Når jeg hjælper mine kunder med at blive certificeret, benytter jeg PDCA modellen (Plan – Do – Check – Act) til faseopdeling i forbindelse med projektets gennemførelse fra start til slut: Planlægning, Implementering, Certificering og Forbedringer (tiden efter certifikatudstedelse).
Certificeringens grundlæggende fire afsnit
Certificering
Denne artikel
Her er et kort resume af de forgående to stadier:
I første artikel gennemgik jeg mine erfaringer med Planlægning af projektet ”ISO-certificering”. Vi afklarede certificeringens omfang, projektets tidsforløb, ressourcer og uddannelse, og via SWOT og GAP analyserne kom vi frem til en egentlig projektplan.
Sidste artikel handlede om implementering af ISO standarder. I projektplanen valgte jeg 8 underpunkter, som tilsammen omfavner det meste af kravfeltet. Underpunkterne indeholder blandt andet udarbejdelse af processer, politikker, mål og ledelse, kommunikation, afvigelser og risikoledelse, dokument- og aktivitetsstyring samt ISO standardernes særskilte krav. Og, ikke at forglemme, gældende lov- og myndighedskrav.
Indeværende artikel behandler kort Certificering, herunder intern audit og ledelsens evaluering.
Indledning
I forlængelse af de to tidligere artikler har vi nu planlagt og implementeret de relevante ISO standarders krav samt lov og myndighedskrav. Vi er næsten klar, og nu skal vi snart til eksamen.
Nå, nej, vi skal jo netop ikke til eksamen. Ordet ”eksamen” er i sin betydning er en afsluttende prøve. Bestået – ikke bestået. Færdig med emnet! Denne første ISO-certificering er derimod starten på noget nyt; et ”nyt liv” for organisationen. Certificeringen er ikke afsluttende; den er begyndende. ”Du får kørekortet og skal lære at køre”. Nu skal I løbende forbedre processerne og hele ledelsessystemet (4.4 og 10.3).
Alligevel giver det mening at sammenligne certificeringen – også kaldet ”certificeringsaudit” – med en eksamen. Certificeringen er en stikprøvevis gennemgang af hele ledelsessystemet, som det i øvrigt er fastlagt i (4.3) ledelsessystemets omfang. Der kommer en ekstern auditor udefra som tester, om vi overholder kravene.
Men her hører sammenligningen op – I kan i praksis ikke dumpe. Auditor tjekker på det indledende møde, om I er klar til certificering, og vurderes det, at I er klar, så dumper I ikke. Men I får muligvis nogle forbedringskrav (afvigelser), og når de er løst, bliver der udstedt et certifikat til jer.
Virksomheden, der forestår gennemgangen og udsteder certifikatet, er en uvildig akkrediteret virksomhed, som I Danmark godkendes af DANAK (Den Danske Akkrediteringsfond). Godkendelsen af de akkrediterede virksomheder er med til at skabe tillid til deres ydelser. Akkrediteringen hviler på en EU forordning, som er udmøntet i danske bekendtgørelser. Vær derfor opmærksom på, at nogle akkrediterede virksomheder har godkendelsen fra andre europæiske lande (eksempelvis SWEDAK i Sverige), men det har ingen praktisk betydning.
Jeg vil lige nævne, at ordet ”audit” er defineret i standarderne, og frit oversat er det en proces, hvor auditor kontrollerer i hvor høj grad I lever op til ISO krav, lovkrav og egne krav. Det er auditor, der foretager audit. Man skelner mellem 3 slags audit
- Intern audit, hvor I tjekker jer selv (1. parts audit)
- Ekstern audit, hvor en kunde eller leverandør udfører audit hos jer eller I udfører audit hos en kunde eller leverandør (2. parts audit)
- Ekstern audit, der foretages af en akkrediteret virksomhed (3. parts audit)
Egentlig er det forkert at starte denne artikel med certificeringen, for det sætter fokus på godkendelse og udstedelse af certifikat i stedet for det vigtigste – at I får et positivt udbytte af forandringen i organisationen. Omvendt, så er certificeringen det, der typisk optager folk mest.
Men for at følge kronologien i PDCA-projektet, så fortsætter vi med
- Audit cyklus
- Intern audit
- Ledelsens evaluering
- Certificerende virksomhed
Audit cyklus
Ekstern audit foretaget af akkrediteret virksomhed skal for de almindelige ledelsessystemstandarder gennemføres årligt. Den første gang – certificeringen – er lidt speciel, for den er typisk mere omfattende end alle andre audits. Efter certificeringen følger to år med mindre audits – kaldet periodiske audits. Og efter 3 år skal der foretages en re-certificering. Og så starter cyklus om igen. Re-certificeringen er mindre omfattende end certificeringen, men mere omfattende end de periodiske audits.
Cyklus er altså: certificering –> to periodiske audits –> re-certificering –> to periodiske audits –> re-certificering o.s.v.
Se Figuren herunder.
Inden I får besøg af akkrediteret virksomhed, skal der gennemføres en intern audit og en ledelsens evaluering. Reglerne er ikke entydige. De varierer efter hvordan den enkelte akkrediterede virksomhed tolker standarderne, men jeg giver her et fingerpeg om kravene.
Intern audit
Intern audit (9.2) skal gennemføres årligt, men ellers er kravene diffuse. Der er ikke krav om omfang og tidspunkt, og der er heller ikke krav om, at hele ledelsessystemet skal gennemgås i løbet af de tre cyklus-år. Der skal dog foreligge en audit plan – det vil sige en plan for som minimum næste års interne audit. Der skal også gerne være et program for gennemførelsen (agenda), og der skal udarbejdes en rapport, som tilkendegiver graden af overholdelse af krav (herunder afvigelser). Væsentligst gælder, at det skal være en styret og planlagt proces. Der er en del sprogforbistring, men jeg vil henvise til ISO 19011, hvis du vil læse mere om audit. Det er faktisk en god og oplysende (vejledende) ISO-standard.
Intern audit gennemføres ofte ved stikprøvevis ud fra en plan at interviewe kolleger. Interviewet skal afdække, om de udfører arbejdet som planlagt. Altså kan de det, de skal kunne. Interviewet viser også medarbejderens evne til at manøvrere i bibliotekerne for at genfinde relevante dokumenter, og om de er i stand til at registrere afvigelser samt, om de kender politikker, mål og risici.
At gennemføre interviews kan være en udfordring, for det eksponerer dig som interviewer/auditor. Du skal kende processer og krav, og du skal kunne finde frem til manglerne – dér, hvor der ikke er overensstemmelse mellem krav og medarbejderens viden og kompetencer. Ligesom en kritisk journalist. Men heldigvis er der mange kurser, hvor du kan lære det, hvis behovet opstår. Tag gerne et lead auditor kursus – det indeholder sædvanligvis også interviewteknikker og de psykologiske forhold ved auditsituationen.
Mange organisationer vælger at lade en ekstern konsulent foretage intern audit – simpelthen fordi, man er for tæt på sine kolleger. Det er en fin løsning, for konsulenten har som intern samarbejdspartner ofte lettere ved at åbne op for medarbejderne. Og det er trods alt bedre at konsulenten finder hullerne end akkrediteret auditor senere.
Hvornår konsulenten eller QHSE-medarbejderen gennemfører intern audit fremstår ikke som et krav. Du kan vælge et gennemføre hele intern audit på én gang (måske over en uge eller to) eller du kan vælge at sprede audit ud over året, så det ikke er én stor pukkel, der skal overstås.
Hvordan intern audit og ledelsens evaluering gennemføres i forhold til akkrediteret audit fremgår heller ikke som et krav. Du kan vælge almindelig overensstemmelsesaudit, som langt hovedparten gør, men du kan også vælge gruppeaudits, tematiske audits, projektaudits, dokumentationsaudits, spotaudits …. Der er metodefrihed, når blot det højere formål med intern audit er opfyldt. Jeg vil klart anbefale, at du, når du har auditrutinen, tilrettelægger intern audit, så den er spændende, udbytterig og lærerig.
Endelig, når jeg vælger at lægge intern audit umiddelbart før ledelsens evaluering (se figur 1), skyldes det, at intern audit indgår som et punkt i ledelsens evaluering. På denne måde bliver øverste ledelse gjort opmærksom på afvigelser observeret ved den seneste interne audit, og der kan derfor handles på dem fra højeste plan.
Ledelsens evaluering
Ledelsens evaluering (9.3) er egentlig blot et ledermøde, og det kan med fordel anskues som en lille proces:
Input rapporten er en grundig gennemgang af ledelsessystemet, hvor fokus er på de områder, der med fordel kan forbedres. Rapporten kan med fordel udarbejdes inden ledermødet. Det gøres typisk af QHSE manager, som ofte har det store overblik over ISO-krav, men det er i praksis op til jer, hvem der udarbejder inputrapporten. Nogle organisationer tager input og output samtidig på ledermødet, hvilket naturligvis også er i orden. I standarderne (9.3.2) står der en række punkter, der bør tages i betragtning ved gennemgangen.
Det er ofte en fordel, hvis QHSE manager opstiller en række forslag til handlinger, der gør det lettere at nå til enighed om løsninger/handlinger på ledermødet. Inputrapporten og eventuelle forslag til handlinger udgør det væsentligste debatoplæg på ledermødet.
Outputrapporten er i praksis et referat af ledermødet, hvor handlinger ubetinget er i fokus. Meningen med inputrapporten er at afdække de svage punkter i ledelsessystemet, mens meningen med outputrapporten er at beskrive forbedringerne. Det vil klart være en fordel, hvis I noterer deadline, ansvar, ressourcer, mv., så der ikke er tvivl om handlingernes gennemførelse. Lav gerne en plan.
Vær opmærksom på, at de handlinger, som outputrapporten kommer med, bør løses som planlagt. Sidste års ledelsens evaluering (besluttede handlinger) er en del af næste års ledelsens evaluering, og det er uhensigtsmæssigt at glemme disse handlinger. Så går der lige et år mere!
Ledelsens evaluering afholdes sædvanligvis årligt, men også her er kravene diffuse. Det er ikke nævnt præcist hvor, hvornår og hvordan, den skal afholdes. Tidligere skulle alle punkter i ledelsens evaluering tages med til gennemdrøftelse, men det er ikke længere et krav. Dog skal alle output punkterne tages med hver gang (handlinger). Det mest væsentlige krav er dog fortsat, at ledelsens øverste chef, topledelsen (oftest CEO for enheden) skal deltage aktivt i outputmødet.
Nogle organisationer gennemfører en ledelsens evaluering hvert kvartal, måske endda hver måned, hvor de deler inputkravene op. Nogle krav tages hver gang – andre kun kvartalsvis. Denne metode kan varmt anbefales især mellemstore og store organisationer, for det holder den øverste ledelse fast fokuseret på ledelsessystemerne.
Certificerende virksomhed
Lige lidt mere om ekstern audit! Når I skal certificeres første gang, kan det godt være lidt usikkert, hvor tidligt i processen, man bør tage fat i akkrediteret auditor. Tommelfingerreglen er, at jo mere præcis en certificeringsdato, I ønsker, des bedre tid skal I være ude. Det gælder også, hvis I ønsker en bestemt auditor til at stå for certificeringen. Ofte er den certificerende virksomhed langt fremme i planlægningen, så giv dem gerne et halvt år. Har I ingen eller kun få præferencer, så er 3-4 måneder tilstrækkeligt. Ofte kan mindre gøre det.
Når I vælger akkrediteret virksomhed, er det vigtigt at overveje formålet. Hvis I har et tilhørsforhold til en bestemt branche, eksempelvis offshore arbejdet, kan det være bedst at vælge en bestemt akkrediteret virksomhed – og måske endda også en bestemt person – der er et stort navn i denne branche; simpelthen fordi der kan være noget markedsføringsmæssigt i at have et certifikat fra lige præcis denne certificerende virksomhed. De er dog ofte meget dyrere end de mindre akkrediterede virksomheder.
Omvendt, hvis I blot går efter billigste certificering, så er der nogle rigtig gode mindre akkrediterede virksomheder på markedet. De er sædvanligvis billigere end de store og mest kendte, og de er efter min mening generelt lige så gode auditorer. Når der ikke er så mange kunder, passer man rigtig godt på dem – det gælder også de mindre akkrediterede virksomheder, som ofte yder en bedre kundeservice.
Og nu vi er ved kundeservice – den akkrediterede virksomhed er en underleverandør lige som alle andre underleverandører. De skal styres, evalueres og bedømmes for deres præstationer og erstattes med en anden, hvis de ikke opfylder jeres valgte kvalitetskriterier (8.4). Det er de normalt godt klar over, og jeg kender stort set kun dygtige og kompetente auditorer. Det er mere kundeservice, det kniber med. Især hos ”de store”.
Vær i den forbindelse opmærksom på, at I til hver en tid kan fravælge bestemte auditorer hos den akkrediterede virksomhed, hvis ”kemien” ikke er på plads. Og I kan altid ønske en bestemt auditor, hvis I har en præference. Hovedformålet for alle parter er, at I får en god oplevelse ved audit.
Det var lidt generelt om akkrediteret virksomhed. Til sidst mangler jeg bare at nævne jeres kontrakt/samarbejdsaftale, som ofte indeholder certificeringsbestemmelser – altså tolkninger af, hvordan man vurderer opfyldelseskriterier. Hvis ikke de er med ved kontraktindgåelse, så bed eventuelt om dem. De kan give jer god indsigt i hvordan, I skal forholde jer til de enkelte kravelementer.
Så er det bare at klø på med intern audit, ledelsens evaluering og akkrediteret certificering.
Og så er du klar til næste fase: forbedringer, som jeg vil gennemgå i næste artikel.