ZBC Kennisbank

ISO is er voor je bedrijf en niet andersom

 

Het is jammer dat veel bedrijven opzien tegen het behalen van een ISO certificaat. Een ISO certificaat is de bevestiging, dat je als bedrijf goed bezig bent. Helaas wordt er nog te vaak gedacht, dat je je bedrijf moet aanpassen aan ISO. Dat is een pijnlijk en vooral duur misverstand.

En het is ook te gek voor woorden. Je hebt een goed lopend bedrijf, vooral ook doordat je klanten tevreden zijn. Dit wil je aantoonbaar maken, en daarvoor ga je een ISO certificaat  halen. Maar om dat certificaat daadwerkelijk te krijgen, hoef je dan toch niet je hele bedrijfsvoering aan te passen?

Poppenkast

Stel, je klanten zijn tevreden over je. Je speelt flexibel in op de behoeften van je klanten en je werkt efficiënt. Daardoor is ook je prijs heel acceptabel. Je flexibiliteit en efficiency zijn de twee pijlers van je bedrijf. Je devies is: “Het onmogelijke doen we direct en wonderen duren iets langer.” Daardoor komen onbelangrijke dingen wel eens wat in de knel. Dat spreekt vanzelf. Maar zolang het om onbelangrijke zaken gaat, maakt niemand daar een probleem van. Dan zijn er ook een paar klanten, die in hun aanbesteding- of offerte-aanvraag een ISO certificaat eisen, want met zo’n certificaat toon je aan, dat je in control bent. Maar ga je dan je organisatie aanpassen aan ISO en zet je je succesfactoren op het spel? Creëer je een papieren tijger met vele bureaucratische regeltjes die flexibiliteit en efficiency verhinderen, waardoor niemand zich eraan zal houden? Laat je de kwaliteitsmanager of de security officer een toneelstukje regisseren, als de externe auditor, die jaarlijks langskomt, er is, waardoor het lijkt alsof iedereen de papieren tijger wel serieus neemt?
Gelukkig doen veel bedrijven dit niet. Flexibiliteit en efficiency zijn vele malen belangrijker dan regeltjes. En je flexibiliteit en efficiency wil je als bedrijf niet kwijt. Dat is niet wat jij wilt. Wat veel mensen niet weten: dat is ook niet wat ISO wil. Het zijn vooral consultants die hun brood verdienen met het optuigen van papieren tijgers, die je willen laten geloven, dat de regeltjes wel het belangrijkst zijn. (Zie ook ‘Er moet niks van ISO, maar weet mijn auditor dit ook al’.)

Wat ISO over zichzelf zegt

In ISO 27001 staat het heel duidelijk:

  • “Het vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie toepast en de omvang en structuur van de organisatie.
  • Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

”Kort gezegd, het gaat om het beheersen van bedrijfsrisico’s. En dat is altijd bedrijfsspecifiek. In hoofdstuk 5.2.a staat ook nog eens vermeld dat het management systeem ‘passend is voor het doel van de organisatie’. (Zie ook: ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie’.) Daarom ook begint de ISO-norm in hoofdstuk 4 met: “De organisatie moet externe en interne onderwerpen vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem te behalen.”
In essentie betekent dit, dat erkend wordt, dat organisaties twee bedrijfsrisico’s kennen:

  • ontevreden stakeholders’;
  • er gaat structureel meer geld uit dan er binnenkomt.

Het betekent ook dat alles wat geen belangrijke behoefte van een stakeholder is en wel geld of effort kost, simpelweg geschrapt kan worden. Je moet alleen wel eenmaal onderbouwen, waarom je iets kunt schrappen.

Uitgaan van de huidige situatie

Bij de implementatie van ISO ga je dus uit van de huidige situatie, tenminste als je klanten, business partners en medewerkers tevreden zijn en je financieel gezond bent. Je voldoet dan immers al aan de belangrijkste eisen van ISO. Je enige probleem is waarschijnlijk, dat je dit niet volledig kunt aantonen. Maar daar heb je geen tientallen procedures voor nodig. Het gaat om “Zeg wat je doet, doe wat je zegt en laat zien dat je dat gedaan hebt.” Maak niet de fout, dat je gaat opschrijven dat je meer doet dan wat je in het echt doet. Want ook daarvoor geldt dan: “Zeg wat je doet, doe wat je zegt en laat zien dat je dat gedaan hebt” en daarmee creëer je dan die papieren tijger.
Als je uitgaat van de huidige situatie, zul je de toegevoegde waarde van ISO ervaren. Aan de hand van ISO onderzoek je stap voor stap je hele bedrijfsvoering:

  • de context van je organisatie;
  • je stakeholders en hun behoeften;
  • de keuzes die je maakt om aan die behoefte te voldoen, zonder dat dit ten koste gaat van het bedrijfsresultaat, ofwel je bedrijfsrisico’s en je beleidsuitgangspunten;
  • vervolgens de mogelijke maatregelen die je kunt treffen om risico’s te verminderen (in feite je huidige situatie), waarbij je ongetwijfeld een aantal verbeterpunten zult tegenkomen;
  • hoe je omgaat met afwijkingen en veranderingen;
  • hoe je controleert of hebt gedaan wat je zei.

(Voor ISO 27001 (en NEN 7510) zijn deze stappen uitgebreid beschreven aan de hand van één plaatje in het artikel ‘Architectuur en aanpak ISO 27001’.)
Kortom, het wordt een feest van herkenning, want je zult zien dat je veel dingen allang goed doet.  En dat krijg je nu ook bevestigd middels een ISO-certificaat. En als kers op deze taart ontdek je ook nog een aantal punten, waarmee je nog succesvoller kunt worden.

Vooral voor kleinere organisaties

Hiermee is ISO vooral een handig instrument voor kleinere organisatie, waarbij de directie weet wat zich op de vloer afspeelt en zich daar ook mee bemoeit. Die organisaties hebben al een risicobeheerssysteem dat van dag tot dag werkt. (Zie ook ‘Toepassing drie cycli van risicobeheersing in de praktijk’.) Bij hen hoeft niet door de toepassing van ingewikkelde modellen te worden aangetoond dat de risicobeheersing werkt. Risicobeheersing is gewoon een dagelijkse taak van de directie, en dat  vertaalt  zich onmiddellijk in het succes en het bedrijfsresultaat van de onderneming. Kleinere organisaties kunnen het certificeringsproces dan ook snel doorlopen met weinig kosten, tenminste als de directie er actief in participeert. ( Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’.) Voor grotere organisaties ligt het complexer. Zij zullen het onderzoek van hun bedrijfsvoering aan de hand van het rijtje hierboven veel formeler moeten doen. Planning en control lopen in grotere organisaties over veel meer schijven en directies kunnen daar vaak straffeloos hun verantwoordelijkheden delegeren en die in de vorm van targets of KPI’s dumpen op de bordjes van het middelmanagement. Dat betekent in feite dat dergelijke grotere organisaties nu niet ‘in control’ zijn en zich wel zullen moeten aanpassen aan ISO.

ZBC ondersteunt kleinere dienstverleners met het behalen van een ISO 27001 certificaat evt aangevuld met ISO 9001 via cursussen en/of gerichte coaching.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 14 november 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *