Een van de belangrijkste – en meest onderschatte – onderdelen van de Deming-cirkel is de Check. Die check kan op vele manieren worden ingebouwd in het kwaliteitsmanagementsysteem. Een van de manieren is de interne audit.
Audits maken voor veel organisaties op verschillende manieren onderdeel uit van de bedrijfsvoering. Het uitvoeren van een interne audit is voor veel organisaties een verplicht onderdeel van het kwaliteitsmanagementsysteem. Veel organisaties zien de in- en externe audit ook als een verplichting omdat ‘het moet voor het ISO-certificaat’, met als gevolg dat de uitvoering en opvolging van de interne audits vaak niet optimaal is.
Dat hoeft voor de auditresultaten niet per se nadelig te zijn, maar de intentie waarmee interne audits worden uitgevoerd draagt wel bij aan het succes.
3 soorten interne audits
Maar wat zijn de succesfactoren voor een interne audit? En hoe zorg je ervoor dat een audit bijdraagt aan het bereiken van de doelen van de organisatie?
Om die vragen te beantwoorden is het goed om drie types van interne audit te belichten. We maken hierbij gebruik van drie vragen die als mix kunnen worden ingezet.
- Voldoen we aan de (interne) regelgeving? (Een compliance-audit.)
- Kunnen we de (interne) regelgeving verbeteren? (Een efficiency-audit; PDCA op procesniveau, vaak gericht op efficiencywinst.)
- Worden met de getoetste processen de beoogde doelen bereikt? Draagt het proces bij aan de organisatiedoelen? (Een effectiviteitsaudit; effectiviteit van processen, systeem en organisatie.)
De drie verschillende vormen van interne audits liggen daarmee in lijn met de drie niveaus waarop organisaties en mensen opereren (zie Simon Sinek’s ‘Start with why’): wat je doet, hoe je het doet en waarom je het doet.
De compliance-audit geeft onder andere antwoord op de vraag wát je doet. De efficiency-audit gaat met name in op hóe je het doet. De effectiviteitsaudit stelt de vraag waaróm je het doet centraal.
De stelling van Sinek is dat de waarom-vraag te weinig wordt gesteld. Doordat die vraag onderbelicht is, blijft écht succes voor de organisatie en de mens uit. Hetzelfde effect nemen we waar bij interne audits: het ‘waarom’ wordt veelal niet onderzocht, waarmee de interne audit al snel wordt beperkt tot een administratieve handeling.
Veel interne audits die we in het veld zien beantwoorden met name de eerste twee vragen. Audits die bijdragen aan de ontwikkeling van de organisatie en het realiseren van de de organisatiedoelen, komen we maar weinig tegen.
Ook ISO 9001 verandert van focus
De drie types audit die we onderscheiden zien we terug in de ontwikkeling van de ISO 9001 norm. De ISO 9001 was oorspronkelijk vooral gericht op compliance: als we precies zo werken als afgesproken, maken we minder fouten. De ISO 9001:2008 stelde nadrukkelijk de processen centraal, terwijl ISO 9001:2015 de relatie legt tussen processen en hun bijdrage aan organisatiedoelen. De aandacht voor stakeholdermanagement is daarin ook van belang, waarbij de waarom-vraag nadrukkelijk in beeld komt.
Kritische succesfactoren voor een geslaagde interne audit:
- Met interne audits worden in een weloverwogen mix zowel compliance, efficiency en effectiviteit onderzocht.
- Het auditteam beschikt over de juiste competenties om invulling te geven aan de gekozen mix.
- Het auditteam is gezaghebbend: bevindingen worden door de auditees en het management niet in twijfel getrokken.
Basisvoorwaarden voor een succesvolle interne audit:
- Het management steunt de interne audit en spreekt dit uit naar de organisatie.
- Het management fungeert als intern opdrachtgever, met in achtneming van de onafhankelijkheid van de auditoren.
- Het auditteam heeft een duidelijke opdracht. Met een focus wordt een audit veel krachtiger. De opdracht (hoofdvraag) wordt door het auditteam in deelvragen uitgewerkt.
- De interne audit wordt gerapporteerd aan het management.
- Er worden verbetervoorstellen geformuleerd op basis van de bevindingen, op een manier die herkenbaar is voor de auditees.
- Het management besluit de verbetervoorstellen wel of niet over te nemen, zorgt dat deze worden uitgevoerd en presenteert de resultaten aan de medewerkers. De PDCA-cyclus is hierdoor zichtbaar in werking.
Een interne audit is een geslaagde audit als deze antwoord geeft op een mix van de drie vragen. We kijken dus verder dan compliance gecombineerd met een efficiency audit. Hierbij wordt ook voldoende aandacht gegeven aan effectiviteit van de getoetste processen en het bereiken van de organisatiedoelen. Stel tijdens de audit niet alleen de ‘wat’ en de ‘hoe’ vraag: stel ook de ‘waarom’ vraag. Als aan deze voorwaarden wordt voldaan, krijgt een interne audit een strategische meerwaarde die de organisatie daadwerkelijk vooruithelpt.
Auteurs: Robert Jan Messemaeckers van de Graaf en Wouter Verhoof, werkzaam bij Certiked