Interne audits zijn geen veiligheidsbureaucratie

Het begrip audit heeft in de praktijk vaak een negatieve klank. Maar is dat nodig? Interne audits kunnen bijdragen aan het beter uitvoeren van het werk. Jan Dillen schreef er een boek over.

Interne audits zijn geen veiligheidsbureaucratie

Pakweg 10 jaar geleden werkte ik voor een grote landelijke organisatie die was onderworpen aan een strikt regime van regelmatige en zeer strenge audits door een toezichthouder van de overheid. Binnen de organisatie had het begrip audit hierdoor een negatieve klank gekregen. Audits werden gezien als controle die veel tijd kostten en waar alleen negatieve bevindingen uitkwamen. Die bevindingen zorgden voor extra werk, maar droegen niet bij tot het beter uitvoeren van het échte werk.

Nadruk op verbeteren in plaats van controle

Om dit te verbeteren lanceerde mijn afdeling een initiatief met interne audits van beperkte omvang. De doelstelling was om in een beknopt tijdsbestek (binnen een dag) zinvolle verbeterpunten te vinden in dialoog met leidinggevenden en medewerkers. In plaats van nadruk op controle lag de nadruk op helpen om te verbeteren. Het initiatief werd goed ontvangen en zelfs de houding ten opzichte van de toezichthouder verbeterde iets.

Mijn ervaring van 10 jaar terug is niet uniek. Ik hoor regelmatig vergelijkbare geluiden van vakcollega’s. En auteurs als Greg Smith en Sidney Dekker hebben er kritisch over geschreven in hun boeken over veiligheidsbureaucratie. Vakliteratuur die een helpende hand biedt is wat schaarser, maar daar probeert Jan Dillen nu verandering in te brengen.

Jan is een ervaren auditor, goed bekend met de diverse normen binnen ons vakgebied. En van zijn hand zijn al diverse vakboeken verschenen over bijvoorbeeld veiligheidsmanagementsystemen volgens ISO 45001 en cultuur en gedrag. Zijn nieuwste boek richt zich op interne audits met het uitdrukkelijke doel om het gebruik daarvan te verbeteren. De titel suggereert zelfs om er het maximale uit te halen.

Handzaam boek

Het is een handzaam boekje van rond 100 pagina’s. Een fiks aantal visualisaties, tabellen en lijstjes helpen om het tot een handig hulpmiddel voor praktisch ingestelde mensen te maken. Het boek is ingedeeld in vijf hoofdstukken. Het eerste hoofdstuk geeft een algemene introductie tot wat interne audits zijn en hoe deze moeten worden gezien ten opzichte van andere audits en bedrijfsprocessen. Hoofdstuk 2 is kort en gaat over het audit-programma, gebaseerd op de Plan-Do-Check-Act verbetercyclus. Er is ook aandacht voor het auditteam en de frequentie van de audits.

De praktijk van het intern auditeren

Het derde hoofdstuk bespreekt de praktijk van het intern auditeren. Het zal niet verrassen dat dit hoofdstuk het meest omvangrijk is. Het begint met de stappen in het auditproces, uitgelegd in eenvoudige taal en met voorbeelden, lijstjes en referenties aan normen als ISO 45001 en 9001 die de lezer kunnen helpen in de praktijk.

In de tweede helft van het hoofdstuk bespreekt Dillen principes die ten grondslag behoren te liggen aan interne audits. Verder de problemen waar je tegenaan kunt lopen, een paragraaf over maatregelen om de risico’s mee te beheersen en er is een paragraaf over de competenties van interne auditors.

Risicogebaseerd auditeren

Het volgende hoofdstuk gaat in op risicogebaseerd auditeren. Hierbij is eerst aandacht voor wat risicogebaseerd auditen eigenlijk is. Het gaat hierbij vooral om het auditen van de processen waar risico’s onvoldoende beheerst zijn. Er wordt een link gelegd naar het aanwezige risicomanagement, en de risico-appetijt van de organisatie. Ofwel, hoeveel risico een organisatie wenst te dragen. De tweede helft van dit hoofdstuk is gewijd aan risicogebaseerd auditen op basis van doelstellingen. Dit wordt ondersteund door een risicobeoordeling in vier stappen: identificatie, analyse, evaluatie en maatregelen. Het proces moet dynamisch zijn. Als risico’s en risicobeheersing veranderen dan moet het auditprogramma volgen.

Nieuwe ontwikkelingen en auditen

Het vijfde en laatste hoofdstuk gaat over nieuwe ontwikkelingen in relatie tot auditen. Denk aan de rol van nieuwe technologie, resilience (veerkracht) en (veiligheids)cultuur. De eerste paragraaf gaat eerst nog wat dieper in op risicogebaseerd auditen met een aantal do’s en don’ts. Daarna wordt de belangrijke rol van advies en opvolging besproken. De paragraaf over veerkracht is wat beknopt en mist wat handvatten voor de praktijk, al staat er wel achter in het boek een tabel die ISO 45001 aan resilience koppelt.

Cultuur auditen, kan dat?

De paragraaf over cultuur is uitgebreider. Hier moet ik zeggen dat ik wat betreft het auditen van cultuur volledig verschil van mening met de auteur. Zelfs als cultuur een begrip is dat niet is weg te denken, is het nog steeds niet iets dat met behulp van een audit (laat staan een checklijst) beoordeeld kan worden. Sterker nog, ik ben van mening dat cultuur helemaal niet beoordeeld moet worden, maar eerder als een verklarende factor voor bepaalde bevindingen moet worden bestudeerd.

Tenslotte, het boek is niet zonder schoonheidsfoutjes. Sommige onderwerpen zijn wat mij betreft onvoldoende onderbouwd en ik mis referenties naar relevante literatuur. Praktijkmensen zullen daar waarschijnlijk minder over struikelen en misschien juist blij zijn met de beknopte vorm zonder al te veel uitleg en franje.

Hoe dan ook levert het boek een welkome bijdrage tot het verbeteren van de praktijk van (veiligheids)management.

Tekst Carsten Busch | Carsten Busch is senior adviseur arbeidsveiligheid bij Politidirektoratet, eigenaar mindtherisk.com en auteur van Veiligheidsfabels 1-2-3, 95 stellingen voor een reformatie in veiligheid.

Maximale waarden halen uit interne audits

Lees meer over

Carsten Busch

Carsten Busch

Safety Mythologist

Carsten Busch woont en werkt in Noorwegen en is onder andere verbonden aan de universiteit in Lund, auteur van de boeken Risicoreflectie, The First Rule Of Safety Culture en Veiligheidsfabels 1-2-3. Ook is hij eigenaar van mindtherisk.com en actief binnen diverse vakforums.