KS-system og ISO 9001 er to begreper som ofte brukes om hverandre, men de er ikke synonyme. Forvirring rundt forskjellen koster norske SMB-er tid og penger — enten ved å overinvestere i sertifisering man ikke trenger, eller ved å undervurdere kravene fra kunde eller offentlig anbud.
Denne artikkelen forklarer hva hver av dem er, hvor de overlapper, og hvilket valg som er rett for ulike situasjoner.
KS-system: kort og praktisk
KS-system står for "kvalitetssikringssystem". Det er et samlebegrep — ikke en spesifikk standard. Et KS-system er strengt tatt enhver dokumentert måte å sikre at virksomheten leverer kvalitet konsistent.
I norsk praksis brukes KS-system særlig i:
- Byggebransjen (krav i Plan- og bygningsloven og internkontrollforskriften)
- Helse- og omsorgssektoren (krav i forskrift om ledelse og kvalitetsforbedring)
- Offentlige innkjøp (ofte stilt som dokumentasjonskrav)
- HMS-relatert arbeid (HMS-forskriften)
Et KS-system inneholder typisk:
- Beskrivelse av kjerneprosesser
- Ansvarsfordeling
- Avviksbehandling
- Korrektive tiltak
- Kvalitetsoppfølging
Det finnes ikke én enhetlig "KS-standard" — innholdet varierer avhengig av bransje og lovkrav. Forskjellige bransjeorganisasjoner har egne maler og veiledere.
ISO 9001: internasjonal standard
ISO 9001 er en internasjonal kvalitetsstandard utgitt av International Organization for Standardization. Den definerer krav til et "kvalitetsstyringssystem" og kan sertifiseres av akkrediterte sertifiseringsorgan.
ISO 9001:2015-versjonen — som er gjeldende — bygger på syv kvalitetsprinsipper:
- Kundefokus
- Lederskap
- Engasjement fra medarbeidere
- Prosesstilnærming
- Forbedring
- Faktabasert beslutningstaking
- Relasjonsstyring
Standarden krever blant annet:
- Dokumentert kvalitetspolitikk og kvalitetsmål
- Risikobasert tenkning gjennom hele virksomheten
- Prosess-beskrivelser for kjerneprosesser
- Internrevisjon
- Ledelsens gjennomgang
- Korrektive tiltak
Sertifisering involverer ekstern revisjon, og må fornyes løpende.
Hvor overlapper de?
Det er betydelig overlapp, særlig på prosess-dokumentasjon. Et selskap som har gjort grundig arbeid med ISO 9001 vil typisk dekke det meste av et KS-system-krav. Et selskap som har et godt utviklet KS-system har et godt utgangspunkt for ISO-sertifisering, selv om det krever ekstra strukturering.
Den viktigste overlappen:
- Prosess-kartlegging: Begge krever at du kan vise hvordan kjerneprosessene fungerer.
- Avviksbehandling: Begge krever at avvik registreres, analyseres, og at korrektive tiltak iverksettes.
- Ansvarsfordeling: Begge krever klar definisjon av roller og ansvar.
Hvor er de forskjellige?
Sertifisering
ISO 9001 kan sertifiseres av tredjepart. KS-system kan ikke "sertifiseres" på samme måte — det dokumenteres og inspiseres, eventuelt revideres internt, men det finnes ingen formell global akkreditering.
Risikoperspektiv
ISO 9001:2015 har et eksplisitt fokus på risikobasert tenkning gjennom hele organisasjonen. Mange KS-systemer har mindre eksplisitt risikoanalyse.
Kontinuerlig forbedring
ISO 9001 krever dokumentert forbedringsarbeid (Plan-Do-Check-Act). Mange KS-systemer har dette, men ikke alle.
Eksternt anerkjent
ISO 9001 er internasjonalt kjent og forstått. Et norsk KS-system kan være vanskeligere å forklare for utenlandske kunder eller partnere.
Når trenger du hva?
Du trenger KS-system når:
- Du leverer til offentlig sektor og dette er stilt som krav
- Du jobber i bygg-, anlegg-, helse- eller andre bransjer med lovkrav om kvalitetssikring
- Du har internkontroll-krav gjennom HMS-forskriften
Du trenger ISO 9001 når:
- Internasjonal kunde stiller det som krav
- Det er bransjenorm i din sektor (mange offentlige anbud, eksportrettede bransjer)
- Du selger til større selskap som krever det av sin leverandørkjede
- Du vil bruke det som en strukturert måte å forbedre kvalitetsarbeidet
Du trenger begge når:
- Du selger i Norge og internasjonalt
- Du har spesifikke lovkrav (KS) og kundekrav (ISO)
Praktiske overlapp i dokumentasjonen
Hvis du må gjøre begge — eller én av dem og vil ha mulighet for å bygge videre — er det fornuftig å bygge på en felles base:
- Prosess-kartlegging med BPMN eller tilsvarende notasjon. Brukes i begge. For en innføring i BPMN, se denne artikkelen.
- Risikoregister koblet til prosessene. Brukes i ISO og er nyttig i KS.
- Kontrollregister med tiltak per prosess. Brukes i begge, men strukturen er ofte litt forskjellig.
- Avviksregister med definert flyt. Begge krever det.
- Roller og ansvarsmatrise (RACI). Brukes i begge. Mer om RACI her.
Hva mange undervurderer
Tre vanlige feilforståelser:
- "Vi har ISO 9001, så vi har et KS-system." Det stemmer ofte, men ikke alltid. Hvis ditt KS-krav kommer fra en spesifikk bransje, kan det være ekstra krav (eksempelvis sikkerhets-spesifikke kontroller i bygg) som ISO ikke dekker.
- "Det er for tungt for oss." ISO 9001:2015 er bevisst skalerbar. Du kan implementere den i en SMB med 10 ansatte uten å overstyre virksomheten. Det krever bare disiplinert dokumentasjon, ikke et eget kvalitetsavdeling.
- "Det er bare papirarbeid." Hvis det blir det, har du implementert det feil. Et fungerende kvalitetssystem skal være levende — brukes i daglig arbeid, ikke bare under revisjon.
Hva NorthControl typisk leverer
For selskap som starter på ISO 9001 eller bygger ut et KS-system, dekker vi prosess-kartlegging og kontrollregister-delen. Resten — kvalitetspolitikk, intern revisjon, ledelsens gjennomgang — sitter selskapet selv eller deres kvalitetskonsulent ofte best i.
Se pakkene eller eksempel-leveransen.
Oppsummering
KS-system og ISO 9001 deler grunnleggende DNA, men er ikke det samme. Velg basert på hvem som krever det av deg og hvilken internasjonal eksponering du har. Hvis du er usikker, start med ordentlig prosess-kartlegging — det er fundamentet for begge, og det er ofte den manglende byggesteinen som hindrer sertifisering eller godkjenning.