Norm implementeren? Zo krijg jij jouw mensen mee

Ben je bezig met de implementatie/onderhoud van een bedrijfsnorm, zoals bijvoorbeeld ISO 9001, 27001, 14001 of anders? En heb je daarvoor een managementsysteem opgetuigd? Dat is pas het startpunt! Een managementsysteem is een mooie eerste stap, maar waar het echt om draait is dat je als organisatie de vruchten gaat plukken van je goed ingerichte managementsysteem. Dat gaat verder dan alleen gecertificeerd zijn en blijven. Certificeren en een goed ingericht systeem zijn namelijk niet het eindpunt, maar juist het startpunt voor het zetten van de volgende (groei)stap met je organisatie. Wanneer je jezelf een spiegel voorhoudt en gaat bekijken wat nu daadwerkelijk de risico’s en pijnpunten van je organisatie zijn, ga je zien dat dit in veel gevallen hand in hand gaat met menselijk handelen.

Voorbeeld: mkb-organisaties krijgen steeds vaker te maken met phishingmails van kwaadwillenden. Als je het risico dat daaraan vasthangt wilt mitigeren, dan kun je een managementsysteem opzetten en daar maatregelen op implementeren, maar daar ga je het probleem niet mee oplossen. Het risico gaat namelijk gepaard met het dagelijks handelen van mensen in de organisatie: zijn ze in staat om de phishingmail te herkennen of niet? Dat dagelijks handelen ga en kun je niet elke dag auditen of evalueren, maar het dient wel geborgd te worden.

Het is dus niet voldoende om dat enkel te borgen in een managementsysteem. Borging dient ook plaats te vinden via de mensen in je organisatie. Je managementsysteem vormt als het ware de structuur waar je dagelijks mee bezig bent in de praktijk; het handelen daarin ligt bij mensen. Het is dus van belang om bewustzijn bij die mensen te creëren. Theoretisch weten ze mogelijk wel wat de risico’s zijn, maar zijn ze zich daar ook bewust van in het dagelijks handelen? Om dat te achterhalen moet je weten hoe hoog het kennisniveau van mensen daadwerkelijk is, bijvoorbeeld door te toetsen.

Laten we beginnen bij het opsplitsen van verschillende fases waar een organisatie zich in kan bevinden tijdens het implementeren van een norm of het onderhouden van je managementsysteem:

Een fase waarbij je al over verschillende onderwerpen nagedacht moet hebben. Hebben we al een (software)systeem waarin we ons managementsysteem borgen, hebben we de juiste capaciteit beschikbaar en hebben we de juiste kennis in huis? Vooral bij de laatste vraag wordt vaak niet lang genoeg stil gestaan. Ook als je externe hulp hebt van een adviesbureau, moet je kritisch zijn op de kennis die je in huis hebt. Je moet de interne kartrekker voorzien van de juiste training en opleiding om de kwaliteit van het implementatietraject op pijl te houden. Doe je dat niet, verwacht dan niet dat de interne kartrekker de rest van de organisatie meeneemt in een proces waar hij/zij ook niet genoeg van weet.

Ook tijdens een implementatietraject kan je de belangrijkste risico’s van tevoren uittekenen. De kartrekker krijgt de volle verantwoordelijkheid binnen het traject en de rest van de organisatie hoort het wel een keer voor de audit wat er van ze verwacht wordt. Toch? Nee, onacceptabel als het aan ons ligt. Een managementsysteem creëer je niet voor de norm, maar om er als organisatie beter van te worden. Het moet je organisatie toegevoegde waarde opleveren. Dit kan alleen als de gehele organisatie (en ja, juist ook de directie) hier actief bij betrokken is. Een snellere afslag nemen in een implementatietraject kan voor de korte termijn de beste oplossing lijken, maar zal op de lange termijn een hoop extra ballast en chagrijn opleveren. Medewerkers zullen namelijk nog steeds geen besef hebben wat hun rol is binnen het managementsysteem. Kan je van medewerkers verwachten dat ze niet in een phishing mail trappen of veilig werken als het juiste draagvlak niet wordt gecreëerd?

Er zijn meerdere wegen die naar Rome leiden. Het gaat er vooral om dat je als organisatie bewust bezig bent met bewustzijn en draagvlak op elk moment van het implementatieproces. Betrek de mensen bij de sessies, organiseer workshops, doe een pubquiz gericht op de norm, neem met een kerngroep deel aan een training. Dit zijn zomaar wat voorbeelden die ervoor zullen zorgen dat je als organisatie de medewerkers vanaf het begin betrekt.

Na certificering is er altijd, en terecht, een moment van opluchting en blijdschap. Al het harde werk van de afgelopen maanden is niet voor niks geweest. Kunnen we nu achteroverleunen tot de auditor weer komt over een jaar? Nee… dit is juist het startpunt om de vruchten te gaan plukken van je goed ingerichte managementsysteem!

Een moment van genieten moet er altijd zijn, maar de vraag die nu relevant wordt is welke langetermijnvisie jullie hebben rondom kwaliteit, veiligheid, ARBO, informatiebeveiliging, voedselveiligheid of milieu?
Als het certificaat aan de muur voldoende is dan is het jaarlijks oppoetsen van het managementsysteem een week voor de audit een optie, maar als je je managementsysteem gebruikt om je organisatie naar een volgend niveau te tillen, dan zal je een langetermijnvisie moet hebben.

Je wilt als organisatie die optimale dienstverlening? Die hoge klanttevredenheid? Die hoge mate van betrouwbaarheid op het gebied van informatiebeveiliging? Of dat extra veilige werken?

Om dat te bereiken moet je over de volgende vragen hebben nagedacht:

Zomaar wat vragen die, als je het aan ons vraagt, iedere organisatie met een certificaat aan de muur moet beantwoorden. Heb je hierover vragen of wil je eens sparren? Neem gerust contact met ons op!