ISO9001: papiertje halen of echt verbeteren?


1.    Continu kwaliteit verbeteren: de uitdaging

Het continu werken aan betere kwaliteit van producten en diensten is van alle tijden, maar is tegelijk steeds lastiger efficiënt en tijdig te realiseren door:

  • Snelle technologische ontwikkelingen: nieuwe technologieën volgen elkaar razendsnel op, waardoor bedrijven constant moeten investeren in innovatie, systemen en vaardigheden om bij te blijven.
  • Toenemende klantverwachtingen: consumenten zijn gewend aan snelle service, hoge gebruiksvriendelijkheid en maatwerk. Het continu voldoen aan deze veranderende verwachtingen legt druk op organisaties.
  • Globalisering en concurrentie: er is veel meer internationale concurrentie, waardoor bedrijven sneller moeten reageren op prijsdruk, kwaliteitsstandaarden en innovaties uit andere markten.
  • Complexiteit van regelgeving en compliance: bedrijven moeten voldoen aan steeds strengere en vaak veranderende wet- en regelgeving (bijvoorbeeld rondom duurzaamheid, privacy of veiligheid), wat de processen ingewikkelder maakt.
  • Krapte op de arbeidsmarkt en kennisverlies: er is een tekort aan gekwalificeerd personeel en ervaren medewerkers vertrekken of gaan met pensioen. Hierdoor wordt het moeilijker om kennis te borgen en kwaliteit te waarborgen.


De vraag is dus hoe je, ondanks deze beperkingen, toch efficiënt en voortvarend kan werken aan continue kwaliteitsverbetering.

Het antwoord is: door de focus te leggen op die onderwerpen waar de grootste kansen en bedreigingen liggen,


De ISO9001 (de norm voor Kwaliteitsmanagement) probeert hiervoor een oplossing te bieden door de zogenaamde SWAT analyse maar deze geeft zelden concrete handvaten om aan de slag te gaan.

IsoSecure heeft een aanpak ontwikkeld waarmee met een paar uur werk concreet wordt gemaakt welke de kansen en bedreigingen voor jouw bedrijf zijn. We noemen dit de Gevolgenanalyse.

De Gevolgenanalyse is een bewezen praktische basis voor een efficiënte aanpak van je kwaliteitsmanagement; je kunt nl. hierdoor snel en gericht (potentiële) risico's voor de kwaliteitsaspecten van je producten en/of diensten formuleren. Hierdoor kunnen niet alleen huidige, maar ook mogelijke toekomstige bedreigingen worden gedetecteerd en aangepakt. En kunnen kosten van slechte service/kwaliteit worden vermeden, wat resulteert in lagere kosten en een hogere klanttevredenheid.


2.    Korte uitleg Gevolgenanalyse:

Om een ​​efficiënt risicoanalyseproces te garanderen, is het dus belangrijk om focus te creëren. Oftewel, welke processen/middelen/leveranciers zijn het meest risicovol?

Deze focus wordt gecreëerd door een Gevolgenanalyse (een onderzoek naar de mogelijke gevolgen van verstoringen of risico’s voor de belangrijkste aspecten van de organisatie)  uit te voeren op:


a. de processen,


b. de belangrijkste bedrijfsmiddelen die je gebruikt om de processen uit te voeren (zoals informatiesystemen, machines/gereedschappen, gebouwen, andere faciliteiten, enz.)


c. de leveranciers van deze middelen of van relevante diensten.


Om de analyse van processen, activa en leveranciers te vergemakkelijken, wordt het 5P-model (ook wel de marketingmix genoemd) gebruikt. De 5 P's zijn: Product, Prijs, Plaats, Promotie en Personeel. In onderstaand overzicht worden de belangrijkste aspecten van elk van de 5 P's weergegeven:

  • Product: kwaliteit/specifieke eigenschappen van het product (product kan ook een dienst zijn!)
  • Prijs: prijs c.q. kostprijs van product/dienst
  • Plaats: verkoop-/distributie kanalen en logistiek
  • Promotie: communicatie met de diverse stakeholders variërend van klanten tot andere partijen
  • Personeel: kennis en vaardigheden van personeel maar ook bedrijfscultuur.


In de Gevolgenanalyse wordt voor een proces/bedrijfsmiddel/leverancier het belang van het proces/bedrijfsmiddel/leverancier voor de respectievelijke P ruwweg geschat. Houd er rekening mee dat het uitvoeren van de Gevolgenanalyse een middel is om een ​​doel te bereiken (efficiënt en effectief risicomanagement) en geen doel op zich. Precisie is daarom niet belangrijk, maar het maken van een concreet overzicht (waar liggen mijn potentiële problemen/risico's) wel.


Enkele voorbeelden:

  1. Processen die sterk afhankelijk zijn van betaalbare grondstoffen/componenten van de andere kant van de wereld, kunnen hoog/kritisch scoren op Plaats (Logistiek, Serviceniveaus) in geval van een tekort aan zeecontainers of een geblokkeerd Panamakanaal.
  2. Processen die sterk afhankelijk zijn van hooggekwalificeerd personeel, kunnen hoog/kritisch scoren op Personeel in geval van een tekort aan gekwalificeerd personeel.
  3. Processen die afhankelijk zijn van goedkope energie, kunnen hoog/kritisch scoren op Prijs in geval van stijgende energieprijzen.


Om het uitvoeren van de BIA te vergemakkelijken, gebruiken we onderstaande scoringstabel:


Samengevat is het dus zaak te concentreren op de zaken die er echt toe doen waardoor er minder tijd wordt besteed aan minder belangrijke onderwerpen. We willen dus snel en efficiënt helder krijgen waar de kwaliteitsrisico’s zitten in onze organisatie. Dat lijkt op het intrappen van een al wijd openstaande deur maar we zullen laten zien hoe je op een heel eenvoudige wijze met minder werk, veel meer resultaat kan bereiken; minder is echt meer in dit geval!

 

3.    Uitvoeren van een Gevolgenanalyse: voorbeeld

Dit doen we aan de hand van een denkbeeldig bedrijf dat:

  • Natuurlijke grondstoffen inkoopt, die verwerkt tot een (ongevaarlijk) halffabricaat en vervolgens het halffabricaat verwerkt tot een eindproduct met specifieke door klanten geëiste chemische eigenschappen.
  • Deze processen zelf heeft ontwikkeld en voortdurend verder ontwikkelt op basis van steeds strenger wordende kwaliteitseisen van afnemers.
  • Is gevestigd op 300 meter van een woonwijk
  • Het bedrijf heeft eigen vrachtwagens waarmee het eindproduct wordt geleverd aan de klanten.

Stel jezelf de eerste vraag: welke processen zijn echt spannend als het om kwaliteit gaat?

Door in onderstaande voorbeeld overzicht van processen, voor elk proces de impact analyse uit te voeren, krijgen we onderstaande impact analyse:


En we zien al heel snel waar het “spannend” is en naar welke processen dus onze aandacht moet gaan. We gaan dus allereerst inzoomen op het proces “Productie & Logistiek” (in dit proces worden halffabricaten omgezet in een eindproduct met hoge kwaliteitseisen) en op Inkoop (kwaliteit van de ingekochte grondstof en installaties scoort Kritisch; alle andere aspecten Hoog). Daarna op het proces “Onderzoek & Ontwikkeling” (in dit proces wordt voortdurend gewerkt aan door-ontwikkeling van dit eindproduct en de processen waarmee dit product wordt gemaakt). Verder besteden we alleen aandacht aan Marketing & Sales v.w.b. het aspect Communicatie (want de bewoners van de woonwijk op 300 meter van de fabriek zijn belangrijke stakeholders)

Maar we kunnen nog verder inzoomen en daarmee nog beter focussen op zaken die er echt toe doen nl. door een BIA uit te voeren voor de voornaamste bedrijfsmiddelen; de 2 Productie installaties en de vrachtwagens waarmee het gereed product wordt vervoerd.




Het is weinig verrassend dat Productie installatie 2 (waarmee het eindproduct wordt gemaakt en dus bepalend is voor de kwaliteit van het eindproduct) Kritisch scoort en dus onze aandacht vraagt. Productie installatie 1 vraagt geen bijzondere aandacht.


V.w.b. betreft de vrachtwagens scoort alleen Plaats voor vrachtwagen 1 Hoog (deze vrachtwagen mag niet overal rijden want is Euro 5), dus bij inplannen moet hierop gelet worden. En voor beide vrachtwagens geldt dat, vanwege wettelijke eisen, alleen gecertificeerde chauffeurs de vrachtwagens mogen besturen, dus voor Personeel is de score Hoog.


Tenslotte is het van belang een Gevolgenanalyse uit te voeren op de leveranciers b.v. van (onderdelen van) Productie installaties, vrachtwagens (inclusief het onderhoud), verwerking bedrijfsafval.


Ook hier zien we een duidelijk patroon: de leverancier van de installatie waarmee het eindproduct wordt gemaakt, scoort 1x Kritisch en 3x Hoog. Verder scoort de leverancier van grondstof A 3x Hoog (zuiverheid van de grondstof is belangrijk, evenals prijs en de beschikbaarheid)

 

Conclusie: door een Gevolgenanalyse uit te voeren op de processen, belangrijkste bedrijfsmiddelen en leveranciers, kan snel en efficiënt een focus worden verkregen op de onderwerpen die er echt toe doen bij het implementeren van kwaliteitsmanagement en het voldoen aan ISO9001.

 

Gevolgenanalyse – Een gevolgenanalyse brengt in kaart wat er gebeurt als belangrijke processen binnen de organisatie tijdelijk uitvallen of verstoord raken. Het helpt te bepalen welke activiteiten cruciaal zijn, welke gevolgen verstoringen hebben voor klanten en medewerkers, en hoe snel herstel nodig is. Zo ondersteunt de analyse het maken van keuzes om de continuïteit van de organisatie te waarborgen.

 



Auteur van dit blog: Eildert Karstens, IsoSecure b.v. 

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010


Digitale weerbaarheid van gemeenten onder druk: BIO2, NIS2 en ransomware vragen om een risicogestuur

BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?

door Robert Bals 16 december 2025
Digitale weerbaarheid van gemeenten onder druk: BIO2, NIS2 en ransomware vragen om een risicogestuurde, betaalbare aanpak van informatiebeveiliging.
Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen

Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?

door Robert Bals 22 juli 2025
Moet een auditor altijd toegang tot uw ISMS krijgen, en wanneer eindigen de bevindingen?
Implementatie van ISO14001 (de ISO norm voor milieubescherming)

ISO14001: een goed begin, halveert het werk!

door Eildert Karstens 14 juli 2025
Door een Business Impact Analyse (BIA) uit te voeren op de processen, belangrijkste bedrijfsmiddelen en leveranciers, kan snel en efficiënt een focus worden verkregen op de onderwerpen die er echt toe doen bij het opzetten, implementeren (en certificeren!) van ISO14001.
Two men are sitting at a table with a laptop and a clipboard.

Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

door Eildert Karstens 28 maart 2025
Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?
A group of women are sitting at a table looking at a laptop computer.

Kwaliteitsmanagers en NIS2

door Eildert Karstens 27 maart 2025
Door gebruik te maken van hun ervaring kunnen kwaliteitsmanagers helpen de strenge eisen van NIS2 soepel te integreren in de bedrijfsactiviteiten, waardoor de risico’s worden verminderd en de efficiëntie en veerkracht van de organisatie behouden blijven.
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

door Eildert Karstens 6 maart 2025
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context van ISO 27001, de internationale norm voor informatiebeveiliging, helpt de PDCA cyclus organisaties bij het structureel beheren en verbeteren van hun informatiebeveiligingsbeleid. In deze blog bespreken we wat de PDCA cyclus is, hoe je deze toepast binnen ISO 27001, en waarom dit model cruciaal is voor een effectief Information Security Management System (ISMS).
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom infor

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

door Eildert Karstens 6 maart 2025
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom informatiebeveiliging. Om patiëntgegevens beter te beschermen, is de NEN7510 norm aangepast. Maar wat verandert er precies en hoe zorg je ervoor dat jouw organisatie aan de nieuwe eisen voldoet? In deze blog nemen we je mee door de belangrijkste wijzigingen en geven we praktische tips om goed voorbereid te zijn.
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in w

Mijn klant eist DORA van mij. Wat nu?

door Eildert Karstens 6 maart 2025
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in werking treden van de DORA verordening per 17 januari 2025 en de daarmee ontstane druk om “iets” te doen. Het risico ontstaat daarbij dat er, net als bij de andere verordeningen AVG en NIS2, onnodige onrust ontstaat en daarmee onnodig veel tijd en inspanning wordt besteed aan DORA. Hieronder leg ik kort uit hoe om te gaan met de vraag/eis van een klant om te voldoen aan DORA.