ISO 9001 Clausule 6: Planning — Risico’s, Kansen en Doelstellingen

Wat is ISO 9001 Clausule 6?

ISO 9001 Clausule 6 is de planningsfase van uw kwaliteitsmanagementsysteem. Hier bepaalt u hoe u met risicos en kansen omgaat, stelt u concrete kwaliteitsdoelstellingen vast en plant u hoe u wijzigingen gecontroleerd doorvoert. Clausule 6 is de brug tussen de strategische context (clausule 4) en de operationele uitvoering (clausule 8).

Wat zegt de norm?

Clausule 6 bestaat uit drie sub-clausules:

• 6.1 Acties om risicos en kansen aan te pakken – De organisatie moet risicos en kansen bepalen die relevant zijn voor het bereiken van de beoogde resultaten van het KMS.
• 6.2 Kwaliteitsdoelstellingen en planning om deze te bereiken – Stel meetbare kwaliteitsdoelstellingen vast voor relevante functies, niveaus en processen.
• 6.3 Planning van wijzigingen – Als de organisatie wijzigingen in het KMS nodig acht, moeten deze op geplande wijze worden doorgevoerd.

6.1 Risicos en kansen: risico-gebaseerd denken in ISO 9001

Een van de belangrijkste innovaties van ISO 9001:2015 is de introductie van risico-gebaseerd denken als vervanging van de preventieve maatregelen uit de oude norm. In plaats van een apart preventieve maatregelenproces, wordt risicodenken verweven door de gehele norm.

Wat verstaat ISO 9001 onder risico?

In de context van ISO 9001 gaat het om risicos die van invloed zijn op het bereiken van de beoogde resultaten van uw KMS. Concreet: risicos die er voor kunnen zorgen dat uw producten of diensten niet voldoen aan klanteisen, dat klanttevredenheid daalt, of dat uw kwaliteitsprocesen falen. Voorbeelden:

• Leveranciersdefault die de continuiteit van grondstoffen beinvloedt
• Personeelsverloop van sleutelfunctionarissen met specifieke kwaliteitskennis
• Technische storingen in productiemachines die leiden tot nonconformiteitenproductie
• Veranderende wet- en regelgeving die productspecificaties beinvloedt
• Klantconcentratie (afhankelelijkheid van een of enkele grote klanten)

Kansen ook in kaart brengen

Naast risicos vraagt de norm ook om kansen te identificeren. Kansen zijn positieve mogelijkheden die uw KMS kan benutten. Voorbeelden:

• Nieuwe technologie die kwaliteitscontrole goedkoper of nauwkeuriger maakt
• Groeiende marktvraag naar gecertificeerde kwaliteit in uw sector
• Partnerschap met een sterke leverancier dat uw inkoopkwaliteit verbetert
• Toegang tot een nieuw marktsegment dankzij ISO 9001-certificering

Hoe ver gaat het risicomanagement bij ISO 9001?

ISO 9001 vereist geen formeel risicomanagementsysteem conform ISO 31000. De norm vraagt om nadenken over risicos en er systematisch op te reageren. U hoeft geen kwantitatieve risicomatrix te gebruiken als dat niet past bij uw organisatie, maar u moet wel aantoonbaar kunnen laten zien dat u risicos en kansen heeft geidentificeerd en dat u actie onderneemt. Een eenvoudige risicolijst met behandelacties kan voldoende zijn voor een kleine organisatie.

Een risicoregister voor kwaliteit opbouwen

Een risicoregister is een gestructureerd overzicht van alle geidentificeerde risicos en kansen, de bijbehorende beoordeling en de geplande of genomen acties. Een praktisch risicoregister voor kwaliteitsmanagement bevat de volgende elementen per risico:

• Risico-ID – Een unieke referentie
• Beschrijving – Wat kan er misgaan en waarom?
• Bron – Interne of externe context, leverancier, proces, wetgeving
• Potentieel gevolg – Wat is de impact als het risico realiteit wordt? Denk aan klantontevredenheid, non-conformiteiten, productieverlies, boetes.
• Kans (1-5) – Hoe waarschijnlijk is het dat dit risico optreedt?
• Impact (1-5) – Hoe ernstig is de impact?
• Risiconiveau – Kans x Impact (risicoscore)
• Behandeling – Mitigeren, accepteren, overdragen, vermijden
• Actie(s) – Welke concrete stappen worden genomen?
• Eigenaar – Wie is verantwoordelijk?
• Deadline – Wanneer is de actie uitgevoerd?
• Restrisico – Het risiconiveau na behandeling

6.2 Kwaliteitsdoelstellingen SMART formuleren

Kwaliteitsdoelstellingen zijn de concrete, meetbare uitingen van uw kwaliteitsbeleid. De norm stelt dat doelstellingen moeten worden vastgesteld voor relevante functies, niveaus en processen. Dit betekent dat u doelstellingen heeft op organisatieniveau, op procesniveau en mogelijk zelfs op afdelingsniveau.

Vereisten aan kwaliteitsdoelstellingen

De norm is specifiek over wat kwaliteitsdoelstellingen moeten zijn:

• Consistent met het kwaliteitsbeleid
• Meetbaar (voor zover praktisch uitvoerbaar)
• Rekening houdend met toepasselijke eisen
• Relevant voor conformiteit van producten/diensten en het verhogen van klanttevredenheid
• Bewaakt
• Gecommuniceerd
• Bijgewerkt wanneer nodig

SMART kwaliteitsdoelstellingen in de praktijk

SMART staat voor Specifiek, Meetbaar, Acceptabel, Relevant en Tijdgebonden. Vergelijk:

• Niet-SMART: We willen de klanttevredenheid verbeteren.
• SMART: We bereiken een klanttevredenheidsscore van minimaal 8,0 op een schaal van 10 in de jaarlijkse klantenquete, gemeten in december 2025, door de responsstijd op klachten te verkorten naar maximaal 24 uur.

Voorbeelden van goed geformuleerde kwaliteitsdoelstellingen:

• Leverbetrouwbaarheid: minimaal 98% van de orders op tijd geleverd in 2025 (meting: maandelijks, eigenaar: logistiek manager)
• Klachtenreductie: het aantal gegronde klachten daalt met 20% ten opzichte van 2024 (meting: kwartaal, eigenaar: kwaliteitsmanager)
• First time right: minimaal 95% van de geproduceerde producten voldoet bij eerste inspectie aan de specificaties (meting: wekelijks, eigenaar: productiemanager)
• Leveranciersbeoordeling: 100% van de A-leveranciers heeft een actuele beoordeling eind Q2 2025 (meting: halfjaarlijks, eigenaar: inkoopafdeling)

Kwaliteitsdoelstellingen documenteren en bewaken

De norm vereist dat u gedocumenteerde informatie bijhoudt over de kwaliteitsdoelstellingen. Leg in uw documentatie per doelstelling vast: de doelstelling zelf, de meetmethode, de frequentie van meten, de eigenaar en de middelen die nodig zijn. Rapporteer de voortgang op kwaliteitsdoelstellingen minimaal kwartaal aan het management en bespreek ze uitgebreid in de jaarlijkse directiebeoordeling.

6.3 Planning van wijzigingen

Wanneer uw organisatie wijzigingen in het KMS wil doorvoeren, vereist clausule 6.3 dat deze op een geplande wijze worden doorgevoerd. Dit klinkt vanzelfsprekend, maar in de praktijk worden wijzigingen in processen, procedures en systemen regelmatig zonder goede planning doorgevoerd, met kwaliteitsproblemen als gevolg.

Bij het plannen van wijzigingen moet u rekening houden met:

• Het doel van de wijziging en de potentiele gevolgen voor het KMS
• De integriteit van het KMS (de wijziging mag het systeem niet ondermijnen)
• Beschikbaarheid van middelen (mensen, budget, tijd)
• Verantwoordelijkheden en bevoegdheden (wie besluit, wie implementeert, wie valideert)

Verschil ISO 9001 clausule 6 vs ISO 27001 clausule 6

Beide normen hebben een clausule 6 over planning, maar er zijn aanzienlijke verschillen in de diepgang van het risicomanagement:

• Formaliteit – ISO 27001 clausule 6 is aanzienlijk formeler: het vereist een volledige risicobeoordeling op basis van risicocriteria, een risicobehandelingsplan en de Verklaring van Toepasselijkheid. ISO 9001 clausule 6 is flexibeler en vereist geen geformaliseerde methodiek.
• Scope van risicos – ISO 27001 richt zich specifiek op informatiebeveiligingsrisicos. ISO 9001 richt zich op risicos die de kwaliteitsresultaten en klanttevredenheid beinvloeden.
• Doelstellingen – Beide normen vereisen meetbare doelstellingen, maar ISO 27001 koppelt doelstellingen expliciet aan de informatiebeveiligingsrisicos, terwijl ISO 9001 meer ruimte laat voor de koppeling aan het kwaliteitsbeleid en de klanteisen.
• Wijzigingsbeheer – ISO 9001 heeft een expliciete sub-clausule voor wijzigingsbeheer (6.3); ISO 27001 behandelt wijzigingsbeheer meer verspreid door de norm (o.a. 8.1).
• Integratie – Organisaties met beide normen kunnen het risicomanagement deels integreren, maar moeten ervoor zorgen dat beide perspectieven (kwaliteitsrisicos en informatiebeveiligingsrisicos) voldoende diepgang krijgen.

Veelgemaakte fouten bij clausule 6

• Risicos alleen op papier – Er is een risicoregister maar het wordt nooit gebruikt bij besluitvorming of procesontwerp.
• Kwaliteitsdoelstellingen niet meetbaar – Doelstellingen zijn geformuleerd maar bevatten geen concrete maatstaf of geen deadline, waardoor niet te beoordelen is of ze behaald zijn.
• Doelstellingen niet gecommuniceerd – De directie kent de kwaliteitsdoelstellingen, maar medewerkers die ze moeten realiseren zijn er niet van op de hoogte.
• Geen actieplan bij doelstellingen – De norm vereist ook een plan van aanpak: hoe gaat u de doelstelling bereiken, met welke middelen, en wie is verantwoordelijk? Velen leggen alleen de doelstelling vast zonder plan.
• Wijzigingen zonder planning – Proceswijzigingen worden ad-hoc doorgevoerd zonder de impact op het KMS te beoordelen, wat kan leiden tot onbedoelde kwaliteitsproblemen.
• Risicos en kansen eenzijdig – Alleen risicos worden geidentificeerd; kansen worden vergeten, terwijl de norm expliciet vraagt om beide.

Stap-voor-stap aanpak voor clausule 6

1. Voer een risicoworkshop uit – Breng relevante stakeholders samen om risicos en kansen te identificeren vanuit de context (clausule 4) en de kwaliteitsdoelstellingen.
2. Stel een risicoregister op – Documenteer alle risicos en kansen met kans, impact, behandeling en actieplan.
3. Bepaal kwaliteitsdoelstellingen – Stel SMART doelstellingen vast op organisatie- en procesniveau, consistent met het kwaliteitsbeleid.
4. Maak een actieplan per doelstelling – Leg vast hoe u de doelstelling bereikt, wie verantwoordelijk is, welke middelen nodig zijn en wanneer.
5. Communiceer doelstellingen – Zorg dat alle relevante medewerkers en managers op de hoogte zijn van de kwaliteitsdoelstellingen en hun eigen bijdrage eraan.
6. Richt een wijzigingsbeheerproces in – Definieer hoe wijzigingen worden beoordeeld, goedgekeurd en gedocumenteerd voordat ze worden doorgevoerd.
7. Monitor en rapporteer – Volg de voortgang op doelstellingen en risicoacties periodiek (minimaal kwartaal) en presenteer resultaten in de directiebeoordeling.

Relatie met andere clausules

• Clausule 4 – De contextanalyse (4.1) en de stakeholdereisen (4.2) zijn de primaire input voor de risicoidentificatie in clausule 6.1.
• Clausule 5 – Het kwaliteitsbeleid (5.2) biedt het kader waarbinnen de kwaliteitsdoelstellingen (6.2) worden geformuleerd.
• Clausule 8 – De acties die worden gepland in clausule 6 worden operationeel uitgewerkt en uitgevoerd in clausule 8.
• Clausule 9 – De voortgang op doelstellingen (6.2) en de effectiviteit van risicoacties (6.1) worden beoordeeld via de prestatiebeoordeling in clausule 9.
• Clausule 10 – Verbeteringen uit clausule 10 kunnen leiden tot bijstelling van doelstellingen en risicobehandeling in clausule 6.

FAQ

Moet ik een formele risicobeoordeling uitvoeren zoals bij ISO 27001?

Nee, ISO 9001 vereist geen formele risicobeoordeling conform ISO 31000 of de uitgebreide methodiek die ISO 27001 voorschrijft. De norm vraagt om risicogebaseerd denken: u moet risicos en kansen identificeren en hier systematisch op reageren. De aanpak mag proportioneel zijn aan de complexiteit van uw organisatie. Een kleine organisatie kan volstaan met een eenvoudige risicolijst en actiepunten; een grote organisatie in een high-risk sector heeft doorgaans een uitgebreidere aanpak nodig.

Hoeveel kwaliteitsdoelstellingen moet ik hebben?

De norm schrijft geen minimum of maximum voor. Het principe is dat u doelstellingen heeft voor relevante functies, niveaus en processen. In de praktijk hebben de meeste organisaties vier tot acht organisatiebrede kwaliteitsdoelstellingen, aangevuld met procesniveau-doelstellingen. Kwaliteit gaat boven kwantiteit: zes goed gedefinieerde, actief bewaakte SMART-doelstellingen zijn beter dan twintig vage doelstellingen die niemand bijhoudt.

Mag ik kwaliteitsdoelstellingen aanpassen tijdens het jaar?

Ja, de norm stelt zelfs expliciet dat doelstellingen bijgewerkt worden wanneer nodig. Als de context aanzienlijk verandert (nieuwe marktontwikkelingen, strategiewijziging, significante incidenten), mag u doelstellingen aanpassen. Documenteer altijd waarom u een doelstelling heeft aangepast en wat de nieuwe doelstelling is. De externe auditor zal vragen naar de motivatie voor wijzigingen.

Wat is het verschil tussen een risico en een non-conformiteit?

Een risico is een potentieel negatief gevolg dat zich nog niet heeft voorgedaan. Het is een toekomstige onzekerheid. Een non-conformiteit is een feitelijke afwijking die al heeft plaatsgevonden. U beheert risicos proactief (clausule 6) om non-conformiteiten te voorkomen, en u behandelt non-conformiteiten reactief (clausule 10) als ze eenmaal zijn opgetreden. Het risicoregister helpt u problemen te voorkomen voordat ze non-conformiteiten worden.

Hoe integreer ik het risicomanagement van ISO 9001 en ISO 27001?

Als uw organisatie beide normen implementeert, kunt u de risicomanagementprocessen deels integreren. Gebruik een gecombineerd risicoregister met een kolom die aangeeft of het risico betrekking heeft op kwaliteit, informatiebeveiliging, of beide. Voer gecombineerde risicoworkshops uit waarbij zowel kwaliteits- als beveiligingsexperts aanwezig zijn. Houd wel rekening met de strengere methodische eisen van ISO 27001 voor de informatiebeveiligingsrisicos, die doorgaans een aparte risicobeoordeling met expliciete risicocriteria vereisen.

Hoe betrek ik procesmanagers bij het bepalen van kwaliteitsdoelstellingen?

Kwaliteitsdoelstellingen werken het best als ze bottom-up worden bepaald, niet alleen top-down opgelegd. Organiseer een jaarlijkse doelstellingsworkshop waarbij procesmanagers hun eigen procesrisicos, verbetermogelijkheden en doelstellingen inbrengen. De directie stelt vervolgens de organisatiebrede doelstellingen vast in lijn met de strategie, maar neemt de input van procesmanagers mee. Zo ontstaan doelstellingen die zowel strategisch relevant zijn als operationeel eigenaarschap hebben.