ISO 9001 is een internationale norm gericht op het beheersen van processen en het inrichten van een effectief managementsysteem. Organisaties die in voldoende mate voldoen aan de eisen uit deze norm, mogen zich ISO-gecertificeerd noemen. Het certificaat heeft betrekking op het managementsysteem; het is geen productkenmerk zoals een Kema-keur. De norm is in 2015 ingrijpend aangepast. Belangrijke wijzigingen zijn: (1) Aansluiting op andere normen die ook te maken hebben met het managementsysteem, zoals normen voor informatiebeveiliging, arbo en veiligheid. Al deze normen worden nu afgeleid van een High Level Structure (HLS) zodat voor gemeenschappelijke aspecten nu dezelfde eisen zijn geformuleerd – in de norm zijn deze geel gemarkeerd. (2) In de norm wordt nu ook de benadering van risicomanagement toegepast. (3) Er zijn nu tevens eisen geformuleerd voor leiderschap en de relatie met belanghebbenden uit de omgeving van de organisatie die niet direct een klant zijn. (4) Bij veel eisen is aangegeven dat ze in samenhang met de specifieke omstandigheid van de organisatie kunnen worden geïnterpreteerd – bijvoorbeeld ten aanzien van documentatie.
Waarom een ISO-certificaat?
Eerlijk is eerlijk: het ISO-certificaat heeft vaak een slechte naam. Certificering zou bureaucratie en veel papierwerk met zich meebrengen. Ook het registeren van allerlei zaken om ze later te kunnen aantonen, wordt als een onnodige belasting gezien. Toch heeft het ISO-certificaat veel voordelen en kunt u de nadelen zelf voor een groot deel beperken; ga eventueel een discussie aan met uw certificeerder! De voordelen:
- Systematische aandacht voor klantgerichtheid, leiderschap, betrokkenheid van medewerkers, procesbeheersing, toepassing van de pdca-cyclus, risicomanagement, verbeteren, op bewijs gebaseerde besluitvorming en relatiemanagement.
- Het vreemde-ogen-dwingen effect omdat uw kwaliteitssysteem regelmatig intern en extern onafhankelijk wordt beoordeeld.
- Meer zekerheid voor klanten die soms ook een ISO-certificaat van u eisen om een offerte te mogen uitbrengen. Soms is het ISO-certificaat ook een eis om toe te treden tot brancheorganisaties.
Normeisen
De normeisen zijn gegroepeerd in een aantal hoofdstukken (hoofdstuk 4 tot en met 10) en hebben betrekking op de context van de organisatie (4), leiderschap (5), planning (6), ondersteuning (7), uitvoering (8), evaluatie van de prestaties (9) en verbetering (10). De eisen hangen met elkaar samen waarbij de pdca-cyclus een belangrijk uitgangspunt is. Verder is de verbinding van de organisatie met de externe omgeving (context) essentieel. Wat zijn de eisen van klanten? Zijn ze tevreden over de geleverde producten en diensten? Wat zijn de behoeften en verwachtingen van andere belanghebbenden (maatschappelijk verantwoord ondernemen)?
Bij het uitwerken van de normeisen is steeds de procesbenadering toegepast. Activiteiten maken altijd onderdeel uit van een proces dat niet op zichzelf staat, maar input krijgt van een voorafgaand proces en output levert aan een ontvangend proces. Op alle stappen in deze procesketen kunnen er beheersmaatregelen en controlepunten nodig zijn om de kwaliteit te kunnen waarborgen. Dat geldt ook voor externe processen buiten de organisatie.
Normeisen in detail
De normtekst van ISO 9001:2015 bestaat uit 42 pagina’s. We geven hieronder de titels van de hoofdstukken en (uitklapbaar) de (sub)paragrafen. Bij Uitvoering is veel aandacht voor ontwerp en ontwikkeling van producten en diensten, zowel de verifieerbaarheid (voldoet het ontwerp aan de geformuleerde eisen) als de validiteit (bereikt de klant er het doel mee dat was beoogd). Achterliggend idee is dat wanneer het ontwerp goed is afgestemd op de eisen en wensen van de klant, er een grote kans is op klanttevredenheid.
Inzicht in de organisatie en haar context (4.1)
Inzicht in de behoeften en verwachtingen van belanghebbenden (4.2)
Het toepassingsgebied van het kwaliteitsmanagementsysteem vaststellen (4.3)
Kwaliteitsmanagementsysteem en de processen ervan (4.4)
Leiderschap en betrokkenheid (5.1): inclusief klantgerichtheid
Beleid (5.2): inclusief vaststellen en communiceren kwaliteitsbeleid
Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie (5.3)
Acties om risico’s en kansen op te pakken (6.1)
Kwaliteitsdoelstellingen en de planning om ze te bereiken (6.2)
Planning van wijzigingen (6.3)
Middelen (7.1): inclusief personeel, infrastructuur, omgeving voor de uitvoering van processen, middelen voor monitoring en meten, kennis binnen de organisatie
Competentie (7.2)
Bewustzijn (7.3)
Communicatie (7.4)
Gedocumenteerde informatie (7.5): inclusief creëren en actualiseren, beheersing van gedocumenteerde informatie
Operationele planning en beheersing (8.1)
Eisen voor producten en diensten (8.2): inclusief communicatie met de klant, vaststellen/beoordelen/wijzigen eisen voor producten en diensten
Ontwerp en ontwikkeling van producten en diensten (8.3): inclusief planning, inputs, beheersmaatregelen, outputs, wijzigingen
Beheersing van extern geleverde processen, producten en diensten (8.4): inclusief informatie voor externe aanbieders
Productie en het leveren van diensten (8.5) : inclusief identificatie en naspeurbaarheid, eigendom van klanten of externe aanbieders, nazorg, beheersing van wijzigingen
Vrijgave van producten en diensten (8.6)
Beheersing van afwijkende outputs (8.7)
Monitoren, meten, analyseren en evalueren. (9.1): inclusief klanttevredenheid, analyse en evaluatie
Interne audit (9.2)
Directiebeoordeling (9.3): inclusief inputs en outputs
Algemeen (10.1)
Afwijkingen en corrigerende maatregelen (10.2)
Continue verbetering (10.3)
Verkrijgen ISO-certificaat
Een organisatie krijgt een ISO-certificaat wanneer het in voldoende mate voldoet aan de eisen van de norm. Om te kunnen voldoen aan de eisen van de norm moet de organisatie kunnen beschikken over (beknopte) procesbeschrijvingen, registraties en hulpdocumenten. Zowel in de documentatie als in de dagelijkse werkpraktijk dient aan de eisen te worden voldaan. Om dit te kunnen vaststellen is een onderzoek nodig, een audit. Een dergelijke certificeringsaudit mag alleen worden uitgevoerd door daartoe ‘erkende’ certificerende instanties zoals de Kema, DNV en Lloyds. Het aantal auditdagen is afhankelijk van de omvang en complexiteit van de organisatie. Behalve deze ‘initiële’ of certificeringsaudit vinden er halfjaarlijks of jaarlijks periodieke audits plaats. Na drie jaar wordt de certificeringsaudit in volle omvang herhaald. Een ISO-certificaat heeft dus een beperkte geldigheidsduur van drie jaar. Een organisatie met ongeveer 200 medewerkers moet voor de certificeringsaudit al gauw rekenen op acht auditmandagen en kosten rond de € 15.000. De periodieke audits duren dan ongeveer drie auditmandagen en kosten ongeveer € 5.000 per jaar.
De audits: “Mag ik dat eens zien”
Voorafgaand aan de audit in de organisatie is een documentatiebeoordeling noodzakelijk. Dit is voornamelijk een bureauonderzoek waarbij de auditor onderzoekt of de beschrijving van het managementsysteem voldoet aan de normeisen. Daarna volgt het onderzoek in de organisatie, waarbij interviews worden gehouden met directie, management en medewerkers. Degene die wordt bevraagd is de auditee, de onderzoeker wordt aangeduid als auditor. Tijdens de audit is het gebruikelijk om ‘bewijsstukken’ te vragen: “Mag ik dat eens zien.”
Na afloop van de audit ontvangt de organisatie een auditrapport met de belangrijkste bevindingen uit het onderzoek en de conclusie ‘ISO-certificaat ja/nee’. In de rapportage zijn de zogenaamde non conformity notes (NCN’s) opgenomen. Deze beschrijven de geconstateerde afwijkingen ten opzichte van de norm:
Categorie 1, ook wel aangeduid als rode kaart: dit is een ernstige tekortkoming omdat in belangrijke mate niet wordt voldaan aan één of meer normeisen. Een rode kaart blokkeert het ISO-certificaat of de verlenging daarvan. Er is een nieuwe en afzonderlijke audit nodig die ook extra kosten met zich meebrengt.
- Categorie 2, ook wel gele kaart genoemd: een duidelijke afwijking van de norm die bij een volgende audit aantoonbaar moet zijn opgelost.
- Observatie, ook wel getypeerd als een witte kaart: een tekortkoming die de auditor niet kan bewijzen, maar waarbij er wel een sterk vermoeden is dat er iets niet klopt. Bij een volgende audit is dit een aandachtspunt.
- NEN-EN-ISO 9001:2015: Kwaliteitsmanagementsystemen – Eisen. Delft: NEN, 2015.
- Kees de Vaal, Ouke Pijl, Ben van Schijndel. Kwaliteitsmanagement in de praktijk. Hilversum, Uitgeverij Concept, 2019.