Interne audits

Geplaatst op: 27 november, 2023

Er zijn bij managementsystemen een paar normelementen die in de praktijk nog beter benut kunnen worden. Een goed voorbeeld hiervan is de interne audit. Zowel de wijze waarop interne audits worden uitgevoerd als de eisen die gesteld worden aan de interne auditoren verdienen aandacht.

Wat vermeld ISO 9001:2015?

In de ISO 9001:2015 paragraaf 9.2. staat vermeld:

“De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het kwaliteitsmanagementsysteem:

a) voldoet aan:
1) de eigen eisen van de organisatie voor haar kwaliteitsmanagementsysteem;
2) de eisen van deze internationale norm;
b) doeltreffend is geïmplementeerd en onderhouden.”

Er staat dus dat men moet nagaan of de verplichte normelementen juist en aantoonbaar zijn toegepast. Dit kan bijvoorbeeld door ieder normelement te behandelen en ‘af te vinken’. Vooral de eerste keer (vlak voor (her)certificering) is dit handig om te doen. Zijn er weinig relevante wijzigingen van de organisatie en het managementsysteem? Dan kan de frequentie hierop aangepast worden. Maatwerk dus.

Wat juist meerwaarde voor de organisatie oplevert, is dat de eigen eisen en verwachtingen (beleid, doelen en speerpunten) worden behandeld. Hier is tenslotte het managementsysteem en dus ook de interne audit op gebaseerd. Voor zover klinkt dit logisch, maar de praktijk wijst anders uit.

Schieten met hagel

Veel interne audits zijn gebaseerd op het houden van interviews. Hier worden regelmatig auditbevindingen vastgesteld die geen directe verbinding met het managementsysteem hebben. Logisch, aangezien de interne auditor vaak zelf verantwoordelijk is voor de voorbereiding (vragen en planning) en het management hier te weinig betrokken is. De interne audit heeft dan veel overeenkomsten met “schieten met hagel”. Er wordt altijd wel iets geraakt.

Klassiek of modern?

Op basis van de gewenste managementinformatie wordt de werkwijze om informatie te verkrijgen bepaald. Managementinformatie kan grofweg verzameld worden op drie manieren:

  • Interviews: van oudsher de meest toegepaste wijze voor het verzamelen van informatie. Vraag en antwoord.
  • Registraties: inzage in documenten en data zijn door de huidige toepassing van ICT steeds belangrijker geworden.
  • Observaties: zijn momentopnames, dus geeft niet altijd betrouwbare informatie over de werkwijze. Heeft meer een signaalfunctie.

Waarom wordt zo volhardend vastgehouden aan de klassieke opzet door middel van interviews? De gewenste managementinformatie kan vaak al met één druk op de knop (query’s, exports, rapporten) weergegeven worden.

Tijdrovende interviews zijn vooral nuttig als aanvullend instrument. Stel, het blijkt dat de output van een proces niet voldoet aan de eigen verwachtingen. Dan moet er aanvullend onderzoek gedaan worden naar de oorzaak. Interviews kunnen tevens effectief zijn voor het toetsen van doorgevoerde (proces)verbeteringen.

letters-1211997_960_720

Monitoren of auditten

Als de termen monitoren en meten worden vervangen door de term audit, kunnen we stellen dat er binnen een organisatie al veel informatie wordt verzameld en behandeld. Mooi voorbeeld is de reguliere overlegstructuur. Ga maar eens na hoeveel belangrijke onderwerpen daar structureel worden gemonitord. Het enige wat men dan nog moet doen is het benoemen van deze vormen van monitoring in het managementsysteem. Denk dan aan methode, verantwoordelijkheden, frequentie/moment en de wijze waarop het management wordt geïnformeerd. Het management moet uiteraard aan te geven welke feitelijke informatie de interne auditor moet verzamelen.

Competenties en training

Met het voorgaande nog op ons netvlies, lijkt het logisch dat de gekozen werkwijze impact heeft op de competenties van de interne auditor. Welke kennis en vaardigheden moet een auditor hebben? Sociaal vaardig, overtuigingskracht, kennis van het handboek of proces of aanvullende normkennis?

Als bekend is wat en hoe er gemonitord moet worden, kunnen de competenties vastgesteld worden. Op basis van dit profiel kunnen medewerkers geselecteerd worden, waarna vastgesteld wordt of er behoefte is aan extra training of ondersteuning. Als de kennis en kunde al aanwezig is, dan is extra training niet noodzakelijk. Toch?

Training en normeis

Moet een interne auditor een training volgen? Nee dat hoeft niet! De meeste normen stellen dat een auditor moet beschikken over de nodige competenties. Mocht er kennis of kunde ontbreken, dan kan dit door een training (of anders) worden opgevangen. Focus dus op ontbrekende kennis en vaardigheden. Een specifieke training wordt niet genoemd. Per norm bekijken dus!

Inhoud van trainingen

Een verkenning op internet laat zien dat veel interne auditortrainingen klassiek zijn opgezet. Veel focus op normkennis, het formele auditproces en op de sociale vaardigheden. Dus rollenspellen, technieken en ezelsbruggetjes. Een daarvan is MIDEZ oftewel Mag Ik Dat Even Zien. Dit stamt nog uit de tijd dat we bij audits de hele dag op zoek waren naar lijstjes, fouten in teksten, kop- en voetteksten of ontbrekende parafen. Niet per definitie verkeerd, maar echt noodzakelijk?

Veel interne auditortrainingen zijn gebaseerd op ISO 19011: Richtlijnen voor het uitvoeren van audits van managementsystemen. Deze norm richt zich grotendeels op het uitvoeren van externe audits. Het kan dus voorkomen dat er getraind wordt op het houden van een formele openings- en slotbijeenkomst… Of het verschil tussen een ‘major’ en ‘minor’ tekortkoming, terwijl het management uiteindelijk de gradatie van de bevinding moet vaststellen.

Denk vroegtijdig na over het doel en de invulling van interne audits en de competenties van de auditor. Dit is een voorwaarde voor een effectief en efficiënt managementsysteem.

Wilt u dit artikel bewaren om later nog een terug te lezen? Of delen met anderen? Download dan de pdf-versie.