In een wereld waarin regelgeving, technologieën, bedrijfsrisico's en verwachtingen van belanghebbenden voortdurend veranderen en van invloed zijn op de manier waarop bedrijven hun diensten leveren, is een effectief, op risico's gebaseerd auditprogramma belangrijker dan ooit. De ISO Managementsysteemnormen stellen hier ook eisen aan in paragraaf 9.2.2 over interne audit: “De organisatie moet een auditprogramma of -programma's plannen, vaststellen, implementeren en onderhouden (...), rekening houdend met het belang van de betrokken processen, veranderingen die van invloed zijn op de organisatie en de resultaten van eerdere audits”.
Toch hoor ik deelnemers aan mijn trainingen nog regelmatig zeggen dat bedrijven auditprogramma's opstellen met een vaste cyclus, vaak gebaseerd op de geldigheidsduur van een ISO-certificaat. Er wordt dan een driejarenprogramma opgesteld, waarbij elk ISO-proces of -paragraaf minstens één keer in de drie jaar wordt getoetst, “omdat ISO dat nu eenmaal vereist”. Het gevolg van zo'n “in steen gegoten” programma is dat audits te veel tijd besteden aan minder relevante processen, terwijl de echte risico's onderbelicht blijven en dus laat of helemaal niet ontdekt worden.
Deze benadering verhindert ons om proactief te zijn en kan leiden tot een vals gevoel van veiligheid. Tijdens de trainingen van LRQA helpen we auditors daarom een andere mindset te ontwikkelen: het gaat niet om auditen om aan de regels te voldoen, maar om de echte risico's te identificeren en de kansen te grijpen.
De basisprincipes van een risicogebaseerd auditprogramma
Een risicogebaseerde aanpak zorgt ervoor dat audits zich richten op de gebieden die de grootste impact hebben op de organisatie. Maar hoe breng je dit in de praktijk? En hoe zorg je ervoor dat audits niet slechts een controlemechanisme zijn “omdat ISO dat zegt”, maar dat ze echt waarde toevoegen?
Een op risico gebaseerd auditprogramma vereist een andere manier van denken. Dit zijn de fundamentele principes waar ik me in mijn trainingen op richt:
1. De echte risico's identificeren
Een risicogebaseerd auditprogramma begint met een diepgaande risicoanalyse. Hierbij onderzoek je de interne en externe factoren die van invloed zijn op de organisatie, zoals veranderingen in wet- en regelgeving, technologie, marktontwikkelingen en verwachtingen van belanghebbenden. Daarnaast identificeer je de processen die het meest kritisch zijn voor de organisatie in relatie tot de aspecten die voor haar belangrijk zijn. Denk aan klanttevredenheid, productkwaliteit, (voedsel)veiligheid, milieu-impact, etc.
2. Geef de voorkeur aan flexibiliteit boven starheid
Het is praktisch om te beginnen met het opstellen van een initieel auditprogramma, waarin alle processen een plaats hebben, waarbij belangrijke processen vaker worden gepland (en grondiger worden uitgevoerd) dan minder belangrijke processen.
Bovendien moet het programma je in staat stellen je aan te passen aan veranderende omstandigheden. Denk bijvoorbeeld aan een nieuwe leverancier, een verandering in de wetgeving of een incident dat heeft plaatsgevonden. Je moet dus voldoende tijd overlaten om te reageren, wat je flexibiliteit en veerkracht geeft.
3. Focus op effectiviteit, niet alleen op naleving
Een risicogebaseerde audit moet verder gaan dan het controleren van de naleving door werknemers. De ISO-paragraaf is hier ook duidelijk over: “9.2.1 De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen over de vraag of het KMS (....) voldoet aan: a) de eigen eisen van de organisatie (...) en b) effectief is geïmplementeerd en onderhouden.”
4. Het management erbij betrekken
Audits staan niet op zichzelf, maar maken deel uit van het “zelfreinigend vermogen” van een organisatie. Goede interne audits leveren een waardevolle bijdrage aan de strategische besluitvorming. Niet voor niets zijn de resultaten van interne audits een van de vaste elementen die een bestuur in zijn management review moet opnemen als basis voor verbetering.
Een risicogebaseerd auditprogramma vereist daarom regelmatig overleg tussen het interne auditteam en de raad van bestuur. Wat houdt het management bezig, wat zouden ze graag in detail onderzocht zien, wat willen ze zeker weten, wat houdt hen bezig, enz. Hoe specifieker de behoeften van het management, hoe gerichter de interne audits kunnen zijn. Een ander voordeel is dat er weinig risico is dat interne auditrapporten ongelezen in de la verdwijnen!
De veranderende rol van de interne auditor
Om effectief te zijn, vereisen op risico gebaseerde audits ook een verandering in de rol van de auditor en dus in de vereiste vaardigheden. Deze omvatten organisatie- en risicobewustzijn (begrijpen hoe een organisatie in de context werkt en weten waar de echte zwakke punten liggen), kritisch en onderzoekend denken en vragen stellen (niet alleen kijken naar de regels, maar ook nieuwsgierig zijn naar de redenen en de impact) en communicatievaardigheden (kunnen schakelen op alle niveaus van de organisatie, de resultaten van de audit duidelijk kunnen communiceren naar het bestuur, het management en de medewerkers).
Daarom is training zo belangrijk. In LRQA trainingen werken we veel met praktijkcases en interactieve oefeningen, zodat auditors niet alleen kennis opdoen, maar deze vaardigheden ook direct leren toepassen.
Kortom: audits moeten echt waarde toevoegen
Een risicogebaseerd auditprogramma is geen trend, maar een noodzakelijke ontwikkeling voor bedrijven die echt risico's willen beheersen. Het maakt het mogelijk om audits strategischer in te zetten en te focussen op wat echt belangrijk is. We moeten afstappen van de traditionele, rigide planning en ons richten op echte risico's. Dit vraagt om een andere manier van denken. Dit vereist een andere manier van denken, maar resulteert uiteindelijk in audits die niet alleen controleren, maar ook bijdragen aan prestatieverbetering en continue bedrijfsverbetering.
Wilt u meer weten over hoe LRQA uw bedrijf kan helpen bij het uitvoeren van risicogebaseerde audits?
Neem contact op met ons team of raadpleeg ons trainingsaanbod.