De interne audit

In managementsystemen is de interne audit een van de belangrijke meetmethoden om vast te stellen of een organisatie op de goede weg is. Om de “prestaties te evalueren”, zoals de ISO-normen (bijvoorbeeld 9001, 14001 en 27001) dat noemen. Daarmee staat de interne audit op gelijke voet met (kritieke) prestatie-indicatoren (kpi’s) en procesmetingen. Gecertificeerde organisaties merken daarnaast dat hun certificeerder veel nadruk legt op de interne audits. Dat leidt er dan weer toe dat interne audits vaak louter worden gezien als een verplicht nummer. Zonde, want interne audits kunnen echt een krachtig instrument zijn voor de continue verbetering van de organisatie, en daarmee een goed hulpmiddel voor het management.

Wat is een interne audit?

Om te begrijpen waarom het zo’n zinvol en krachtig instrument is, is het handig om te weten hoe de interne audits eigenlijk bedoeld zijn volgens de ISO-normen. Het komt erop neer dat er vastgesteld moet worden of het managementsysteem voldoet aan de eisen, doeltreffend is ingevoerd en verbeterd wordt. De eisen betreffen zowel het beleid van de eigen organisatie (en de verdere invulling daarvan) als de eisen van de desbetreffende ISO-norm(en).

Er moet dus onderzocht worden of er gewerkt wordt binnen de afgesproken kaders en of er lessen getrokken worden waarmee de kaders en werkafspraken verbeterd worden. Dat klinkt als precies wat de taak van een manager is; behalve dat de interne audit gaat over “vaststellen of” dit gebeurt. Daarmee geeft de audit enerzijds het hogere management informatie over de effectiviteit van het lagere management. En anderzijds is het voor alle niveaus management een instrument om de compliance vast te stellen.

(De focus op compliance is overigens een gemiste kans in de normen. Interne auditors komen namelijk ook geregeld verbetermogelijkheden op het spoor: zaken die niet ‘fout’ zijn, maar ook niet handig bedacht of ingevoerd. Verstandige organisaties maken dan ook het zoeken naar verbetermogelijkheden tot een tweede hoofddoel van hun interne audits. Waarmee ze uiteindelijk ook beter recht doen aan de bedoeling van de ISO-normen dan met de beperkte focus op compliance.)

Wanneer is een interne audit goed?

Willen interne audits een bijdrage leveren aan de (verbetering van de) organisatie, dan is het belangrijk de volgende randvoorwaarden in acht te nemen:

  • Degenen die de interne audits uitvoeren moeten geen belang hebben bij het onderzochte proces. Met andere woorden: zij worden niet gehinderd door de dagelijkse routines of ergernissen, noch hebben zij verantwoordelijkheid voor de mensen in, of de uitkomsten van het proces. Deze regel voorkomt dat individuele belangen op een oneigenlijke manier worden behartigd.
  • Audits richten zich op het proces en de randvoorwaarden daarvan. Zij richten zich niet op het functioneren van individuele personen.
  • Er moet voldoende worden onderzocht. Het komt in de praktijk geregeld voor dat relatief weinig mensen worden geïnterviewd of bijvoorbeeld slechts een of twee projecten worden bekeken. De neiging bij de verantwoordelijke managers is dan groot om verzachtende omstandigheden aan te voeren. Kent de audit een bredere basis, dan zijn de bevindingen minder anekdotisch en worden daardoor makkelijker geaccepteerd. En dus beter opgelost.
  • Er moet slim worden onderzocht. De meest bekende vorm van interne audits zijn interviews. Soms is echter een andere onderzoeksmethode handiger, bijvoorbeeld: een enquête, het observeren van werkzaamheden, dossieronderzoek, of het bezoeken van een (werk)locatie. Soms is het slim om verschillende onderzoeksmethoden te combineren. Wat vaak wordt vergeten is dat sowieso onderdeel van een goed auditinterview is om ook te kijken naar de gespreksonderwerpen: zie met de auditee enkele dossiers in, kijk mee met het werk, enzovoorts.
  • Zoek dus ook naar mogelijke verbeteringen. De relatieve onbevangenheid van de auditors is daarin een krachtig hulpmiddel: zij worden niet gehinderd door de gedachte “zo doen we dat altijd al”.
  • Auditors moeten in staat zijn om in processen te denken (versus ‘politie-agentje spelen'). Zij moeten processen beoordelen op de toegevoegde waarde voor de organisatie en voor de klanten. Ook moeten zij nagaan in welke mate de risico's in de procesloop zijn afgedekt.
  • Auditors constateren slechts. Tenminste de feiten, waar mogelijk ook de gevolgen die zij (voor)zien. Auditors zijn niet verantwoordelijk voor het oplossen van de knel- en verbeterpunten die zij signaleren. Dat is de taak van het management! Deze taakscheiding wordt vaak niet in acht genomen, met als gevolg dat oplossingen niet het echte probleem oplossen en/of niet geaccepteerd worden door de verantwoordelijken. Hele audits zijn op die manier verloren moeite en dus weggegooid geld.
  • Het management voert structurele verbeteringen door. Het volledige auditproces is pas succesvol te noemen als de Deming-cirkel volledig wordt gesloten: na de Check door de auditors, de Act door het management.

Wil je een flinke dosis tips van ons ontvangen om je interne audits (verder) te verbeteren? Download dan onze artikelreeks 'betere interne audits'!

Zo krijg je het soepel aan het werk

Om interne audits echt effectief te laten zijn is het in de eerste plaats zaak dat de interne auditors training en begeleiding hebben gehad in de specifieke vaardigheden van die rol. Onder meer het procesdenken en verbeterings- en risicogericht interviewen zijn voor de meeste mensen die interne auditor worden nieuwe vaardigheden. Ook het rapporteren van de bevindingen – een opvallend belangrijke kritieke succesfactor! – vraagt veel oefening.

In de tweede plaats moeten de interne audits een logisch element zijn in het werk van het management. Door de doelstelling en de vorm van de interne audits, kunnen ze voor de verantwoordelijken belangrijke extra informatie opleveren over de effectiviteit van het managementsysteem (zie ook de directiebeoordeling). Dat betekent omgekeerd ook dat wanneer een manager meer informatie wil over een proces, hij de interne audit in kan zetten als (een) middel om die informatie te verzamelen. Door hun onafhankelijkheid zullen auditors andere dingen zien en horen dan een manager die dezelfde vragen aan dezelfde personen stelt.

Wanneer aan deze voorwaarden wordt voldaan, dan blijven de interne audits weliswaar verplicht door de normen, maar zijn ze bovenal een managementinstrument geworden!

💡 tip: Wanneer een organisatie in crisis geraakt, is het verstandig de interne audits niet zomaar stil te leggen, maar eerst een paar vragen te stellen.

Adburdias kan op verschillende manieren helpen om de interne audits in jouw organisatie op te zetten of ze beter te laten lopen:

  • nieuwe interne auditors trainen of bestaande bijscholen,
  • bestaande interne auditors ondersteunen bij het voorbereiden en rapporteren van hun audits,
  • (sommige) interne audits uitvoeren; vooral voor kleinere organisaties een handige manier om de audits niet alleen goed, maar ook onafhankelijk uit te voeren.

Meer weten? Neem dan contact met ons op! Vele anderen gingen je voor.

Scroll naar boven