De risicoanalyse is het hart van ISQM 1 en daarmee ook van het Nederlandse SKM 1. In dit artikel lees je hoe je risico’s systematisch identificeert, beoordeelt en koppelt aan passende maatregelen — en hoe je voorkomt dat je blijft hangen in algemeenheden.
Zonder risicoanalyse geen werkend SKM
De meeste kantoren die werken aan hun Stelsel van Kwaliteitsmaatregelen (SKM 1) beginnen vol enthousiasme met formats, instructies en kwaliteitsdoelstellingen. Maar wat vaak onderschat wordt, is de rol van de risicoanalyse.
ISQM 1 stelt de risicoanalyse centraal. Zonder goed inzicht in waar het bij jouw kantoor mis kan gaan, kun je geen effectieve maatregelen treffen — en dus ook geen werkend systeem van kwaliteitsmanagement bouwen.
ISQM 1 schrijft voor dat je kwaliteitsrisico’s systematisch identificeert, inschat en monitort. Niet als momentopname, maar als continu proces dat verbonden is met je opdrachten, personele bezetting, cultuur en organisatieontwikkelingen.
Wat is een kwaliteitsrisico onder ISQM 1?
Een kwaliteitsrisico is een omstandigheid die, als je geen maatregelen neemt, kan leiden tot:
- een afwijking van professionele standaarden,
- een onjuiste of onvolledige opdrachtuitvoering,
- het niet behalen van je kwaliteitsdoelstellingen,
- of reputatie- of integriteitsschade.
Anders gezegd: elk risico dat de kwaliteit van je dienstverlening in gevaar brengt.
Het gaat daarbij niet alleen om ‘grote’ risico’s zoals fraude of integriteitsconflicten, maar ook om structurele zwaktes zoals:
- onervaren medewerkers,
- te weinig toezicht op dossiers,
- afhankelijkheid van een key partner,
- of een IT-systeem dat niet geschikt is voor controleopdrachten.
Hoe voer je een risicoanalyse uit?
Stap 1: inventariseer je kernprocessen en kwaliteitsdoelstellingen
Breng per ISQM-component in kaart wat de kritieke processen zijn en welke doelstellingen je daar hebt geformuleerd (zie ook artikel <…>). Bijvoorbeeld:
- Opdrachtacceptatie
- Dossiervorming
- Opleidingen
- Review en coaching
Stap 2: identificeer risico’s per proces of component
Ga na: waar zitten de kwetsbaarheden? Denk aan:
| Proces | Mogelijke risico’s |
| Opdrachtacceptatie | Onduidelijke risico-inschatting, commerciële druk |
| Dossiervorming | Gebrek aan formatdiscipline, tijdsdruk bij afsluiten |
| Personeel | Hoge uitstroom, onvoldoende begeleiding van starters |
| Monitoring | Te geringe diepgang, onvoldoende opvolging van bevindingen |
Wees kritisch en specifiek: als je risicoanalyse te algemeen is (“medewerkers maken fouten”), kun je geen gerichte maatregel treffen. Het is belangrijk om dan duidelijk te maken welke fouten medewerkers kunnen maken. Te veel risico’s kan er trouwens ook toe leiden dat mensen door de bomen het bos niet meer zien. Blijf dus bij de kern en verzandt niet teveel in details.
Stap 3: beoordeel de risico’s
Voor elk risico bepaal je:
- Kans: hoe vaak komt dit voor of kan het voorkomen?
- Impact: wat is het gevolg voor de kwaliteit als het risico zich voordoet?
Gebruik bijvoorbeeld een matrix of scoringsmodel om prioriteiten te bepalen. Dit helpt je ook om keuzes achteraf te verantwoorden. Door op deze manier te werken kun je kwaliteitsrisico’s ook heel goed opnemen in het format van de SIRA.
Stap 4: koppel risico’s aan maatregelen
Bij elk risico formuleer je bestaande of nieuwe beheersmaatregelen. Bijv.:
- “Onvoldoende beoordeling van complexe opdrachten” → maatregel: verplichte opdrachtgerichte overleg met een vaktechnisch specialist.
- “Onafhankelijkheid niet goed vastgelegd” → maatregel: digitaal systeem met herinneringen en toetsmomenten.
Let op: ISQM 1 vereist meer dan het benoemen van maatregelen. Je moet ook aangeven hoe ze het risico verkleinen — en hoe je toetst of ze werken.
Hoe scherp moet je zijn?
De risicoanalyse moet realistisch én specifiek zijn. Je hoeft niet elk incident of detail als risico te benoemen, maar je moet wel laten zien dat je:
- kritisch hebt gekeken naar je eigen praktijk,
- keuzes hebt gemaakt in prioriteiten,
- en bij relevante risico’s concrete beheersmaatregelen hebt getroffen.
Toezichthouders en toetsers zullen vooral letten op:
- De aansluiting tussen risico’s en kwaliteitsdoelstellingen,
- De concretisering van risico’s (geen vage containertermen),
- De verhouding tussen risico’s en maatregelen (zijn ze adequaat, of een pleister?),
- De actualiteit van de analyse.
Voorbeeld: risicoanalyse in de praktijk
| Onderdeel | Kwaliteitsrisico | Kans | Impact | Maatregel |
| Personeel | Nieuwe medewerkers kennen dossiervoorschriften niet | Hoog | Middel | Starttraining, coaching bij eerste 3 opdrachten |
| Opdrachtacceptatie | Complexe opdrachten worden zonder review geaccepteerd | Middel | Hoog | Vaktechnisch overleg verplicht boven bepaald risiconiveau |
| Monitoring | Reviews worden beperkt tot dossiercheck | Hoog | Hoog | Inhoudelijke vaktechnische toetsing met feedback |
Uiteraard kun je een risicoscore op een meer professioneel niveau vormgeven. Bijvoorbeeld door de risicoscore op een vijfpuntschaal vorm te geven. Zo krijg je een fijnmaziger beeld van kwaliteitsrisico’s die je wilt prioriteren voor beheersing of monitoring. Daarbij verdient het altijd de aanbeveling om een toelichting te geven bij de keuze voor een variabele. De kans op dit risico is laag omdat… en de impact van dit risico is hoog omdat… Zo krijg je een onderscheidend en gedetailleerd risicomodel, waarmee je ook richting toezichthouders of de beroepsorganisatie keuzes kunt onderbouwen.
Veelgestelde vragen
Hoe vaak moet ik de risicoanalyse actualiseren?
Minimaal jaarlijks, maar ook bij relevante gebeurtenissen: personeelswissel, klachten, toetsing, nieuwe regelgeving of dienstverlening.
Moet ik alle risico’s vastleggen in een rapport?
Je moet de risico’s identificeren, beoordelen en documenteren — maar je mag zelf kiezen hoe. Zolang de structuur logisch is, keuzes worden onderbouwd, en er een directe koppeling is met maatregelen, voldoet het.
Kan ik een voorbeeld gebruiken of een model invullen?
Dat mag, maar de inhoud moet echt van jezelf zijn. Een overgenomen template zonder reflectie op je eigen praktijk zal bij toetsing als onvoldoende worden beoordeeld.
Verder lezen
- Kwaliteitsdoelstellingen formuleren onder ISQM 1: dit zijn de succesfactoren
- Monitoring en evaluatie in het SKM: van controle-instrument naar leermiddel
- Zo sluit je je kwaliteitsmanagementsysteem aan op de praktijk van het mkb-kantoor
Assurvia helpt je risicoanalyse scherp en realistisch inrichten
Of je nu vanaf nul begint of je bestaande stelsel wilt aanscherpen: wij helpen bij het uitvoeren, structureren en onderbouwen van je risicoanalyse — gekoppeld aan concrete maatregelen en werkbare formats.
Neem contact op via info@assurvia.com of bekijk onze kennisbank voor meer ISQM-artikelen
