Archief voor oktober, 2016

Interne audits

Geplaatst op: 27 oktober, 2016

Er zijn bij managementsystemen een paar normelementen die in de praktijk nog beter benut kunnen worden. Een goed voorbeeld hiervan is de interne audit. Zowel de wijze waarop interne audits worden uitgevoerd als de eisen die gesteld worden aan de interne auditoren verdienen aandacht.

Wat vermeld ISO 9001:2015?

In de ISO 9001:2015 paragraaf 9.2. staat vermeld:

“De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het kwaliteitsmanagementsysteem:

a) voldoet aan:
1) de eigen eisen van de organisatie voor haar kwaliteitsmanagementsysteem;
2) de eisen van deze internationale norm;
b) doeltreffend is geïmplementeerd en onderhouden.”

Er staat dus dat men moet nagaan of de verplichte normelementen juist en aantoonbaar zijn toegepast. Dit kan bijvoorbeeld door ieder normelement te behandelen en ‘af te vinken’. Vooral de eerste keer (vlak voor (her)certificering) is dit handig om te doen. Zijn er weinig relevante wijzigingen van de organisatie en het managementsysteem? Dan kan de frequentie hierop aangepast worden. Maatwerk dus.

Wat juist meerwaarde voor de organisatie oplevert, is dat de eigen eisen en verwachtingen (beleid, doelen en speerpunten) worden behandeld. Hier is tenslotte het managementsysteem en dus ook de interne audit op gebaseerd. Voor zover klinkt dit logisch, maar de praktijk wijst anders uit.

Schieten met hagel

Veel interne audits zijn gebaseerd op het houden van interviews. Hier worden regelmatig auditbevindingen vastgesteld die geen directe verbinding met het managementsysteem hebben. Logisch, aangezien de interne auditor vaak zelf verantwoordelijk is voor de voorbereiding (vragen en planning) en het management hier te weinig betrokken is. De interne audit heeft dan veel overeenkomsten met “schieten met hagel”. Er wordt altijd wel iets geraakt.

Klassiek of modern?

Op basis van de gewenste managementinformatie wordt de werkwijze om informatie te verkrijgen bepaald. Managementinformatie kan grofweg verzameld worden op drie manieren:

  • Interviews: van oudsher de meest toegepaste wijze voor het verzamelen van informatie. Vraag en antwoord.
  • Registraties: inzage in documenten en data zijn door de huidige toepassing van ICT steeds belangrijker geworden.
  • Observaties: zijn momentopnames, dus geeft niet altijd betrouwbare informatie over de werkwijze. Heeft meer een signaalfunctie.

Waarom wordt zo volhardend vastgehouden aan de klassieke opzet door middel van interviews? De gewenste managementinformatie kan vaak al met één druk op de knop (query’s, exports, rapporten) weergegeven worden.

Tijdrovende interviews zijn vooral nuttig als aanvullend instrument. Stel, het blijkt dat de output van een proces niet voldoet aan de eigen verwachtingen. Dan moet er aanvullend onderzoek gedaan worden naar de oorzaak. Interviews kunnen tevens effectief zijn voor het toetsen van doorgevoerde (proces)verbeteringen.

letters-1211997_960_720

Monitoren of auditten

Als de termen monitoren en meten worden vervangen door de term audit, kunnen we stellen dat er binnen een organisatie al veel informatie wordt verzameld en behandeld. Mooi voorbeeld is de reguliere overlegstructuur. Ga maar eens na hoeveel belangrijke onderwerpen daar structureel worden gemonitord. Het enige wat men dan nog moet doen is het benoemen van deze vormen van monitoring in het managementsysteem. Denk dan aan methode, verantwoordelijkheden, frequentie/moment en de wijze waarop het management wordt geïnformeerd. Het management moet uiteraard aan te geven welke feitelijke informatie de interne auditor moet verzamelen.

Competenties en training

Met het voorgaande nog op ons netvlies, lijkt het logisch dat de gekozen werkwijze impact heeft op de competenties van de interne auditor. Welke kennis en vaardigheden moet een auditor hebben? Sociaal vaardig, overtuigingskracht, kennis van het handboek of proces of aanvullende normkennis?

Als bekend is wat en hoe er gemonitord moet worden, kunnen de competenties vastgesteld worden. Op basis van dit profiel kunnen medewerkers geselecteerd worden, waarna vastgesteld wordt of er behoefte is aan extra training of ondersteuning. Als de kennis en kunde al aanwezig is, dan is extra training niet noodzakelijk. Toch?

Training en normeis

Moet een interne auditor een training volgen? Nee dat hoeft niet! De meeste normen stellen dat een auditor moet beschikken over de nodige competenties. Mocht er kennis of kunde ontbreken, dan kan dit door een training (of anders) worden opgevangen. Focus dus op ontbrekende kennis en vaardigheden. Een specifieke training wordt niet genoemd. Per norm bekijken dus!

Inhoud van trainingen

Een verkenning op internet laat zien dat veel interne auditortrainingen klassiek zijn opgezet. Veel focus op normkennis, het formele auditproces en op de sociale vaardigheden. Dus rollenspellen, technieken en ezelsbruggetjes. Een daarvan is MIDEZ oftewel Mag Ik Dat Even Zien. Dit stamt nog uit de tijd dat we bij audits de hele dag op zoek waren naar lijstjes, fouten in teksten, kop- en voetteksten of ontbrekende parafen. Niet per definitie verkeerd, maar echt noodzakelijk?

Veel interne auditortrainingen zijn gebaseerd op ISO 19011: Richtlijnen voor het uitvoeren van audits van managementsystemen. Deze norm richt zich grotendeels op het uitvoeren van externe audits. Het kan dus voorkomen dat er getraind wordt op het houden van een formele openings- en slotbijeenkomst… Of het verschil tussen een ‘major’ en ‘minor’ tekortkoming, terwijl het management uiteindelijk de gradatie van de bevinding moet vaststellen.

Denk vroegtijdig na over het doel en de invulling van interne audits en de competenties van de auditor. Dit is een voorwaarde voor een effectief en efficiënt managementsysteem.

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.

 

Het einde van het handboek? Van minder naar meer….

Geplaatst op: 08 oktober, 2016

Een testje. Waar denk jij aan als je de volgende woorden ziet? ISO 9001, certificering, kwaliteitsmanagementsystemen, keurmerken ….. Juist! Aan papier, handboeken, registraties en procedures. Goed nieuws! Dit is namelijk deel overbodig geworden in de (nieuwe) ISO normen.

afbeelding_artikel

Een blik naar het verleden

In alle voorgaande ISO-normen werden organisaties “verplicht” om voor bepaalde processen procedures op te stellen. Het opstellen van een handboek werd dus in de hand gewerkt door de wijze waarop de ISO-normen eisen stelden aan het bedrijf en zijn managementsysteem. Het bijzondere was dat dit meestal om management- en verbeterprocessen ging en het primaire proces hier grotendeels buiten beschouwing werd gelaten.

Het resultaat? Veel focus op ondersteunende processen en management- en verbeterprocessen (lijstjes en formulieren). Minder aandacht voor procesbeheersing. Uitgebreide handboeken met veel overbodige ballast. Documenten die in de dagelijkse praktijk niet gebruikt worden.

En nu dan?

Het goede nieuws is dat de nieuwe ISO-normen de term procedure niet meer gebruiken. Betekent dit dat er niets meer vastgelegd moet worden? Tja, een organisatie zal uiteraard moeten aantonen dat ze bepaalde zaken goed geregeld hebben, maar de hoeveelheid valt erg mee. Ter indicatie, de ISO 9001 heeft 15 verplichte registraties (gedocumenteerde informatie) opgenomen. 15! Het aantal verplichte procedures? 0! Kijken we vervolgens eens goed naar de verplichte registraties, dan blijkt dat veel van deze registraties reeds in de normale bedrijfsvoering verankerd zijn. Dit brengt ons tot de conclusie dat een papierarm managementsysteem mogelijk moet zijn.

Zo makkelijk?

Nee, zo eenvoudig is het nu ook weer niet. We verschuiven van kwantiteit naar kwaliteit. Oftewel Van Minder naar Meer. Minder aandacht voor documentatie en meer aandacht voor relevante managementvraagstukken. Maatwerk dus!

Elk bedrijf moet goed nadenken over relevante interne- en externe factoren. Denk aan eisen die gesteld worden door klanten, vanuit wetgeving en door andere belanghebbenden en de eigen afbreukrisico’s op het gebied van procesbeheersing en aansprakelijkheid. Geen overbodige zaken, aangezien dit al valt onder normale bedrijfsvoering en waar je als ondernemer of manager wél gevoel bij hebt. Indien uit de eigen analyses toch de behoefte bestaat om een en ander te registreren dan kan dit uiteraard. Het gaat tenslotte om eigen en doordachte keuzes van het management.

Van beïnvloeding naar eigen grip

Er zijn ook andere factoren die de keuze voor de inrichting van een managementsysteem kunnen beïnvloeden. Zo zijn er nog steeds veel standaard handboeken in omloop. Wees kritisch en vraag je af of al die (standaard) documenten wel nodig zijn? Bedrijven kiezen er soms voor om de opzet van hun managementsysteem volledig over te laten aan een stagiaire, adviseur of eigen medewerker. Blijf je zelf als ondernemer of manager wel voldoende betrokken of heb je een black-box gecreëerd? Geef je voldoende input? Richt het systeem zich op de effectiviteit, efficiency en verwachtingen die jij voor ogen hebt? Als ondernemer wil je toch inzicht en grip blijven houden op je eigen bedrijfsvoering? Dit noemen we managementbetrokkenheid.

Als laatste is er nog de auditor die invloed kan uitoefenen op een managementsysteem. Als oud eigenaar van een certificerende instelling heb ik mij hier jarenlang mee bezig gehouden. Certificeren met meerwaarde voor de klant! Dit betekent dat een auditor objectief vanuit de bedrijfsdoelstellingen moet toetsen. Dit vraagt veel van een auditor. In een ander artikel zal ik daar nader op ingaan.Vergeten wordt soms dat de certificerende instantie een leverancier is en geen klant. Kies dus een leverancier die past en voldoet aan je eigen eisen en verwachtingen van het managementsysteem.

Van Minder naar Meer?

Betekent dit nu echt dat we straks minder papierwerk gaan krijgen en meer kwaliteit en maatwerk? Wij zijn ervan overtuigd dat dit mogelijk is …

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.