Risk-based auditen: risico’s en kansen voor ISO 19011

De invoering van de High Level Structure voor alle managementsysteemnormen heeft consequenties voor het uitvoeren van interne audits. De op ISO-normen gebaseerde managementsystemen zijn tegenwoordig ‘riskbased’, dat wil zeggen gericht op het beheersen van risico’s en kansen, bijvoorbeeld op het gebied van kwaliteit, milieu of informatiebeveiliging. De interne audit is een waardevol instrument om de effectiviteit van een managementsysteem te beoordelen, maar moet dan wel relevante informatie opleveren over het managen van risico’s. De herziene richtlijnen van ISO 19011 kunnen daarbij helpen.

Figuur 1 - Van contextanalyse tot beheersing van risico’s kansen en naleving van eisen (tussen haakjes paragraafnummers uit de HLS).

In de nieuwe managementsysteemnormen is meer nadruk komen te liggen op ‘outside-in’. Dit houdt in dat de context waarin de organisatie opereert en de eisen en verwachtingen van belanghebbenden belangrijke uitgangspunten zijn bij het ontwerpen en inrichten van het managementsysteem. Op basis van wat er zich afspeelt in de context worden risico’s en kansen vastgesteld en relevante na te leven eisen bepaald. Vervolgens kunnen maatregelen worden genomen om die risico’s en kansen aan te pakken en te zorgen dat aan de eisen wordt voldaan (zie figuur 1).

Met risico wordt bedoeld ‘het effect van onzekerheid’ op het bereiken van de doelstellingen. Hoe beter de risico’s en kansen worden gemanaged, hoe effectiever het managementsysteem zal zijn. In het geval van de ISO 9001-norm voor kwaliteitsmanagement betekent dit bijvoorbeeld het managen van risico’s en kansen in relatie tot het leveren van kwaliteit en de tevredenheid van de klant. Ook het naleven van relevante eisen kan risk-based worden benaderd: voor welke eisen heeft niet-naleving de grootste impact op de doelstellingen van de organisatie?

Van compliance-based naar risicogericht auditen

De belangrijke wijzigingen in de managementsysteemnormen hebben consequenties voor het uitvoeren van een interne audit. Bij een compliancegerichte audit verzamelt de auditor informatie om vast te stellen of de regels uit het managementsysteem worden gevolgd (wat doen we en hoe doen we het?) en of ze effectief zijn (bereiken we met het naleven van de regels de beoogde resultaten?). Bij een risicogerichte audit verzamelt de auditor informatie over de risicovolle aspecten in het managementsysteem in relatie tot de doelstellingen.

De focus van de auditor ligt daarbij op de kritische aspecten in de processen die van belang zijn voor het al dan niet behalen van de doelstellingen. Deze risicogerichte aanpak sluit beter aan bij de nieuwe managementsysteemnormen en heeft consequenties voor het auditprogramma, voor de uitvoering van de audits en de rapportage daarvan. Zoals al aangegeven is compliance nog steeds een belangrijk aandachtspunt in een managementsysteem, maar ook dat facet leent zich voor een risicogerichte audit. De focus in een audit ligt dan op de grootste compliancerisico’s.

- - -

In minder dan 50 woorden

• Het auditprogramma is gebaseerd op de risico’s en kansen waarmee een organisatie te maken heeft.
• Een risicogerichte audit heeft consequenties voor het auditprogramma.
  
  

- - -

Wat betekent dat voor de ISO 19011-richtlijn?

De ISO 19011-norm geeft richtlijnen voor het uitvoeren van audits van managementsystemen. Het gaat om de principes van auditen, de inrichting van een auditprogramma, de uitvoering en rapportering van een audit en de benodigde vaardigheden van een auditor in hun onderlinge samenhang (zie figuur 2).

Sinds het najaar van 2016 wordt er wereldwijd aan een herziening van de richtlijn gewerkt naar aanleiding van de herziening van de managementsysteemnormen. Namens Nederland wordt de inbreng geleverd vanuit de normcommissie Auditing van NEN.

Figuur 2. Onderdelen van ISO 19011 in hun onderlinge samenhang.

Risk-based auditen

De eerste werkdocumenten waren voor de Nederlandse normcommissie teleurstellend. Er waren nauwelijks wijzigingen aangebracht ten opzichte van de versie van ISO 19011 uit 2011. Door Nederland en andere landen is vervolgens uitgebreid commentaar ingediend, waarbij NEN vooral aandacht heeft gevraagd voor het concept van risk- based auditen. Dat heeft resultaat gehad want in de con- ceptversie is nu zelfs een nieuw auditprincipe opgenomen: ‘Risk-based approach: an audit approach that considers risks and opportunities’. De omschrijving daarvan luidt: de risk-basedbenadering behoort een substantiële invloed te hebben op het plannen, uitvoeren en rapporteren van audits om ervoor te zorgen dat audits focussen op zaken die significant zijn voor de auditee en voor het bereiken van de doelstellingen van het auditprogramma.

Zo’n nieuw principe is belangrijk voor het verankeren van de risicogerichte benadering in ISO 19011, want, zoals in figuur 2 is weergegeven, de principes vormen de basis voor de invulling van de andere onderdelen van de richtlijn. Door het nieuwe principe komt de risicogerichte benadering dus ook terug in de inrichting van het auditprogramma, het uitvoeren van de audits en in de competenties van de auditoren.

Het type managementsysteem (kwaliteit, milieu, arbo enzovoort) en het soort doelstellingen bepalen het soort risico’s en de kansen die relevant zijn voor de interne audits. Het type organisatie (wat betreft de activiteiten, producten, diensten) en de context waarin de organisatie actief is, bepalen welke specifieke risico’s en kansen aan de orde zijn en wat de omvang daarvan is. De belangrijkste risico’s en kansen bepalen vervolgens de omvang van het auditprogramma, het aantal en soort (individuele) audits en de specifieke doelstellingen van de audits. Maar ook de competenties van de auditoren.

Inrichting en ontwikkeling van het audit- programma

De inrichting van een auditprogramma moet gebaseerd zijn op de risico’s en kansen die effect kunnen hebben op het bereiken van de doelstellingen die de organisatie met het managementsysteem nastreeft. Risico’s zijn onzekerheden. Kennis over en beheersing van de risico’s zijn belangrijk als een organisatie haar doelstellingen wil bereiken. Daarom moet een organisatie in de auditplanning die processen en aspecten opnemen die het meest relevant zijn voor het behalen van de doelstellingen. Een risicobeoordeling kan een goede basis zijn om hierin prioriteiten te stellen. Op die manier neem je automatisch ook de aard, functionaliteit, complexiteit en volwassenheid van het managementsysteem mee, want die beïnvloeden de omvang van de risico’s.

Ieder auditprogramma heeft doelstellingen. In de richtlijn wordt aangegeven waarop de doelstellingen voor een auditprogramma kunnen zijn gebaseerd. Bijvoorbeeld eisen en verwachtingen van belanghebbenden, wettelijke en andere eisen, maar ook de risico’s en kansen voor de organisatie. In ISO 19011 worden voorbeelddoelstellingen van een auditprogramma genoemd, zoals ‘het beoordelen van het vermogen van de organisatie om risico’s en kansen vast te stellen en de benodigde maatregelen te identificeren en te implementeren om die risico’s en kansen te beheersen’.

In de conceptversie wordt op een aantal aspecten van een auditprogramma uitgebreid ingegaan, zoals de rol en verantwoordelijkheden van de auditprogrammamanager, de benodigde middelen, het plannen en aansturen van individuele audits en het monitoren en evalueren van de resultaten. Hiermee wordt duidelijk dat het auditprogramma een op de PDCA-cyclus gebaseerd systeem is om het auditproces te managen. Dit voorkomt dat het uitvoeren van audits een ad-hocactiviteit is en zorgt ervoor dat het meer is dan een verplicht nummertje om het certificaat te behouden. Door het management goed te betrekken bij het auditprogramma kan worden gezorgd dat het goed aansluit bij hun informatiebehoefte over het (goed) functioneren van de organisatie. Ook wordt de kans groter dat de auditrapportages relevant zijn en worden gebruikt als basis voor aansturing en aanpassingen.

Het uitvoeren van een interne audit

Risicogericht auditen heeft ook consequenties voor de manier waarop de audit wordt uitgevoerd. Daarvoor biedt de conceptrichtlijn nog geen concrete handvatten. Dat is niet zo verbazingwekkend, want ook in de huidige versie van ISO 19011 staan geen concrete richtlijnen voor bijvoorbeeld procesgericht auditen. Belangrijk is dat de conceptrichtlijn aangeeft dat de planning van een audit moet zijn gebaseerd op de risk-based approach. Overigens gaat dat niet alleen om het stellen van prioriteiten op basis van een risicobeoordeling van de te auditen processen. Er behoort ook aandacht te worden gegeven aan de risico’s die het uitvoeren van een audit met zich meebrengt voor de auditee, bijvoorbeeld wat betreft veiligheid, verstoring van het productieproces en contaminatie in schone werkruimtes. Wat betreft de praktische invulling van het risicogericht uitvoeren van audits, zal de nieuwe ISO 19011 dus nog weinig te bieden hebben. Dat komt ook omdat er simpelweg nog geen mondiaal geaccepteerde ‘good practices’ op dit gebied zijn. Maar ongetwijfeld zullen die de komende jaren ontstaan, naarmate meer organisaties de nieuwe HLS-based managementsysteemnormen gaan gebruiken.

De auditor

Een risicogerichte audit vraagt om andere competenties van de auditor. De auditor moet in staat zijn te beoordelen hoe de organisatie risicomanagement toepast en de informatie over de context en de vastgestelde risico’s en kansen hanteert. De audtor moet in staat zijn acties te nemen om die risico’s aan te pakken en te beoordelen of de acties effectief zijn. De focus in audits ligt meer dan voorheen op wat er bereikt moet worden met het managementsysteem. Volgens de Nederlandse normcommissie zijn in de huidige conceptversie van ISO 19011 de daarvoor benodigde competenties van de auditor nog onvoldoende uit- gewerkt. Daarom zijn er diverse voorstellen voor aanvullende kennis en vaardigheden die een auditor moet hebben om een risicogerichte audit uit te voeren. Zoals kennis van de principes van risicomanagement en inzicht in het soort ‘business risks’ die samenhangen met de aard en omvang van de organisatie waar de audits worden uitgevoerd.

Figuur 3. Verankering thema’s/managementprocessen door het HLS-based managementsysteem met aanknopingspunten voor audittrails om de borging daarvan de beoordelen.

Audit trails

ISO 19011 geeft geen richtlijnen voor zogenoemde audittrails. Dat zijn een soort ‘sporen’ die een auditor door de organisatie en het managementsysteem volgt om te beoordelen of een bepaald aspect van de bedrijfsvoering is geborgd en voldoende wordt beheerst. De High Level Structure biedt wel aanknopingspunten voor dergelijke audittrails. Dit is weergegeven in figuur 3 waarin te zien is dat bepaalde managementprocessen, zoals risico- en compliancemanagement, stakeholdermanagement en verbetermanagement, in het managementsysteem zijn verankerd door een combinatie van eisen in de diverse paragrafen van de HLS.

De auditor kan horizontaal of verticaal dwars door het managementsysteem lopen en toetsen of dit effectief functioneert voor een bepaald onderwerp of proces, bijvoorbeeld leiderschap of compliancemanagement. Die effectiviteit is alleen goed te beoordelen door verschillende systeemelementen met elkaar in verband te brengen en in samenhang te beoordelen. Het ‘afvinken’ van allerlei afzonderlijke eisen is daarvoor niet toereikend. Dit wordt in de conceptversie van de richtlijn benoemd als het toepassen van ‘professional judgement’. Daarbij wordt aangegeven dat een auditor zich niet moet blindstaren op individuele eisen, maar de intentie van paragrafen en de onderlinge samenhang van eisen in de gaten moet houden en hoe die gezamenlijk bijdragen aan de beoogde resultaten van het managementsysteem. De Nederlandse normcommissie zal in haar commentaar voorstellen om in de bijlage van de conceptversie nog extra voorbeelden van deze benadering toe te voegen.

Tot slot

Voor ISO 19011 valt geen certificaat te behalen en de toepassing ervan is niet verplicht vanuit bekende normen als ISO 9001 en ISO 14001. Maar wij zijn van mening dat het volgen van de richtlijnen in ISO 19011 veel toegevoegde waarde kan hebben. Succesvolle interne audits staan en vallen met een goed auditprogramma en met de kwaliteiten van de auditor. Beide worden uitgebreid beschreven in de richtlijn.

In de nieuwe ISO 9001 en ISO 14001 wordt de verantwoordelijkheid van de directie voor het managementsysteem uitgebreider beschreven. De directie heeft er dus belang bij goede informatie te krijgen over het functioneren van het managementsysteem. De doeltreffendheid van het managementsysteem wordt in belangrijke mate bepaald door het vaststellen van de juiste risico’s en kansen, het nemen van de juiste maatregelen om deze aan te pakken en monitoren of die maatregelen effectief zijn. Wanneer dat proces niet goed functioneert, kan dat consequenties hebben voor het behalen van de doelstellingen en dus voor de doeltreffendheid van het managementsysteem.

Audits worden uitgevoerd om het management te voorzien van informatie over de effectiviteit van het managementsysteem. Door de focus te leggen op risico’s en kansen, kan een audit relevante en betekenisvolle informatie verschaffen die het management kan gebruiken. Als aan deze voorwaarden wordt voldaan, krijgt de audit een strategische meerwaarde die de organisatie daadwerkelijk vooruithelpt.

De nieuwe ISO 19011 sluit hier goed op aan. Figuur 4 maakt duidelijk hoe de onderdelen van ISO 19011 bijdragen aan het inrichten en uitvoeren van de interne auditfunctie. Hierin wordt vanuit strategisch niveau sturing gegeven en wordt vanuit het operationele niveau relevante informatie naar het topmanagement teruggekoppeld.

Figuur 4. De koppeling van strategie en operatie in de nieuwe ISO-normen en de componenten van ISO 19011 die dat versterken.

Ook als uw organisatie drukdoende is met een ISO 9001 certificering is het belangrijk om het draagvlak onder uw medewerkers goed in het oog te houden.

- - -

Auteurs

Bernadette van Pampus is zelfstandig organisatieadviseur sinds 1996. Haar specialisme ligt op het gebied van kwaliteitsmanagement en het implementeren van de ISO-normen. Sinds 2005 leidt zij auditoren op.

Dick Hortensius werkt als senior-consultant bij NEN. Hij begeleidt nationale en internationale normalisatieprojecten op het gebied van managementsystemen en verwante onderwerpen. Daarnaast is hij docent in trainingen op dit gebied en auteur van diverse praktijkgidsen.