Herziening kernstructuur ISO-managementsysteemnormen

Van 13 t/m 17 januari 2020 heeft de derde vergadering plaatsgevonden van de werkgroep die verantwoordelijk is voor de herziening van de kernstructuur (‘high level structure’) van ISO-managementsysteemnormen. Tijdens deze vergadering is een belangrijke stap gezet naar een nieuwe editie van de HLS die eind dit jaar gereed moet zijn.

Veel commentaren

Na de vorige vergadering van de werkgroep in juli 2019 in Wenen, is een eerste conceptversie van de HLS en toelichting daarop, voor commentaar rondgestuurd onder de ISO-commissies die managementsysteemnormen in hun pakket hebben. Ook de actief bij de werkgroep betrokken nationale normalisatie-instituten zijn in deze ronde geconsulteerd. Dat leverde een indrukwekkende hoeveelheid commentaar op die door de werkgroep in Sydney moest worden behandeld.

Tijdsdruk

Er is veel aan gelegen deze beperkte herziening van de HLS snel af te ronden en de nieuwe versie te publiceren in de ISO Directives van 2021. Dan kunnen de ISO-commissies er weer mee aan de slag bij ontwikkeling en herziening van hun normen. Om dat voor elkaar te krijgen moet al voor de zomer van 2020 de nieuwe tekst onder de leden van ISO en IEC in stemming worden gebracht. Daarom heeft de werkgroep zich in Sydney geconcentreerd op de kerneisen van de HLS en daar de laatste hand aan gelegd. De bij die kerneisen horende toelichting voor de ISO-commissies die ze moeten toepassen in hun eigen normen, wordt in een volgende vergadering afgerond.

Risico’s en kansen in de HLS

In de aanloop naar de vergadering in Sydney zijn veel meningen uitgewisseld over de definitie van het begrip risico in de HLS en de manier waarop het omgaan met risico’s en kansen als onderdeel van een managementsysteem wordt beschreven. Op strategisch niveau wordt risico in lijn met ISO 31000 vaak beschreven als ‘effect van onzekerheid op (het bereiken van) doelstellingen’. Risico is dan een neutraal begrip; vanuit een analyse van issues en belangen in de context van een organisaties wordt vastgesteld met welke kansen en bedreigingen een organisatie rekening moet houden om haar (strategische) doelen te realiseren. Op operationeel niveau wordt risico in de regel gezien als de kans op en het effect van een incident dat leidt tot schade. Omdat een managementsysteem gaat over de strategie van een organisatie en de daaruit volgende prioriteiten in de operationele beheersing is het belangrijk om een consistent en eenduidig risicobegrip te hanteren. Vanuit contextanalyse, naar vaststellen van risico’s en kansen, planning van acties en uiteindelijk de inbedding daarvan in de operationele beheersing is de lijn in de HLS wel helder. Na lang wikken en wegen is besloten die lijn te handhaven en daarbij ook de huidige risicodefinitie (risico is het effect van onzekerheid) te blijven gebruiken.

Overige belangrijke discussiepunten

In de paragraaf over de identificatie van belanghebbenden en hun eisen (behoeften en verwachtingen), is nu toegevoegd dat de organisatie moet bepalen welke van deze eisen in het managementsysteem worden geadresseerd. Zo is verduidelijkt dat de organisatie een bewuste keuze moet maken welke stakeholderbelangen worden meegenomen in het managementsysteem.

Ook het onderwerp gedocumenteerde informatie blijft de gemoederen bezig houden. Bij de eerste editie van de HLS is dit begrip in de plaats gekomen van termen als document en registratie om te benadrukken dat het gaat om informatie waarvoor het belangrijk is die vast te leggen. De manier waarop en vorm waarin is ondergeschikt. Nu is besloten om in de HLS ook het onderscheid tussen onderhouden (geassocieerd met ‘document’) en bewaren (geassocieerd met ‘registratie’) te laten vullen en waar relevant te eisen dat gedocumenteerde informatie beschikbaar is.

Volgende stappen

Na de vergadering in Sydney is de tweede conceptversie van de herziene HLS in stemming gebracht onder de leden van werkgroep en de ISO-commissies met managementsysteemnormen in hun pakket. Als die akkoord zijn, zal een laatste stemronde plaatsvinden onder alle leden van ISO en IEC (de nationale normalisatie-instituten). Dan zou er na de zomer voldoende tijd moeten zijn om de formele stappen te doorlopen die nodig voor publicatie in 2020.