Ledelsens gjennomgang (The Management Review) er et svært viktig punkt i nesten enhver standard for ledelsessystemer. I akkurat dette punktet – uavhengig av tema for standarden eller bransjen bedriften befinner seg i – ligger det veldig mye kvalitetserfaring bak selve intensjonen, men dessverre også mange måter å gjennomføre det på med høy kost og liten nytte. Artikkelen skal dissekere konseptet for å begrunne en bedre vei fremover for modne selskaper med rimelig grad av generell kontroll og styringsverktøy.

Som et bakteppe er det relevant å vite at erfaringene bak denne disseksjonen kommer fra en svært moden kunde – et konsern bestående av snart 10.000 ansatte, fem divisjoner og over en million sluttkunder. Konsernet består av en hel rekke selskaper og dermed også sertifiseringer, og faktisk også over en håndfull forskjellige akkrediterte revisorer på kvalitet og sikkerhet alene som ser dem i kortene i mange land. Det sier seg selv at styringsbehovet er forholdsvis formidabelt, men konsernet er selvsagt også svært gode på nettopp styring – sånn helt generelt.

Inn i denne situasjonen entrer så revisor, forpliktet til å understreke et av standardens viktigste punkter i samband med kravet til systematisk forbedring, nemlig «malen» for hvordan ledelsen skal bruke et møte* som kalles «ledelsens gjennomgang» for å holde kontroll.

Når vi først avdekket praksis, observerte vi følgende:

«The Management Review is a requirement of ISO 9001, 14001, 45001, 27001 and many other series of ISO management system requirements. It is central, so it will always be audited and a «major non-conformity» will be issued if it does not run well! And if that major non-conformity is not addressed properly, it risks all present certificates by simply being an omnipresent requirement. MR supports the principle of focusing on facts (clause 9, performance evaluation) and it is an important enabler of the improvement process (clause 10, improvement).»

Dette er kjernen i saken:

9.3 Management Review

9.3.1 General
Top management shall review the organization’s quality management system, at planned intervals, to ensure its continuing suitability, adequacy, effectiveness and alignment with the strategic direction of the organization.

9.3.2 Management review inputs
The management review shall be planned and carried out taking into consideration:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the quality management system;
c) information on the performance and effectiveness of the quality management system, including trends in:
1) customer satisfaction and feedback from relevant interested parties;
2) the extent to which quality objectives have been met;
3) process performance and conformity of products and services;
4) non-conformities and corrective actions;
5) monitoring and measurement results;
6) audit results;
7) the performance of external providers;
d) the adequacy of resources;
e) the effectiveness of actions taken to address risks and opportunities (see 6.1);
f) opportunities for improvement.

9.3.3 Management review outputs
The outputs of the management review shall include decisions and actions related to:
a) opportunities for improvement
b) any need for changes to the quality management system
c) resource needs

The organization shall retain documented information as evidence of the results of management reviews

Med utgangspunkt i bakteppet over, andre erfaringer fra andre typer bedrifter, opplevde vanskeligheter (og av og til små eller store avviksbemerkninger), stilte vi oss spørsmålet om måten mange av selskapene møtte det samme kravet på, faktisk bidro til intensjonen og om det hadde den forventede kost/nytte-verdi.

Vi lurte på følgende:

  • *) Er det slik at ledelsens gjennomgang må være et definert møte med en definert agenda og må det ende i et utgitt dokument i form av møteprotokoll for å bevise at det er gjennomført og dermed å møte kravet om «to retain documented information as evidence»?
  • Er det slik at ledelsens gjennomgang tjener som et minimumskrav for bedrifter som ikke har en substitutt strategiprosess, ikke har et målesystem og ikke bedriver kvalitetskontroll hver dag – og er det i så fall også slik at ledelsens gjennomgang kan være overflødig dobbeltarbeide for bedrifter som har det?
  • Hvis det er slik at man beviselig har god kontroll, men revisor mener at ledelsens gjennomgang trenger en anmerkning for måten det blir gjennomført på, er det da slik at standardmalen for ledelsens gjennomgang er for generisk?
  • Ser vi andre nedslagsfelt og omfang for ledelsens gjennomgang, enn det som er gitt per selskap og per sertifikat? Med andre ord; kan vi se for oss integrering, forenkling og et annet omfang som både er mer nyttig for oss og samtidig dekker manges behov for den samme effekten (og dokumentasjonen på det) på en gang?

Vi stilte delvis spørsmålene og vi fikk delvis svarene hos to revisorer uavhengige av hverandre, som ved rett anledning var både krevende og løsningsorienterte sammen med oss. Vedkommende skisserte et eksempel som i teorien kunne ha vært mulig å se for seg, forbeholdt seg selvfølgelig retten til å revidere dette for effekt på et senere tidspunkt og ikke love noen ting. Som revisorer jo gjør. Men vi så på forslaget og så at det var nettopp i tråd med hva vi mente når vi stilte (de ledende?) spørsmålene over. Vi hadde altså akkurat sånn passelig med forankring til å tørre å se på saken fra utenfor den berømte boksen.

Så, la oss gå veien videre med ett spørsmål av gangen, før vi til slutt oppsummerer ny løsning.

Alternativer til et definert møte med selvstendig protokoll

«Er det slik at ledelsens gjennomgang må være et definert møte med en definert agenda og må det ende i et utgitt dokument i form av møteprotokoll for å bevise at det er gjennomført og dermed å møte kravet om » to retain documented information as evidence?»

Det umiddelbare svaret, er – til altfor manges overraskelse – at nei; det må det ikke! Ledelsens gjennomgang kan godt ses på som en prosess som ikke foregår innenfor rammene av et «møte», og heller ikke må ha ett kontrollert og datert dokument som resultat, men kan ha flere. Prosessen ledelsens gjennomgang, vil da selvsagt likevel måtte bestå av alle elementene i kravet, slik:

  • «Planned intervals» kan like gjerne bety «ofte» (eller grense mot kontinuerlig) som «årlig», dersom dette virker nyttigere. Det som er vanligst å se hos de fleste, er mellom ett og fire standardiserte møter i året. Dette krever en veldig fokusert innsats i et kort tidsrom for deretter å falle ut av fokus i mellomperiodene. Derfor opplever man operasjonen som tung, og derfor også holder man en lav frekvens – men dette er jo et selvforsterkende problem og en ond sirkel! Vi velger å se på alternativet «kontinuerlig», for å holde oss helt ute av boksen inntil videre.
  • Listen over input må selvsagt oppfylles. Her er det, i tråd med punktet over, mulig å se for seg en tilpasset kontinuerlig overvåkning av alle punktene på lista, så lenge vi beholder fokuset på trendutvikling. Der den vanligste formen for ledelsens gjennomgang som avholdes med lav frekvens typisk ser tidsperspektivet som «siden sist», så ser vi for oss rullerende målinger (siste måned, siste 6 måneder og siste år) uavhengig av periode, og gjerne med helt ferske data. Visjonen er at en gruppe mennesker som haster rundt et par ganger i året og henter fram data som ellers ikke er på bordet, erstattes med målesystemer som er så maskinelle og automatiserte som mulig og derved lite ressurskrevende, i en slik grad at dataene hentes på sekunder enten kontinuerlig eller ved å trykke på en «hent nå»-knapp.
  • Den vanskeligste nøtta når det gjelder å full-automatisere og prosessorientere oss bort fra møteformen – men likevel dokumentere at det foregår – er å sørge for sporet av at ledelsen aktivt har tatt stilling til input, og av dette dokumenterer «output». Vi velger likevel å spørre oss selv også her, om ikke dette kan automatiseres!? Vi ser for oss at ledelsens beslutninger gitt en situasjon, også delvis kan bygges inn i kriterier. Ledelsens aktive holdning, er å forhåndsgodkjenne et sett med HVIS-funksjoner, i stedet for hver enkeltbeslutning. Ledelsen er altså i høyeste grad med i prosessen, men på en annen måte. Og de som får et rødt flagg eller en formulert beslutning på TO-DO lista si neste dag, er jo nettopp den selvsamme ledelsen som åpenbart kan gå beslutningen i sømmene om «maskinen» har tatt feil.
  • Vi ser med en gang av de to punktene over, at dette regimet bare er mulig i selskaper som er veldig bevisst verdiskapningsprosessen sin og har en god hypotese på hvor alle resultater kommer fra og hvordan de innvirker på hverandre. Siden det var tilfelle med de fleste selskaper i akkurat dette konsernet, så tør vi å holde på tanken! Hadde det ikke vært slik, hadde vi fort vært tilbake til behovet for et møte-preget «ledelsens gjennomgang».
  • Konklusjonen er dermed at et «ledelsens gjennomgang» kan være en prosess som er automatisert, synlig på en skjerm og levende som bare det («Some assembly required»). Både vil ethvert input datostemples, enhver trend synliggjøres og et sett av beslutninger loggføres.

Ledelsens gjennomgang i et selskap der allerede kravet til ledelsens gjennomgang sin intensjon er overoppfylt

«Er det slik, at ledelsens gjennomgang tjener som et minimumskrav for bedrifter som ikke har en substitutt strategiprosess, ikke har et målesystem og ikke bedriver kvalitetskontroll hver dag, og er det i så fall også slik ledelsens gjennomgang kan være overflødig dobbeltarbeide for bedrifter som har det?»

Ja, definitivt er det slik, at gjennomføringen av ledelsens gjennomgang er et minimumskrav, som blant annet dekker et behov i en liten og enkel bedrift som ikke har dokumenterbare strategiprosesser og heller ikke god kontroll på hvordan strategien løpende er implementert. Ledelsens gjennomgang er designet for – om det ikke allerede er på plass – å møte intensjonene til standarden på mange punkter. Ledelsens gjennomgang krever fakta-fokus, støtter oppunder bruken av PDCA-hjulet (med aktiv bruk av C (check) som del av forbedringsprosessen), sikrer fokus på kvalitet (output og investeringsbehov i kvalitet som følge av negativ trend), kundefokus (som del av inndata) og mye mer.

Større bedrifter, som det herværende konsernet, har imidlertid både strategiprosesser, jevnlige gjennomgang av endringer blant interessenter, jevnlige kundemålinger og jevnlige investeringsmøter og desslike, så spørsmålet som er riktig å stille seg er hvordan dette overlapper med krav og intensjon i ISO-standardene.

Vi valgte å illustrere saken slik:

Effektivisering og bevisstgjøring gjennom integrering av likelydende prosesser

We can imagine a company with a matured and quality conscious leadership, in which strategy is regularly set out, kept in focus and measured against targets on a continuous basis. Then remember that the Management Review is “ISO speak” for the assessment of strategy, and align those two! (The ISO’s are made for all kinds of companies, also those who do/did not have a matured strategy process in place). The Management Review – if its a separate process – simply double the administration without adding more value.

Avvik fra formatet – er det verdt en anmerkning?

«Hvis det er slik at man beviselig har god kontroll, men revisor mener at ledelsens gjennomgang trenger en anmerkning for måten det blir gjennomført på; er det da slik at standardmalen for ledelsens gjennomgang er for generisk?»

Svaret på dette er ikke helt rett frem. Vi anerkjente fort, at dersom vi ikke fikk revisor med på laget og denne ikke klarte å «se» at ledelsens gjennomgang var gjennomført som etter intensjonen selv om vi mente det, så hadde vi en kommunikasjonsutfordring. Man kan ikke bare si at «kravet er for generisk, så derfor passer det oss ikke». Det man må passe på er at det fremgår veldig tydelig at minimumskravet er oppfylt, selv i et bilde der også en hel rekke selvpålagte krav som gjør prosessen ennå mer verdifull for oss også er oppfylt. Dokumentasjonen må med andre ord ikke forsvinne i et hav av dokumentasjon, men må tre frem.

Ettersom vi da snakker om kommunikasjon av kravoppfyllelse, og ikke kravoppfyllelse som sådan, er følgende viktig:

  • Det er viktig å «bumerke» de forskjellige stegene i feks en strategiprosess, som også å være en del av ledelsens gjennomgang-prosessen.
  • Det er viktig å kommunisere «ISO speak» internt, slik at de som utøver hva det finnes et ISO-krav på, blir bevisst på at de vet dette. Ledelsen må vite at «det vi nå gjør, når vi går gjennom endringer i vårt konkurranselandskap som en del av budsjettplanleggingen, faktisk er det samme som hva 9.3.2. b) krever av oss». «A rose is a rose by any other name», sies det. Konsernet bruker Management Review, Strategy process, «OKR creation and management process» og budsjettprosess om delvis like øvelser.
  • Det er viktig å samle et ellers sprikende språk som oppstår på tvers av forskjellige fagfelt. Når Customer Support-avdelingen driver med Change-prosesser etter ITIL4-rammeverket, så bør de vite at de oppfyller den type aktivitet som kreves i ISO-standardens kapittel 8. Når de driver med Problem management, så oppfyller de krav i kapittelet om forbedring. Når salgsavdelingen gjør et «loss review» eller prosjektavdelingen gjør et «lessons learned»-møte i bakkant av en leveranse, så trenger de å vite at dette er veldig bra kontrollaktiviteter som kilder til forbedring – og som input til ledelsens gjennomgang (med dokumentasjonskrav). Vi tenker oss at de enkelt blir bevisst dette når de ser igjen sine «egne» punkter på (vår visjon av en automatisert) ledelsens gjennomgang.
  • Samtidig vil revisor lett kunne se hvordan ledelsens gjennomgang punkt for punkt blir oppfylt med eller uten avdelingslederenes a priori bevissthet rundt dette. Det får være opp til kvalitetsavdelingens desto mer bevisste design å få tydelig frem likevel.

Integrering av flere ledelsessystemstandarder i samme åndedrag

«Ser vi andre nedslagsfelt og omfang for ledelsens gjennomgang, enn det som er gitt per selskap og per sertifikat? Med andre ord; kan vi se for oss integrering, forenkling og et annet omfang som både er mer nyttig for oss og samtidig dekker manges behov for den samme effekten (og dokumentasjonen på det) på en gang?»

JA!

Vi har tidligere sett på å spare hvert enkelt «ledelsens gjennomgang» for endel tidbruk og å heve kvaliteten på det møtet – som ikke lenger er et møte – som standarden krever. Spørsmålet her og nå er hvor skalerbar modellen vår er.

Svaret på dette er jo at gamle-modellen ikke var skalerbar i det hele tatt, mens den nye modellen er svært skalerbar! I konsernet får vi en fordel av å kunne implementere på tvers av «hundre selskaper» multiplisert med 2-3 sertifikater per selskap. Hvis vi så for oss en liten utviklingsjobb og vurderte dette som en investeringsanalyse så ble dette plutselig en såkalt no-brainer. Og dette altså på kostnadssiden alene. Tar vi i betraktningen et bedre beslutningsgrunnlag og alle andre forbedringer som bakes inn i prosessen, herunder at ledelsen høyst velvillig «tvinges» inni en proaktiv tilnærming til «regelstyringen» av kvalitetssystemet sitt, så er verdiøkningen en «stor størrelse», om enn vanskelig å tallfeste.

Ettersom vi nå også forholder oss til en maskinelt system (en automatisert prosess), er også akkumulering og alle annen form for summering av data svært enkle saker. Dette betyr god kontroll på tvers av den «(legal) Business unit» som et sertifisert styringssystem forholder seg til. NÅ har vi plutselig – uten nevneverdig merarbeide – kontroll per produkt, per tjeneste, per land/region, per divisjon osv osv. Dette omsettes direkte til at også tiltakene kan kraftsamle seg og foregå på det nivået hvor investeringen hører hjemme i forhold til mandat, myndighet og implementering på tvers.

Å beholde dokumentert informasjon

Det er et krav for ledelsens gjennomgang at man skal sitte igjen med et bevis, formodentlig et nyttig et, der beslutninger er logget og kan bli kommunisert til den som har ansvaret for å implementere dem. Det er vanlig å tenke seg et konkret møtereferat eller en protokoll, og det er vanlig at disse protokollene inneholder elementer som skal prosesseres videre. Selve dokumentet er «bærer» av informasjon, mens det er informasjonen som er essensen.

I IT er vi godt vant med å datostemple en registrering (feks en beslutning), oppgi dens kilde/type (feks «autogenerert beslutning fra ledelsens gjennomgang-prosessen» og beholde dataene i baser som kan spørres og filtreres etter behov. Vi utnytter dermed det at standardene bevisst – og nettopp av denne grunn – har sluttet å si et dokument og begynt å si dokumentert informasjon. Det er intet behov for at det er et møtereferat som skal inneholde informasjonen, men at informasjonen i seg selv er logget, kontrollert og tilgjengelig der den skal brukes. Å sikre bevis er dermed veldig enkelt, så lenge revisor også er enig i at beviset er spredt over flere lister og skjermbilder.

«Men, det artige er jo at som et ledd av automatiseringsprosjektet vil det lages skjermbilder som er langt bedre, mer informative og levende enn det en protokoll noensinne har vært!

Man må bare ikke tro at standardene ber om byråkrati, for det gjør de vitterlig ikke«.