Interne audit? eitje
Hoe een interne audit helemaal niet ingewikkeld is
Worstel je met je interne audits?
Heb je een intern auditteam opgezet, dat gewetensvol alle processen audit, gedurende een van te voren vastgestelde cyclus, maar heb je niet het gevoel dat dit écht iets toevoegt aan je bedrijfsvoering? Net alsof het een toneelstukje is, dat opgevoerd wordt om de Certificerende Instelling tevreden te stellen?
Het kan ook anders!
Wat is een audit eigenlijk? En hoe kan je dat begrip voor jezelf invullen?
Een audit is een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan.
Bron: NEN
Mijn vertaling hiervan is:
- de audits moeten volgens een bepaald systeem uitgevoerd worden. De bedoeling is dat in het auditprogramma díe onderdelen prioriteit krijgen, die risico’s inhouden (zoals baden van je cliënt, agressie naar jouw personeel of risico’s op een datalek). Nergens staat geschreven hóe dat systeem eruit moet zien, dus je kiest het systeem wat bij jou past;
- de audits moeten onafhankelijk zijn. Vroeger mochten medewerkers hun eigen proces niet auditen. Volgens de nieuwste normen mag dat wel, als dat niet anders kan, maar moet dit zo objectief mogelijk gebeuren. Aan jou om dit op te lossen;
- de audits moeten gedocumenteerd worden, want de resultaten moeten teruggehaald kunnen worden. Doe dat op je eigen manier, dat kan in een auditrapport of in een verslag van een vergadering, maar ook in een waardestroom (zie hiervoor mijn blogs over de risicoanalyse en het zichtbaar maken van problemen), waarin je zaken als risico’s en verspillingen aangeeft.
Wat zou óók als een interne audit beschouwd kunnen worden?
Waar gaat het om binnen jouw organisatie? Je wilt een zo goed mogelijke dienst bieden aan jouw cliënt. Alles staat in het licht van die wens. Om dat te kunnen doen, zal je je handelen voortdurend kritisch bekijken: doen we het wel goed genoeg? Kan het beter, sneller, goedkoper? Welke risico’s zijn er dat er iets misgaat? Hoe houden we dat in het oog en hoe beheersen we die risico’s?
Goed beschouwd heb je al een interne audit uitgevoerd als je met je team een proces bekijkt op de risico’s, dus als je een risicoanalyse uitvoert. Of wanneer je met je kwaliteitswerkgroep halverwege het jaar kritisch kijkt naar je jaarplan: wat is er van onze voornemens terechtgekomen? Waar lopen we achter? Welke acties moeten we ondernemen om weer op koers te komen?
Voer je, als een zichzelf respecterende organisatie, misschien toch al risicoanalyses uit op je belangrijkste processen? Kijk! Dan heb je al een interne audit uitgevoerd! Maar let op! Dit moet wél systematisch, onafhankelijk en gedocumenteerd gebeuren!
Op zo’n manier is het dus een eitje, interne audits uitvoeren. Want je doet al zoveel waarvan je nog niet had bedacht dat het allemaal binnen de definitie van de interne audit past.
Mijn tip aan jou is: kijk voor jezelf wat je allemaal al doet dat misschien wel voor een interne audit kan worden aangezien. Breng dat in een structuur. Bekijk wat er nog aan ontbreekt en vul aan. Klaar ben je!
LET OP! Misschien is nog niet iedere Certificerende Instelling zover dat ze ook jouw manier als een interne audit zien. Dus voor de zekerheid even in overleg gaan met jouw CI!
Hulp nodig? Vragen stellen mag!
Andere ideeën? Ik hoor het graag!
Auteur
Petra van der Zwan
Prima artikel weer Trudy. Ik ben me er ook steeds meer bewust dat de definitie van audit een breed begrip is. Dit schept vrijheid en m.i. ook plezier. Je kunt je als auditor uitleven en zo mensen een heel andere en verfrissende blik op een werk geven. Als deze blik dan ook nog leidt tot verbetering van de processen. Ben je gelukkig als intern auditor toch?
antwoord
Trudy Engering
Helemaal mee eens, Iety, een waardestroom (VSM) in beeld brengen is écht een interne audit! Bij een klant van mij hebben we de interne audit op deze manier ingezet en de Certificerende Instelling was helemaal in haar nopjes!
Ik denk dat een Prospectieve Risico Inventarisatie zeker aangemerkt kan worden als een interne audit. Binnen de certificatieschema's (zoals ISO 9001) is risicobeheersing immers van groot belang. Een Prospectieve Risico Inventarisatie brengt de risico's, die je loopt in een bepaald proces, aan het licht. Op die risico's neem je dan passende maatregelen. Wat leidt tot verbetering van de organisatie (de dienstverlening). En nog belangrijker, dit voorkomt incidenten.
Wat zou een auditor nog meer willen? Dit lijkt me echt de naam 'interne audit' waardig!
antwoord
Iety Joris
Uit mijn hart gegrepen, gelukkig merkte onze certificerende instelling dit zelf op. Een VSM is ook een audit! Nou en daar doen we er wel een aantal van per jaar!
Als je op de manier zoals Trudy het omschrijft naar audits gaat kijken, dan komt er veel meer samenhang, zijn medewerkers meer gemotiveerd (niet meer het verplichte auditgesprekje) ,het levert meer op. En niet onbelangrijk niet alleen kwaliteitwinst maar ook tijdwinst.
Trudy, ik vraag me alleen af of een PRI ook als audit aangemerkt kan worden, volgens mij niet???
antwoord