ISO-normen: onderschatte pareltjes

ISO heeft het imago van ‘afvink’ framework en ‘dikke handboeken op orde’. Deze aanname is echter een gepasseerd station. In gesprek met Dick Hortensius, senior consultant managementsystemen NEN over ISO. Zijn advies: internal auditors moeten vaker gebruikmaken van geïmplementeerde ISO-normen en de uitkomsten van ISO-audits.

Wie is Dick Hortensius?

“Ik heb een analytisch-chemische achtergrond en ben bij NEN begonnen met standaardisatie van meetmethoden voor milieuverontreinigingen. Later ben ik mij gaan verdiepen in kwaliteitssystemen, zoals de ISO-standaarden voor milieumanagement (ISO 14001) en kwaliteitsmanagement (ISO 9001). Binnen de ISO-standaarden gaat mijn interesse uit naar de governance gerelateerde onderwerpen. Ik houd me bezig met certificatieschema’s voor het uitvoeren van managementsysteemaudits, verzorg trainingen, schrijf eigen publicaties en geef input op nieuwe of aanpassingen binnen ISO-standaarden.”

Wat zijn volgens u de belangrijkste ontwikkelingen op het gebied van de ISO-normen?  

“ISO heeft een enorme ontwikkeling doorgemaakt. De ISO-standaarden voor managementsystemen hebben sinds een aantal jaren een uniforme architectuur. Dat betekent dat de verschillende ISO-standaarden dezelfde opzet hebben. Deze standaard architectuur heet de ‘harmonized structure’ (HS) (zie figuur 1). De HS bevat de gemeenschappelijke structuur en kerneisen voor alle ISO-managementsysteemnormen.

De HS maakt de verschillende ISO-standaarden herkenbaar. Om een ISO-standaard vervolgens te implementeren kan aansluiting gevonden worden met de al geïmplementeerde ISO-standaarden. Het bedrijfsmodel hoeft hierdoor niet steeds aangepast te worden en integraal (risico)management wordt hierdoor bevorderd. ”

En verder?

“Daarnaast heeft ISO ook een kwaliteitsslag gemaakt door meer aandacht te besteden aan de inbedding van de ISO-normen binnen de organisatie. De HS bevat hele herkenbare managementonderwerpen in een logische volgorde: context, leiderschap, beleid en doelstellingen, risicobeoordeling, procesbeheersing, monitoring & review en verbetering. Op dit moment zijn er enkele tientallen verschillende ISO-normen die dit algemene raamwerk inkleuren voor specifieke onderwerpen (kwaliteit, milieu, arbo, informatiebeveiliging, et cetera). De HS ondersteunt om deze verschillende ISO-normen uniform binnen een organisatie te implementeren.”

ISO heeft het imago van ‘als het handboek op orde is, dan is het goed’. Hoe kijkt u daartegenaan?

“Het imago is bekend. In het verleden heeft er veel nadruk gelegen op het volgen van schriftelijk vastgelegde regeltjes. Dat is nu slechts een onderdeel. Er ligt veel meer focus op de randvoorwaarden voor medewerkers om hun werk goed te kunnen doen, zoals bewustwording, opleiding en competenties, relevante informatie en afstemming van processtappen. Bovendien is er een verschuiving van vastlegging naar toetsing van de effectieve werking van de processen.”

“ISO is een bewezen aanpak. Veel bedrijven maken gebruik van ISO-standaarden en de ervaringen van deze bedrijven worden gebruikt om de ISO-standaarden aan te passen”

“Het Nederlandse voorstel was om de algemene informatie op het gebied van managementsystemen uit de verschillende losse ISO-normen te halen en daarvoor overkoepelend gebruik te maken van HS. Helaas is dit voorstel komen te vervallen, omdat de ISO-commissies van mening waren dat alle ISO-standaarden zelfstandig te lezen moeten zijn. Nu worden alle ISO-standaarden nog apart als pdf gepubliceerd. Op het moment dat de ISO-standaarden in de toekomst digitaal te raadplegen zijn, wordt het mogelijk om delen aan te schaffen en zelf gewenste combinaties te maken. Ik verwacht dat ISO op dat moment ervoor zorgt om dubbelingen eruit halen en anders doen de gebruikers dat zelf wel.”

Waarom moet een organisatie overstappen op?

“ISO is een bewezen aanpak. Veel bedrijven maken gebruik van ISO-standaarden en de ervaringen van deze bedrijven worden gebruikt om de ISO-standaarden aan te passen. Deze best practices komen door de ISO-standaarden voor algemeen gebruik beschikbaar zodat iedereen daarvan kan profiteren. Belangrijker is dat klanten en (semi)overheden steeds meer kwaliteitswaarborgen van een organisatie eisen. Zij vragen bijvoorbeeld om een ISO 9001-certificaat. Wat ik zie in de praktijk is dat de overheden en klanten ook steeds meer vragen om zekerheid over naleving van milieuregelgeving en vertonen van goed milieugedrag. De ISO-standaarden voorzien hier ook in.”

In september 2021 is de ISO-norm 37000 ‘Governance of Organizations’ gepubliceerd. Wat vindt u van het stuk?   

“Ik vind het positief dat de governancenorm er is. Daarnaast zijn er vanuit ISO ook al normen ontwikkeld voor risico- en compliancemanagement, de pijlers onder governance. De nieuwe governance ISO-norm is abstract opgesteld en geeft richting aan de principes van good governance. Wat ik een gemiste kans vind, is het ontbreken van de koppelingen tussen deze ISO-standaard en de normen voor managementsystemen. Vanuit ISO zou het uitgangspunt moeten zijn dat het managementsysteem een randvoorwaarde is voor borging van governance, hier is mijns inziens te weinig aandacht voor in de huidige governance ISO-norm. Het is nu aan de gebruiker om zelf een koppeling te maken tussen de ISO 37000 en de managementsysteempraktijken op basis van andere ISO-standaarden (zie figuur 2). ”

Figuur 2. Model Governance ISO 37000

Hoe kan de ISO 37000 het beste toegepast worden?

“De ISO 37000 is geen kookboek voor good governance. ISO 37000 moet organisaties aan het denken zetten hoe de governance in te richten. Bijvoorbeeld hoe organisaties invulling geven aan hun ‘purpose’ (bestaansgrond en fundamentele doelen) en op welke manier zij hierover verantwoording afleggen. De uiteindelijk bedoeling van good governance is dat organisaties kunnen aantonen dat ze in control zijn, doordat de onderliggende managementsystemen goed werken. Een positief aspect vind ik een apart principe over continuïteit van een organisatie op lange termijn.”

Zijn er ook verbeterpunten?

“Ja, die zijn er zeker. Ik vind een aantal onderwerpen onderbelicht. Bijvoorbeeld compliancemanagement.”

Hoe is deze ISO-norm tot stand gekomen?

“Ik ben zelf niet heel intensief betrokken geweest bij de totstandkoming van deze ISO-norm. Het voorstel voor deze norm komt uit het Verenigd Koninkrijk. Ik heb het idee gehad dat de opstellers zich wilden afzetten tegen de huidige managementsystemen uit de andere ISO-standaarden en dat zij governance als een ander en ‘hoger’ niveau zagen. Hierdoor is er waarschijnlijk geen heldere koppeling gemaakt tussen de ISO 37000 en de managementsystemen. Overigens kunnen gebruikers, net als bij andere ISO-normen, feedback geven op de ISO-norm. Deze feedback wordt gebruikt voor de review van de ISO-norm. Deze review vindt om de paar jaar plaats.”

Wat zijn de verschillen tussen ISO-auditors en de internal auditors?

“Ik begeef mij hier wel op glad ijs, want ik heb beperkte kennis van internal audit. Mijn indruk is dat bij de uitvoering van managementsysteemaudits diepgaander wordt gekeken hoe de processen binnen een organisatie worden uitgevoerd en tot welke operationele resultaten dat leidt. Afhankelijk van de scope van het managementsysteem gaat het om prestaties op het gebied van kwaliteit, milieu en veiligheid. Internal Audit kijkt meer naar het financiële resultaat van die processen. Deze werkzaamheden worden door de internal auditors denk ik robuuster uitgevoerd, omdat financiële resultaten vaak concreter te beoordelen zijn dan milieu- of veiligheidsprestaties. Daarbij maakt de internal auditor meer gebruik van data en data-analyse, hier is de ISO-auditor vaak minder sterk in.”

Hoe kunnen internal auditors ISO-managementsystemen toepassen in hun audits? 

“De internal auditor beoordeelt of de organisatie in control is, om daarover verantwoording af te kunnen leggen aan de stakeholders. Vaak vragen die stakeholders ook om het voldoen aan bepaalde ISO-normen. Voor de internal auditor is het dan interessant om te toetsen hoe die ISO-normen zijn geïmplementeerd. Stakeholders hebben tegenwoordig behoefte aan inzicht in een brede range van resultaten, dat verklaart de interesse in integrated reporting. ”

Hebt u nog meer tips voor internal auditors?

“Mijn advies zou zijn dat internal auditors meer op zoek gaan naar soortgenoten in de organisatie. Hiermee bedoel ik dat er meer interne samenwerking komt in de organisatie rondom AO/IC en het gezamenlijk uitvoeren van interne audits. De competenties van ISO en internal auditors vullen elkaar mooi aan, dit kan ook voor andere (specialistische) functies gelden.”

“De ISO 37000 is geen kookboek voor good governance. ISO 37000 moet organisaties aan het denken zetten hoe de governance in te richten”

In 2020 publiceerde u een bijdrage waarin u vooruitblikt naar 2030. Wat vindt u nu het meest opvallend?  

“De maatschappij wordt continu met nieuwe uitdagingen geconfronteerd. Wat de toekomst brengt is lastig te voorspellen. Het blijkt dat organisaties die goed zijn ingericht op basis van een managementaanpak volgens ISO-normen (bijvoorbeeld voor business-continuitymanagement) tijdens de pandemie hun zaken snel weer op orde hadden. Het is belangrijk om continu een antenne te hebben in de omgeving, de context waarin je opereert te begrijpen en die te vertalen naar risico’s en benodigde controls om die te beheersen. Op die manier kun je als organisatie met vertrouwen naar de toekomst kijken. ISO-normen vormen een basis voor goede bedrijfsvoering. De toepassing van ISO-normen wordt daarom steeds normaler.”

Wat is uw toekomstvisie op de ontwikkeling van ISO?

“Inhoudelijk gezien verwacht ik dat er nieuwe op de HS gebaseerde ISO-normen blijven komen, dit is een continu proces waarmee wordt aangesloten op steeds wijzigende behoeften van gebruikers. Daarnaast zijn er internationaal enkele urgente maatschappelijke thema’s waar steeds meer aandacht voor gevraagd wordt, denk aan circulaire economie en klimaatadaptatie. Ook vanuit de governance zal op deze onderwerpen explicieter verantwoording worden gevraagd door interne en externe stakeholders. Hierbij wordt het steeds belangrijker dat organisaties breder kijken dan hun eigen bedrijfsvoering. Dus ik voorzie ook een toenemende mate van netwerksystemen, communities en ketensamenwerkingen. De ISO-managementnormen moeten zich mee-ontwikkelen.”