De nieuwe ISO-normen: evolutie of revolutie?

De nieuwe ISO-normen: evolutie of revolutie? Een goede voorbereiding is het halve werk Wordt de overgang van ISO 9001:2008 naar ISO 9001:2015 voor u een evolutie of een revolutie? In 2000 hadden de wijzigingen in ISO 9001 soms grote consequenties voor de gebruikers van de norm. Maar er waren toen ook organisaties, die de uitgangspunten van de nieuwe norm al hanteerden in hun managementsysteem en voor wie de nieuwe eisen naadloos aansloten bij hun opvattingen van een ‘goed’ kwaliteitsmanagementsysteem. De vraag is dus of u nu voorbereid moet zijn op een harde schok of een zachte landing. De High Level Structure als nieuwe basis voor alle managementsysteemnormen introduceert nieuwe concepten over de rol en het gebruik van managementsystemen. Dus dat er het nodige gaat veranderen in 2015 staat als een paal boven water. In dit artikel geven we u alvast wat tips om u voor te bereiden op de introductie van de nieuwe ISO-normen, waarvan de meest gebruikte (ISO 9001 en ISO 14001) in 2015 verschijnen, maar ISO 27001 voor informatiebeveiliging dit najaar uitkomt en de ISO 22301 voor business continuity management al beschikbaar is. Rene Gouwens, senior consultant NEN Training & Advies en Dick Hortensius, senior consultant NEN Managementsystemen

Belangrijkste aandachtspunten De introductie van de High Level Structure (HLS) levert in één van de eerste hoofdstukken al gelijk een wezenlijke verandering op ten opzichte van de huidige opbouw van managementsysteemnormen, namelijk eisen gericht op analyse van de context waarin de organisatie opereert. Essentiële elementen daarvan zijn: 1. Externe en interne issues die van invloed zijn op het realiseren van de doelstellingen van de organisatie en belangrijk zijn in het licht van het managementsysteem en de daarmee beoogde resultaten (paragraaf 4.1). 2. De belanghebbenden (stakeholders) die relevant zijn voor het managementsysteem en hun eisen, met inbegrip van hun behoeften en verwachtingen (paragraaf 4.2). Deze twee elementen moet de organisatie meenemen bij het bepalen van de scope (begrenzingen en toepassing) van het managementsysteem (paragraaf 4.3) en bij het vaststellen van de risico’s (kansen en bedreigingen) die moeten worden beheerst om de beoogde doelen/resultaten te behalen (paragraaf 6.1). Geplande beheersmaatregelen moeten worden geïmplementeerd in de operationele processen (paragraaf 8.1).

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

In een notendop zijn hiermee de belangrijkste processen benoemd die explicieter dan voorheen onderdeel uitmaken van de nieuwe generatie ISO-managementsysteemnormen: a) Contextanalyse en risicomanagement (welke kansen kunnen we benutten en met welke bedreigingen moeten we rekening houden?) b) Stakeholderidentificatie en compliance management (wie zijn er belangrijk voor onze organisatie en welke eisen moeten en willen wij naleven?) Dit is weergegeven in de figuur op de volgende pagina. Voor contextanalyse en risicomanagement kunnen we te rade gaan bij ISO 31000, de ISO-richtlijn voor risicomanagement. Voor stakeholderidentificatie biedt ISO 26000 aanknopingspunten en voor compliance management wordt gewerkt aan de nieuwe ISO 19600. Daarnaast is het nuttig om ISO 9004 er weer eens bij te pakken. Deze richtlijn gaat over het managen op duurzaam succes van een organisatie en combineert daarbij logischerwijs inzichten op het gebied van risico- en stakeholdermanagement.

Contextanalyse De eis tot het uitvoeren van een contextanalyse, kan leiden tot een uitgebreide exercitie. Daarom is het goed om stil te

1

Figuur 1 – Schematische relatie tussen contextanalyse, risico- en compliance-management staan bij de volgende twee vragen: hoe ver moet ik gaan in deze analyse? En wat is daarbij relevant in relatie tot de managementsystemen in mijn organisatie? Om deze vragen goed te kunnen beantwoorden, is het belangrijk eerst het ‘waarom’ van deze eis te achterhalen. In onze ervaring zijn goed werkende managementsystemen te herkennen aan de mate waarin ze zowel op operationeel als op strategisch niveau een toegevoegde waarde hebben. Ze ondersteunen organisaties in het formuleren en realiseren van bepaalde ambities door middel van het identificeren en analyseren van relevante elementen, die samenhangen met een te besturen aspect (zoals kwaliteit, arbeid, milieu) en de handvatten die het de organisatie geeft om haar prestaties ten aanzien van dat aspect te borgen en te verbeteren. De kracht van een managementsysteemnorm is de specifieke focus op een bepaald aspect. Maar dit is in de praktijk tegelijkertijd ook een zwakte. Het goed aansturen van een organisatie vereist een integrale aanpak van alle voor haar relevante aspecten. De relevantie van een kwaliteitsmanagementsysteem wordt niet bepaald door de specifieke nadruk op de eisen en verwachtingen van de klant, maar op de afweging van het belang van de klant ten opzichte van andere relevante stakeholders, of maatschappelijke ontwikkelingen. Goed werkende managementsystemen hebben als kenmerk, dat zij geïntegreerd zijn in de bedrijfsvoering, niet als

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

‘stand-alone’-systemen opereren en dat er een transparante afweging en besluitvorming op relevante aspecten is. In de bestaande managementsysteemnormen heeft de directievertegenwoordiger de verantwoordelijkheid het managementsysteem onder de aandacht van de directie te brengen en te houden. En daarmee te zorgen dat enerzijds de resultaten van het systeem een rol spelen in strategische discussies en besluiten en anderzijds het systeem wordt gevoed met aandachtspunten die belangrijk zijn voor de directie en de strategische richting van de organisatie. Maar gezien de praktijk is er meer nodig. De contextanalyse moet gezien worden als een noodzakelijke stap om met managementsysteemnormen beter aan te sluiten op een transparant en integraal (strategisch) besluitvormingsproces. Hoe ver moet je daarin gaan? In de praktijk niet verder dan de omgevingsanalyses die een organisatie nu al uitvoert in het kader van strategieontwikkeling (bijvoorbeeld de welbekende SWOT-analyse). Een nadere blik op de huidige strategische discussies of projecten binnen uw organisatie zal al veel aanknopingspunten bieden om invulling te geven aan de contextanalyse. Eigenlijk gaat het om het vaststellen in hoeverre deze strategische discussies en projecten invloed hebben op kwaliteit, milieu en/of veiligheid en hoe u daarmee rekening kunt houden in de opzet en inrichting van het aanwezige managementsysteem. Tegelijkertijd draagt dit bij aan een integraal beeld ten aanzien van milieu-, veiligheids- en/of

2

kwaliteitsprestaties in het licht van de strategische richting en doelen van de organisatie.

Om te bepalen waar u op dit moment staat, kunt u zich de volgende vragen stellen. Om te bepalen waar u op dit moment staat, kunt u zich de volgende vragen stellen: 1. Welke contextanalyse is er op dit moment in mijn organisatie al uitgevoerd (bijvoorbeeld in het kader van strategische verbeterprojecten)? Spelen daarbij aspecten een rol, die geborgd zijn via een managementsysteem? Is er een zichtbare koppeling? 2. Borgt ons managementsysteem de voor de directie relevante aspecten? Zo nee, hoe groot is het gat tussen het aandachtsgebied van onze directie en dat van ons managementsysteem? 3. Is er integraal overzicht waar en op welke wijze kwaliteit, milieu en/of veiligheid een rol spelen bij de huidige contextanalyse? De managementsysteemnormen volgens de HLS maken met behulp van de contextanalyse de afstand tot de directiekamers kleiner. Dit komt ook tot uiting in de eis in paragraaf 5.1 van de HLS, dat de directie ervoor moet zorgen dat het kwaliteits-, milieu- of veiligheidsbeleid aansluit bij de strategische richting van de organisatie en dat het systeem in de bedrijfsprocessen wordt geïntegreerd.

Risicomanagement De contextanalyse is ook het uitgangspunt voor risicomanagement. De in het licht van het managementsysteem relevante factoren die de doelstellingen van de organisatie beïnvloeden, zijn volgens de definitie in ISO 31000 immers de risico’s (kansen en bedreigingen) die je met het systeem probeert te beheersen. In de huidige ISO 9001 ontbreekt een expliciete eis tot het identificeren van risico’s, zoals die bijvoorbeeld wel in ISO 14001 (de milieuaspectenanalyse) en OHSAS 18001 (de gevarenanalyse) is opgenomen. De HLS is gebaseerd op een risicobenadering vanuit het principe, dat ‘goede’ bedrijfsvoering betekent dat de organisatie zich richt op het managen van de voor haar relevante risico’s. Dat zorgt er immers voor dat doelstellingen worden

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

behaald en de organisatie succesvol is. De HLS geeft een eenduidige benadering van het risicoconcept voor de verschillende managementsysteemnormen. Daarbij wordt gebruik gemaakt van het gedachtegoed van ISO 31000, de ISO-norm voor risicomanagement. Alhoewel in verschillende paragrafen van de HLS eisen zijn opgenomen betreffende het identificeren, analyseren en evalueren van risico’s wordt er formeel niet gesproken over risicomanagement. Het raamwerk van ISO 31000 kan wel helpen om de eisen in context te plaatsen. In het schema op de volgende pagina is het risicomanagementproces volgens ISO 31000 ingevuld met de relevante eisen van de HLS. Overige eisen uit de HLS zoals leiderschap, beleid, structuur en TVB, competentie, middelen en documentatie zijn onderdeel van wat ISO 31000 het risicomanagementraamwerk noemt, zeg maar het systeem om het risicomanagementproces op alle relevante niveaus in de organisatie te borgen. Bij elkaar biedt de HLS, weliswaar wat impliciet, alle relevante elementen van een risicomanagementsysteem. In de vorige paragraaf bespraken we de contextanalyse in het licht van strategiebepaling. In het kader van risicomanagement wordt het SWOT-karakter van de contextanalyse nog herkenbaarder: wat zijn onze interne en externe kansen en bedreigingen, welke impact kunnen deze ontwikkelingen hebben op onze organisatie en hoe richten we ons managementsysteem zo in dat we kansen benutten en de dreigingen afwenden? De kracht van het risicomanagement als ‘leitmotiv’ bij de implementatie van de HLS is de eenduidigheid, die het de organisatie geeft op de verticale lijn: de koppeling tussen strategie en operatie; en de horizontale lijn: het integraal afwegen van risico’s (kwaliteit, milieu en veiligheid, enz.) Voor die horizontale lijn vormt de procesbenadering in de HLS de basis. Langs de lijnen van de processen kunnen risico’s integraal worden geïdentificeerd, geanalyseerd en geëvalueerd. De verticale lijn wordt onder meer geborgd door de eerder genoemde eisen met betrekking tot leiderschap. Vragen met betrekking tot de consequenties van de risicobenadering hangen samen met de aard van de aanwezige managementsystemen en uw eigen ambitie.

3

Figuur 2 - HLS paragrafen in het risicomanagementproces volgens ISO 31000 1. Omvat uw huidige kwaliteitsmanagementsysteem een expliciete risicobenadering? Zo niet, in 2015 zal dit wel vereist worden. 2. Zijn strategische risico’s gedefinieerd en worden deze gerelateerd aan de operationele processen? Speelt het kwaliteitsmanagementsysteem daarbij al een rol?

Stakeholderidentificatie In de nieuwe normen staat in paragraaf 4.2 een expliciete eis dat de organisatie de voor het managementsysteem relevante stakeholders moet identificeren. Het is de vraag of hiermee sprake is van een fundamenteel nieuwe benadering. In normen als ISO 14001 en OHSAS 18001 zijn al definities van belanghebbende partijen opgenomen en moet de organisatie bij het bepalen van doelstellingen rekening houden met die visies van die partijen. Dat impliceert dat je die partijen moet identificeren en weten wat hun wensen en verwachtingen zijn. In ISO 9001 komt het concept belanghebbende partij nu nog niet voor, maar uit de scope is duidelijk dat het gaat om de klant. Aan diens eisen moet worden voldaan en diens tevredenheid moet worden

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

vergroot. Via de klant komt ook de overheid als stakeholder in beeld, want geleverde producten en diensten moeten aan de geldende wettelijke eisen voldoen. Aangezien de scope van ISO 9001 naar het zich nu laat aanzien, niet verandert, komen strikt genomen ook geen andere belanghebbenden in beeld. Dit betekent dat de definitie, identificatie en benadering van stakeholders, die u nu als relevant beschouwt (zoals klanten, overheid, omwonenden) niet anders hoeft te zijn na het verschijnen van de gewijzigde normen. Maar met zo’n strikte interpretatie zouden we de betekenis van de contextanalyse toch te kort doen. De definitie van stakeholder in de HLS is breed: partijen die besluiten of activiteiten van de organisatie kunnen beïnvloeden of daardoor zelf worden beïnvloed. Kennis van hun eisen, wensen en verwachtingen is belangrijk omdat de organisatie volgens paragraaf 6.1 op basis hiervan risico’s en kansen moet vaststellen en maatregelen moet treffen om ervoor te zorgen dat de doelen van het managementsysteem kunnen worden gerealiseerd. Vertaald naar ISO 9001: als de klanttevredenheid in het geding kan komen omdat het product

4

niet voldoet aan bepaalde maatschappelijke verwachtingen, is dat een factor om rekening mee te houden. Dat strookt met het uitgangspunt van ISO 9004: om duurzaam succesvol te zijn moet een organisatie rekening houden met al haar stakeholders. Het is dus aan de organisatie zelf om te bepalen of zij het risico wil nemen haar ‘license to operate’ in de waagschaal te stellen. Maar het gaat ook nadrukkelijk om het benutten van kansen die in het verschiet liggen als een organisatie zich breed oriënteert op trends in de maatschappelijke verwachtingen op het gebied van kwaliteit, arbo en milieu. De eis tot een contextanalyse maakt in ieder geval duidelijk, dat organisaties in eerste instantie gedwongen worden breder te denken, inclusief hun relatie met stakeholders. Organisaties kunnen er na deze bredere analyse alsnog voor kiezen alleen rekening te houden met de ‘traditionele’ stakeholders.

De bredere stakeholderoriëntatie sluit ook goed aan op het duurzaam en maatschappelijk verantwoord ondernemen dat in steeds meer branches gemeengoed wordt. Veel organisaties zijn dan ook op zoek naar methodes om een beter inzicht te krijgen in de voor hun relevante stakeholders en naar instrumenten om dit te koppelen aan hun bedrijfsvoering. De HLS geeft wel de uitgangspunten maar biedt verder geen methode voor stakeholderidentificatie. Hiervoor kunt u wel te rade gaan bij ISO 26000. Deze internationale richtlijn voor Maatschappelijk Verantwoord Ondernemen geeft praktische aanwijzingen voor identificatie van stakeholders en het voeren van een dialoog. In hoeverre de relatie met stakeholders een aandachtspunt kan zijn voor uw managementsysteem is afhankelijk van een aantal factoren:

Figuur 3 – Overzicht van de mogelijke stakeholders van een organisatie

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

5

1. Welke stakeholders zijn geïdentificeerd in uw huidige managementsysteem? 2. Welke stakeholders worden door uw organisatie als relevant beschouwd en welke stakeholders vinden uw organisatie relevant als het gaat om kwaliteit, milieu en veiligheid? 3. Als er verschil is in uw antwoorden op vraag 1 en 2: op welke wijze wordt de relatie met de stakeholders van vraag 2 gemanaged? Hoe groter de ‘gap’ tussen de antwoorden op vraag 1 en 2, des te meer kunt u zich afvragen of er de noodzaak en de ambitie is om deze ‘gap’ te sluiten en wat de toegevoegde waarde van de HLS daarbij is.

Compliance management Zoals hiervoor al is aangegeven is de in de HLS vereiste identificatie van stakeholders met name bedoeld om hun eisen, wensen en verwachtingen te kennen. Vervolgens moet de organisatie vaststellen aan welke eisen zij moet voldoen (zoals wettelijke eisen, klanteisen, eisen van de moederorganisatie, etcetera) en aan welke wensen en verwachtingen ze tegemoet wil komen. Daarnaast zijn er allerlei eisen vanuit de eigen organisatie die in het kader van het managementsystemen belangrijk zijn om na te leven. De HLS benadrukt sterker dan in de bestaande normen, het concept van het ‘voldoen aan eisen’ (compliance management). Daarbij gaat het om de vraag in hoeverre u als organisatie ‘in control’ bent op de voor u relevante eisen: kent u ze, zijn de benodigde beheersmaatregelen getroffen en beoordeelt u zelf systematisch de daadwerkelijke naleving van alle eisen? Omdat compliance management steeds belangrijker wordt voor bedrijven (het is de basis van verantwoord ondernemen en de ‘license to operate’) wordt door ISO gewerkt aan een aparte richtlijn: ISO 19600. Deze richtlijn volgt de HLS en biedt daardoor handige aanknopingspunten om compliance management te verdiepen en goed te verankeren in de organisatie. Vanuit de contextanalyse worden de ‘compliance obligations’ van de organisatie vastgesteld, zeg maar de ‘verplichte’ en ‘vrijwillig aanvaarde’ eisen die de organisatie moet naleven. Op basis van analyse en beoordeling worden de belangrijkste compliance-risico’s vastgesteld, die prioriteit krijgen in het systeem. Er wordt in ISO 19600 uitgebreid ingegaan op de rollen van top- en lijnmanagement, de onafhankelijke compliance officer en het gehele personeel bij het naleven

NEN Whitepaper ‘De nieuwe ISO-normen: evolutie of revolutie?’ Oktober / 2013

van eisen. Bij beheersmaatregelen is ook aandacht voor zogenoemde ‘soft controls’ die sturen op attitude en gedrag van medewerkers. Compliance is voor de meeste organisaties niet nieuw: in alle huidige managementsysteemnormen is voldoen aan wet- en regelgeving één van de basiseisen. Nieuw is wellicht het afleiden van eisen voor de organisatie uit de stakeholderanalyse en het op een geïntegreerde manier managen van al die verschillende typen eisen. Vragen die u zich kunt stellen zijn: 1. Welke ‘soorten’ eisen heb ik in mijn bestaande managementsysteem geborgd? 2. Zijn er wensen of behoeften van stakeholders die ik al wel serieus neem, maar nog niet als eisen in mijn systemen meeneem? 3. Is toezicht op naleving van deze eisen bij verschillende afdelingen/personen belegd? 4. Welke compliance-risico’s loop ik en is meer systematische aandacht voor naleving gewenst?

Tot besluit In dit artikel hebben we vier belangrijke facetten van de HLS, waarmee organisaties met KAM-managementsystemen vanaf 2015 te maken krijgen, de revue laten passeren. Ze bieden ons inziens aanknopingspunten om uw managementsystemen (nog) meer te focussen op wat echt belangrijk is voor uw organisatie en daarmee een betere aansluiting te krijgen met uw directie. De contextanalyse dwingt de organisatie tot externe oriëntatie op aanwezige kansen en bedreigingen en identificatie van de voor de organisatie belangrijke stakeholders met hun eisen, wensen en verwachtingen. Dat leidt tot de voor de organisatie belangrijke risico’s en eisen die in het managementsysteem aandacht moeten krijgen. Zo richten die systemen zich met compliance- en risicomanagement op zaken die er echt toe doen en waarmee de KAM-manager zijn toegevoegde waarde kan bewijzen.

Meer informatie Neem voor meer informatie contact op met Dick Hortensius, telefoon (015) 2 690 115, e-mail [email protected] of met René Gouwens, telefoon (015) 2 690 420, e-mail [email protected]. Zie ook www.nen.nl/denieuweiso.

6