In deze blog hadden we gezegd dat één van de kerneisen is voor zowel ISO 9001 als ISO 14001, dat er risicogebaseerd moet worden gedacht in het opzetten en beheren van het managementsysteem.

 

Risico gebaseerd denken verzekert dat risico’s worden beschouwd doorheen het gehele management systeem. Natuurlijk zoekt men om dit denkproces op een gestructureerde manier te laten verlopen. Logisch is het dan dat men referentie haalt in de standaard rond het beheersen van risico’s.

Binnen ISO wordt het risicobeheerssysteem omschreven in de ISO 31000 standaard. In zowel ISO 14001 als 9001 wordt niet rechtstreeks naar de ISO 31000 geattendeerd, maar er wordt wel naar verwezen in de “Bibliography”.

Let op! Deze norm gaat dus over risicobeheer (Risk Management) en niet over risicobeoordeling (Risk Assessment)!

Deze blog zal het hebben over welke stappen er volgens de norm moeten genomen worden om een succesvol risicomanagement te introduceren. Ook zullen we het hebben over de manier waarop het risicogebaseerd denken in de ISO 14001 zit verweven, als dit proces wordt gevolgd. Omgekeerd zullen we ook bespreken wat aan het milieubeheerssysteem kan toegevoegd worden opdat de risicobeheersing in lijn zou zijn met de ISO 31000.

 

HET RISICOBEHEERSSYSTEEM VOLGENS ISO 31000 BESTAAT UIT 5 STAPPEN:

Vooraf: Communicatie en Consultatie

Communicatie en consultatie met interne- en externe belanghebbenden speelt doorheen het hele proces van het risicobeheerssysteem: van het identificeren van de risico’s tot het voorstellen van de maatregelen om de risico’s te beheren en de bepaling of deze voorgestelde maatregelen voldoende zijn.

Het is dus belangrijk dat alle betrokken partijen in de verschillende stadia worden betrokken bij het risicobeheerssysteem zodat zij de juiste input kunnen geven in het proces en het voor hen ook duidelijk is wat hun eigen verantwoordelijkheden zijn!

Best wordt hiervoor een communicatie- en consultatie plan wordt opgemaakt. Onze ervaring leert dat dit op een eenvoudige manier met een communicatiematrix kan gebeuren.

In de ISO 14001 norm worden de vereisten rond communicatie gegeven in 7.4.2 en 7.4.3. Deze communicatie moet zowel intern als extern gebeuren. In het kader van het “risicogebaseerd denken” is het daarom niet meer dan logisch om de informatie uit het risicobeheerssysteem mee te integreren in de communicatie rond het milieubeheerssysteem.

De Context (=Stap 1)

Over het vaststellen van de context in een milieubeheerssysteem hebben we reeds onze eerdere blog gewijd. Wij verwijzen graag naar deze.

Bij het vaststellen van de context van het risicobeheerssysteem in relatie tot het milieubeheerssysteem, mag men logischerwijze veronderstellen dat het over één en dezelfde context kan gaan. Volgens ISO 31000 worden verschillende vereisten gesteld, die in het ISO 14001 systeem rechtstreeks of onrechtstreeks onder “Planning” vallen: zoals daar zijn:

• De wettelijke vereisten
• De objectieven
• De scope
• De middelen
• De verantwoordelijken
• Het gezag
• Identificeren en specificeren welke beslissingen moeten genomen worden

 

Wat echter niet specifiek wordt vereist volgens de ISO 14001 norm is:

• Bepaling van de risicobeoordelingstechniek
• Op welke manier de prestaties en effectiviteit van het risicobeheersysteem zullen worden geëvalueerd (dit is verschillend van de bepaling van de prestaties en de effectiviteit van het milieubeheerssysteem).
• Bepaling van de risicocriteria: alhoewel hiermee al op rechtstreekse en onrechtstreekse manier wordt rekening gehouden bij de bepaling van de context van het milieumanagementsysteem, moet er in ieder geval met volgende factoren ook rekening gehouden worden:
  • Hoe wordt de waarschijnlijkheid gedefinieerd?
  • Hoe wordt het risiconiveau bepaald?
  • Wanneer wordt een risico aanvaardbaar?
  • Moet er een mogelijke combinatie van verschillende risico’s beschouwd worden.

De risicobeoordeling (Risk Assessment)

 De Risicobeoordeling is het algehele proces van Risico-identificatie, Risicoanalyse en risico-evaluatie

A. RISICO-IDENTIFICATIE (= STAP 2)

Deze risico-identificatie houdt in, dat er wordt gezocht naar:

• Risicobronnen
• Plaats van de impact
• De mogelijke gebeurtenissen (evenementen), die tot zo’n impact kunnen leiden.
• De mogelijke consequenties van de impact

De bedoeling van deze stap is, dat er een uitgebreide lijst van risico’s  wordt gemaakt, gebaseerd op de mogelijke gebeurtenissen, die een invloed op de verwezenlijking van de doelstellingen kunnen hebben.

Als de planning voor het milieumanagement systeem wordt opgemaakt in lijn met de voorschriften van ISO 14001: 2015, dan zullen deze elementen automatisch in de planning aanwezig zijn.

ISO 31000 vereist dat er risico-identificatietechnieken zouden toegepast worden, die in lijn zijn met de objectieven, de mogelijkheden, en de te verwachten risico’s.

In feite wordt daar zo wie zo aan voldaan bij de invulling van:

• De studie rond de mogelijke “Aspecten en Impacts”
• Het wetgevingsregister
• De context van de organisatie.

Opmerking: Het niet uitvoeren van een geïdentificeerde kans is eigenlijk ook een risisico en kan dus op dezelfde manier verder behandeld worden.

B. RISICOANALYSE (= STAP 3)

De risicoanalyse is de input voor de risico-evaluatie en of een risico moet behandeld worden en op welke manier.

Risicoanalyses houden de inachtneming in van de oorzaken van het risico, de positieve of  negatieve gevolgen en de waarschijnlijkheid dat de gevolgen kunnen plaatsvinden. Dus de factoren die het gevolg en de waarschijnlijkheid kunnen beïnvloeden worden bepaald in de risicoanalyse

Wat is een ernstig gevolg, wat is een te verwaarlozen gevolg; wat is heel waarschijnlijk en wat is onwaarschijnlijk… dit zijn zaken, die worden vastgelegd in de risicocriteria (zie boven).

Ervaring leert dat het soms moeilijk is (en in ISO 14001 is dit zeker het geval) om een cijfertje te kleven op deze gevolgen (en dus de ernst) en op de waarschijnlijkheid. Bijvoorbeeld, zo riskeert men dat risico’s, gelinkt aan het niet uitvoeren van kansen op de achtergrond verdwijnen als deze op een zelfde manier worden gewogen als een reëel negatief risico. Tijdens sessies waarin in teams de planning voor een milieumanagementsysteem werd opgesteld hebben wij meermaals mogen ondervinden, dat het vrij eenvoudig was om binnen een zekere consensus te gaan bepalen of een risico hoog of laag is, zonder eigenlijk het effect en de waarschijnlijkheid afzonderlijk te gaan “wegen”.

KAN DIT?

• Ja dit kan! Wij baseren ons voor dit antwoord op de norm ISO 31010:

Deze norm behandelt de verschillende risicobeoordelingsmethoden. Bij de qualititatieve beoordelingsmethode wordt gezegd:

“Qualitative assessment defines consequence, probability and level of risk by significance

levels such as “high”, “medium” and “low”, may combine consequence and probability, and evaluates the resultant level of risk against qualitative criteria.”

Dus het is mogelijk om gevolg en waarschijnlijkheid te combineren. Belangrijk is dat de “kwalitatieve criteria” worden bepaald, zodat het risico tegenover deze bepaalde criteria kan worden gewogen.

C. RISICO-EVALUATIE (= STAP 4)

De bedoeling van de risico-evaluatie is om de gepaste beslissingen te gaan nemen, gebaseerd op de uitkomsten van de risicoanalyses. De uitkomsten van de risicoanalyses moeten dus getoetst worden aan de criteria, zoals bepaald in de vaststelling van de context. Hieruit kan dan de nood voor een behandeling overwogen worden.

In sommige omstandigheden kan de risico-evaluatie besluiten date r verder risico-onderzoek moet gebeuren. De  risico-evaluatie kan zelfs doen beslissen dat om het risico niet te verder behandelen, dan het in standhouden van de bestaande maatregelen.

Deze beslissing zal worden beïnvloed door de houding van de organisatie tegenover risico’s en door de criteria, die in de context warden bepaald.

De risicobehandeling (=Stap 5)

1. DE OPTIES VOOR DE RISICOBEHANDELING KUNNEN HET VOLGENDE INHOUDEN:

a) het vermijden van het risico door de activiteit die aanleiding geeft tot het risico te stoppen;

b) het risico nemen of zelfs verhogen door een aangeboden kans na te jagen

c) het verwijderen van het risico aan de bron;

d) het veranderen van de waarschijnlijkheid;

e) het veranderen van de gevolgen;

f) het delen van de risico’s met een andere partij of partijen (gedeeld risico)

g) behoud van de risico’s door weloverwogen beslissing.

2. SELECTIE VAN DE RISICOBEHANDELINGSOPTIES

Bij de keuze van de beste risicobehandelingsoptie, zal er een afweging moeten gemaakt worden van de kost en de inzet tegenover de voortvloeiende  voordelen.

Het risicobehandelingsplan moet duidelijk prioriteiten stellen. In de ISO 14001, betekent dit dus dat er bij de acties, die worden opgelijst in de planning, prioriteiten moeten bepaald worden.

Monitoring moet integraal deel uitmaken van het risicobehandelingsprogramma, om er zeker van te zijn, dat de genomen maatregelen effectief blijven.

3. OPMAKEN VAN DE PLANNING

Als de planning, zoals bepaald in de ISO 14001:2015 wordt opgesteld in de geest van het risicobeheerssysteem zoals in ISO 31000, moet dit plan dus ook minstens volgende elementen bevatten:

⎯ De reden waarom voor een bepaalde optie wordt gekozen

⎯ Wie is verantwoordelijk om het plan goed te keuren en wie is verantwoordelijk voor de uitvoering

⎯ De voorgestelde acties

⎯ Welke zijn de vereiste middelen en wat zouden de onvoorziene uitgaven kunnen zijn

⎯ Hoe de prestaties te meten en welke de belemmeringen zouden kunnen zijn;

⎯ Vereisten voor rapportering en monitoring

⎯ Timing

Natuurlijk moet de planning worden besproken met de belanghebbenden.

 

Beleidsmakers en belanghebbenden moeten bewust gemaakt worden van het soort en de grootte van het restrisico, nadat het oorspronkelijk risico is behandeld.Dit restrisico moet gedocumenteerd zijn en moet blijvend worden  onderworpen aan monitoring, aan verdere review en waar mogelijk, eventuele verdere behandeling.

In ISO 14001 is de periodieke management review hiervoor een ideaal medium.

Achteraf: Monitoring en Review

Zowel de monitoring als de review moeten gepland worden: dit kan periodiek ad hoc gebeuren.

De verantwoordelijkheden voor de monitoring en de review moeten duidelijk bepaald zijn.

De resultaten van de monitoring en de review moeten vastgelegd worden en extern en intern gerapporteerd worden.