DNVGL.NL

Dat moet van de ISO!

DELEN:
PRINTEN:
nieuwe iso normen ISO 9001:2015 ISO 14001:2015
Voor vakblad Kwaliteit in Bedrijf schrijft Matthijs Dierick elke maand een column. Deze maand met de titel: 'Dat moet van de ISO!'
  • Gepubliceerd:
  • Auteur:
  • Unit: Business Assurance
Contact:
Matthijs DNV GL
Lead auditor en trainer Matthijs Dierick

Zoals ik in eerdere columns ook al heb geschreven, valt het mij op dat bedrijven alle inspanningen die ze doen om een ISO- certificaat te behalen, los zien van hun dagelijkse werkzaamheden. Het is een ‘moetje’: de klant wil dat het bedrijf gecertificeerd is. Waarom de klant dat vraagt, wordt niet nader onderzocht. Het wordt gezien als een wetmatigheid. Dus moet er aan de gang gegaan worden met ISO. Probeer de norm eens iets anders voor te stellen dan een ‘moeilijke norm’, waar de kwaliteitsfunctionaris mee aan de slag moet gaan. Ga lekker zo door en de ISO-normen zullen een nutteloze belasting blijven voor uw organisatie.

Van oudsher kun je een norm als de ISO 9001 zien als ‘een verzameling van zaken die bedrijven fout doen’. De nieuwste generatie ISO-normen zijn dusdanig opgesteld dat zij u werkelijk helpen uw organisatie relevant te houden, zodat u mee kunt gaan in de snel veranderende maatschappij waarin wij leven. Daarvoor MOET u wel een aantal zaken doen, maar voer die zaken alleen uit op een manier die bij uw bedrijfsvoering aansluit.

Een mantra in mijn trainingen is: ‘De ISO-normen schrijven voor WAT u moet regelen, uw managementsysteem schrijft voor HOE het is geregeld’. Eindeloos veel mensen blijven denken dat ISO een methodiek van werken is; dat is het niet. ISO tracht handvatten te geven over onderwerpen waar u over na moet denken. Vervolgens moet u zelf een methode erbij bedenken die aansluit bij uw bedrijfsvoering.

Centraal in de norm staat het woord RISICO. Dit zijn positieve en negatieve onzekerheden die u het hoofd moet bieden. Simpel gezegd: ziet u iets als een grootrisico dan moet u er veel tijd en energie insteken, is het een klein risico dan stopt u er weinig tijd en energie in, of accepteert u het een keertje wanneer het risico plaats vindt. U bepaalt wat u ziet als positief of negatief risico en u bepaalt hoe u deze het hoofd wilt bieden. De auditor mag dan kijken of u uw maatregelen heeft uitgevoerd, en of deze adequaat zijn om het risico te managen.

Probeer de volgende vragen eerst eens te beantwoorden alvorens u begint aan uw volgende procedure, instructie of protocol:

  • Hoe belangrijk vinden we dit risico? Wat zou er nu gebeuren wanneer we niets doen?
  • Moeten we het risico voorkomen of kunnen we volstaan met reactieve maatregelen voor het geval het risico zich voordoet?
  • In welke processen zou dit risico zich kunnen voordoen?
  • Hoe zouden we dit risico kunnen managen? 
Ook voor kwaliteit geldt dat de hiërarchie van beheersmaatregelen, zoals die ook in de ISO 45001 wordt benoemd, goed gebruikt kan worden. Ik heb deze hiërarchie wat uitgebreid:
  1. Eliminatie: als het risico te groot of te ernstig is: doe het niet. Iets wat u niet doet kan ook niet fout gaan.
  2. Substitutie: kunnen we het werk niet op een andere manier organiseren, andere middelen, mensen inzetten?
  3. Technische beheersing: u heeft vast allemaal wel zo’n almachtig computersysteem. Door mensen rechten of juist geen rechten te geven in dit systeem kunt u ongewenste handelingen en besluiten tackelen.
  4. Geef uw mensen de juiste competenties: door medewerkers goede trainingen te geven maakt u hen bewust van de impact van hun handelen.
  5. Schrijf een werkinstructie/ procedure. Hierin beschrijft u de gewenste werkwijze, maak goede werk afspraken.
  6. Inspecteer producten/diensten: hiermee kunt u voorkomen dat er foutieve producten (maar ook offertes e.d.) bij de klant terechtkomen.
  7. Zorg voor een goede klachtenopvolging: al je beheersmaatregelen hebben gefaald, maar zorg er nu voor dat de klacht/het incident goed wordt opgevolgd, hier behoud je klanten mee.
  8. So What? Vette pech, iets kan een keertje misgaan, leer dit te accepteren!
Wat dus moet van de ISO is dat u een risicogebaseerde invulling geeft aan de norm eisen. Hoe u dat doet, is helemaal aan u. Maar beloof me: schiet niet direct in die documenteerstand, maar verzin een praktische oplossing voor de normeis die bij uw organisatie past.


Lees hier de eerder geschreven columns: