Laatste deel van een drieluik over de minder bekende delen van ISO 9001
Staat dat ook in ISO 9001?

De norm ISO 9001 bestaat al ruim 35 jaar. Er is veel over geschreven en miljoenen mensen hebben haar gelezen – een belangrijk deel daarvan doet dat met regelmaat. Je zou dus denken dat de goede ideeën uit de norm breed toegepast worden en onderdeel van het kwaliteitsdenken zijn geworden. Toch zijn er delen van de norm die haast niemand lijkt te lezen. Soms zit dat in details of bewoordingen, soms zijn het grote gedeeltes. En dat is jammer: juist minder bekende stukjes en stukken bevatten bij goede bestudering hele interessante inzichten voor je kwaliteitsmanagementsysteem. In dit laatste deel worden delen van hoofdstuk 8 tot en met 10 in de schijnwerpers gezet.

Dit artikel is gepubliceerd in Kwaliteit in Bedrijf 02-2024,

8.4.1 Beheersing van extern geleverde processen, producten en diensten – Algemeen

Wat staat er?

Als organisatie ben je ook verantwoordelijk voor de kwaliteit van producten of diensten die door externe aanbieders worden geleverd. Ongeacht of zij deze rechtstreeks aan klanten leveren, of dat jouw organisatie ze integreert in de eigen producten of diensten: je moet beheersmaatregelen treffen. Deze zorgplicht geldt ook wanneer je processen in zijn geheel of gedeeltelijk uitbesteedt. Daarnaast moet je de externe aanbieders op basis van zelfbepaalde criteria uitkiezen, periodiek beoordelen en de door hen geleverde kwaliteit monitoren.

Wat kun je ermee?

De norm gebruikt de term ‘externe aanbieder’. Daarmee blijft de contractuele vorm waarin je organisatie en die externe aanbieder met elkaar werken in het midden. Dat betekent dat deze normeis van toepassing is op de leveranciers van je grond- en hulpstoffen, of van je handelswaar. Én zij is van toepassing op onderaannemers, samenwerkingspartners, inhuurkrachten, et cetera. 

Voor alle soort externe aanbieders moet je bepalen hoe je hen als organisatie beoordeelt en hoe je de geleverde kwaliteit van hun producten, diensten of processen beoordeelt. Een tactische en een operationele component dus. Voor het operationele aspect ligt het direct voor de hand dat de kwaliteit van de ene (soort) externe anders in de gaten moet worden gehouden dan van de andere (soort). Je ingangskeuring van je grondstoffen is immers echt wat anders dan het monitoren van de leverbetrouwbaarheid van de distributeur van je eindproduct. 

Voor de tactische component, dus criteria waarop je die externe aanbieders beoordeelt, is dat niet anders. Je zal je leverancier voor ICT-diensten op andere criteria selecteren en beoordelen dan de freelancers die je organisatie regelmatig voor klanten inzet. Er kan natuurlijk overlap in de criteria zitten: een bedrijfsfilosofie die bij die van jullie aansluit, of de behandeling van jullie klachten wil je vermoedelijk bij elke externe beoordelen. Overlap, of beter gezegd: aansluiting, is er ook met de operationele component. Een criterium als ‘geleverde kwaliteit’ ligt immers zeer voor de hand. Ten slotte is het logisch dat er een grote mate van overlap is tussen de criteria die je gebruikt om in eerste instantie met die partij in zee te gaan en de criteria die je later gebruikt om vast te stellen of zij nog altijd bevalt.

De norm gaat ervan uit dat je externe aanbieders “opnieuw” evalueert nadat ze een tijdje hebben geleverd. Hier geeft de norm heel veel vrijheid, want zelfs het woordje periodiek ontbreekt in de tekst. Leidend principe bij het opnieuw evalueren is dus (want de basis van de norm) de risico-inschatting (namelijk van het afbreukrisico van die partij) die je zelf maakt. 

Er staat overigens evalueren van, niet evalueren met de externe aanbieder. Het is uiteraard heel verstandig om met je leveranciers, samenwerkingspartner, enzovoorts geregeld in gesprek te zijn. Dat gesprek is een mogelijke volgende stap na de beoordeling, maar zeker niet de beoordeling zelf!

8.5.3 Eigendom van klanten of externe aanbieders

Wat staat er?

Als organisatie moet je zorgvuldig omgaan met de eigendommen van anderen die je (al dan niet tijdelijk) in je bezit hebt. Het maakt niet uit of het klanten zijn of externe aanbieders (zie hierboven).

Wat kun je ermee?

Voor fysieke eigendommen behoeft deze normparagraaf geen toelichting. De opmerking bij deze eis geeft haar echter een belangrijke extra invalshoek. Er staat namelijk expliciet dat ook intellectueel eigendom en persoonsgegevens als eigendom van de klant worden aangemerkt. Dus ook voor deze immateriële zaken moet je als organisatie net zo goed zorgen als voor je eigen gegevens over en van je organisatie.

9.1.2 Klanttevredenheid

Wat staat er?

Klanttevredenheid wordt in deze eis onmiddellijk gedefinieerd als de perceptie van klanten. Hun beleving dus. En wel over mate waarin aan hun behoeften en verwachtingen is voldaan. Daarmee legt de norm (zoals wel vaker: impliciet) een directe koppeling met 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden. Het woord eisen wordt niet gebruikt, terwijl dat het centrale woord is in 8.2 Eisen voor producten en diensten. Nu zijn eisen weliswaar voor ISO synoniem met behoeften en verwachtingen (zie het kader in het vorige deel), maar het is wel een opvallende, en dus relevante, woordkeuze.

In de opmerking in deze normparagraaf wordt een flink aantal, zeer gevarieerde manieren genoemd waarop de klantperceptie kan worden gemonitord. Daaronder overigens feedback over geleverde producten en diensten, daarmee alsnog de koppeling met 8.2 leggend.

Wat kun je ermee?

De klanttevredenheidsvragenlijstjes waarmee iedereen tegenwoordig iedereen bestookt, zijn dus niet de kern van deze eis van ISO 9001. Ze ‘moeten’ niet van de norm, al is een directe feedback van klanten natuurlijk wel handige operationele stuurinformatie.

De norm zit duidelijk meer op een tactisch-strategische insteek, gezien de koppeling die met 4.2 te leggen valt. De informatie die je over klanttevredenheid verzamelt, moet dus valideren (of falsificeren) dat je met je producten en diensten – in de ogen van de klanten – voorziet in de behoeften en beantwoordt aan de verwachtingen. Dat ze je een 7, 8 of 9 geven voor je service is goed, maar niet de essentie hier.

De lijst met voorbeelden die in de opmerking staan, zet aan tot gesprek met klanten, analyse van allerlei klantgerelateerde gegevens en het gebruik van kennis bij eigen medewerkers over de behoeften van klanten1. Een goede inspiratie voor hoe je een betere invulling aan deze eis kunt geven dan met de eeuwige tevredenheidsmails.

9.2 Interne audit

Wat staat er?

Er moet een auditprogramma actief zijn. Dat programma houdt “rekening […] met het belang van de betrokken processen, met veranderingen die van invloed zijn op de organisatie, en met de resultaten van voorgaande audits.” Onderdeel van het programma zijn de methoden die gebruikt worden in de audits.

De resultaten van de audits moeten worden “gerapporteerd aan het relevante management.” Deze eis wordt direct gevolgd door de eis dat er maatregelen (correctief en corrigerend) moeten worden getroffen. Door het relevante management dus.

Wat kun je ermee?2 

Een auditprogramma bestrijkt meerdere audits, aldus ISO 9000. Het is dus het meer­jarenplan voor de interne audits. De zinsnede over het ‘rekening houden met’ betekent in de eerste plaats dat in het meerjarenplan belangrijke processen (dus processen die de klanttevredenheid beïnvloeden) vaker zullen moeten voorkomen dan minder belangrijke. Dit verandert ook niet snel en is dus prima enkele jaren vooruit te plannen. Dat geldt niet voor de andere twee deeleisen aan het meer­jarenplan. De interne en vooral de externe trends en gebeurtenissen waartoe de organisatie zich moet verhouden, veranderen continu. De processen waarover zorgen zijn variëren ook van jaar tot jaar of zelfs vaker. Zorgen kunnen dankzij allerlei metingen ontstaan, waaronder interne audits: werden er veel of vaak tekortkomingen geconstateerd, dan zal dat proces vaker in het meerjarenplan voor moeten komen. Het ideale meerjarenplan voor de interne audits bevat dus een vast onderliggend ritme, dat aangevuld wordt met, en soms ook verstoord wordt door, actuele inzichten. In de praktijk werkt het prima om het auditprogramma jaarlijks bij te stellen. 

Wat betreft de te gebruiken methoden, is het goed te weten dat deze zich niet beperken tot het veel gebruikte houden van interviews. Er zijn meer manieren om de informatie in een audit te verzamelen! ISO 19011, de richtlijn voor audits, noemt bijvoorbeeld ook de volgende auditmethodes (apart of in combinatie te gebruiken):

  • interviews; 
  • checklists; 
  • vragenlijsten;
  • documentonderzoek (zoals: registraties, data);
  • observaties van werk in uitvoering; 
  • bezoek aan locaties; en 
  • steekproeven (bijvoorbeeld van producten).

Het toepassen van een verscheidenheid en combinatie van verschillende auditmethodes kan de efficiëntie en effectiviteit van het ­auditproces en de uitkomst ervan (fors) verhogen.

Functiescheiding is altijd verstandig en ISO 9001 wijst erop dat er ook een scheiding zit tussen de auditors en het management. De kern van de werkzaamheden van een auditor is de praktijk toetsen tegen een norm en daarover rapporteren. Dat betekent dat het auditrapport niet bedoeld is om concrete verbetermaatregelen voor te stellen of aanbevelingen te doen, want dat gaat een stap verder. Dat het in de praktijk toch vaak voorkomt lijkt vooral een manier te zijn om over het ‘pijnlijke’ melden dat iets niet klopt heen te stappen en het rapport een positief-opbouwende uitstraling te geven. 

Een audit is ook geen onderzoek naar oorzaak en/of gevolg van de bevinding. Onderzoek naar de oorzaak en het definiëren van verbetermaatregelen is de taak van managers, afdelingshoofden, proceseigenaren, of wie dan ook formeel verantwoordelijk is voor de manier van werken. Toch een verbetermaatregel voorstellen of een aanzet doen voor een oorzaaks­analyse betekent dat de auditor zich met het werk van een ander bemoeit – of dat die ander verantwoordelijkheden aan het afschuiven is door dat toch van de auditor te verlangen.

Bijlage B

Aan het eind van de norm informeert de auteur (Technical Committee 176) de lezer over andere uitgaves die zij gemaakt heeft. 18 normen en richtlijnen passeren de revue. Let wel: de bijlage is informatief, dus het is niet noodzakelijk iets met de lijst documenten te doen. Ook is wel of niet voldoen aan die documenten geen criterium bij het bepalen of je aan ISO 9001 voldoet.

Een aantal van de genoemde normen zijn gezien hun brede toepassingsgebied bovengemiddeld interessant:

  • ISO 9000 – Grondbeginselen en verklarende woordenlijst. Met name hoofdstuk 2 Basisbegrippen en kwaliteitsmanagementprincipes is heel prettige achtergrondinformatie om ISO 9001 goed te kunnen plaatsen. De kwaliteitsprincipes die in ISO 9001 kort worden genoemd in de inleiding, worden hier uitgebreid toegelicht. Daarnaast wordt een nadere invulling gegeven aan woorden als kwaliteit, context en belanghebbenden. Eigenlijk verplichte kost.
  • ISO 10002 – Richtlijnen voor klachtenbehandeling in organisaties (zie ook www.adburdias.nl/iso10002). Dit document geeft handvatten voor het proces van het mogelijk maken van klagen tot en met de evaluatie van de tevredenheid over de wijze van klachtenbehandeling. Bevat diverse eye-openers, ook als je denkt dat klachtenbehandeling niet alleen gaat over het al dan niet geven van een schadevergoeding.
  • ISO 10004 – Richtlijnen voor monitoren en meten van klanttevredenheid. Wanneer je inspiratie zoekt voor de opzet en inrichting van het meten van je klanttevredenheid en hoe je de informatie analyseert.
  • ISO 19011 – Richtlijnen voor het uitvoeren van audits van managementsystemen. Dit is een van de weinige richtlijnen waarnaar vanuit de eisen in ISO 9001 rechtstreeks verwezen wordt (namelijk in 9.2 Intern audit). Ook in de eisen aan certificerende instellingen wordt naar deze richtlijn verwezen. Het is dus echt een basisdocument voor audits. Het bevat dan ook veel goede tips (meer kan het ook niet zijn, want het is een richtlijn, geen norm). Het nadeel is wel dat de basisstructuur uitgaat van certificerende audits van heel grote organisaties. Voor interne audits, zeker voor kleinere organisaties, is daardoor wel heel veel niet van toepassing. Dat gezegd hebbende: ook deze richtlijn behoort tot de verplichte kost!

9.3 Directiebeoordeling

Wat staat er?

In dit artikel licht ik er één woord van de normeis uit: uitgevoerd. Dat staat in de eerste zin van 9.3.2: “De directiebeoordeling moet worden gepland en uitgevoerd […]”.

Wat kun je ermee?

De directiebeoordeling is dus een activiteit. Het is geen document. Wat documenteren betreft wordt er sowieso weinig geëist in dit hoofdstuk: alleen de resultaten (genoemd in 9.3.3 Outputs van de directiebeoordeling) moeten worden vastgelegd.

Het is bovendien een activiteit van de directie, dus de hoogste leiding van de organisatie. Een kwaliteitsmanager kan een goede ondersteunende rol spelen, maar heeft dus niet de hoofd- of leidende rol. Zie het zo: de kwaliteitsmanager is de katalysator van een reactie die de directie moet geven.

10.2 Afwijkingen en corrigerende maatregelen

Wat staat er?

In de stap van correctie naar corrigerende maatregel staat dat de organisatie “de noodzaak [moet] evalueren” om corrigerende maatregelen te treffen.

Wat kun je hiermee?

De norm vereist dus niet dat je naar ­aanleiding van iedere afwijking een structurele verbetermaatregel treft. Wél dat je je bij iedere afwijking afvraagt of dat zinvol zou zijn. Bijvoorbeeld omdat dit de zoveelste keer is dat die afwijking zich voordoet, maar er zijn nog vele andere redenen denkbaar. In elk geval: ren niet op iedere bal, maar overzie het speelveld. 

  1. Vraag je ook eens af voor welke klanten je het eigenlijk doet. Zie www.adburdias.nl/waardeklant voor meer informatie.
  2. Voor dit deel van het artikel is geput uit de artikelreeks Betere interne audits, die eerder  in Kwaliteit in Bedrijf verscheen.  De complete reeks is te downloaden via www.adburdias.nl/download-auditreeks.

Gerelateerde artikelen

Deel 2 van een drieluik over de minder bekende delen van ISO 9001

Door:

Diederik
van der
Burg
Eigenaar Adburdias

Partner(s)

Adburdias
Elke reis begint met de eerste stap

(Advertentie)