in detail over de componenten van milieurisico's en de kenmerken van de identificatie ervan in de olie- en gasindustrie. Ze noemde ook een strategie voor het beheersen van milieurisico's bij de ontwikkeling van olie en gasvelden en gaf voorbeelden van het identificeren van de oorzaken van milieurisico's.

Momenteel wordt er gewerkt met milieurisico's in het kader van ambigue interpretaties van regelgeving, snelle veranderingen wetgevingskader, wat het uitvoeren van productieactiviteiten bemoeilijkt.

Volgens de spreker is het beheersen van milieurisico's binnen de productieactiviteiten van een onderneming een complex proces dat uit meerdere fasen bestaat. Het is dus noodzakelijk om de vereisten van de wetgeving te analyseren in termen van; beoordelen van de waarschijnlijkheid van milieurisico's onder het huidige managementsysteem; definiëren mogelijke gevolgen het optreden van deze risico's, waaronder milieuschade; de methodiek bepalen voor het beoordelen van mogelijke gevolgen in geld (vergoeding voor milieuschade, boetes voor het overtreden van de eisen van de milieuwetgeving). Daarnaast zal het nodig zijn om de mogelijke gevolgen in termen van waarde te beoordelen en te rangschikken; maatregelen te bepalen om schade door geïdentificeerde risico's te verminderen en te voorkomen; het evalueren van de effectiviteit van de noodzakelijke investeringen om risico's te verminderen en te voorkomen; beslissen over de implementatie van specifieke risicobeheersmaatregelen. Pas daarna wordt het milieurisicobeheersysteem geactualiseerd en worden verantwoordelijke personen aangesteld om deze te beheren.

Zoals uit de praktijk blijkt, zullen de totale kosten van maatregelen ter voorkoming van risico's en uitvoering van milieumaatregelen beduidend lager zijn dan het wegnemen van de gevolgen van de uitvoering ervan, rekening houdend met de verplichting om tijdig te voldoen aan de eisen van wetgeving op het gebied van milieubescherming . Nadezhda Sheveleva raadde aan om te nemen gegeven feit rekening mee houden bij het plannen managementactiviteiten op het gebied van milieubeheer.

Niemand is immuun voor fraude

In elk bedrijf worden de risico's die samenhangen met onethisch gedrag en fraude door personeel periodiek gerealiseerd. Als gevolg hiervan kan het bedrijf niet alleen financiële verliezen lijden, maar ook reputatierisico's lopen. Deze belangrijk onderwerp werd opgevoed door de algemeen directeur voor financiële audits van AFK Sistema Marina Bugorskaya.

Volgens officiële statistieken lijden bedrijven de meeste schade als gevolg van frauduleuze handelingen met jaarrekeningen. Dit verwijst naar de kunstmatige overschatting van activa, onderschatting van passiva, onderschatting van kosten. Er wordt aangenomen dat het opzettelijk verkeerd voorstellen van rapportage of creatieve boekhouding minder vaak voorkomt dan andere soorten frauduleuze schema's. In de praktijk zijn de meest voorkomende frauduleuze activiteiten gericht op diefstal van activa, corruptie en het opnemen van geld van het bedrijf.

Na publicatie nieuwe versie standaard-ISO 9001 :2015, misschien komen de meeste vragen en discussies over een van de nieuwe vereisten - de toepassing van risicogebaseerd denken(in het Engels "risk-based thinking"). Ik raad aan om de video "Belangrijkste verschillen tussen ISO 9001:2015 en ISO 9001:2008" te bekijken.

Op mijn blog heb ik verschillende artikelen geschreven over het onderwerp risicomanagement (zie artikelen: “Risicomanagement in plaats van preventieve acties”; “Risicomanagement - basisstappen”; “Risicomanagement in het bedrijfsleven”, etc.). Als vervolg op het onderwerp besloot ik te schrijven over wat 'op risico's gebaseerd denken' is in termen van: ISO 9001:2015 en hoe deze toe te passen.

risicogericht denken, ten eerste betekent het:implementatie door de organisatie van een reeks overeengekomen activiteiten en methoden voor het beheren en beheersen van de meerdere risico's (positief en negatief) die van invloed zijn op het vermogen om geplande doelen te bereiken. Risicogebaseerd denken vervangt in feite de eis om preventief te handelen uit de vorige versie van de norm.

Dat kan niet gezegd worden risicogericht denken is een geheel nieuwe eis. In een impliciete vorm was het altijd aanwezig in ISO 9001. In eerdere versies van de norm, waaronder:ISO 9001 :2008 was er een vereiste om fouten, inconsistenties (implementatie van preventieve acties) te voorspellen en te voorkomen, wat ook geldt voor risicogebaseerd denken. Organisaties hebben mensen opgeleid, werk gepland, verantwoordelijkheden en bevoegdheden toegewezen, resultaten geverifieerd, audits en reviews uitgevoerd, processen gecontroleerd en gemeten.Al deze acties waren gericht op het vermijden van fouten en het behalen van succes.

Op deze manier probeerden organisaties hun risico's en kansen te beheersen. Daarom kan worden gezegd dat het altijd een onderdeel is geweest van ISO 9001 en organisatorische kwaliteitsmanagementsystemen. Vroeger was het gewoon impliciet, maar nu is het expliciet.Dus waarom doen ontwikkelaars? ISO 9001:2015 besloten om de toepassing van risicogebaseerd denken explicieter te maken en daadwerkelijk te vervangen door preventieve acties? Welke nieuwe dingen moeten organisaties doen die ze nog niet eerder hebben gedaan?

Feit is dat preventieve acties in de meeste organisaties vaak "voor de show" werden uitgevoerd, vanuit de noodzaak om aan de eis te voldoenISO 9001 , niet als een echt hulpmiddel om vooruitgang te boeken, continue verbetering. Vaak werden preventieve acties op een ontoereikend niveau uitgevoerd en lukraak . Bovendien is in veel organisaties de verantwoordelijkheid voor het toewijzen en uitvoeren van preventieve acties overgelaten aan een lid van het kwaliteitsteam dat niet in staat is geweest om alle problemen die de organisatie echt raken op het hoogste niveau te vatten en bij te dragen aan continue verbetering.

Om aan de eisen van de nieuwe versie van de norm te voldoen, moeten organisaties plannen en handelen in reactie op risico's en kansen.

De nieuwe norm verwacht van organisaties dat ze systematisch risico's identificeren en aanpakken die van invloed kunnen zijn op hun vermogen om conforme producten en diensten te leveren en aan de behoeften van de klant te voldoen. Hij verwacht ook dat organisaties hun capaciteiten identificeren, wat hun vermogen kan verbeteren om conforme producten en diensten te leveren om hun klanten tevreden te stellen.

De nieuwe norm verwacht ook dat organisaties risico's en kansen identificeren die de prestaties van hun Kwaliteitsmanagementsystemen of operaties verstoren, en vervolgens acties bepalen om die risico's en kansen aan te pakken. Organisaties moeten ook bepalen hoe zij van plan zijn deze activiteiten onderdeel te maken van hun kwalen hoe zij de doeltreffendheid van deze activiteiten en processen zullen monitoren, evalueren en beoordelen.

Volgens de eisen van de nieuwe versie van de norm moeten topmanagers worden betrokken bij het proces van het identificeren, registreren, elimineren en verminderen van risico's. Vanaf het allereerste begin van de toepassing van risicogebaseerd denken in een organisatie, zal het mogelijk zijn om te zien dat het effectiever is dan eerder gebruikte preventieve acties.

Het is van groot belang dat de identificatie van risico's en de selectie van passende risicobeheersmaatregelen op de agenda van regelmatige managementvergaderingen worden geplaatst. Even belangrijk is ervoor te zorgen dat de organisatie kanalen heeft opgezet waarlangs alle medewerkers op een lager niveau hun mening naar boven kunnen brengen - ter overweging van het managementteam.

Dan hebben de organisaties risicogericht denken, geleid door een topmanagementteam met belangrijke strategische kennis van zakelijke bedreigingen en kansen, en tegelijkertijd ondersteund door informatie uit alle niveaus van de organisatie (waarvan sommige voorheen onbekend voor hen waren en dienovereenkomstig niet werden overwogen).

In plaats van preventief handelen, dat voorheen vooral op een lager niveau werd uitgevoerd, krijgen organisaties nu risicogebaseerd denken aangeboden, geleid door een topmanagementteam dat over volledige en uitgebreide informatie beschikt. Uiteraard zullen de managementbeslissingen die voortvloeien uit deze aanpak en de daaropvolgende acties effectiever zijn op basis van de deelname van het hele bedrijf dan het reeds bestaande proces van preventieve acties.

Terwijl risicogericht denkenmaakt nu deel uit van de nieuwe norm, maar de norm vereist geen specifiek document waarin de risicogebaseerde benadering van de organisatie wordt beschreven. Op basis van mijn ervaring is het echter beter als het in een document wordt beschreven om consistentie en uniformiteit van toepassing in de hele organisatie te waarborgen.

Ik raad ook mijn artikel aan over een andere nieuwe vereiste in ISO 9001:2015 - de context van de organisatie begrijpen. Hier kun je gratis downloaden e-boek " ".

A.2 Producten en diensten

ISO 9001:2008 gebruikte de term "product" om alle categorieën van "outputs" te dekken. In deze editie van deze internationale norm wordt de term 'producten en diensten' gebruikt. Het omvat ook alle categorieën van "outputs" (hardware, diensten, software en verwerkte materialen). De introductie van de term “diensten” in het verkeer wordt veroorzaakt door de noodzaak om het verschil tussen producten en diensten te benadrukken in het kader van het stellen van bepaalde eisen daaraan. Kenmerkend voor diensten is dat ten minste een deel van de behaalde resultaten wordt bereikt door directe interactie met de consument. Dit betekent bijvoorbeeld dat niet altijd kan worden bevestigd dat aan de eisen wordt voldaan voordat de dienst volledig is geleverd.

In de meeste gevallen worden "producten" en "diensten" samen gebruikt. De meeste output die een organisatie of externe leveranciers aan klanten leveren, omvat zowel producten als diensten. Een materieel of immaterieel product kan bijvoorbeeld vergezeld gaan van een gerelateerde dienst, of een dienst kan vergezeld gaan van een materieel of immaterieel product.

A.3 Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen

Artikel 4.2 bevat eisen aan de organisatie om de voor het kwaliteitsmanagementsysteem relevante belanghebbenden vast te stellen (identificeren) en de eisen van deze belanghebbenden. Clausule 4.2 is echter niet bedoeld om de vereisten voor een kwaliteitsmanagementsysteem uit te breiden tot buiten de reikwijdte van deze internationale norm. Zoals vermeld in de reikwijdte van deze internationale norm, wordt deze toegepast wanneer een organisatie moet aantonen dat zij in staat is om consequent producten en diensten te leveren die voldoen aan de eisen van de klant en de toepasselijke wet- en regelgeving, en om de klanttevredenheid te verbeteren.

Deze internationale norm vereist niet dat een organisatie de belangen van partijen in overweging neemt als zij besluit dat die partijen niet relevant zijn voor haar kwaliteitsmanagementsysteem. Het is aan de organisatie om te beslissen of een specifieke eis van de betrokken belanghebbende relevant is voor haar kwaliteitsmanagementsysteem.

A.4 Risicogebaseerd denken

Het concept van risicogebaseerd denken was impliciet in de vorige editie van deze internationale norm, bijvoorbeeld in de vereisten voor planning, beoordeling en verbetering. Deze internationale norm specificeert de vereisten waaraan een organisatie moet voldoen om haar context te begrijpen (de context waarin zij opereert, zie 4.1) en om risico's vast te stellen (identificeren) als basis voor planning (zie 6.1). Dit weerspiegelt de toepassing van risicogebaseerd denken bij de planning en implementatie van kwal(zie 4.4) en zal helpen bij het bepalen van de reikwijdte van gedocumenteerde informatie.

Een van de belangrijkste doelen van een kwaliteitsmanagementsysteem is om te functioneren als preventie-instrument. Om deze reden heeft deze internationale norm geen aparte sectie of subsectie over preventieve maatregelen. Het concept van preventieve acties komt tot uiting door het gebruik van risicogebaseerd denken bij het formuleren van vereisten voor een kwaliteitsmanagementsysteem.

Het op risico's gebaseerde denken dat in deze internationale norm wordt toegepast, heeft mogelijkheden gecreëerd om dwingende vereisten te verminderen en te vervangen door vereisten die zijn gebaseerd op echte zakelijke praktijken. Er is nu meer flexibiliteit in de eisen voor processen, gedocumenteerde informatie en toewijzing van verantwoordelijkheden in een organisatie dan in ISO 9001:2008,

Hoewel Clausule 6.1 stelt dat een organisatie moet plannen om op risico's te reageren, is er geen vereiste voor een formele risicobeheermethode of gedocumenteerd risicobeheerproces. Het is aan een organisatie om te beslissen of ze een uitgebreidere benadering van risicobeheer wil ontwikkelen dan vereist door deze internationale norm, bijvoorbeeld door de toepassing van andere richtlijnen of normen.

Niet alle processen van kwaliteitsmanagementsystemen brengen hetzelfde risiconiveau met zich mee wat betreft het vermogen van een organisatie om haar doelstellingen te bereiken, en de impact van onzekerheid is ook niet voor alle organisaties hetzelfde. Voor de toepassing van Clausule 6.1 is een organisatie verantwoordelijk voor de toepassing van risicogebaseerd denken en voor de acties die zij neemt in reactie op risico's, inclusief de beslissing om al dan niet gedocumenteerde informatie vast te leggen en te bewaren als bewijs van haar vaststelling van risico's.

A.5 Toepasbaarheid

Deze internationale norm verwijst niet naar "uitzonderingen" op de toepasbaarheid van zijn vereisten op het kwaliteitsmanagementsysteem van een organisatie. De organisatie kan echter de toepasbaarheid van de eisen in overweging nemen, rekening houdend met de omvang of complexiteit van de organisatie, het gehanteerde managementmodel, de werkgebieden en de aard van de risico's en kansen die ermee worden aangepakt.

De toepasselijkheidseis is opgenomen in artikel 4.3, waarin de voorwaarden worden gespecificeerd waaronder een organisatie kan besluiten dat een vereiste niet kan worden toegepast op een van de processen binnen de reikwijdte van haar kwaliteitsmanagementsysteem. Een organisatie kan alleen besluiten dat een vereiste niet van toepassing is als haar besluit er niet toe leidt dat de conformiteit van producten en diensten niet wordt gegarandeerd.