Archief voor de ‘Uncategorized’ categorie

Klantgericht certificeren

Geplaatst op: 01 februari, 2017

De afgelopen periode heb ik bij een aantal klanten mogen meemaken dat er vergeefs een beroep werd gedaan op de klantgerichtheid van hun certificerende instelling.

De klanten wilden om dringende en logische redenen hun audit verzetten. De certificerende instellingen (CI) dreigden de geraamde kosten voor certificering volledig in rekening te brengen (regels zijn regels!). De klanten voelden zich geïntimideerd en onder druk gezet en laten de audit toch maar doorgaan. “We moeten de CI niet tegen de haren in strijken, want we hebben het certificaat hard nodig en het is ook zonde van de kosten.”

Is dit redelijk en toegestaan? 

Juridisch waarschijnlijk wel (mogen juristen wat van vinden). Er is een overeenkomst met aanvullende voorwaarden door een bevoegd persoon ondertekend, dus de klant weet vooraf waar hij aan toe is.

Of het redelijk is? Niet echt. Waarom werken de CI dan niet mee aan de wensen van hun klanten en worden er zulke onredelijke regelingen vastgesteld? Ik weet als voormalig eigenaar van een CI dat het hinderlijk is voor de planners en auditoren om een audit te moeten verzetten. Soms heb je veel energie in de planning moeten steken, en dan gaat deze weer over de kop. Je bent er al snel weer een uur extra mee bezig, maar het hoort wel bij een normaal planningsproces van een CI. Vergelijk dit voor de aardigheid eens met het planningsproces van een bouw- of transportbedrijf. Dan stelt dit toch niets voor?

Er wordt ook snel gezegd dat de auditor reeds ingepland is en anders een dag niet declarabel kan zijn. Onzin natuurlijk, ze hebben genoeg rapportages of andere werkzaamheden klaar liggen. Het is gewoon een kwestie van organiseren. Het merendeel van de auditoren wordt ingehuurd, dus hun werkplanning is niet de directe zorg van een CI. Annuleringen mogen geen onderdeel uitmaken van het businessmodel van een CI. Als je annuleringskosten wilt laten betalen, breng dan de daadwerkelijke kosten in rekening oftewel het uurtje extra werk van de planner. Zijn de kosten voor planning niet al opgenomen in het postje ‘administratiekosten’ of het mandagtarief van de auditor?

Daarnaast tref je nog andere bijzonderheden in overeenkomsten aan zoals:

  • Vooraf laten betalen met het bijzondere argument dat anders de auditor beïnvloed kan worden. Drogreden aangezien een CI reeds verplicht is om de verantwoordelijkheden omtrent betaling en audit goed te scheiden. Reductie van kosten is hierdoor niet meer mogelijk. Hoe vaak ontvangt u een reductie indien de audit relevant minder tijd heeft gekost?
  • Certificatiekosten van meer dan 100 euro voor een geprint certificaat en een postzegel.
  • Een klant kan geen vergoeding vragen indien de audit op verzoek van de CI op het laatste moment wordt verzet.
  • Onredelijk hoge kosten berekenen voor de schriftelijke afhandeling van afwijkingen.
  • Weinig maatwerk in tijdbesteding, oftewel het rigide volgen van de mandagtabellen.

Moet je annuleringskosten helemaal loslaten? 

Nee, want er zijn genoeg klanten en adviseurs die hiermee aan de wandel gaan. Voldoen aan accreditatie-eisen kan voor hen ook geen reden zijn, aangezien deze hier haast niet op in gaan. Er is altijd een tussenweg. Ik ben benieuwd welke CI het lef en voortschrijdend inzicht heeft om deze te bewandelen. Het zal voor het imago en geloofwaardigheid van certificering geen kwaad kunnen. Misschien levert het de CI zelfs wel onderscheidend vermogen op…

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.

De Veiligheidsladder, vervanger van VCA?

Geplaatst op: 23 november, 2016

Regelmatig beschouwen we nieuwe en bestaande normen en keurmerken. Hierbij wordt de zin en onzin van de opzet en inhoud nader behandeld. Een toetsing van het handboek en certificatieschema Veiligheidsladder (www.veiligheidsladder.org) levert het onderstaande op.

Opzet, historie en status

De Veiligheidsladder is ontwikkeld door ProRail als opvolger van de weinig succesvolle Branchegerichte Toelichting Railinfra (BTR).

  • Sinds 1 juli 2016 is het formele schemabeheer in de handen van NEN. ProRail wil de norm verder uitrollen in Nederland.
  • De Veiligheidsladder stimuleert het veiligheidsbewustzijn en bewust veilig handelen. Het doel is het terugdringen van het aantal onveilige situaties met minder incidenten (verzuim, schades) tot gevolg en het biedt kaders voor veilig werken.
  • Er is sinds 2012 een klein aantal (47) bedrijven (vooral hoofdaannemers) gecertificeerd.
  • De norm wordt voornamelijk bij aanbestedingen toegepast als minimumeis of gunningscriterium.
  • Er is sprake van een laddersystematiek, dus voor extra inspanningen geldt een hogere beloning (trede).
  • Voor een aantal normvragen kan een verschillende waarde worden toegekend. Dit dient de auditor vast te stellen.
  • De norm pretendeert geen aanvulling of vervanging te willen zijn van VCA en sluit niet aan op de nieuwe opzet van de nieuwe ISO-normen (HLS).
  • Er is (gedeeltelijk) sprake van een ketenbenadering in de norm (vooral bij trede 5).
  • De gangbare certificatiecyclus van drie jaar wordt uitgevoerd door meerdere certificatie-instellingen (eisen zijn vergelijkbaar als bij VCA).
  • Er wordt een certificaat afgegeven. Hier is (nog) geen accreditatie aan gekoppeld. Gezien de recente lobby zal dit niet lang op zich laten wachten.

Onafhankelijk?

De grenzen van de onafhankelijkheid en onpartijdigheid worden door NEN opgezocht door de samenwerking met één adviesbureau ten behoeve van gerichte trainingen voor systeemauditoren en introductiebijeenkomsten voor bedrijven (250 euro voor 3,5 uur uitleg!, maar dan krijg je er wel een certificaat bij).

Inhoud

Met de doelstelling van de norm is niets mis. Aandacht voor veiligheidsbewustzijn, gedrag en cultuur is altijd goed. Je moet je wel afvragen of dit daadwerkelijk bereikt wordt door de toepassing van de Veiligheidsladder. ProRail is hier zelf helemaal van overtuigd. Echter, dit is dezelfde organisatie die ook de kwaliteitsarme norm BTR te lang in stand heeft gehouden. En die  cursisten in het kader van het Digitaal Veiligheids Paspoort voor 162 euro naar Amersfoort laten komen voor een zeer algemene voorlichting en toets. Je kunt je tevens afvragen in hoeverre hun beeld op werkend Nederland overeenstemt met hun praktijk. Werken langs het spoor is niet te vergelijken met de gangbare werkwijze, werkplek en omgeving van een gemiddelde MKB-er in de metaal, installatietechniek, groensector, bouwnijverheid of GWW.

Hoe kun je gedrag en cultuur tijdens een audit toetsen? Een beetje VCA-auditor kan al snel een beeld vormen van de betrokkenheid van het management, de veiligheidsorganisatie en bijbehorende resultaten. Cultuur en gedrag is voor een derde echter moeilijk vast te stellen, laat staan dat je er een waardeoordeel aan kunt koppelen. De Veiligheidsladder probeert hier toch handvaten voor te bieden.

Om de lengte van dit artikel in de hand te houden wordt er niet op elk detail ingegaan van de norm (zie de pdf voor meer details). Algemeen kan gesteld worden dat de norm grotendeels een samenvoeging is van VCA** 2008/5.1 (zie de kruisverwijzingen in pdf) en een normale toepassing en ontwikkeling op het gebied van Human Resource en de Arbowet.

De Veiligheidsladder bevat veel vragen/eisen en maakt gebruik van wollige of moeilijk te begrijpen termen en definities. Het begrip en toepassing van de norm zal voor een gemiddelde MKB-er niet eenvoudig zijn.

Er worden relatief veel registraties en procedures gevraagd (zelfs meer dan bij VCA). Dit is tegen de stroom in, zoals we dit nu (gaan) meemaken bij ISO-normen (lagere registratiedruk). Een uitvloeisel van de vele vragen op het gebied van structuur is dat er een starre veiligheidsorganisatie kan ontstaan, die niet goed aansluit op de organisatie van het bedrijf.

Een sterk punt is dat op er alle ladderniveaus veel inzet en betrokkenheid van het management wordt geëist. Ook de structurele aandacht voor de keten en benchmark (bij hogere trede), betrokkenheid van medewerkers en verbeteringen zijn noemenswaardig.

Auditoren

Reeds aangegeven was dat het schier onmogelijk is om als auditor een volledig en/of juist waardeoordeel te geven over cultuur en gedragingen in een organisatie. Een extra belemmering komt hierbij aan de orde, namelijk de gemiddelde competentie van een auditor. Bijna alle veiligheidsauditoren (VCA, OHSAS) zijn techneuten/specialisten met een geringe achtergrond en kennisniveau op het gebied van psychologie van organisaties en medewerkers (een veiligheidskundige is geen A&O-er of bedrijfspsycholoog). Dit kan niet door een korte auditortraining worden gecompenseerd. De certificeerders zullen hun handen vol hebben aan het onderbouwd competent verklaren van hun auditoren, helemaal als een accreditatie van het schema aan de orde is. Uiteindelijk zal het er wel op neer komen dat de auditor grotendeels het lijstje bij langs gaat om na te gaan of alle acties zijn uitgevoerd.

Een ander knelpunt is de harmonisatie van deze auditoren. Het certificatieschema bevat een auditorrichtlijn die zich beperkt tot algemene kaders en waardering. Deze geeft nog erg veel mogelijkheden tot verschil in interpretatie. Er zijn nu zo’n 38 auditoren gekwalificeerd, verdeeld over zeven certificerende instellingen (volgens de website). Harmonisatie is in 20 jaar tijd zelfs voor een concrete norm als VCA al een niet haalbare opgave gebleken. De mogelijkheid om verschillende waarden aan vragen toe te kennen zal niet bijdrage aan uniformiteit.

Kosten – baten

Het idealisme achter deze norm is bewonderenswaardig, maar zal niet door het bedrijfsleven worden gewaardeerd. De hoge afdrachten en ruime mandagtabellen zorgen voor een pittige investering. Voor trede 2 en 5 zijn voor een bedrijf met vijf medewerkers respectievelijk 3 en 7,5 auditdagen van toepassing. Een bedrijf met vijftig medewerkers krijgt voor trede 5 resp. 5 en 12,5 mandagen aan de broek. Gelukkig komen er altijd twee auditoren gelijktijdig, aangezien er anders geen sprake kan zijn van objectiviteit. Tja…

Gecombineerde audits met VCA en ISO zijn trouwens niet toegestaan en reductie van mandagtabellen lijkt niet te worden toegepast.

Conclusie

Concluderend geeft de ladder (te?) veel en dwingend richting aan een veiligheidsorganisatie, waarbij er zeker verbetering zal worden geboekt.

De toetsing en waardering kan niet verder gaan dan het checken van de normeisen (acties, registraties, documentatie). Onderbouwde uitspraken over het veiligheidsniveau en -cultuur kunnen nauwelijks gemaakt worden.

Het bijzondere is dat de schemabeheerder van VCA (SSVV) een notitie ‘Vooruit met VCA’ heeft uitgebracht (notitie is te downloaden op www.vca.nl). Hierin zijn enkele hoofdlijnen vastgesteld voor een hervorming van VCA in de komende jaren en dan met name ten aanzien van ketenbenadering en gedragsbeïnvloeding. Dit zorgt er dus voor dat er straks twee vergelijkbare normen met vergelijkbare doelgroepen op de markt zijn. Dit kunnen we gerust een gemiste kans voor alle betrokkenen noemen.

De inspanningen en kosten zijn alleen maar rendabel indien er veel tegenover staat, dus fikse (fictieve) kortingen bij aanbestedingen of minder concurrenten bij de aanbesteding. Het draait dan uiteindelijk toch weer om het certificaatje op de muur. Ik ben benieuwd naar de onvermijdelijke rechtszaken met betrekking tot gelijkwaardigheid van certificaten / keurmerken. De Aanbestedingswet 2012 (artikel 2.76) heeft hier ook het nodige over te zeggen.

De Veiligheidsladder heeft dus nauwelijks onderscheidend vermogen en zal afhankelijk zijn van de grillen en ideeën van opdrachtgevers en hun inkopers en aanbesteders. Nu maar hopen dat zij beschikken over voldoende gezond boerenverstand.

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.

Interne audits

Geplaatst op: 27 oktober, 2016

Er zijn bij managementsystemen een paar normelementen die in de praktijk nog beter benut kunnen worden. Een goed voorbeeld hiervan is de interne audit. Zowel de wijze waarop interne audits worden uitgevoerd als de eisen die gesteld worden aan de interne auditoren verdienen aandacht.

Wat vermeld ISO 9001:2015?

In de ISO 9001:2015 paragraaf 9.2. staat vermeld:

“De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het kwaliteitsmanagementsysteem:

a) voldoet aan:
1) de eigen eisen van de organisatie voor haar kwaliteitsmanagementsysteem;
2) de eisen van deze internationale norm;
b) doeltreffend is geïmplementeerd en onderhouden.”

Er staat dus dat men moet nagaan of de verplichte normelementen juist en aantoonbaar zijn toegepast. Dit kan bijvoorbeeld door ieder normelement te behandelen en ‘af te vinken’. Vooral de eerste keer (vlak voor (her)certificering) is dit handig om te doen. Zijn er weinig relevante wijzigingen van de organisatie en het managementsysteem? Dan kan de frequentie hierop aangepast worden. Maatwerk dus.

Wat juist meerwaarde voor de organisatie oplevert, is dat de eigen eisen en verwachtingen (beleid, doelen en speerpunten) worden behandeld. Hier is tenslotte het managementsysteem en dus ook de interne audit op gebaseerd. Voor zover klinkt dit logisch, maar de praktijk wijst anders uit.

Schieten met hagel

Veel interne audits zijn gebaseerd op het houden van interviews. Hier worden regelmatig auditbevindingen vastgesteld die geen directe verbinding met het managementsysteem hebben. Logisch, aangezien de interne auditor vaak zelf verantwoordelijk is voor de voorbereiding (vragen en planning) en het management hier te weinig betrokken is. De interne audit heeft dan veel overeenkomsten met “schieten met hagel”. Er wordt altijd wel iets geraakt.

Klassiek of modern?

Op basis van de gewenste managementinformatie wordt de werkwijze om informatie te verkrijgen bepaald. Managementinformatie kan grofweg verzameld worden op drie manieren:

  • Interviews: van oudsher de meest toegepaste wijze voor het verzamelen van informatie. Vraag en antwoord.
  • Registraties: inzage in documenten en data zijn door de huidige toepassing van ICT steeds belangrijker geworden.
  • Observaties: zijn momentopnames, dus geeft niet altijd betrouwbare informatie over de werkwijze. Heeft meer een signaalfunctie.

Waarom wordt zo volhardend vastgehouden aan de klassieke opzet door middel van interviews? De gewenste managementinformatie kan vaak al met één druk op de knop (query’s, exports, rapporten) weergegeven worden.

Tijdrovende interviews zijn vooral nuttig als aanvullend instrument. Stel, het blijkt dat de output van een proces niet voldoet aan de eigen verwachtingen. Dan moet er aanvullend onderzoek gedaan worden naar de oorzaak. Interviews kunnen tevens effectief zijn voor het toetsen van doorgevoerde (proces)verbeteringen.

letters-1211997_960_720

Monitoren of auditten

Als de termen monitoren en meten worden vervangen door de term audit, kunnen we stellen dat er binnen een organisatie al veel informatie wordt verzameld en behandeld. Mooi voorbeeld is de reguliere overlegstructuur. Ga maar eens na hoeveel belangrijke onderwerpen daar structureel worden gemonitord. Het enige wat men dan nog moet doen is het benoemen van deze vormen van monitoring in het managementsysteem. Denk dan aan methode, verantwoordelijkheden, frequentie/moment en de wijze waarop het management wordt geïnformeerd. Het management moet uiteraard aan te geven welke feitelijke informatie de interne auditor moet verzamelen.

Competenties en training

Met het voorgaande nog op ons netvlies, lijkt het logisch dat de gekozen werkwijze impact heeft op de competenties van de interne auditor. Welke kennis en vaardigheden moet een auditor hebben? Sociaal vaardig, overtuigingskracht, kennis van het handboek of proces of aanvullende normkennis?

Als bekend is wat en hoe er gemonitord moet worden, kunnen de competenties vastgesteld worden. Op basis van dit profiel kunnen medewerkers geselecteerd worden, waarna vastgesteld wordt of er behoefte is aan extra training of ondersteuning. Als de kennis en kunde al aanwezig is, dan is extra training niet noodzakelijk. Toch?

Training en normeis

Moet een interne auditor een training volgen? Nee dat hoeft niet! De meeste normen stellen dat een auditor moet beschikken over de nodige competenties. Mocht er kennis of kunde ontbreken, dan kan dit door een training (of anders) worden opgevangen. Focus dus op ontbrekende kennis en vaardigheden. Een specifieke training wordt niet genoemd. Per norm bekijken dus!

Inhoud van trainingen

Een verkenning op internet laat zien dat veel interne auditortrainingen klassiek zijn opgezet. Veel focus op normkennis, het formele auditproces en op de sociale vaardigheden. Dus rollenspellen, technieken en ezelsbruggetjes. Een daarvan is MIDEZ oftewel Mag Ik Dat Even Zien. Dit stamt nog uit de tijd dat we bij audits de hele dag op zoek waren naar lijstjes, fouten in teksten, kop- en voetteksten of ontbrekende parafen. Niet per definitie verkeerd, maar echt noodzakelijk?

Veel interne auditortrainingen zijn gebaseerd op ISO 19011: Richtlijnen voor het uitvoeren van audits van managementsystemen. Deze norm richt zich grotendeels op het uitvoeren van externe audits. Het kan dus voorkomen dat er getraind wordt op het houden van een formele openings- en slotbijeenkomst… Of het verschil tussen een ‘major’ en ‘minor’ tekortkoming, terwijl het management uiteindelijk de gradatie van de bevinding moet vaststellen.

Denk vroegtijdig na over het doel en de invulling van interne audits en de competenties van de auditor. Dit is een voorwaarde voor een effectief en efficiënt managementsysteem.

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.

 

Het einde van het handboek? Van minder naar meer….

Geplaatst op: 08 oktober, 2016

Een testje. Waar denk jij aan als je de volgende woorden ziet? ISO 9001, certificering, kwaliteitsmanagementsystemen, keurmerken ….. Juist! Aan papier, handboeken, registraties en procedures. Goed nieuws! Dit is namelijk deel overbodig geworden in de (nieuwe) ISO normen.

afbeelding_artikel

Een blik naar het verleden

In alle voorgaande ISO-normen werden organisaties “verplicht” om voor bepaalde processen procedures op te stellen. Het opstellen van een handboek werd dus in de hand gewerkt door de wijze waarop de ISO-normen eisen stelden aan het bedrijf en zijn managementsysteem. Het bijzondere was dat dit meestal om management- en verbeterprocessen ging en het primaire proces hier grotendeels buiten beschouwing werd gelaten.

Het resultaat? Veel focus op ondersteunende processen en management- en verbeterprocessen (lijstjes en formulieren). Minder aandacht voor procesbeheersing. Uitgebreide handboeken met veel overbodige ballast. Documenten die in de dagelijkse praktijk niet gebruikt worden.

En nu dan?

Het goede nieuws is dat de nieuwe ISO-normen de term procedure niet meer gebruiken. Betekent dit dat er niets meer vastgelegd moet worden? Tja, een organisatie zal uiteraard moeten aantonen dat ze bepaalde zaken goed geregeld hebben, maar de hoeveelheid valt erg mee. Ter indicatie, de ISO 9001 heeft 15 verplichte registraties (gedocumenteerde informatie) opgenomen. 15! Het aantal verplichte procedures? 0! Kijken we vervolgens eens goed naar de verplichte registraties, dan blijkt dat veel van deze registraties reeds in de normale bedrijfsvoering verankerd zijn. Dit brengt ons tot de conclusie dat een papierarm managementsysteem mogelijk moet zijn.

Zo makkelijk?

Nee, zo eenvoudig is het nu ook weer niet. We verschuiven van kwantiteit naar kwaliteit. Oftewel Van Minder naar Meer. Minder aandacht voor documentatie en meer aandacht voor relevante managementvraagstukken. Maatwerk dus!

Elk bedrijf moet goed nadenken over relevante interne- en externe factoren. Denk aan eisen die gesteld worden door klanten, vanuit wetgeving en door andere belanghebbenden en de eigen afbreukrisico’s op het gebied van procesbeheersing en aansprakelijkheid. Geen overbodige zaken, aangezien dit al valt onder normale bedrijfsvoering en waar je als ondernemer of manager wél gevoel bij hebt. Indien uit de eigen analyses toch de behoefte bestaat om een en ander te registreren dan kan dit uiteraard. Het gaat tenslotte om eigen en doordachte keuzes van het management.

Van beïnvloeding naar eigen grip

Er zijn ook andere factoren die de keuze voor de inrichting van een managementsysteem kunnen beïnvloeden. Zo zijn er nog steeds veel standaard handboeken in omloop. Wees kritisch en vraag je af of al die (standaard) documenten wel nodig zijn? Bedrijven kiezen er soms voor om de opzet van hun managementsysteem volledig over te laten aan een stagiaire, adviseur of eigen medewerker. Blijf je zelf als ondernemer of manager wel voldoende betrokken of heb je een black-box gecreëerd? Geef je voldoende input? Richt het systeem zich op de effectiviteit, efficiency en verwachtingen die jij voor ogen hebt? Als ondernemer wil je toch inzicht en grip blijven houden op je eigen bedrijfsvoering? Dit noemen we managementbetrokkenheid.

Als laatste is er nog de auditor die invloed kan uitoefenen op een managementsysteem. Als oud eigenaar van een certificerende instelling heb ik mij hier jarenlang mee bezig gehouden. Certificeren met meerwaarde voor de klant! Dit betekent dat een auditor objectief vanuit de bedrijfsdoelstellingen moet toetsen. Dit vraagt veel van een auditor. In een ander artikel zal ik daar nader op ingaan.Vergeten wordt soms dat de certificerende instantie een leverancier is en geen klant. Kies dus een leverancier die past en voldoet aan je eigen eisen en verwachtingen van het managementsysteem.

Van Minder naar Meer?

Betekent dit nu echt dat we straks minder papierwerk gaan krijgen en meer kwaliteit en maatwerk? Wij zijn ervan overtuigd dat dit mogelijk is …

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.