Er dere klare for ISO-sertifisering?
Erfaringen vår er at vekstbedrifter sjelden får avvik på en ISO-revisjon fordi de jobber dårlig. Avvikene kommer fordi rutinene ligger i hoder, e-poster og regneark, ikke i ett system hele bedriften bruker. En revisjon er ingen eksamen, men en sjekk om strukturen henger sammen. Her er de 12 punktene en revisor går etter, og hvor veksten gjør dem vanskeligst.
En sjekkliste for ISO-sertifisering blir aktuell når en kunde krever ISO i anbudet, eller når et styre vil profesjonalisere driften før neste vekstfase. Da blir det tydelig at det å jobbe bra ikke er det samme som å kunne bevise det.
Denne sjekklisten for ISO-sertifisering går gjennom de 12 områdene som går igjen på tvers av standardene de tre ledelsesstandardene, ISO 9001 (kvalitet), 14001 (miljø) og 45001 (arbeidsmiljø), som deler samme grunnstruktur (klausul 4–10). De fleste kravene sitter på samme klausul i alle tre, et par av dem er plassert litt ulikt, og da har vi notert hvor. Gå gjennom dem ærlig punkt for punkt, kan dere svare ja og vise dokumentasjonen?
Sjekkliste for ISO-sertifisering: de 12 punktene og snublesteinene
Klausul 4.2
1. Vet dere hvem som stiller krav til dere?
Revisor vil se at dere har kartlagt kunder, myndigheter og andre som påvirker driften, og hva de faktisk krever. Da dere var små, satt denne oversikten i hodet på daglig leder. Etter hvert som dere har vokst, er det ingen som lenger har den samlet ett sted, og det er nettopp en samlet, dokumentert oversikt revisor ber om.
Klausul 5.2 & 6.2
2. Har dere målbare mål, ikke bare en policy på veggen?
Kvalitets- og HMS-mål skal være konkrete, målbare og fulgt opp med ansvarlig og frist. Hos mange finnes policyen, men målene er vage og ingen eier oppfølgingen – og da har dere en intensjon, ikke et mål revisor kan etterprøve.
Klausul 5.3
3. Er roller og ansvar dokumentert?
Hvem som eier hva i styringssystemet skal være tildelt og kommunisert. «Alle vet jo hvem som gjør hva» holder så lenge dere er en håndfull ansatte, men når dere har rundet 50–100 ansatte og revisor ber om det skriftlig, faller den uskrevne fordelingen fra hverandre.
Klausul 6.1 & 6.1.2
4. Har dere en strukturert risikovurdering?
Både overordnede risikoer og muligheter (6.1) og konkrete farevurderinger i arbeidsmiljøet (6.1.2 i 45001) skal vurderes systematisk, med tiltak som følges opp. Den vanligste svakheten er at risiko først håndteres når noe smeller – reaktivt, og uten at vurderingene er sporbare i ettertid.
Klausul 6.1.3 · ISO 14001 & 45001
5. Har dere oversikt over lov- og samsvarskrav?
Hvilke lover, forskrifter og andre krav gjelder for dere, hvem følger dem opp, og når ble de sist vurdert? Dette er et eget klausulkrav i 14001 og 45001, mens 9001 dekker lovkravene mer indirekte gjennom produkt- og tjenestekravene. Typisk snublestein er at lovlista er et Word-dokument som ingen har oppdatert på to år.
Klausul 7.2
6. Vet dere hvem som mangler hvilken kompetanse, og når sertifikater utløper?
Revisor sjekker at riktig folk har riktig kompetanse, dokumentert og oppdatert. Problemet melder seg ofte først ved revisjonen. Sertifikater går ut uten at noen oppdager det, fordi ingen har en samlet oversikt over hvem som har hva, og når det utløper.
Klausul 7.5
7. Jobber alle i siste versjon?
Versjonskontroll, godkjenning og distribusjon av dokumenter skal sikre at gjeldende versjon alltid er den alle faktisk bruker. Dette er voksesmerte nummer én, fem versjoner av samme prosedyre spredt i SharePoint, e-post og på skrivebordet. Kjenner dere igjen «Ctrl+F» som metode, er dette punktet deres.
Klausul 8.1
8. Er «fast praksis» bygget inn i jobben, eller lever den i en perm?
Sjekklister og styrt arbeidsflyt skal sikre at ting gjøres likt, hver gang. Den klassiske fellen er at prosedyren finnes, men ingen følger den, fordi den ligger «på siden» av selve arbeidet i stedet for å være en del av det.
Klausul 8.4 & 8.4.1
9. Evaluerer dere leverandører systematisk?
Valg, oppfølging og evaluering av eksterne leverandører skal være dokumentert, i ISO 9001 under klausul 8.4, i 45001 under anskaffelse (8.1.4) og i ISO 14001 under driftsstyring (8.1). I praksis velges leverandører ofte på erfaring og magefølelse, uten en dokumentert vurdering revisor kan se.
Klausul 10.2
10. Går avvik fra registrering til lukking, med rotårsak?
Et avvik skal kunne følges hele veien fra registrering til granskning, tiltak, godkjenning og til slutt lukking. Når avvik i stedet meldes muntlig, blir tiltak glemt og ingenting kan dokumenteres i ettertid, og da mangler dere nettopp sporet revisor leter etter.
Klausul 9.2
11. Har dere et revisjonsprogram, ikke bare panikk før eksternrevisor?
Interne revisjoner skal være planlagt gjennom året, med kriterier, funn og oppfølging. Hos mange betyr «intern revisjon» i praksis en hektisk uke rett før den eksterne revisoren kommer, og det avslører at det er nesten som en langvarig brannøvelse, ikke en rutine.
Klausul 9.1 & 9.3
12. Samler ledelsen faktisk dataene, og handler på dem?
Ledelsen skal jevnlig gjennomgå avvik, mål, risiko og revisjonsfunn, og fatte beslutninger på grunnlaget. Når tallene ligger spredt i ulike systemer, blir gjennomgangen synsing i stedet for styring, og revisor ser raskt forskjellen.
Hvor mange kunne dere med trygghet krysse av?
10-12
Godt rigget
Grunnmuren er på plass. Bruk sjekklisten til å tette de siste hullene før revisjonen.
6-9
Noe lever utenfor system
Mye er på plass, men deler sitter fortsatt i regneark og hoder. Det er her veksten skaper risiko.
0-5
Klassiske voksesmerter
Strukturen har ikke holdt tritt med veksten. Det lar seg rette opp.
Merk: tallet er en temperaturmåler, ikke en garanti. Ett vesentlig hull, for eksempel ingen intern revisjon i det hele tatt, kan sette en stopper for sertifiseringen alene, uansett hvor mange av de andre punktene dere krysser av.
Last ned hele sjekklisten
Få de 12 punktene som utfyllbar sjekkliste dere kan ta med inn i forberedelsene, og del den med teamet.
Slik hjelper Business Online
Business Online samler dokumentstyring (kl. 7.5), avvikshåndtering (kl. 10.2), risikostyring (kl. 6.1), kvalitetskontrollplaner (kl. 8.1), leverandøroppfølging (kl. 8.4 / 8.1.4) og sertifikatsporing (kl. 7.2) i ett system, bygget på Microsoft 365. Flere av punktene over flytter dermed ut av spredte regneark og inn i selve arbeidsflyten.
Business Online gir dere ikke selve sertifikatet, det er det revisor som gjør, men det gir dere strukturen og sporbarheten som skal til for å bestå revisjonen.
Vil du se hvordan kravene henger sammen klausul for klausul, har vi dokumentert det i en egen gjennomgang. Et naturlig neste steg er å sette punktene over inn i en samsvarsmatrise, oversikten som viser hvor hvert krav er dekket.
Ofte stilte spørsmål
ISO 9001 handler om kvalitetsledelse, ISO 14001 om miljøledelse og ISO 45001 om arbeidsmiljø. De deler samme grunnstruktur (klausul 4–10), så mye av forberedelsene rundt dokumentstyring, risiko, avvik, intern revisjon og mål, er felles. Denne sjekklisten dekker det som går igjen på tvers av alle tre, med en merknad der en standard plasserer kravet annerledes.
For en små og mellomstore bedrifter tar et førstegangsløp typisk 6–12 måneder, avhengig av hvor mye struktur som allerede er på plass. Jo flere av punktene over dere kan svare ja på, desto kortere blir veien.
Nei, standardene krever ikke et bestemt verktøy, de krever at dere kan styre og dokumentere. Men i praksis er det dokumentasjonen og sporbarheten som faller fra hverandre når en voksende bedrift forsøker å holde alt i regneark og e-post. Et felles styringssystem gjør kravene enklere å oppfylle og bevise.
Fordi gode rutiner som fungerte med 10 ansatte ikke skalerer til 100 ansatte uten at de skrives ned, versjonsstyres og gjøres tilgjengelige. Revisor ser etter at dere kan vise at arbeidet gjøres systematisk og likt, hver gang, ikke bare at det blir gjort.
ISO-revisjonen er ikke en eksamen i hvor hardt dere jobber. Den er en sjekk om strukturen tåler at dere vokser.
Står dere foran sertifisering med systemene spredt?
Vi viser deg hvordan Business Online samler kvalitet, prosjekt og dokumentasjon på ett sted.
Kun 30 minutter, ingen forpliktelser.