ISO19011:2018 voor het uitvoeren van risico gebaseerde audits

 

Sinds 2015 heeft zich een grote standaardisatie-beweging voltrokken in het ISO-landschap. Door het toepassen van een generieke structuur van 10 hoofdstukken - de zogenaamde 'high level structure' - hanteren normen zoals ISO9001 (kwaliteit), ISO14001 (milieu) en ISO45001 (veiligheid) nu éénzelfde systeembenadering waarin dezelfde klemtonen worden gelegd. Maar misschien wel de meest fundamentele evolutie is het denken in termen van risico's en opportuniteiten. Enerzijds vanuit de context van de organisatie, anderzijds vanuit de interne processen. Een risicogebaseerde benadering als input voor strategische doelstellingen vormt de motor van het managementsysteem anno 2018.

ESQ Solutions risicoanalyse.jpg

De interne audit is de tool bij uitstek om de effectiviteit van het managementsysteem te toetsen. We merken echter dat, waar de normstandaarden geëvolueerd zijn, de manier van auditen veelal is gestagneerd: men gaat op basis van de norm of interne procedures na of de praktijk overeenstemt met de theorie. Dit 'compliance based' auditen genereert vaak administratieve maatregelen en is per definitie correctief van insteek.

 

In juli 2018 wordt met grote waarschijnlijkheid de nieuwe versie van ISO19011 gepubliceerd (momenteel bevindt men zich in de laatste draft fase, de zogenaamde 'FDIS' fase). ISO19011 is geen certificeerbare norm maar een richtlijn voor het uitvoeren van managementsysteem-audits.

De nieuwe versie dient zich aan als kader voor de ontwikkeling van een manier van auditen die aansluit bij de klemtonen uit de vernieuwde normstandaarden. Naast auditprincipes  zoals Integrity, Fair Presentation, Due Professional Care, Confidentiality, Independence en Evidence Based Approach zal in de 2018 versie de 'risk based approach' als nieuw auditprincipe worden toegevoegd. Als definitie hiervan geldt: an audit approach that considers risks and opportunities’. Verder wordt gesteld dat de risk-based benadering een substantiële invloed behoort te hebben op het plannen, uitvoeren en rapporteren van audits om ervoor te zorgen dat audits focussen op zaken die significant zijn voor de geauditeerde en voor het bereiken van de doelstellingen van het auditprogramma.

 In praktijk betekent dit dat de risicogebaseerde benadering begint bij het plannen  van de interne audits: welke processen houden het meeste risico's in zich om het eindproduct/service van de organisatie te bedreigen? Bij het uitvoeren van de audits gaat de interne auditor vervolgens na welke risico's en opportuniteiten vanuit de context van de organisatie zijn geïdentificeerd en hoe deze zijn doorvertaald in de organisatie. Daarna gaat hij na wat de doelstellingen zijn per proces, welke de risico's zijn dat deze niet behaald kunnen worden en welke extra beheersmaatregelen men hier tegenover stelt. Bij het rapporteren van de auditbevindingen legt men de focus op deze die de grootste bedreiging of opportuniteit in zich houden. 

 

Voor zowel systeemverantwoordelijke als voor de interne auditoren impliceert de risicogebaseerde audit-benadering een uitbreiding van kennis en competenties.  Men wordt immers uitgedaagd om af te wijken van vertrouwde paden en verbanden te leggen over de processen heen, zelfs over de muren van de organisatie heen. Met een concrete, praktijkgerichte aanpak is ESQ Solutions uw partner in het opleiden van auditoren die meerwaarde genereren voor de organisatie en tegelijk fun hebben bij het uitvoeren van audits.

Terug naar overzicht