·Audun Martinussen

KS-system og ISO 9001 — forskjell og praktisk overlapp

Mange forveksler KS-system og ISO 9001. De er beslektet, men ikke det samme. Her er hva de hver er, hvor de overlapper, og når du faktisk trenger det ene eller andre.

KS-system og ISO 9001 er to begreper som ofte brukes om hverandre, men de er ikke synonyme. Forvirring rundt forskjellen koster norske SMB-er tid og penger — enten ved å overinvestere i sertifisering man ikke trenger, eller ved å undervurdere kravene fra kunde eller offentlig anbud.

Denne artikkelen forklarer hva hver av dem er, hvor de overlapper, og hvilket valg som er rett for ulike situasjoner.

KS-system: kort og praktisk

KS-system står for "kvalitetssikringssystem". Det er et samlebegrep — ikke en spesifikk standard. Et KS-system er strengt tatt enhver dokumentert måte å sikre at virksomheten leverer kvalitet konsistent.

I norsk praksis brukes KS-system særlig i:

  • Byggebransjen (krav i Plan- og bygningsloven og internkontrollforskriften)
  • Helse- og omsorgssektoren (krav i forskrift om ledelse og kvalitetsforbedring)
  • Offentlige innkjøp (ofte stilt som dokumentasjonskrav)
  • HMS-relatert arbeid (HMS-forskriften)

Et KS-system inneholder typisk:

  1. Beskrivelse av kjerneprosesser
  2. Ansvarsfordeling
  3. Avviksbehandling
  4. Korrektive tiltak
  5. Kvalitetsoppfølging

Det finnes ikke én enhetlig "KS-standard" — innholdet varierer avhengig av bransje og lovkrav. Forskjellige bransjeorganisasjoner har egne maler og veiledere.

ISO 9001: internasjonal standard

ISO 9001 er en internasjonal kvalitetsstandard utgitt av International Organization for Standardization. Den definerer krav til et "kvalitetsstyringssystem" og kan sertifiseres av akkrediterte sertifiseringsorgan.

ISO 9001:2015-versjonen — som er gjeldende — bygger på syv kvalitetsprinsipper:

  1. Kundefokus
  2. Lederskap
  3. Engasjement fra medarbeidere
  4. Prosesstilnærming
  5. Forbedring
  6. Faktabasert beslutningstaking
  7. Relasjonsstyring

Standarden krever blant annet:

  • Dokumentert kvalitetspolitikk og kvalitetsmål
  • Risikobasert tenkning gjennom hele virksomheten
  • Prosess-beskrivelser for kjerneprosesser
  • Internrevisjon
  • Ledelsens gjennomgang
  • Korrektive tiltak

Sertifisering involverer ekstern revisjon, og må fornyes løpende.

Hvor overlapper de?

Det er betydelig overlapp, særlig på prosess-dokumentasjon. Et selskap som har gjort grundig arbeid med ISO 9001 vil typisk dekke det meste av et KS-system-krav. Et selskap som har et godt utviklet KS-system har et godt utgangspunkt for ISO-sertifisering, selv om det krever ekstra strukturering.

Den viktigste overlappen:

  • Prosess-kartlegging: Begge krever at du kan vise hvordan kjerneprosessene fungerer.
  • Avviksbehandling: Begge krever at avvik registreres, analyseres, og at korrektive tiltak iverksettes.
  • Ansvarsfordeling: Begge krever klar definisjon av roller og ansvar.

Hvor er de forskjellige?

Sertifisering

ISO 9001 kan sertifiseres av tredjepart. KS-system kan ikke "sertifiseres" på samme måte — det dokumenteres og inspiseres, eventuelt revideres internt, men det finnes ingen formell global akkreditering.

Risikoperspektiv

ISO 9001:2015 har et eksplisitt fokus på risikobasert tenkning gjennom hele organisasjonen. Mange KS-systemer har mindre eksplisitt risikoanalyse.

Kontinuerlig forbedring

ISO 9001 krever dokumentert forbedringsarbeid (Plan-Do-Check-Act). Mange KS-systemer har dette, men ikke alle.

Eksternt anerkjent

ISO 9001 er internasjonalt kjent og forstått. Et norsk KS-system kan være vanskeligere å forklare for utenlandske kunder eller partnere.

Når trenger du hva?

Du trenger KS-system når:

  • Du leverer til offentlig sektor og dette er stilt som krav
  • Du jobber i bygg-, anlegg-, helse- eller andre bransjer med lovkrav om kvalitetssikring
  • Du har internkontroll-krav gjennom HMS-forskriften

Du trenger ISO 9001 når:

  • Internasjonal kunde stiller det som krav
  • Det er bransjenorm i din sektor (mange offentlige anbud, eksportrettede bransjer)
  • Du selger til større selskap som krever det av sin leverandørkjede
  • Du vil bruke det som en strukturert måte å forbedre kvalitetsarbeidet

Du trenger begge når:

  • Du selger i Norge og internasjonalt
  • Du har spesifikke lovkrav (KS) og kundekrav (ISO)

Praktiske overlapp i dokumentasjonen

Hvis du må gjøre begge — eller én av dem og vil ha mulighet for å bygge videre — er det fornuftig å bygge på en felles base:

  1. Prosess-kartlegging med BPMN eller tilsvarende notasjon. Brukes i begge. For en innføring i BPMN, se denne artikkelen.
  1. Risikoregister koblet til prosessene. Brukes i ISO og er nyttig i KS.
  1. Kontrollregister med tiltak per prosess. Brukes i begge, men strukturen er ofte litt forskjellig.
  1. Avviksregister med definert flyt. Begge krever det.
  1. Roller og ansvarsmatrise (RACI). Brukes i begge. Mer om RACI her.

Hva mange undervurderer

Tre vanlige feilforståelser:

  1. "Vi har ISO 9001, så vi har et KS-system." Det stemmer ofte, men ikke alltid. Hvis ditt KS-krav kommer fra en spesifikk bransje, kan det være ekstra krav (eksempelvis sikkerhets-spesifikke kontroller i bygg) som ISO ikke dekker.
  1. "Det er for tungt for oss." ISO 9001:2015 er bevisst skalerbar. Du kan implementere den i en SMB med 10 ansatte uten å overstyre virksomheten. Det krever bare disiplinert dokumentasjon, ikke et eget kvalitetsavdeling.
  1. "Det er bare papirarbeid." Hvis det blir det, har du implementert det feil. Et fungerende kvalitetssystem skal være levende — brukes i daglig arbeid, ikke bare under revisjon.

Hva NorthControl typisk leverer

For selskap som starter på ISO 9001 eller bygger ut et KS-system, dekker vi prosess-kartlegging og kontrollregister-delen. Resten — kvalitetspolitikk, intern revisjon, ledelsens gjennomgang — sitter selskapet selv eller deres kvalitetskonsulent ofte best i.

Se pakkene eller eksempel-leveransen.

Oppsummering

KS-system og ISO 9001 deler grunnleggende DNA, men er ikke det samme. Velg basert på hvem som krever det av deg og hvilken internasjonal eksponering du har. Hvis du er usikker, start med ordentlig prosess-kartlegging — det er fundamentet for begge, og det er ofte den manglende byggesteinen som hindrer sertifisering eller godkjenning.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.