Een risicomatrix is niet letterlijk verplicht voor ISO 9001. De norm vraagt wel dat je risico’s en kansen bepaalt die relevant zijn voor je kwaliteitsmanagementsysteem. Een risicomatrix is een handige manier om dit overzichtelijk te doen.
Voor ISO 9001 draait dit onderwerp vooral om kwaliteit, klanttevredenheid, processen, risico’s, doelen en continue verbetering. Een goed ingevuld onderdeel helpt je niet alleen bij certificering, maar ook bij overzicht in de dagelijkse praktijk.
Risico’s en kansen is belangrijk omdat het laat zien dat je organisatie bewust nadenkt over wat nodig is om het managementsysteem goed te laten werken. ISO vraagt niet om papier om het papier, maar om aantoonbare keuzes. Je moet kunnen uitleggen waarom je iets wel of niet doet, wie verantwoordelijk is en hoe je controleert of afspraken werken. Wanneer dit onderdeel te kort wordt beschreven, ontstaat vaak discussie tijdens een audit. De auditor vraagt dan door: waaruit blijkt dit, wie volgt het op, wanneer is het gecontroleerd en welke actie is genomen?
Voor organisaties die hun kwaliteitsmanagementsysteem willen opzetten, beheren of verbeteren is het daarom verstandig om dit onderwerp concreet te maken. Gebruik geen standaardzinnen die voor elke organisatie kunnen gelden. Beschrijf liever hoe het in jouw organisatie werkt. Als je klein bent, mag het eenvoudig. Als je meerdere locaties, veel medewerkers of complexe processen hebt, moet de uitwerking uitgebreider zijn. De inhoud moet dus passen bij de omvang, risico’s en activiteiten van je organisatie.
Een risicomatrix is vooral een hulpmiddel om prioriteiten te bepalen. Je kunt bijvoorbeeld werken met kans maal impact, of met een eenvoudige indeling laag, middel en hoog. Het belangrijkste is dat de beoordeling logisch is. Een risico dat zelden voorkomt en weinig gevolgen heeft, vraagt meestal minder aandacht dan een risico dat vaak voorkomt en direct invloed heeft op klanten, veiligheid of naleving van eisen. Leg daarom niet alleen de score vast, maar ook waarom je die score geeft en welke actie daaruit volgt.
Een praktisch voorbeeld voor ISO 9001: een organisatie ziet dat veel werk afhankelijk is van één ervaren medewerker. Het risico is dat kennis verloren gaat bij ziekte of vertrek. De kans is middelgroot, de impact hoog. Een passende maatregel is het maken van werkinstructies, het inwerken van een tweede medewerker en het bespreken van de voortgang tijdens het teamoverleg.
Een tweede voorbeeld is een leverancier die regelmatig te laat levert. Dat kan invloed hebben op klanttevredenheid of milieuprestaties, afhankelijk van de norm. Je kunt dit opnemen als risico, beoordelen op kans en impact, en koppelen aan een actie zoals alternatieve leveranciers zoeken of levertijden structureel monitoren. Zo wordt risicodenken praktisch en bruikbaar.
In ISO Portal Online kun je dit onderwerp stap voor stap beoordelen. Begin met een korte beschrijving in gewone taal. Voeg daarna concrete voorbeelden, verantwoordelijken en eventuele acties toe. Het is beter om met een eenvoudige maar volledige invulling te starten dan te wachten tot alles perfect is. Je kunt de inhoud later aanscherpen wanneer er nieuwe informatie beschikbaar is, bijvoorbeeld na een interne audit, directiebeoordeling of wijziging in de organisatie.
Werk bij voorkeur met vaste velden of terugkerende onderdelen: omschrijving, relevantie, verantwoordelijke, bewijs of registratie, evaluatiemoment en eventuele vervolgactie. Zo ontstaat er een herkenbare structuur. Dat helpt medewerkers om informatie terug te vinden en helpt tijdens audits om snel te laten zien hoe het systeem is opgebouwd. Als je dit consequent doet, wordt de kennisbank ook een verlengstuk van de tool: de gebruiker leest uitleg en kan daarna direct het juiste onderdeel invullen.
Een veelgemaakte fout is dat organisaties te algemeen blijven. Zinnen als ‘wij leveren kwaliteit’ of ‘wij voldoen aan wetgeving’ zeggen weinig als niet duidelijk is hoe dat gebeurt. Een tweede fout is dat er geen eigenaar wordt benoemd. Als niemand verantwoordelijk is, blijft opvolging vaak liggen. Een derde fout is dat informatie eenmalig wordt ingevuld en daarna niet meer wordt bekeken. ISO vraagt juist dat je systeem actueel blijft en meebeweegt met veranderingen.
Een andere valkuil is dat dit onderwerp los blijft staan van de rest van het managementsysteem. Risico’s en kansen heeft vaak verband met andere onderdelen, zoals risico’s en kansen, doelen, communicatie, processen, audits en verbetering. Leg die koppeling daarom waar mogelijk vast. Als uit dit onderdeel een belangrijk aandachtspunt komt, maak er dan een actie, risico, doel of verbeterpunt van. Zo voorkom je dat informatie alleen beschrijvend is en geen effect heeft in de praktijk.
Gebruik deze checklist om te controleren of je dit onderdeel concreet genoeg hebt ingevuld.
Voor ISO 9001 is vooral belangrijk dat de informatie niet alleen klopt op het moment van invullen, maar ook actueel blijft. Plan daarom een vast evaluatiemoment. Dat kan bijvoorbeeld tijdens de interne audit, de directiebeoordeling of bij een belangrijke wijziging in processen, locaties, wetgeving, leveranciers of klantverwachtingen.
Nee. De uitwerking moet passen bij de grootte, risico’s en activiteiten van je organisatie. Voor een kleine organisatie kan een korte maar concrete beschrijving voldoende zijn. Bij meer locaties, meer medewerkers of grotere risico’s verwacht je meestal meer detail.
Begin met één herkenbaar voorbeeld uit de praktijk. Beschrijf wat er gebeurt, waarom dit relevant is voor ISO 9001, wie verantwoordelijk is en welk bewijs beschikbaar is. Vanuit dat voorbeeld kun je de rest van het onderdeel verder aanvullen.
Controleer dit minimaal tijdens de interne audit of directiebeoordeling. Doe dit ook eerder wanneer er iets verandert, zoals een nieuwe werkwijze, nieuwe leverancier, wijziging in wetgeving, klacht, incident of verandering in klantverwachtingen.
Een auditor let erop of je het onderwerp begrijpt, of de uitwerking past bij je organisatie en of er een logische koppeling is met de praktijk. De auditor verwacht meestal geen perfecte tekst, maar wel een aantoonbare werkwijze. Kun je uitleggen waarom dit onderdeel zo is ingevuld? Kun je laten zien dat de informatie wordt gebruikt? En kun je aantonen dat verbeterpunten worden opgevolgd? Als je die vragen kunt beantwoorden, is dit onderdeel meestal goed onderbouwd.
Houd het daarom praktisch. Schrijf alsof je het uitlegt aan een nieuwe medewerker of aan een auditor die je organisatie nog niet kent. Duidelijke taal, concrete voorbeelden en zichtbare opvolging maken je managementsysteem sterker dan lange documenten die niemand gebruikt.