Vier suggesties voor betere systeemaudits

Afgelopen jaar heb ik weer wat certificatie-audits mogen meemaken. Aan de ontvangende zijde. Zonder uitzondering prima onderzoeken. Toch kan ik het niet laten om na te denken hoe ze nóg beter zouden kunnen. Gewoon omdat verbetering altijd mogelijk is. Daarom vier suggesties om systeemaudits nog beter te maken.

1. Verschillende doelstellingen: bij het inrichten van het auditprogramma zou het misschien te overwegen zijn om uit te gaan van verschillende doelstellingen voor de verschillende audittypen. Dus dat een certificatie-audit bijvoorbeeld tot doel heeft om vast te stellen dat een organisatie aan alle eisen voldoet en een controle-audit zou dan bedoeld kunnen zijn om gedurende de certificatiecyclus het vertrouwen te houden dat het managementsysteem aan de eisen blijf voldoen. En dat een hercertificatie-audit ook weer een specifiek doel heeft. Iets als het bevestigen dat het managementsysteem als geheel bij nog steeds aan de eisen voldoet en doeltreffend is.
   Maar vooral ook dat het verschil tijdens de verschillende typen audits te merken is. Die verschillende doelstellingen zouden namelijk wel eens kunnen leiden tot verschil in opzet. Waardoor bijvoorbeeld tijdens een controle-audit niet alle onderdelen worden beoordeeld in de minder beschikbare tijd. Want dat is  al tijdens de voorgaande (her)certificatie-audit gedaan. Maar dat de aandacht vooral uitgaat naar de onderdelen gelden als pijlers onder een goed functionerend systeem. 
2. Kennismaken met organisatie: omdat iedere organisatie weer anders is, is het te overwegen om voorafgaand aan de audit tijd te reserveren om kennis te maken met de organisatie. De situatie ter plaatse te ervaren, kennismaken met dé sleutelfiguren binnen de organisatie en uitleg te krijgen over de opzet van het managementsysteem. Het oordelen nog even uit te stellen om zoveel mogelijk inzicht in de organisatie en haar managementsysteem te krijgen. En dat verkregen inzicht te gebruiken om de 'echte' audit gerichter te kunnen inrichten.
   En misschien is het slim om hier iets van vast te leggen. Omdat het onmogelijk is om dergelijke informatie voldoende gedetailleerd te onthouden tot de volgende audit. Gedacht kan worden aan kenmerkende zaken over de (context van de) organisatie en de opzet van het managementsysteem. Maar ook welke documenten van de organisatie relevant kunnen zijn voor de audit. Dat levert voor latere audits bruikbaar inzicht in de organisatie, zodat bij volgende audits alleen wijzigingen zouden hoeven te worden besproken. En een eventueel nieuw auditteam hoeft niet helemaal opnieuw kennis te maken met de organisatie, want de belangrijkste zaken staan al beschreven.
3. Plannen verzamelen bewijs: voor iedere audit zou een specifiek plan kunnen worden opgesteld. Een plan dat past bij het type audit én bij de specifieke organisatie. Een plan dat - als ware het een 'onderzoeksplan' - aangeeft wat specifiek wordt onderzocht en hoe het benodigde objectieve bewijs wordt verzameld. Inclusief de onderbouwing van de steekproef die een audit nu eenmaal is. Opdat die eerder geformuleerde doelstelling (zie punt 1) kan worden behaald.
   Door vervolgens vast te houden aan dat plan wordt voorkomen dat incidenten die zich tijden de uitvoering van de audit voordoen, invloed hebben op hetgeen wordt onderzocht. Een audit wordt daardoor meer systematisch en minder gevoelig voor willekeur. En als het plan 'op tijd' aan de organisatie wordt gemaild, is het ook eenvoudiger om de juiste mensen op het juiste moment beschikbaar te maken.
4. Afstemmen met organisatie: voor de meeste organisaties is een externe audit geen dagelijkse bezigheid. Daarom zou het een idee kunnen zijn om aan het begin van de audit even goed met de organisatie doornemen hoe de audit zal verlopen. Eventueel samen nog wat aanpassingen maken aan het plan. Zonder daarbij afbreuk te doen aan de onderbouwing van de steekproef.
   Maar vooral zorgen dat de organisatie weet wat ze kan verwachten en wat er van haar wordt verwacht. Een organisatie mag bijvoorbeeld verwachten dat een systeemaudit geen procesaudit is en zeker geen inspectie. Dus dat het auditteam zelf geen inspecties zal uitvoeren, maar wel de aandacht zal richten op de inspecties die de organisatie zelf heeft uitgevoerd. Verder kan worden toegelicht dat van de organisatie wordt verwacht dat zij 'helpt' op het benodigde bewijs van conformiteit te verzamelen. Want dat is tenslotte wat waar het auditteam voor komt: zoeken naar bewijs van conformiteit (in plaats van zoek naar non-conformiteit). Het is dus in het belang van de organisatie dat dat bewijs wordt gevonden. Uiteraard geldt ook hier dat geen afbreuk zou mogen worden gedaan aan de betrouwbaarheid van de steekproef.

Natuurlijk is het makkelijk om vanaf de zijlijn commentaar te geven. Het moet daarom ook niet worden beschouwd als kritiek, maar als simpele suggesties van een belangstellende omstander. Grotendeels gericht op het vergroten onderlinge begrip. Tussen organisatie en het auditteam. Opdat er nog meer meerwaarde kan worden gecreëerd tijdens certificatie-audits.