De nieuwe ISO’s: een tussenstand
08-05-2017
Organisaties zijn inmiddels anderhalf jaar bezig met de nieuwe ISO’s. Een mooi moment om de balans op te maken: waar lopen organisaties tegenaan? Waar loopt een certificatie-instelling als TÜV Nederland tegenaan? Veroorzaakt de HLS een revolutie of blijft het bij evolutie?
Hendrik Schoenmakers, Manager Certification Industry and Business Services bij TÜV Nederland geeft antwoord op een aantal vragen:
Hoeveel organisaties zijn al over?
Vanaf juli 2015 zijn certificatie-audits voor ISO 9001:2015 en ISO 14001:2015 mogelijk. Sinds die tijd is 30% van onze certificaathouders voor ISO 9001 en 15% van onze certificaathouders voor ISO 14001 overgestapt op de 2015-versie. De landelijke cijfers voor ISO 14001 geven een iets ander beeld. Begin maart 2017 stond de teller van het ISO 14001 SCCM register op iets meer dan 11% overgestapte organisaties. Een respectabel percentage, al moeten er vóór 15 september 2018 dus nog behoorlijk wat organisaties aan de bak!
Waar lopen de overgestapte organisaties tegenaan?
In het eerste half jaar zagen we dat de ‘early adaptors’ worstelden met de vertaling van trends en ontwikkelingen in de context naar interne en externe belangrijke punten (issues). De wetenschap dat de normen hiervoor geen ‘gedocumenteerde informatie’ vereisen, maar dat de keuzes die in hoofdstuk 4 worden gemaakt wel bepalend zijn voor het managementsysteem, maakte de afweging om hier nu wel of geen ‘gedocumenteerde informatie’ van te hebben niet makkelijk.
De zwakke plekken in de managementsystemen zaten in die periode vooral in hoofdstuk 4:
- Onvoldoende koppeling tussen de interne en externe issues en het gedocumenteerde managementsysteem, bijvoorbeeld geen enkele aanpassing aan het op de oude normen gebaseerde managementsysteem;
- Indien de organisatie ervoor had gekozen om de interne en externe issues te documenteren, was deze keuze soms alweer ingehaald door de actualiteit en daarmee niet meer passend.
Wat we nu in de praktijk zien is dat voor het aantonen van interne en externe issues veelal gekozen wordt voor het onderhouden van een multifunctioneel document. Op een gestructureerde wijze worden stakeholders, de stakeholdereisen, de risico’s op niet invullen van deze stakeholdereisen en beheersmaatregelen voor deze risico’s vastgelegd. Dat geeft uiteraard houvast, hoewel de uitdaging blijft om het document continu up-to-date te houden. Dat is iets wat de toekomst uit gaat wijzen.
Waar gaat het zoal mis?
Auditoren zoeken naar bewijs van conformiteit met de normen en niet bewust naar afwijkingen, maar de implementatie van een managementsysteem is zelden 100% in orde. Wat opvalt is dat het grootste gedeelte van geconstateerde afwijkingen niet gaat over volledig nieuwe elementen maar over reeds bestaande en aangescherpte normeisen. De top 3 paragrafen in de normen die tot de meeste afwijkingen leidt, ziet er bij de klantenkring van TÜV Nederland als volgt uit:
- ISO 9001 & 14001 paragraaf 7.2, de aantoonbaarheid van de benodigde competenties van personen;
- ISO 9001 paragraaf 8.4.1, getroffen beheersmaatregelen voor extern geleverde diensten;
- ISO 9001 & 14001 paragraaf 9.3, de gewijzigde eis over risico’s en kansen als input voor de directiebeoordeling.
De risicobenadering lijkt een volgende stap in de evolutie van managementsystemen en draagt bij aan de integratie in de bedrijfsprocessen.
Dit wordt bevestigd door het beeld dat organisaties over het algemeen goed in staat zijn de nieuwe normen succesvol te implementeren. De reden hiervoor lijkt voor de hand liggend: de meeste organisaties worden gemanaged op een manier waarbij risico’s worden beperkt en geprobeerd wordt kansen te benutten. De risicobenadering sluit daarmee aan op de dagelijkse praktijk.
Bron: NEN