ZBC Kennisbank

Herziening ISO 9001: High Level Structuur – HLS

achterstand

 

Waarschijnlijk komt in september 2015 de nieuwe norm ISO 9001:2015 beschikbaar. De belangrijkste wijziging is, dat in deze nieuwe norm de High Level Structuur (HLS) is ingebakken, die geldt voor alle ISO kwaliteitssystemen en die we al kennen uit bijvoorbeeld de ISO 27001 norm.

Met de HLS wordt de opbouw van alle managementsysteemnormen identiek. Alle normen zullen dezelfde hoofdstukken bevatten. Natuurlijk verschillen de normspecifieke eisen in de verschillende managementsysteemnormen wel van elkaar. De norm voor informatiebeveiliging heeft tenslotte andere specifieke eisen dan de norm voor Arbo en veiligheid.
De nieuwe HLS heeft als groot voordeel, dat de integratie van verschillende managementsystemen aanzienlijk vereenvoudigd wordt. Er is gekozen voor eenduidige terminologie en eenduidige definities. Er is bijvoorbeeld één definitie voor het woord risico, die geldt voor alle managementsysteemnormen onder de nieuwe HLS. Daarnaast behandelt de HLS heel duidelijk de verbintenis die er moet zijn tussen het managementsysteem en de strategische doelstellingen (beleid) en uitvoerende processen van een organisatie.
In dit artikel bespreken we de veranderingen. We beperken ons daarbij zoveel mogelijk tot het feitelijke ‘wat’ van de veranderingen.

Model High Level Structuur (HLS)

De HLS voor de nieuwe ISO normen is als volgt opgebouwd:

HLS_ISO

Hoofdstuk 4 van de norm gaat geheel over de context van de organisatie en geldt als generiek uitgangspunt voor alle kwaliteitssystemen binnen de organisatie. In par. 4.1 worden alle relevante onderwerpen bepaald, die invloed hebben op het bereiken van de doelstellingen van de organisatie. Simpel gezegd, hier moeten de bedrijfsrisico’s geïnventariseerd worden en de impact die ze hebben op het bereiken van de doelstellingen. Hierbij wordt verwezen naar ISO 31000, waar een risico wordt gedefinieerd als zowel een kans als een bedreiging. (Zie ook ‘Afbakening van uw risk managementsysteem en de relatie met andere managementsystemen’.)
Vervolgens moet in  par. 4.2 een inventarisatie gemaakt worden van de externe en interne stakeholders en de eisen en verwachtingen van deze stakeholders met betrekking tot de organisatie. Uiteraard is dit inclusief relevante wet- en regelgeving.
In par 4.3 wordt op grond van de uitkomsten van par. 4.1 en 4.2 bepaald wat het toepassingsgebied van het managementsysteem is. Anders gezegd, hier wordt de scope van het managementsysteem afgebakend, rekening houdend met bijvoorbeeld welke risico’s  de organisatie heeft afgedekt door uitbesteding van processen.

Risicomanagement de kern van het managementsysteem

De High Level Structuur (HLS) bevat niet alleen een set algemene eisen, maar daagt organisaties ook uit om hun risico’s te analyseren met het oog op de implementatie van een passend kwaliteitsmanagementsysteem. Dit systeem moet zich richten op de zaken die er voor de organisatie toe doen en dus veel meer zijn dan een handboek in de kast of een verzameling papieren tijgers.
Daarom lichten we dit proces van risicomanagement er even uit. Dat doen auditors ook en terecht.
De basis is het proces zoals dat beschreven is in ISO 31000 (zie ook ‘ISO 31000 raamwerk voor risk management’) en dat in het volgende plaatje wordt weergegeven:

Het vaststellen van de context is al gedaan in hoofdstuk 4 en de risicobeoordeling op hoofdlijnen eveneens. Waar het voor het kwaliteitssysteem meer specifiek om draait, wordt uitgewerkt in hoofdstuk 6: planning. Doorgaans worden hierbij de controls van een bestaand managementsysteem als referentiekader genomen en op basis van de scope uit hoofdstuk 4 wordt de toepasselijkheid van de controls beoordeeld en worden de tekortkomingen in de huidige situatie geïdentificeerd. Op grond hiervan wordt het risicobehandelingsplan (par. 6.1) ofwel het verbeterplan gedefinieerd en in een tijdlijn gezet.
Tevens is dit de basis voor de interne norm (par 6.2), die de kern vormt voor de monitoring en beoordeling (par. 9.1).
Het blok ‘Communicatie en overleg’ uit het plaatje is verankerd in hoofdstuk 5: Leiderschap en vervolgens uitgewerkt in hoofdstuk 7: Support.

Procedures voor het afhandelen van wijzigingen en incidenten

Ook zit dit risicomanagementproces nog eens ingebakken in hoofdstuk 8: ‘Uitvoering’. Hoofdstuk 8 is van toepassing als er veranderingen in de organisatie of haar omgeving plaatsvinden, met impact op de bedrijfsdoelstellingen (hoofdstuk 4) of de interne norm (par 6.2). Indien zo’n wijziging zich voordoet (zie par 8.2), moet in elk geval een beoordeling plaatsvinden of deze wijziging impact heeft op de bedrijfsrisico’s uit hoofdstuk 4 of de interne norm van ieder managementsysteem. En indien dit het geval is moeten ook corrigerende maatregelen gedefinieerd worden (zie par 8.3) om de negatieve gevolgen teniet te doen.
De procedure voor het omgaan met investerings- en/of wijzigingsvoorstellen zal hierop aangepast moeten worden en de correcte toepassing hiervan zal beoordeeld moeten worden tijdens de interne audit (zie par. 9.2). Dat de wijzigingsprocedure die nu vaak bestaat voor wijzigingen op het handboek, hiervoor niet afdoende is, spreekt vanzelf.
Hetzelfde geldt voor de procedure voor incidentafhandeling. Hierin kan ook de procedure voor klachtenafhandeling ondergebracht worden. Hoewel het niet expliciet genoemd wordt in de HLS, komt dit zeker terug bij de interne audit (zie par. 9.2). Een incident is tenslotte het niet voldoen aan de interne norm en daarmee aan de eisen en/of verwachtingen van de stakeholders. En als het gaat om grote incidenten of veel voorkomende incidenten, dan zijn verbeteracties (zie hoofdstuk 10) noodzakelijk.

Verplichte documenten

Om gecertificeerd te kunnen worden, is altijd een aantal documenten uit de hoofdstukken 4 tot en met 10 verplicht. Tussen haakjes wordt steeds aangegeven in welke paragraaf het verplichte document is terug te vinden:

  • scope van het managementsysteem (4.3);
  • beleidsdocument (5.2);
  • taakverdeling en verantwoordelijkheden (5.3);
  • methodiek risicobeoordeling en risicobehandeling (6.1);
  • doelstellingen (6.2);
  • vaardigheden, cursussen, ervaring en kwalificaties (7.2);
  • arbeidsvoorwaarden en gedragscodes (7.3);
  • procedure documentbeheer (7.5);
  • risico behandelplan (8.1);
  • risico assessment resultaten (8.2);
  • intern audit programma + resultaten (9.2);
  • resultaten van management review (9.3);
  • resultaten van correctieve acties (10.1).

Daarnaast eist ieder specifiek kwaliteitssysteem (ISO 9001, 27001, 14001, 22301) doorgaans zijn eigen set aan verplichte documenten.

Veranderingen in de praktijk

Met de introductie van de High Level Structuur in ISO 9001:2015 wordt in feite een tijdperk afgesloten. Het handboek met de vele procedures en procesbeschrijvingen, dat vaak het stralend middelpunt was van een kwaliteitssysteem is verleden tijd. (Zie ook ‘HLS ISO 9001 en 27001 betekent afscheid van kwaliteitshandboek’.) Veel belangrijker zijn de risicogerichtheid en werkende maatregelen, waarmee risico’s beheerst worden. Zeker nu uitbesteding veel meer voorkomt, ligt de nadruk steeds meer op de planning en het aantonen van de werking dan op allerlei procedures, waarin de uitvoering wordt geregeld. Papieren tijgers hadden al nooit nut voor de organisatie, maar ze zijn nu ook niet meer nodig om aan de eisen van de norm te voldoen.

Onze eerste ervaringen met de ISO 27001, waarin de HLS al ruim een jaar ingebakken is, zijn dan ook heel positief. Vooral de vrijheid om zelf de risico’s te beoordelen maakt een pragmatische uitvoering mogelijk, als maar wel de  toegepaste methode wordt beschreven. (Zie ook ‘ISO 27001 certificering voor SaaS leveranciers nu simpel’.) Belangrijkste probleem waar we tegenaan liepen was eigenlijk de volgorde waarin de HLS wordt ingebakken in de verschillende normen. Bedrijven die al ISO 9001:2008 gecertificeerd zijn en die nu ook het ISO 27001 of 22301 certificaat willen halen, worstelen met de generieke HLS, die eigenlijk in het kader van de generieke ISO 9001 opgezet zou moeten worden.
Deze bedrijven, die naast het ISO 9001 certificaat ook nog een ander certificaat willen behalen, doen er verstandig aan om zo snel mogelijk te starten met het opzetten van de High Level Structure, die straks ook in ISO 9001:2015 verplicht is. Dan is het toepassen van een volgende norm alleen nog het invullen van de voor denorm specifieke onderdelen. Zeker geldt dit voor zorginstellingen die HKZ gecertificeerd zijn en die NEN 7510 gecertificeerd willen worden. Zij moeten goed nadenken over wanneer ze de HLS inbakken in hun managementsystemen. Als ze dit nu al oppakken, kunnen ze in de toekomst veel werk besparen.

Voor organisaties die de HLS willen toevoegen aan hun kwaliteitssysteem van ISO 9001, ISO 27001 of ISO 22301 heeft ZBC een coaching-traject opgezet om dit te begeleiden. Naast twee dagdelen begeleiding op locatie krijgt de organisatie de beschikking over de sjablonen en checklists die ZBC hiervoor heeft ontwikkeld. Uiteraard zijn ze getoetst in de praktijk en hebben ze andere bedrijven al geholpen om het certificaat te behalen. Meer hierover vindt u in ‘Begeleiding opzetten HLS voor ISO 9001, 27001 of 22301’.
Ook als u deelneemt aan de ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ of ‘Cursus aanpak opzetten business continuity plan-BCP’, dan krijgt u de beschikking over deze sjablonen en checklists.

Voor organisaties, die zich richten op de implementatie van ISO 9001, heeft ZBC  een aanpak ontwikkeld op basis van een online systeem met talrijke sjablonen.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 11 december 2014


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *