ISO 9001 interne audits
ISO9001 gecertificeerde bedrijven dienen interne audits uit te voeren. De praktijk van de auteur van dit artikel geeft aan dat op er op het gebied van auditeren slagen te maken zijn. De interne audit, bedoeld als verbetermechanisme voor een organisatie en haar systeem, is vaak verworden tot 'meer van hetzelfde' en een oplichtmatig statisch gebeuren. Het artikel geeft tips om het interne audit proces zinvoller in te zetten.
Alleen al in Nederland zijn enkele tienduizenden bedrijven ISO9001 gecertificeerd. Een van de zaken die je als ISO-gecertificeerde organisatie verplicht bent om te houden zijn de zogenaamde
interne audits. Dit geldt overigens ook voor een aantal andere normen zoals ISO14001 (milieu) en ISO27001 (informatiebeveiliging). In het dagelijks leven als proces/risicomanagement adviseur en auditor kom ik veel organisaties tegen die worstelen met nut en noodzaak van deze interne audits. Zeker omdat het houden van interne audits dus een verplichting is en het de organisatie simpelweg tijd en dus geld kost, moeten we er het beste van maken. In dat kader kan er naar mijn bescheiden mening nog heel wat verbeterd worden. Dit artikel tracht een bijdrage te leveren aan het houden van zinvolle interne audits waar de organisatie i.c. het management daadwerkelijk iets aan heeft!
Hoe verbeteren van de interne audit kan m.i. op een aantal gebieden welke ik hieronder kort zal toelichten.
- De competenties van de interne auditor
- Het plannen van de interne audits
- Het voorbereiden en uitvoeren van de interne audit
- Het uitvoeren van de interne audit
- De interne audit rapportage
De competenties van de interne auditor
Zeker met de komst van de ISO9001:2008 dient de interne auditor zich meer op het management te richten met haar gesprekken. Immers van de 4 hoofdonderwerpen zijn er 3 sterk managementgerelateerd, te weten: directieverantwoordelijkheid, management van middelen en analyseren en verbeteren. Het traditioneel aflopen van een standaard checklist werkt dan ook echt niet meer, sterker is contraproductief. Er wordt meer van een interne auditor verwacht. Een basistraining Interne auditor is essentieel maar niet genoeg om echt aan de slag te kunnen. Het aanbod van vervolgtrainingen is beperkt, een aanrader is een risk based auditor training waarmee de interne auditor de audits leert te benaderen vanuit risicomanagement perspectief. Ook opfristrainingen (veelal in-company) kunnen een welkome aanvulling zijn.
Gezien het grote aantal managementgerelateerde onderwerpen dient de interne auditor ook daadwerkelijk op dat niveau te kunnen acteren. Immers de auditee (degene die ge-audit wordt) moet het gevoel hebben dat de interne auditor ook daadwerkelijk het niveau aankan en ook de interactie aan kan gaan bij zwaardere onderwerpen zoals beleid, doelstellingen en managementinformatie. Dit betekent dus dat niet iedereen zomaar geschikt is om als interne auditor te functioneren. Denk dan ook goed na over de competenties en zorg dat de interne auditors periodiek het proces en de resultaten evalueren. Een deelname aan bv. een interne auditors platform zorgt ervoor dat er ook uitwisseling (qua informatie maar ook zelfs qua interne auditor) kan plaatsvinden en wielen niet opnieuw behoeven te worden uitgevonden.
Het plannen van de interne audits
Te vaak wordt jaarlijks een interne auditplanning opgesteld. M.i. een te rigide zaak, beter is om bv. per kwartaal een auditplan op of bij te stellen. Belangrijk daarbij is dat we niet steeds weer dezelfde processen gaan auditeren maar dat dit geschiedt op basis van het risicogehalte van het proces. Dus in welke mate kan een proces in potentie schade toebrengen aan de organisatie. Door onderscheid te maken in bijvoorbeeld hoog, gemiddeld en laag risicovolle processen kan beleid gemaakt worden. Bijvoorbeeld: hoog risicovolle processen worden tenminste 2 maal per jaar ge-audit, gemiddeld risicovolle 1 keer per jaar en laag risicovolle processen tenminste 1 maal per 2 jaar. Op dit manier is te verklaren waarom het ene proces vaker wordt ge-audited dan het andere. Ook aansluiting bij de business ontwikkelingen is aan te bevelen. Doorgevoerde projecten of bv. systeem implementaties kunnen reden zijn om vaker in dat gebied te auditeren. Door dicht bij de ontwikkelingen te blijven en aan te sluiten bij het risicokarakter van een proces wordt het nut duidelijker en zullen de resultaten meer aanspreken. Er zijn diverse risicomanagement technieken te gebruiken bij het plannen van de interne audit. Vanuit impact-analyse tot scoremethodieken en risico-analyses. In het algemeen kan gesteld worden dat deze fase zeer bepalend is voor het te verkrijgen draagvlak voor een interne audit.
Het voorbereiden en uitvoeren van de interne audit
Op basis van de planning kunnen de toegewezen interne auditors aan de slag met de voorbereiding. Een belangrijke fase waarmee in feite het succes van de audit wordt bepaald. Het afwerken van een standaard checklist is zoals eerder gesteld te rigide en staat de echte interactie in de weg. Aanbevolen wordt om de onderwerpen (max. 4) te bepalen binnen de kaders van het hoofdonderwerp (de doelstelling van de audit vanuit de planning). Per onderwerp wordt bepaald welke sub-onderwerpen besproken gaan worden en wordt er per sub-onderwerp bepaald wat de auditor wil zien in het kader van de bewijslast, immers: de aantoonbaarheid is een cruciaal iets bij de interne audit. Ook kan in dit stadium - indien gewenst - de relevantie ISO9001 paragraaf gekoppeld worden aan het sub-onderwerp zodat we ook al direct weten met welke ISO9001 paragraaf geconflicteerd wordt in geval van een afwijkingen. Door de voorbereiding zo te doen krijgt de interne auditor de ruimte om zich daadwerkelijk in de interactie te begeven. Er hoeft immers niet meer tijdens de interne audit nagedacht te worden over zaken als " wat moet ik niet vergeten", "wat vraag ik zo dadelijk", de auditor hoeft zich niet druk te maken over de logistieke zaken van de interne audit en kan zich volledig geven tijdens het gesprek. Het geeft een gevoel van beheersing en 'in control' zijn. De auditee zal dit daadwerkelijk merken tijdens de uitvoering en dit als professioneel ervaren, hetgeen het algehele beeld van de audit ten goede komt.
Focus zowel bij de voorbereiding als bij de uitvoering op risico's en dan met name op de procesrisico's. Neem ook geen genoegen met de output van een afwijking. Als voorbeeld: stel je constateert dat men werkt met een verouderde leverancierslijst, dan kun je dat als afwijking schrijven maar dat is eigenlijk auditeren oude stijl. Er zijn (niet werkende) processen die ervoor zorgen dat die situatie ontstaat. Dus het onderzoek is nog niet af: de interne auditor moet er achter komen waar in het proces het fout gaat zodat die situatie kan voorkomen. Dat is de afwijking met als bewijslast het feit dat een verouderde leverancierslijst gehanteerd wordt. Door op dit niveau te auditeren ontstaan er pas echt mogelijkheden voor corrigerende maatregelen en dat is en blijft de essentie bij de interne audit. Het moge duidelijk zijn dat deze wijze van auditeren pas kans van slagen heeft als de voorbereiding er op afgestemd is.
De interne audit rapportage
Een goede interne auditrapportage richt zich op de geconstateerde (proces)risico's en wordt kracht bijgezet door de gevolgen in kaart te brengen. Een auditrapportage op deze manier zal slechts enkele pagina's beslaan en zijn zeker geen grote rapporten. Kom tot de essentie en de corrigerende maatregelen zullen effectiever worden ingezet. Afhankelijk van de mate waarin risicomanagement is geïntegreerd in het hele interne auditproces kunnen ook zaken als 'kans' en 'impact' in min of meerdere mate opgenomen worden. Het auditrapport is dus zeker niet een opsomming van output afwijkingen maar is een kant en klaar risicorapport op managementniveau.
Tot slot
Het doorvoeren van verbeteringen zoals geschetst in dit artikel is essentieel blijkens de praktijk. Het hele interne audit fenomeen is simpelweg te kostbaar en in potentie te interessant om als verplicht nummer af te draaien. Dat is absoluut een gemiste kans. De organisaties, multinationals binnen en buiten Europa maar ook Nederlandse MKB bedrijven, die ik tot op heden heb mogen begeleiden bij het verbeteren en/of trainen van de interne audit zijn daadwerkelijk enthousiast, zien en ervaren de toegevoegde waarde. Kortom maak van het verplichte nummer een managementtool waar u daadwerkelijk als organisatie iets aan heeft!
Wilt u meer weten over de interne audit of referenties ontvangen van organisaties waar dit al is doorgevoerd, laat dit dan gerust weten. Het is mijn missie om de interne audit in Nederland naar een hoger niveau te tillen.