Hebben we nog vertrouwen
in ISO-certificaten?

Grote organisaties, onder andere in de auto-industrie en in de levensmiddelenindustrie, voeren audits uit bij hun toeleveranciers, ook als zij al een ISO 9001-certificaat hebben. Het lijkt erop dat een ISO 9001-certificaat minder volstaat. Hoe komt dat en wat is daaraan te doen? Daarover gingen Rykele Betten en Bernadette van Pampus met elkaar in gesprek.

Met een ISO 9001-certificering krijgt een organisatie de mogelijkheid om haar betrouwbaarheid aan te tonen aan klanten, toeleveranciers en overige belanghebbenden. Als je vertrouwen geeft, dan doe je wat je zegt en zeg je wat je doet. Vertrouwen houdt ook in dat je bereid bent om afhankelijk te zijn van de daden van een ander. In zakelijke relaties betekent vertrouwen dat een organisatie zijn toeleverancier erop vertrouwt dat zijn producten van constante kwaliteit zijn.

Rykele is specialist in het vakgebied van risico-en continuïteitsmanagement. Bernadette is strategisch adviseur kwaliteitsmanagement. Beiden brengen een berg aan ervaring mee op het gebied van de ISO-managementsysteemnormen en maken mee dat klanten van hun eigen klanten audits komen uitvoeren.

Alleen het certificaat geeft geen vertrouwen

Bernadette: ‘In de beginjaren, de jaren ‘80 en ‘90 van de vorige eeuw, onderscheidden organisaties zich met het ISO 9001-certificaat. Aanvankelijk was het certificaat bedoeld om klanten en belanghebbenden het vertrouwen te geven dat de organisatie met haar bedrijfsvoering in control is. Het was een garantie. ISO ging ooit over gerechtvaardigd vertrouwen. Dat was oorspronkelijk de bedoeling van het ISO 9001-certificaat en de overige certificaten die daarna kwamen, zoals het ISO 14001-certificaat voor milieumanagement.’

Rykele: ‘Jazeker! Dat staat ook expliciet vermeld in de ISO 9001 norm. Het is bedoeld voor interne en externe partijen, om te beoordelen of je met je organisatie in staat bent te voldoen aan de eisen van de klant, de eisen voor je product of dienst en om te voldoen aan wet- en regelgeving. En niet te vergeten aan de eisen die jij zelf als producent of dienstverlener stelt.’

Bernadette: ‘Waarom zou je nu als organisatie zoveel moeite doen om een audit uit te voeren, als je toeleverancier een certificaat heeft dat er is om vertrouwen te bieden?’

Rykele: ‘Omdat een ISO 9001-certificaat hen niet voldoende vertrouwen geeft. De klant wil niet het risico lopen dat er geen kwaliteit geleverd kan worden. Hij moet erop kunnen vertrouwen dat de toeleverancier niet alleen voldoet aan de normen of wet- en regelgeving, maar ook dat hij de norm, de werking van de processen, de randvoorwaarden en de maatregelen periodiek tegen het licht houdt en monitort. En dat hij nagaat of hij in beeld heeft wat hij in beeld moet hebben en snel kan inspelen op veranderingen.’

- - -

Bernadette: ‘ISO ging over gerechtvaardigd vertrouwen.’

- - -

Rykele: ‘Je ziet steeds vaker dat er aan het ISO 9001-certificaat getwijfeld wordt. En dus komt de klant langs om de processen te toetsen, om te checken of zijn toeleverancier aan de eisen uit het contract kan voldoen. Hij wil, bijvoorbeeld, weten of de medewerkers de juiste competenties in huis hebben. En vaak gaat het niet alleen om eisen uit de ISO 9001-norm, maar ook om andere aspecten die door andere normen gedekt worden. De klant wil bijvoorbeeld weten of de medewerkers volgens de eisen uit de VCA werken.’

Kies een norm die relevant is

Rykele: ‘Inmiddels is er een scala aan normen die op een bepaald aspect inzoomen zoals milieu, Arbo, informatiebeveiliging. Organisaties kunnen kiezen. Wil je klant dat je het ISO 27001 certificaat behaalt of het ISO 9001-certificaat? Dan zorg je daar toch voor? Het is cherry picking. Organisaties stellen zichzelf onvoldoende de vraag welk certificaat voor hen relevant is. We vergeten dat het om het geheel gaat. Eigenlijk zou je naar een managementsysteem moeten waarmee je laat zien dat je gehele bedrijfsvoering op orde is, dus op gebied van kwaliteit, milieu, Arbo, informatiebeveiliging, business continuïteit, etc. Mijn advies zou zijn maak er één managementsysteemnorm van waarin alle onderwerpen terugkomen. De ISO 22301 norm voor Business continuïteit en de ISO 31000 voor risicomanagement zou je, bijvoorbeeld, heel goed samen kunnen voegen.’

- - -

Rykele: ‘Organisaties stellen zichzelf niet de vraag welk certificaat voor hen relevant is.’

- - -

Bernadette: ‘Met de nieuwe indeling van de ISO-managementsysteemnormen is daar al een start mee gemaakt. Sinds een aantal jaren hebben de ISO-managementsysteemnormen een basisindeling en een basistekst die voor ieder managementsysteem geldt, de zogenoemde High Level Structure. Ik heb de tweede versie van de ISO 9001-norm in 1994 nog meegemaakt. Daar stonden 20 onderwerpen in en als je voor die 20 onderwerpen een procedure had, kon je het certificaat behalen.’

Rykele: ‘Het was een begin, en goed bedoeld, alleen al snel achterhaald. In de ISO 9001-norm lag vanaf het begin de nadruk op procedures en processen. Daarna volgden andere managementsysteemnormen. Het is jammer dat die normen niet meteen vanaf de start integraal zijn opgezet. Het leveren van kwaliteit heeft met alles te maken. Niet alleen met het primaire proces, ook met de ondersteuning en continuïteitsaspecten zoals de automatisering, communicatie en imago. Wat speelt er in de volle breedte van je organisatie, binnen de organisatie en daarbuiten? Heb je een overall beeld van de afhankelijkheden en kwetsbaarheden? Heb je in beeld of je de juiste beheersmaatregelen hebt genomen? Ook bij uitbesteding en in de keten.’

Normen zijn een hulpmiddel

Bernadette: ‘En dus moet de klant er ook op kunnen vertrouwen dat zijn toeleverancier de juiste en betrouwbare data verzamelt om bij te sturen. Dat zijn toeleverancier gegevens verzamelt om te verantwoorden én om bij te sturen. Het woord ‘monitoring’ komt niet voor niets zo vaak voor in de ISO-managementsysteemnormen. Dat betekent niet dat je één keer per jaar de thermometer erin steekt, maar dat je continu in het vizier hebt hoe het loopt.’

Rykele: ‘Het is belangrijk om op alle niveaus gegevens te verzamelen. We hebben het nu over de klant, maar het gaat ook om andere stakeholders, zoals de Raad van Advies of Commissarissen, de maatschappij en anderen. Stakeholders willen garanties die gebaseerd zijn op juistheid, effectiviteit en betrouwbaarheid. Vragen zoals: ‘wat doen we, waarom en hoe doen we het’, worden niet gesteld. Organisaties richten wel hun processen in, maar vergeten dat er in ieder proces en procedure een escape zit. Als je de managementsysteemnormen goed leest, gaat het juist om risicomanagement.’

- - -

Bernadette: ‘Het gaat erom dat je aansluiting zoekt bij je eigen situatie.’

- - -

Bernadette: ‘Het is een grote misvatting om te denken dat de managementsysteemnormen een blauwdruk zijn. Het gaat erom dat je aansluiting zoekt bij je eigen situatie. De normen zijn een hulpmiddel, geen doel op zich. Er wordt vaak niet zo naar gekeken. Door een verkeerd gebruik is er wantrouwen ontstaan. De essentie wordt helaas niet altijd begrepen. Mensen lezen regels in de normen en gaan daar procedures voor bedenken. Bovendien ligt het niet alleen aan het ontwerp van de normen, het heeft ook met motivatie te maken. Vaak komt de motivatie van buiten en wordt het vereist door de klant of is het nodig om mee te kunnen doen aan een aanbesteding. De focus ligt dan op het ontwerp van het managementsysteem en het behoud van het certificaat. Na het behalen van het certificaat valt de aandacht weg. Wanneer je de focus op organisatieontwikkeling richt, heeft een managementsysteem meer kans van slagen.’

Bewustzijn is belangrijker dan de harde kant

Rykele: ‘Het heeft inderdaad allemaal met motivatie te maken. Maar ook met bewustwording van het belang van een goed en doeltreffend managementsysteem. Wanneer de focus ligt op het behoud van het certificaat, zonder het einddoel in het oog te houden, wordt het een last voor de organisatie. Het gaat om een manier van denken, om het lerend vermogen van een organisatie. De techniek, de harde kant, is meestal op orde. Wat vaak vergeten wordt, is het bewustzijn bij de medewerkers. Dit laatste is eigenlijk nog belangrijker dan de techniek’.

- - -

Rykele: ‘Het ISO-certificaat hoort juist een zegen voor je organisatie te zijn.’

- - -

‘Organisaties zouden meer stil kunnen staan bij de vraag in hoeverre een ISO-certificaat ook een meerwaarde kan hebben voor de eigen organisatie. Vaak weet het management niet waar ze aan begonnen zijn met een certificering. Het gaat erom dat je een norm kiest die voor jouw organisatie relevant is. Laat je in je keuze leiden door de omgeving waarin je opereert en de maatschappelijke ontwikkelingen. Je ISO-certificering moet daarbij aansluiten. Het ISO-certificaat hoort juist een zegen voor je organisatie te zijn, waarbij je kunt vertrouwen op je processen en weet dat je het juiste doet. Het is dus nooit een kwestie van we halen een certificaat en dan komt het goed. Wanneer jezelf merkt dat het certificaat vertrouwen wekt, dan ga je wel aan de slag met het onderhouden van het managementsysteem.’

5 tips

Rykele en Bernadette geven je vijf tips om ervoor te zorgen dat je klant vertrouwen heeft in jouw managementsysteem:

1. Zorg dat je een overall beeld hebt, behalve over processen, ook over continuïteitsaspecten, afhankelijkheden, kwetsbaarheden en juiste beheersmaatregelen.
2. Verzamel gegevens op alle niveaus, om te verantwoorden én om bij te sturen.
3. Leg de focus vooral op organisatieontwikkeling in plaats van op het ontwerp van het managementsysteem.
4. Kies een norm die aansluit bij je eigen situatie.
5. Kijk naar de essentie van de ISO-norm.

Privatisering, verzelfstandiging en globalisering vragen om steeds meer garanties. De vraag naar een ISO 9001 en andere certificaten zal daardoor blijven toenemen. Maar wanneer er voorbij gegaan wordt aan de oorspronkelijke reden voor een certificaat, dan wil dat nog niet zeggen dat er kwaliteit geleverd gaat worden. Daarom heeft KwaliteitNederland.NU besloten aan het thema ‘vertrouwen’ aandacht te schenken. Wij zijn benieuwd naar jullie mening. Wil je met Rykele en Bernadette in gesprek over dit onderwerp? Neem dan contact met ons op of laat je reactie achter.

De ISO-managementsysteemnormen zijn te verkrijgen bij www.nen.nl.