De nieuwe ISO-normen: evolutie of revolutie?

De nieuwe ISO-normen: evolutie
of revolutie?
Een goede voorbereiding is het halve werk
Wordt de overgang van ISO 9001:2008 naar ISO 9001:2015 voor u een evolutie of een revolutie? In 2000 hadden
de wijzigingen in ISO 9001 soms grote consequenties voor de gebruikers van de norm. Maar er waren toen ook
organisaties, die de uitgangspunten van de nieuwe norm al hanteerden in hun managementsysteem en voor wie
de nieuwe eisen naadloos aansloten bij hun opvattingen van een ‘goed’ kwaliteitsmanagementsysteem. De vraag
is dus of u nu voorbereid moet zijn op een harde schok of een zachte landing. De High Level Structure als nieuwe
basis voor alle managementsysteemnormen introduceert nieuwe concepten over de rol en het gebruik van
managementsystemen. Dus dat er het nodige gaat veranderen in 2015 staat als een paal boven water.
In dit artikel geven we u alvast wat tips om u voor te bereiden op de introductie van de nieuwe ISO-normen,
waarvan de meest gebruikte (ISO 9001 en ISO 14001) in 2015 verschijnen, maar ISO 27001 voor informatiebeveiliging dit najaar uitkomt en de ISO 22301 voor business continuity management al beschikbaar is.
Rene Gouwens, senior consultant NEN Training & Advies en Dick Hortensius, senior consultant NEN Managementsystemen
Belangrijkste aandachtspunten
De introductie van de High Level Structure (HLS) levert in
één van de eerste hoofdstukken al gelijk een wezenlijke
verandering op ten opzichte van de huidige opbouw van
managementsysteemnormen, namelijk eisen gericht op
analyse van de context waarin de organisatie opereert.
Essentiële elementen daarvan zijn:
1.Externe en interne issues die van invloed zijn op het
realiseren van de doelstellingen van de organisatie en
belangrijk zijn in het licht van het managementsysteem
en de daarmee beoogde resultaten (paragraaf 4.1).
2.De belanghebbenden (stakeholders) die relevant zijn voor
het managementsysteem en hun eisen, met inbegrip van
hun behoeften en verwachtingen (paragraaf 4.2).
Deze twee elementen moet de organisatie meenemen bij
het bepalen van de scope (begrenzingen en toepassing)
van het managementsysteem (paragraaf 4.3) en bij het
vaststellen van de risico’s (kansen en bedreigingen) die
moeten worden beheerst om de beoogde doelen/resultaten
te behalen (paragraaf 6.1). Geplande beheersmaatregelen moeten worden geïmplementeerd in de operationele
processen (paragraaf 8.1).
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
In een notendop zijn hiermee de belangrijkste processen
benoemd die explicieter dan voorheen onderdeel uitmaken
van de nieuwe generatie ISO-managementsysteemnormen:
a)Contextanalyse en risicomanagement (welke kansen
kunnen we benutten en met welke bedreigingen moeten
we rekening houden?)
b)Stakeholderidentificatie en compliance management (wie
zijn er belangrijk voor onze organisatie en welke eisen
moeten en willen wij naleven?)
Dit is weergegeven in de figuur op de volgende pagina.
Voor contextanalyse en risicomanagement kunnen we te
rade gaan bij ISO 31000, de ISO-richtlijn voor risicomanagement. Voor stakeholderidentificatie biedt ISO 26000
aanknopingspunten en voor compliance management wordt
gewerkt aan de nieuwe ISO 19600. Daarnaast is het nuttig
om ISO 9004 er weer eens bij te pakken. Deze richtlijn gaat
over het managen op duurzaam succes van een organisatie
en combineert daarbij logischerwijs inzichten op het gebied
van risico- en stakeholdermanagement.
Contextanalyse
De eis tot het uitvoeren van een contextanalyse, kan leiden
tot een uitgebreide exercitie. Daarom is het goed om stil te
1
Figuur 1 – Schematische relatie tussen contextanalyse, risico- en compliance-management
staan bij de volgende twee vragen: hoe ver moet ik gaan
in deze analyse? En wat is daarbij relevant in relatie tot de
managementsystemen in mijn organisatie? Om deze vragen
goed te kunnen beantwoorden, is het belangrijk eerst het
‘waarom’ van deze eis te achterhalen.
In onze ervaring zijn goed werkende managementsystemen
te herkennen aan de mate waarin ze zowel op operationeel
als op strategisch niveau een toegevoegde waarde hebben.
Ze ondersteunen organisaties in het formuleren en realiseren van bepaalde ambities door middel van het identificeren
en analyseren van relevante elementen, die samenhangen
met een te besturen aspect (zoals kwaliteit, arbeid, milieu)
en de handvatten die het de organisatie geeft om haar
prestaties ten aanzien van dat aspect te borgen en te
verbeteren. De kracht van een managementsysteemnorm
is de specifieke focus op een bepaald aspect. Maar dit
is in de praktijk tegelijkertijd ook een zwakte. Het goed
aansturen van een organisatie vereist een integrale aanpak
van alle voor haar relevante aspecten. De relevantie van
een kwaliteitsmanagementsysteem wordt niet bepaald door
de specifieke nadruk op de eisen en verwachtingen van de
klant, maar op de afweging van het belang van de klant ten
opzichte van andere relevante stakeholders, of maatschappelijke ontwikkelingen.
Goed werkende managementsystemen hebben als kenmerk, dat zij geïntegreerd zijn in de bedrijfsvoering, niet als
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
‘stand-alone’-systemen opereren en dat er een transparante afweging en besluitvorming op relevante aspecten
is. In de bestaande managementsysteemnormen heeft
de directievertegenwoordiger de verantwoordelijkheid het
managementsysteem onder de aandacht van de directie te
brengen en te houden. En daarmee te zorgen dat enerzijds
de resultaten van het systeem een rol spelen in strategische discussies en besluiten en anderzijds het systeem
wordt gevoed met aandachtspunten die belangrijk zijn voor
de directie en de strategische richting van de organisatie.
Maar gezien de praktijk is er meer nodig.
De contextanalyse moet gezien worden als een noodzakelijke stap om met managementsysteemnormen beter
aan te sluiten op een transparant en integraal (strategisch)
besluitvormingsproces. Hoe ver moet je daarin gaan? In
de praktijk niet verder dan de omgevingsanalyses die een
organisatie nu al uitvoert in het kader van strategieontwikkeling (bijvoorbeeld de welbekende SWOT-analyse).
Een nadere blik op de huidige strategische discussies of
projecten binnen uw organisatie zal al veel aanknopingspunten bieden om invulling te geven aan de contextanalyse.
Eigenlijk gaat het om het vaststellen in hoeverre deze
strategische discussies en projecten invloed hebben op
kwaliteit, milieu en/of veiligheid en hoe u daarmee rekening
kunt houden in de opzet en inrichting van het aanwezige
managementsysteem. Tegelijkertijd draagt dit bij aan een
integraal beeld ten aanzien van milieu-, veiligheids- en/of
2
kwaliteitsprestaties in het licht van de strategische richting
en doelen van de organisatie.
Om te bepalen waar u op dit moment staat,
kunt u zich de volgende vragen stellen.
Om te bepalen waar u op dit moment staat, kunt u zich de
volgende vragen stellen:
1.Welke contextanalyse is er op dit moment in mijn
organisatie al uitgevoerd (bijvoorbeeld in het kader van
strategische verbeterprojecten)? Spelen daarbij aspecten
een rol, die geborgd zijn via een managementsysteem?
Is er een zichtbare koppeling?
2.Borgt ons managementsysteem de voor de directie
relevante aspecten? Zo nee, hoe groot is het gat tussen
het aandachtsgebied van onze directie en dat van ons
managementsysteem?
3.Is er integraal overzicht waar en op welke wijze kwaliteit,
milieu en/of veiligheid een rol spelen bij de huidige
contextanalyse?
De managementsysteemnormen volgens de HLS maken
met behulp van de contextanalyse de afstand tot de
directiekamers kleiner. Dit komt ook tot uiting in de eis in
paragraaf 5.1 van de HLS, dat de directie ervoor moet zorgen dat het kwaliteits-, milieu- of veiligheidsbeleid aansluit
bij de strategische richting van de organisatie en dat het
systeem in de bedrijfsprocessen wordt geïntegreerd.
Risicomanagement
De contextanalyse is ook het uitgangspunt voor risicomanagement. De in het licht van het managementsysteem
relevante factoren die de doelstellingen van de organisatie
beïnvloeden, zijn volgens de definitie in ISO 31000 immers
de risico’s (kansen en bedreigingen) die je met het systeem
probeert te beheersen. In de huidige ISO 9001 ontbreekt
een expliciete eis tot het identificeren van risico’s, zoals die
bijvoorbeeld wel in ISO 14001 (de milieuaspectenanalyse)
en OHSAS 18001 (de gevarenanalyse) is opgenomen.
De HLS is gebaseerd op een risicobenadering vanuit het
principe, dat ‘goede’ bedrijfsvoering betekent dat de organisatie zich richt op het managen van de voor haar relevante
risico’s. Dat zorgt er immers voor dat doelstellingen worden
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
behaald en de organisatie succesvol is. De HLS geeft een
eenduidige benadering van het risicoconcept voor de
verschillende managementsysteemnormen. Daarbij wordt
gebruik gemaakt van het gedachtegoed van ISO 31000, de
ISO-norm voor risicomanagement.
Alhoewel in verschillende paragrafen van de HLS eisen zijn
opgenomen betreffende het identificeren, analyseren en
evalueren van risico’s wordt er formeel niet gesproken over
risicomanagement. Het raamwerk van ISO 31000 kan wel
helpen om de eisen in context te plaatsen. In het schema
op de volgende pagina is het risicomanagementproces
volgens ISO 31000 ingevuld met de relevante eisen van
de HLS. Overige eisen uit de HLS zoals leiderschap, beleid,
structuur en TVB, competentie, middelen en documentatie
zijn onderdeel van wat ISO 31000 het risicomanagementraamwerk noemt, zeg maar het systeem om het risicomanagementproces op alle relevante niveaus in de organisatie te borgen. Bij elkaar biedt de HLS, weliswaar wat
impliciet, alle relevante elementen van een risicomanagementsysteem.
In de vorige paragraaf bespraken we de contextanalyse in
het licht van strategiebepaling. In het kader van risicomanagement wordt het SWOT-karakter van de contextanalyse nog herkenbaarder: wat zijn onze interne en
externe kansen en bedreigingen, welke impact kunnen deze
ontwikkelingen hebben op onze organisatie en hoe richten
we ons managementsysteem zo in dat we kansen benutten
en de dreigingen afwenden?
De kracht van het risicomanagement als ‘leitmotiv’ bij de
implementatie van de HLS is de eenduidigheid, die het de
organisatie geeft op de verticale lijn: de koppeling tussen
strategie en operatie; en de horizontale lijn: het integraal
afwegen van risico’s (kwaliteit, milieu en veiligheid, enz.)
Voor die horizontale lijn vormt de procesbenadering in de
HLS de basis. Langs de lijnen van de processen kunnen
risico’s integraal worden geïdentificeerd, geanalyseerd en
geëvalueerd. De verticale lijn wordt onder meer geborgd
door de eerder genoemde eisen met betrekking tot leiderschap.
Vragen met betrekking tot de consequenties van de risicobenadering hangen samen met de aard van de aanwezige
managementsystemen en uw eigen ambitie.
3
Figuur 2 - HLS paragrafen in het risicomanagementproces volgens ISO 31000
1.Omvat uw huidige kwaliteitsmanagementsysteem een
expliciete risicobenadering? Zo niet, in 2015 zal dit wel
vereist worden.
2.Zijn strategische risico’s gedefinieerd en worden deze
gerelateerd aan de operationele processen? Speelt het
kwaliteitsmanagementsysteem daarbij al een rol?
Stakeholderidentificatie
In de nieuwe normen staat in paragraaf 4.2 een expliciete
eis dat de organisatie de voor het managementsysteem
relevante stakeholders moet identificeren. Het is de vraag of
hiermee sprake is van een fundamenteel nieuwe benadering. In normen als ISO 14001 en OHSAS 18001 zijn al
definities van belanghebbende partijen opgenomen en moet
de organisatie bij het bepalen van doelstellingen rekening
houden met die visies van die partijen. Dat impliceert dat
je die partijen moet identificeren en weten wat hun wensen
en verwachtingen zijn. In ISO 9001 komt het concept
belanghebbende partij nu nog niet voor, maar uit de scope
is duidelijk dat het gaat om de klant. Aan diens eisen
moet worden voldaan en diens tevredenheid moet worden
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
vergroot. Via de klant komt ook de overheid als stakeholder
in beeld, want geleverde producten en diensten moeten aan
de geldende wettelijke eisen voldoen. Aangezien de scope
van ISO 9001 naar het zich nu laat aanzien, niet verandert,
komen strikt genomen ook geen andere belanghebbenden
in beeld. Dit betekent dat de definitie, identificatie en benadering van stakeholders, die u nu als relevant beschouwt
(zoals klanten, overheid, omwonenden) niet anders hoeft te
zijn na het verschijnen van de gewijzigde normen.
Maar met zo’n strikte interpretatie zouden we de betekenis
van de contextanalyse toch te kort doen. De definitie van
stakeholder in de HLS is breed: partijen die besluiten of
activiteiten van de organisatie kunnen beïnvloeden of daardoor zelf worden beïnvloed. Kennis van hun eisen, wensen
en verwachtingen is belangrijk omdat de organisatie
volgens paragraaf 6.1 op basis hiervan risico’s en kansen
moet vaststellen en maatregelen moet treffen om ervoor te
zorgen dat de doelen van het managementsysteem kunnen
worden gerealiseerd. Vertaald naar ISO 9001: als de klanttevredenheid in het geding kan komen omdat het product
4
niet voldoet aan bepaalde maatschappelijke verwachtingen,
is dat een factor om rekening mee te houden. Dat strookt
met het uitgangspunt van ISO 9004: om duurzaam succesvol te zijn moet een organisatie rekening houden met al
haar stakeholders. Het is dus aan de organisatie zelf om te
bepalen of zij het risico wil nemen haar ‘license to operate’
in de waagschaal te stellen. Maar het gaat ook nadrukkelijk
om het benutten van kansen die in het verschiet liggen
als een organisatie zich breed oriënteert op trends in de
maatschappelijke verwachtingen op het gebied van kwaliteit, arbo en milieu. De eis tot een contextanalyse maakt
in ieder geval duidelijk, dat organisaties in eerste instantie
gedwongen worden breder te denken, inclusief hun relatie
met stakeholders. Organisaties kunnen er na deze bredere
analyse alsnog voor kiezen alleen rekening te houden met
de ‘traditionele’ stakeholders.
De bredere stakeholderoriëntatie sluit ook goed aan op het
duurzaam en maatschappelijk verantwoord ondernemen dat
in steeds meer branches gemeengoed wordt. Veel organisaties zijn dan ook op zoek naar methodes om een beter
inzicht te krijgen in de voor hun relevante stakeholders en
naar instrumenten om dit te koppelen aan hun bedrijfsvoering. De HLS geeft wel de uitgangspunten maar biedt verder
geen methode voor stakeholderidentificatie. Hiervoor kunt u
wel te rade gaan bij ISO 26000. Deze internationale richtlijn
voor Maatschappelijk Verantwoord Ondernemen geeft
praktische aanwijzingen voor identificatie van stakeholders
en het voeren van een dialoog.
In hoeverre de relatie met stakeholders een aandachtspunt
kan zijn voor uw managementsysteem is afhankelijk van
een aantal factoren:
Figuur 3 – Overzicht van de mogelijke stakeholders van een organisatie
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
5
1.Welke stakeholders zijn geïdentificeerd in uw huidige
managementsysteem?
2.Welke stakeholders worden door uw organisatie als
relevant beschouwd en welke stakeholders vinden uw
organisatie relevant als het gaat om kwaliteit, milieu en
veiligheid?
3.Als er verschil is in uw antwoorden op vraag 1 en 2: op
welke wijze wordt de relatie met de stakeholders van
vraag 2 gemanaged?
Hoe groter de ‘gap’ tussen de antwoorden op vraag 1 en 2,
des te meer kunt u zich afvragen of er de noodzaak en de
ambitie is om deze ‘gap’ te sluiten en wat de toegevoegde
waarde van de HLS daarbij is.
Compliance management
Zoals hiervoor al is aangegeven is de in de HLS vereiste
identificatie van stakeholders met name bedoeld om hun
eisen, wensen en verwachtingen te kennen. Vervolgens
moet de organisatie vaststellen aan welke eisen zij moet
voldoen (zoals wettelijke eisen, klanteisen, eisen van de
moederorganisatie, etcetera) en aan welke wensen en
verwachtingen ze tegemoet wil komen. Daarnaast zijn er allerlei eisen vanuit de eigen organisatie die in het kader van
het managementsystemen belangrijk zijn om na te leven.
De HLS benadrukt sterker dan in de bestaande normen,
het concept van het ‘voldoen aan eisen’ (compliance
management). Daarbij gaat het om de vraag in hoeverre
u als organisatie ‘in control’ bent op de voor u relevante
eisen: kent u ze, zijn de benodigde beheersmaatregelen
getroffen en beoordeelt u zelf systematisch de daadwerkelijke naleving van alle eisen? Omdat compliance
management steeds belangrijker wordt voor bedrijven (het
is de basis van verantwoord ondernemen en de ‘license to
operate’) wordt door ISO gewerkt aan een aparte richtlijn:
ISO 19600. Deze richtlijn volgt de HLS en biedt daardoor
handige aanknopingspunten om compliance management
te verdiepen en goed te verankeren in de organisatie. Vanuit
de contextanalyse worden de ‘compliance obligations’ van
de organisatie vastgesteld, zeg maar de ‘verplichte’ en
‘vrijwillig aanvaarde’ eisen die de organisatie moet naleven.
Op basis van analyse en beoordeling worden de belangrijkste compliance-risico’s vastgesteld, die prioriteit krijgen
in het systeem. Er wordt in ISO 19600 uitgebreid ingegaan
op de rollen van top- en lijnmanagement, de onafhankelijke
compliance officer en het gehele personeel bij het naleven
NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013
van eisen. Bij beheersmaatregelen is ook aandacht voor
zogenoemde ‘soft controls’ die sturen op attitude en gedrag
van medewerkers.
Compliance is voor de meeste organisaties niet nieuw:
in alle huidige managementsysteemnormen is voldoen
aan wet- en regelgeving één van de basiseisen. Nieuw is
wellicht het afleiden van eisen voor de organisatie uit de
stakeholderanalyse en het op een geïntegreerde manier
managen van al die verschillende typen eisen. Vragen die u
zich kunt stellen zijn:
1.Welke ‘soorten’ eisen heb ik in mijn bestaande managementsysteem geborgd?
2.Zijn er wensen of behoeften van stakeholders die ik
al wel serieus neem, maar nog niet als eisen in mijn
systemen meeneem?
3.Is toezicht op naleving van deze eisen bij verschillende
afdelingen/personen belegd?
4.Welke compliance-risico’s loop ik en is meer systematische aandacht voor naleving gewenst?
Tot besluit
In dit artikel hebben we vier belangrijke facetten van de
HLS, waarmee organisaties met KAM-managementsystemen
vanaf 2015 te maken krijgen, de revue laten passeren.
Ze bieden ons inziens aanknopingspunten om uw managementsystemen (nog) meer te focussen op wat echt belangrijk
is voor uw organisatie en daarmee een betere aansluiting
te krijgen met uw directie. De contextanalyse dwingt de
organisatie tot externe oriëntatie op aanwezige kansen en
bedreigingen en identificatie van de voor de organisatie
belangrijke stakeholders met hun eisen, wensen en
verwachtingen. Dat leidt tot de voor de organisatie
belangrijke risico’s en eisen die in het managementsysteem aandacht moeten krijgen. Zo richten die systemen
zich met compliance- en risicomanagement op zaken
die er echt toe doen en waarmee de KAM-manager zijn
toegevoegde waarde kan bewijzen.
Meer informatie
Neem voor meer informatie contact op met Dick Hortensius,
telefoon (015) 2 690 115, e-mail [email protected]
of met René Gouwens, telefoon (015) 2 690 420, e-mail
[email protected] Zie ook www.nen.nl/denieuweiso.
6