Interne audits zijn een verplicht nummer in elke managementsysteemnorm. Te vaak is de invulling ook niet meer dan dat: plichtmatig. Met als gevolg bevindingen die genegeerd worden, een kantje-boordbeoordeling door de certificeerder en een algemeen gevoel van tijdsverspilling. Terwijl interne audits een effectief en enthousiasmerend middel kunnen zijn! In deze artikelreeks krijg je tips om met de interne audits de omslag van verplicht naar nuttig instrument te maken. Het zijn tips die in de praktijk hun nut bewezen hebben, en een net wat andere invalshoek hebben dan je in de meeste audittrainingen meekrijgt. Een goede aanvulling dus. In deze aflevering: tips voor de voorbereiding.
Even vooraf: aan de basis moet een intelligent langetermijnplan staan, waarbij we ook even stilstaan bij de opdracht die de auditors krijgen. Als het goed is, heeft de organisatie (lees: het management) een auditprogramma vastgesteld: het meerjarenplan voor audits. Dat programma: 'houdt rekening […] met het belang van de betrokken processen, met veranderingen die van invloed zijn op de organisatie, en met de resultaten van voorgaande audits' (ISO 9001).
Dat betekent dat in het meerjarenplan belangrijke processen vaker zullen moeten voorkomen dan minder belangrijke. In kwaliteitsmanagementsystemen zijn dat processen die de klanttevredenheid beïnvloeden (de primaire processen dus), in managementsystemen voor informatiebeveiliging de processen met de meest impact op de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens, enzovoorts. Dit verandert niet snel, dus dit is prima enkele jaren vooruit te plannen.
Dat geldt niet voor de andere twee deeleisen aan het meerjarenplan. De interne, en vooral de externe, trends en gebeurtenissen waartoe de organisatie zich moet verhouden, veranderen continu. En de processen waarover zorgen zijn variëren ook van jaar tot jaar of vaker. Zorgen kunnen dankzij allerlei metingen ontstaan, waaronder interne audits: werden er veel of vaak tekortkomingen geconstateerd, dan zal dat proces vaker in het meerjarenplan voor moeten komen.
Het ideale meerjarenplan voor de interne audits bevat dus een vast onderliggend ritme, dat aangevuld wordt met, en soms ook verstoord wordt door, actuele inzichten. In de praktijk werkt het prima om het auditprogramma jaarlijks bij te stellen. Zo krijgen de interne auditors jaarlijks een relevante en actuele opdracht.
Veel interne auditors beginnen hun voorbereiding door de desbetreffende procedures te lezen. Dit is echter dodelijk voor het kritisch vermogen! De meeste procedures zijn namelijk op zich vrij logisch. Wanneer je die leest zit je al gauw vast in de logica van de schrijver ervan. Er valt misschien nog wel wat te zeggen over formuleringen, wijdlopigheid of juist bondigheid, maar stappen in – of zelfs het bestaan van – de procedure stel je niet zo snel meer ter discussie. Laat staan dat je ziet wat er niet in staat.
Begin dus ergens anders, en wel bij je eigen logische verstand (beter nog: met het logische verstand van meerdere mensen, zie tip 4).
Een proces is 'het geheel van samenhangende […] activiteiten dat input gebruikt om een beoogd resultaat te leveren' (ISO 9000). Je kunt van de meeste processen die in een auditprogramma staan best bedenken welke input er in grote lijnen voor nodig is, en wat het beoogde resultaat (de output) zo ongeveer zal zijn. Dat een offerteproces begint met iets van een klantvraag en eindigt met een akkoord (of afwijzing) van de klant, is een vrij logische gedachte. En bij de meeste processen kun je waarschijnlijk ook 5 tot 10 stappen (de activiteiten) verzinnen die de input omzetten in het beoogde resultaat.
Bij sommige stappen zul je iets denken als: 'hoe zou de afstemming met afdeling X eigenlijk plaatsvinden', 'dat vraagt vast veel ervaring, hoe kwalificeren mensen zich hier eigenlijk voor', of: 'hoe zou ons ERP-systeem daarin een rol spelen?'. Dan ben je vanzelf nieuwsgierig hoe dat in de praktijk werkt. En dat is waar je dan in de audit naar op zoek gaat!
In je voorbereiding kun je natuurlijk daarna ook nog onderzoeken wat er zoal formeel over die activiteiten waar je nieuwsgierig bent staat beschreven; bijvoorbeeld in een procedure. Die kun vanuit je nieuwsgierigheid heel goed lezen: je ziet dingen die er in staan (of juist niet) die je nooit waren opgevallen als je er meteen in was gedoken.
De verleiding is groot om de processen die voor de komende periode in het meerjarenplan staan in de volle breedte te gaan auditen. In een audit wil je echter ook enige diepgang bereiken, dus onderwerpen goed uitzoeken en ze niet enkel aanstippen. Aangezien de tijd die aan een audit besteed kan worden meestal niet oneindig is, zul je een balans moeten vinden tussen breed en diep. Dat betekent: keuzes maken.
Een handige manier om die keuzes te maken is om een beperkte risico-analyse van het proces te maken. Dat doe je door je af te vragen welke van de activiteiten die je volgens tip 1 hebt bedacht, volgens jou de allergrootste invloed hebben op het uiteindelijke doel (in ISO 9001 is dit dat de klanten krijgen wat ze verwachten, in ISO 45001 is dat een veilige en gezonde werkomgeving, enzovoorts).
Dit zijn de activiteiten waarbij je bijvoorbeeld denkt: 'dat is best lastig', 'wel een goed idee als we dat altijd op dezelfde manier doen'. Vaak zijn het hooguit drie of vier activiteiten die op deze manier naar voren springen. Dat zijn de activiteiten waar je de diepte in wilt in je audit. Alle andere activiteiten neem je niet, of hooguit zeer globaal, mee in je audit.
Een alternatieve risico-benadering is om te focussen op foutgevoeligheid. Ofwel, wat zijn de activiteiten waar je de kans het grootste acht dat er iets misgaat. Nog een andere manier is om de activiteit(en) waar veel samenkomt te kiezen om in de audit centraal te stellen.
De ISO-normen zien interne audits vooral als een compliance-controlerend middel: 'De organisatie moet […] interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voldoet aan de eigen eisen van de organisatie […]'. Wanneer je je tot die opdracht beperkt, zijn je audits niet alleen minder leuk (de auditor is dan toch vooral de politie-agent met het bonnenboekje). Je loopt ook vele kansen op verbetering mis: juist doordat de interne auditors processen beoordelen waar ze geen directe betrokkenheid bij hebben, zien ze eenvoudiger onlogische en/of inefficiënte werkzaamheden. Wanneer je als auditor bovendien nieuwsgierig bent naar hoe het eraan toegaat en hoe het uiteindelijke doel (tevreden klant, etc) bereikt wordt, stel je nog meer onderzoekende vragen.
Stel je al in de voorbereiding in op de zoektocht naar inefficiëntie en de reden waarom dingen gaan zoals ze gaan. Dan voedt je je eigen nieuwsgierigheid en zo zul je tijdens de audit gemakkelijker vragen in die richting stellen. Het zijn dít soort vragen die de geauditeerden aanzetten tot reflectie en verbetering, ook zonder dat er een officiële bevinding in het auditrapport komt.
Twee zien meer dan een. Vier zien meer dan twee. In het kader van het voorbereiden op een interne audit gaat het om het zien van belangrijke activiteiten in een proces, de afwegingen in een risico-analyse, de kennis van of nieuwsgierigheid naar inefficiënties, enzovoorts. De voorbereiding op een audit wordt dus beter als er meer mensen bij betrokken zijn. (Althans, tot op zeker hoogte: met meer dan 6 mensen gezamenlijk voorbereiden levert weinig meerwaarde meer op.)
Aan deze constatering kun je concreet invulling geven door als auditors bij elkaar te komen om de aankomende audits voor te bespreken. Dat kan inhouden dat je met elkaar aan tip 1 en/of 2 invulling geeft, met name als het auditteam klein is en/of je allemaal hetzelfde proces gaat auditen. Een andere (of aanvullende) invulling van zo’n voorbereidingsbijeenkomst is een open bespreking van wat er in elk te auditen proces speelt en wat er belangrijk in is. Omdat de auditors in het algemeen uit verschillende delen van de organisatie komen, krijg je in zo’n bespreking verschillende invalshoeken op tafel.
In de groep is ook een bredere kennis van wat de normen vragen, dan bij elk individu afzonderlijk. Dit is relevant omdat een van de normeisen is dat er tegen “de eisen van deze internationale norm” wordt getoetst. Ook is er een bredere kennis van wat in de organisatie verwacht wordt, gezien het beleid, de cultuur of bepaalde algemene procedures.
De extra informatie die op tafel door de voorbereiding gezamenlijk te doen, maken de audits effectiever. Ze leveren betere informatie over borging en conformiteit, en meer verbeterinzichten op.
Elke audit heeft als impliciet doel, omdat het de eis van de norm is: onderzoek of er conform afspraken gewerkt wordt. Hopelijk (zie tip 3) heeft elke audit ook als impliciet doel: zoek verbeteringen. Dat geeft richting, maar is tegelijk weinig precies.
Een interne audit wint aan waarde wanneer de onderzoeksdoelen expliciet en preciezer worden gemaakt. Onderzoeksdoelen zijn bijvoorbeeld: zijn de meest actuele afspraken met elke klant bij iedere relevante medewerker bekend, hoe wordt het beleid dat medewerkers maximaal empowered worden ingevuld en geborgd, of op welke manieren worden opgedane ervaringen in onze organisatie gebruikt in nieuwe opdrachten.” Een onderzoeksdoel kan zowel door de auditors als door de opdrachtgever (het management) worden geformuleerd. Het is wel verstandig om onderzoeksdoelen die door de auditors zijn bedacht met de opdrachtgever te toetsen voordat de audit wordt uitgevoerd: het zal niet de eerste keer zijn dat door doelen expliciet te maken, duidelijk wordt dat er eigenlijk interesse is naar het antwoord op een andere/ preciezere/ algemenere vraag.
Soms is er behoefte aan antwoord op hele concrete punten, zoals: 'In hoeverre zijn onze offertes uniform, klantspecifiek, en conform de afspraken intern getoetst?'. In tegenstelling tot bovenstaande voorbeelden, is het hier duidelijk wat de onderzoeksmethode (trek een steekproef) en het soort onderzoek (conformiteit) is. Ook de vorm van rapporteren (score 0-100% op alle criteria) laat weinig te raden over. Als dit soort doelen niet de overhand heeft, zijn ze een goede aanvulling op de brede procesaudits.
Een audit is een steekproef. Dus er hoeft geen 100% controle van de te onderzoeken processen uitgevoerd te worden en verbetermogelijkheden zijn geen verbeterzekerheden. Maar het is óók zaak om te zorgen voor voldoende waarnemingen. Voor een belangrijk deel organiseer je dat in de voorbereiding, namelijk door de keuze van de auditees en de auditmethodes (zie volgende tip).
De activiteiten die je gaat onderzoeken, de verdere informatie die je daarover bedacht en verzamelde (tip 1 en 2), en het onderzoeksdoel (tip 5), leveren je een lijstje onderwerpen om in de audit te onderzoeken. Het zal duidelijk zijn dat door slechts één auditee over een onderwerp te bevragen, je onvoldoende waarnemingen kunt verzamelen. (De uitzondering zijn natuurlijk de onderwerpen waarvoor slechts een persoon in de organisatie verantwoordelijk is: wanneer je die bevraagt, weet je hoe het werkt.)
Om een beeld te vormen, moet je dus meerdere mensen bevragen. Wanneer je een vierde auditee over een onderwerp bevraagt, zul je vaak merken dat je eigenlijk geen nieuwe informatie meer hoort over de hoofdlijnen. Het ideale aantal auditees over een onderwerp is dus drie of vier. Dat betekent overigens niet dat je totale aantal auditees gelijk is aan het aantal onderwerpen maal drie: in het algemeen kun je meerdere onderwerpen bij een auditee aan de orde stellen.
De meest voor de hand liggende personen om over een onderwerp te bevragen zijn degenen die de desbetreffende activiteit uitvoeren. Denk voor het bepalen van je steekproef echter ook aan degenen die verantwoordelijk zijn voor de activiteit, aan zij die input leveren aan, of output ontvangen van, de activiteit, en aan degenen die metingen over de activiteit verzamelen en gebruiken. Niet dat je deze personen altijd in je audit moet meenemen, maar vraag je in elk geval af of zij het beeld dat je vormt, gezien je onderzoeksdoel, naar verwachting gaan verrijken.
De meest gebruikte manier om interne audits uit te voeren is het houden van interviews. Er zijn echter meer manieren om de informatie te verzamelen die je voor je onderzoeksdoel nodig hebt! Je audit wint aan waarde wanneer je overweegt om deze niet (alleen) met interviews in te vullen, maar aan te vullen met andere onderzoeksmethodes (zie ook het kader).
Je kunt bijvoorbeeld als je over een onderwerp in je audit eigenlijk een heel breed beeld wilt hebben, een korte vragenlijst rondsturen. Denk aan: bekendheid met bepaald beleid, manieren waarop kennis in de ogen van medewerkers gedeeld wordt, gepercipieerde betrokkenheid bij productontwikkeling. Of je kijkt eens toe hoe iets in het echt eraan toegaat, zoals een bepaald overleg of de ‘lockout tagout’ bij het starten van machine-onderhoud. Of voer een dossieronderzoek uit, bijvoorbeeld omdat je wilt weten hoe consequent offertes conform afspraken worden opgesteld en gearchiveerd, of kalibraties worden uitgevoerd en vastgelegd.
Diederik van der Burg is auditor, trainer en adviseur bij Adburdias. Hij ondersteunt vooral middelgrote organisaties bij het vergroten van hun effectiviteit door de strategievorming te begeleiden en door het (kwaliteits)managementsysteem te optimaliseren en verbeteren. Dat doet hij onder meer door interne auditors te trainen, coachen en begeleiden.
Dit artikel is eerder gepubliceerd in Kwaliteit in Bedrijf, maart-april 2023