Jarenlang hebben organisaties ISO-normen geïmplementeerd als afzonderlijke bestuursdisciplines die werden beheerd door afzonderlijke teams binnen afzonderlijke operationele kaders.

Kwaliteitsteams waren verantwoordelijk voor ISO 9001. EHS-afdelingen waren verantwoordelijk voor ISO 14001 en ISO 45001. IT was verantwoordelijk voor ISO 27001. Compliance-teams hielden zich bezig met ISO 37301. Energie-initiatieven waren gebaseerd op ISO 50001. Teams voor voedselveiligheid of medische hulpmiddelen hielden zich aan ISO 22000 of ISO 13485, onafhankelijk van elkaar en grotendeels onafhankelijk van de andere bestuursdisciplines die naast hen opereerden.

De redenering leek steekhoudend. Elke norm had betrekking op een specifiek operationeel domein. Voor elk domein waren specialistische kennis, specifieke processen en domeinspecifieke bestuursstructuren vereist. Door deze domeinen van elkaar te scheiden, kon elk vakgebied zich concentreren op zijn eigen vereisten, zonder de complexiteit en de extra lasten die gepaard gaan met interdisciplinaire integratie.

Na verloop van tijd leidde dit implementatiemodel echter tot iets wat geen enkel team voor ogen had gehad en wat de meeste organisaties pas ten volle beseften toen de operationele gevolgen niet langer te negeren waren.

Dit leidde tot een gefragmenteerd bestuurslandschap, bestaande uit onderling losstaande systemen, overlappende controles, dubbele werkprocessen en geïsoleerde operationele verantwoordelijkheidsstructuren, waardoor de organisatie onvoldoende inzicht heeft in haar eigen operationele realiteit om deze effectief te kunnen aansturen.

Die versnippering vormt inmiddels een van de grootste operationele risico’s waarmee grote ondernemingen te maken hebben. Niet omdat een bepaald governancesysteem op zich tekortschiet, maar omdat de operationele risico’s die deze systemen moeten beheersen, niet langer binnen de grenzen blijven waarvoor die systemen zijn ontworpen.

De oorspronkelijke belofte van ISO was operationele controle

Elke ISO-managementnorm is oorspronkelijk ontworpen op basis van hetzelfde fundamentele strategische principe, dat weliswaar in verschillende domeinen op verschillende manieren tot uiting komt, maar in zijn bestuurslogica in wezen identiek is.

Zorg voor een gestructureerd bestuurskader, zodat het operationele gedrag consistent en controleerbaar wordt. Beperk operationele variabiliteit, zodat de resultaten die de organisatie beoogt te behalen, ook daadwerkelijk worden behaald. Verbeter de traceerbaarheid, zodat de organisatie, wanneer er iets misgaat, kan achterhalen waarom, de oorzaak kan verhelpen en herhaling kan voorkomen. Maak continue verbetering mogelijk, zodat het bestuursmodel in de loop van de tijd steeds effectiever wordt in plaats van statisch te blijven tussen certificeringscycli.

Of het nu gaat om kwaliteit, veiligheid, cyberbeveiliging, voedselveiligheid, energiebeheer of naleving van regelgeving: het doel waarvoor elke ISO-norm is ontworpen, was hetzelfde: operationele controle creëren door middel van gestructureerde managementsystemen die de intentie van het bestuur koppelen aan de operationele praktijk.

Die doelstelling is vandaag de dag nog net zo relevant als toen elke norm voor het eerst werd ontwikkeld. Wat is veranderd, is niet de doelstelling. Wat is veranderd, is de operationele omgeving waarin die managementsystemen die doelstelling moeten verwezenlijken.

In moderne operationele omgevingen is het niet langer mogelijk om de doelstellingen van het bestuur om te zetten in de operationele praktijk via onafhankelijke beheerssystemen die af en toe informatie uitwisselen. De operationele praktijk die deze systemen moeten aansturen, is te sterk onderling verbonden, te dynamisch en te complex geworden om met afzonderlijke bestuursdisciplines de controle te behouden waarvoor hun normen oorspronkelijk waren ontworpen.

De verborgen kosten van versnipperd bestuur

De meeste organisaties hebben niet meteen door dat er sprake is van versnippering op het gebied van governance, omdat elk afzonderlijk systeem op zichzelf genomen correct lijkt te functioneren.

Audits worden met succes afgerond en leveren aanvaardbare bevindingen op. Corrigerende maatregelen worden via governancesystemen bijgehouden en formeel afgesloten. Beleidsdocumenten worden goedgekeurd en bijgehouden in documentbeheersystemen. Dashboards genereren rapporten die bevestigen dat er op elk domein governanceactiviteiten plaatsvinden. De certificeringsstatus wordt voor alle toepasselijke normen gehandhaafd. De afzonderlijke governancefuncties vervullen hun taken bekwaam en consistent.

Maar ondanks deze ogenschijnlijk goede prestaties op het gebied van governance op domeinniveau neemt de operationele zichtbaarheid geleidelijk af, op manieren die geen enkele afzonderlijke governancefunctie vanuit haar eigen perspectief kan opmerken, omdat de hiaten in de zichtbaarheid zich tussen de functies bevinden en niet binnen de functies zelf.

Een verslechtering van de kwaliteitsprestaties van een leverancier, die via kwaliteitsbeheerprocessen wordt vastgesteld, leidt tot blootstelling aan voedselveiligheidsrisico’s voordat het voedselveiligheidsbeheersysteem is aangepast aan het gewijzigde risicoprofiel van de leverancier. Uit onderzoek naar een veiligheidsincident blijkt dat er sprake is van instabiliteit in een operationeel proces, wat tevens leidt tot blootstelling aan nalevings- en milieurisico’s op manieren die noch het veiligheidsteam, noch de nalevings- of milieuteams vanuit hun eigen beheerssystemen kunnen waarnemen. Een afwijking in energie-efficiëntie wijst op een verslechtering van de prestaties van apparatuur die tegelijkertijd de productiekwaliteit beïnvloedt en onderhoudsveiligheidsrisico’s met zich meebrengt, die de besturingssystemen voor energie, kwaliteit en veiligheid elk slechts gedeeltelijk kunnen waarnemen vanuit hun eigen perspectief. Een cyberbeveiligingsincident legt kwetsbaarheden in de operationele technologie bloot die gevolgen hebben voor de veiligheid, de operationele continuïteit en de naleving van regelgeving, terwijl het ISMS niet is ontworpen om te koppelen aan de andere besturingssystemen die hierop moeten reageren.

Elk signaal komt terecht bij een bestuursfunctie. Elke bestuursfunctie reageert binnen haar eigen domein. Geen van de functies heeft inzicht in het volledige patroon dat uit de gecombineerde signalen naar voren komt, omdat de bestuursarchitectuur is ontworpen met het oog op domeinisolatie in plaats van domeinoverschrijdende informatieverwerking.

Het ontbreekt de organisatie niet aan bestuur. Wat ontbreekt, is de afstemming tussen bestuurssignalen die samen de operationele realiteit blootleggen die geen enkel afzonderlijk bestuurssysteem op eigen kracht kan overzien.

Webinar: Houd controle over documenten, vaardigheden en training

Leer hoe je een conform en efficiënt systeem opzet zonder complexiteit

Webinar: Houd controle over documenten

De operationele complexiteit komt in verschillende disciplines steeds meer op één lijn

Het bestuursisolatiemodel, dat organisaties in eenvoudigere operationele omgevingen goed van dienst was, sluit steeds minder aan bij de operationele realiteit waarmee moderne ondernemingen daadwerkelijk worden geconfronteerd.

Operationele risico’s zijn binnen de verschillende governance-disciplines zodanig naar elkaar toe gegroeid dat de grenzen tussen deze disciplines als governance-concepten steeds kunstmatiger worden en als operationele blinde vlekken steeds ingrijpender.

Een kwaliteitsfout leidt tot een nalevingsrisico wanneer deze verband houdt met wettelijke rapportageverplichtingen, traceerbaarheidseisen of gevolgen op het gebied van productaansprakelijkheid die zich tegelijkertijd over meerdere rechtsgebieden uitstrekken. Een cyberincident beïnvloedt de operationele continuïteit wanneer het productieprocessen, de integratie van de toeleveringsketen of de infrastructuur voor bedrijfsresourceplanning zodanig aantast dat er naast de onmiddellijke gevolgen voor de informatiebeveiliging ook gevolgen ontstaan op het gebied van kwaliteit, veiligheid en milieu. Een veiligheidsincident legt procesinstabiliteit bloot die gevolgen heeft voor de kwaliteit, naleving en mogelijk ook het milieu, en die een gecoördineerde aanpak vereist waarbij meerdere bestuursfuncties betrokken zijn, in plaats van een geïsoleerd onderzoek binnen het veiligheidsbeheersysteem. Milieublootstelling beïnvloedt in toenemende mate het vertrouwen van investeerders en de relaties binnen de toeleveringsketen op manieren die financiële, commerciële en operationele gevolgen hebben die veel verder reiken dan het eigen bestuursdomein van het milieubeheersysteem. Energie-instabiliteit beïnvloedt de operationele prestaties rechtstreeks op manieren die tegelijkertijd gevolgen hebben voor de productiekwaliteit, de kostenstructuur en het milieu.

Deze convergentie is geen tijdelijke operationele situatie die geavanceerdere individuele bestuurssystemen uiteindelijk zelfstandig zullen kunnen beheersen. Het is een structureel kenmerk van moderne operationele omgevingen dat de toenemende onderlinge verwevenheid weerspiegelt van toeleveringsketens, regelgevingskaders, technologiesystemen en de verwachtingen van belanghebbenden, die bepalend zijn voor de manier waarop grote organisaties daadwerkelijk functioneren.

De toekomst van bedrijfsbestuur draait dan ook niet om het ontwikkelen van betere afzonderlijke beheerssystemen voor elke ISO-norm.

Het gaat erom de informatie die al deze systemen genereren te bundelen tot één samenhangend operationeel overzicht, waardoor de organisatie haar daadwerkelijke operationele realiteit kan overzien en aansturen, in plaats van de gefragmenteerde versie op domeinniveau die door afzonderlijke besturingssystemen wordt geproduceerd.

De overgang van compliancebeheer naar operationele intelligentie

Dit is het punt waarop toonaangevende organisaties hun bestuursarchitectuur beginnen aan te passen op een manier die een fundamentele strategische verschuiving inhoudt, in plaats van een stapsgewijze verbetering van de prestaties van afzonderlijke bestuurssystemen.

In plaats van ISO-normen te beschouwen als op zichzelf staande nalevingskaders die af en toe informatie moeten uitwisselen, transformeren toonaangevende organisaties deze tot één samenhangende operationele bestuursarchitectuur, waarin de informatie die elke norm genereert voortdurend als input dient voor alle andere normen.

ISO 9001 wordt operationele kwaliteitsinformatie die kwaliteitssignalen doorgeeft aan de risicobeoordeling, corrigerende maatregelen en het managementtoezicht binnen de hele onderneming, in plaats van alleen de naleving van kwaliteitsnormen te beheren binnen de kwaliteitsmanagementfunctie. ISO 14001 wordt operationele milieu-informatie die blootstelling aan milieurisico’s koppelt aan operationele beslissingen, het beheer van de toeleveringsketen en bedrijfsrisicobeheer, in plaats van het handhaven van naleving van milieuwetgeving binnen de milieubeheerfunctie. ISO 45001 wordt informatie over de veiligheid van het personeel die voortdurend vorm geeft aan operationele beslissingen, het beheer van aannemers en de productieplanning, in plaats van het beheren van veiligheidsincidenten en inspecties binnen de veiligheidsbeheerfunctie. ISO 27001 wordt cyberoperationele intelligentie die bedrijfsrisicobeheer, planning van operationele continuïteit en het beheer van derde partijen ondersteunt, in plaats van beveiligingsmaatregelen te beheren binnen de IT-beveiligingsfunctie. ISO 50001 wordt energie-operationele intelligentie die operationele beslissingen, productieplanning en duurzaamheidsbeheer aanstuurt, in plaats van energieverbruik te rapporteren binnen de energiebeheerfunctie. ISO 37301 wordt operationele governance-informatie die voortdurend de blootstelling aan regelgeving in verschillende rechtsgebieden en operationele processen bewaakt, in plaats van het beheren van nalevingsdocumentatie binnen de compliancefunctie.

Samen functioneren deze systemen niet langer als afzonderlijke compliance-lagen die domeinspecifieke governance-activiteiten bevestigen. Ze vormen één gecoördineerd systeem voor operationele intelligentie dat voortdurend signalen genereert, koppelt en erop reageert; signalen die bepalen of de organisatie daadwerkelijk grip heeft op haar operationele realiteit.

policy-compliance-standards-concept-with-hand-selecting-checklist-document-icon (1).jpg

Waarom orkestratie alles verandert

De echte uitdaging binnen moderne ondernemingen is niet langer het ontbreken van governancegegevens of de ontoereikendheid van afzonderlijke beheersystemen.

Het is het ontbreken van een samenhangend operationeel overzicht over de verschillende governance-signalen, die los van elkaar bestaan in systemen die nooit zijn ontworpen om elkaar te informeren.

Organisaties beschikken al over audits, inspecties, CAPA-workflows, risicobeoordelingen, procedures, dashboards en bewijsmateriaal inzake naleving op meerdere governancegebieden. De investering in de governance-infrastructuur is aanzienlijk en de governanceactiviteiten die hierdoor worden ondersteund, zijn reëel. Waar organisaties echter steeds meer moeite mee hebben, is te begrijpen hoe de signalen die door elk afzonderlijk governancesysteem worden gegenereerd, de operationele realiteit in de andere systemen beïnvloeden en wat het gecombineerde patroon van die signalen onthult over de bedrijfsbrede operationele blootstelling die geen enkel afzonderlijk systeem kan waarnemen.

Op dit punt wordt orkestratie van strategisch cruciaal belang, op manieren die geen enkele verbetering van de prestaties van afzonderlijke bestuurssystemen kan evenaren.

Wanneer auditbevindingen uit welk governancegebied dan ook op dynamische wijze invloed uitoefenen op de risiconiveaus van de onderneming in alle relevante risicobeheerprocessen, worden systemische operationele patronen veel eerder zichtbaar dan dat een domeinspecifiek governancesysteem deze op eigen kracht zou kunnen detecteren. Een patroon dat onzichtbaar blijft wanneer auditbevindingen op het gebied van kwaliteit, veiligheid en compliance in afzonderlijke systemen worden beheerd, wordt duidelijk zichtbaar wanneer die bevindingen binnen één governancearchitectuur met elkaar worden verbonden.

Wanneer corrigerende werkprocessen de effectiviteit voortdurend valideren binnen meerdere bestuursdomeinen, in plaats van alleen de administratieve afhandeling binnen afzonderlijke systemen te bevestigen, versnelt het leerproces van de organisatie op een manier die zich over de gehele bestuursarchitectuur verspreidt. Een les die is geleerd op het gebied van kwaliteitsmanagement is van invloed op het veiligheidsbeheer. Een corrigerende maatregel die is afgerond in het milieubeheer beïnvloedt het energiebeheer. De organisatie krijgt steeds meer inzicht in haar eigen operationele kwetsbaarheden, in plaats van deze herhaaldelijk afzonderlijk op te lossen binnen afzonderlijke bestuurssystemen.

Wanneer operationele procedures die via documentbeheer worden geregeld, zich voortdurend ontwikkelen in het licht van operationele, regelgevende en omgevingsveranderingen die zich gelijktijdig in alle domeinen voordoen, blijft het beheer afgestemd op de operationele realiteit, in plaats van een beschrijving te geven van de historische configuraties die elk domein hanteerde op het moment van de laatste geplande documentherziening.

Op dat moment houdt governance op te functioneren als een gefragmenteerd bestuurssysteem dat nalevingsactiviteiten op domeinniveau controleert. Het wordt een gecoördineerde bedrijfsvoering die voortdurend sturing geeft aan de operationele realiteit die de organisatie daadwerkelijk creëert.

De opkomst van de intelligente QHSE-coördinator

Deze ontwikkeling in de richting van gecoördineerd bestuur vormt de basis voor de volgende generatie van operationeel bedrijfsbeheer en betekent een fundamenteel andere benadering van de functie waarvoor een bestuursplatform is ontworpen.

De organisaties die deze transitie aansturen, zijn niet op zoek naar nog een losstaand managementinstrument dat één extra governancegebied afzonderlijk aanpakt. Ze zijn niet op zoek naar nog een geïsoleerde ISO-module die de nalevingsprestaties op domeinniveau verbetert zonder aansluiting op de andere domeinen die signalen genereren die gezamenlijk de operationele blootstelling van de onderneming bepalen. Ze zijn niet op zoek naar nog een rapportagelaag die historische governanceactiviteiten uit afzonderlijke systemen samenvoegt tot een uniform dashboard dat net zo losstaat van de operationele realiteit als de systemen die het samenvoegt.

Ze zijn op zoek naar één gestuurde operationele ruggengraat die in staat is om risicobeoordeling, auditprogramma’s, corrigerende maatregelen, compliance-beheer, veiligheidsbeheer, kwaliteitsinformatie, milieutoezicht en energieprestaties continu te coördineren over alle vestigingen, bedrijfsonderdelen en rechtsgebieden heen, binnen één samenhangende architectuur die bedrijfsgovernance beschouwt als één geïntegreerde operationele discipline in plaats van als een verzameling onafhankelijke complianceverplichtingen per domein.

Dit is de ontwikkeling van reactief compliancebeheer naar operationele intelligentie, en het vormt een strategisch keerpunt voor organisaties die beseffen dat het bestuursmodel dat hen in eenvoudigere operationele omgevingen goed van pas kwam, zijn grenzen bereikt in de onderling verbonden, complexe en snel veranderende omgevingen waarin zij nu actief zijn.

Hier verandert de rol van platforms zoals Bizzmine ingrijpend.

Bizzmine is niet bedoeld om afzonderlijke governance-workflows binnen individuele compliance-domeinen efficiënter te beheren. Het is ontworpen om de bedrijfsgovernance zelf te coördineren, door de signalen, de processen, de verantwoordelijkheden en de informatie die momenteel in afzonderlijke governancesystemen zijn ondergebracht, te bundelen tot één operationele ruggengraat die voortdurend de daadwerkelijke bedrijfsrisico’s beheert, in plaats van alleen de compliance-activiteiten op domeinniveau te controleren.

Van meerdere standaarden naar één operationeel systeem

Organisaties die ISO-normen blijven beheren als afzonderlijke bestuursdisciplines, zullen te maken krijgen met steeds grotere operationele gevolgen van de versnippering die dit model met zich meebrengt, naarmate hun operationele omgevingen complexer en onderling meer verweven worden.

Ze zullen de domeinoverschrijdende patronen die hun belangrijkste operationele risico’s vertegenwoordigen, blijven missen, omdat elk patroon alleen zichtbaar is voor de governancefunctie die slechts een deel ervan ziet, in plaats van voor het bedrijfsmanagement dat het geheel moet overzien. Ze zullen binnen verschillende functies dubbel werk blijven verrichten op het gebied van governance, omdat elke discipline haar eigen risicobeoordelingen, processen voor corrigerende maatregelen en structuren voor documentbeheer handhaaft, zonder aansluiting te zoeken bij de andere disciplines die hetzelfde operationele terrein bestrijken vanuit een ander domeinperspectief. Ze zullen te maken blijven krijgen met de blinde vlekken in de governance die zich juist vormen op de raakvlakken tussen governance-domeinen – en dat zijn in toenemende mate de plekken waar de meest ingrijpende operationele risico’s ontstaan.

De organisaties die de ISO-normen als één samenhangend operationeel bestuurssysteem coördineren, zullen iets bereiken dat fundamenteel verschilt van de som van betere individuele nalevingsprestaties per norm.

Ze zullen het vermogen verwerven om hun eigen operationele realiteit helder genoeg te doorgronden om deze te kunnen sturen. Ze zullen het vermogen verwerven om de domeinoverschrijdende patronen te herkennen die hun belangrijkste bedrijfsrisico’s vertegenwoordigen, nog voordat die patronen operationele gevolgen hebben. Ze zullen beschikken over een governance-architectuur die steeds effectiever wordt naarmate de operationele complexiteit toeneemt, in plaats van steeds meer gefragmenteerd te raken. Ze zullen continu toezicht krijgen op de bedrijfsrisico’s, de operationele prestaties en de organisatorische veerkracht – iets wat geen enkele verzameling van geïsoleerde governancesystemen, hoe goed die afzonderlijk ook worden beheerd, kan bieden.

In steeds complexere bedrijfsomgevingen is die voortdurend beschikbare, onderling verbonden governance-informatie niet zomaar een van de belangrijkste operationele voordelen die een organisatie kan opbouwen.

Het vormt in toenemende mate de basis waarop daadwerkelijke operationele controle berust.

Veelgestelde vragen

Omdat de operationele risico’s die deze systemen moeten beheersen, niet langer binnen de grenzen blijven waarvoor ze zijn ontworpen. Kwaliteitstekortkomingen leiden tot nalevingsrisico’s. Cyberincidenten hebben gevolgen voor de bedrijfscontinuïteit en de veiligheid. Blootstelling aan milieurisico’s heeft financiële gevolgen en gevolgen voor de toeleveringsketen. Veiligheidsincidenten brengen procesinstabiliteit aan het licht die tegelijkertijd van invloed is op kwaliteit, naleving en milieuprestaties. Wanneer governancesystemen geïsoleerd zijn, zijn de domeinoverschrijdende patronen die de belangrijkste bedrijfsrisico’s vertegenwoordigen voor geen enkele afzonderlijke governancefunctie zichtbaar, omdat elke functie slechts het deel van het patroon binnen haar eigen domein ziet.

Het is één samenhangende operationele architectuur die governance, risicobeheer, corrigerende maatregelen en operationele uitvoering continu over alle governance-domeinen heen coördineert, in plaats van elk domein afzonderlijk te beheren via afzonderlijke systemen die af en toe informatie uitwisselen. Een operationele governance-backbone beschouwt bedrijfsbrede governance als één geïntegreerde discipline, waarbij de informatie die wordt gegenereerd door processen op het gebied van kwaliteit, veiligheid, milieu, compliance, cyberbeveiliging en energiebeheer voortdurend alle andere processen voedt en gezamenlijk de operationele realiteit stuurt, in plaats van dat nalevingsactiviteiten op domeinniveau afzonderlijk worden gecontroleerd.

Omdat de operationele signalen die bedrijfsbrede risico’s aan het licht brengen, verspreid zijn over governance-domeinen die nooit zijn ontworpen om continu informatie uit te wisselen. Orchestration brengt deze signalen samen tot één samenhangend beeld van operationele intelligentie, waardoor het management de patronen kan zien die bepalend zijn voor de daadwerkelijke blootstelling van de onderneming, in plaats van de compliance-overzichten op domeinniveau die geïsoleerde governancesystemen opleveren. De waarde van orchestration ligt niet in het verbeteren van afzonderlijke governance-systemen. Het creëert juist een governance-capaciteit die geen enkele verzameling van geïsoleerde afzonderlijke systemen kan bieden, ongeacht hoe goed elk systeem afzonderlijk wordt beheerd.

Bizzmine fungeert als de intelligente QHSE-coördinator en verbindt bestuursprocessen, operationele workflows, corrigerende maatregelen, risicobeheer en bedrijfstoezicht tot één gereguleerde operationele ruggengraat, waarin kwaliteit, veiligheid, milieu, compliance, cyberbeveiliging en energiebeheer als één geïntegreerde discipline functioneren in plaats van als afzonderlijke compliancefuncties. Bizzmine is niet ontworpen om afzonderlijke governance-workflows binnen afzonderlijke domeinen efficiënter te beheren, maar om de bedrijfsgovernance zelf te coördineren. Hierdoor ontstaat de verbonden operationele intelligentie waarmee organisaties hun daadwerkelijke operationele realiteit kunnen sturen in plaats van hun compliance-activiteiten op domeinniveau.

Bekijk onze gerelateerde bronnen

Platform Iso 9001
Waarom ISO 50001-certificering de energiekosten niet verlaagt
Platform Iso 9001
De overgang van ISO 14001-certificering naar voortdurende naleving
Platform Iso 9001
Hoe risicogebaseerd denken in ISO 9001 te integreren
Platform Iso 9001
Waarom ISO 9001-certificering niet voldoende is
Platform Iso 9001
De regelgeving verandert. Kunt u de impact op al uw vestigingen beoordelen?

Klaar om uw kwaliteits- en EHS-processen te transformeren?

Sluit u aan bij honderden organisaties die hun compliance en veiligheid naar een hoger niveau tillen met Bizzmine.

Vraag een demo aan
Mockup Bizzmine 2-klein.png