Interviewverslag “Succesvol inspecteren” Dave Hagenaars, BSI op 23 september 2010 te Amsterdam Door: Monique Witziers, Tony Koeleman
Drs. Dave Hagenaars is directeur van de BSI Group The Netherlands BV. Het British Standards Institute is ontstaan in 1901 en is grondlegger van vele ISO-standaarden. BSI heeft ook een certificeringsinstelling, die actief is in vijftig landen en ruim 2.250 medewerkers heeft. BSI is in Nederland geaccrediteerd door de Raad voor Accreditatie. Website: www.bsigroup.nl
Welke ontwikkelingen ziet u in de certificerende markt de komende jaren? Ik verwacht dat de overheid, ook met het oog op de bezuinigingen, een terugtrekkende beweging zal maken en meer aan de markt zal gaan geven, waarbij het toezicht door de overheid op een andere manier georganiseerd wordt. Private inspectie- en certificatieorganisaties zullen van de bezuinigingen in de toekomst kunnen profiteren. Ik denk dat dit wel zal gaan gebeuren. Er zijn nog niet veel voorbeelden, en de voorbeelden die er zijn, zijn nog hoofdpijndossiers. Hierbij denk ik aan asbestcertificering, waarbij het Ministerie van SZW de certificering aan private partijen heeft gegeven volgens de zogenaamde BRLrichtlijnen, maar ook de certificering van arbodiensten. Er zijn allerlei verschillende regelingen en die worden nog niet uniform ingericht. Het is voor de private controlerende partijen niet altijd duidelijk aan welke eisen ze moeten voldoen, hoe ze moeten rapporteren en welke risico’s ze lopen. Bedrijven die asbest mogen verwijderen, en dus gecertificeerd zijn door een private certificeerder, moeten al hun projecten bij de certificeerder aanmelden. De certificeerder moet dan vijf keer per jaar onaangekondigd een project bezoeken om te controleren of het bedrijf zich aan de regels houdt. Ik vind dit op zich een goede aanpak. De overheid heeft onderkend dat ze niet de capaciteit heeft om de sector zelf te controleren en heeft de organisatie daarom aan de private sector overgedragen. De bedrijven dragen hiervoor dan de kosten. Helaas kleeft er aan dit systeem een aantal aspecten die niet goed doorgedacht zijn. De certificeerder heeft een commerciële relatie met zijn klant. Op het moment dat overtredingen worden geconstateerd, die niet binnen redelijke termijn zijn opgelost, moet je eigenlijk zijn certificering intrekken. Maar dit is voor jouw klant wel zijn license to operate. Als een certificeerder een certificaat intrekt, loopt de certificeerder wel risico’s op het krijgen van claims. Dat moet wel georganiseerd worden en daar is veel discussie in de sectoren over. Is er een oplossing voor dit klant- en claimdilemma?
Interview Dave Hagenaars BSI def.docx
1
Ik merk dat de samenwerking en afhankelijkheid tussen controlerende overheid, private controlepartijen en de gecertificeerde bedrijven nog niet helder is. Je bent natuurlijk nooit honderd procent onafhankelijk als private certificeerder, ondanks dat we dat allemaal wel roepen. We zijn toch voor ons inkomen van klanten afhankelijk. Dus wellicht moeten we naar andere modellen toe in de samenwerking met de overheid voor die schema´s waarbij intrekken van certificaten kan leiden tot grote financiële implicaties. Waarom storten we de certificatiefee niet in een gezamenlijk fonds? Dit fonds bepaalt welke certificeerder de steekproef gaat doen. De controles worden dan door diverse partijen uitgevoerd. Hierdoor haal je de een-op-een financiële relatie weg tussen gecontroleerd bedrijf en certificeerder. Ik weet dat heel veel zaken integer en goed gebeuren door certificerende instellingen. Echter, in die certificatieschema’s waarbij door het intrekken van het certificaat de license to operate wegvalt, moeten we ons afvragen of de huidige manier van certificatie een wenselijke situatie is. Dit is natuurlijk heel vergelijkbaar met de accountancy en het goedkeuren van jaarrekeningen. Hier zijn in het verleden al veel grote accountsbureaus gestruikeld over de onafhankelijkheid. Ik denk dat er veel overeenkomsten zijn te vinden. Nog andere tendensen? Ik denk dat certificering veel minder een boardroom issue is. De verantwoordelijkheden voor het onderhouden van de managementsystemen worden steeds lager in organisaties belegd. Ik vind dat een zorgelijke trend. ISO-certificering begint tegenwoordig randvoorwaardelijk te worden in bijvoorbeeld klanteisen en tenders, in plaats van onderscheidend. De normen waartegen we certificeren op het gebied van arbo, milieu, veiligheid, kwaliteit et cetera zijn gebaseerd op het beheersen en managen van bedrijfsrisico´s. Risicomanagement is wel een issue in de boardroom, maar men denkt dan niet aan de managementsystemen en certificeringen die men moet hebben, of heeft. Men ziet certificatie niet meer als een middel om risk management op orde te hebben binnen een bedrijf. Gechargeerd: de secretaresse kan het managementsysteem op orde houden en hiermee wordt certificering commodity. Het element om continu te verbeteren en risico´s te managen wordt hierdoor op een te laag niveau in de organisatie belegd. Ik vind dit een basisprincipe waar de boardroom zich druk over zou moeten maken. Certificering wordt niet meer zo gepercipieerd, waardoor certificatie-instellingen steeds meer op prijs moeten concurreren. Ook dit vind ik een zorgelijke trend. Ik merk dat door het beleid van duurzaam inkopen er een opgaande trend is om bijvoorbeeld ISO14001 te eisen in tenders. Ook dit veroorzaakt een randvoorwaardelijkheid in plaats van dat directeuren een goed milieubeleid willen hebben. Dit is ook aan onze branche te wijten. De certificerende instellingen gaan ook in deze ontwikkeling mee. Als wij op prijs gaan concurreren, kun je minder goede auditoren aan je binden. In onze branche is een goede auditor gekoppeld aan een goed salaris. De kwalificatie en skills van deze auditoren zie ik door de toename in de vraag achteruitgaan. Het erodeert. De certiceerder als prijsvechter in een prijsvechtersmarkt Ja, dit zien we bijvoorbeeld met name in bepaalde deelmarkten als de VCA-certificering. Deze markt is misschien wel groter dan die van ISO 9000-certificering. Ieder bedrijf in de aannemerij en bouw moet dit hebben. Zowel het bedrijf als de medewerkers. Hier zit ook een hele trainingsmarkt aan vast. In dit segment zie je heel veel kleine geaccrediteerde certifeerders ontstaan met weinig overhead. Die kunnen dus met hele lage tarieven concurreren. Ik zou hier ook willen pleiten voor een strengere toegang van
Interview Dave Hagenaars BSI def.docx
2
certificerende instellingen. Het is nu mogelijk om als eenpitter geaccrediteerd te worden. Je kunt je afvragen of eenpitters wel onafhankelijk kunnen zijn. Is de eroderende trend te keren? Als branche hebben we te weinig aandacht gehad voor het beroep auditor en inspecteur. Er zijn geen universitaire opleidingen voor. Het vakgebied wordt niet voldoende doorontwikkeld. Als je dit vergelijkt met de financiële auditing, bij organisaties als KPMG, dan moet je eerst vier jaar meelopen en opleidingen volgen voordat je een audit mag ondertekenen. Daar zijn ook andere tariefstellingen. Onze branche kent geen prijsdifferentiatie zoals die wel gebruikelijk is bij de financiële dienstverleners. Die werken met junior-, medior- en partnertarieven. Wij werken met ‘stuksprijzen’. Of we nu een junior auditor of senior auditor sturen, de klant betaalt hetzelfde bedrag. Het is toch een branche die gedicteerd wordt door techneuten en gedomineerd door accreditatie-eisen. We zien wel een ontwikkeling dat medewerkers bepaalde competenties moeten hebben. In het verleden telde alleen het aantal jaar werkervaring in een branche. Competentiemanagement wordt in onze sector heel technisch benaderd. Je moet aantonen dat je de competenties hebt. Dit werkt heel verlammend op de beroepsgroep als geheel, alle creativiteit wordt eruit gehaald. Daar is nog veel te winnen. Wij zijn een internationale organisatie en je merkt dat wij ook heel professionele klanten hebben. Onze mensen moeten daardoor ook heel andere skills hebben. Je moet dan denken aan projectmanagementkwaliteiten en het kunnen aansturen van internationale auditorteams. Bij professionele organisaties moet een auditor ook veel meer zijn toegevoegde waarde bewijzen. Een compliance controle is niet meer voldoende. Een interne kwaliteitsafdeling voelt zich gesteund als de auditor dezelfde afwijkingen vindt als zij. Dat versterkt de credibility van de afdeling bij de directie. Ik denk dat rol van de Raad voor Accreditatie, en accreditatie wereldwijd, blokkerend werkt. Certificeerders zitten in het keurslijf van accreditatie. Er wordt heel strak voorgeschreven hoe wij ons werk moeten uitvoeren. Dit biedt ons weinig ruimte voor innovatie en ontwikkeling. Je mag geen ´unieke manier van auditten´ hebben om je in de markt te profileren. Dit is ook de reden dat certificeerders zich alleen nog kunnen onderscheiden op prijs. De skillset van auditoren erodeert daardoor ook. Ik denk dat de regels beperkt kunnen worden tot die kernelementen waaraan een certificatie-instelling moet voldoen. We zien ook dat we door de wildgroei aan schema-eigenaren aan heel veel verschillende eisen moeten voldoen. Ik zou ervoor willen pleiten dat de accreditatieorganisaties hier ook gaan werken aan standaardisatie. Voor sommige standaarden moeten wij rapporteren dat we de volledige norm hebben gecontroleeerd. Dit zorgt ervoor dat we ons moeten focussen op de compliance. Een audit heeft dan niet veel toegevoegde waarde. Ik pleit dan ook voor een risk based approach. Dat een auditor mag inzoomen op de risico´s van een bedrijf. Maar die vrijheid heb je dan niet vanuit de norm. Je kunt kwalitatief beter werk doen als we daar meer vrijheid in zouden krijgen. Ik zou ervoor willen pleiten dat de grote toonaangevende certificatieorganisaties hun eigen toezicht gaan organiseren. Niet omdat ik accreditatie vervelend vind, maar ook in bijvoorbeeld de accountancy heb je beroepsorganisaties. Hier hoort dan ook de professionalisering van de opleidingen bij, permanente educatie etc. De branche ontwikkelt hierdoor, denk ik, meer innovatiekracht. Hier worden bedrijven beter van. We kunnen als branche betere kwaliteit gaan leveren en grotere stappen voorwaarts maken.
Interview Dave Hagenaars BSI def.docx
3
Gaat de nieuwe MVO-prestatieladder nieuw leven blazen in het certificeringsvak of wordt dit ook commodity? Ik denk dat dit ook van onze branche zal afhangen: train je een ISO 9000-auditor een dag waarna hij/zij de MVO-prestatieladder kan gaan toetsen, dan gaan we wel die kant op. Of je zorgt dat ze echt goed geschoold worden, zodat ze gesprekspartner van de klant zijn. Daaraan is wel behoefte in de markt. Door de eerder geschetste eisen van de overheid aan duurzaamheid, zien we dat we zonder marketing al met deze prestatieladder aan een behoefte voldoen. Maakt dit certificeerders lui? Ja, dat denk ik wel. Certificeerders zijn toch marktvolgend. Wij komen pas binnen bij een bedrijf als dit al heeft bedacht dat het een milieubeleid wil hebben, het opgezet wil hebben en wil laten toetsen. Tussen idee en toetsing kan bijvoorbeeld twee jaar zitten. Dit in tegenstelling tot consultancy organisaties. BSI Group in het Verenigd Koninkrijk, het normalisatie-instituut, hoe is die zich op de toekomst aan het voorbereiden? Normen worden eigenlijk pas gemaakt als de markt daartoe een behoefte heeft. Ook hier zie je dat normontwikkelaars marktvolgend zijn. Een normontwikkelaar gaat niet proactief verzinnen welke normen opgesteld kunnen worden. Het is toch vaak een groep van stakeholders die hieraan behoefte heeft. Normen zijn bedoeld om het leven makkelijker te maken en internationale handel te bevorderen en te vereenvoudigen. De behoefte aan standaardisatie zal in de toekomst ook nog blijven. De grote diversiteit aan telefoonopladers zijn bijvoorbeeld veel klanten een doorn in het oog. Standaardisatie kan helpen het leven van klanten eenvoudiger te maken. Hieraan zal ook in de toekomst behoefte blijven bestaan. Is certificatie nog een groeimarkt? De groei zoals die er in de jaren negentig was, is eruit. In Nederland heb je met VCA nog een heel groot schema, maar wereldwijd is ISO 9001 nog het meest verkochte product. Dit is uiteindelijk wel een product dat aan het eind is van zijn life cycle zit en dat niet heel hard meer groeit. De groei zit in nieuwe producten zoals arbo en milieuzorgsystemen, greenhouse gas verification, etc. Adviseren en controleren, dat blijft een moeilijke combinatie in certificeringsland. BSI heeft geen aparte adviestak meer, ondanks dat het voor auditoren soms goed is om samen met bedrijven om tafel te zitten en te beseffen hoe moeilijk het is om weerstanden te overwinnen. Ik denk dat je daar een betere auditor door wordt. Maar het is jammer dat dit niet meer mag. Ook hier zie je dat dit anders is geregeld in de accountancy. Hier werken ze met ´taken en rollen´. Als je als account de jaarrekening controleert, mag je dus een aantal andere taken niet uitvoeren bij die betreffende klant. Maar bij een ander bedrijf mag je wel weer adviseren, zolang je maar niet controleert. Daar zijn allerlei governance committees en controls voor in het leven geroepen. In onze branche wordt daar heel spastisch over gedaan. Ik zie nog geen toekomstige ontwikkeling dat deze kramp gaat veranderen. Ik zou de combinatie van adviseren en certificeren wel wenselijk vinden voor onze medewerkers en de kwaliteit van de dienstverlening. Wat is de impact van vergrijzing op uw organisatie? Toch weer terugvallend op de accountancy. Deze organisaties plukken mensen uit de schoolbanken en leiden hen intern op. Dit zie je nooit bij certificatie-instellingen. Wij lopen hierin op tegen de accreditatie-eisen. Auditoren moeten zoveel jaar werkervaring hebben om überhaupt auditor te mogen worden. Daarnaast is het voor een certificerende instelling ook wel heel comfortabel om mensen in huis te hebben die je kunt inzetten voor meerdere producten en in meerdere sectoren. Daarom hebben wij
Interview Dave Hagenaars BSI def.docx
4
dus altijd oudere medewerkers in huis. Ik heb problemen met het vinden van goede mensen, zowel door het gebrek op de markt als de beperkende eisen. Het is lastig om juniors in te zetten om hand- en spandiensten te verrichten en hem zo op te leiden. Wat ook niet helpt, is dat onze opdrachten vaak maar één tot vijf dagen zijn. Hierdoor kun je jonge mensen niet voor langere tijd in een team zetten en mee laten draaien. Een auditor is toch vaak alleen op pad, in tegenstelling tot wat je bij advieswerk ziet. Vandaar ook mijn pleidooi om adviestaken weer toe te laten. We kunnen meer ervaring opbouwen bij jonge mensen en daarmee de vergrijzing van het auditorenbestand tegengaan. Merkt u iets van de globalisering? Wij merken dat bedrijven steeds meer controles en inspecties gaan outsourcen. Niet alleen third party auditing, maar ook second party auditing. Dit laatste zien we met name op het gebied van leverancierscontroles. Grote internationale bedrijven hebben vaak ook internationale leveranciers. Hierbij worden internationaal opererende certificeerders en inspectieorganisaties ingezet om de leveranciers te beoordelen tegen de eigen normen. Dit scheelt de bedrijven geld om eigen controleurs de wereld rond te sturen. De trend van second party auditing neemt toe. Het nadeel van second party auditing is een leverancier die door diverse controleurs van hun klanten bezocht worden. Dit is niet wenselijk. Hoe ziet u dat? Vaak zie je de combinatie van third en second party auditing. Vaak worden standaard ISO-eisen gevraagd als ISO 9000, 14001 et cetera en daarbovenop nog de klantspecifieke eisen, waaronder bijvoorbeeld contractuele eisen. Gaat ICT nog een rol spelen in de toekomst? Remote auditing wordt wel steeds makkelijker. Documenten deel je steeds makkelijker met elkaar. Voor conference calling draait niemand zijn hand meer om. Voor internationale klanten zijn dit wel de oplossingen en dan met name bij dienstverlenende klanten. Als je fysieke processen moet controleren, zul je toch aanwezig moeten zijn.
Interview Dave Hagenaars BSI def.docx
5