ZBC Kennisbank

Tips en valkuilen voor de interne auditor

 

Aan een interne auditor worden hogere eisen gesteld dan aan een externe auditor. De interne auditor moet uiteraard beoordelen of de compliance met de norm voldoende is. Daarnaast wordt echter ook van hem verwacht, dat hij met aanbevelingen komt, waar de opdrachtgever wat mee kan. En dan niet alleen met aanbevelingen om dingen beter te doen, maar ook met tips om dingen slimmer te doen.

Toen ik begon met het schrijven van dit artikel had ik als werktitel ‘Valkuilen voor de interne auditor’. 53 valkuilen en 24 kantjes tekst verder echter en met nog volop ideeën drong het besef door, dat ik me moest beperken. Ik zag dat heel veel valkuilen dezelfde oorzaak hebben. En eigenlijk was ik steeds meer gaan aangeven, hoe deze valkuilen te vermijden. Of anders gezegd, ik was steeds meer tips gaan geven hoe te voorkomen, dat de organisatie teleurgesteld is in de uitkomst van de interne audit en niet echt iets gaat doen met de aanbevelingen. Want als dat zo is, dan heeft de interne audit niet meer waarde dan de externe audit. En de interne audit zou dat wel moeten hebben. (Zie ook ‘Interne audit belangrijker dan externe audit bij ISO 9001, ISO 27001 en NEN 7510’.) Daarom hieronder de belangrijkste tips voor de interne auditor.

1. Laat je uitleggen waarom de organisatie uniek is

Wil je als auditor een organisatie kunnen beoordelen, dan moet je weten en begrijpen wat het unieke is van de organisatie. Meestal is dit een factor uit de 5 P’s van de marketingmix. Alleen wanneer je weet wat het unieke is van een organisatie, ben je in staat goed te begrijpen waarom het bedrijf bepaalde dingen doet die afwijkend zijn en die tegelijk cruciaal zijn voor het bestaansrecht van het bedrijf. Pas als je het antwoord op die ‘waarom’-vraag hebt, kun je een root cause analysis doen en komen tot conclusies en aanbevelingen die passend zijn voor de organisatie. (Zie ook ‘Aanbevelingen interne audit via de root cause analysis ofwel de oorzaakanalyse’.) Het is verstandig om dit al bij de intake aan de orde te laten komen. Het is namelijk vaak het belangrijkste auditcriterium. Je snapt dan waarschijnlijk ook direct, hoe de organisatie haar geld verdient en wat dus belangrijke bedrijfsrisico’s zijn. Check sowieso tijdens de interne audit of deze risico’s voldoende onderkend zijn bij de opzet van het managementsysteem. Anders zal het managementsysteem veelal knellen en zal de naleving vaak beperkt zijn. Laat je dit na, dan zullen je conclusies en aanbevelingen ook vaak onbruikbaar zijn voor de organisatie.

2. Blijf niet steken in het beoordelen van de organisatie op zondag

Externe auditors laten zich vaak bewijzen, dat de organisatie op zondag in control is. Zij checken de regels en constateren, dat alles netjes geregeld is (op zondag). Toch zien we vaak dat deze schijnbaar in control zijnde organisaties in de praktijk regelmatig uit de bocht vliegen. Die praktijk (op werkdagen) houdt namelijk in dat er ook fouten worden gemaakt en dat veranderingen moeten plaatsvinden. De keuzes die hierin gemaakt worden, spelen zich vaak totaal buiten het managementsysteem af. Daarom zal een interne auditor door moeten vragen naar hoe het systeem in de praktijk werkt en vooral hoe omgegaan wordt met afwijkingen en veranderingen en de besluitvorming daarover. Want juist daar moet het managementsysteem een hulpmiddel zijn en niet een last. Vraag daarom door in welke situaties het managementsysteem niet toegepast wordt en waarom. Hier zijn vaak de zaken te vinden in het managementsysteem, die slimmer kunnen.

3. Onderzoek ook die zaken waar je minder verstand van hebt

Natuurlijk kun je als auditor niet overal verstand van hebben. Laat je er echter niet toe verleiden, de gebieden waarvan je minder verstand hebt niet te onderzoeken. Duik vooral in de praktijk. Laat je door de mensen uit de organisatie uitleggen wat ze doen, waarom ze dat doen, waar ze tegenaan lopen (met natuurlijk de vraag ‘Is dat erg’) en hoe ze dat oplossen. Want al heb je geen verstand van de materie, je hebt wel verstand van processen en hoe deze in control behoren te zijn. Wees dus niet bang om blijk te geven van je inhoudelijke onkunde. Dat is immers niet je expertisegebied.

4. Beperk je niet tot het onderzoeken van de naleving van regels, maar richt je ook op de geldende principes

Vaak zijn de belangrijkste regels binnen een organisatie niet eens opgeschreven, omdat ze vanzelfsprekend zijn voor iedereen binnen de organisatie. Vraag daarom tijdens de interviews welke ongeschreven wetten binnen de organisatie gelden en vraag aan je gesprekspartner hoe hij of zij deze in de praktijk toepast. Vraag uiteraard ook of het managementsysteem helpt bij de toepassing in de praktijk en wat daarin verbeterd zou kunnen worden.

5. Stel je bevindingen ter discussie

Als je commentaar krijgt op je bevindingen kan dat terecht of onterecht zijn.

  • Als commentaar op je bevindingen terecht is, betekent dat, dat je je werk als auditor niet goed doet. Je bevindingen zijn uiteraard gebaseerd op objectief bewijs, maar blijkbaar heb je een bevinding gedaan op basis van een aanname of een vooroordeel.
  • Als het commentaar op je bevindingen onterecht is, onderkent de gesprekspartner blijkbaar niet dat de bevinding op zich juist is, maar beschouwt hij de impact hiervan als laag. Ga in dat geval niet uitleggen, wat het verschil is tussen een bevinding en een conclusie, maar vraag direct door, waarom hij dit vindt. (‘Is dit erg?’).

Het simpele feit dat iemand de moeite neemt om in discussie te gaan met een auditor, wijst op een gevoelig punt en dus een aandachtspunt.

6. Net als bewijs van al dan niet-naleving intern te vinden is, zijn ook de aanbevelingen vaak intern te vinden

Een interne auditor is niet ingehuurd als bedrijfsadviseur. Zo moet je je dus ook niet opstellen. Er wordt van een interne auditor verwacht, dat hij zo objectief mogelijk onderzoek doet en beoordeelt in hoeverre de organisatie haar doelstellingen bereikt. Het kwantitatieve en kwalitatieve bewijs hiervoor is intern te vinden. Hetzelfde geldt voor de oplossing van knelpunten, die de basis zijn van je aanbevelingen.
Als de gesprekspartner dus ook oplossingen aangeeft voor een probleem, dan ga je daarop in. Hierbij moet je twee zaken vaststellen:

  • Neemt de genoemde oplossing ook daadwerkelijk de oorzaak van het probleem weg?
  • Zo ja, waarom is deze oplossing nog niet geaccepteerd door de organisatie?

Dat is zeker van belang voor het formuleren van de aanbevelingen van de interne audit. Door de aanbeveling in de juiste context te formuleren, winnen ze sterk aan draagvlak.

7. Maak daadwerkelijk een auditplan

Natuurlijk heb je van tevoren een auditplan gemaakt. Helaas is dit vaak meer een volgorde van uit te voeren activiteiten, dan een aanpak waarmee je je doelstellingen behaalt. (Zie ook ‘Checklist standaard uitvoering interne audit’.) Een auditplan moet je echter ook beschermen tegen uitglijders. Je begeeft je tenslotte op glad ijs. Je gaat immers iets vinden van het ‘kindje’ van anderen, misschien wel zonder dat je zelf kinderen hebt. En er iets van vinden, is wel noodzakelijk, anders is de interne audit al op voorhand een mislukking.
De enige zekerheid die je hierbij hebt, zijn je kwaliteiten als auditor. Als je je daaraan vasthoudt, dan zal de expeditie waarschijnlijk goed aflopen. De voorbereiding en het plan zijn essentieel. Neem vooral de externe auditor niet als voorbeeld maar wees je bewust van de verschillen tussen een interne en externe auditor:

  • De externe auditor moet in de breedte de naleving van de norm beoordelen. Die duikt dus zelden de diepte in.
  • Het lijkt vaak of de externe auditor geen plan heeft. In werkelijkheid gebruikt hij vaak zelfs uitgewerkte sjablonen, waarop hij ook direct zijn bevindingen kan noteren. In de ‘Cursus interne auditor ISO 9001, ISO 27001 of NEN 7510’ bespreken we voorbeelden en krijg je ook de beschikking over een aantal van deze sjablonen.
  • De externe auditor trekt vaak zonder pauzes door. Dat kan ook, want wat hij doet, doet hij bijna dagelijks en hij oordeelt meestal normatief. Zorg als interne auditor voor pauzes om te kijken of je plan nog bijstelling behoeft. Je moet tenslotte de diepte in en dat gaat stapje voor stapje.
  • De externe auditor heeft per definitie de wijsheid in pacht. Hij vertegenwoordigt de norm en hij waagt zich niet op het gladde ijs van aanbevelingen. Als interne auditor heb je echter een opdrachtgever, een gerichte opdracht en doorgaans geen standaardsjablonen, die je kunt volgen. Daarom moet je een plan hebben, waarin alles is vastgelegd. (Zie ook ‘Checklist standaard plan interne audit’.)

De externe auditor heeft echter wel één groot probleem dat jij niet hebt. Certificerende instellingen (CI’s) hebben continu de dreiging van een schorsing door de Raad voor de Accreditatie (RvA) boven hun hoofd hangen. Als CI’s en dus hun auditors zich niet strikt houden aan de regels van de RvA (en die zijn streng) dan kunnen ze vanwege de schorsing in één klap ‘out of business’ zijn. Als interne auditor heb je niet zo’n toezichthouder die je continu in je nek loopt te hijgen. Dus moet je niet alleen veel meer dan een externe auditor, je mag ook veel meer! (Zie ook ‘Interne audit belangrijker dan externe audit bij ISO 9001, ISO 27001 en NEN 7510’.)
De ‘Cursus interne auditor ISO 9001, ISO 27001 of NEN 7510’ die ZBC geeft, is helemaal gericht op interne auditors. Natuurlijk gaan we in deze cursus ook in op de regels van de audit. Het spel in de praktijk vormt echter de hoofdzaak.

ZBC helpt organisaties via cursussen en coaching met het opzetten en verbeteren van hun management systemen voor ISO 27001, NEN 7510, privacy en ISO 9001.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 31 januari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *