5 Valkuilen op de weg naar ISO certificering

Het behalen van een ISO certificering lijkt voor de één reuze ingewikkeld en anderen zien het als kinderspel. Met de juiste aanpak hoeft een certificeringstraject zeker niet ingewikkeld te zijn. Wij hebben als team al veel ervaring opgedaan. Toch leren we nog iedere dag, dit doen we door de dingen die goed gaan, maar ook zeker door de fouten die we maken. In dit artikel hebben we 5 veelvoorkomende valkuilen op de weg naar ISO certificering voor je op rij gezet.

Het management weet van niets

De aanleiding voor het behalen van een certificering komt in 90% van de gevallen vanuit verkoopkansen of klanteisen, dat weten we maar al te goed. Het management kan de certificering hierdoor zien als “check in the box” en laat het feestje over aan kwaliteitsmanagers, security officers en adviseurs. Hierdoor is er te weinig mandaat om een cultuur van continu verbeteren te creëren en wordt de kans op een goedwerkend managementsysteem beperkt. Een betrokken rol van de directie bij de voor hen relevante onderdelen van het managementsysteem is daarom wat ons betreft randvoorwaarde nummer 1.

Om betrokkenheid te creëren is het van belang om het management mee te nemen in de rol die het managementsysteem kan spelen bij het bereiken van hun strategische doelen. Bij informatiebeveiliging verdient het management om te weten welke desastreuze effecten een gebrek aan beveiliging kunnen hebben voor de continuïteit. In deze fase kan het inzetten van een externe adviseur of ervaringsdeskundige zeker helpen, vooral omdat vreemde ogen toch iets meer dwingen.

ISO is toch een checklist?

De verschillende eisen en maatregelen uit de ISO normen zijn gemakkelijk om te zetten naar Excel spreadsheets, templates en checklijsten. Het klinkt dan ook heel logisch om het certificeringstraject als één grote checklijst af te werken. De meeste ISO standaarden zijn echter gebaseerd op een methode van continu verbeteren op basis van PDCA. Als zo’n PDCA systeem goed wordt geïntroduceerd in een organisatie is het managementsysteem en daarmee de certificering gemakkelijk te behalen én te behouden.

Zorg ervoor dat je beschikt over de juiste kennis voor het introduceren van een managementsysteem, dit kan door middel van training of extern advies. Verder kan het inzetten van een software oplossing zorgen voor de nodige structuur en het overzicht.

Eindeloos schrijven aan beleid en processen

Een belangrijk onderdeel van het certificeringsproject is het vastleggen van beleid en processen. Dit helpt om te bepalen op welke manier je organisatie invulling geeft aan de relevante normeisen en maatregelen. Voorbeelden van zulke documenten zijn een leveranciersbeleid of een beschrijving van het verkoop proces. Het is heel belangrijk is om de juiste mensen te betrekken bij dit proces. Echter is een veelvoorkomende valkuil dat er teveel gediscussieerd wordt waardoor het te lang duurt om tot een eerste definitieve versie te komen.

Onze tip: Wees niet bang om een eerste versie vast te stellen zodat mensen aan de slag kunnen met het implementeren van de beschreven uitgangspunten en werkwijzen. Er is tijdens de implementatiefase en ook in de jaren daarna nog voldoende tijd om verbeteringen door te voeren.

Proceseigenaren worden struisvogels

Iedereen kent het woord struisvogelpolitiek. Wij hebben er met IPA minimaal wekelijks mee te maken. Een proceseigenaar is tot op de laatste puntjes betrokken bij het bepalen van het beleid en het proces waar invulling aan moet worden gegeven. Toch zijn veel proceseigenaren ineens vergeten wat er ook alweer de bedoeling was zodra ze aan de slag moeten met de implementatie. Wees gerust, dit komt niet door een ontspoorde vrimibo maar dit is gebruikelijk gedrag in deze fase van een verandertraject.

Om te voorkomen dat het project in de implementatiefase vastloopt is het van belang dat de projectleider en adviseurs een stapje terug doen en niet teveel gaan ontzorgen. De eigenaren blijven wijzen op gemaakte afspraken en heel gericht ondersteunen als er gevraagd wordt om een specifiek voorbeeld of template is op dit moment het beste wat je kunt doen.

Certificeringsaudit? Die plannen we wel als we klaar zijn

Het klinkt in eerste opzicht niet onverstandig om pas een certificeringsaudit te gaan plannen als je zeker weet dat je er helemaal klaar voor bent. Toch kan dit een gevaarlijke valkuil zijn. De certificering is de eindstreep van het implementatieproject, zolang deze nog niet gepland staat is de planning voor het behalen van deze eindstreep slechts een ambitie. Tijdens het project heeft de nieuwe klant die de ISO certificering vereist al getekend op basis van jullie verhaal dat je toch echt met de certificering aan de slag kunt. Kortom de druk is eraf en de deadlines worden makkelijk verschoven. In aanvulling op een verschuivende interne planning bestaat er ook een grote kans dat de certificerende partij geen ruimte meer heeft in de planning, juist op dat moment dat jullie er helemaal klaar voor zijn.

Zorg ervoor dat je al vroeg in het project start met de selectie van een certificerende instantie. Zo heb je voldoende tijd om de juiste keuze te maken, weet je zeker dat er een partij beschikbaar is en heb je vroeg in het project een harde deadline om naartoe te werken.

En nu aan de slag

Nu je op de hoogte bent van een aantal veelvoorkomende valkuilen houdt niets je nog tegen om aan de slag te gaan met jouw certificeringstraject. Neem gerust contact met ons op als je meer te weten wilt komen over certificeringstrajecten en de ondersteuning die IPA Bedrijfsmanagement hierbij kan bieden.

Terug naar blog-overzicht

2