Onlangs raakte ik in gesprek met een managementsysteem auditor. Altijd leerzaam. Hij beweerde in alle eerlijkheid dat zijn audit nauwelijks reproduceerbaar was, omdat het een "momentopname" zou zijn. Die uitspraak bleef bij me hangen, want ik vraag me af of ik het daar wel mee eens ben.
De audit als momentopname: een gemakkelijk excuus?
Een certificatie-audit lijkt op het eerste gezicht inderdaad een momentopname. Een Lead Auditor komt slechts eenmaal per jaar langs bij een organisatie. Hij is daardoor afhankelijk van wat er tijdens deze bezoeken gebeurt – of juist niet gebeurt. En wat er niet is, kun je niet beoordelen. Geen speld tussen te krijgen.
Maar hier wringt toch iets. Een managementsysteemcertificaat is drie jaar geldig. De certificatie-instelling spreekt daarmee voor meerdere jaren vertrouwen uit: de bevestiging dat het aannemelijk is dat een organisatie aan specifieke eisen zal voldoen. In dit geval de minimale eisen die worden gesteld aan een managementsysteem.
Dat is nogal een uitspraak als een audit slechts een momentopname zou zijn! Want een momentopname impliceert dat de uitkomst een dag later compleet anders zou kunnen zijn. Is dat geschikt om een verwachting uit te spreken voor een periode van drie jaar?
Verder kijken dan de dagkoers
Als een certificaat drie jaar lang geldig is, dan zou een Lead Auditor zich niet moeten laten leiden door de "dagkoersen". Of toevallige omstandigheden op de auditdag. De echte vraag is: heeft het managementsysteem het vermogen om ervoor te zorgen dat een organisatie consistent aan verplichtingen voldoet? Dus ook op de dagen dat de Lead Auditor niet op bezoek is?
Hiervoor moet de auditor naar het grotere plaatje kijken. Hij moet onderzoeken of er voldoende aanknopingspunten zijn dat het managementsysteem voor langere tijd aan de eisen blijft voldoen.
Een concreet voorbeeld
Stel dat een organisatie iemand heeft aangewezen om bij te houden welke wet- en regelgeving van toepassing is op hun producten en diensten (ISO 9001, 5.1.2). Deze persoon kan uitleggen:
- Welke bronnen te gebruiken
- Welke analyses uit te voeren
- Hoe te verifiëren of aan eisen wordt voldaan
Dan is het aannemelijk dat de organisatie "in control" blijft voor wat betreft het voldoen aan wettelijke eisen, zolang de omstandigheden niet drastisch wijzigen.
Suggestie 1: steekproeven met een lange adem
Steekproeven moeten niet willekeurig zijn, maar passend verdeeld over een te beoordelen periode. Alleen zo kan de Lead Auditor vaststellen of het systeem consequent werkt en niet alleen op de auditdag.
Dit betekent dat de Lead Auditor bijvoorbeeld:
- Dossiers bekijkt van klachten uit verschillende perioden
- Interne auditresultaten van meerdere audits vergelijkt
- Meetresultaten toetst op volledigheid, nauwkeurigheid en validiteit
- Trends in KPI's over langere tijd analyseert
- Documenthistorie bekijkt om te zien hoe het systeem evolueert
Ofwel, met de neus in de boeken. Misschien minder geschikt om op LinkedIN te posten dan een bezoek aan een spectaculaire omgeving, maar vele malen nuttiger om tot een onderbouwd oordeel te komen.
Suggestie 2: de organisatie en het managementsysteem echt begrijpen
Een cruciale test is of de "sleutelfiguren" voldoende inzicht hebben in de eisen van de betreffende norm. Kunnen zij uitleggen hoe het managementsysteem werkelijk functioneert? Of herhalen ze slechts ingestudeerde zinnen?
De organisatie moet in staat zijn om de werking van het eigen managementsysteem uit te leggen als bewijs dat ze werkelijk begrijpen hoe het in elkaar zit.
Suggestie 3: durf door te pakken
Als Lead Auditor mag je er best stevig ingaan. Je mag verwachten dat organisaties niet slechts bureaucratische maatregelen invoeren, maar werkelijk problemen oplossen. Vraag waarom actielijsten alleen maar groeien. Vraag waarom eerdere bevindingen, met name vanuit interne audits, met een zekere regelmaat terugkomen.
Accepteer niet dat alles een 'incident' was. Of een vergissinkje van een medewerker. "Kan toch een keer gebeuren?" Zeker, maar als er vaak incidenten zijn, dan zegt dat ook wel iets. Combineer eerder verkregen bewijs, zie suggestie 1, en confronteer de organisatie met eventuele inconsistenties tussen verbale uitleg en de zelf verkregen inzichten.
Is een audit werkelijk een momentopname?
Nee, natuurlijk niet. Een Lead Auditor behoort verder te kijken dan wat er toevallig die dag gebeurt. Door te kijken naar eerdere resultaten, de kennis van belangrijke personen en hoe de organisatie te werk gaat, kun je goed beoordelen hoe effectief het managementsysteem werkt.
Dat kost wel wat meer moeite. Meer diepgang. En meer gezond wantrouwen en een kritische blik op ze onderdelen die er werkelijk toe doen om het vertrouwen te kunnen uitspreken. En dat is precies wat we van certificering mogen verwachten. En daar is geen speld tussen te krijgen.
Reactie plaatsen
Reacties