Vandaag komt de nieuwe ISO-9001 uit, althans de FDIS (Final Draft International Standard). Als alles volgens plan verloopt wordt deze zonder wijzigingen omgezet in de definitieve norm.
Productconformiteit is een belangrijk uitgangspunt. De gecertificeerde organisatie moet aantonen dat haar product of dienst voldoet aan de wettelijke eisen en aan de eisen die klanten en de organisatie zelf daaraan stellen. Een prima zaak.
Belangrijk is ook de introductie van risicomanagement binnen de norm. De risico’s die een organisatie loopt om niet te voldoen aan de eisen moeten worden vastgesteld en gewogen. Op basis daarvan moeten beheersmaatregelen worden vastgesteld en ingevoerd. Alweer een goede zaak.

Waarom dan toch valkuilen? Welnu: bijleren is ook afleren. Alle betrokken partijen zullen eraan moeten wennen dat het de organisatie is die de risico’s bepaalt en weegt. Ook is het de organisatie die bepaalt in hoeverre en welke beheersmaatregelen noodzakelijk en effectief zijn. Dit is niet aan de norm en dus ook niet aan auditoren. Ik ben benieuwd naar de praktijk!