Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.
Inleiding
De ontwikkelingen voor vele organisaties – zoals toenemende concurrentie, nieuwe aansprakelijkheidsregelingen, eisen ten aanzien van certificatie door de opdrachtgever, verhoogde tijdsdruk, internationalisering, grotere mondigheid van opdrachtgevers en een kritischer houding van medewerkers – vragen van het management een gewijzigde houding ten aanzien van de aansturing van de organisatie. Eén van de waarneembare reacties op deze ontwikkelingen is de toenemende populariteit van het kwaliteitsmanagementsysteem.
Primair doel van het kwaliteitsmanagementsysteem is zeker te stellen dat afspraken die worden gemaakt met de opdrachtgever, worden nagekomen. Klantgerichtheid staat centraal. Bij de inrichting van het systeem ligt de nadruk op procesbeheersing. Zij dient gericht te zijn op de beheersing van afbreukrisico’s ten aanzien van de kernactiviteiten van de organisatie. Daartoe worden eenduidige afspraken gemaakt over het uitvoeren van de werkzaamheden.
Organisaties die kwaliteitszorg als managementfilosofie toepassen, herkennen de noodzaak tot veranderen eerder, aangezien de medewerkers gericht zijn op de klant met zijn veranderende eisen en wensen en zich bewust zijn van de veranderende omgeving. Door middel van het kwaliteitsmanagementsysteem wordt zeker gesteld dat de kwaliteit van de dienstverlening een structureel onderwerp op de agenda is en blijft. Het systeem dient nadrukkelijk gericht te zijn op het continu initiëren, implementeren en borgen van verbeteringen. Aangezien het (kwaliteits)beleid en de doelstellingen als sturingsinstrumenten dienen, is ook een duidelijk verband te leggen met bijvoorbeeld het ondernemingsplan.
De internationaal geldende norm NEN-EN-ISO 9001 biedt een praktisch handvat om te komen tot een goed functionerend kwaliteitsmanagementsysteem, dat is ingericht naar de wensen van de eigen organisatie. Deze norm is wereldwijd toepasbaar voor alle typen organisaties – zowel profit als non-profit – binnen alle branches. Veel organisaties integreren het kwaliteitszorgsysteem met andere zorgsystemen op het gebied van milieu, veiligheid, arbo en de administratieve procedures en internecontrolemaatregelen (AO/IC). Door het toepassen van de risicobenadering is tevens de relatie met de Code voor Informatiebeveiliging – BS 7799 – eenvoudig te leggen. Deze benadering maakt het mogelijk integrale controles uit te voeren, waardoor een breder zicht ontstaat op het functioneren van de organisatie als geheel.
Betrokken partijen
Een dergelijk kwaliteitsmanagementsysteem kan gecertificeerd worden tegen de norm NEN-EN-ISO 9001. Certificatie is de beoordeling van het kwaliteitsmanagementsysteem door een erkende instelling – welke is geaccrediteerd door de Raad voor Accreditatie – op basis van de ISO 9000-norm. De beoordeling wordt uitgevoerd door auditors die een erkende lead assessor-training hebben gevolgd. Het certificaat biedt naar derden een extra bevestiging dat de organisatie beschikt over een effectief systeem om aan de eisen van de opdrachtgever te voldoen. In verschillende branches wordt door opdrachtgevers vereist dat de leveranciers een ISO-certificaat hebben; hierbij valt te denken aan de automobielindustrie.
Onderzoek
De organisatie dient helder te omschrijven wat de scope is van het kwaliteitsmanagementsysteem. Deze scope wordt tijdens het certificatieonderzoek getoetst tegen de eisen van de norm NEN-EN-ISO 9001. Dit betekent dat alle activiteiten die van invloed zijn op het vastgestelde toepassingsgebied, tot het onderzoeksobject behoren.
Het onderzoek bestaat uit twee onderdelen, te weten het vooronderzoek en de implementatie-audit. Tijdens het vooronderzoek wordt het gedocumenteerde systeem getoetst aan de ISO-norm en worden de resultaten van de interne audits en de directiebeoordeling beoordeeld. Afwijkingen worden gerapporteerd en dienen te worden verholpen vóór de implementatie-audit.
Het vervolg is de implementatie-audit. Tijdens deze audit wordt getoetst of het gedocumenteerde systeem op effectieve wijze is ingevoerd. Dit gebeurt door middel van interviews en door het beoordelen van registraties. Centraal in het onderzoek staan de vragen of er aantoonbaar sprake is van een klantgerichte benadering en van een effectieve procesbeheersing. Ten tijde van het onderzoek dient er een functionerend kwaliteitsmanagementsysteem te zijn, waaruit blijkt dat de directie daadwerkelijk in staat is de organisatie naar verbeterde prestaties te leiden. Gedurende de auditdagen vindt een continue terugkoppeling plaats van de bevindingen.
Aan het einde van de implementatie-audit volgt een terugkoppeling van het auditteam. Of kan worden overgegaan tot het verstrekken van het certificaat, hangt af van de gevonden tekortkomingen. Indien er sprake is van zwaarwegende (kritieke) tekortkomingen, dan moeten deze eerst worden opgelost. Tijdens een extra audit – een follow-up, waarin alleen op de afwijkingen wordt ingegaan – wordt beoordeeld of effectieve maatregelen ter verbetering zijn genomen. Indien dit het geval is, kan worden overgegaan tot verlening van het certificaat. Zijn er geen zwaarwegende tekortkomingen, dan kan zonder aanvullend onderzoek worden overgegaan tot certificatie. Hiertoe zal het auditteam de organisatie voordragen voor certificatie. De feitelijke certificatiebeslissing wordt genomen door de certificatiecommissie van de betreffende certificerende instelling. Deze staat onafhankelijk van de auditor en toetst of het onderzoek conform de geldende procedures is uitgevoerd. Indien de beslissing positief is, kan worden overgegaan tot het verlenen van het certificaat.
Uitkomsten
Rapportage
Het certificatieonderzoek wordt afgesloten met een schriftelijke rapportage omtrent de bevindingen en het versturen van het ISO-certificaat. De rapportage vormt de basis voor het beoordelen van de ontwikkelingen en verbeteringen binnen het managementsysteem. Tevens geeft deze rapportage sturing aan de planning van de diverse auditfasen, zowel intern als extern.
Het certificaat kent een looptijd van drie jaar. Gedurende die periode wordt een aantal controleaudits uitgevoerd: de eerste na een half jaar, de tweede na twaalf maanden en de derde audit vierentwintig maanden ná verlening van het certificaat. Tijdens de controleaudits wordt beoordeeld of bij voortduring kan worden voldaan aan de kwaliteitsdoelstellingen – met name bij wijzigingen in de organisatie – en of de processen continu worden bewaakt en verbeterd. Tijdens de controleaudit wordt steeds een deel van het systeem beoordeeld. Het behoud van het certificaat is afhankelijk van de resultaten van deze controles. Indien sprake is van kritieke afwijkingen en er geen passende maatregelen worden genomen, kan worden overgegaan tot het intrekken van het certificaat.
Na drie jaar – dus na afloop van het certificaat – volgt een verlengingsonderzoek. Dit is in principe weer een volledige audit.
De kosten
Het aantal dagen dat wordt besteed, is afhankelijk van een aantal factoren. De belangrijkste zijn de omvang van de organisatie, het aantal vestigingen en de complexiteit van dienst of product. Indien offertes worden vergeleken, dient niet alleen te worden gekeken naar de initiële kosten maar ook naar de kosten over de certificatieperiode van drie jaar. Hierin kunnen aanmerkelijke verschillen zitten.
Toegevoegde waarde van het certificaat en van de externe audit
Het behalen van een ISO-certificaat kan het volgende aan het kwaliteitszorgprogramma toevoegen:
- Het werkt motiverend en stimulerend naar de medewerkers toe.
- Het bevordert de integriteit van het kwaliteitsmanagementsysteem.
- Het versterkt het imago van de organisatie in de markt. Het wordt gezien als een keurmerk en er is sprake van internationale acceptatie. Verder wordt het certificaat door veel bedrijven als marketing- en pr-tool gebruikt.
Externe auditors zijn in staat de organisatie als geheel te overzien en met een zogenaamde ‘helikopterview’ naar de processen te kijken. Daarnaast zijn externe auditors beter in staat een onafhankelijke positie in te nemen. Rapportages zijn dan ook gebaseerd op objectieve waarnemingen en worden niet beïnvloed door interne aangelegenheden. Tot slot kan de kennis – over het uitvoeren van doelmatige audits – worden overgedragen van de externe naar de interne auditors. Deze kennis kan door de medewerkers gebruikt worden bij het uitvoeren van de interne audits. Bovendien houden regelmatige audits het systeem actueel en levend.
Uit de ervaring van KPMG Certification blijkt dat veel organisaties een externe prikkel kunnen gebruiken om hun systemen actueel te houden en te werken aan continue verbetering van het systeem. De regelmatig terugkerende controleaudits dwingen een voortdurende aandacht voor het kwaliteitssysteem af.