In een drieluik van artikelen geeft Diederik van der Burg tips om met de interne audits de omslag te maken van verplicht naar nuttig instrument. In deel 1 gaf hij tips voor de voorbereiding, in deel 2 voor de uitvoering en in dit laatste deel geeft hij 7 tips voor de rapportage.
Interne audits zijn een verplicht nummer in elke managementsysteemnorm. Te vaak is de invulling ook niet meer dan dat: plichtmatig. Met als gevolg bevindingen die genegeerd worden, een kantje-boordbeoordeling door de certificeerder en een algemeen gevoel van tijdsverspilling. Terwijl interne audits een effectief en enthousiasmerend middel kunnen zijn! Een middel dat het management ondersteunt en de algemene interesse verhoogt in het borgen en verbeteren van de kwaliteit, informatiebeveiliging, arbeidsomstandigheden, et cetera.
In deze artikelreeks krijg je tips om met de interne audits de omslag van verplicht naar nuttig instrument te maken. Het zijn tips die in de praktijk hun nut bewezen hebben, en een net wat andere invalshoek hebben dan je in de meeste audittrainingen meekrijgt. Een goede aanvulling dus. In deze derde en laatste aflevering: tips voor de rapportage.
De kern van de werkzaamheden van een auditor is de praktijk toetsen tegen een norm en daarover rapporteren. De norm wordt in interne audits in het algemeen gevormd door de afspraken die binnen de organisatie gelden en die (ten dele) zijn vastgelegd in procedures. En op de achtergrond is ISO 9001, 27001, et cetera natuurlijk de te toetsen norm.
Dat betekent dat het auditrapport niet bedoeld is om concrete verbetermaatregelen voor te stellen, of aanbevelingen te doen. Toch komt dit in de praktijk vaak voor, en het lijkt vooral een manier om over het ‘pijnlijke’ melden dat iets niet klopt heen te stappen en het rapport een positief-opbouwende uitstraling te geven. Een audit is ook geen onderzoek naar oorzaak en/of gevolg van de bevinding. Onderzoek naar de oorzaak en het definiëren van verbetermaatregelen is de taak van managers, afdelingshoofden, proceseigenaren, of wie dan ook formeel verantwoordelijk is voor de manier van werken. Toch een verbetermaatregel voorstellen of een aanzet doen voor een oorzaakanalyse betekent dat de auditor zich met het werk van een ander bemoeit – of dat die ander verantwoordelijkheden aan het afschuiven is door dat toch van de auditor te verlangen.
Maar hoe zit het dan met het duale karakter van een audit: de compliance-check én de zoektocht naar verbeteringen (zie ook tip 3 in deel 1 van dit drieluik)? Uiteraard rapporteer je ook de gesignaleerde verbeteropties. Echter, als auditor stel je geen concrete maatregelen voor, je draagt ‘slechts’ mogelijkheden aan.
Dat een auditor werkzaamheden in de praktijk toetst tegen een norm impliceert dat de mening van die auditor over de manier van werken volstrekt niet terzake doet. In de rapportage van de audit is dus geen ruimte voor haar mening. Blijf bij de feiten.
Wanneer meerdere auditors of auditteams een bepaald proces of onderwerp hebben onderzocht, is het zaak om met de gezamenlijke waarnemingen een auditrapport op te stellen. Net zo min als het logisch is om een gespreksverslag per auditgesprek te maken (zie het vorige deel van dit drieluik), wil je meerdere auditrapportages tegelijkertijd over hetzelfde onderwerp in de organisatie laten circuleren.
Samenwerken bij het opstellen van de bevindingen is trouwens ook zinvol wanneer er verschillende onderwerpen zijn geaudit. Het is namelijk niet gemakkelijk om bondig en duidelijk op te schrijven wat je hebt geconstateerd. Zelfs fulltime en certificerende auditors lukt dat niet altijd, laat staan dat het de parttime interne auditors automatisch goed afgaat. Wanneer je met meerdere mensen aan de bevindingen werkt, kun je elkaar bevragen, verhelderingen voorstellen en denkfouten signaleren. De kritisch-meedenkende inbreng komt vaak het gemakkelijkst van mensen die niet bij de gesprekken (en andere manieren van gegevens verzamelen) betrokken waren.
Een praktische manier om deze samenwerking ook efficiënt te laten verlopen is elk auditteam een eerste concept van de bevindingen te laten formuleren. In een gezamenlijke bijeenkomst projecteer je de bevindingen, zodat iedereen ze voor zich heeft. Stuk voor stuk behandel je die met elkaar: is het duidelijk en relevant wat er staat, zitten er geen mening in, komt alle informatie echt uit de audit, is de weging logisch (zie ook de volgende tips). Live, en voor iedereen zichtbaar, past het auditteam de bevinding aan. Schrik er niet voor terug om meerdere conceptbevindingen samen te nemen, andere te schrappen en weer andere te splitsen! Als het maar bijdraagt aan een goed (of eigenlijk: een beter) auditrapport.
De ontvanger van een auditrapport wil weten wat er aan de hand is en waar hij aan moet werken. Een rapport waarin een uitgebreide beschrijving staat van het onderzochte proces geeft dat antwoord niet (bovendien is dit dubbel werk: het gaat al zo en staat mogelijk zelfs al in een procedure). Een bevinding die bestaat uit een heel verhaal zonder conclusie ook niet (en biedt veel ruimte voor cherry picking bij het aanpakken ervan). Net zo min als een auditrapport beginnen met een veelheid aan verantwoordingsinformatie, met de bevindingen ergens op twee derde van het rapport (zoals veel certificeerders doen).
Een goede manier om duidelijk te zijn is door je punt te maken in één zin en daaronder een toelichting te geven. Die eerste zin formuleert wat er nou precies is geconstateerd, en is dus een direct antwoord op de vraag van de ontvanger van het rapport. Het is zeker niet altijd gemakkelijk om die ene zin te formuleren, maar het is welbestede moeite! Er met meerdere mensen aan werken (zie vorige tip) is zeer behulpzaam.
In de toelichting kun je zoveel ruimte nemen als nodig om uit te leggen (voor zover relevant bij die bevinding):
Degene die het auditrapport ontvangt en met de bevindingen aan de slag moet, is een leidinggevende en is (dus) vaak op meerdere borden aan het schaken. Het is de bedoeling dat de bevindingen uit de interne audit hun weg vinden in diens denkwijze en prioriteiten, want anders blijven ze liggen en is de organisatie dus niet aan het verbeteren. Een goede formulering helpt de bevindingen die weg op.
Ten eerste zegt dat iets over het detailniveau waarop de bevinding is geformuleerd. De bevinding in het voorbeeld (zie kader) neemt twee groepen waarnemingen samen en maakt er een algemeen punt van. Zij is geformuleerd op een abstractieniveau waar een leidinggevende (in dit geval waarschijnlijk zelfs de directeur) mee overweg kan. Daarmee nodigt zij meteen uit voor een structurele verbetermaatregel (dus een corrigerende maatregel). Was ervoor gekozen om een separate bevinding te maken over de afdelingsjaarplannen en over de afspraken in de ontwikkelgesprekken, dan had diezelfde directeur twee acties uitgezet, die vermoedelijk zouden leiden tot een verbeterslag van de bestaande documenten (een correctie). Of in het gunstigste geval tot een verbeterd format. Nuttig, maar het maakt de organisatie niet beter en slimmer. Laat staan wat er gebeurd was als over elk afdelingsplan dat niet concreet en meetbaar was, een aparte bevinding was gemaakt. De leidinggevenden zouden zich vooral geërgerd hebben aan de hoeveelheid bevindingen en niet geneigd zijn tot echte actie.
Ten tweede helpt een bevinding de verbetering op weg door het taalgebruik. Bij marketing en verkoop vinden we het normaal om de ‘taal van de klant’ te spreken, maar om het auditrapport ‘verkocht’ te krijgen is dat ook nodig. Geef je auditklant daarom een paar taalhaakjes. De taal van leidinggevenden is managementtaal, en die zie je in het voorbeeld terug in “Management by Objectives”, “(strategische) prioriteiten” en “wat er bereikt is”. (En in dit geval is ook het citaat uit de norm een prettig taalhaakje, maar dat is eerder uitzondering dan regel.)
Auditrapportages zijn nogal eens een allegaartje aan bevindingen. Forse problemen staan gemoedelijk naast kleinere en tussendoor wordt ook nog de vondst van een best practice of een idee van een auditee gemeld. Niet alleen suggereert een dergelijke (gebrek aan) structuur dat het verantwoordelijk management blijkbaar zelf mag bepalen hoe erg iets is en dus wat aangepakt wordt. Het schiet ook tekort ten opzichte van de eis om “de auditbevindingen en andere geschikte informatie die tijdens de audit is verzameld te beoordelen” (ISO 19011). Een weging is dus vereist.
Aangezien een audit in de eerste plaats een compliance-check is, moet op zijn minst duidelijk zijn welke bevindingen afwijkingen zijn. Dat is het geval wanneer er anders wordt gewerkt dan is voorgeschreven in het organisatiebeleid, de procedure, de werkorder, en dergelijke. Of er wordt niet voldaan aan de intentie van de ISO-norm of relevant beleid. Bevindingen die op dat soort situaties duiden moeten helder herkenbaar zijn doordat ze ook gewoon ‘afwijking’ of ‘non-conformity’ (of geeft het een andere naam) genoemd worden.
Niet alle afwijkingen zijn even erg. Dat een aantal procedures niet actueel zijn is van een andere orde dan dat er geen structurele veiligheidscontrole van het eindproduct is. Het is dus handig om afwijkingen een verdere weging mee te geven.
Certificeerders werken in het algemeen met twee smaken, met namen als: minor en major, aanmerking en tekortkoming, of kritiek en niet-kritiek. Een dergelijke tweedeling werkt ook goed voor interne audits. Maar wanneer is een afwijking groot of klein? Daarvoor kun je criteria gebruiken zoals:
Om misverstanden met het management te voorkomen: dit is het oordeel van de auditors, op basis van de steekproef. Het management kan – na onderzoek! – concluderen dat het mee- of tegenvalt en (de snelheid van) haar actie daarop afstemmen.
Omdat in de ideale audit ook is gezocht naar verbetermogelijkheden, ligt het voor de hand om ook een beoordelingscategorie te hebben die zo heet. Hieronder vallen de bevindingen die wijzen op iets dat 'niet fout, maar ook niet handig is'.
Ten slotte zal elke audit ook zaken aan het licht brengen die opvallend goed zijn functioneren. Bijvoorbeeld afgezet tegen wat elders in de organisatie gebeurt, of omdat het een forse verbetering is ten opzichte van een eerdere audit. Maar het kan ook om een goed idee of best practice gaan. Ook die bevindingen verdienen een duidelijke plaats in het rapport! Door ook positieve punten te benoemen, krijgt het rapport een afgewogen lading, wat de acceptatie van de afwijkingen enorm vergroot. En trouwens, in de positieve punten liggen óók aanknopingspunten voor verbeteringen.
Vanzelfsprekend leidt een interne audit tot een auditrapport. De beste manier om de bevindingen zonder vervorming vast te houden is immers om ze op te schrijven. (En het moet van de ISO-normen.) Het rapport wordt even vanzelfsprekend aan het verantwoordelijke management verzonden. Maar de impact kan groter, met een eenvoudige ingreep: stuur het rapport pas op na een mondelinge terugkoppeling.
De mondelinge rapportage hoeft niet langer dan 15 tot 30 minuten te duren, en kan door het gehele auditteam worden gedaan, of door een vertegenwoordiging. Besteed daarin de nodige tijd aan de inkleuring en (de ook opgeschreven) toelichting van de bevindingen. Door de interactie zal de manager én beter onthouden wat er aan de hand is, én beter begrijpen hoe de auditors tot hun oordeel zijn gekomen. Dat draagt niet alleen bij aan de kwaliteit van de opvolging, maar ook aan het imago van het auditteam.
Het kan natuurlijk niet anders dan dat de laatste tip over evalueren gaat: dat is immers een essentieel onderdeel van een goed managementsysteem. Het kan interessant zijn om bij een aantal auditees navraag te (laten) doen naar hun terugblik op de audit.
Maar het is vooral zinvol dat het auditteam zich afvraagt:
Open deur: houd de goede dingen vast en neem actie om de dingen die anders moeten te verbeteren.
Diederik van der Burg is auditor, trainer en adviseur bij Adburdias. Hij ondersteunt vooral middelgrote organisaties bij het vergroten van hun effectiviteit door de strategievorming te begeleiden en door het (kwaliteits)managementsysteem te optimaliseren en verbeteren. Dat doet hij onder meer door interne auditors te trainen, coachen en begeleiden.
Dit artikel is eerder gepubliceerd in Kwaliteit in Bedrijf, juli-augustus 2023.