Auditen van Managementsystemen

Transcriptie

1 AMS1 Auditen van Managementsystemen Cursus 1 ing. N.M. van Schie MBA Zuiderweg KT VINKEGA The Netherlands M : +31 (0) T : +31 (0) E : info@nemus.nl I : Trade Register Nr: VAT Nr: NL B01

2 Colofon Titel Auditen van Managementsystemen Cursus 1 Versie 5.0 () Projectnummer AMS1nl Auteur ing. N.M. van Schie MBA Cursistnummer 2009 IMSITE Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij electronisch, mechanisch, door fotokopieën, opnamen, of enig andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Het gebruik van deze uitgave door derden, voor welk doel dan ook, is uitsluitend toegestaan nadat een schriftelijke overeenkomst met IMSite is gesloten waarin het gebruiksrecht is geregeld.

3 Voorwoord Welkom bij de cursus Auditen van Managementsystemen, deel 1. Dit cursusboek heb ik samengesteld op basis van diverse trainingen op het gebied van auditen van managementsystemen voor integriteit, kwaliteit, veiligheid en milieu. Succesvolle audits dragen structureel bij aan het functioneren en verbeteren van managementsystemen. Auditoren spelen een centrale rol als interne auditor, als beoordelaar van ketenpartners of als onafhankelijke derde in een extern (certificatie-) auditteam. Deze cursus biedt auditoren die boven genoemde rollen vervullen, een gedegen basis om zelfstandig interne audits of leveranciersbeoordelingen uit te voeren. Tevens geeft het auditoren de basis voor een eventuele vervolgopleiding tot lead-auditor voor externe (certificatie-) audits of als operational auditor. Hiervoor zijn de cursussen Auditen van Managementsystemen, deel 2 en deel 3 ontwikkeld. Het vergroten van de kennis en kunde van auditoren is een concrete toegevoegde waarde voor het realiseren van bedrijfsdoelen. Mocht u na het lezen, en wellicht toepassen, van de theorie uit dit handboek vragen of verbetersuggesties hebben, dan houd ik mij van harte aanbevolen. Ik wens u veel plezier en succes met dezecursus. Vinkega, september 2009, Niek van Schie IMSite.eu Pagina 1

4 Inhoud Voorwoord 1 Inhoud 2 1 Kennis en kunde Over deze cursus Leerdoelen 7 2 Over managementsystemen Een ratio voor managementsystemen Twee zijden aan elke vraag Drie aspecten in elke beslissing Vier elementen verbonden door plan > do > check > act Vijf groepen belanghebbenden 9 3 Auditing Het begrip audit Een hiërarchie van beoordelingen Audittermen en definities Soorten audits 11 4 Van product via proces naar systeem Proces-principes Processen maken het systeem Procesbenadering en managementnormen Het documenteren van processen 16 5 De auditor en het auditproces Persoonlijke kenmerken Kennis en kunde Auditprincipes Auditorgedrag en ethiek Wet- en regelgeving Het auditproces 19 Pagina 2

5 6 Kwaliteitsmanagementsystemen Belanghebbenden bij kwaliteit De 8 kwaliteitsmanagementprincipes Normen voor kwaliteit Kwaliteitstermen en definities Model voor een kwaliteitsmanagementsysteem Integriteit als bijzondere kwaliteit 24 7 Arbo-managementsystemen Belanghebbenden bij arbo Normen voor arbo Arbo-termen en definities Model voor een arbo-managementsysteem 27 8 Milieumanagementsystemen Belanghebbenden bij milieu Normen voor milieu Milieu-termen en definities Model voor een Milieumanagementsysteem 29 9 De voorbereiding op de audit Het vooronderzoek Een rondleiding De documenten beoordeling Het auditplan Het auditprogramma Opstellen van checklijsten De uitvoering van de audit De openingsbijeenkomst Bijeenkomsten tijdens de audit Het verzamelen van bewijs Auditen met plan-do-check-act Bewijs van verbeteren Het auditen van algemene eisen Interviewtechniek en communicatie 41 Pagina 3

6 11.1 Een communicatiemodel Het auditinterview Interviewvragen Interviewantwoorden Non-verbale communicatie Problemen en hun mogelijke oplossingen NLP-technieken voor auditoren Steekproeven of steekproefsgewijs Steekproefbewijs Het nemen van een steekproef Audit-rapportage en opvolging Auditbevindingen en conclusies De eindbespreking Opstellen van het auditrapport Afronding van de audit Opvolging van de audit Het auditproces continu verbeteren De kwaliteit van het auditproces Bijblijven en beoordelen Verbeteren van het auditprogramma Tips en trucs KAM-normen: de algemene eisen Introductie Overzicht van de normeisen voor KAM-management Documentatie en procedures KAM-normen: de directieverantwoordelijkheid Overzicht van de normeisen voor KAM-management Documentatie en procedures Registraties KAM-normen: het managen van middelen Overzicht van de normeisen voor KAM-management 60 Pagina 4

7 18.2 Documentatie en procedures Registraties KAM-normen: het realiseren van het product Overzicht van de normeisen voor KAM-management Uitsluitingen van normeisen ISO 9001: Documentatie en procedures Registraties KAM-normen: meten, analyseren en verbeteren Overzicht van de normeisen voor KAM-management Documentatie en procedures Registraties Het interne auditproces Doel en omvang van het interne auditprogramma Verantwoordelijkheden, middelen en procedures De uitvoering van het interne auditprogramma Het interne auditprogramma bewaken en beoordelen De leveranciersbeoordeling Leveranciers selecteren en beoordelen Risicobeheersing en onderaannemers Het certificatieproces Van aanvraag tot certificaatverlening Opvolgingsaudits Andere normen voor managementsystemen Introductie VGM Checklist Aannemers (VCA) Accountability (AA 1000) en de Global Reporting Initiative Investors in people (IiP) Eco Management en Audit Systeem (EMAS) Social Accountability 8000 (SA 8000) EFQM/INK Hazard Analysis and Critical Control Points (HACCP) 73 Pagina 5

8 I Literatuur 74 Pagina 6

9 1 Kennis en kunde 1.1 Over deze cursus Het voor je liggende cursusboek is ontwikkeld en samengesteld door IMSite als de basis voor diverse trainingen en opleidingen op het gebied van auditing. Naast dit cursusboek krijg je als deelnemer van een training via IMSite.eu een specifiek en vaak persoonlijk programma met praktijkoefeningen en casussen. Het is dus afhankelijk van het opleidingsprogramma of we alle onderdelen uit dit cursusboek zullen behandelen tijdens de training. Daarnaast is dit cursusboek voor auditoren van managementsystemen een waardevol naslagwerk voor iedereen die zijn of haar kennis en kunde op dit gebied wil vergroten. In het cursusboek staat het managementsysteem en de bijdrage die auditoren hieraan geven centraal. Zo behandelen we de verschillende aspecten van managementsystemen voor integriteit, kwaliteit, arbo en milieu. Auditoren kunnen daarin meerdere rollen spelen, zoals het uitvoeren van interne audits, de leveranciersbeoordelingen of deelnemen aan certificatie-auditteams. 1.2 Leerdoelen Voor elke cursus op IMSite.eu gelden leerdoelen als uitgangspunt. Binnen de verschillende cursussen die ondersteund door dit praktijkhandboek worden gegeven, kunnen onder andere de volgende leerdoelen van toepassing zijn: 1. De verantwoordelijkheden beschrijven van een interne auditor en de rol van interne audits bij het in stand houden en verbeteren van een managementsysteem. 2. De verantwoordelijkheden beschrijven van een externe auditor bij de beoordeling van leveranceriers en de rol van deze beoordeling bij het in stand houden en verbeteren van een managementsysteem. 3. De verantwoordelijkheden beschrijven van een externe auditor bij certificatieaudits en de rol van deze certificatie-audits bij het in stand houden en verbeteren van een managementsysteem. 4. Het doel en de structuur van de ISO 9001: 2008, de OHSAS 18001: 2007 en de ISO 14001: 2004 normen uitleggen met verwijzing naar de plan-do-check-act methodiek en het model van een op processen gebaseerd managementsysteem. 5. Interne audits plannen en voorbereiden. 6. Audits in het kader van de beoordeling van een leverancier plannen en voorbereiden. 7. Onder leiding van een auditteamleider certificatie-audits plannen en voorbereiden. 8. Objectief bewijs verzamelen door middel van observeren, houden van interviews en nemen van steekproeven uit documenten en registraties. 9. Op feiten gebaseerde auditrapporten schrijven die bijdragen aan de doeltreffendheid van het managementsysteem. 10. Voorstellen doen hoe de doeltreffendheid van corrigerende maatregelen kan worden bepaald. Pagina 7

10 2 Over managementsystemen 2.1 Een ratio voor managementsystemen De ratio of zo je wilt de logische reden voor het hebben van een managementsysteem kunnen we als volgt verwoorden. Missie Verwachten Stuurt Belanghebbenden Managementsysteem Verblijden Levert Resultaten Een managementsysteem wordt aangedreven door een missie. Dit systeem levert resultaten op. Deze resultaten voorziet in de eisen en verwachtingen van belanghebbenden. Belanghebbenden verwachten van een organisatie een missie, waarmee de cirkel rond is. 2.2 Twee zijden aan elke vraag Zoals met alle gedocumenteerde managementsystemen, zijn er twee zijden aan elke auditvraag: papier en praktijk. Er is een evenwicht in de interactie tussen papier en praktijk. Op papier (of digitaal natuurlijk) houden we onszelf en onze klanten voor hoe wij de dingen doen. In de praktijk laten we ons ware gezicht zien. Wanneer papier en praktijk niet met elkaar overeen stemmen moeten we één van de twee aanpassen. De verantwoordelijkheid van deze verandering berust bij alle betrokkenen in de organisatie. Zowel papier als praktijk moeten de juiste dingen juist doen en beschrijven. Let echter op: Het is te makkelijk om het papier even aan de praktijk aan te passen of andersom. Denk altijd na over het doel van de activiteit. 2.3 Drie aspecten in elke beslissing Elke beslissing die een manager maakt, ongeacht het niveau in een organisatie, kunnen we relateren aan drie aspecten: 1. De technische aspecten voor het beheersen van de kwaliteit van dienst en product. Denk aan het SHARP principe (satisfaction as high as reasonably practicable). 2. De effecten van operationele aspecten voor het beheersen van veiligheid, gezondheid en milieu. Denk aan het ALARP principe (as low as reasonably practicable). 3. De commerciële aspecten van prestatie en reputatie. Pagina 8

11 2.4 Vier elementen verbonden door plan > do > check > act We kunnen vier elementen onderscheiden in elk managementsysteem. Deze zijn: 1. Management verantwoordelijkheid (richting en inspiratie). 2. Management van middelen (inrichting en mobilisatie). 3. Het project realisatie proces (het creëren van waarde in producten en diensten). 4. Meten, analyseren en verbeteren (verrichting en reflectie). Deze vier elementen zijn verbonden met de bekende plan > do > check > act cyclus, ook wel bekend als de Deming- of Shewhart cyclus. 2.5 Vijf groepen belanghebbenden Belanghebbenden zijn groepen van personen of organisaties die een bepaald belang hebben bij een organisatie en haar managementsysteem. We kunnen vijf groepen van belanghebbenden onderscheiden: 1. Management en medewerkers. Dit zijn de mensen die betaald worden door de organisatie voor hun arbeidsinspanningen. 2. Onderaannemers en leveranciers. Zij verschaffen de organisatie producten en diensten die de organisatie niet zelf produceert. 3. Klanten. De afnemers van het product en de dienst van de organisatie en daarmee de reden van bestaan van de organisatie vormen. 4. Overheid en maatschappij. Deze vormen de culturele en ethische context waarin we opereren alsmede het juridische kader. 5. Aandeelhouders en financiers. Deze verschaffen de geldelijke middelen en zijn vooral geïnteresseerd in de resultaten van een organisatie. Pagina 9

12 3 Auditing 3.1 Het begrip audit De oorsprong van auditing ligt in het Romeinse rijk. Officiële aankondigingen werden toen door omroepers verkondigd. Om ervoor te zorgen dat de boodschap goed overkwam, waren de omroepers vergezeld door auditoren (aanhoorders). Deze auditoren kenden de boodschap even goed als de omroepers en waren getuige van het juist en volledig weergeven van deze boodschap door de omroeper. De auditoren konden vervolgens aan de autoriteiten rapporteren of de omroeper zijn werk goed had gedaan. Het begrip audit komt dus uit het Latijn en betekent 'hij hoort'. Denk aan verwante woorden als auditorium en auditie. Vervolgens is het begrip audit vooral in de financiële wereld gebruikt voor de beoordeling van financiële gegevens en informatie. Op basis van financiële audits stellen accountants hun verklaringen op. Meer recentelijk wordt het begrip auditing ook gebruikt voor het onderzoek naar het functioneren van managementsystemen. Het begrip audit komt neer op een doorlichting van een product, een proces, een systeem of een organisatie via waarnemingen, interviews, de beoordeling van documenten en registraties of het testen van producten. Een audit is een systematisch en onafhankelijk onderzoek waarin het onderwerp van onderzoek (product, proces, systeem) wordt vergeleken met de set van eisen (de auditcriteria). Audits kunnen worden uitgevoerd om te zien of voldaan wordt aan bepaalde wettelijke eisen, eisen vanuit de markt of eisen vanuit het management. Een audit moet informatie opleveren waarmee een verbeterproces in gang gezet kan worden, een leverancier geaccepteerd wordt of een certificaat behaald kan worden. De omvang van een audit is afhankelijk van het type audit, de wensen van de auditklant of externe richtlijnen vanuit toezichthouders. 3.2 Een hiërarchie van beoordelingen Op veel verschillende plaatsen in het proces en binnen organisaties vinden beoordelingen plaats. Deze beoordelingen zijn in een bepaalde hiërarchie te plaatsen, zoals in onderstaand figuur weergegeven. Abstractieniveau onafhankelijkheid Interne audit Directie beoordeling Collegiale toetsing Procesmetingen Productbeoordeling Detailniveau bijstuurmogelijkheid Pagina 10

13 Op product- en procesniveau zijn metingen gedetailleerd en concreet. De mogelijkheid tot bijsturen is veelal groot. Audits en directie beoordelingen zijn aan de andere kant veel abstracter, onafhankelijker van het proces maar kennen veel minder de mogelijkheid tot bijsturen. 3.3 Audittermen en definities De ISO 19011: 2002 norm geeft ons de volgende audit termen en definities: Audit: Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan. Auditbevindingen: Resultaten van de beoordeling van het verzamelde auditbewijsmateriaal aan de hand van auditcriteria. Auditbewijsmateriaal: Registraties, verklaringen op basis van feiten of andere informatie welke relevant zijn voor de auditcriteria en verifieerbaar zijn. Auditconclusie: Resultaat van een audit gegeven door het auditteam na overweging van de auditdoelstellingen en alle auditbevindingen. Auditcriteria: Geheel van beleidslijnen, procedures of eisen. Auditee: Organisatie die een audit ondergaat. Auditklant: Organisatie of persoon die een audit aanvraagt. Auditor: Persoon met de bekwaamheid om een audit uit te voeren. Auditplan: Beschrijving van de activiteiten en voorzieningen voor een audit. Auditprogramma: Verzameling van één of meer audits gepland voor een specifiek tijdsbestek en gericht op een specifiek doel. Auditteam: Eén of meer auditoren die een audit uitvoeren. Reikwijdte van de audit: Toepassingsgebied en grenzen van een audit. 3.4 Soorten audits Audits kunnen een intern dan wel een extern karakter hebben. Ze kunnen de totale organisatie betreffen of aspecten ervan, individuele processen of groepen van processen. Audits kunnen in opdracht van verschillende partijen worden gehouden. Afhankelijk van de relatie met de opdrachtgever spreken we over eerste, tweede en derde partij audits. We gebruiken hierbij doorgaans de Engelse termen first, second en third party audits. Binnen een audit maken we onderscheid tussen de documentatie beoordeling en de implementatie audit. Bij de documentatie beoordeling stelt men vast of het gedocumenteerde managementsysteem voldoet aan de eisen die de norm stelt aan deze documentatie. Tevens stelt men vast of de aanwezige documentatie voldoende basis is en Pagina 11

14 vertrouwen geeft om de implementatie audit uit te gaan voeren. Tijdens deze implementatie audit voeren we de beoordeling van de praktijk uit met als basis de resultaten van de documenten beoordeling. Zo'n onderverdeling is meest niet nodig voor de interne audits. First Party Audit (intern). Dit is een audit die een organisatie bij zichzelf uitvoert. Interne auditing is een eis van elke norm voor managementsystemen. Interne audits kunnen een communicatielijn door het bedrijf zijn als een formeel verzamelpunt voor ideeën en suggesties ter verbetering. Interne audits mogen door (eigen) getrainde personeelsleden van de organisatie uitgevoerd worden. Voorwaarde hierbij is dat een interne auditor niet zijn eigen werk audit. Ook kunnen professionele auditoren ingehuurd worden. Second Party Audits (extern). Een second party audit is een audit die door één organisatie bij een andere organisatie wordt gehouden, bijvoorbeeld door een afnemer bij de leverancier of bij onderaannemers. Second party audits zijn externe audits en vaak implementatie audits die beperkt zijn tot een bepaald proces of product. Third Party Audit (extern). Deze audit wordt uitgevoerd door een onafhankelijke organisatie (de derde partij). De opdrachtgever van een dergelijke audit kan de auditee zelf zijn, maar ook een andere organisatie, zoals een klant of een toezichthouder. De meest gebruikelijke derde partij audit heeft als doel certificering door een erkende certificeerder. Third party audits zijn daarmee externe audits. De audit kan een documentatie beoordeling zijn of een implementatie-audit. Gewoonlijk zijn beide onderdelen in dergelijke audits opgenomen. Certificatie, Registratie en Accreditatie. Een third party audit wordt door een onafhankelijke derde uitgevoerd. Bepaald wordt in hoeverre de organisatie aan de eisen van de toegepaste norm voldoet.deze onafhankelijke organisaties zijn veelal extern gelegitimeerd tot certificatie door middel van accreditatie. De verschillende verhoudingen tussen de soorten audits staan in de volgende figuur weergegeven. Het stippellijntje tussen de certificatie-instelling en de klant geeft de kwaliteitsverklaring of het certificaat aan. Klanten kunnen zo kiezen met welke organisatie zij zaken willen doen, zonder zelf een uitgebreid leveranciersonderzoek uit te gaan voeren. Raad voor Accreditatie (accreditatie) Certificatieinstelling (kwaliteitsverklaring) (3e partij) Leverancier Organisatie (2e partij) (1e partij) (2e partij) Klant Pagina 12

15 4 Van product via proces naar systeem Proces-principes Producten zijn het resultaat van processen. Processen vormen gezamenlijk een systeem. In dit hoofdstuk staat vooral het procesmatig benaderen van productie en dienstverlening centraal en de rol die processen hebben in managementsystemen. Als auditor heeft u dus altijd met processen te maken. Voordat u een proces kunt auditen, moet u eerst een goed begrip hebben van het begrip proces. We kunnen vier basisprincipes onderscheiden als we het over processen hebben. 1. Activiteiten binnen processen zijn met elkaar verbonden en kennen doorgaans een volgorde. 2. Processen transformeren input naar output. Er vindt een bepaalde verandering of ook wel waarde toevoeging plaats. 3. Tussen input en output bestaat een evenwicht. Er zal nooit meer uitkomen dan je er in hebt gestopt. 4. Processen kennen een bepaald optimum waarbij doelstellingen worden gerealiseerd bij optimaal gebruik van de middelen. De procesbenadering van productie of dienstverlening is doeltreffender dan een lukrake of ad random aanpak. De inputs van een proces kunnen zeer divers zijn, zoals halffabrikaten, arbeid, gereedschappen, specifieke omstandigheden, informatie, geld, energie etc. Het proces transformeert deze inputs naar de output, die een product of een dienst kan zijn. De benodigde input kunnen we indelen in zes categoriën die we voor het gemak allemaal met een M laten beginnen: Mensen, Materieel, Milieu, Materialen, Metingen en Methoden. In het onderstaande schema staan deze begrippen rond processen weergegeven. Uitgaande van het procesprincipe dat er niet meer uit een proces komt dan je er in stopt, kunnen we hier de vergelijking 6*M=O voor gebruiken. Materieel Milieu Materialen Output Processtappen Methoden Metingen Mensen Pagina 13

16 Voegen we daar de M van de muntjes aan toe, dan hebben we de formule 7*M=O. Nu is geld een factor in elk van de overige factoren, dus apart benoemen voegt hier niet veel toe. Alle processen kennen een bepaalde mate van procesbeheersing. Het doel van procesbeheersing is het voorkomen van ongewenste gevolgen. De mate en wijze van deze beheersing zijn afhankelijk van risico's en de acceptatie van eventuele ongewenste gevolgen. Processen op de hartbewakingsafdeling van een ziekenhuis kennen een duidelijk andere mate van beheersing dan bij een uitgeverij of een symfonie-orkest. De risico's voor een bedrijfsrestaurant zijn nu eenmaal anders dan die van een fietsenmaker. Een essentieel onderdeel van procesbeheersing is de terugkoppeling of feedback. Deze terugkoppeling komt van de output of de tussenliggende processtappen. Een terugkoppeling is dus informatie over bijvoorbeeld temperatuur, vertraging, kleur, gewicht, aantallen of maatvoering. Het nut van deze terugkoppeling ligt in het kunnen realiseren van de gestelde doelen. Het vereist daarom een afgesproken werkwijze voor het verzamelen van informatie en het bijsturen van het proces. In veel gevallen gebruikt men hiervoor statistische methoden om een beter inzicht te krijgen in de informatie en de noodzaak tot bijsturing. Twee kernbegrippen bij deze terugkoppeling zijn flexibiliteit en leervermogen. Informatie waarmee het management het proces kan bijsturen (bijvoorbeel door inzet van middelen) draagt bij aan de flexibiliteit van een proces. Informatie waarmee het management achteraf processen kan analyseren en verbeteren bepaalt het leervermogen binnen een proces. Alles wat we over processen zeggen geldt ook voor projecten. Een project is nu eenmaal een bijzondere vorm van een proces. Het kent een start en eindmoment. 4.2 Processen maken het systeem Organisaties kennen meerdere processen die met elkaar samenhangen om hun organisatie-doelen te realiseren. De combinatie van de verschillende productie-processen met de managementprocessen maakt een systeem dat een gemeenschappelijk doel kent op het gebied van bedrijfsresultaat, kwaliteit, milieu, arbeidsomstandigheden of andere aspecten van de bedrijfsvoering. De voordelen voor de systeembenadering van management omvatten: 1. Integratie en afstemming van de processen die het meest geschikt zijn om de beoogde resultaten te realiseren. 2. Het vermogen om inspanningen te concentreren op de kernprocessen. 3. Het wekken van vertrouwen bij belanghebbende partijen in de organisatie. 4.3 Procesbenadering en managementnormen Managementsystemen zijn dus gebaseerd op de procesbenadering. Normen voor managementsystemen benadrukken het belang van: Het begrijpen van en voldoen aan de eisen; De noodzaak om processen te zien in termen van toegevoegde waarde; Het verkrijgen van resultaten uit het proces in termen van prestaties en doeltreffendheid; en Pagina 14

17 De continue verbetering van processen gebaseerd op objectieve meting. De procesbenadering binnen managementnormen omvat zo alle processen die nodig zijn om een product of dienst te realiseren, de arbeidsomstandigheden of de milieu-effecten te beheersen maar daarnaast ook alle overige processen die nodig zijn voor een doeltreffende implementatie van het managementsysteem. Voorbeelden van deze tweede groep van processen zijn het interne auditproces, het proces van de directiebeoordeling en het proces voor beheersing van middelen. Al deze processen kunnen met behulp van de plan-docheck-act methode beheerst worden. Hierna geven we enkele handreikingen in de vorm van vragen die een organisatie zichzelf kan stellen (maar wellicht ook door een auditor gesteld kunnen worden) om uiteindelijk aan een managementnorm te voldoen. Deze vragen zijn natuurlijk slechts voorbeelden. 1. De organisatie moet de processen die nodig zijn voor het managementsysteem en de toepassing ervan door de hele organisatie vaststellen. Welke processen vallen binnen het systeem? Wie zijn de klanten voor die processen? Wat zijn de verwachtingen van deze klanten? Wie is de eigenaar van elk proces? Zijn er uitbestede processen? Wat zijn de inputs en de outputs van elk proces? 2. De organisatie moet de volgorde en interacties van deze processen vaststellen. Wat is het algemene verloop van de processen? Hoe kan deze worden beschreven? Wat is de samenhang tussen de processen? Welke documenten zijn er nodig? 3. De organisatie moet criteria en methoden bepalen die nodig zijn om te bewerkstelligen dat zowel de uitvoering als de beheersing van deze processen doeltreffend zijn. Wat zijn de kenmerken van de resultaten van het proces? Welke criteria zijn er voor bewaken, meten en analyseren? Hoe zijn deze opgenomen in de kwaliteitsplanning? Hoe verzamelt men gegevens? 4. De organisatie moet de beschikbaarheid bewerkstelligen van middelen en informatie die nodig zijn voor de uitvoering en bewaking van deze processen. Welke middelen zijn er nodig voor elk proces? Hoe verloopt de communicatie? Hoe voorziet men in externe en interne informatie over het proces? Welke gegevens zijn er nodig en welke registraties houdt men bij? 5. De organisatie moet deze processen bewaken, meten en analyseren. Hoe houdt men de procesprestaties in de gaten? Welke metingen zijn hiervoor nodig? Hoe analyseert men de metingen en wat is hiervan het resultaat? 6. De organisatie moet maatregelen doorvoeren die nodig zijn om geplande resultaten en continue verbetering van deze processen te bereiken. Waar liggen kansen voor verbetering? Welke corrigerende of preventieve maatregelen zijn er nodig? Wat is de doeltreffendheid van dergelijke maatregelen? Pagina 15

18 4.4 Het documenteren van processen Het uitgangspunt voor het documenteren van processen is dat er in elke organisatie processen bestaan en dat deze op de meest geschikte manier moeten worden beheerst. De normen voor managementsystemen vereisen dat alle processen die nodig zijn voor het managementsysteem worden beheerst zonder daarvoor een specifieke lijst van alle processen te definiëren. Iedere organisatie moet dus zelf bepalen welke processen zij documenteert. Uitgangspunten hierbij zijn de eisen van de klant, de wet- en regelgeving, de aard van de bedrijfsactiviteiten en het beleid van de organisatie. Bij het bepalen welke processen men documenteert, kan een organisatie de volgende overwegingen meenemen: Het effect op de kwaliteit. Het risico op klantontevredenheid. De arbeidsomstandigheden. Het (potentiële) effect op het milieu. Eisen uit wet- en regelgeving. Economisch risico. Doeltreffendheid en doelmatigheid. Bekwaamheid van het personeel. Ingewikkeldheid van de processen. Als er processen gedocumenteerd worden, dan is de organisatie vrij in de keuze voor de manier waarop zij dit doet. Documentatie voor een proces kan bestaan uit beeldmateriaal, geschreven instructies, controlelijsten, stroomschema s, video s, software, bedieningsinstructies etc. Vooral stroomschema's gebruikt men tegenwoordig erg veel. Het voordeel hiervan is een symbolische weergave die in één oogopslag de volgorde van activiteiten laat zien. Nadelen zijn de aparte beeldtaal die iedereen moet leren kennen en de fictie dat alle activiteiten volgordelijk zijn, waar dit in de praktijk vaak parallelle activiteiten zijn. De meest gebruikte symbolen in stroomschema's staan hieronder weergegeven. Start Document Voorbereiding Processtap Beslissing Computerbestand Processtap met beschrijving in subproces Einde Pagina 16

19 5 De auditor en het auditproces 5.1 Persoonlijke kenmerken Het vertrouwen dat een organisatie en haar management heeft in het auditproces is voor een groot deel afhankelijk van de professionaliteit van de auditoren. De basis van deze professionaliteit ligt in de volgende persoonlijke kenmerken: Ethisch verantwoord werken (onpartijdig, eerlijk en discreet). Met een open geest (bereid om andere ideeën of meningen te overwegen). Diplomatiek (tactvol omgaan met collega s). Een goed waarnemingsvermogen (bewust van omgeving en activiteiten). Vasthoudend (gericht op het doel van de audit). Besluitvaardig (trekt tijdig de juiste conclusie). Zelfstandig kunnen werken (onafhankelijk maar ook doeltreffend). 5.2 Kennis en kunde Een auditor moet beschikken over een bepaalde kennis en kunde. Deze kennis en vaardigheden liggen op de volgende gebieden: Auditprincipes, procedures en technieken. Handboeken en andere documenten van een managementsysteem. Principes, methoden en technieken voor kwaliteitsmanagement, arbomanagement en/of milieumanagement. De omgeving waarin de organisatie opereert. De organisatiecultuur en bedrijfsprocessen. Klanteneisen en verwachtingen. De van toepassing zijnde wet- en regelgeving. De eerste drie onderwerpen vinden we terug in dit praktijkhandboek en overige onderdelen van de trainingen voor auditoren die NEMUS verzorgt. De overige aspecten zijn organisatie-specifiek en dus afhankelijk van de omgeving en de interne structuur van de organisatie waarin je de audits uitvoert. De basis voor de hiervoor genoemde kennis en kunde ligt bij de opleiding en ervaring die auditoren hebben gevolgd of opgedaan. Dit dient minimaal een training of opleiding te omvatten gericht op de bovengenoemde kennis en kunde. Op basis van alle bekwaamheden kan het auditprogramma-management de auditoren inzetten. Voor certificatie-audits zijn doorgaans uitgebreide en specifieke kwalificatie-voorwaarden opgesteld. 5.3 Auditprincipes Auditen is gebaseerd op een aantal principes. Dit maakt een audit een betrouwbaar en doeltreffend instrument om het management te ondersteunen. Audits geven de organisatie informatie waarmee zij zich kan verbeteren. Het naleven van de principes zorgt ervoor dat verschillende auditoren tot dezelfde conclusies in vergelijkbare omstandigheden komen. De volgende principes hebben betrekking op auditoren: Pagina 17

20 1. Ethisch gedrag als de basis van professionaliteit. Vertrouwen, integriteit, vertrouwelijkheid en discretie zijn onmisbaar voor het uitvoeren van audits. 2. Eerlijke verslaggeving als de plicht waarheidsgetrouw en nauwkeurig te rapporteren. Auditbevindingen, auditconclusies en auditrapporten bieden een waarheidsgetrouwe en nauwkeurige weergave van de auditactiviteiten. Substantiële belemmeringen tijdens de audit en onopgeloste meningsverschillen tussen het auditteam en de auditee worden gerapporteerd. 3. Gepaste beroepsmatige zorgvuldigheid voor toewijding en beoordelingsvermogen bij het uitvoeren van audits. Auditoren gaan zorgvuldig te werk, overeenkomstig het belang van de taak die ze uitvoeren en het vertrouwen dat in hen is gesteld door de auditklant en andere belanghebbende partijen. Het hebben van de juiste bekwaamheid is een belangrijke factor. De volgende principes hebben betrekking de onafhankelijke en systematische audit: 1. Onafhankelijkheid als de basis voor onpartijdigheid van de audit en objectiviteit van de auditconclusies. Auditoren zijn onafhankelijk van de activiteit waarop de audit uitgevoerd wordt; zij zijn niet vooringenomen en kennen geen strijdige belangen. Auditoren handhaven gedurende het gehele auditproces een objectieve houding, om te bewerkstellingen dat de auditbevindingen en conclusies alleen op het auditbewijsmateriaal zijn gebaseerd. 2. Aanpak op grond van bewijs als de rationele methode om betrouwbare en reproduceerbare auditconclusies te bereiken door middel van een systematisch auditproces. Auditbewijsmateriaal is verifieerbaar. Het is gebaseerd op steekproeven van de beschikbare informatie, want een audit wordt uitgevoerd in een vooraf bepaalde tijdsperiode met eindige middelen. Een geschikte steekproefkeuze hangt nauw samen met het vertrouwen dat in de auditconclusies kan worden gesteld. (Bron: ISO 19011: 2002.) 5.4 Auditorgedrag en ethiek De bovenstaande principes kunnen we doorvertalen in een aantal regels voor gedrag en ethiek. De toepasselijkheid van deze regels is afhankelijk van de situatie en de soort audit. Vertrouwelijkheid: Alle niet openbare gegevens van de auditee zijn vertrouwelijk. Onafhankelijkheid: Externe auditoren zijn niet betrokken (geweest) bij of hebben geadviseerd over het managementsysteem van auditee. Auditoren betrokken bij certificatie-audits voeren geen interne audits uit bij auditee. Veiligheid: Auditoren houden zich aan de wet, voorschriften van de auditklant, auditee en eigen veiligheidsinschatting. Hygiëne: Auditoren nemen voorgeschreven hygiëne richtlijnen in acht en brengen auditees op de hoogte indien eerdere bedrijfsbezoeken bij derden hiertoe aanleiding kunnen geven. Relatiegeschenken: Het accepteren van relatiegeschenken mag de onafhankelijke positie of imago van de auditor niet beïnvloeden. Representativiteit: Auditoren presenteren zich professioneel doch aangepast aan de omgeving en hun rol daarin. Onpartijdigheid: Auditoren geven geen subjectief oordeel of mening. Pagina 18