Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen

Transcriptie

1 Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen Wijzigingen in de belangrijkste ISO-normen voor managementsystemen, ISO 9001 en ISO 14001, maken internationaal veel reacties los. Deze normen vormen de basis voor de bedrijfsvoering van vele organisaties op het aspect kwaliteit en/of milieu. Daarnaast ondersteunen ze (inter)nationale handelsrelaties. Gebruikers zijn alleen te overtuigen van het belang van wijzigingen als de nieuwe ISO-normen een toegevoegde waarde bieden voor de uitdagingen van organisaties in de 21ste eeuw. Dit artikel licht toe waarom het de moeite loont om met de nieuwe ISO-normen aan de slag te gaan. Dick Hortensius, NEN-Managementsystemen, juni 2013 Achtergrond Voordat er een discussie was over de inhoud van de volgende generatie van normen voor managementsystemen werd binnen ISO gesproken over een aspect waar vooral gebruikers van meerdere ISO-managementsysteemnormen tegenaan lopen en zich over verbazen: de moeilijk te verklaren verschillen in aard, volgorde en formulering van eisen aan managementsystemen in de diverse normen. Het lijkt wel of ISO uit allemaal verschillende organisaties bestaat of ISO moet zichzelf eens normaliseren zijn dan veel gehoorde uitspraken. Het eerste is misschien wel waar. ISO commissies opereren behoorlijk zelfstandig en het zijn de in die commissies vertegenwoordigde belanghebbenden die bepalen wat de inhoud van een norm is, opdat die goed bruikbaar is in hun praktijk. En zo kan het dat in ISO 9001 een ander model wordt gehanteerd dan in ISO ISO heeft deze diversiteit enkele jaren geleden bij de kop gepakt. Door het toenemende aantal managementsysteemnormen en de groeiende behoefte om die geïntegreerd toe te passen, was het duidelijk dat nieuwe stappen in het afstemmingsproces moesten worden gezet. Door de Technical Management Board (TMB) van ISO zijn daarom twee commissies ingesteld. Ten eerste een Strategic Advisory Group (SAG) met de opdracht een langetermijnvisie te ontwikkelen en ten tweede de Joint Technical Coordination Group (JTCG) voor verbetering van de afstemming op korte termijn en concretisering van de adviezen van de SAG. Figuur 1 - Plug-in model voor managementsysteemnormen Het Plug-in model en de High Level Structure Door de SAG is aanbevolen in de toekomst de managementsysteemnormen te ontwikkelen volgens een zogenoemd Plug-in model (zie figuur 1). Dat wil zeggen dat de kernelementen die voor alle managementsysteemnormen identiek zijn, in een apart document worden vastgelegd. De gedachte hierachter is dat het managementsysteem van een organisatie werkt als het operating system van een 1

2 computer, waarin specifieke programma s en devices kunnen worden geplugd, die ervoor zorgen dat bepaalde zaken goed worden gemanaged. Onderwerp- en sectorspecifieke normen kunnen dan als modules worden ontwikkeld en in de kern worden ingeplugd. Onderwerpspecifieke normen zijn bijvoorbeeld ISO 9001 voor kwaliteitsmanagement, ISO voor voedselveiligheidsmanagement en ISO voor informatiebeveiliging. Een voorbeeld van een sectorspecifieke norm is ISO/TS voor kwaliteitsmanagement in de automotive sector. Daarnaast kunnen specifieke richtlijnen worden ontwikkeld voor bepaalde systeemelementen, zoals ISO voor auditing van managementsystemen of ISO voor documentatie van managementsystemen. Ook ISO en ISO kunnen als generieke ondersteunende richtlijnen worden gezien, die een organisatie kan toepassen om het gehele managementsysteem te verbeteren of te verdiepen. Deze richtlijnen hebben een ander karakter dan bijvoorbeeld ISO 19011, omdat zij een nieuw perspectief op (bijna) alle onderdelen van een managementsysteem bieden. Formaliseren van de nieuwe structuur Binnen ISO met al zijn zelfstandig opererende technische commissies zijn er een aantal gemeenschappelijke spelregels die borgen, dat bij de ontwikkeling en redactie van normen bepaalde principes worden gehanteerd. Deze regels worden vastgesteld door de Technical Management Board (TMB) van ISO. De TMB heeft in 2010 het advies van de SAG overgenomen en opdracht gegeven aan de Joint Technical Coordination Group om invulling te geven aan de kernelementen van het plug-in model. Dit heeft in 2012 geresulteerd in een gemeenschappelijke structuur (High Level Structure) en identieke basiseisen en -terminologie voor ISO-managementsysteemnormen die zijn vastgelegd in de ISO-spelregels voor het opstellen van normen. De nieuwe structuur is weergegeven in het kader hiernaast. High Level Structure voor managementsysteemnormen 1. Scope (of the standard) 2. Normative references (if any) 3. Terms and definitions 4. Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the management system 4.4 Management system (general requirements) 5. Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6. Planning 6.1 Actions to address risks and opportunities 6.2 Objectives and planning to achieve them 7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8. Operation 8.1 Operational planning and control 9. Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement De TMB heeft besloten dat toepassing van de HLS en de identieke tekst en terminologie in principe verplicht is voor alle managementsysteemnormen. Daarbij gelden bepaalde spelregels die door de JTCG zijn voorgesteld en door de TMB zijn overgenomen. Bijvoorbeeld dat een technische commissie eisen mag toevoegen die voor (en door) het betreffende vakgebied (ISO spreekt van discipline ) noodzakelijk worden geacht. Zolang deze aanvulling niet in tegenspraak is met de identieke tekst, de intentie daarvan niet ondermijnt en/of het geen negatief effect heeft op de 2

3 beoogde harmonisatie. Als een technische commissie echt van mening is dat moet worden afgeweken van de HLS en/ of de onderliggende identieke tekst, dan moet dat worden onderbouwd en gemeld aan de TMB. Op basis van aantal en aard van de gemelde afwijkingen zal TMB van tijd tot tijd de effectiviteit van de HLS evalueren. HLS vanuit het perspectief van corporate governance In de High Level Structure (HLS) zijn de basiseisen beschreven die gelden voor elk managementsysteem. Voor sommige elementen was dat relatief eenvoudig omdat het gemeenschappelijke concept de afgelopen jaren al goed is uitgekristalliseerd. Bijvoorbeeld de paragrafen met algemene eisen aan beleid, documentbeheersing, het uitvoeren van interne audits en de management review. Voor andere elementen was dat lastiger, hetzij omdat eigenlijk een nieuw concept wordt geïntroduceerd, bijvoorbeeld het element context van de organisatie, of omdat het onderwerp in de huidige normen heel verschillend wordt behandeld, zoals communicatie. Belangrijk uitgangspunt bij de nieuwe inhoud en structuur voor managementsysteemnormen is dat die als geheel beter moet aansluiten bij de in organisaties gangbare besturingsmodellen, ofwel de wijze waarop corporate governance vorm krijgt. Met het PDCA-model van ISO en het procesmodel van ISO 9001 is dat onvoldoende gelukt. Als we de paragrafen uit de HLS in vogelvlucht langslopen, lijken die betere aanknopingspunten te bieden voor aansluiting bij het managementsysteem van een organisatie. Paragraaf 4 gaat over de externe oriëntatie van een organisatie in het licht van haar missie/visie ( purpose in de terminologie van de HLS). Paragraaf 5 gaat over leiderschap (met expliciete aandacht voor de koppeling met de algehele strategie en bedrijfsprocessen van de organisatie) en paragraaf 6 over de analyse van de externe context en gekoppeld daaraan de vertaalslag naar te realiseren doelen en daarvoor benodigde programma s. De volgende paragrafen van de HLS gaan over ondersteunende processen, beheersing van de operationele processen, prestatiebeoordeling en verbetermechanismen. Daarmee beschrijft de HLS alle belangrijke elementen van het besturen van een organisatie. Belangrijk is dat volgens paragraaf 5.2 van de HLS van het topmanagement wordt vereist dat die zorgt voor koppeling van het managementsysteem met de strategische richting van de organisatie en dat de managementsysteemeisen worden geïntegreerd in de gewone bedrijfsvoering (de business processes ). Dit moet ervoor zorgen dat managementsystemen die slechts in de zijlijn van de echte bedrijfsvoering bestaan, tot het verleden gaan behoren. In de kerneisen zijn de volgende zes essentiële onderdelen van goed management of corporate governance te onderscheiden: 1. Leiderschap paragraaf 5, Risicomanagement paragraaf 4.1, 4.3, 6.1, 8.1, 9.1 en Compliance management paragraaf 4.2, 4.3, 6.1, 8.1, 9.1 en Procesmanagement paragraaf 6.2, 7.1, 7.2, 8.1, 9.1 en Verbetermanagement paragraaf 6.2, 9 en Borging en aantoonbaarheid paragraaf 4.4, 5.3 en 7 Risico- en compliance management impliceren ook oriëntatie op eisen, wensen en zorgen van stakeholders van de organisatie en dus een vorm van stakeholdermanagement. Dit komt vooral terug in de eisen 4.2, 6.1 en 7.4 Leiderschap Alom wordt erkend dat de succesvolle implementatie van een managementsysteem staat en valt met commitment van het (top)management van de organisatie. In de HLS wordt dit benadrukt door een aparte paragraaf over leiderschap op te nemen. Bekende elementen daarin zijn dat de directie verantwoordelijk is voor het vaststellen van het beleid, het inrichten van de managementstructuur en het beschikbaar stellen van de benodigde middelen. Nieuwer is dat de directie moet zorgen dat het managementsysteem aansluit bij de strategische richting van de organisatie en wordt geïntegreerd in de bedrijfsprocessen (zeg maar in hèt managementsysteem, de governance van de organisatie). Risico- en compliance management Een ander facet dat veel meer aandacht krijgt in de HLS 3

4 dan in de meeste huidige managementsysteemnormen, is de oriëntatie op de externe context waarin de organisatie opereert. Die oriëntatie is het beginpunt van risicomanagement, compliance management, stakeholdermanagement en maatschappelijk verantwoord ondernemen. In 4.1 wordt vereist dat een organisatie de interne en externe issues bepaalt die effect hebben op het behalen van de doelen die met de toepassing van het managementsysteem worden beoogd (dat zijn dus risicofactoren). Volgens 4.2 moeten de stakeholders van de organisatie en hun eisen en verwachtingen worden vastgesteld (ook dat leidt tot inzicht in risico-aspecten en acceptabele risiconiveaus). Identificatie van relevante eisen is ook de eerste stap in compliance management. Volgens paragraaf 4.3 moet de scope van het managementsysteem aansluiten bij de te beheersen risico s en de eisen waaraan de organisatie moet voldoen. In 6.1 wordt verder vereist dat de organisatie de risico s (en kansen) analyseert die samenhangen met de geïdentificeerde issues en eisen van stakeholders en dat zij bepaalt hoe die risico s en eisen in het managementsysteem worden behandeld. Volgens 8.1 moeten risicobeheersingsmaatregelen worden getroffen waarvan de effectiviteit volgens 9.1 moeten worden gemonitord en geëvalueerd. Dit zijn allemaal basiselementen van risicomanagement die ook in ISO worden beschreven. Procesmanagement, verbetermanagement, borging en aantoonbaarheid Dit betreft bekende componenten van het managementsysteem. De kern van procesmanagement is het beheersen van processen (8.1) uit het oogpunt van risico s (6.1) en gericht op het realiseren van doelen (6.2). Voldoende middelen en competente mensen (7.1 en 7.2) zijn belangrijke randvoorwaarden en met monitoring en bijsturen (9.1 en 10.1) wordt de PDCA-cyclus rond het proces gesloten. Verbeteringen lopen primair via het spoor beleid, doelstellingen en programma s, meten & monitoren, corrigerende maatregelen verbeteracties. Op metaniveau zijn interne audits en management review belangrijke schakels in het proces van continue verbetering. Borging en aantoonbaarheid hebben te maken met verankering in de organisatie (middelen, competenties, communicatie, beheersmaatregelen, procedures e.d.) en het bijhouden van documentatie (met inbegrip van registraties). Implementatie van de HLS De eerste norm die volgens de HLS en met gebruikmaking van de identieke tekst is opgesteld, is ISO 30301:2011 Information and documentation Management systems for records Requirements. Daarin is ook een visualisering van de HLS opgenomen, wat een combinatie heeft opgeleverd van het procesmodel uit ISO 9001 en de PDCA-cyclus uit ISO Een andere norm die de HLS heeft gevolgd is ISO voor Business continuity management. 4

5 Figuur 2 Structuur van het managementsysteem voor records volgens ISO Een aantal andere normen die de HLS als basis hebben genomen zijn bijna gereed zoals ISO voor Asset management en de herziening van ISO voor een managementsysteem van informatiebeveiliging. De grootste impact van de HLS komt natuurlijk als die onderdeel wordt van de meest toegepaste managementsysteemnormen, namelijk ISO 9001, ISO en OHSAS De herzieningen van ISO en ISO 9001 lopen inmiddels en OHSAS zal worden omgezet in een ISO-norm. Dat betekent dat gebruikers van deze KAM-normen vanaf 2015 te maken zullen krijgen met de nieuwe structuur. Die heeft als voordeel dat de normen gemakkelijker geïntegreerd kunnen worden toegepast. Maar het is ook een structuur die de integratie van KAM-management in de corporate governance, het échte managementsysteem van de organisatie, moet verbeteren. Betekenis en perspectief van de HLS De impact van de nieuwe kernelementen en eisen op de bekende managementsysteemnormen zoals ISO 9001 en ISO zal groot zijn. De structuur en indeling veranderen en de basiseisen worden anders geformuleerd. Dat zal even wennen zijn. De voordelen zijn echter groot. Geïntegreerde toepassing van verschillende managementsysteemnormen in de gewone bedrijfsvoering (in het managementsysteem van de organisatie) zal veel eenvoudiger worden. Ook certificatie kan efficiënter worden en effectiever worden gericht op de onderwerpspecifieke aanvullingen op het basismanagementsysteem. Ook moet de High Level Structure ervoor zorgen dat ISOmanagementsystemen beter aansluiten op de strategie en governance van organisaties en onderdeel gaan uitmaken voor normale bedrijfsvoering. Hiermee kunnen de ISOmanagementsysteemnormen van de toekomst werkelijk bijdragen aan de uitdagingen waar organisaties in de 21ste eeuw mee te maken hebben. Tot besluit De HLS, identieke tekst en terminologie zijn niet afzonderlijk als ISO-norm of -richtlijn gepubliceerd, maar zijn opgenomen in een bijlage van de ISO Directives, de spelregels van ISO voor het opstellen en redigeren van normen. Daarmee wordt duidelijk dat het niet bedoeld is als een zelfstandig implementeerbaar kernsysteem, maar alleen kan functioneren als er ten minste één module (plug-in) aan is gekoppeld. Enerzijds is dat misschien jammer, maar gezien de beknoptheid en het abstractieniveau van de kerneisen wel een begrijpelijke keuze. Anderzijds verhindert het organisaties natuurlijk niet om de kerneisen als ruggengraat van het managementsysteem te gaan hanteren. Zij zijn daarmee goed voorbereid op hun toekomst. Meer informatie Voor meer informatie kunt u terecht op de speciale website die door NEN is ingericht: 5