In een wereld waarin regelgeving, technologie en bedrijfsrisico’s en stakeholderverwachtingen voortdurend veranderen en de dienstverlening van organisatie worden beïnvloed, is een effectief, risicogebaseerd auditprogramma belangrijker dan ooit. De ISO-managementnormen stellen daar in de interne auditparagraaf 9.2.2 ook eisen aan: “De organisatie moet (een) auditprogramma(’s) plannen, vaststellen, implementeren en onderhouden (...), waarbij rekening moet worden gehouden met het belang van de betrokken processen, met veranderingen die van invloed zijn op de organisatie, en met de resultaten van voorgaande audits.”
Toch hoor ik van deelnemers in mijn trainingen nog regelmatig dat organisaties auditprogramma’s opstellen met een vaste cyclus, vaak op basis van de geldigheidsduur van een ISO-certificaat. Er wordt dan een programma opgesteld voor drie jaar, waarbij elk proces of elke ISO-paragraaf ten minste één keer per drie jaar wordt getoetst, “omdat dat van de ISO moet”. Het gevolg van zo’n ‘in beton gegoten’ programma is dat audits te veel tijd besteden aan minder relevante processen, terwijl de echte risico’s onderbelicht blijven en daardoor pas laat of helemaal niet worden ontdekt.
Deze aanpak maakt het moeilijk om proactief te handelen en kan leiden tot een vals gevoel van veiligheid. In de trainingen bij LRQA helpen we auditors daarom om een andere mindset te ontwikkelen: niet controleren om te voldoen aan de regels, maar om echte risico’s te identificeren en kansen aan te pakken.
De kernprincipes van een risicogebaseerd auditprogramma
Een risicogebaseerde aanpak zorgt ervoor dat audits zich richten op de gebieden die de grootste impact hebben op de organisatie. Maar hoe breng je dit in de praktijk? En hoe zorg je ervoor dat audits niet alleen een controlemechanisme blijven ‘omdat dat van de ISO moet’, maar ook echte waarde toevoegen?
Een auditprogramma dat is gebaseerd op risico’s vraagt om een andere manier van denken. Dit zijn de kernprincipes die ik benadruk in mijn trainingen:
1. Bepaal de echte risico’s
Een risicogebaseerd auditprogramma begint met een gedegen risicoanalyse. Dit betekent dat je moet kijken naar interne en externe factoren die impact hebben op de organisatie, zoals veranderende wet- en regelgeving, technologie, marktontwikkelingen, stakeholderverwachtingen. Daarnaast stel je vast welke processen voor de organisatie het meest kritisch zijn in relatie tot de voor de organisatie belangrijke aspecten. Denk daarbij aan klanttevredenheid, productkwaliteit, (voedsel)veiligheid, milieu-impact, etc.
2. Zorg voor flexibiliteit boven starheid
Het is praktisch om te starten met het opzetten van een initieel auditprogramma, waarbij alle processen een plek krijgen, waarbij de belangrijke processen met een hogere frequentie (en in de uitvoering met meer diepgang) worden ingepland dan de minder belangrijke processen.
Daarnaast moet er in het programma wel ruimte blijven bestaan om te kunnen meebewegen met veranderende omstandigheden. Denk bijvoorbeeld aan een nieuwe leverancier, een veranderende wet of een opgetreden incident. Houd dus tijdvakken vrij om daarop in te kunnen spelen, dat geeft flexibiliteit en veerkracht.
3. Focus op effectiviteit, niet alleen op conformiteit
Een risicogebaseerde audit moet verder gaan dan het controleren of medewerkers zich aan de regels houden. Ook daar is de ISO-paragraaf helder in: “9.2.1 De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het KMS (….) voldoet aan: a) de eigen eisen van de organisatie (…) en b) doeltreffend is geïmplementeerd en onderhouden.”
Natuurlijk is het van belang om vast te stellen in hoeverre de afspraken worden nageleefd (en zo niet, wat daarvan de (vaak valide) reden is). Maar de ‘proof of the pudding’ is wel of een proces daarmee ook effectief is. Wat is het beoogde resultaat, welke doelen zijn vastgesteld? Een goede vraag om altijd te stellen is: Hoe ziet goed eruit? En wat heb je geregeld om zeker te stellen dat je dat ook echt bereikt (lees: welke risico’s heb je onderkend en gemitigeerd)?
4. Betrek de directie
Audits staan niet op zichzelf, maar zijn onderdeel van het ‘zelfreinigend vermogen’ van de organisatie. Goede interne audits leveren waardevolle input voor strategische besluitvorming. De resultaten van interne audits zijn niet voor niets één van de vaste onderdelen die een Directie tijdens de Directiebeoordeling moet meenemen als basis voor verbeteringen.
Een risicogebaseerd auditprogramma vereist daarom regelmatig overleg tussen het interne auditteam en de directie. Waar maakt de directie zich druk om, wat zouden zij onderzocht willen hebben, waarover willen ze zekerheid, waar zijn ze benieuwd naar, etc.? Hoe specifieker de behoefte vanuit de directie is, hoe gerichter de interne audits kunnen zijn. Bijkomend voordeel: de kans dat interne auditrapporten ongelezen in lades verdwijnen is daardoor erg klein!
De veranderende rol van de interne auditor
Effectieve, risicogebaseerde audits vragen ook om een verandering in de rol van de auditor en daarmee in de benodigde vaardigheden. Denk daarbij aan organisatie- en risicobewustzijn (snappen hoe een organisatie in samenhang werkt en waar de echte pijnpunten zitten), kritisch én nieuwsgierig denken en doorvragen (niet alleen kijken naar de regels, maar ook nieuwsgierig zijn naar de reden en de impact) en communicatieve vaardigheden (kunnen schakelen op alle niveaus in de organisatie, auditresultaten duidelijk kunnen overbrengen aan directie, management en medewerkers).
Dit is waarom training zo belangrijk is. In de trainingen bij LRQA werken we veel met praktijkcases en interactieve oefeningen, zodat auditors niet alleen kennis opdoen, maar deze vaardigheden ook direct leren toepassen.
Samengevat: audits moeten waarde toevoegen
Een risicogebaseerd auditprogramma is geen trend, maar een noodzakelijke ontwikkeling voor organisaties die echt grip willen krijgen op risico’s. Het helpt om audits strategischer in te zetten en te focussen op wat echt telt. Stap af van de traditionele, starre planningen en kijk waar de echte risico’s zitten. Dit vraagt om een andere manier van denken, maar levert uiteindelijk audits op die niet alleen controleren, maar ook bijdragen aan betere prestaties en continu verbeteren van de organisatie.
Wil je meer weten over hoe LRQA jouw organisatie kan helpen bij risicogebaseerde audits? Neem contact op met ons team of bekijk onze trainingsmogelijkheden.