Spring naar inhoud

ISO 19011 onmogelijk voor kleine organisaties

17 februari 2019

Hoewel ik een fervent aanhanger ben van goede interne audits, heb ik ook veel begrip voor de beperkte middelen die beschikbaar zijn in kleine bedrijven. De norm voor een goed auditmanagementsysteem is ISO 19011 “Richtlijnen voor het uitvoeren van audits van managementsystemen”. In mijn ervaring zijn alleen grote organisaties bekend met deze norm. Kleine bedrijven hanteren de norm niet of nauwelijks. Voor hen zijn de vereisten van de ISO 19011 een ver van hun bed show. En als je de norm door hun ogen bekijkt, kun je ze daar geen ongelijk in geven. De norm schetst voor hen een onbereikbaar ideaal, dus waarom je erin verdiepen?

Stappen die deel uitmaken van het “managementproces” voor audits zijn onder meer: het beheer van het auditprogramma, het vaststellen van doelstellingen van auditprogramma’s, het bepalen en evalueren van risico’s en kansen van auditprogramma’s en het opstellen van het auditprogramma. De standaard verwijst naar nog eens 31 secties met betrekking tot het beheer van het auditproces. Veel hiervan is systeemwerk en moet worden uitgevoerd door een persoon die het auditsysteem managet, niet door de auditor. Welk klein bedrijf heeft zo’n persoon. De verantwoordelijkheid voor het beheren van het audit programma wordt uitgevoerd door de auditor zelf en auditen is bijna altijd de taak van de QA verantwoordelijke, die tevens sterk betrokken is bij het beheersen van de kwaliteit van alle bedrijfsprocessen. De onafhankelijkheid van de auditor is dan onmogelijk te waarborgen. Ik ben bijvoorbeeld verantwoordelijk voor de QA activiteiten van een bedrijf dat uit slechts 2 FTE bestaat, er zijn 4 personen direct betrokken bij het bedrijf. Er wordt (voor de bühne) een zeer bescheiden intern auditje uitgevoerd, wat eigenlijk niet meer is dan even met elkaar terugkijken op wat we het afgelopen jaar hebben gedaan en of dit past bij de eisen die wijzelf, onze klanten, de norm, de wet en andere betrokkenen ons opleggen. Het is een voorbereiding op de directiebeoordeling. Ik leid die audit. Tijdens de recente audit van de aangemelde instantie kwam de ongemakkelijke vraag: hoe onafhankelijk is uw interne auditor? Zo’n vraag is niet opportuun voor een kleine startup die moeite heeft om het beperkte investeringsbudget zo zinvol mogelijk te besteden. “Gaat de aangemelde instantie nu verwachten dat ze een onafhankelijke auditor gaan inhuren? Moet die dan ook nog een auditbeheersplan gaan schrijven?” schiet er dan door mijn hoofd. Na enige feedback hierover werd de vraag gelaten voor wat die was.

In midden- en kleinbedrijven is het al moeilijk om de onafhankelijkheid van de auditor volledig te waarborgen. Er wordt zo intens met elkaar samengewerkt en iedereen is exact bekend met wat er binnen het bedrijf speelt, dat een auditor nimmer zonder vooringenomenheid aan de audit kan beginnen en dat hij bij zijn beoordeling onmogelijk onbeïnvloed is door de organisatie. Daarnaast is het auditen bijna altijd een neventaak. In de ISO 19011 principes van het uitvoeren van een audit (sectie 4) wordt erkend dat onpartijdigheid en objectiviteit van de auditor (lid e) moeilijk gerealiseerd kan worden in kleine organisaties, maar dat wel al het mogelijke moet worden gedaan om dit te bevorderen. Een antwoord op de vraag “Hoe dan?” krijg je vervolgens niet. Alleen maar praktische eisen die niet te realiseren zijn binnen de kleine organisatie.

Wanneer één (QA) persoon een bedrijf met maximaal 10 personen audit, hoeveel “auditsysteembeheer” is dan eigen noodzakelijk? Een openings- en slotvergadering hebben bijvoorbeeld geen toegevoegde waarde. Het aantal audits dat wordt uitgevoerd is uiterst beperkt, hoezo moet daar een heel schema voor worden opgesteld en ook nog verantwoord op basis van risico’s. Alsof er ruimte is om hier flexibel mee om te gaan. De High Level Structure die ISO hanteert voor haar managementsysteemnormen geeft aan dat het managementsysteem moet worden vastgesteld op basis van de context van de organisatie. Dat betekent onder andere dat het managementsysteem passend moet zijn voor de omvang van de organisatie en de risico’s waarmee het te maken heeft. Waarom zou dat dan niet gelden voor de inrichting van het auditmanagementsysteem. ISO 19011 biedt hiervoor te weinig flexibiliteit.

Elk moment van zelfreflectie zou men een interne audit kunnen noemen en enige mate van zelfreflectie is nooit verkeerd. Het gaat erom deze zelfreflectie zodanig uit te voeren dat het ook echt leidt tot noodzakelijke koerswijzigingen: tactische en strategische keuzes die de effectiviteit en de efficiëntie van de organisatie verbeteren. Daarvoor zijn meer methoden beschikbaar dan de traditionele auditmethodieken. Er worden überhaupt al meerdere vormen van zelfreflectie vereist binnen de normen en de wet: directiebeoordeling, risicomanagement, Post-Market Surveillance, Klinische Evaluatie, Risico Inventarisatie en Evaluatie (RI&E), enzovoorts. Daarnaast is een kleine organisatie ook sterk afhankelijk van leveranciers die ondersteunen bij het ontwerpen en fabriceren van het product. Leveranciersbeoordeling, onder andere door middel van leveranciersaudits, zijn dan veel wezenlijker. De richtlijnen van ISO 19011 zijn dan wel toepasbaar. Maar waarom biedt de ISO 19011 norm geen ondersteuning voor het inrichten van zelfreflectie binnen kleine organisaties. Waarom moet een audit altijd middels interviews en registratiebeoordelingen? Waarom kan het niet via een brainstorm, een brown-paper-sessie, een risicoanalyse, een contextanalyse, of een andere vorm van heisessie? Het gaat er uiteindelijk om dat de organisatie zich bij tijd en wijle een oprechte spiegel voorhoudt waardoor ze de juiste koers blijft of gaat varen. Helaas staan teveel aangemelde instanties en andere certificerende instanties hiervoor nog te weinig open. Waarschijnlijk omdat ze zelf zo gewend zijn dat de door hun uitgevoerde audits strak volgens de ISO 19011 norm moeten worden uitgevoerd. Je zou kunnen stellen dat daardoor elke gecertificeerde organisatie dus toch altijd wordt onderworpen aan een onafhankelijke ISO 19011 compliant audit. Maar helaas vinden ze dan dat de certificerende audit niet geldt als interne audit. Dat vind ik maar ten dele terecht. De certificerende audit mag meegewogen worden in de noodzaak voor interne audits. Juist met die overweging komt men tot hele andere focussen en mogelijk methodieken voor het uitvoeren van de interne audit die veel waardevoller zijn voor de organisatie dan het uitvoeren van een zwakke versie van een normaudit.

No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.

%d bloggers liken dit: