Zo levert een interne audit voor iedereen veel meer op

Interne audits leveren veel meer op als we kiezen voor een risico-gebaseerde aanpak. Dat biedt veel kansen voor verbetering, zo vertelt Jan Dillen. Inmiddels is zijn nieuwe boek over dit onderwerp verschenen.

Jan Dillen is lead auditor, VCA coördinator en auteur op het gebied van veiligheid*. Onlangs verscheen zijn nieuwe boek Maximale waarden halen uit interne audits. Hoe kijkt hij aan tegen interne audits?

Trends op het gebied van audits

Wat speelt er allemaal op het gebied van audits? Volgens Jan zien we in de praktijk dat de interne audit integraal deel uitmaakt van de veiligheidskunde en de taak van de veiligheidskundige is. Er vinden steeds meer audits plaats, zowel interne als externe audits. En we bewegen bij managementsystemen in het algemeen, en ook bij interne audits, steeds meer naar geïntegreerde managementsystemen. Dus naar kwaliteit, veiligheid en milieu samen.

Wat levert een interne audit op?

Die interne audit levert lang niet altijd iets op. Volgens Jan moeten we daar eerlijk in zijn. Hoe komt dat? Lang niet iedereen wil meewerken. Een andere belangrijke reden is dat we de audit veel te controlerend en beheersend uitvoeren, waardoor deze als weinig positief wordt ervaren met weinig verbetermogelijkheden. Het proces verloopt vaak ondemocratisch en bureaucratisch. Dat kost veel tijd en gedoe en daardoor is de audit lang niet altijd kosteneffectief.

Maar we gaan toch door met audits. Waarom eigenlijk? Soms is dat alleen omdat het moet. Bijvoorbeeld ISO 9001 of VCA of ISO 45001 vragen om interne audits. Maar een reden is ook dat we willen verbeteren. Het management wil informatie krijgen over de kwaliteit van gezond en veilig werken op bepaalde afdelingen en vestigingen. Melden de werknemers daar bijvoorbeeld elk ongeval? Onderzoeken ze ongevallen op dezelfde manier? Zijn de afdelingen compliant met Arbowetgeving?

Meer risk appetite

Een interne audit geeft informatie over risico’s. Dat is belangrijk voor het managementsysteem. Volgens Jan moet we de risicobenadering veel sterker dan nu het geval is, aan bod laten komen. Dan hebben we het bijvoorbeeld over de risk appetite: de risicotolerantie, de risico-aanvaardbaarheid. Het management moet immers bepaalde risicocriteria hanteren. Dus moet er tijdens de interne audit informatie beschikbaar komen voor het management over de werking van het veiligheids- en gezondheidsmanagementsysteem.

Daarbij zijn drie zaken van belang. Allereerst: voldoen we aan de eisen van een bepaalde norm? Een bepaalde standaard, VCA of ISO 45001? En: voldoen we op bepaalde afdelingen of vestigingen aan onze eigen criteria op het gebied van gezond en veilig werken? En ten derde: houdt iedereen zich aan de risicocriteria die door het management zijn vastgelegd of worden er meer risico’s genomen in de praktijk? Die risicotolerantie, die risico appetite, moeten werknemers op de werkvloer ook kennen en toepassen.

Wat is de risico-gebaseerde aanpak?

Dat hele proces is voor een interne auditor niet altijd even makkelijk. Want er zijn verschillende insteken mogelijk. Veel bedrijven doen hun interne audits met hun afdeling riskmanagement. Maar dat is niet de bedoeling van de risk approach in de nieuwe normen ISO 45001 en ISO 19011.

Wat is die risico-gebaseerde aanpak dan? Dat betekent dat we het audit programma risk based en flexibel opstellen. Daardoor kunnen we wijzigingen in risico’s, wijzigingen in productiemethoden en nieuwe afdelingen verwerken in het auditprogramma.

Een tweede belangrijke zaak is dat we de interne audits op basis van processen gaan uitvoeren. Bij die processen bekijken we of we voldoen aan de risicocriteria die het management heeft vastgesteld en niet overschrijden.

Als derde bekijken we wat dat de risico’s zijn van het intern audit proces zelf. Is er een risico dat we dat intern audit programma niet kunnen gaan volgen? Is er een risico dat de interne audits onvoldoende opleveren? Is er een risico dat we niet voldoende interne auditoren van de juiste kwaliteit hebben, bijvoorbeeld om een geïntegreerde audit uit te voeren? Dan ontstaat het risico dat de kwaliteit van het geïntegreerde auditproces niet is wat je wilt.

Wat levert de risico-gebaseerde aanpak op?

Veel opleidingen gaan nog uit van oude normen, waar die risico-gebaseerde benadering ontbreekt.  Op de werkvloer nemen interne auditoren nog vaak een procedure als uitgangspunt en bekijken dan of de manier van werken daarmee spoort. Zo’n interne audit vindt Jan zwak. “Ze doorleven de situatie dan niet echt.” Interne audits leveren veel meer op als je de risked based approach gebruikt.

Kijk als auditor ook naar de positieve dingen. Dus niet alleen naar wat slecht is, maar naar de kansen voor verbetering. Een interne auditor mag van Jan ook voorstellen doen aan proceseigenaren op bepaalde afdelingen en problemen aankaarten. En werk eens wat minder bureaucratisch. Soms kun je gewoon bellen met een verantwoordelijke van een afdeling. Hij noemt dat ‘lean auditeren’. Je hoeft lang niet altijd een intern auditplan te maken. “Dat is veiligheidsbureaucratie” en voegt weinig toe aan de kwaliteit van het interne auditproces. Uiteraard moet de interne audit wel aangepast zijn aan de risico’s en omvang van het bedrijf.

Veel veiligheidskundigen moeten nog leren

De risicobenadering is een belangrijk principe binnen kwaliteitsmanagement. De benadering van ISO 9000 is veel moderner dan veel veiligheidskundigen hebben aangeleerd. Want zij gaan uit van een zuiver risico, een risico dat enkel negatieve gevolgen kan hebben. Bijvoorbeeld een arbeidsongeval of een brand.

Bij hen is nog onvoldoende doorgedrongen dat de nieuwe managementsysteemnormen uitgaan van een speculatief risico. Waarbij een risico ook kansen kan bieden. Het gaat om een mindset. Die deskundigen moeten een switch maken bij de aanpak van goed veiligheids- en gezondheidsmanagement, zegt Jan. En dat kan vrij eenvoudig.  Bijvoorbeeld door de volgende tips te volgen.

Tips voor de risico-gebaseerde aanpak:

  • Keep it simple en stupid. Vermijd bureaucratie.
  • Vermijd controleren en beheersen.
  • Kies een positieve, proactieve benadering.
  • Kijk ook naar de veerkracht van het veiligheids- en gezondheidsmanagementsysteem. Door de continue verandering die steeds en snel plaatsvindt.
  • Kijk ook naar de ketenbenadering, bijvoorbeeld in de contract- en aannemingswereld.

Zo haal je volgens Jan Dillen uit die interne audits een meerwaarde voor de organisatie. Inmiddels is zijn boek Maximale waarden halen uit interne audits verschenen bij VMNmedia. Een mooi boek voor extra verdieping op dit onderwerp. Hij vertelt er meer over op het Landelijk Arbocongres 2022.

Beluister de podcast met Jan Dillen over interne audits met uitleg en voorbeelden.

* Jan Dillen is lead auditor en VCA coördinator en auteur op het gebied van veiligheid en auteur over veiligheid*. Jan is bovendien auteur op het gebied van veiligheidscultuur, kwaliteit, veiligheid en milieu en afgestudeerd in bedrijfskunde, bouwkunde en preventie aan diverse universiteiten. Daarnaast geeft hij les aan de Universiteit van Antwerpen en de Katholieke Universiteit Leuven in arbeidsveiligheid en bedrijfsveiligheid.

Beluister meer podcasts van Verhalen in veiligheid:

Een vertrouwenspersoon is geen excuustruus
Het einde van risicomanagement
De veiligheidskundige is niet meer die van dertig jaar geleden
Dit jaar gaat er een en ander veranderen in de eisen aan de RIE

Update: juli 2022