In september 2015 is de herziene versie gepubliceerd van de ISO 9001 met een overgangstermijn van drie jaar. Wereldwijd is inmiddels circa 50% van de organisaties tegen de nieuwe versie gecertificeerd. De overige organisaties zullen de komende maanden de overstap moeten maken. In gesprek met André Gerhardus-van Hecke, Compliance & Risk Manager bij certificatie-instelling BSI, over de belangrijkste uitdagingen én kansen die hij ziet voor organisaties bij de nieuwe ISO 9001:2015.
Er wordt nog wel eens gesuggereerd dat gedocumenteerde informatie niet meer verplicht is in de ISO 9001:2015 norm. Klopt dat wel?
‘Het is waar dat er geen procedures meer vereist worden. In de herziene versie van de norm wordt echter op meer dan dertig plaatsen beschreven dat de gedocumenteerde informatie moet worden bijgehouden of onderhouden. Deze beschrijving beperkt zich niet tot slechts één onderdeel van de norm, maar komt naar voren door de gehele norm; van kwaliteitsbeleid tot beschrijving van processen. Binnen tal van overkoepelende artikelen in de norm wordt aangeven dat ’aanvullende documentatie noodzakelijk is in de omvang die nodig is om het vertrouwen te hebben dat processen volgens planning zijn uitgevoerd.’ Oftewel, de minimale documentatie-eisen zijn zeker niet minder dan de oude norm, en met de aanvullende documentatie eisen erbij genomen zijn het er zelfs meer dan in de oude norm.’
Wat zijn de belangrijkste uitdagingen voor organisaties aangaande ISO 9001:2015?
‘Het vaststellen van de context van de organisatie (clausule 4) is compleet nieuw in de norm. Vele organisaties vullen dit in eerste instantie in op dezelfde wijze als een stakeholderanalyse: dit zijn onze stakeholders, dit zijn hun eisen. De clausule vraagt echter om een meer holistische benadering. In wat voor soort landschap bevinden wij ons als organisatie? Hierbij valt te denken aan de politieke, economische, sociale, technologische, juridische en ecologische omgeving.
Daarnaast omschrijft men wat het belangrijkste doel is van de organisatie en wat de organisatie voortbrengt. Dit brengt ons naar de volgende sub-clausule van de norm: het beschrijven van de relevante belanghebbenden voor het kwaliteitsmanagementsysteem en hun wensen en eisen in de Stakeholderanalyse (clausule 4.2). Soms zijn de analyses van organisaties te uitgebreid omdat onvoldoende de daadwerkelijke relevantie voor ISO 9001:2015 Kwaliteitsmanagement wordt beschouwd. Soms omschrijven organisaties dit vaak nog te summier, en benoemen ze alleen de van oudsher bekende stakeholders, zoals klanten en eigen medewerkers. De rol en invloed van bijvoorbeeld financiers en verzekeraars op de organisatie, wordt in de stakeholderanalyse vaak nog onvoldoende benoemd. Hierdoor ontbreken herhaaldelijk relevante stakeholders. De doorvertaling naar welke eisen er vanuit de stakeholders gesteld worden, is niet altijd uitgewerkt. Wat vraagt de desbetreffende klant, bank of verzekeraar van de organisatie? Hoe komt een organisatie hier eigenlijk achter?
Het kan een optie zijn om de stakeholderanalyse naast het communicatieplan te leggen en dan de volgende vragen te stellen: ‘Als het een stakeholder is, zou ik er dan niet mee moeten communiceren?’ en: ‘Als ik met een partij communiceer, is het dan geen stakeholder?’
Niet alleen de risico’s zijn van belang, ook de kansen spelen een rol?
‘Organisaties zijn erg sterk in het benoemen van de risico’s gekoppeld aan hun meest belangrijke processen en de eisen van hun stakeholders. Maar de norm vraagt ook nadrukkelijk om de kansen te benoemen en vast te stellen. Een kans wordt door organisaties vaak gezien als het tegenovergestelde van een risico. Wanneer het ‘risico’ bestaat dat er klachten binnenkomen van klanten, is de ‘kans’ niet om geen klachten meer te ontvangen. Ook hier komt de holistische benadering om de hoek kijken. Om een kans te omschrijven, kunnen organisaties ook denken aan het inspelen op ontwikkelingen binnen de context van de organisatie. Dit kan nieuwe kansen voor een organisatie opleveren.’
‘Organisaties zijn erg sterk in het benoemen van de risico’s. Maar de norm vraagt ook nadrukkelijk om de kansen te benoemen.
Wat zegt de norm over leiderschap en betrokkenheid?
‘In de nieuwe norm wordt duidelijk gevraagd aan de directie om Leiderschap en betrokkenheid (clausule 5.1) te tonen voor het kwaliteitsmanagementsysteem (KMS). Het KMS moet in lijn zijn gebracht met de bedrijfsdoelstellingen. Daarmee kan een KMS niet meer op zichzelf staand zijn en is het inbedden in de organisatie van belang. Verantwoordelijkheden voor het KMS dienen in de organisatorische lijn te worden verwerkt en niet alleen maar bij de kwaliteitsmanager te liggen, wiens rol overigens in de nieuwe norm niet meer beschreven staat. In de 2008 versie van de norm diende ‘de directie een lid van het management te benoemen die verantwoordelijk en bevoegd was voor de processen van het KMS”. Volgens de nieuwe norm ligt de verantwoordelijkheid nu niet meer bij deze directievertegenwoordiger maar rechtstreeks bij de directie.
De ontwikkeling die organisaties doormaken is van KMS als doel naar KMS als gereedschap voor de day-to-day business. En welke directie neemt nu geen verantwoordelijkheid voor de day-to-day business?’
Welke kennis van de organisatie is voor het KMS van belang?
‘Organisaties zijn gewend om te bepalen wat medewerkers moeten kennen en kunnen. De clausule Kennis binnen de organisatie (clausule 7.1.6) vraagt echter om te bepalen wat voor de organisatie van belang is, in plaats van gericht te zijn op de medewerker. Het gaat hier dan ook om welke ervaringen een organisatie heeft opgedaan en vaak de (nog) niet-gedocumenteerde kennis en ervaring. Als een medewerker met pensioen gaat, komt een organisatie er vaak achter dat de kennis en vaardigheden voor bepaalde processen verloren gaan. De afhankelijkheid van de kennis van externe aanbieders wordt vaak pas opgemerkt wanneer een externe aanbieder bijvoorbeeld failliet gaat. Er blijkt dan cruciale kennis bij de externe aanbieder te liggen.
De nieuwe norm vraagt expliciet om deze kennisgebieden beter in kaart te brengen. Hoe krijgt men inzicht in de manier waarop de kennis en ervaring van een werknemer worden toegepast in de organisatie? Hoe zorgt men voor voldoende inzicht in de kennis en de gegevens die bij een externe aanbieder worden gewaarborgd?’
Wanneer leiden bovengenoemde uitdagingen tot afwijkingen?
‘De Britten hebben hier een mooie uitdrukking hiervoor: the devil is in the detail. Het in detail begrijpen wat de norm nu verwacht, vergt voldoende kennis en inzicht in de norm. Een keer globaal doorlezen is dan duidelijk niet voldoende. Het voldoende trainen en opleiden van de organisatie is hierin van belang.
Doordat bedrijven soms in onvoldoende mate de vereisten van de norm hebben ingevuld, leiden deze onderwerpen tot afwijkingen die in het verleden niet werden geschreven. Zo zal bijvoorbeeld het wel uitvoeren van een stakeholdersanalyse, maar het in onvoldoende mate bepalen van hun eisen en verantwoordelijkheden, tot een afwijking leiden.’
Zijn er onderwerpen die altijd nog bijzondere aandacht verdienen?
‘Buiten de nieuwe elementen van de norm, zien we nog steeds binnen organisaties dat het vaststellen van de oorzaak van afwijkingen en het nemen van maatregelen om de oorzaken weg te nemen onderbelicht worden. Een correctie is geen corrigerende maatregel. Hoe wordt voorkomen dat een probleem zich nogmaals voordoet? Kan een soortgelijk probleem zich ook elders voordoen? Dit blijven belangrijke vraagstukken die onder de loep moeten worden genomen.’
Lees meer artikelen over ISO 9001:2015 in het Sigma ISO Dossier.
