Zo levert een interne audit voor iedereen veel meer op 

Interne audits leveren veel meer op als we kiezen voor een risico-gebaseerde aanpak. Dat biedt veel kansen voor verbetering, zo vertelt Jan Dillen. Inmiddels is zijn nieuwe boek over dit onderwerp verschenen.

Zo levert een interne audit voor iedereen veel meer op 

Jan Dillen is lead auditor, VCA coördinator en auteur op het gebied van veiligheid*. Onlangs verscheen zijn nieuwe boek Maximale waarden halen uit interne audits. Hoe kijkt hij aan tegen interne audits?  

Wat speelt er allemaal op het gebied van audits? Volgens Jan zien we in de praktijk dat de interne audit integraal deel uitmaakt van de veiligheidskunde en de taak van de veiligheidskundige is. Er vinden steeds meer audits plaats, zowel interne als externe audits. En we bewegen bij managementsystemen in het algemeen, en ook bij interne audits, steeds meer naar geïntegreerde managementsystemen. Dus naar kwaliteit, veiligheid en milieu samen.  

Wat levert een interne audit op? 

Die interne audit levert lang niet altijd iets op. Volgens Jan moeten we daar eerlijk in zijn. Hoe komt dat? Lang niet iedereen wil meewerken. Een andere belangrijke reden is dat we de audit veel te controlerend en beheersend uitvoeren, waardoor deze als weinig positief wordt ervaren met weinig verbetermogelijkheden. Het proces verloopt vaak ondemocratisch en bureaucratisch. Dat kost veel tijd en gedoe en daardoor is de audit lang niet altijd kosteneffectief.  

Maar we gaan toch door met audits. Waarom eigenlijk? Soms is dat alleen omdat het moet. Bijvoorbeeld ISO 9001 of VCA of ISO 45001 vragen om interne audits. Maar een reden is ook dat we willen verbeteren. Het management wil informatie krijgen over de kwaliteit van gezond en veilig werken op bepaalde afdelingen en vestigingen. Melden de werknemers daar bijvoorbeeld elk ongeval? Onderzoeken ze ongevallen op dezelfde manier? Zijn de afdelingen compliant met Arbowetgeving? 

Meer risk appetite

Een interne audit geeft informatie over risico's. Dat is belangrijk voor het managementsysteem. Volgens Jan moet we de risicobenadering veel sterker dan nu het geval is, aan bod laten komen. Dan hebben we het bijvoorbeeld over de risk appetite: de risicotolerantie, de risico-aanvaardbaarheid. Het management moet immers bepaalde risicocriteria hanteren. Dus moet er tijdens de interne audit informatie beschikbaar komen voor het management over de werking van het veiligheids- en gezondheidsmanagementsysteem. 

Daarbij zijn drie zaken van belang. Allereerst: voldoen we aan de eisen van een bepaalde norm? Een bepaalde standaard, VCA of ISO 45001? En: voldoen we op bepaalde afdelingen of vestigingen aan onze eigen criteria op het gebied van gezond en veilig werken? En ten derde: houdt iedereen zich aan de risicocriteria die door het management zijn vastgelegd of worden er meer risico's genomen in de praktijk? Die risicotolerantie, die risico appetite, moeten werknemers op de werkvloer ook kennen en toepassen.  

Wat is de risico-gebaseerde aanpak? 

Dat hele proces is voor een interne auditor niet altijd even makkelijk. Want er zijn verschillende insteken mogelijk. Veel bedrijven doen hun interne audits met hun afdeling riskmanagement. Maar dat is niet de bedoeling van de risk approach in de nieuwe normen ISO 45001 en ISO 19011.  

Wat is die risico-gebaseerde aanpak dan? Dat betekent dat we het audit programma risk based en flexibel opstellen. Daardoor kunnen we wijzigingen in risico's, wijzigingen in productiemethoden en nieuwe afdelingen verwerken in het auditprogramma.

Een tweede belangrijke zaak is dat we de interne audits op basis van processen gaan uitvoeren. Bij die processen bekijken we of we voldoen aan de risicocriteria die het management heeft vastgesteld en niet overschrijden.

Als derde bekijken we wat dat de risico's zijn van het intern audit proces zelf. Is er een risico dat we dat intern audit programma niet kunnen gaan volgen? Is er een risico dat de interne audits onvoldoende opleveren? Is er een risico dat we niet voldoende interne auditoren van de juiste kwaliteit hebben, bijvoorbeeld om een geïntegreerde audit uit te voeren? Dan ontstaat het risico dat de kwaliteit van het geïntegreerde auditproces niet is wat je wilt.   

Wat levert de risico-gebaseerde aanpak op? 

Veel opleidingen gaan nog uit van oude normen, waar die risico-gebaseerde benadering ontbreekt.  Op de werkvloer nemen interne auditoren nog vaak een procedure als uitgangspunt en bekijken dan of de manier van werken daarmee spoort. Zo'n interne audit vindt Jan zwak. "Ze doorleven de situatie dan niet echt." Interne audits leveren veel meer op als je de risked based approach gebruikt.  

Kijk als auditor ook naar de positieve dingen. Dus niet alleen naar wat slecht is, maar naar de kansen voor verbetering. Een interne auditor mag van Jan ook voorstellen doen aan proceseigenaren op bepaalde afdelingen en problemen aankaarten. En werk eens wat minder bureaucratisch. Soms kun je gewoon bellen met een verantwoordelijke van een afdeling. Hij noemt dat 'lean auditeren'. Je hoeft lang niet altijd een intern auditplan te maken. "Dat is veiligheidsbureaucratie" en voegt weinig toe aan de kwaliteit van het interne auditproces. Uiteraard moet de interne audit wel aangepast zijn aan de risico's en omvang van het bedrijf. 

Veel veiligheidskundigen moeten nog leren  

De risicobenadering is een belangrijk principe binnen kwaliteitsmanagement. De benadering van ISO 9000 is veel moderner dan veel veiligheidskundigen hebben aangeleerd. Want zij gaan uit van een zuiver risico, een risico dat enkel negatieve gevolgen kan hebben. Bijvoorbeeld een arbeidsongeval of een brand.

Bij hen is nog onvoldoende doorgedrongen dat de nieuwe managementsysteemnormen uitgaan van een speculatief risico. Waarbij een risico ook kansen kan bieden. Het gaat om een mindset. Die deskundigen moeten een switch maken bij de aanpak van goed veiligheids- en gezondheidsmanagement, zegt Jan. En dat kan vrij eenvoudig.  Bijvoorbeeld door de volgende tips te volgen.

Tips voor de risico-gebaseerde aanpak: 

  • Keep it simple en stupid. Vermijd bureaucratie. 
  • Vermijd controleren en beheersen.  
  • Kies een positieve, proactieve benadering.  
  • Kijk ook naar de veerkracht van het veiligheids- en gezondheidsmanagementsysteem. Door de continue verandering die steeds en snel plaatsvindt. 
  • Kijk ook naar de ketenbenadering, bijvoorbeeld in de contract- en aannemingswereld.  

Zo haal je volgens Jan Dillen uit die interne audits een meerwaarde voor de organisatie. Inmiddels is zijn boek Maximale waarden halen uit interne audits verschenen bij VMNmedia. Een mooi boek voor extra verdieping op dit onderwerp.

Beluister de podcast met Jan Dillen over interne audits met uitleg en voorbeelden.

Jan Dillen is lead auditor en VCA coördinator en auteur op het gebied van veiligheid en auteur over veiligheid. Jan is bovendien auteur op het gebied van veiligheidscultuur, kwaliteit, veiligheid en milieu en afgestudeerd in bedrijfskunde, bouwkunde en preventie aan diverse universiteiten. Daarnaast geeft hij les aan de Universiteit van Antwerpen en de Katholieke Universiteit Leuven in arbeidsveiligheid en bedrijfsveiligheid.

Beluister meer podcasts van Verhalen in veiligheid:

Een vertrouwenspersoon is geen excuustruus
Het einde van risicomanagement
De veiligheidskundige is niet meer die van dertig jaar geleden
Dit jaar gaat er een en ander veranderen in de eisen aan de RIE

Update: juli 2022

Jacqueline Joosten

Jacqueline Joosten

Hoofdredacteur

Jacqueline volgt sinds jaar en dag alles over veilig en gezond werken. Zij probeert altijd waarde toe te voegen aan berichten en de vertaalslag te maken naar de arboprofessional.

Meer RI&E's maar kwaliteit soms te laag

Meer RI&E's maar kwaliteit soms te laag

Het aantal bedrijven dat een risico-inventarisatie en -evaluatie heeft, neemt toe. Een derde van deze RI&E's scoort echter nog onvoldoende op...

10 boekentips voor de zomer

10 boekentips voor de zomer

De zomervakantie is een perfecte tijd om bij te lezen. Met deze 10 boeken biedt Arbo een inspirerende mix van ontspanning, (vak)literatuur en...

Zo regel je de BHV in een bedrijfsverzamelgebouw

Zo regel je de BHV in een bedrijfsverzamelgebouw

Ook als je samen met andere bedrijven in één gebouw werkt, moet de bedrijfshulpverlening goed op orde zijn. De verhuurder of het grootste bedrijf...

Veiligheidsvoorschriften niet nageleefd. Taakstraf voor directeur blijft in stand

Veiligheidsvoorschriften niet nageleefd. Taakstraf voor directeur...

Schijnveiligheid. Soms legt een bedrijf bepaalde veiligheidsvoorschriften enkel vast omdat dit verplicht is. Wat zijn de gevolgen voor het bedrijf...

28 april is het weer Werelddag voor veiligheid en gezondheid op het werk

28 april is het weer Werelddag voor veiligheid en gezondheid op het...

Zondag 28 april 2024 is het weer de jaarlijkse Werelddag voor Veiligheid en Gezondheid op het Werk. Deze internationale dag is bedoeld om aandacht te...

Humor en veiligheid

Humor en veiligheid

Veiligheid is nooit een onderwerp waar je licht over moet denken. Maar een vleugje humor kan soms helpen om de boodschap over te brengen zonder de...

Hoge standaard voor veilig werken op hoogte

Hoge standaard voor veilig werken op hoogte

Werken op hoogte. In de bouwsector staat van een ladder of trapje vallen op de tweede plek in de lijst van meest voorkomende ernstige ongevallen. Een...

Nu beschikbaar: de nieuwe richtlijn PGS 31 gevaarlijke vloeistoffen in tanks

Nu beschikbaar: de nieuwe richtlijn PGS 31 gevaarlijke vloeistoffen...

De definitieve versie van de hernieuwde richtlijn PGS 31 Nieuwe Stijl 'Overige gevaarlijke vloeistoffen: opslag in ondergrondse en bovengrondse...