Ik zeg dit met overtuiging, omdat ik het te vaak zie gebeuren. Organisaties voeren hun interne audits binnen het ISO 9001 kwaliteitsmanagementsysteem netjes uit. De planning klopt. De checklist is doorlopen. Er ligt een rapport.
En toch levert het nauwelijks echte waarde op. Niet omdat mensen hun werk niet serieus nemen. Maar omdat de audit zich richt op wat wordt verteld — in plaats van op wat er daadwerkelijk heeft plaatsgevonden.
De slechtste vraag die een auditor kan stellen
Er is één vraag die ik tijdens interne audits voortdurend hoor:
“Kun je eens vertellen / laten zien hoe dit proces verloopt?”
Het klinkt vriendelijk. Open. Professioneel zelfs. Maar het is de slechtste vraag die je kunt stellen. Waarom?
Omdat het absurd zou zijn als de auditee het proces níet kan uitleggen. Hij of zij werkt er dagelijks mee. Wat krijg je dus?
Een keurig verhaal.
Een logisch procesoverzicht.
Vaak volledig in lijn met de procedure.
Maar je hebt nog niets getoetst. Inmiddels is er al wel kostbare tijd verstreken. Veel mensen praten graag over hun werk. Dus wanneer ze die kans krijgen grijpen zij die met beide handen aan. Je bent zo 15 minuten verder. Dat ze zo enthousiast vertellen over hun werk is mooi, maar niet tijdens een interne audit.
Je hebt alleen een uitleg gekregen. Zonde van de tijd.
Interne audits binnen ISO 9001 gaan niet over vertellen
Een interne audit gaat niet over wat iemand zegt dat er gebeurt. Een audit gaat over wat aantoonbaar heeft plaatsgevonden.
Dat betekent dat je als auditor niet moet vragen:
“Kun je uitleggen hoe jullie offertes opstellen?”
Maar:
“Laat van de laatste tien uitgevoerde opdrachten de bijbehorende offertes eens zien..”
Dat is een fundamenteel verschil. Bij de eerste vraag krijg je een mooi verhaal. Bij de tweede vraag krijg je bewijs te zien. Het is om te beginnen maar de vraag of er eigenlijk wel voor alle tien de opdrachten offertes zijn uitgebracht. Iets waar je nooit achter zou zijn gekomen wanneer je alleen om een voorbeeld vraagt.
Meer over de theorie vind je in onze ISO 9001 kennisbank.
De schijnwerkelijkheid
Veel interne audits toetsen een schijnwerkelijkheid. Zelfs wanneer de auditor risicogerichte vragen stelt.
Neem het proces “offertes uitbrengen”.
De auditor vraagt om een voorbeeld. De accountmanager laat een voorbeeld zien. De auditor stelt goede vragen over risico-inschatting, klantbehoefte, interne controle. Alles lijkt keurig geregeld.
De conclusie in het rapport:
Proces verloopt conform afspraak.
Maar wat is hier feitelijk gebeurd?
- Er is één voorbeeld bekeken.
- Er is gekeken naar wat beschikbaar was.
- Er is niet getoetst of het proces structureel wordt gevolgd.
De kans is groot dat het getoonde dossier representatief is voor “het beste werk”. Niet voor de dagelijkse werkelijkheid. En als je dan rapporteert dat alles in orde is, creëer je een vals gevoel van beheersing.
Dat is gevaarlijker dan een afwijking.
Waar je als auditor wél moet beginnen
Een goede interne audit begint niet bij de vraag:
“Vertel eens hoe het proces verloopt.”
Voordat je de vragen die je gaat stellen vaststelt ga je eerst na::
- Waar zitten de risico’s?
- Welke stappen zijn kritisch voor de organisatie?
- Welke onderdelen hebben financiële, juridische of reputatie-impact?
- Waar kan het écht misgaan?
Daar leg je de focus op. De rest vergeet je bewust. Een audit is een gerichte toetsing van wat er toe doet. Alleen wanneer je je focust op de zaken die er toe doen kun je een waardevolle rapportage opleveren waar het management wat aan heeft.
Vragen die wél werken
Goede auditvragen zijn geen vertelvragen. Het zijn bewijsgerichte vragen.
Niet:
“Hoe borgen jullie klantafspraken?”
Maar:
“Laat binnen de volgende offertes zien dat daar de klantafspraken in zijn vastgelegd.”
Niet:
“Wordt de risicoanalyse uitgevoerd?”
Maar:
“Toon bij deze 10 projecten de uitgevoerde risicoanalyse.”
Je vraagt niet naar intentie. Je vraagt naar bewijs.
En niet één voorbeeld. Maar meerdere. Pas bij voldoende aantallen kun je iets zeggen over structurele beheersing.
Hou de rapportage concreet en objectief.
Ik lees vaak binnen auditrapportages termen als goed of slecht, weinig of veel. Bijvoorbeeld: Het merendeel van de uitgebrachte offertes bij bedragen hoger dan €20.000,-- zijn aantoonbaar gecontroleerd door een tweede paar ogen. Klinkt goed, maar wat wordt hier bedoelt met het merendeel? In werkelijkheid waren er 10 offertes gecontroleerd en waren er vier niet gecontroleerd door een tweede paar ogen. Ofwel: Vier van de 10 gecontroleerde offertes waren niet ......... Dit geeft toch een heel ander beeld!
Gebruik nooit subjectieve woorden en hou het concreet. Het management stuurt op harde cijfers niet op subjectieve aanduidingen.
De combinatie die het verschil maakt
Een sterke interne audit bestaat uit twee onlosmakelijke onderdelen:
- Risicogerichte, scherpe vragen
- Toetsing op basis van een representatieve steekproef
Wanneer je alleen algemene vragen stelt, krijg je verhalen. Wanneer je alleen documenten bekijkt zonder richting, mis je samenhang en ga je onbelangrijke zaken rapporteren.
De combinatie maakt de audit waardevol.
Wat dit betekent voor de organisatie
Wanneer interne audits vooral gebaseerd zijn op verhalen en incidentele voorbeelden:
- ontstaat een te positief beeld van beheersing
- blijven structurele zwaktes onder de radar
- worden risico’s onderschat
- voelt het management zich onterecht gerustgesteld
Een interne audit moet de werkelijkheid zichtbaar maken. Niet bevestigen wat we hopen dat waar is. Binnen een ISO 9001 kwaliteitsmanagementsysteem is betrouwbare managementinformatie cruciaal.
Een goed uitgevoerde interne audit:
- Levert betrouwbare managementinformatie op
- is zo duidelijk en concreet dat het voor het management meteen duidelijk is.
- en leidt daardoor tot zinvolle acties.
De rol van vakmanschap
Dit vraagt meer dan alleen kennis van de norm ISO 9001. Niet alleen een checklist.
Maar inzicht in:
- risicodenken
- steekproefgrootte
- bewijsvoering
- objectieve rapportage
Een goede auditor durft door te vragen. Durft meerdere voorbeelden te eisen. Durft te focussen op wat strategisch belangrijk is.
En laat zich niet tevredenstellen met een mooi verhaal.
Wat betekent dit concreet voor jouw organisatie?
Als je merkt dat interne audits binnen ujow organisatie:
- vooral beschrijvend zijn
- weinig verrassende inzichten opleveren
- zelden structurele patronen blootleggen
- of vooral bevestigen dat alles ‘in orde’ is
Dan is de kans groot dat de audit niet diep genoeg toetst.
Interne audits worden pas waardevol wanneer auditors:
- risicogericht werken
- de juiste bewijslast vragen
- met representatieve steekproeven toetsen
- en objectief kunnen rapporteren
Dat vraagt gerichte opleiding.
Binnen onze opleiding Interne Auditor ISO 9001 leren deelnemers precies dit:
- hoe je scherpe auditvragen formuleert
- hoe je bewijs toetst in plaats van verhalen
- hoe je betrouwbare steekproeven toepast
- hoe je bevindingen professioneel en onderbouwd rapporteert
Wil je dat interne audits binnen jullie organisatie daadwerkelijk managementinformatie opleveren?
Binnen onze online opleiding Interne Auditor ISO 9001 leren deelnemers precies dit.
Bekijk ook hoe je een directiebeoordeling ISO 9001 écht waardevol maakt.
