Audits zijn een belangrijk instrument om een managementsysteem goed te laten functioneren. De ene audit is de andere niet. Wat kunnen we leren van de ‘professionals’, de certificatie-auditoren? Maar beter nog, wat kunnen we leren van de accreditatie-auditoren. Kortom wat zijn de auditlessen die we ter harte mogen nemen?
De context
Even de context. Wij van ISOLEASE zijn niet eenkennig. Zonder problemen ondersteunen we organisaties in alle branches denkbaar. Doen we niet moeilijk over. We maken geen enkel onderscheid. Zo komen we ook wel eens bij ‘conformiteit onderzoekers‘. Denk aan inspectie-instellingen, certificatie-instellingen en laboratoria. Zij hebben zich te houden aan respectievelijk ISO 17020, ISO 17021 en ISO 17025. En dus ‘ondergaan’ ook zij externe audits. Accreditatie-audits in hun geval. Om te toetsen of zij zich netjes aan de norm houden. Uitgevoerd door de Raad voor Accreditatie. In de loop van de tijd – naast certificatie-audits – de nodige accreditatie-audits meegemaakt. De collega’s veel op ISO 17020 en ISO 17025. Zelf met name op ISO 17021-gebied. Bij certificatie-instellingen (CI) dus. Soms vanaf de zijlijn, soms met wat meer betrokkenheid. Dus we menen een mening te mogen hebben.
Het proces van een accreditatie-audit is – in hoofdlijnen – niet heel veel anders dan een certificatie-audit. Een programma. Een plan. Een vermoeiende dag. En uiteindelijk een rapport. Met bevindingen. En een termijn voor corrigerende maatregelen. Heel herkenbaar. Toch ook een aantal opvallende verschillen.
Gelijkwaardig kennisniveau
Het eerste opvallende verschil is dat het management van de CI’s een audit veel meer ontspannen beleven. Audits horen er nu eenmaal bij. En vaak leveren ze rake ideeën op om de bedrijfsvoering te verbeteren. Mogelijk dat ook meespeelt dat het management van een CI zelf ook goed op de hoogte is van de geldende spelregels. Er bestaat veel meer gelijkwaardigheid als het gaat om kennis van de geldende norm(en). Dit leidt tot levendige discussies waarbij de medewerkers van de Raad voor Accreditatie niet zelden zaken ‘nader moeten onderzoeken’. Ofwel zelf ook nog eens heel goed naar de ‘kleine’ lettertjes in de norm moeten kijken. Alleen maar goed, want zo houden beide partijen elkaar scherp.
Uitvoering van audit
Een ander punt is dat op uitvoeringsniveau de aanpak wel degelijk afwijkt van de gangbare interne audit en certificatie-audit. Accreditatie-audits lijken zich meer op ‘systeemniveau’ af te spelen, waarbij dossiers grondig worden onderzocht om vast te stellen of het managementsysteem daadwerkelijk leidt tot beheersing op ‘productniveau’. Niet bedoeld om tijdens de audit ‘afwijkende producten’ te identificeren. Niet om het werk van de testafdeling over te doen. Maar omdat beheersing op productniveau een indicatie geeft van de werking van het systeem.
Tijdens accreditatie-audits worden gerichtere vragen gesteld. Zonder omhaal naar de kern. Direct worden vingers op mogelijk zere plekken gelegd. Geen risico blijft buiten schot. De minst risicovolle activiteiten wel. Meerdere dossiers met vergelijkbare ‘afwijkingen’ duiden op een systeem- of mogelijk een procesfout. Zakelijk en hard. Geen grijze gebieden. Geen meningen of stokpaardjes. Niet nodig want de feiten spreken voor zich.
Ook hier lijkt de reden ‘kennis’. Accreditatie-auditoren kennen het certificatie-proces door en door. De variatie aan organisaties is voor accreditatie-auditoren een stuk kleiner. Hoeven zich niet iedere dag opnieuw in te leven in nieuwe processen. Zich niet opnieuw in te leven in de belanghebbenden van een organisatie, in dit geval de CI. Kennen ze al. En hun belangen. Kennen ze ook al. En de specifieke kenmerken van de geleverde dienst. Kennen ze al.
Niet verwonderlijk dat deze kennis leidt tot gerichtere audits. Want wie iedere dag opnieuw in een nieuwe omgeving komt, staat al op achterstand. Moet eerst nog tijd investeren om überhaupt de processen te begrijpen. Laat staan te weten wat de belangrijkste pijnpunten kunnen zijn. En dat terwijl zowel interne auditoren als certificatie-auditoren ook gebruik zouden moeten maken van dergelijke ‘voorkennis’. Voor interne auditoren is het sowieso eenvoudig, want ze kennen de organisatie door en door. Maar vaak overdrijven zij in het principe van ‘onafhankelijkheid’ en menen ze dat ze geen gebruik mogen maken van het feit dat ze tot dezelfde organisatie behoren. Het resultaat is een audit waarbij de echte pijnpunten buitenschot blijven. Omdat het auditgesprek helaas te veel aan de oppervlakte blijft.
Certificatie-auditoren zouden beter moeten voldoen aan ISO 17021. Voor wie niet bekend is met ISO 17021 een korte uitleg. Enerzijds verplicht deze norm een CI tot het implementeren en onderhouden van een managementsysteem. Bij voorkeur op ISO 9001-leest geschoeid. Daarnaast is deze norm redelijk ‘voorschrijvend’ voor wat betreft de inrichting van de certificatieprocessen. Weinig speelruimte, weinig eigen inbreng voor de CI’s.
De certificatie-auditoren zouden beter gebruik moeten maken van ‘fase 1′. Fase 1 verplicht een certificatie-auditor om zich – bij voorkeur – ter plaatse in te leven in de organisatie. Om grondig kennis te maken met de organisatie. En haar eigenaardigheden. Om zelf te aanschouwen welke risico’s er mogelijk zijn. Om zelf te ontdekken op basis waarvan de organisatie heeft besloten welke hoeveel het documentatie benodigd is om processen te beheersen. Zolang ‘fase 1’ nog steeds als ‘documentatiebeoordeling’ wordt getypeerd, weten we met z’n allen dat fase 2 nooit de diepgang zal hebben van een accreditatie-audit. Omdat fase 2 nog steeds in het teken zal staan van het leren kennen van de organisatie. En niet aan het blootleggen van de echte pijnpunten.
De auditlessen
Ik moet eerlijk zeggen, het voelt toch wel prettiger. Bevindingen die bijna onwrikbaar zijn. Die, als er verder over wordt nagedacht, inderdaad een pijnpunt blootleggen. Eén waar we zelf maar al te graag voorbij zouden gaan. Enerzijds zouden organisaties die een certificatie-audit ‘ondergaan’ zich beter moeten verdiepen in de verschillende normen. Het discussieert nu eenmaal eenvoudiger met voldoende, robuuste kennis. Beslagen ten ijs komen. Anderzijds de oproep – en ik heb ‘m al vaker gedaan – aan de certificatie-auditoren om zich – voor aanvang van fase 2 – beter te verdiepen in de organisatie en het systeem van hun klant. Zich niet meer laten opsluiten in een kamertje om zich een dag lang te verdiepen in documenten. Maar fase 1 gebruiken om hun kennis van de organisatie te vergroten. Zodat echte potentiële pijnpunten kunnen worden onderzocht. En dus bevindingen op te leveren die er echt toe doen.
Het kan. We hebben het al vaak genoeg gezien. Op een ander niveau, weliswaar. Maar het kan. Laten we met z’n allen er voor zorgen dat audits echt over hoofdzaken gaan.