BSI kijkt vooruit naar de transitie: ISO 9001:2015 komt eraan!

Ooit was een ISO-certificaat een betrouwbaar instrument om de kwaliteit van geleverde producten of diensten aan te geven. De term kwaliteit draait inmiddels echter niet meer alléén om een product, dienst of afnemer. Stakeholders als de overheid, de directe leefomgeving, de werknemers, de privékring rond werknemers, de vakbonden, milieuorganisaties, banken, assuradeurs, investeerders, de supply chain, mondige burgers en noem maar op, stellen nu aanvullende eisen aan de organisatie.

Onderwerpen als veiligheid, duurzaamheid, arbeidsomstandigheden, eerlijke beloning, bedrijfscontinuïteit, governance en MVO spelen een steeds crucialere rol in het al dan niet succesvol opereren van bedrijven of dienstverleners. Naast de toenemende sociaal-maatschappelijke complexiteit liegen óók de overige uitdagingen er niet om. Een alsmaar venijnigere concurrentie, mondiale productieketens die niet altijd even transparant zijn, een krimpende voorraad natuurlijke grondstoffen, een opwarmende aarde en een voortdurend wijzigende arbeidsmarkt zijn daarvan slechts enkele voorbeelden.

Structuur van de nieuwe ISO 9001 norm

‘Deze ontwikkelingen zijn mede aanleiding geweest voor de nieuwe ISO 9001:2015’, legt André Gerhardus-van Hecke, Compliance & Risk Manager bij BSI uit. De BSI Group is expert op het gebied van auditing, certificatie en trainingen en telt wereldwijd 67 kantoren, die meer dan 72.000 klanten in 150 landen bedienen.

 

HIGH LEVEL STRUCTURE (HLS)

In het komende najaar zal ISO 9001:2015 gepresenteerd worden. De norm is gebaseerd op een High Level Structure (HLS), die voor alle ISO-managementsysteemnormen gaat gelden en die we bijvoorbeeld ook al kennen uit ISO 27001. ‘Met de High Level Structure wordt een heldere, identieke opbouw van alle managementsysteemnormen geïntroduceerd, waarin alle normen gelijke hoofdstukken bevatten’, legt André uit. ‘Deze opbouw heeft als groot voordeel, dat het in elkaar schuiven van verschillende managementsystemen sterk vereenvoudigd wordt. Wat daarbij duidelijk helpt, zijn de ondubbelzinnige terminologie en de eenduidige definities. Verder beschrijft de HLS het onderling verband tussen het managementsysteem, het strategische beleid en de uitvoerende processen binnen een organisatie.’

‘De op ISO gebaseerde managementsystemen vragen om een nieuwe benadering. Ze moeten beter aansluiten op een integraal risico- en compliancemanagement’, inventariseert André. ‘Een belangrijk verschil met de versie uit 2008 is, dat risicogericht denken de basis voor het managementsysteem geworden is. Bij risico’s gaat het dan om bedreigingen, maar zeker ook om kansen. De nieuwe versie omvat niet alleen algemene eisen, ze daagt organisaties ook uit om risico’s te analyseren.

Door de bredere kijk op risicomanagement, maar evenzeer door de behoeften en verwachtingen van stakeholders in kaart te brengen, biedt ISO 9001:2015 meer mogelijkheden om het kwaliteitsmanagementsysteem te verbeteren en de beoogde resultaten te behalen.’ ‘Daarnaast legt de nieuwe norm meer nadruk op leiderschap en het commitment bij de top. De leiding moet verantwoordelijkheid nemen voor de effectiviteit van het kwaliteitsmanagement. Kwaliteit dient op één lijn te liggen met de bedrijfsstrategie en de doelstellingen. Er bestaat geen apart opererend kwaliteitssysteem meer; het integreert volledig. Hierdoor ontstaat meer focus en betrokkenheid.

Het systeem sluit aan bij de kernactiviteiten van het bedrijf. Niet de directievertegen-woordiger, maar de top is direct aanspreekbaar. Dit houdt natuurlijk tevens in, dat er een sterkere focus komt op het aanjagen van verbeteringen en de bijbehorende planning om doelstellingen te behalen.’ ‘Een ander verschil met de oude norm is de aandacht voor de stakeholders. In de supply chain bijvoorbeeld, vereist dit een strikte regie over processen, producten en diensten van externe dienstverleners of leveranciers. Op deze manier sluit de norm aan bij het gegeven dat organisaties opereren binnen een totale keten. In verband hiermee zal een organisatie eveneens beter voorbereid moeten zijn op geplande en ongeplande veranderingen. Risicomanagement zal een veel belangrijkere rol gaan spelen.’

 

CONTEXT VAN DE ORGANISATIE

André Gerhardus-van Hecke verwacht dat bij de transitie naar ISO 9001:2015 veel vragen ontstaan over hoofdstuk 4. Dit hoofdstuk gaat in op de zogenaamde ‘context van de organisatie’ en geldt als algemeen uitgangspunt voor alle kwaliteitssystemen binnen de onderneming of instelling. In paragraaf 4.1 inventariseert de organisatie haar omgeving en hoe die van invloed kan zijn op het beleid of de doelstellingen. Aan de hand van § 4.2 moet een overzicht gemaakt worden van alle stakeholders en hun eisen en verwachtingen. In paragraaf 4.3 wordt met behulp van de conclusies uit 4.1 en 4.2 bepaald wat het toepassingsgebied van het managementsysteem is. Anders gezegd: hier wordt de scope van het managementsysteem afgebakend.

‘In § 4.1 moet de organisatie “haar context” bepalen’, gaat André nader in op het hoofdstuk. ‘Bij het bepalen van “de context” moet je denken aan in- en externe onderwerpen waar de organisatie rekening mee moet houden. Deze “onderwerpen” kunnen invloed hebben op wat de organisatie doet, of op de beoogde resultaten van het managementsysteem. Het kan een breed scala van onderwerpen betreffen.’

‘Bij het in kaart brengen van onderwerpen zou je de businessanalyse PESTLE kunnen gebruiken: P voor Politiek, E voor Economisch, S voor Sociaal, T voor Technologie, L voor Legal en E voor Environmental. Het is aan te bevelen om de contextanalyse ook in een breder verband aan te pakken, met vertegenwoordigers van alle geledingen binnen de organisatie. PESTLE geeft een helikopterview vanuit de vele verschillende invalshoeken die invloed hebben op de doelstellingen van de organisatie. Het gaat erom of we de hele context van de organisatie in beeld hebben in alle lagen, naar alle afdelingen. Doordat PESTLE dwingt om in alle richtingen te speuren, kunnen belangrijke stakeholders tevoorschijn komen die in een beperkte analyse niet gezien zouden zijn. Een praktisch voorbeeld hiervan is, hoe personeel en investeerders een cruciale rol spelen bij het voortbestaan van V&D.’

 

DE STAKEHOLDER

Vanuit de in- en externe onderwerpen uit § 4.1, moeten stakeholders worden vastgesteld en wat hun wensen en eisen zijn. Dat is nieuw, want in de oude norm stond feitelijk alleen de klant als belanghebbende centraal. Dit is nu veel breder getrokken.

‘Een stakeholder is een persoon of organisatie die invloed kan uitoefenen, beïnvloed kan worden of kan merken dat hij/zij wordt beïnvloed door een besluit of activiteit dat binnen de scope ligt’, legt André uit. ‘Kijk in eerste instantie zo breed mogelijk en redeneer weer vanuit PESTLE. Hou er rekening mee, dat het hier – anders dan bij MVO – gaat om de stakeholder die van invloed is op het kwaliteitsmanagementsysteem en de bedoelde resultaten ervan.’

‘De norm vraagt om de totale context in kaart te brengen en dat kan heel breed zijn. Vaak zal niet direct helder zijn wie stakeholder is en wat de eventuele eisen en verwachtingen zijn. De kunst is dan, niet drie stappen in één keer te willen zetten. Eerst onderwerpen bepalen, dan de belanghebbenden vinden en vervolgens achterhalen wat hun wensen en eisen zijn. Doorgaans zal een organisatie dit vaak al weten, maar in sommige gevallen is het van belang dat verder te onderzoeken.’

 

DE SCOPE

In § 4.3 moet de scope van het managementsysteem worden vastgesteld. De scope gaat in op de hoofdvraag: Wat wil de organisatie met het managementsysteem? Er moet rekening worden gehouden met de grenzen en de toepasbaarheid van de scope. De stappen uit de eerdere paragrafen dienen natuurlijk als input.

‘Het antwoord op de vraag naar wat we willen met het managementsysteem, kan veel breder zijn dan de beschrijving van de scope op het certificaat’, meent André. ‘Je kan meer zaken meenemen; denk bijvoorbeeld aan de status op de werkvloer of de arbeidssatisfactie. Je moet helder maken, wat je wel of niet meeneemt en waarom. Uitbesteden betekent niet uitsluiten van de scope. Sterker nog, de norm is heel specifiek over hoe uitbestede processen gecontroleerd en beïnvloed moeten worden...’

‘Elke organisatie zal hierover beslist hebben nagedacht, maar conform ISO 9001:2015 moet je er niet alleen over nadenken, je moet de resultaten van het denkproces ook vastleggen. De scope moet dus beschikbaar zijn als gedocumenteerde informatie. Dat is niet nieuw, maar het is nu wel gekoppeld aan de context en de stakeholders.’

 

VOORDELEN

Vanuit de contextanalyse is de conclusie mogelijk, dat de scope in het verleden te krap of juist te breed geformuleerd is. Een goede analyse van context en scope leidt er overigens wel toe dat het management systeem beter aansluit bij de organisatie en een geïntegreerd gereedschap vormt. ‘Behalve dat biedt ISO 9001:2015 andere belangrijke voordelen’, vult André Gerhardus-van Hecke aan. ‘Zoals eerder gezegd, wordt in de eerste plaats het geintegreerd toepassen van verschillende managementsysteemnormen eenvoudiger, want de structuur en kerneisen zijn immers hetzelfde. Ook is de nieuwe norm flexibeler. Certificatie kan effectiever gericht worden op de onderwerpspecifieke aanvullingen op het basismanagementsysteem. De kerneisen kunnen namelijk geïntegreerd getoetst worden.

Verder zijn de nieuwe normen beter op de strategie en “governance” aan te sluiten. Een goede inbedding in de “normale” bedrijfsvoering is zelfs vereist. Tot slot: risicomanagement, compliancemanagement en procesbeheersing zijn verankerd in de nieuwe ISO-norm. De contextanalyse zorgt voor meer externe gerichtheid en het leiderschap neemt een veel prominentere plek in’, besluit André. ‘Samengevat mag je best concluderen, dat organisaties dankzij ISO 9001:2015 tijd en kosten besparen, terwijl het managementsysteem meer waarde toevoegt aan succes en continuïteit.’

 

MINDER BUREAUCRATISCH?

In de nieuwe norm vervangt de term ‘gedocumenteerde informatie’ de uitdrukking ‘Documenten, Procedures en Registraties’. Hierdoor wordt wel eens geopperd dat er in de nieuwe norm weinig tot niets meer vastgelegd zou moeten worden. ‘Dat is verre van juist’, weerlegt André. ‘Als je beziet hoe vaak gedocumenteerde informatie moet worden vastgelegd, dan is dat zeker niet minder dan in het verleden. Het grote verschil zit in de ruimere vormvrijheid. Je moet nu aantonen dat je bepaalde processen hebt ingericht, je hoeft ze echter niet tot in de finesses te beschrijven. Je moet je zaken regelen of zorgen dat ze geregeld zijn, maar als een en ander eenmaal geborgd is, hoef je het ‘hoe’ veel minder vaak aan te tonen. Dankzij deze opzet is de 2015-versie minder bureaucratisch. Er is meer vrijheid, meer ruimte en de aanpak is veel praktischer. Met name kleinere organisaties profiteren hiervan. In de nieuwe norm kun je veel met werkafspraken organiseren zonder alles tot in de puntjes te documenteren.’

 

VOORBEREIDINGEN OP DE TRANSITIE

De overgangsperiode ISO 9001:2008 naar de nieuwe versie start in september 2015 en eindigt in september 2018. Certificaten, die zijn uitgegeven op basis van ISO 9001:2008, zullen drie jaar na de publicatie van ISO 9001:2015 niet meer geldig zijn. De verloopdatum van de certificaten die in de overgangsperiode zijn uitgegeven, moeten corresponderen met het einde van de driejaars overgangstermijn.

De mate waarin organisaties aanpassingen moeten doorvoeren om aan de herziene ISO 9001 te voldoen, is afhankelijk van de vraag hoe goed het bestaande managementsysteem functioneert. Daarom is een impactanalyse aan te raden, om een realistische schatting te maken over de benodigde middelen en tijd voor de overgang.

‘Sommige organisaties bellen me enigszins in paniek met de vraag of hun “oude” certificaat binnenkort waardeloos is’, vertelt André. ‘Dat is niet zo, want met een ISO 9001:2008 heb je de belangrijkste stap immers al gemaakt. Je zult je uiteraard wel goed moeten voorbereiden. Zorg als eerste stap dat je de norm in handen krijgt. Ga die eens goed lezen. Begin vervolgens met het in kaart brengen van de context: in welke omgeving sta ik als bedrijf en welke factoren zijn voor mijn organisatie van belang. In dat proces schuilt meteen een belangrijke rol voor KAM-managers. BSI begint het proces met een self assessment door de organisatie. Hiermee kun je concreet aftasten wat geregeld is en moet worden. Je voorkomt verrassingen en ziet van te voren of je klaar bent voor de transitie.’