De norm ISO 9001 bestaat al ruim 35 jaar. Er is veel over geschreven en miljoenen mensen hebben haar gelezen – een belangrijk deel daarvan doet dat met regelmaat. Je zou dus denken dat de goede ideeën uit de norm breed toegepast worden en onderdeel van het kwaliteitsdenken zijn geworden. Toch zijn er delen van de norm die haast niemand lijkt te lezen. In een serie van drie artikelen, zet Diederik van der Burg de schijnwerpers op de minder bekende delen van ISO 9001. In dit laatste deel gaat hij in op delen van de hoofdstukken 8, 9 en 10.
Als organisatie ben je ook verantwoordelijk voor de kwaliteit van producten of diensten die door externe aanbieders worden geleverd. Ongeacht of zij deze rechtstreeks aan klanten leveren, of dat jouw organisatie ze integreert in de eigen producten of diensten: je moet beheersmaatregelen treffen. Deze zorgplicht geldt ook wanneer je processen in zijn geheel of gedeeltelijk uitbesteed. Daarnaast moet je de externe aanbieders op basis van zelfbepaalde criteria uitkiezen, periodiek beoordelen en de door hen geleverde kwaliteit monitoren.
De norm gebruikt de term ‘externe aanbieder’. Daarmee blijft de contractuele vorm waarin je organisatie en die externe aanbieder met elkaar werken in het midden. Dat betekent dat deze normeis van toepassing is op de leveranciers van je grond- en hulpstoffen, of van je handelswaar. Én zij is van toepassing op onderaannemers, samenwerkingspartners, inhuurkrachten, et cetera.
Voor alle soort externe aanbieders moet je bepalen hoe je hen als organisatie beoordeelt en hoe je de geleverde kwaliteit van hun producten, diensten of processen beoordeelt. Een tactische en een operationele component dus. Voor het operationele aspect ligt het direct voor de hand dat de kwaliteit van de ene (soort) externe anders in de gaten moet worden gehouden dan van de andere (soort). Je ingangskeuring van je grondstoffen is immers echt wat anders dan het monitoren van de leverbetrouwbaarheid van de distributeur van je eindproduct.
Voor de tactische component, dus criteria waarop je die externe aanbieders beoordeelt, is dat niet anders. Je zal je leverancier voor ICT-diensten op andere criteria selecteren en beoordelen dan de freelancers die je organisatie regelmatig voor klanten inzet. Er kan natuurlijk overlap in de criteria zitten: een bedrijfsfilosofie die bij die van jullie aansluit, of de behandeling van jullie klachten wil je vermoedelijk bij elke externe beoordelen. Overlap, of beter gezegd: aansluiting, is er ook met de operationele component. Een criterium als ‘geleverde kwaliteit’ ligt immers zeer voor de hand. Ten slotte is het logisch dat er een grote mate van overlap is tussen de criteria die je gebruikt om in eerste instantie met die partij in zee te gaan, en de criteria die je later gebruikt om vast te stellen of zij nog altijd bevalt.
De norm gaat ervan uit dat je externe aanbieders “opnieuw” evalueert nadat ze een tijdje hebben geleverd. Hier geeft de norm heel veel vrijheid, want zelfs het woordje periodiek ontbreekt in de tekst. Leidend principe bij het opnieuw evalueren is dus (want de basis van de norm) de risico-inschatting (namelijk van het afbreukrisico van die partij) die je zelf maakt.
Er staat overigens evalueren van, niet evalueren met de externe aanbieder. Het is uiteraard heel verstandig om met je leveranciers, samenwerkingspartner, enzovoorts geregeld in gesprek te zijn. Dat gesprek is een mogelijke volgende stap na de beoordeling, maar zeker niet de beoordeling zelf!
Als organisatie moet je zorgvuldig omgaan met de eigendommen van anderen die je (al dan niet tijdelijk) in je bezit heeft. Het maakt niet uit of het klanten zijn, of externe aanbieders (zie hierboven).
Voor fysieke eigendommen behoeft deze normparagraaf geen toelichting. De opmerking bij deze eis geeft haar echter een belangrijke extra invalshoek. Er staat namelijk expliciet dat ook intellectueel eigendom en persoonsgegevens als eigendom van de klant worden aangemerkt. Dus ook voor deze immateriële zaken moet je als organisatie net zo goed zorgen als voor je eigen gegevens over en van je organisatie.
Klanttevredenheid wordt in deze eis onmiddellijk gedefinieerd als de perceptie van klanten. Hun beleving dus. En wel over mate waarin aan hun behoeften en verwachtingen is voldaan. Daarmee legt de norm (zoals wel vaker: impliciet) een directe koppeling met 4.2 Inzicht in de behoeften en verwachtingen van belanghebbenden. Het woord eisen wordt niet gebruikt, terwijl dat het centrale woord is in 8.2 Eisen voor producten en diensten. Nu zijn eisen weliswaar voor ISO synoniem met behoeften en verwachtingen (zie het kader in het vorige deel), maar het is wel een opvallende, en dus relevante, woordkeuze.
In de opmerking in deze normparagraaf wordt een flink aantal, zeer gevarieerde manieren genoemd waarop de klantperceptie kan worden gemonitord. Daaronder overigens feedback over geleverde producten en diensten, daarmee alsnog de koppeling met 8.2 leggend.
De klanttevredenheidsvragenlijstjes waarmee iedereen tegenwoordig iedereen bestookt, zijn dus niet de kern van deze eis van ISO 9001. Ze ‘moeten’ niet van de norm, al is een directe feedback van klanten natuurlijk wel handige operationele stuurinformatie.
De norm zit duidelijk meer op een tactisch-strategische insteek, gezien de koppeling die met 4.2 te leggen valt. De informatie die je over klanttevredenheid verzamelt, moet dus valideren (of falsificeren) dat je met je producten en diensten – in de ogen van de klanten – voorziet in de behoeften en beantwoordt aan de verwachtingen. Dat ze je een 7, 8 of 9 geven voor je service is goed, maar niet de essentie hier.
De lijst met voorbeelden die in de opmerking staat, zet aan tot gesprek met klanten, analyse van allerlei klantgerelateerde gegevens en het gebruik van kennis bij eigen medewerkers over de behoeften van klanten1. Een goede inspiratie voor hoe je een betere invulling aan deze eis kunt geven dan met de eeuwige tevredenheidsmails.
Er moet een auditprogramma actief zijn. Dat programma houdt “rekening […] met het belang van de betrokken processen, met veranderingen die van invloed zijn op de organisatie, en met de resultaten van voorgaande audits.” Onderdeel van het programma zijn de methoden die gebruikt worden in de audits.
De resultaten van de audits moeten worden “gerapporteerd aan het relevante management.” Deze eis wordt direct gevolgd door de eis dat er maatregelen (correctief en corrigerend) moeten worden getroffen. Door het relevante management dus.
Een auditprogramma bestrijkt meerdere audits, aldus ISO 9000. Het is dus het meerjarenplan voor de interne audits. De zinsnede over het ‘rekening houden met’ betekent in de eerste plaats dat in het meerjarenplan belangrijke processen (dus processen die de klanttevredenheid beïnvloeden) vaker zullen moeten voorkomen dan minder belangrijke.
Dit verandert ook niet snel, en is dus prima enkele jaren vooruit te plannen. Dat geldt niet voor de andere twee deeleisen aan het meerjarenplan. De interne, en vooral de externe, trends en gebeurtenissen waartoe de organisatie zich moet verhouden, veranderen continu. En de processen waarover zorgen zijn variëren ook van jaar tot jaar of vaker.
Zorgen kunnen dankzij allerlei metingen ontstaan, waaronder interne audits: werden er veel of vaak tekortkomingen geconstateerd, dan zal dat proces vaker in het meerjarenplan voor moeten komen. Het ideale meerjarenplan voor de interne audits bevat dus een vast onderliggend ritme, dat aangevuld wordt met, en soms ook verstoord wordt door, actuele inzichten. In de praktijk werkt het prima om het auditprogramma jaarlijks bij te stellen.
Wat betreft de te gebruiken methoden, is het goed te weten dat deze zich niet beperken tot het veel gebruikte houden van interviews. Er zijn meer manieren om de informatie in een audit te verzamelen! ISO 19011, de richtlijn voor audits, noemt bijvoorbeeld ook de volgende auditmethodes (apart of in combinatie te gebruiken):
Het toepassen van een verscheidenheid en combinatie van verschillende auditmethodes kan de efficiëntie en effectiviteit van het auditproces en de uitkomst ervan (fors) verhogen.
Functiescheiding is altijd verstandig, en ISO 9001 wijst erop dat er ook een scheiding zit tussen de auditors en het management. De kern van de werkzaamheden van een auditor is de praktijk toetsen tegen een norm en daarover rapporteren. Dat betekent dat het auditrapport niet bedoeld is om concrete verbetermaatregelen voor te stellen, of aanbevelingen te doen, want dat gaat een stap verder. Dat het in de praktijk toch vaak voorkomt lijkt vooral een manier te zijn om over het ‘pijnlijke’ melden dat iets niet klopt heen te stappen en het rapport een positief-opbouwende uitstraling te geven.
Een audit is ook geen onderzoek naar oorzaak en/of gevolg van de bevinding. Onderzoek naar de oorzaak en het definiëren van verbetermaatregelen is de taak van managers, afdelingshoofden, proceseigenaren, of wie dan ook formeel verantwoordelijk is voor de manier van werken. Toch een verbetermaatregel voorstellen of een aanzet doen voor een oorzaaksanalyse betekent dat de auditor zich met het werk van een ander bemoeit – of dat die ander verantwoordelijkheden aan het afschuiven is door dat toch van de auditor te verlangen.
In dit artikel licht ik er één woord van de normeis uit: uitgevoerd. Dat staat in de eerste zin van 9.3.2: “De directiebeoordeling moet worden gepland en uitgevoerd […]”.
De directiebeoordeling is dus een activiteit. Het is geen document. Wat documenteren betreft wordt er sowieso weinig geëist in dit hoofdstuk: alleen de resultaten (genoemd in 9.3.3 Outputs van de directiebeoordeling) moeten worden vastgelegd.
Het is bovendien een activiteit van de directie, dus de hoogste leiding van de organisatie. Een kwaliteitsmanager kan een goede ondersteunende rol spelen, maar heeft dus niet de hoofd- of leidende rol. Zie het zo: de kwaliteitsmanager is de katalysator van een reactie die de directie moet geven.
In de stap van correctie naar corrigerende maatregel staat dat de organisatie “de noodzaak [moet] evalueren” om corrigerende maatregelen te treffen.
De norm vereist dus niet dat je naar aanleiding van iedere afwijking een structurele verbetermaatregel treft. Wél dat je je bij iedere afwijking afvraagt of dat zinvol zou zijn. Bijvoorbeeld omdat dit de zoveelste keer is dat die afwijking zich voordoet, maar er zijn nog vele andere redenen denkbaar. In elk geval: ren niet op iedere bal, maar overzie het speelveld.
Noten
Diederik van der Burg is senior adviseur en adviseur bij Adburdias en ISO 9001-lead auditor voor EIK Certificering. Hij ondersteunt vooral middelgrote organisaties bij het vergroten van hun effectiviteit door de strategievorming te begeleiden en door het (kwaliteits)managementsysteem te optimaliseren en verbeteren. Daarbij gaat hij vaak terug naar de bedoeling en kijkt van daaruit naar een toepassing die past bij de organisatie.
Dit artikel is eerder gepubliceerd in Kwaliteit in Bedrijf, maart-april 2024.