HLS structuur

Met de High Level Structuur (HLS) wordt de opbouw van alle managementsysteemnormen identiek. Alle normen zullen dezelfde hoofdstukken bevatten. Natuurlijk verschillen de normspecifieke eisen in de verschillende managementsysteemnormen wel van elkaar. De norm voor informatiebeveiliging heeft tenslotte andere specifieke eisen dan de norm voor Arbo en veiligheid.
De nieuwe HLS heeft als groot voordeel, dat de integratie van verschillende managementsystemen aanzienlijk vereenvoudigd wordt. 

Nieuwe versies van ISO normen, zoals ISO 9001:2015, ISO 14001:2015 en ISO 45001, zijn ingericht volgens de nieuwe High Level Structure (HLS). De HLS is een uniforme standaardopbouw voor ISO normen. Hiermee is een grotere flexibiliteit, integrale benadering en een sterkere focus op risicomanagement mogelijk. Centraal staat de procesbeheersing. 

De High Level Structure heeft een aantal kernonderwerpen. Dit zijn basiseisen die aan elk managementsysteem gesteld worden. Het betreft de volgende essentiële onderdelen: 

1. Leiderschap 
2. Risico management 
3. Compliance management 
4. Procesmanagement 
5. Verbetermanagement 
6. Borging en aantoonbaarheid 

Hogere eisen aan leiderschap 

Belangrijk uitgangspunt is dat de structuur beter moet aansluiten bij de in de organisaties gangbare besturingsmodellen. Het managementsysteem moet dus geïntegreerd worden in de gewone bedrijfsvoering. Hierdoor worden hogere eisen aan leiderschap gesteld. Het management moet verantwoordelijkheid gaan nemen voor de effectiviteit van het management en de integratie van managementstandaarden in het bedrijfsproces. Het management is nauwer betrokken bij de auditing van de norm dan voorheen. 

Stimulans risicoanalyses 

Met de nieuwe HLS worden organisaties gestimuleerd om risicoanalyses te maken. Om dit gedegen te doen is het van belang de markt en de ontwikkelingen nauwlettend in kaart te brengen en te volgen. Vervolgens wordt vastgelegd hoe op deze risico’s geanticipeerd kan worden. 

Stakeholders hoog op de agenda 

Ook staan de behoeften van belanghebbenden, zoals klanten, leveranciers etc hoog op de agenda. De behoeften van deze stakeholders moeten gewogen worden en eventuele maatregelen moeten worden geborgd in het proces. 

De voordelen op een rij 

• Integratie van verschillende managementsysteem normen wordt veel eenvoudiger; de structuur en basiseisen zijn gelijk. 
• Certificatie kan efficiënter en effectiever plaatsvinden door de onderwerp-specifieke aanvullingen op de kernelementen 
• De nieuwe normen maken een betere aansluiting op de strategie en ’governance’ van organisaties mogelijk en zorgen voor een goede inbedding in de ‘normale’ bedrijfsvoering. 
• Risicomanagement, compliance management en procesbeheersing zijn verankerd in de nieuwe ISO normen. De contextanalyse zorgt voor externe gerichtheid en leiderschap neemt een veel prominentere plek in. 

Model High Level Structuur (HLS)

De HLS voor de nieuwe ISO normen is als volgt opgebouwd:

Hoofdstuk 4 van de norm gaat geheel over de context van de organisatie en geldt als generiek uitgangspunt voor alle kwaliteitssystemen binnen de organisatie. In par. 4.1 worden alle relevante onderwerpen bepaald, die invloed hebben op het bereiken van de doelstellingen van de organisatie. Simpel gezegd, hier moeten de bedrijfsrisico’s geïnventariseerd worden en de impact die ze hebben op het bereiken van de doelstellingen. Hierbij wordt verwezen naar ISO 31000, waar een risico wordt gedefinieerd als zowel een kans als een bedreiging. (Zie ook ‘Afbakening van uw risk managementsysteem en de relatie met andere managementsystemen’.)
Vervolgens moet in par. 4.2 een inventarisatie gemaakt worden van de externe en interne stakeholders en de eisen en verwachtingen van deze stakeholders met betrekking tot de organisatie. Uiteraard is dit inclusief relevante wet- en regelgeving.
In par 4.3 wordt op grond van de uitkomsten van par. 4.1 en 4.2 bepaald wat het toepassingsgebied van het managementsysteem is. Anders gezegd, hier wordt de scope van het managementsysteem afgebakend, rekening houdend met bijvoorbeeld welke risico’s  de organisatie heeft afgedekt door uitbesteding van processen.

Risicomanagement de kern van het managementsysteem

De High Level Structuur (HLS) bevat niet alleen een set algemene eisen, maar daagt organisaties ook uit om hun risico’s te analyseren met het oog op de implementatie van een passend kwaliteitsmanagementsysteem. Dit systeem moet zich richten op de zaken die er voor de organisatie toe doen en dus veel meer zijn dan een handboek in de kast of een verzameling papieren tijgers.
Daarom lichten we dit proces van risicomanagement er even uit. Dat doen auditors ook en terecht.

Het vaststellen van de context is al gedaan in hoofdstuk 4 en de risicobeoordeling op hoofdlijnen eveneens. Waar het voor het kwaliteitssysteem meer specifiek om draait, wordt uitgewerkt in hoofdstuk 6: planning. Doorgaans worden hierbij de controls van een bestaand managementsysteem als referentiekader genomen en op basis van de scope uit hoofdstuk 4 wordt de toepasselijkheid van de controls beoordeeld en worden de tekortkomingen in de huidige situatie geïdentificeerd. Op grond hiervan wordt het risicobehandelingsplan (par. 6.1) ofwel het verbeterplan gedefinieerd en in een tijdlijn gezet.
Tevens is dit de basis voor de interne norm (par 6.2), die de kern vormt voor de monitoring en beoordeling (par. 9.1).
Het blok ‘Communicatie en overleg’ uit het plaatje is verankerd in hoofdstuk 5: Leiderschap en vervolgens uitgewerkt in hoofdstuk 7: Support.

Procedures voor het afhandelen van wijzigingen en incidenten

Ook zit dit risicomanagementproces nog eens ingebakken in hoofdstuk 8: ‘Uitvoering’. Hoofdstuk 8 is van toepassing als er veranderingen in de organisatie of haar omgeving plaatsvinden, met impact op de bedrijfsdoelstellingen (hoofdstuk 4) of de interne norm (par 6.2). Indien zo’n wijziging zich voordoet (zie par 8.2), moet in elk geval een beoordeling plaatsvinden of deze wijziging impact heeft op de bedrijfsrisico’s uit hoofdstuk 4 of de interne norm van ieder managementsysteem. En indien dit het geval is moeten ook corrigerende maatregelen gedefinieerd worden (zie par 8.3) om de negatieve gevolgen teniet te doen.
De procedure voor het omgaan met investerings- en/of wijzigingsvoorstellen zal hierop aangepast moeten worden en de correcte toepassing hiervan zal beoordeeld moeten worden tijdens de interne audit (zie par. 9.2). Dat de wijzigingsprocedure die nu vaak bestaat voor wijzigingen op het handboek, hiervoor niet afdoende is, spreekt vanzelf.
Hetzelfde geldt voor de procedure voor incidentafhandeling. Hierin kan ook de procedure voor klachtenafhandeling ondergebracht worden. Hoewel het niet expliciet genoemd wordt in de HLS, komt dit zeker terug bij de interne audit (zie par. 9.2). Een incident is tenslotte het niet voldoen aan de interne norm en daarmee aan de eisen en/of verwachtingen van de stakeholders. En als het gaat om grote incidenten of veel voorkomende incidenten, dan zijn verbeteracties (zie hoofdstuk 10) noodzakelijk.

Verplichte documenten

Om gecertificeerd te kunnen worden, is altijd een aantal documenten uit de hoofdstukken 4 tot en met 10 verplicht. Tussen haakjes wordt steeds aangegeven in welke paragraaf het verplichte document is terug te vinden:

• scope van het managementsysteem (4.3);
• beleidsdocument (5.2);
• taakverdeling en verantwoordelijkheden (5.3);
• methodiek risicobeoordeling en risicobehandeling (6.1);
• doelstellingen (6.2);
• vaardigheden, cursussen, ervaring en kwalificaties (7.2);
• arbeidsvoorwaarden en gedragscodes (7.3);
• procedure documentbeheer (7.5);
• risico behandelplan (8.1);
• risico assessment resultaten (8.2);
• intern audit programma + resultaten (9.2);
• resultaten van management review (9.3);
• resultaten van correctieve acties (10.1).

Daarnaast eist ieder specifiek kwaliteitssysteem (ISO 9001, 27001, 14001, 22301) doorgaans zijn eigen set aan verplichte documenten.

Veranderingen in de praktijk

Met de introductie van de High Level Structuur in ISO 9001:2015 wordt in feite een tijdperk afgesloten. Het handboek met de vele procedures en procesbeschrijvingen, dat vaak het stralend middelpunt was van een kwaliteitssysteem is verleden tijd. Veel belangrijker zijn de risicogerichtheid en werkende maatregelen, waarmee risico’s beheerst worden. Zeker nu uitbesteding veel meer voorkomt, ligt de nadruk steeds meer op de planning en het aantonen van de werking dan op allerlei procedures, waarin de uitvoering wordt geregeld. Papieren tijgers hadden al nooit nut voor de organisatie, maar ze zijn nu ook niet meer nodig om aan de eisen van de norm te voldoen.

Onze eerste ervaringen met de ISO 27001, waarin de HLS al ruim een jaar ingebakken is, zijn dan ook heel positief. Vooral de vrijheid om zelf de risico’s te beoordelen maakt een pragmatische uitvoering mogelijk, als maar wel de  toegepaste methode wordt beschreven. Belangrijkste probleem waar we tegenaan liepen was eigenlijk de volgorde waarin de HLS wordt ingebakken in de verschillende normen. Bedrijven die al ISO 9001:2008 gecertificeerd zijn en die nu ook het ISO 27001 of 22301 certificaat willen halen, worstelen met de generieke HLS, die eigenlijk in het kader van de generieke ISO 9001 opgezet zou moeten worden.

Deze bedrijven, die naast het ISO 9001 certificaat ook nog een ander certificaat willen behalen, doen er verstandig aan om zo snel mogelijk te starten met het opzetten van de High Level Structure, die straks ook in ISO 9001:2015 verplicht is. Dan is het toepassen van een volgende norm alleen nog het invullen van de voor denorm specifieke onderdelen. Zeker geldt dit voor zorginstellingen die HKZ gecertificeerd zijn en die NEN 7510 gecertificeerd willen worden. Je moet goed nadenken over wanneer je de HLS inbakt in je managementsystemen. Als je dit nu al oppakt, kan dit je in de toekomst veel werk besparen.

Samenwerken met Kader? Neem contact met ons op voor meer informatie.