ZBC Kennisbank

Essentiele vragen die interne auditors vaak vergeten te stellen

 

Veel interne auditors beperken zich met de audit tot het controleren van de naleving van de norm. En natuurlijk moet dit gebeuren. Veel belangrijker is echter de vraag, of het managementsysteem daadwerkelijk doet wat het moet doen.

Primair is het managementsysteem een systeem voor de directie, waarmee zij bedrijfsrisico’s beheerst.  

Helaas wordt het maar zelden zo gebruikt. Veel vaker zien directies het gecertificeerde managementsysteem als een uithangbord voor klanten, waar ze zelf zo weinig mogelijk last van willen hebben. Ze zien het liefst dat een specialist binnen de organisatie zich ermee bezighoudt en dat de enige bijdrage die ze moeten leveren het zetten van een handtekening is onder de directiebeoordeling die die specialist heeft opgesteld.

De grootste valkuil: een niet werkend managementsysteem

Als de situatie is zoals hierboven beschreven, dan kun je als interne auditor constateren dat de directiebeoordeling voldoet aan de eisen van de norm en je ogen sluiten voor het feit dat de directie geen onderdeel uitmaakt van het systeem. Maar eigenlijk zou je de conclusie moeten trekken, dat het managementsysteem faalt. De directie stuurt dan immers het managementsysteem enkel aan vanuit de wens te voldoen aan de ISO norm, zonder af te wegen of de maatregelen bijdragen aan reductie van de risico’s. Natuurlijk is er ook wel een risicoanalyse gemaakt. De norm schrijft dit immers voor. Maar die risicoanalyse is niet meer dan een theoretische exercitie, waar vervolgens vrijwel niets mee wordt gedaan. Wat we eigenlijk overhouden is het volgende plaatje: 

In feite wordt de organisatie hier aangepast aan de ISO-norm. En aangezien deze generiek is, past deze niet op de werkwijze van de organisatie. Veelal zien we dan ook allerlei problemen ontstaan bij de implementatie en de naleving, want de vele maatregelen gaan te vaak ten koste van de efficiency en de flexibiliteit van de organisatie. En efficiency en flexibiliteit prevaleren voor vrijwel alle managers en medewerkers en zeker voor de directie. Kortom, de organisatie aanpassen aan de ISO-norm leidt zelden tot verbetering. Het managementsysteem is dan vooral een papieren tijger, die jaarlijks weer opgepoetst wordt om het bezoek van de externe auditor te doorstaan.

Hoe moet de interne auditor hier mee omgaan

Vaak is de interne auditor ook een medewerker van de organisatie. Dat betekent, dat hij zich meestal zal conformeren aan de gebruiken van de organisatie. Als hij een managementsysteem aantreft, dat in feite een papieren tijger is, dan zal hij deze papieren tijger veelal accepteren als uitgangspunt. Hij peutert de papieren tijger open en controleert wat erin zit en of het adequaat functioneert. Op grond daarvan stelt hij zijn rapportage op. Dat is heel zinvol voor de quality officer of de security officer, maar voor de directie eigenlijk totaal oninteressant. Niet voor niets laten zij deze specialist de directiebeoordeling opstellen en tekenen ze die netjes. Het is typisch een kwestie van ‘door de  bomen het bos niet meer zien’.
De interne auditor moet een dergelijke situatie signaleren. Een simpele controlevraag aan de directie is ‘Wie heeft de directiebeoordeling opgesteld’. Als blijkt, dat de directie los staat van het managementsysteem liggen de vervolgvragen voor de hand:

  • Is het certificaat nog steeds nodig?
  • Zo ja, hoe kan de bijdrage van het managementsysteem aan het bedrijfsresultaat verbeteren. Te denken valt aan o.a.o
    • daadwerkelijke vermindering van de bedrijfsrisico’s;
    • verhogen van de commerciële waarde van het certificaat;
    • verhogen van de acceptatiegraad van de maatregelen (en dus verlaging van de nalevingskosten);
    • verhogen van de invloed van de directie door bijvoorbeeld participatie in een kwartaalmeeting (Zie bijvoorbeeld ‘Parttime Security Officer’.)

Onderzoek naar de mogelijkheden dient in dit geval onderdeel te zijn van de interne audit.

Andere belangrijke valkuilen

Als er voorafgaand aan de daadwerkelijke audit geen intake (zie ook ‘De interne auditor als motor voor verbetering’)  met de directie plaatsvindt door de interne auditor, duidt dit ook op desinteresse van de directie. Het hangt sterk samen met het vorige punt. De aanpak is dan ook als hierboven.

Niet wegnemen oorzaken

Tijdens de audit zullen ongetwijfeld afwijkingen van de norm geconstateerd worden. Van belang is, dat de auditor dan achterhaalt wat de oorzaak is voor de afwijking. Mensen overtreden normen immers doorgaans niet zonder reden. Pas als je de oorzaak kent, dan kun je een zinvolle aanbeveling opstellen. (Zie ook ‘Aanbevelingen interne audit via de root cause analysis ofwel de oorzaakanalyse’.)

Procedures gelden alleen voor kleine incidenten en veranderingen

Vaak zien we dat de procedures voor incidentafhandeling en wijzigingsbeheer op de vloer redelijk goed verlopen. Zodra het echter gaat om incidenten of wijziging op het niveau van directie of commercie, dan zien we dat het managementsysteem totaal niet werkt. Er worden vaak ad hoc beslissingen genomen, waarbij meestal uitsluitend de financiële impacts worden bepaald. Andere operational risks zoals kwaliteit, milieu en informatiebeveiliging worden niet meegenomen in de beoordeling. Ze worden beschouwd als het probleem van de specialisten op de vloer. De interne auditor moet daarom hierover goed (door)vragen bij de directie en de sales. Want juist daar worden de meeste onverantwoorde beslissingen genomen, die de werking en de geloofwaardigheid van het managementsysteem onderuit halen.

De interne auditor moet stevig in zijn schoenen staan

Niet voor niets hebben we aangegeven, dat de interne audit eigenlijk belangrijker is dan de externe audit. (Zie ook ‘Interne audit belangrijker dan externe audit bij ISO 9001, ISO 27001 en NEN 7510’.) Want de interne auditor kijkt niet alleen naar compliance, maar vooral ook naar de werking en verbetering van het managementsysteem. Hij moet dus niet (alleen) met zijn vergrootglas iedere boom inspecteren op afwijkingen. Dat is alleen van belang voor kerncentrales of ziekenhuizen. De meeste organisaties hebben er belang bij, dat de interne auditor in zijn helikopter stapt, zodat hij het hele eco-systeem kan overzien en dus vooral ook de belangrijke verstoringen daarin. En als de directie hier niet direct op zit te wachten, moet hij voldoende overtuigend zijn, dat zijn rapport met kritiekpunten op de werking van het managementsysteem als geheel (dus vaak op de directie), geaccepteerd wordt. Hij moet snappen dat het niet gaat om gelijk hebben maar om gelijk krijgen. Helaas zijn te veel interne auditors zich nog onvoldoende bewust van de belangrijke rol die zij spelen in de goede werking van het managementsysteem als geheel.

ZBC ondersteunt organisaties met het geven van cursussen op het gebied van het opzetten van kwaliteitssystemen, interne audits, coaching en het uitvoeren van interne audits.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Betty Zijlstra | 31 oktober 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *