Interne audits 2.0

Gepubliceerd op 4 januari 2019 om 14:56

Het gebeurt wel eens dat ik tijdens een training vraag aan de deelnemers of ze ook interne audits zouden uitvoeren als dit niet (meer) in de norm zou staan. Niet altijd krijg ik dan de antwoorden die ik vanuit didactische perspectief wens.

Soms geeft de meerderheid aan dat ze écht wel interne audits blijven doen. Meestal geeft de meerderheid aan dat ze direct met interne audits zouden stoppen. Want interne audits kosten veel tijd en leveren maar weinig op. Ik geloof ze direct op hun woord. Althans als we het eens zouden zijn over wat interne audits zijn.

Binnen veel organisaties zijn interne audits – en ik chargeer een beetje – periodieke, procedurele ‘rituele dansen’ om het systeem te behagen. Vooral omgeven door een opmerkelijk soort ‘officiële’ regels en protocollen. Omdat dat nu eenmaal zo moet.

Veel organisaties maken het begrip ‘onafhankelijkheid’ te groot. Dit leidt tot verstikkend strikte procedures. Krampachtig wordt voorkomen dat medewerkers hun ‘eigen werk’ auditen. Het is een mythe dat dat in ISO 9001 staat, maar dat terzijde.

Als dít het beeld is van wat interne audits zijn of zouden moeten zijn, dan snap ik dat iedere organisatie direct ermee stopt als het niet meer ‘verplicht’ is. Maar als we het ‘concept’ interne audit anders duiden, dan ben ik er van overtuigd dat iedere organisatie die continue verbeteren hoog in het vaandel heeft staan, zonder tegenzin interne audits uitvoert.

Als we stellen dat uitvoerende medewerkers van iedere organisatie beter dan wie ook op de hoogte zijn van wat er (wel eens) verkeerd gaat ‘in de productie’, dan ligt het voor de hand dat een verstandige directie graag in gesprek komt met deze medewerkers. Want deze medewerkers beschikken over informatie waarmee een organisatie haar prestaties kan verbeteren.

 

Het is in het belang van een organisatie om zoveel mogelijk van die waardevolle informatie naar boven te halen. Hiervoor is een aanpak nodig die uit gaat van wederzijds vertrouwen in plaats van wederzijds wantrouwen. De auditoren moeten er op vertrouwen dat medewerkers geen informatie achterhouden, opdat beweringen van feiten zonder probleem als objectief bewijs worden gebruikt. Medewerkers moeten er op vertrouwen dat auditoren integer om gaan met verkregen informatie, opdat zij ook minder prettige informatie kunnen delen.

De striktheid die veel organisaties menen te moeten hanteren, werkt hier contraproductief. Een interne audit is niet per se een compliance audit. En als het instrument wel als compliance audit wordt ingezet, dan hangt er sowieso geen externe erkenning aan vast. Een interne audit is niet bedoeld om aan de buitenwereld de competentie van de organisatie aan te tonen. Een interne audit levert geen certificaat op.

Of de striktheid nu voortkomt uit onderling wantrouwen, of dat onderling wantrouwen tot striktheid leidt, doet er niet toe. Een aanpak waarbij een medewerker door twee auditoren wordt ondervraagd, waarbij iedere bewering leidt tot een wedervraag als ‘kun je dat laten zien?’ of ‘waar staat dat beschreven?’ en waarbij gespreksverslagen moeten worden ondertekend om discussies te vermijden of iets wel of niet is gezegd, leidt er toe dat medewerkers minder open zullen zijn. Waardoor niet alle zwakke plekken in een organisatie worden benoemd. En deze dus blijven bestaan.

Bij een interne audit hebben de auditor en de medewerkers (die als informatiebron fungeren) hetzelfde belang. Namelijk dat de organisatie zich verbetert. Hetzij door het verminderen van fouten, hetzij door nieuwe ideeën toe te passen. Het uitgangspunt zou daarom wederzijds vertrouwen moeten zijn. Dat houdt in dat niet bij ieder gesprek een getuige aanwezig hoeft te zijn. Dat houdt in dat een auditor een geïnterviewde in beginsel op diens woord gelooft. Dat houdt in dat een geïnterviewde niet hoeft te twijfelen of een auditor wel een waarheidsgetrouw verslag maakt.

En dat houdt ook in dat er meer vrijheden worden gepermitteerd binnen het auditproces. Vrijheden in de vorm van andere thema’s dan ‘voldoen aan de eisen uit de norm’. Vrijheden in de vorm van ruimte voor improvisatie door auditoren. En bijvoorbeeld vrijheden in de vorm van andere werkvormen. Andere werkvormen die gebruik maken van andere informatiebronnen. Werkvormen die misschien allang worden gebruikt om informatie naar boven te halen maar die misschien niet als ‘auditmethode’ worden herkend.

Misschien loopt een ‘auditor’ iedere ochtend, middag of avond een rondje over de productievloer. En misschien stelt deze ‘auditor’ hier en daar wat vragen over hoe de productie vandaag is gegaan. Met in het achterhoofd het incident van vorige week. 

Misschien worden er vanuit een ander project zogenaamde ‘brown paper sessies’ gehouden. Of toolbox-meetings vanuit een veiligheidsoogpunt. Tijdens deze sessies wordt misschien wel besproken hoe dingen kunnen worden verbetert. Door een secretaris of notulist aan te wijzen, kunnen de ideeën die tijdens zo’n sessie worden geopperd worden vastgelegd. En in een later stadium worden (her)overwogen.

En misschien worden er binnen een organisatie ‘bij de koffieautomaat’ of tijdens bedrijfsfeesten wel heel interessante onderwerpen besproken met betrekking tot de bedrijfsvoering. (Waar moet je het anders over hebben met collega’s?). Niet dat een ‘auditor’ als een soort undercover agent moet rapporteren wat er is besproken, maar er is niets op tegen om op een geschikt moment ergens op terug te komen.

Deze voorbeelden voldoen misschien niet volledig aan de eisen uit de norm en de richtlijnen uit ISO 19011. Maar wie deze eisen, of misschien beter de auditprincipes (uit ISO 19011) langs deze methoden legt, ziet vanzelf dat er maar heel weinig nodig is om het label ‘interne audit’ toe te kennen.

Organisaties die van mening zijn dat als de norm geen eisen meer zou stellen over interne audits, zijn óf niet geïnteresseerd in hun eigen ‘capaciteiten’ óf hebben een (te) beperkte blik op wat interne audits zijn en wat ze kunnen opleveren.


«   »

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.