Nog vier suggesties voor betere systeemaudits

Gepubliceerd op 28 april 2023 om 16:38

Als enthousiaste voorstander van systeemcertificatie en ervaren 'ontvanger' van certificatie-audits, heb ik onlangs weer een aantal audits meegemaakt. Ik wil graag weer mijn suggesties delen om de kwaliteit van dergelijke audits te verbeteren. Er is namelijk altijd ruimte voor verbetering. Lees verder voor mijn tips en inzichten op basis van de 'best practices' die ik heb mogen zien.

Ik moet zeggen dat mijn recente ervaringen wisselend waren. De ene Lead Auditor alle moeite deed om alle normeisen aan te tippen om een totaalbeeld te verkrijgen. Een andere Lead Auditor richtte zich juist op een beperkt aantal 'kritieke' onderdelen. Hierbij was zijn uitgangspunt dat als deze onderdelen zouden voldoen, het het zeer aannemelijk zou zijn dat het gehele managementsysteem voldoet. Van mijn kant geen waardeoordeel, maar de ene aanpak  levert mij meer vertrouwen op dan de andere. Beide uitersten vonden plaats bij hercertificatie-audits, overigens. Maar ook tijdens controle-audits genoeg leerzame voorbeelden.

Uitleg tijdens openingsbijeenkomst

Mijn eerste leerzame voorbeeld betrof een Lead Auditor die voldoende tijd nam om tijdens de openingsbijeenkomst uitleg te geven over zijn werkwijze. Hij stipte onder andere aan dat zijn audit geen momentopname zou zijn. Eventuele negatieve gebeurtenissen die tijdens de audit zouden plaatsvinden, zouden het totaalbeeld over de effectiviteit van het managementsysteem niet beïnvloeden.

De Lead Auditor legde uit een managementsysteem te komen beoordelen. Geen proces, noch individuele producten of diensten. Het gaat om het vaststellen dat er binnen organisatie voldoende maatregelen zijn geïmplementeerd. In dat geval kan er vertrouwen zijn dat gedurende de gehele cyclus aan de eisen uit de norm zal worden voldaan. Significante wijzigingen  behoren te worden gemeld aan het auditteam. Zodat kan worden bepaald of het vertrouwen kan worden gehandhaafd.

De nadruk op het managementsysteem was onder andere merkbaar bij het beoordelen van de interne audits. In dit geval had ik deze voor mijn rekening genomen. Maar dat is een bijzaak. De Lead Auditor stelde niet slechts vast dát er een auditprogramma beschikbaar was, dát er auditplannen waren opgesteld en dát er auditrapporten waren opgeleverd aan het verantwoordelijke management, maar zocht dieper. Ik werd stevig aan de tand gevoeld over hoe ik de interne audits had aangepakt. De gevolgde stappen, maar zeker ook de afstemming met de directie en gemaakte afwegingen tijdens de voorbereiding en de uitvoering. Niet alleen om te achterhalen of ik me aan de regeltjes had gehouden, maar ook om vast te kunnen stellen dat ik niet 'zo maar' wat had gedaan. Ofwel, is het onderdeel de interne audits bij mijn klant werkelijk een effectief instrument zijn om de beheersing van processen in de gaten te houden. Of slechts een procedureel 'moetje'. Door middel van het inzetten van zijn 'professional judgement'.

Vasthouden aan toepassingsgebied van de norm

Mijn tweede goede voorbeeld was een Lead Auditor die de focus wist te houden op het toepassingsgebied van de norm waartegen werd geaudit. In dit geval een audit tegen ISO 9001. Succesvol kwaliteitsmanagement levert een positieve bijdrage aan de 'business'. Maar kwaliteitsmanagement niet hetzelfde als 'business management'.  Hooguit een onderdeel daarvan. En dus zijn kwaliteitsrisico's niet hetzelfde als business risico's. In het verlengde is kwaliteitsmanagement niet hetzelfde als business continuity management. Een verstoring van een proces leidt namelijk niet per se tot inbreuk op de kwaliteit.

En het ging nadrukkelijk ook niet over veiligheid & gezondheid (van medewerkers), mogelijke milieu-incidenten of informatiebeveiliging. Natuurlijk kan ieder onderwerp via voldoende doorredeneren worden gekoppeld aan het niet kunnen voorzien in producten of diensten die niet aan de eisen voldoen. Maar dat is niet de bedoeling. Het is zaak om hoofdzaken van bijzaken te onderscheiden. Een haperende koffieautomaat, een te vervangen batterij in een AED of een te laat geïnspecteerde brandblusser leiden ongetwijfeld tot ongemak. Maar het zijn niet de belangrijkste oorzaken van producten en diensten die niet aan eisen voldoen. De ene Lead Auditor van dienst had dat scherper in de gaten dan de andere.

Meer dan het minimale rapporteren

Een derde voorbeeld om na te volgen is het bewaken van de samenhang binnen de cyclus. Een positieve ervaring was dat een nieuw auditteam zonder al te veel moeite de draad van een lopende cyclus oppikte. Het was niet nodig om de directie uitgebreid te laten uitleggen wat de context van de organisatie is. Na een korte introductie van de aanwezigen, werd vrijwel direct voortgegaan op de voorgaande audit.

Het kan niet anders dat het vorige auditteam behoorlijk nauwkeurig heeft gerapporteerd. Meer dan het minimale. Over de organisatie, de markt waar ze opereert, de sleutelfunctionarissen en de opzet van het managementsysteem. Ik doe maar een gok. Veel Lead Auditoren die ik ken zijn niet heel erg dol op het schrijven van rapporten. Daar heb ik alle begrip voor. Maar niemand kan toch ontkennen dat het rapporteren onlosmakelijk verbonden is met het doen van een onderzoek. Met name om te onderbouwen waarop een conclusie (beslissing) in gebaseerd. Maar iets meer rapporteren dan de minimumvereiste, helpt zeker om de samenhang tussen de audits te vergroten. En daarmee de kwaliteit van de audits binnen de cyclus. Rapporteren is niet altijd het leukste, maar iemand moet het doen.

Geen hypothetische vragen stellen

Een vierde voorbeeld waar iedere Lead Auditor voordeel uit kan halen is het stellen van echt concrete vragen. Ik bedoel vragen waarvan de antwoorden ook echt kunnen worden geverifieerd. Deze Lead Auditor vroeg niet wat een geïnterviewde medewerker zou doen in een hypothetisch situatie. Hij stelde vragen over activiteiten die werkelijk hebben plaats gevonden. Niet: "hoe zou je 'dit' aanpakken?", maar "hoe heb je 'dat' aangepakt?".

Een klein verschil, maar ik heb gemerkt dat daarmee echt objectief bewijs beschikbaar komt. In plaats van antwoorden waar het waarheidsgehalte beperkt is. Omdat niemand kan garanderen dat de geïnterviewde werkelijk zal handelen zoals verteld. Het is natuurlijk goed om te onderzoeken of medewerkers weten wat ze moeten doen in bepaalde situaties. Bijvoorbeeld om te achterhalen of medewerkers zich bewust van bepaalde afspraken. Maar als dit onderwerpen aan de hand van echte voorbeelden wordt besproken, kunnen de antwoorden echter eenvoudiger worden geverifieerd. Het vermijden van hypothetische vragen is daarom aan te raden.

Geen advies, maar toch extra toegevoegde waarde

De primaire toegevoegde waarde van een Lead Auditor is het geven van een onafhankelijk oordeel over het voldoen aan normeisen van een geïmplementeerd managementsysteem. En daarnaast het signaleren van (potentiële) problemen. Het liefst voordat ze door de organisatie zelf zijn ontdekt én voordat ze werkelijk schade aanrichten. Dat is feitelijk al zeer waardevol.

Iedere Lead Auditor wil graag nog meer toegevoegde waarde leveren. En klanten van certificatie-instellingen willen ook vaak meer. In de vorm van 'suggesties' van de Lead Auditor. Over hoe een specifiek onderwerp aan te pakken. Maar de accreditatieregels verbieden 'advies' te geven. Een terloopse opmerking in de trant van "bij andere organisaties heb ik wel eens gezien dat ze het 'zo' oplossen", is vanzelfsprekend niet toegestaan. Gewoon omdat het niet netjes is om de ideeën van een andere organisatie door te fluisteren aan een andere. Maar ook dat een jaar later een 'slager-keurt-z'n-eigen-vlees'-situatie kan ontstaan.

Een voorbeeldige aanpak op dit gebied was dat één van de Lead Auditors liet blijken over veel kennis van de grote voorgangers, zoals Deming, Juran, Crosby en Ishikawa te beschikken. Hij hoefde dus bij zijn uitleg terug te vallen op 'dat moet dan de ISO', maar kon teruggrijpen op de oorsprong van de eisen. Hierdoor begreep de organisatie beter het nut. En ontstond na afloop van de audit de motivatie om een onderdeel van het managementsysteem te verbeteren. Zonder dat er sprake was van een afwijking.

Slotpleidooi

Het vertrouwen in certificatie hangt voor een groot deel af van de ervaringen die medewerkers van gecertificeerde organisaties opdoen tijdens certificatie-audits. Lead Auditors die laten merken de organisatie werkelijk te hebben doorgrond, worden gewaardeerd. Lead Auditors die werkelijk de vinger op een zere plek leggen, die kunnen uitleggen wat de achtergrond is van een eis en die 'streng, maar rechtvaardig' oordelen leveren toegevoegde waarde. Want als ze bij 'onze organisatie' zo te werk gaan, lees 'streng oordelen', zullen ze dat ook bij andere organisaties doen. En dus kunnen we echt vertrouwen op dat certificaat. Gelukkig ontmoet ik voldoende Lead Auditors die zo te werk gaan.