Skip to content

Nieuwe ISO 19011:2018 norm voor auditing van managementsystemen

14 juli 2018

normen

De nieuwe internationale norm voor het auditen van managementsystemen, de ISO 19011:2018 “Richtlijnen voor het uitvoeren van audits van managementsystemen”, is gepubliceerd. Een Nederlandse vertaling volgt na de zomer. Met deze verbeteringen beschrijft ISO 19011: 2018 nog steeds de beginselen van auditing, het beheer van een auditprogramma en het uitvoeren van managementsysteemaudits. Het bevat ook een leidraad voor het evalueren van de personen die het auditprogramma, de auditors en de auditteams beheren. In overeenstemming met ISO 19011: 2018 kan een audit worden uitgevoerd op basis van de richtlijnen die zijn gedefinieerd in managementsysteemstandaarden die zijn gebaseerd op de High Level Structure, de behoeften van belanghebbenden, wettelijke en regelgevende vereisten, kwaliteitsplannen en / of andere auditcriteria. Audits kunnen intern (eerste partij) zijn, uitgevoerd door externe leveranciers en andere externe belanghebbenden (tweede partij), of voor certificering of door regelgevende instanties (derde partij). ISO 19011: 2018 is van toepassing op alle organisaties die interne of externe audits van managementsystemen moeten plannen en uitvoeren of een auditprogramma moeten beheren. Bovendien is ISO 19011: 2018 , net als zijn voorgangers, van toepassing op organisaties van alle soorten en maten, en op audits van verschillende scopes en schalen.

Om de effectiviteit van managementsystemen te beoordelen is het uitvoeren van interne audits een goede manier. Managementsystemen helpen organisaties om hun doelen te bereiken, en om goed te kunnen inspelen op veranderingen in de markt en evoluerende technologieën. Er zijn in de afgelopen jaren aanzienlijke veranderingen doorgevoerd om het assortiment van ISO-managementsysteemstandaarden te harmoniseren, beginnend met de publicatie van ISO 9001: 2015. Er zijn veel wijzigingen aangebracht in de managementsysteemnormen conform de gedeelde High Level Structure; identieke kernrichtlijnen en algemene termen en definities. Op basis van de High Level Structure, richt de nieuwe generatie ISO-managementsysteemstandaarden zich op de context van de organisatie en haar interne en externe problemen, de integratie van het managementsysteem in de bedrijfsvoering van de organisatie, het belang van risicobeheer en de betrokkenheid van het topmanagement en het algehele resultaat en de effectiviteit van één of meerdere relevante managementsystemen (ISO kent al meer dan 70 managementsysteemnormen). Organisaties kunnen van eenvoudig tot uiterst complex zijn en de uitdaging ligt in het creëren van normen die voor al deze organisaties gelden. De High Level Structure promoot een managementsysteem dat op risico’s is gebaseerd, en auditors moeten voorbereid zijn om de uitdaging aan te gaan om de hiaten in de managementsystemen te herkennen die verhinderen dat de organisatie succesvol is. Het doel van een managementsysteem is immers om een systematische aanpak te bieden voor het behalen van betere resultaten in relatie tot de behoeften en verwachtingen van de belanghebbenden van de organisatie. De uitdaging van ISO 19011 is om voldoende en passende begeleiding te bieden om consistente en waardevolle auditresultaten mogelijk te maken zonder prescriptief te zijn.

Deze bredere benadering van het auditen van managementsystemen overwegende, is ISO 19011: 2018 herzien met de volgende wijzigingen ten opzichte van de 2011 editie:

  • De risico gebaseerde benadering van het managen en uitvoeren van audits, waarmee wordt ingespeeld op de toegenomen aandacht voor risico’s en kansen in zowel de managementsysteemnormen als de markt waarin organisaties opereren.
  • Richtlijnen voor het beheer van een auditprogramma zijn uitgebreid, met name over het controleren van het programmarisico.
  • ‘Audit bewijs’ zal nu ‘objectief bewijs’ zijn. Het wordt ‘informatie die enigszins kan worden geverifieerd’, in plaats van ‘informatie die kan worden geverifieerd’.
  • Generieke competentievereisten voor auditors zijn uitgebreid.
  • De informatieve bijlage over “Leidraad en illustratieve voorbeelden van discipline-specifieke kennis en vaardigheden van auditors” (bijlage A in ISO 19011: 2011) is verwijderd. De reden hiervoor is dat, vanwege het grote aantal individuele managementsysteemstandaarden, het onpraktisch zou zijn om competentievereisten voor alle disciplines op te nemen.
  • Bijlage A, “Aanvullende richtlijnen voor auditors die audits plannen en uitvoeren” (bijlage B in ISO 19011: 2011), is uitgebreid om richtlijnen te geven voor auditconcepten zoals organisatiecontext, leiderschap en betrokkenheid, risicomanagement, compliance management, en supply chain.
  • Richtlijnen over de levenscyclus, methoden van auditing, virtuele audits, professionele oordeelsvorming en prestatie-uitkomsten.
  • Een minder prescriptieve benadering, meestal met betrekking tot het gedocumenteerde bewijs van het auditproces.

Een risico gebaseerde aanpak is een lang gekoesterde en belangrijke toevoeging aan ISO 19011. De huidige ISO 19011: 2011 omvat alleen risico-overwegingen met betrekking tot het eigenlijke auditprogramma en individuele audits, dat wil zeggen de risico’s dat de auditdoelstellingen niet worden bereikt. De High Level Structure vereist dat planning wordt gedaan op basis van de risico’s en kansen van de organisatie (paragraaf 6.1), die op hun beurt moeten worden afgeleid van de organisatorische context en de interne en externe problemen (paragrafen 4.1 en 4.2). Op basis hiervan is een nieuw auditprincipe aan de bestaande principes toegevoegd:

“Op risico gebaseerde benadering: een auditaanpak waarbij rekening wordt gehouden met risico’s en kansen. De op risico’s gebaseerde aanpak moet de planning, uitvoering en rapportering van audits aanzienlijk beïnvloeden om ervoor te zorgen dat de audits gericht zijn op aangelegenheden die van belang zijn voor de auditee en voor het bereiken van de doelstellingen van het auditprogramma. ”

Bij het opstellen van het auditprogramma moet aandacht worden besteed aan de geïdentificeerde risico’s en kansen van de organisatie en de acties die zijn ondernomen om ze aan te pakken. Hoewel de High Level Structure interne audits vereist die met geplande tussenpozen worden uitgevoerd, suggereert de nieuwe ISO 19011 dat auditprioriteit moet worden gegeven aan zaken in een managementsysteem met hoger inherent risico en lagere prestaties. Op zich is dit voor de meeste auditors niets nieuws. Wel biedt ISO 19011: 2018 in de bijlage enkele richtlijnen voor het controleren van risico’s en kansen. De gedefinieerde kerndoelen voor de op risico gebaseerde benadering omvatten waarborgen voor de geloofwaardigheid van het risico-identificatieproces, de juiste vaststelling en beheersing van risico’s en de beoordeling van hoe de organisatie die risico’s en kansen toetst.

In Paragraaf 6-Uitvoeren en audit is de op risico gebaseerde benadering voornamelijk opgenomen in relatie tot de planning van de audit. Een ding om te onthouden, wanneer ik met auditors werk, stel ik meestal de vraag: “Wat is het doel van een audit van het managementsysteem?” Natuurlijk hangt de respons af van vele factoren, waaronder de auditdoelstellingen van de organisatie. Als we het echter in één zin moeten samenvatten, zou ik zeggen dat het de bedoeling van de auditor is om waarde toe te voegen aan de organisatie via het auditproces en de uitkomst ervan. Daarvoor moet de auditor bij het plannen van de audit vaststellen wat de context van het auditonderwerp is: wat het belang van het auditonderwerp is voor de organisatie en alle belanghebbenden. Ik schreef hierover reeds de blog het audit conto. Ik geloof dat dit nog steeds een grijs gebied is voor veel auditors en ook voor de ISO 19011 norm.

Een toevoeging aan de competenties van auditors (deel 7) die de moeite waard is om te vermelden, is de opname van kennis en vaardigheden van auditors die de behoeften en verwachtingen van relevante belanghebbenden moeten omvatten die van invloed zijn op het managementsysteem. Met betrekking tot de voortdurende professionele ontwikkeling, moet rekening worden gehouden met de veranderingen in sector of discipline.

Advertenties
No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

%d bloggers liken dit: