5 misverstanden ontzenuwd
“Kost het veel geld om een managementsysteem in te richten en te onderhouden? Kun je door al die nieuwe maatregelen nog wel gewoon je werk doen?”
Nu steeds meer organisaties via certificering aantoonbaar moeten voldoen aan wet- en regelgeving komen we in de praktijk nogal wat vooroordelen en misverstanden rondom managementsystemen en certificeren tegen. Soms zijn deze bedenkingen terecht, maar vaak heeft dat te maken met de wijze waarop een managementsysteem wordt ingericht.
Meer lezen over software die de implementatie en het onderhoud van managementsystemen makkelijk en sneller maken? Vraag dan onze whitepaper op.
De vijf belangrijkste misverstanden ontzenuwd:
- Een managementsysteem is bureaucratisch en duur
- Iedere norm vereist een eigen managementsysteem
- Door alle regels uit het managementsysteem wordt het dagelijkse werk bemoeilijkt
- Een managementsysteem is alleen nodig tijdens de externe audit
- Een managementsysteem kan best in de vorm van een excelsheet
Ad 1. Bureaucratisch en duur
Certificering voor ISO of NEN vereist dat u een managementsysteem heeft. De norm bepaalt echter niet hoe zo’n managementsysteem er uit moet zien. En daar gaat juist het vaak fout. Tijdens veel certificeringstrajecten is de norm leidend bij de inrichting van het managementsysteem. De indeling van de norm bepaalt daarbij de inhoud en opbouw van het managementsysteem. Het resultaat is een opsomming van maatregelen in de volgorde van de norm. Waardoor uw medewerkers maar moeilijk de vertaalslag kunnen maken naar hun dagelijkse werksituatie. Dit wordt nog lastiger als een organisatie wil voldoen aan meerdere normen. Dit ontmoedigt medewerkers om in de praktijk actief te werken volgens die nieuwe afspraken. En het maakt het onderhoud van zo’n managementsysteem erg ondoorzichtig en kostbaar.
Zorg ervoor dat het management systeem wel toegankelijk is en u helpt de bedrijfsvoering van uw organisatie te verbeteren. Dit kan door niet de norm maar uw primaire proces als uitgangspunt te nemen bij het bepalen van de noodzakelijke maatregelen. Het handboek en de gekoppelde documenten sluiten dan perfect aan op de dagelijkse praktijk. Zodat uw medewerkers het herkennen en het hen concreet helpt hun dagelijkse werk volgens de gewenste procedure uit te voeren.
Ad 2 .Voor iedere norm een nieuw managementsysteem
Een ander misverstand is, dat telkens als u moet voldoen aan een nieuwe norm u een nieuw handboek moet aanmaken. Veel organisaties starten een certificeringstraject omdat een klant dat eist of om te voldoen aan de voorwaarden van een aanbesteding. Zo snel mogelijk richt men dan het handboek voor de gevraagde norm in. Echter steeds vaker worden in de loop van de tijd aanvullende eisen gesteld waaraan uw organisatie moet voldoen. Denk alleen al aan de privacy eisen uit de AVG. Maar ook aan eisen op het gebied van informatiebeveiliging, kwaliteit of business continuïteit. Richt u een handboek voor ieder van deze normen in, dan leidt dat tot onnodig veel extra werk. Immers een groot deel van de beschreven onderdelen is relevant voor alle normen.
Het kan natuurlijk ook anders en slimmer. Door één handboek in te richten op basis van uw bedrijfsprocessen is het relatief eenvoudig nieuwe normen toe te voegen. Uw bedrijfsprocessen blijven immers hetzelfde en veel van de noodzakelijke onderdelen kunnen hergebruikt worden. Bijvoorbeeld uw primaire processen, uw beleid en ondersteunende processen. Door alles op te nemen in één integraal handboek bespaart u niet alleen veel tijd bij het inrichten en met het onderhoud, het is ook nog eens veel overzichtelijker voor uw medewerkers.
Ad 3. Door alle regels uit het managementsysteem wordt het dagelijkse werk bemoeilijkt
“Kunnen we nog wel gewoon ons werk doen of moeten we eerst door een woud van regels?” Dat is een vraag die we regelmatig krijgen van ondernemers die starten met een certificeringstraject. Als bij de inrichting gedachteloos de normeisen worden gevolgd en voor iedere normeis een set aan maatregelen wordt beschreven, kan het inderdaad leiden tot een moeilijk werkbare situatie.
Daarom is het van belang eerst na te gaan welke eisen voor uw organisatie van toepassing zijn en welke niet. Bijvoorbeeld, ontwikkelt u zelf geen ICT applicaties dan zijn eisen op dat gebied niet voor u van toepassing. In de verklaring van toepasselijkheid beschrijf je als organisatie daarom welke eisen wel en welke niet van toepassingen zijn en waarom. Vervolgens bepaal je via een grondige risicoanalyse wat de kritieke processen, systemen, faciliteiten en mensen zijn. Stap voor stap ga je vervolgens vaststellen welke risico’s je acceptabel vindt (je risicohouding). Ook stel je vast hoe waarschijnlijkheid het is dat bepaalde risico’s zich voordoen (het risicoprofiel). Op basis van deze analyse bepaal je de best passende maatregelen. Zo doe je niet te veel maar zijn de kritieke onderdelen van je organisatie beschermt tegen de risico’s die je niet acceptabel vindt. Zorg er ook voor dat de medewerkers zich bewust zijn van de noodzaak en de werking van de genomen maatregelen.
Ad 4. Een managementsysteem is alleen nodig tijdens de externe audit
Een onterechte gedacht is dat het managementsysteem maar eens per jaar nodig is. Namelijk als de externe auditor langskomt voor hercertificering. Vergeten wordt dan dat de norm voorschrijft dat het managementsysteem actueel moet blijven. En dat er jaarlijks een aantal zaken verplicht uitgevoerd moeten worden. Bijvoorbeeld een update van de risicoanalyse, het uitvoeren van een interne audit en directiebeoordeling. ISO en NEN schrijven voor dat een organisatie de Plan-Do-Check-Act cyclus grondig uitvoert zodat men continue verbetering realiseert.
Echt toegevoegde waarde biedt uw managementsysteem als het naast overzichtelijke documentatie ook uw PDCA cyclus actief ondersteunt. Door bijvoorbeeld door afwijkingen, incidenten en verbetermaatregelen overzichtelijk vast te leggen en de voortgang ervan te bewaken. Maar ook door relevante wijzigingen in of buiten uw organisatie te verwerken in uw handboek en documentatie. Een managementsysteem dat zo gebruikt wordt helpt echt uw bedrijfsvoering te verbeteren.
Ad 5. Een managementsysteem kan best in de vorm van een Excelsheet
“Wij hebben geen ingewikkeld systeem nodig omdat we alles bijhouden in een Excelsheet” horen we nog wel eens. In principe zou dat voor een klein bedrijf kunnen, maar in de praktijk blijkt deze werkwijze al snel vast te lopen. Het is dan vaak niet meer duidelijk wie welke aanpassingen heeft uitgevoerd en welke documentatie nu actueel is. Ook worden afwijkingen en verbetermaatregelen op verschillende plekken en zonder onderling verband vastgelegd. De PDCA cyclus is op die manier wel erg moeilijk te realiseren.
Wilt u wel overzicht en inzicht? Dan is het belangrijk een samenhangend pakket te gebruiken dat structuur biedt en de PDCA cyclus ondersteunt. Dat is precies de reden waarom wij in het verleden besloten hebben SmartManSys te ontwikkelen; een integraal managementsysteem in de cloud, dat naast de structuur ook veel sjablonen biedt en waarin alle koppelingen tussen de normeisen en de paragrafen in het handboek al zijn gelegd. Ook biedt het alle functies die nodig zijn voor een professionele bedrijfsvoering, zoals de afwijkingen en taken modules, de interne auditfunctie en de privacy module met een interactief verwerkingsregister en een DPIA.
Meer lezen over software die de implementatie en het onderhoud van managementsystemen makkelijk en sneller maken? Vraag dan onze whitepaper op.
Geschreven door Pieter Kloetstra