Skip to content

Het Audit ContO: de toegevoegde waarde van contextgericht auditen

17 februari 2017

normen

In mijn vorige blog bijdrage heb ik uitgelegd hoe de bedrijfsstrategie en de bedrijfsvoering volgens de nieuwe ISO 9001:2015 moeten worden aangepast aan de context van de organisatie. De vraag waar auditors mee worstelen is hoe dit nu te auditen. Wanneer bevraagd geven de meeste management teams aan een redelijk inzicht te hebben in hun eigen context. Zij mogen dit inzicht misschien niet in gedocumenteerde informatie hebben vastgelegd, maar in het algemeen denkt iedereen er in voldoende mate van bewust te zijn wat hen dwars kan zitten, zoals schommelingen in de vraag, seizoensinvloeden, de prijs van goederen en grondstoffen, handelsvoorwaarden, weersomstandigheden, vervoer en infrastructuur problemen et cetera. Maar daarin schuilt nu ook juist het gevaar: men baseert zich op de informatie die men voor handen heeft en die mogelijk is gekleurd door meningen, daar waar men zich op feitelijke en volledige informatie zou moeten baseren. Zo lang als het bedrijf het voor de wind gaat, zal men niet staan te springen om uitvoerige context analyses uit te voeren. Is het nu aan de auditor om dat dan wel te doen, of om dit af te dwingen? Of zelfs nog een stap dieper: moet en kan de auditor de volledigheid en juistheid van de contextanalyse en de daaraan gekoppelde strategie en bedrijfsvoering beoordelen?

Ondanks dat we dat tot op heden hebben pogen te vangen in standaard normeisen en managementsysteemeisen, is de context van de organisatie iets dat continu verandert, waarbij inzicht in de consequenties van deze veranderingen belangrijk is. De context van de organisatie volgt geen standaard regels. Het vraagt van de organisatie interpretatievermogen, beoordelingsvermogen, wendbaarheid, agiliteit en subjectiviteit. De nieuwe ISO norm respecteert deze werkelijkheid. Maar dat betekent ook dat van de auditor interpretatievermogen, beoordelingsvermogen, wendbaarheid, agiliteit en subjectiviteit wordt verwacht.

Een externe auditor zal de context van de organisatie moeten kunnen begrijpen. Als de externe auditor de organisatie één per jaar bezoekt, kan hij niet ten volle beoordelen wat de context van de geauditeerde organisatie is. Hij zal deze uitgelegd moeten krijgen en dan beoordelen of hij de gepresenteerde informatie voldoende vindt. Voor de interne auditor is de beleving al een stuk groter, maar voor hem zal het een lastig verhaal zijn om de door de directie / management gekozen bedrijfsstrategie ter discussie te stellen. Niet veel managers zullen dit waarderen en een auditor zal dit ook niet tot zijn competentie rekenen. Hij is tenslotte geen bedrijfskundige. Management bedient zich dan ook liever van advies van mooie consultancy bureaus met mooie modellen en technieken om een bedrijfsstrategie op te bouwen, dan van het goed bedoelde advies van een auditor.

Kortom, voor een auditor is het onmogelijk om de volledigheid en juistheid van de contextanalyse en de daaraan gekoppelde strategie en bedrijfsvoering te beoordelen. Hooguit kan hij verifiëren of het managementteam een gedocumenteerde bedrijfsstrategie heeft op basis van een vorm van contextanalyse. Maar of de bedrijfsleiding daar op zit te wachten? Dat wil echter niet zeggen dat een auditor niets met de context van de organisatie kan. Al betrekt ISO 9001 de context van de organisatie op de gehele bedrijfsvoering, de auditor kan de systematiek, zoals uitgelegd in mijn vorige blog, prima toepassen op een enkel element van het kwaliteitsmanagementsysteem.

contoGebruikelijk is het dat de auditor een zogenaamde compliance audit uitvoert. Hij verifieert of de werkvoorschriften en procedures, zoals opgesteld, worden gevolgd. Eventueel controleert de auditor of de ISO normen worden nageleefd en of de werkvoorschriften en procedures overeenstemmen met de normeisen. Dus, om dit te plaatsen in het schema: tijdens de audit (9) wordt voor een specifiek deel van het toepassingsgebied van het kwaliteitsmanagementsysteem (4.3) nagegaan of de gedocumenteerde informatie (7.5) wordt nageleefd (6.2). Ofwel: doen we de dingen goed?

De interne auditor heeft dus tijdens een compliance audit geen focus op de belanghebbenden (4.2), de belangrijke punten (4.1) en de risico’s (6.1) die zijn gekoppeld aan het auditonderwerp. Medewerkers ervaren veel frustraties die afkomstig zijn vanuit de context waarin zij dag in dag uit moeten werken: beperkte middelen en arbeidscondities, gebrek aan leiderschap (onduidelijke opdrachten en aansturing, gebrek aan visie), gebrekkige of late aanlevering van de input voor het werkproces, geen inzicht in de behoeften van hun interne klant (de afdeling die het resultaat van het werkproces ontvangt), onbeheerste variatie in het procesresultaat, rollen en verantwoordelijkheden die niet goed zijn verdeeld, et cetera. Als de auditor de prestaties van een bedrijfsproces wil auditen moet hij ook oog hebben voor de context waarbinnen deze prestaties geleverd zijn. Vragen die gesteld moeten worden zijn of de prestaties een positieve bijdrage hebben geleverd aan de belangen van de belanghebbende partijen (consumenten, aandeelhouders, interne afdelingen aan wie de resultaten worden geleverd voor verdere bewerking, etc.)? Zijn de condities waarbinnen gewerkt moet worden geschikt: de werkplek, de werkdruk, de beschikbaarheid van middelen en informatie, etc.? Zijn feedback en feed forward loops met andere elementen van het kwaliteitsmanagementsysteem gerealiseerd? Is er in voldoende mate een alertheid voor veranderende omstandigheden die het werkproces beïnvloeden? Worden afwijkingen in de condities gesignaleerd, besproken en worden passende maatregelen genomen? Worden de consequenties van wijzigingen in het kwaliteitsmanagementsysteem, de productie middelen, productontwerpen en de product-porfolio in voldoende mate beheerst? Hebben medewerkers voldoende inzicht in de factoren die hun prestatie beïnvloeden en kunnen ze zich hierop aanpassen, of wordt hun vrijheid van handelen te veel door regels beperkt, waardoor zij gefrustreerd raken? Worden de verwachtingen ten aanzien van de prestaties gehaald en worden de oorzaken (context) onderzocht als dat niet het geval is? Is er sprake van voldoende innovatie op het gebied van het auditonderwerp (zowel technologisch als sociaal) of dreigt de organisatie op dit gebied achter te lopen bij concurrenten en de maatschappelijke behoeften? Wordt de kennis over het auditonderwerp voldoende gedeeld binnen en buiten de organisatie? Er zijn door de auditor dus heel veel boeiende vragen te stellen als hij contextgericht gaat auditen. Vragen die de auditor helpen om toegevoegde waarde te hebben voor de organisatie: het audit ContO.

Proces performance wordt niet alleen bereikt door de medewerkers die rechtstreeks betrokken zijn bij het audit onderwerp, maar ook door medewerkers van andere afdelingen of eenheden die input leveren. Zelfs leveranciers van goederen en diensten kunnen een significante bijdrage leveren aan de proces performance. De auditor moet dit netwerk van geïnteresseerde partijen (4.2) in zijn beoordeling meenemen. Het biedt daarbij het voordeel dat de auditor een groot aantal functionele gebieden binnen de organisatie audit. Hij bouwt hiermee een multidisciplinair inzicht op van de organisatie (kennis binnen de organisatie 7.1.6) die hij kan inzetten bij het beoordelen van de interne belangen ten aanzien van het auditonderwerp.

Wat betreft de interne issues (4.1) betekent dit dat de auditor ook aandacht moet besteden aan de ‘zachtere’ organisatorische waarden, de ethiek en de cultuur. De relevante vraag in dit verband is hoe de auditor de invloed van deze waarden op het bedrijfsproces moet auditen en hoe hij de beïnvloeding van deze waarden door middel van leiderschap moet beoordelen? De standaard audittechnieken gericht op naleving van strikte regels werken hierbij niet meer. De auditor zal moeten beoordelen in welke mate de zachtere waarden een bijdragende factor zijn geweest bij tekortschietende bedrijfsprestaties of waar de ethiek en de cultuur een risico vormen voor de bedrijfsvoering. De auditor zal ook zelf ervaren hoe de ethiek en cultuur zijn eigen werk beïnvloeden. Wordt de interne audit gewaardeerd en gestimuleerd als verbeterinstrument, of wordt het gezien als last en wordt de auditor tegengewerkt bij het identificeren van verbeterpunten? Deze ervaring kan hij gebruiken bij het beoordelen van andere processen. Daarnaast kan hij de ethiek en cultuur beïnvloeden. Sommige auditteams stellen een contract op met hun management waarin de doelstellingen, de verantwoordelijkheden en de bevoegdheden van auditors en auditees zijn vastgesteld. Met dit contract streven het audit team en het management optimale effectiviteit van het auditinstrument na. Een dergelijk contract doet ook recht aan de bijzondere positie binnen de organisatie, waarbij vertrouwelijkheid en beoordelingsvermogen een belangrijke rol spelen.

Het Audit ContO wordt al bepaald bij het opstellen van het jaarlijks auditschema. Langzamerhand zijn we er al aan gewend om het auditschema risico gebaseerd op te stellen. Ervaringen uit het verleden (interne issues, 4.1) worden meegewogen. Maar ook de belangen van geïnteresseerde partijen (4.2) kunnen worden meegewogen in de intensiteit waarin bepaalde auditonderwerpen in het komende jaar zullen worden geaudit. Ook de inschatting van veranderingen in de externe context van de organisatie (4.1) kunnen meespelen. Een concreet voorbeeld hiervan is dat de ontwikkeling van de managementsysteemnormen kunnen leiden tot aanvullende audits om de gaps tijdig te kunnen dichten, voordat de norm daadwerkelijk effectief wordt.

Contextgericht auditen kan dus een belangrijke bijdrage leveren aan de waarde van het auditproces (het audit ContO) als verbeterinstrument.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: