Auditen van Managementsystemen

www.IMSite.eu Auditen van Managementsystemen 1

AMS1 2009-09-23 Versie 5.0

Auditen van Managementsystemen Cursus 1

WWW.IMSITE.EU ing. N.M. van Schie MBA Zuiderweg 28 8393 KT VINKEGA The Netherlands

M: T: E: I:

+31 (0)6-52638130 +31 (0)561-433573 [email protected] www.nemus.nl

Trade Register Nr: 27254051 VAT Nr: NL1750.15.971.B01


Colofon Titel Auditen van Managementsystemen Cursus 1 Versie 5.0 (2009-09-23) Projectnummer AMS1nl Auteur ing. N.M. van Schie MBA Cursistnummer

© 2009 IMSITE Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij electronisch, mechanisch, door fotokopieën, opnamen, of enig andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Het gebruik van deze uitgave door derden, voor welk doel dan ook, is uitsluitend toegestaan nadat een schriftelijke overeenkomst met IMSite is gesloten waarin het gebruiksrecht is geregeld.


Voorwoord Welkom bij de cursus Auditen van Managementsystemen, deel 1. Dit cursusboek heb ik samengesteld op basis van diverse trainingen op het gebied van auditen van managementsystemen voor integriteit, kwaliteit, veiligheid en milieu. Succesvolle audits dragen structureel bij aan het functioneren en verbeteren van managementsystemen. Auditoren spelen een centrale rol als interne auditor, als beoordelaar van ketenpartners of als onafhankelijke derde in een extern (certificatie-) auditteam. Deze cursus biedt auditoren die boven genoemde rollen vervullen, een gedegen basis om zelfstandig interne audits of leveranciersbeoordelingen uit te voeren. Tevens geeft het auditoren de basis voor een eventuele vervolgopleiding tot lead-auditor voor externe (certificatie-) audits of als operational auditor. Hiervoor zijn de cursussen Auditen van Managementsystemen, deel 2 en deel 3 ontwikkeld. Het vergroten van de kennis en kunde van auditoren is een concrete toegevoegde waarde voor het realiseren van bedrijfsdoelen. Mocht u na het lezen, en wellicht toepassen, van de theorie uit dit handboek vragen of verbetersuggesties hebben, dan houd ik mij van harte aanbevolen. Ik wens u veel plezier en succes met dezecursus. Vinkega, september 2009,

Niek van Schie IMSite.eu

Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 1


Inhoud Voorwoord

1

Inhoud

2

1

Kennis en kunde

7

1.1

Over deze cursus

7

1.2

Leerdoelen

7

2

Over managementsystemen

8

2.1

Een ratio voor managementsystemen

8

2.2

Twee zijden aan elke vraag

8

2.3

Drie aspecten in elke beslissing

8

2.4

Vier elementen verbonden door plan > do > check > act

9

2.5

Vijf groepen belanghebbenden

9

3

Auditing

10

3.1

Het begrip audit

10

3.2

Een hiërarchie van beoordelingen

10

3.3

Audittermen en –definities

11

3.4

Soorten audits

11

4

Van product via proces naar systeem

13

4.1

Proces-principes

13

4.2

Processen maken het systeem

14

4.3

Procesbenadering en managementnormen

14

4.4

Het documenteren van processen

16

5

De auditor en het auditproces

17

5.1

Persoonlijke kenmerken

17

5.2

Kennis en kunde

17

5.3

Auditprincipes

17

5.4

Auditorgedrag en –ethiek

18

5.5

Wet- en regelgeving

19

5.6

Het auditproces

19


2009-09-23 Pagina 2

www.IMSite.eu Auditen van Managementsystemen 1 6

Kwaliteitsmanagementsystemen

21

6.1

Belanghebbenden bij kwaliteit

21

6.2

De 8 kwaliteitsmanagementprincipes

21

6.3

Normen voor kwaliteit

22

6.4

Kwaliteitstermen en –definities

22

6.5

Model voor een kwaliteitsmanagementsysteem

24

6.6

Integriteit als bijzondere kwaliteit

24

7

Arbo-managementsystemen

25

7.1

Belanghebbenden bij arbo

25

7.2

Normen voor arbo

25

7.3

Arbo-termen en –definities

26

7.4

Model voor een arbo-managementsysteem

27

8

Milieumanagementsystemen

28

8.1

Belanghebbenden bij milieu

28

8.2

Normen voor milieu

28

8.3

Milieu-termen en –definities

29

8.4

Model voor een Milieumanagementsysteem

29

9

De voorbereiding op de audit

31

9.1

Het vooronderzoek

31

9.2

Een rondleiding

31

9.3

De documenten beoordeling

31

9.4

Het auditplan

32

9.5

Het auditprogramma

32

9.6

Opstellen van checklijsten

33

10

De uitvoering van de audit

36

10.1

De openingsbijeenkomst

36

10.2

Bijeenkomsten tijdens de audit

36

10.3

Het verzamelen van bewijs

37

10.4

Auditen met plan-do-check-act

37

10.5

Bewijs van verbeteren

38

10.6

Het auditen van algemene eisen

39

11

Interviewtechniek en communicatie

41


2009-09-23 Pagina 3

www.IMSite.eu Auditen van Managementsystemen 1 11.1

Een communicatiemodel

41

11.2

Het auditinterview

42

11.3

Interviewvragen

43

11.4

Interviewantwoorden

44

11.5

Non-verbale communicatie

44

11.6

Problemen en hun mogelijke oplossingen

45

11.7

NLP-technieken voor auditoren

45

12

Steekproeven of steekproefsgewijs

48

12.1

Steekproefbewijs

48

12.2

Het nemen van een steekproef

48

13

Audit-rapportage en opvolging

50

13.1

Auditbevindingen en conclusies

50

13.2

De eindbespreking

51

13.3

Opstellen van het auditrapport

51

13.4

Afronding van de audit

52

13.5

Opvolging van de audit

52

14

Het auditproces continu verbeteren

53

14.1

De kwaliteit van het auditproces

53

14.2

Bijblijven en beoordelen

53

14.3

Verbeteren van het auditprogramma

53

15

Tips en trucs

54

16

KAM-normen: de algemene eisen

56

16.1

Introductie

56

16.2

Overzicht van de normeisen voor KAM-management

56

16.3

Documentatie en procedures

56

17

KAM-normen: de directieverantwoordelijkheid

58

17.1


58

17.2


58

17.3

Registraties

59

18

KAM-normen: het managen van middelen

60

18.1


60


2009-09-23 Pagina 4

www.IMSite.eu Auditen van Managementsystemen 1 18.2


60

18.3

Registraties

60

19

KAM-normen: het realiseren van het product

61

19.1


61

19.2

Uitsluitingen van normeisen ISO 9001: 2008

61

19.3


62

19.4

Registraties

63

20

KAM-normen: meten, analyseren en verbeteren

64

20.1


64

20.2


64

20.3

Registraties

65

21

Het interne auditproces

66

21.1

Doel en omvang van het interne auditprogramma

66

21.2

Verantwoordelijkheden, middelen en procedures

66

21.3

De uitvoering van het interne auditprogramma

66

21.4

Het interne auditprogramma bewaken en beoordelen

67

22

De leveranciersbeoordeling

68

22.1

Leveranciers selecteren en beoordelen

68

22.2

Risicobeheersing en onderaannemers

68

23

Het certificatieproces

69

23.1

Van aanvraag tot certificaatverlening

69

23.2

Opvolgingsaudits

69

24

Andere normen voor managementsystemen

71

24.1

Introductie

71

24.2

VGM Checklist Aannemers (VCA)

71

24.3

Accountability (AA 1000) en de Global Reporting Initiative

71

24.4

Investors in people (IiP)

72

24.5

Eco Management en Audit Systeem (EMAS)

72

24.6

Social Accountability 8000 (SA 8000)

73

24.7

EFQM/INK

73

24.8

Hazard Analysis and Critical Control Points (HACCP)

73


2009-09-23 Pagina 5

www.IMSite.eu Auditen van Managementsystemen 1 I

Literatuur

74


2009-09-23 Pagina 6


1 Kennis en kunde 1.1 Over deze cursus Het voor je liggende cursusboek is ontwikkeld en samengesteld door IMSite als de basis voor diverse trainingen en opleidingen op het gebied van auditing. Naast dit cursusboek krijg je als deelnemer van een training via IMSite.eu een specifiek en vaak persoonlijk programma met praktijkoefeningen en casussen. Het is dus afhankelijk van het opleidingsprogramma of we alle onderdelen uit dit cursusboek zullen behandelen tijdens de training. Daarnaast is dit cursusboek voor auditoren van managementsystemen een waardevol naslagwerk voor iedereen die zijn of haar kennis en kunde op dit gebied wil vergroten. In het cursusboek staat het managementsysteem en de bijdrage die auditoren hieraan geven centraal. Zo behandelen we de verschillende aspecten van managementsystemen voor integriteit, kwaliteit, arbo en milieu. Auditoren kunnen daarin meerdere rollen spelen, zoals het uitvoeren van interne audits, de leveranciersbeoordelingen of deelnemen aan certificatie-auditteams. 1.2 Leerdoelen Voor elke cursus op IMSite.eu gelden leerdoelen als uitgangspunt. Binnen de verschillende cursussen die ondersteund door dit praktijkhandboek worden gegeven, kunnen onder andere de volgende leerdoelen van toepassing zijn: 1. De verantwoordelijkheden beschrijven van een interne auditor en de rol van interne audits bij het in stand houden en verbeteren van een managementsysteem. 2. De verantwoordelijkheden beschrijven van een externe auditor bij de beoordeling van leveranceriers en de rol van deze beoordeling bij het in stand houden en verbeteren van een managementsysteem. 3. De verantwoordelijkheden beschrijven van een externe auditor bij certificatieaudits en de rol van deze certificatie-audits bij het in stand houden en verbeteren van een managementsysteem. 4. Het doel en de structuur van de ISO 9001: 2008, de OHSAS 18001: 2007 en de ISO 14001: 2004 normen uitleggen met verwijzing naar de plan-do-check-act methodiek en het model van een op processen gebaseerd managementsysteem. 5. Interne audits plannen en voorbereiden. 6. Audits in het kader van de beoordeling van een leverancier plannen en voorbereiden. 7. Onder leiding van een auditteamleider certificatie-audits plannen en voorbereiden. 8. Objectief bewijs verzamelen door middel van observeren, houden van interviews en nemen van steekproeven uit documenten en registraties. 9. Op feiten gebaseerde auditrapporten schrijven die bijdragen aan de doeltreffendheid van het managementsysteem. 10. Voorstellen doen hoe de doeltreffendheid van corrigerende maatregelen kan worden bepaald.


2009-09-23 Pagina 7


2 Over managementsystemen 2.1 Een ratio voor managementsystemen De ratio of zo je wilt de logische reden voor het hebben van een managementsysteem kunnen we als volgt verwoorden. Missie

Verwachten

Stuurt

Managementsysteem

Belanghebbenden

Verblijden

Levert

Resultaten

Een managementsysteem wordt aangedreven door een missie. Dit systeem levert resultaten op. Deze resultaten voorziet in de eisen en verwachtingen van belanghebbenden. Belanghebbenden verwachten van een organisatie een missie, waarmee de cirkel rond is. 2.2 Twee zijden aan elke vraag Zoals met alle gedocumenteerde managementsystemen, zijn er twee zijden aan elke auditvraag: papier en praktijk. Er is een evenwicht in de interactie tussen papier en praktijk. Op papier (of digitaal natuurlijk) houden we onszelf en onze klanten voor hoe wij de dingen doen. In de praktijk laten we ons ware gezicht zien. Wanneer papier en praktijk niet met elkaar overeen stemmen moeten we één van de twee aanpassen. De verantwoordelijkheid van deze verandering berust bij alle betrokkenen in de organisatie. Zowel papier als praktijk moeten de juiste dingen juist doen en beschrijven. Let echter op: Het is te makkelijk om het papier even aan de praktijk aan te passen of andersom. Denk altijd na over het doel van de activiteit. 2.3 Drie aspecten in elke beslissing Elke beslissing die een manager maakt, ongeacht het niveau in een organisatie, kunnen we relateren aan drie aspecten: 1. De technische aspecten voor het beheersen van de kwaliteit van dienst en product. Denk aan het ‘SHARP’ principe (satisfaction as high as reasonably practicable). 2. De effecten van operationele aspecten voor het beheersen van veiligheid, gezondheid en milieu. Denk aan het ‘ALARP’ principe (as low as reasonably practicable). 3. De commerciële aspecten van prestatie en reputatie. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 8

www.IMSite.eu Auditen van Managementsystemen 1 2.4 Vier elementen verbonden door plan > do > check > act We kunnen vier elementen onderscheiden in elk managementsysteem. Deze zijn: 1. Management verantwoordelijkheid (richting en inspiratie). 2. Management van middelen (inrichting en mobilisatie). 3. Het project realisatie proces (het creëren van waarde in producten en diensten). 4. Meten, analyseren en verbeteren (verrichting en reflectie). Deze vier elementen zijn verbonden met de bekende plan > do > check > act cyclus, ook wel bekend als de Deming- of Shewhart cyclus.

2.5 Vijf groepen belanghebbenden Belanghebbenden zijn groepen van personen of organisaties die een bepaald belang hebben bij een organisatie en haar managementsysteem. We kunnen vijf groepen van belanghebbenden onderscheiden: 1. Management en medewerkers. Dit zijn de mensen die betaald worden door de organisatie voor hun arbeidsinspanningen. 2. Onderaannemers en leveranciers. Zij verschaffen de organisatie producten en diensten die de organisatie niet zelf produceert. 3. Klanten. De afnemers van het product en de dienst van de organisatie en daarmee de reden van bestaan van de organisatie vormen. 4. Overheid en maatschappij. Deze vormen de culturele en ethische context waarin we opereren alsmede het juridische kader. 5. Aandeelhouders en financiers. Deze verschaffen de geldelijke middelen en zijn vooral geïnteresseerd in de resultaten van een organisatie.


2009-09-23 Pagina 9


3 Auditing 3.1 Het begrip audit De oorsprong van auditing ligt in het Romeinse rijk. Officiële aankondigingen werden toen door omroepers verkondigd. Om ervoor te zorgen dat de boodschap goed overkwam, waren de omroepers vergezeld door auditoren (aanhoorders). Deze auditoren kenden de boodschap even goed als de omroepers en waren getuige van het juist en volledig weergeven van deze boodschap door de omroeper. De auditoren konden vervolgens aan de autoriteiten rapporteren of de omroeper zijn werk goed had gedaan. Het begrip audit komt dus uit het Latijn en betekent 'hij hoort'. Denk aan verwante woorden als auditorium en auditie. Vervolgens is het begrip audit vooral in de financiële wereld gebruikt voor de beoordeling van financiële gegevens en informatie. Op basis van financiële audits stellen accountants hun verklaringen op. Meer recentelijk wordt het begrip auditing ook gebruikt voor het onderzoek naar het functioneren van managementsystemen. Het begrip audit komt neer op een doorlichting van een product, een proces, een systeem of een organisatie via waarnemingen, interviews, de beoordeling van documenten en registraties of het testen van producten. Een audit is een systematisch en onafhankelijk onderzoek waarin het onderwerp van onderzoek (product, proces, systeem) wordt vergeleken met de set van eisen (de auditcriteria). Audits kunnen worden uitgevoerd om te zien of voldaan wordt aan bepaalde wettelijke eisen, eisen vanuit de markt of eisen vanuit het management. Een audit moet informatie opleveren waarmee een verbeterproces in gang gezet kan worden, een leverancier geaccepteerd wordt of een certificaat behaald kan worden. De omvang van een audit is afhankelijk van het type audit, de wensen van de auditklant of externe richtlijnen vanuit toezichthouders. 3.2 Een hiërarchie van beoordelingen Op veel verschillende plaatsen in het proces en binnen organisaties vinden beoordelingen plaats. Deze beoordelingen zijn in een bepaalde hiërarchie te plaatsen, zoals in onderstaand figuur weergegeven. Directie beoordeling Abstractieniveau onafhankelijkheid

Interne audit Collegiale toetsing Procesmetingen

Productbeoordeling


Detailniveau bijstuurmogelijkheid

2009-09-23 Pagina 10

www.IMSite.eu Auditen van Managementsystemen 1 Op producten procesniveau zijn metingen gedetailleerd en concreet. De mogelijkheid tot bijsturen is veelal groot. Audits en directie beoordelingen zijn aan de andere kant veel abstracter, onafhankelijker van het proces maar kennen veel minder de mogelijkheid tot bijsturen. 3.3 Audittermen en –definities De ISO 19011: 2002 norm geeft ons de volgende audit termen en definities: Audit: Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan. Auditbevindingen: Resultaten van de beoordeling van het verzamelde auditbewijsmateriaal aan de hand van auditcriteria. Auditbewijsmateriaal: Registraties, verklaringen op basis van feiten of andere informatie welke relevant zijn voor de auditcriteria en verifieerbaar zijn. Auditconclusie: Resultaat van een audit gegeven door het auditteam na overweging van de auditdoelstellingen en alle auditbevindingen. Auditcriteria: Geheel van beleidslijnen, procedures of eisen. Auditee: Organisatie die een audit ondergaat. Auditklant: Organisatie of persoon die een audit aanvraagt. Auditor: Persoon met de bekwaamheid om een audit uit te voeren. Auditplan: Beschrijving van de activiteiten en voorzieningen voor een audit. Auditprogramma: Verzameling van één of meer audits gepland voor een specifiek tijdsbestek en gericht op een specifiek doel. Auditteam: Eén of meer auditoren die een audit uitvoeren. Reikwijdte van de audit: Toepassingsgebied en grenzen van een audit. 3.4 Soorten audits Audits kunnen een intern dan wel een extern karakter hebben. Ze kunnen de totale organisatie betreffen of aspecten ervan, individuele processen of groepen van processen. Audits kunnen in opdracht van verschillende partijen worden gehouden. Afhankelijk van de relatie met de opdrachtgever spreken we over eerste, tweede en derde partij audits. We gebruiken hierbij doorgaans de Engelse termen first, second en third party audits. Binnen een audit maken we onderscheid tussen de documentatie beoordeling en de implementatie audit. Bij de documentatie beoordeling stelt men vast of het gedocumenteerde managementsysteem voldoet aan de eisen die de norm stelt aan deze documentatie. Tevens stelt men vast of de aanwezige documentatie voldoende basis is en Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 11

www.IMSite.eu Auditen van Managementsystemen 1 vertrouwen geeft om de implementatie audit uit te gaan voeren. Tijdens deze implementatie audit voeren we de beoordeling van de praktijk uit met als basis de resultaten van de documenten beoordeling. Zo'n onderverdeling is meest niet nodig voor de interne audits. First Party Audit (intern). Dit is een audit die een organisatie bij zichzelf uitvoert. Interne auditing is een eis van elke norm voor managementsystemen. Interne audits kunnen een communicatielijn door het bedrijf zijn als een formeel verzamelpunt voor ideeën en suggesties ter verbetering. Interne audits mogen door (eigen) getrainde personeelsleden van de organisatie uitgevoerd worden. Voorwaarde hierbij is dat een interne auditor niet zijn eigen werk audit. Ook kunnen professionele auditoren ingehuurd worden. Second Party Audits (extern). Een second party audit is een audit die door één organisatie bij een andere organisatie wordt gehouden, bijvoorbeeld door een afnemer bij de leverancier of bij onderaannemers. Second party audits zijn externe audits en vaak implementatie audits die beperkt zijn tot een bepaald proces of product. Third Party Audit (extern). Deze audit wordt uitgevoerd door een onafhankelijke organisatie (de derde partij). De opdrachtgever van een dergelijke audit kan de auditee zelf zijn, maar ook een andere organisatie, zoals een klant of een toezichthouder. De meest gebruikelijke derde partij audit heeft als doel certificering door een erkende certificeerder. Third party audits zijn daarmee externe audits. De audit kan een documentatie beoordeling zijn of een implementatie-audit. Gewoonlijk zijn beide onderdelen in dergelijke audits opgenomen. Certificatie, Registratie en Accreditatie. Een third party audit wordt door een onafhankelijke derde uitgevoerd. Bepaald wordt in hoeverre de organisatie aan de eisen van de toegepaste norm voldoet.Deze onafhankelijke organisaties zijn veelal extern gelegitimeerd tot certificatie door middel van accreditatie. De verschillende verhoudingen tussen de soorten audits staan in de volgende figuur weergegeven. Het stippellijntje tussen de certificatie-instelling en de klant geeft de kwaliteitsverklaring of het certificaat aan. Klanten kunnen zo kiezen met welke organisatie zij zaken willen doen, zonder zelf een uitgebreid leveranciersonderzoek uit te gaan voeren. Raad voor Accreditatie (accreditatie)

Certificatieinstelling

(kwaliteitsverklaring)

(3e partij)

Leverancier (2e partij)


Organisatie (1e partij)

Klant (2e partij)

2009-09-23 Pagina 12


4 Van product via proces naar systeem 4.1 Proces-principes Producten zijn het resultaat van processen. Processen vormen gezamenlijk een systeem. In dit hoofdstuk staat vooral het procesmatig benaderen van productie en dienstverlening centraal en de rol die processen hebben in managementsystemen. Als auditor heeft u dus altijd met processen te maken. Voordat u een proces kunt auditen, moet u eerst een goed begrip hebben van het begrip proces. We kunnen vier basisprincipes onderscheiden als we het over processen hebben. 1. Activiteiten binnen processen zijn met elkaar verbonden en kennen doorgaans een volgorde. 2. Processen transformeren input naar output. Er vindt een bepaalde verandering of ook wel waarde toevoeging plaats. 3. Tussen input en output bestaat een evenwicht. Er zal nooit meer uitkomen dan je er in hebt gestopt. 4. Processen kennen een bepaald optimum waarbij doelstellingen worden gerealiseerd bij optimaal gebruik van de middelen. De procesbenadering van productie of dienstverlening is doeltreffender dan een lukrake of ad random aanpak. De inputs van een proces kunnen zeer divers zijn, zoals halffabrikaten, arbeid, gereedschappen, specifieke omstandigheden, informatie, geld, energie etc. Het proces transformeert deze inputs naar de output, die een product of een dienst kan zijn. De benodigde input kunnen we indelen in zes categoriën die we voor het gemak allemaal met een M laten beginnen: Mensen, Materieel, Milieu, Materialen, Metingen en Methoden. In het onderstaande schema staan deze begrippen rond processen weergegeven. Uitgaande van het procesprincipe dat er niet meer uit een proces komt dan je er in stopt, kunnen we hier de vergelijking 6*M=O voor gebruiken. Milieu

Materieel

Materialen

Output

Processtappen Methoden

Metingen


Mensen

2009-09-23 Pagina 13

www.IMSite.eu Auditen van Managementsystemen 1 Voegen we daar de M van de muntjes aan toe, dan hebben we de formule 7*M=O. Nu is geld een factor in elk van de overige factoren, dus apart benoemen voegt hier niet veel toe. Alle processen kennen een bepaalde mate van procesbeheersing. Het doel van procesbeheersing is het voorkomen van ongewenste gevolgen. De mate en wijze van deze beheersing zijn afhankelijk van risico's en de acceptatie van eventuele ongewenste gevolgen. Processen op de hartbewakingsafdeling van een ziekenhuis kennen een duidelijk andere mate van beheersing dan bij een uitgeverij of een symfonie-orkest. De risico's voor een bedrijfsrestaurant zijn nu eenmaal anders dan die van een fietsenmaker. Een essentieel onderdeel van procesbeheersing is de terugkoppeling of feedback. Deze terugkoppeling komt van de output of de tussenliggende processtappen. Een terugkoppeling is dus informatie over bijvoorbeeld temperatuur, vertraging, kleur, gewicht, aantallen of maatvoering. Het nut van deze terugkoppeling ligt in het kunnen realiseren van de gestelde doelen. Het vereist daarom een afgesproken werkwijze voor het verzamelen van informatie en het bijsturen van het proces. In veel gevallen gebruikt men hiervoor statistische methoden om een beter inzicht te krijgen in de informatie en de noodzaak tot bijsturing. Twee kernbegrippen bij deze terugkoppeling zijn flexibiliteit en leervermogen. Informatie waarmee het management het proces kan bijsturen (bijvoorbeel door inzet van middelen) draagt bij aan de flexibiliteit van een proces. Informatie waarmee het management achteraf processen kan analyseren en verbeteren bepaalt het leervermogen binnen een proces. Alles wat we over processen zeggen geldt ook voor projecten. Een project is nu eenmaal een bijzondere vorm van een proces. Het kent een start en eindmoment. 4.2 Processen maken het systeem Organisaties kennen meerdere processen die met elkaar samenhangen om hun organisatie-doelen te realiseren. De combinatie van de verschillende productie-processen met de managementprocessen maakt een systeem dat een gemeenschappelijk doel kent op het gebied van bedrijfsresultaat, kwaliteit, milieu, arbeidsomstandigheden of andere aspecten van de bedrijfsvoering. De voordelen voor de systeembenadering van management omvatten: 1. Integratie en afstemming van de processen die het meest geschikt zijn om de beoogde resultaten te realiseren. 2. Het vermogen om inspanningen te concentreren op de kernprocessen. 3. Het wekken van vertrouwen bij belanghebbende partijen in de organisatie. 4.3 Procesbenadering en managementnormen Managementsystemen zijn dus gebaseerd op de procesbenadering. Normen voor managementsystemen benadrukken het belang van:   

Het begrijpen van en voldoen aan de eisen; De noodzaak om processen te zien in termen van toegevoegde waarde; Het verkrijgen van resultaten uit het proces in termen van prestaties en doeltreffendheid; en Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 14

www.IMSite.eu Auditen van Managementsystemen 1 

De continue verbetering van processen gebaseerd op objectieve meting.

De procesbenadering binnen managementnormen omvat zo alle processen die nodig zijn om een product of dienst te realiseren, de arbeidsomstandigheden of de milieu-effecten te beheersen maar daarnaast ook alle overige processen die nodig zijn voor een doeltreffende implementatie van het managementsysteem. Voorbeelden van deze tweede groep van processen zijn het interne auditproces, het proces van de directiebeoordeling en het proces voor beheersing van middelen. Al deze processen kunnen met behulp van de plan-docheck-act methode beheerst worden. Hierna geven we enkele handreikingen in de vorm van vragen die een organisatie zichzelf kan stellen (maar wellicht ook door een auditor gesteld kunnen worden) om uiteindelijk aan een managementnorm te voldoen. Deze vragen zijn natuurlijk slechts voorbeelden. 1. De organisatie moet de processen die nodig zijn voor het managementsysteem en de toepassing ervan door de hele organisatie vaststellen.  Welke processen vallen binnen het systeem?  Wie zijn de klanten voor die processen?  Wat zijn de verwachtingen van deze klanten?  Wie is de “eigenaar” van elk proces?  Zijn er uitbestede processen?  Wat zijn de inputs en de outputs van elk proces? 2. De organisatie moet de volgorde en interacties van deze processen vaststellen.  Wat is het algemene verloop van de processen?  Hoe kan deze worden beschreven?  Wat is de samenhang tussen de processen?  Welke documenten zijn er nodig? 3. De organisatie moet criteria en methoden bepalen die nodig zijn om te bewerkstelligen dat zowel de uitvoering als de beheersing van deze processen doeltreffend zijn.  Wat zijn de kenmerken van de resultaten van het proces?  Welke criteria zijn er voor bewaken, meten en analyseren?  Hoe zijn deze opgenomen in de kwaliteitsplanning?  Hoe verzamelt men gegevens? 4. De organisatie moet de beschikbaarheid bewerkstelligen van middelen en informatie die nodig zijn voor de uitvoering en bewaking van deze processen.  Welke middelen zijn er nodig voor elk proces?  Hoe verloopt de communicatie?  Hoe voorziet men in externe en interne informatie over het proces?  Welke gegevens zijn er nodig en welke registraties houdt men bij? 5. De organisatie moet deze processen bewaken, meten en analyseren.  Hoe houdt men de procesprestaties in de gaten?  Welke metingen zijn hiervoor nodig?  Hoe analyseert men de metingen en wat is hiervan het resultaat? 6. De organisatie moet maatregelen doorvoeren die nodig zijn om geplande resultaten en continue verbetering van deze processen te bereiken.  Waar liggen kansen voor verbetering?  Welke corrigerende of preventieve maatregelen zijn er nodig?  Wat is de doeltreffendheid van dergelijke maatregelen? Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 15

www.IMSite.eu Auditen van Managementsystemen 1 4.4 Het documenteren van processen Het uitgangspunt voor het documenteren van processen is dat er in elke organisatie processen bestaan en dat deze op de meest geschikte manier moeten worden beheerst. De normen voor managementsystemen vereisen dat alle processen die nodig zijn voor het managementsysteem worden beheerst zonder daarvoor een specifieke lijst van alle processen te definiëren. Iedere organisatie moet dus zelf bepalen welke processen zij documenteert. Uitgangspunten hierbij zijn de eisen van de klant, de weten regelgeving, de aard van de bedrijfsactiviteiten en het beleid van de organisatie. Bij het bepalen welke processen men documenteert, kan een organisatie de volgende overwegingen meenemen:         

Het effect op de kwaliteit. Het risico op klantontevredenheid. De arbeidsomstandigheden. Het (potentiële) effect op het milieu. Eisen uit weten regelgeving. Economisch risico. Doeltreffendheid en doelmatigheid. Bekwaamheid van het personeel. Ingewikkeldheid van de processen.

Als er processen gedocumenteerd worden, dan is de organisatie vrij in de keuze voor de manier waarop zij dit doet. Documentatie voor een proces kan bestaan uit beeldmateriaal, geschreven instructies, controlelijsten, stroomschema’s, video’s, software, bedieningsinstructies etc. Vooral stroomschema's gebruikt men tegenwoordig erg veel. Het voordeel hiervan is een symbolische weergave die in één oogopslag de volgorde van activiteiten laat zien. Nadelen zijn de aparte beeldtaal die iedereen moet leren kennen en de fictie dat alle activiteiten volgordelijk zijn, waar dit in de praktijk vaak parallelle activiteiten zijn. De meest gebruikte symbolen in stroomschema's staan hieronder weergegeven. Start

Document

Voorbereiding

Processtap

Computerbestand

Beslissing

Processtap met beschrijving in subproces

Einde


2009-09-23 Pagina 16


5 De auditor en het auditproces 5.1 Persoonlijke kenmerken Het vertrouwen dat een organisatie en haar management heeft in het auditproces is voor een groot deel afhankelijk van de professionaliteit van de auditoren. De basis van deze professionaliteit ligt in de volgende persoonlijke kenmerken:       

Ethisch verantwoord werken (onpartijdig, eerlijk en discreet). Met een open geest (bereid om andere ideeën of meningen te overwegen). Diplomatiek (tactvol omgaan met collega’s). Een goed waarnemingsvermogen (bewust van omgeving en activiteiten). Vasthoudend (gericht op het doel van de audit). Besluitvaardig (trekt tijdig de juiste conclusie). Zelfstandig kunnen werken (onafhankelijk maar ook doeltreffend).

5.2 Kennis en kunde Een auditor moet beschikken over een bepaalde kennis en kunde. Deze kennis en vaardigheden liggen op de volgende gebieden:       

Auditprincipes, –procedures en –technieken. Handboeken en andere documenten van een managementsysteem. Principes, methoden en technieken voor kwaliteitsmanagement, arbomanagement en/of milieumanagement. De omgeving waarin de organisatie opereert. De organisatiecultuur en bedrijfsprocessen. Klanteneisen en –verwachtingen. De van toepassing zijnde weten regelgeving.

De eerste drie onderwerpen vinden we terug in dit praktijkhandboek en overige onderdelen van de trainingen voor auditoren die NEMUS verzorgt. De overige aspecten zijn organisatie-specifiek en dus afhankelijk van de omgeving en de interne structuur van de organisatie waarin je de audits uitvoert. De basis voor de hiervoor genoemde kennis en kunde ligt bij de opleiding en ervaring die auditoren hebben gevolgd of opgedaan. Dit dient minimaal een training of opleiding te omvatten gericht op de bovengenoemde kennis en kunde. Op basis van alle bekwaamheden kan het auditprogramma-management de auditoren inzetten. Voor certificatie-audits zijn doorgaans uitgebreide en specifieke kwalificatie-voorwaarden opgesteld. 5.3 Auditprincipes Auditen is gebaseerd op een aantal principes. Dit maakt een audit een betrouwbaar en doeltreffend instrument om het management te ondersteunen. Audits geven de organisatie informatie waarmee zij zich kan verbeteren. Het naleven van de principes zorgt ervoor dat verschillende auditoren tot dezelfde conclusies in vergelijkbare omstandigheden komen. De volgende principes hebben betrekking op auditoren: Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 17

www.IMSite.eu Auditen van Managementsystemen 1 1. Ethisch gedrag als de basis van professionaliteit. Vertrouwen, integriteit, vertrouwelijkheid en discretie zijn onmisbaar voor het uitvoeren van audits. 2. Eerlijke verslaggeving als de plicht waarheidsgetrouw en nauwkeurig te rapporteren. Auditbevindingen, auditconclusies en auditrapporten bieden een waarheidsgetrouwe en nauwkeurige weergave van de auditactiviteiten. Substantiële belemmeringen tijdens de audit en onopgeloste meningsverschillen tussen het auditteam en de auditee worden gerapporteerd. 3. Gepaste beroepsmatige zorgvuldigheid voor toewijding en beoordelingsvermogen bij het uitvoeren van audits. Auditoren gaan zorgvuldig te werk, overeenkomstig het belang van de taak die ze uitvoeren en het vertrouwen dat in hen is gesteld door de auditklant en andere belanghebbende partijen. Het hebben van de juiste bekwaamheid is een belangrijke factor. De volgende principes hebben betrekking de onafhankelijke en systematische audit: 1. Onafhankelijkheid als de basis voor onpartijdigheid van de audit en objectiviteit van de auditconclusies. Auditoren zijn onafhankelijk van de activiteit waarop de audit uitgevoerd wordt; zij zijn niet vooringenomen en kennen geen strijdige belangen. Auditoren handhaven gedurende het gehele auditproces een objectieve houding, om te bewerkstellingen dat de auditbevindingen en –conclusies alleen op het auditbewijsmateriaal zijn gebaseerd. 2. Aanpak op grond van bewijs als de rationele methode om betrouwbare en reproduceerbare auditconclusies te bereiken door middel van een systematisch auditproces. Auditbewijsmateriaal is verifieerbaar. Het is gebaseerd op steekproeven van de beschikbare informatie, want een audit wordt uitgevoerd in een vooraf bepaalde tijdsperiode met eindige middelen. Een geschikte steekproefkeuze hangt nauw samen met het vertrouwen dat in de auditconclusies kan worden gesteld. (Bron: ISO 19011: 2002.) 5.4 Auditorgedrag en –ethiek De bovenstaande principes kunnen we doorvertalen in een aantal regels voor gedrag en ethiek. De toepasselijkheid van deze regels is afhankelijk van de situatie en de soort audit.  

 

  

Vertrouwelijkheid: Alle niet openbare gegevens van de auditee zijn vertrouwelijk. Onafhankelijkheid: Externe auditoren zijn niet betrokken (geweest) bij of hebben geadviseerd over het managementsysteem van auditee. Auditoren betrokken bij certificatie-audits voeren geen interne audits uit bij auditee. Veiligheid: Auditoren houden zich aan de wet, voorschriften van de auditklant, auditee en eigen veiligheidsinschatting. Hygiëne: Auditoren nemen voorgeschreven hygiëne richtlijnen in acht en brengen auditees op de hoogte indien eerdere bedrijfsbezoeken bij derden hiertoe aanleiding kunnen geven. Relatiegeschenken: Het accepteren van relatiegeschenken mag de onafhankelijke positie of imago van de auditor niet beïnvloeden. Representativiteit: Auditoren presenteren zich professioneel doch aangepast aan de omgeving en hun rol daarin. Onpartijdigheid: Auditoren geven geen subjectief oordeel of mening. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 18

www.IMSite.eu Auditen van Managementsystemen 1 5.5 Wet- en regelgeving Wet- en regelgeving spelen een belangrijke rol in de normen voor managementsystemen. Als auditor kun je in een situatie komen waarin een organisatie zich niet geheel houdt aan een regel. Je hebt dan op de eerste plaats een burgerplicht, waarbij je als deskundige een extra veantwoordelijkheid hebt. Een goede benadering voor de audit is te bedenken wat de mogelijke handhavingsbeslissing van het bevoegd gezag kan betekenen voor de belanghebbenden, zoals de klant of het personeel. Diens belangen zijn doorgaans niet gediend met een bedrijfssluiting. Daarnaast kan het zijn dat je je aan een bepaalde gedragscode zult moeten houden. Meldt afwijkingen altijd eerst aan het verantwoordelijke management. 5.6 Het auditproces In het volgende schema staat het auditproces in grote lijnen samengevat. In de hoofdstukken 9 tot en met 14 in dit cursusboek zullen we op al deze onderdelen dieper ingaan.


2009-09-23 Pagina 19

www.IMSite.eu Auditen van Managementsystemen 1 Het auditproces

Initiëren van de audit

Auditprogramma opstellen Benoemen auditteamleider Contact opnemen met auditee Het vooronderzoek

Oriënterend bedrijfsbezoek Documentenbeoordeling Auditplan van aanpak opstellen Voorbereiding audit

Opstellen checklijsten Risico-analyse Uitvoering audit

Openingsvergadering Overleg tijdens de audit Auditbewijsmateriaal verzamelen Observaties, interviews en steekproeven Auditbevindingen vastleggen Conclusie audit opstellen Eindbespreking

Rapportage

Opstellen auditrapport Goedkeuren en verspreiden auditrapport Opvolging audit

Beoordelen verbetervoorstellen Opvolgafspraken bewaken Verbeteren auditproces

Opleiden, trainen en harmoniseren auditoren Aanpassen auditprogramma


2009-09-23 Pagina 20


6 Kwaliteitsmanagementsystemen 6.1 Belanghebbenden bij kwaliteit Normen voor kwaliteitsmanagement beogen het verhogen van de klanttevredenheid. De klant is daarmee de belangrijkste belanghebbende bij kwaliteit. De organisatie ontleent haar bestaansrecht ook aan deze klant. Voor sommige organisaties is deze klant niet alleen de directe afnemer of ontvanger van het product of de dienst. Met name wanneer deze ontvanger niet direct zelf de rekening betaald. Denk aan de zorgsector waar verzekeraars in principe ook klant zijn bij de zorgverstrekkers. Of de werkgever die zijn personeel naar een cursus stuurt. 6.2 De 8 kwaliteitsmanagementprincipes Om een organisatie succesvol te leiden en te laten functioneren, is het noodzakelijk deze op systematische en transparante wijze te sturen en beheersen. Succes kan voortkomen uit het implementeren en onderhouden van een managementsysteem dat ontworpen is om de prestaties continu te verbeteren en zich tegelijkertijd richt op de behoeften van alle belanghebbenden. Kwaliteitsmanagement maakt, naast andere managementdisciplines, deel uit van het besturen van een organisatie. Er zijn acht kwaliteitsmanagementprincipes te onderscheiden die door de directie gebruikt kunnen worden om de organisatie te leiden naar verbeterde prestaties. Een kwaliteitsmanagementprincipe is een veelomvattende en fundamentele regel of overtuiging voor het leiding geven aan een organisatie, gericht op het continu verbeteren van de prestaties op de lange termijn met de primaire focus op klanten waarbij andere belanghebbenden ook aan bod komen. 1. Klantgerichtheid: Organisaties zijn afhankelijk van hun klanten en behoren daarom huidige en toekomstige behoeften van de klant te begrijpen, behoren te voldoen aan eisen van de klant en ernaar te streven om verwachtingen van de klant te overtreffen. 2. Leiderschap: Leiders stellen eenheid van doel en richting van de organisatie vast. Ze behoren een klimaat te scheppen en te onderhouden, waarin medewerkers volledig betrokken kunnen worden bij het bereiken van de doelstellingen van de organisatie. 3. Betrokkenheid van medewerkers: Medewerkers op alle niveaus zijn de kern van een organisatie en hun volledige betrokkenheid maakt het mogelijk dat hun bekwaamheden ten voordele van de organisatie worden gebruikt. 4. Procesbenadering: Een gewenst resultaat wordt doelmatiger bereikt wanneer activiteiten en betrokken middelen bestuurd worden als een proces. 5. Systeembenadering van managen: Vaststellen, begrijpen en sturen van onderling samenhangende processen als een systeem draagt bij tot de doeltreffendheid en doelmatigheid van de organisatie in het bereiken van haar doelstellingen. 6. Continue verbetering: Continue verbetering van de algehele prestatie van de organisatie behoort een permanente doelstelling van de organisatie te zijn. 7. Besluitvorming op basis van feiten: Doeltreffende beslissingen zijn gebaseerd op de analyse van gegevens en informatie.


2009-09-23 Pagina 21

www.IMSite.eu Auditen van Managementsystemen 1 8. Win-win relaties met leveranciers: Een organisatie en haar leveranciers zijn van elkaar afhankelijk en een win-win relatie vergroot het vermogen van beiden om waarde te creëren. Deze acht kwaliteitsmanagementprincipes vormen de basis voor de kwaliteitsmanagementsysteemnormen binnen de ISO 9000-familie. (Bron: ISO 9000: 2005) Andere vergelijkbare sets van principes zijn de 14 punten van Deming en de 8 consumentenwaarden die de Nederlandse consumentenbond hanteert. 6.3 Normen voor kwaliteit Norm ISO 9000: 2005 ISO 9001: 2008 ISO 9004: 2000 ISO 19011: 2002

Titel en onderwerp Kwaliteitsmanagementsystemen - Grondbeginselen en verklarende woordenlijst Kwaliteitsmanagementsystemen - Eisen Kwaliteitsmanagementsystemen - Richtlijnen voor prestatieverbetering Richtlijnen voor het uitvoeren van kwaliteits- en/of milieumanagementsysteemaudits

De hier vermelde normen van de ISO 9000-familie zijn ontwikkeld om organisaties van alle soorten en omvang te ondersteunen bij de implementatie en hantering van doeltreffende kwaliteitsmanagementsystemen. 1. NEN-EN-ISO 9000: 2005 beschrijft grondbeginselen van kwaliteitsmanagementsystemen en specificeert de terminologie voor kwaliteitsmanagementsystemen. 2. NEN-EN-ISO 9001: 2008 specificeert eisen voor een kwaliteitsmanagementsysteem als een organisatie moet aantonen dat zij in staat is om producten te leveren die voldoen aan eisen van de klant en aan de van toepassing zijnde weten regelgeving alsmede de bedoeling heeft om klanttevredenheid te verhogen. 3. NEN-EN-ISO 9004: 2000 geeft richtlijnen die zowel de doeltreffendheid als de doelmatigheid van het kwaliteitsmanagementsysteem in aanmerking nemen. Het doel van deze norm is verbetering van de prestatie van de organisatie en verhoging van tevredenheid van klanten en andere belanghebbenden. 4. NEN-EN-ISO 19011: 2002 geeft richtlijnen voor het uitvoeren van audits van kwaliteits- en/of milieumanagementsystemen. Samen vormen ze een samenhangend geheel van normen voor kwaliteitsmanagementsystemen die het wederzijds begrip in nationale en internationale handel bevorderen. Alleen de ISO 9001: 2008 wordt gebruikt als grondslag voor certificatie. 6.4 Kwaliteitstermen en –definities De ISO 9000: 2005 norm geeft ons de volgende kwaliteitstermen en –definities: Afwijking: Het niet voldoen aan een eis. (Ook wel: non-conformiteit.) Continu verbeteren: Zich herhalende activiteit om het vermogen om aan eisen te voldoen te vergroten. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 22

www.IMSite.eu Auditen van Managementsystemen 1 Corrigerende maatregel: Maatregel om de oorzaak van een waargenomen afwijking of andere ongewenste situatie weg te nemen. Doelmatigheid: De verhouding tussen de behaalde resultaten en de gebruikte middelen. Doeltreffendheid: De mate waarin geplande activiteiten worden gerealiseerd en geplande resultaten worden behaald. Document: Informatie en haar gegevensdrager. Klanttevredenheid: De perceptie van de klant over de mate waarin aan de eisen van de klant is voldaan. Kwaliteit: De mate waarin een geheel van eigenschappen en kenmerken voldoet aan eisen. Kwaliteitsbeleid: Algehele bedoelingen en richting van een organisatie met betrekking tot kwaliteit zoals formeel door de directie kenbaar gemaakt. Kwaliteitsdoelstellingen: Wat wordt beoogd of waarnaar wordt gestreefd met betrekking tot kwaliteit. Kwaliteitshandboek: Document dat het kwaliteitsmanagementsysteem van een organisatie specificeert. Kwaliteitsmanagementsysteem: Managementsysteem voor het sturen en beheersen van een organisatie met betrekking tot kwaliteit. Kwaliteitsplan: Document dat specificeert welke procedures en bijbehorende middelen door wie en wanneer voor een specifiek project, product, proces of contract moeten worden toegepast. Managementsysteem: Systeem om beleid en doelstellingen vast te stellen en deze doelstellingen te halen. Procedure: Gespecificeerde wijze van het uitvoeren van een activiteit of een proces. Proces: Geheel van samenhangende of elkaar beïnvloedende activiteiten dat input omzet in output. Product: Het resultaat van een proces. Preventieve maatregel: Maatregel om de oorzaak van een mogelijke toekomstige afwijking of andere ongewenste mogelijke situatie weg te nemen. Registratie: Document waarin bereikte resultaten kenbaar gemaakt zijn of waarin het bewijs geleverd wordt van uitgevoerde activiteiten.


2009-09-23 Pagina 23

www.IMSite.eu Auditen van Managementsystemen 1 6.5 Model voor een kwaliteitsmanagementsysteem De systeembenadering van management houdt in het vaststellen, begrijpen en besturen van samenhangende processen als een systeem gericht op de doeltreffendheid en doelmatigheid van de organisatie in het realiseren van haar doelen. Het kwaliteitsmanagementsysteem omvat dus een aantal met elkaar samenhangende processen. Deze processen omvatten niet alleen de processen die nodig zijn voor het realiseren van het product of de dienst, maar ook de vele processen voor het beheren, plannen, meten en verbeteren. Het managen van kwaliteit vanuit de ISO 9001 norm heeft betrekking op klanttevredenheid, het voldoen aan de weten regelgeving en de continue verbetering van systeem, processen en producten.

(Bron: ISO 9000) 6.6 Integriteit als bijzondere kwaliteit De laatste jaren staat de integriteit van het zaken doen sterk in de belangstelling. Vele branches kennen al hun codes en normen die het eerlijk zaken doen moeten bevorderen. Het opnemen van integriteit als apart managementaspect kunnen we dan zien als het puntje op de I voor het KAM-managementsysteem.


2009-09-23 Pagina 24


7 Arbo-managementsystemen 7.1 Belanghebbenden bij arbo De primaire belanghebbende bij goed arbo-management is de werknemer. Werknemers kunnen vertegenwoordigd worden door de vakbonden, die op dit aspect van de bedrijfsvoering belangen kunnen vertegenwoordigen. Indirect hebben ook anderen belang bij een goed arbo-management. Ten eerste de organisatie zelf (denk aan de kosten voor ziekteverzuim), ten tweede de klant (afbreukrisico) en ook de eigenaar of aandeelhouder van de organisatie die zich bewust zal zijn van het positieve rendement van investeringen in arbo. Ook de maatschappij spreekt organisaties steeds meer aan op hun arbo-prestaties. Denk maar aan recente wettelijke verplichtingen rond ziekteverzuim en reïntegratie. Goede arbeidsomstandigheden ontstaan niet toevallig. Ze ontstaan doordat men bedrijfsprocessen beoordeelt op arborisicio's en vervolgens doeltreffende maatregelen neemt. Een arbo-managementsysteem dient om bedrijfsprocessen zo te reguleren dat arborisico's voor personeel en derden worden voorkomen of beheerst. 7.2 Normen voor arbo De norm voor een arbo-managementsysteem die op dit moment het meest wordt geaccepteerd, is de OHSAS 18001: 2007. Dit is geen norm die door ISO is opgesteld zoals de andere normen die in deze syllabus aan bod komen. In tegenstelling tot ISO is OHSAS wel een afkorting en staat voor: Occupational Health and Safety Assessment Series. Norm OHSAS 18001: 2007 OHSAS 18002: 2008 NPR 5001: 1997

Titel en onderwerp Arbo-managementsystemen - Specificatie Arbo-managementsystemen - Richtlijnen voor de implementatie van OHSAS 18001 Model voor een Arbomanagementsysteem

De OHSAS 18001: 2007 bevat eisen voor een arbo-managementsysteem waarmee een organisatie de arbo-risico's kan beheersen en de prestaties van het arbomanagementsysteem kan verbeteren. Er worden geen specifieke criteria voor arboprestaties gegeven, noch worden gedetailleerde specificaties gegeven voor de opzet van een managementsysteem op dit gebied. De OHSAS 18002: 2008 geeft algemeen advies over de toepassing van OHSAS 18001. De richtlijn biedt uitleg over de principes die ten grondslag liggen aan OHSAS 18001 en beschrijft de bedoeling, kenmerkende input, processen en kenmerkende output voor elke eis van OHSAS 18001, voor een beter begrip van en ter ondersteuning van de implementatie van OHSAS 18001. OHSAS 18002 bevat geen verdere eisen in aanvulling op de eisen van OHSAS 18001, noch worden er verplichte methoden beschreven voor de implementatie van OHSAS 18001. De richtlijn heeft in de eerste plaats betrekking op arbeidsomstandigheden en niet op de veiligheid van producten of diensten. De NPR 5001: 1997 is een praktijkrichtlijn en beschrijft de essentiële elementen voor het opzetten en onderhouden van een arbo-managementsysteem als instrument voor het ten uitvoer brengen van het arbobeleid. De praktijkrichtlijn sluit aan bij de geldende Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 25

www.IMSite.eu Auditen van Managementsystemen 1 regelgeving en is van toepassing op elke organisatie, zowel productiebedrijven als dienstverlening. Alleen de OHSAS 18001: 2007 wordt gebruikt als grondslag voor certificatie. 7.3 Arbo-termen en –definities De OHSAS 18001: 2007 geeft ons de volgende arbo-termen met definities: Aanvaardbaar risico: Risico dat is teruggebracht tot een niveau dat aanvaardbaar is voor de organisatie met het oog op wettelijke verplichtingen en het eigen arbo-beleid. Afwijkingen: Elke afwijking van normen, werkwijzen, procedures, voorschriften, werking van het managementsysteem etc. die rechtstreeks of indirect kan leiden tot verwonding of ziekte, schade aan eigendommen, schade aan de werkomgeving of een combinatie daarvan. Arbeidsomstandigheden: Omstandigheden en factoren die van invloed zijn op het welzijn van werknemers, tijdelijke werknemers, personeel van aannemers, bezoekers en alle andere personen die zich op de werkplek bevinden. Continue verbetering: proces van verbetering van het arbo-managementsysteem, om verbeteringen in de totale arbo-prestatie te bereiken overeenkomstig het arbo-beleid van de organisatie. Gevaar: Bron of situatie met de potentie schade of letsel te veroorzaken in de vorm van verwonding of ziekte, schade aan eigendommen, schade aan de werkomgeving of een combinatie daarvan. Identificatie van gevaren: Proces van onderkenning dat een gevaar bestaat en van beschrijving van de eigenschappen van dat gevaar. Incident: Gebeurtenis die een ongeval tot gevolg had of tot gevolg had kunnen hebben. Ongeval: Ongewenste gebeurtenis die dood, ziekte, verwonding, schade of ander verlies tot gevolg heeft. Risico: Combinatie van de waarschijnlijkheid dat een gesprecificeerde gevaalrijke gebeurtenis zich voordoet en de gevlgen daarvan. Risicobeoordeling: Algeheel proces van bepaling van de omvang van een risico en beoordeling van de aarvaardbaarheid van dat risico. Veiligheid: Afwezigheid van onaanvaardbare risico's. Aanvullend hierop zijn de volgende arbo-begrippen van belang: Risico-inventarisatie en -evaluatie (RI&E): Een systematische inventarisatie van alle gevaren in het bedrijf met betrekking tot de veiligheid, de gezondheid en het welzijn van werknemers, resulterend in een schriftelijke rapportage, gevolgd door een schatting van de Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 26

www.IMSite.eu Auditen van Managementsystemen 1 waarschijnlijkheid van letsel of schade en de ernst van het letsel of schade met het oogmerk om passende beheersmaatregelen te kiezen. Plan van aanpak: Een schriftelijk plan waarin de organisatie voor een bepaalde periode voor de korte termijn vastlegt wat de organisatie op arboterrein wil bereiken, de wijze waarop dit moet gebeuren, de verdeling van de verantwoordelijkheden en de bevoegdheden en de middelen die de organisatie ten dienste staan. 7.4 Model voor een arbo-managementsysteem Een arbo-managementsysteem definieert men als dat deel van het algehele managementsysteem dat het beheer van arbo-risico's die verband houden met de activiteiten van de organisatie vergemakkelijkt. Hiertoe behoren organisatiestructuur, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en hulpmiddelen voor het ontwikkelen, implementeren, verwezenlijken, beoordelen en bijhouden van het arbo-beleid van de organisatie. Vergelijkbaar met de ISO 14001: 2004 norm hanteert men een model voor een arbomanagementsysteem. Dit model staat in onderstaande figuur weergegeven. Het is een weergave van een regelkring met als doel continue verbetering. Arbobeleid met doelstellingen vormen de basis van het managementsysteem. De inhoud van het systeem bouwt voort op de resultaten van de RI&E.

Continue verbetering

Arbobeleid

Planning Implementatie en uitvoering

Beoordeling door directie

Controle en corrigerende maatregelen


2009-09-23 Pagina 27


8 Milieumanagementsystemen 8.1 Belanghebbenden bij milieu In het algemeen heeft iedereen belang bij het milieu. En met iedereen bedoelen we alle huidige en toekomstige bewoners van onze planeet. Daarnaast kun je ook stellen dat dieren, planten en eco-systemen een belang hebben bij het milieu. Het milieu is de omgeving van een organisatie en strekt zich uit van binnen de organisatie tot de gehele wereld. 8.2 Normen voor milieu Norm ISO 14001: 2004 ISO 14004: 2004 ISO 14050: 2009 ISO 19011: 2002

Titel en onderwerp Milieuzorgsystemen - Eisen en richtlijnen voor gebruik Milieuzorgsystemen - Algemene richtlijnen voor de principes, systemen en ondersteunende technieken Milieumanagement - Verklarende woordenlijst Richtlijnen voor het uitvoeren van kwaliteits- en/of milieumanagementsysteemaudits

De ISO 14001: 2004 specificeert eisen voor een milieuzorgsysteem om een organisatie in staat te stellen een beleid en doelstellingen te formuleren waarbij rekening wordt gehouden met eisen vanuit weten regelgeving en informatie over belangrijke milieueffecten. De norm heeft betrekking op de milieu-aspecten die de organisatie kan beheersen en waarop zij naar verwacht mag worden invloed kan uitoefenen. De norm stelt zelf geen specifieke criteria voor milieuprestaties vast. De ISO 14001: 2004 is geschreven voor organisaties die streven naar: 1. Implementatie, onderhoud en verbetering van een milieumanagementsysteem. 2. Het aantonen aan anderen van de naleving van hun milieubeleid. 3. Het laten certificeren door een onafhankelijke derde van het milieumanagementsysteem. 4. Het zelf de naleving van de ISO 14001 vaststellen en daarvan een eigen verklaring afleggen. De ISO 14004: 2004 geeft richtlijnen voor de ontwikkeling en implementatie van milieumanagementsystemen en -beginselen, en voor de samenhang ervan met andere managementsystemen. De richtlijnen in deze internationale norm zijn van toepassing op iedere organisatie, ongeacht de omvang, de aard of het groeistadium, die is geïnteresseerd in het het ontwikkelen, implementeren en/of verbeteren van een milieuzorgsysteem. De richtlijnen zijn bedoeld als intern gereedschap voor toepassing op vrijwillige basis. De ISO 14050: 2009 geeft begrippen en grondbeginselen voor milieumanagement zoals gebruikt in de ISO 14000 normenserie. De ISO 19011: 2002 geeft richtlijnen voor de principes van auditing, het bestuur en beheer van auditprogramma's, het uitvoeren van kwaliteits- en/of milieumanagementsysteemaudits en voor de bekwaamheid van auditoren. De norm is geschikt voor alle organisaties die auditprogramma's, zowel intern als extern, uitvoeren.


2009-09-23 Pagina 28

www.IMSite.eu Auditen van Managementsystemen 1 Alleen de ISO 14001: 2004 wordt gebruikt als grondslag voor certificatie. 8.3 Milieu-termen en –definities De ISO 14001: 2004 geeft ons de volgende milieutermen met definities: Milieu: Omgeving waarin een organisatie opereert met inbegrip van lucht, water, bodem, natuurlijke hulpbronnen, flora, fauna, mensen en hun onderlinge samenhang. Milieu-aspect: Onderdeel van de activiteiten, producten of diensten van een organsiatie dat in wisselwerking kan staan met het milieu. Milieu-effect: Elke gunstige danwel ongunstige verandering in het milieu, die geheel of gedeeltelijk een gevolg is van activiteiten, producten of diensten van een organisatie. Milieudoelstelling: Milieudoel in algemene zin, voorkomend uit het milieubeleid, dat een organisatie nastreeft en waar doenlijk is gekwantificeerd. Milieuprestatie: Meetbare resultaten van het milieuzorgsysteem, samenhangend met de beheersing door de organisatie van haar milieu-aspecten, gebaseerd op haar milieubeleid, doelstellingen en -taakstellingen. Milieutaakstelling: Gedetailleerde prestatie-eis, waar doenlijk gekwantificeerd, van toepassing op de organisatie of delen daarvan, die voortkomt uit de milieudoelstellingen en die moet worden gesteld en waaraan moet worden voldaan om die doelstellingen te verwezenlijken. 8.4 Model voor een Milieumanagementsysteem Een milieumanagementsysteem is dat deel van het algehele managementsysteem dat betrekking heeft op de organisatiestructuur, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en hulpmiddelen voor het ontwikkelen, implementeren, verwezenlijken, beoordelen en bijhouden van het milieubeleid. Voor een schematische weergave van een dergelijk systeem hanteert men een bepaald model. Dit model staat in de volgende figuur weergegeven. Het is een weergave van een regelkring met als doel continue verbetering. Milieubeleid met -doelstellingen vormen de basis van het managementsysteem. De inhoud van het systeem bouwt voort op de resultaten van planning, uitvoering en controle gevolgd door het bijsturen. Elke stap in deze regelkring staat voor een van de basisprincipes binnen een milieumanagementsysteem: 1. Betrokkenheid en beleid. Een organisatie moet haar milieubeleid vaststellen alsmede haar betrokkenheid bij het milieu. 2. Planning. Een organisatie moet een plan opstellen om haar milieubeleid te realiseren. 3. Implementatie. Voor een doeltreffende implementatie moet een organisatie de middelen beschikbaar stellen.


2009-09-23 Pagina 29

www.IMSite.eu Auditen van Managementsystemen 1 4. Meten en evalueren. Een organisatie moet haar milieuprestaties meten, bewaken en evalueren. 5. Beoordelen en verbeteren. Een organisatie moet de prestaties van haar milieumanagementsysteem beoordelen en bijsturen teneinde haar milieuprestaties te verbeteren.

Continue verbetering

Milieubeleid

Planning Beoordeling door directie

Implementatie en uitvoering

Controle en corrigerende maatregelen

(Bron: ISO 14001: 2004)


2009-09-23 Pagina 30


9 De voorbereiding op de audit 9.1 Het vooronderzoek Alle activiteiten die vooraf gaan aan de eigenlijke audit vatten we samen onder de titel vooronderzoek. Dit vooronderzoek kan de volgende activiteiten omvatten:    

Rondleiding ter plaatse over het terrein en de gebouwen van auditee. Uitvoeren van een documenten beoordeling. Opstellen van een referentiekader en plan van aanpak (auditplan). Opstellen van lijsten voor interviews en waarnemingen.

Afhankelijk van de aard en de omvang van de audit zullen bovenstaande onderwerpen van toepassing zijn. Voor interne audits liggen een rondleiding en documenten beoordeling niet direct voor de hand. Evenwel geldt ook hier: een goede voorbereiding is het halve werk. 9.2 Een rondleiding Voor sommige externe audits is dit een verplicht onderdeel, zoals bij audits voor de certificatie van milieumanagementsystemen. Een rondleiding kan, vooral als je nog nooit op het bedrijf van auditee bent geweest, een goed beeld geven van de bedrijfsinrichting, activiteiten en -risico's. Zie het als een eerste indruk van de resultaten van het managementsysteem van auditee. Tijdens een korte rondleiding kun je direct al aantekeningen maken van bijzonderheden, zoals in- en uitgaande leveringen, naleving van bedrijfsvoorschriften, de staat van onderhoud en aanwezigheid van noodvoorzieningen. Je kunt jezelf ook een virtuele rondleiding geven om kennis te maken met de organisatie en hoe deze zichzelf ziet door de website te bezoeken. Bedenk daarbij goed dat een internetpagina slechts onderdeel is van een communicatie-mix met belanghebbenden, zoals klanten, (potentiële) werknemers of anderen. Als onderdeel van reguliere audits, kun je als je reeds bekend bent met het bedrijf de veranderingen (en wellicht verbeteringen) op het bedrijf zien tijdens een korte rondleiding aan het begin van de audit. 9.3 De documenten beoordeling De rondleiding op het bedrijf kun je goed combineren met de documenten beoordeling. Het voordeel van het uitvoeren van de documenten beoordeling op locatie is dat er direct meer bij de hand is dan alleen een management-handboek met procedures. Registraties en verslagen kunnen direct beschikbaar zijn evenals een mondelinge toelichting van bijvoorbeeld de KAM-coördinator. Een documenten beoordeling heeft als doel het vaststellen of de documentatie van het managementsysteem voldoet aan de eisen die de norm stelt aan deze documentatie. Hiervoor gebruikt men doorgaans bepaalde modellen en/of matrices. In essentie komt ook de documenten beoordeling neer op het verzamelen van informatie, het vergelijken van deze informatie met de afgesproken auditcriteria en indien hiertussen een verschil zit, uitvinden waarom dit niet overeenstemt.


2009-09-23 Pagina 31

www.IMSite.eu Auditen van Managementsystemen 1 In de documentatie van managementsystemen kan men doorgaans vier niveaus aantreffen. Deze zijn: 1. Beleid en doelstellingen. Veelal uitgebreid gedocumenteerd in een managementdeel, waarin ook beschrijvingen van de organisatie, taken, verantwoordelijkheden en bevoegdheden, overlegstructuren en algemene productieplanningen zijn opgenomen. 2. Procedures. Dit zijn de beschrijvingen van de volgorde van werkzaamheden in processen met bijbehorende taakverdelingen. Het vertelt je wie wat wanneer moet doen binnen een bepaald proces. Een veelgebruikte techniek hierbij is het stroomschema. 3. Werkinstructies. Een instructie is een gedetailleerde stap-voor-stap beschrijving van hoe een bepaalde activiteit dient te worden uitgevoerd. 4. Registraties. Registraties vormen een belangrijk bewijs dat het systeem en zijn processen doeltreffend zijn ingevoerd. Documenten behoeven niet altijd van papier te zijn. De definitie van een document is: informatie en haar drager. Dat maakt ook foto's, prototypen, bewegwijzering, computerbestanden en dergelijke tot een document. Bij externe audits maakt men een aparte rapportage van de documenten beoordeling waarin tevens het auditplan wordt opgenomen. Rapportage en auditplan worden opgesteld onder verantwoording van de teamleider. In deze rapportage moet zijn vastgelegd in hoeverre de documentatie geschikt is bevonden en dat de auditteamleider voldoende vertrouwen heeft in het managementsysteem om de implementatie-audit volgens plan uit te voeren. 9.4 Het auditplan De vorm en gedetailleerdheid van een auditplan kan net als de documenten beoordeling variëren. Voor interne audits kan een eenvoudige tijdafspraak met korte mondelinge toelichting voldoende zijn. Voor externe audits zijn de volgende onderdelen belangrijk om vast te leggen in een auditplan:       

Auditdoel: leveranciersbeoordeling, implementatie-audit of certificatie. Onderwerp en toepassingsgebied: vestiging(en), producten en/of diensten. Auditcriteria: normen, eigen beleid en doelstellingen, weten regelgeving, afnemerseisen. Referentiedocumenten: toelichtingen, interpretaties en de documentatie van het managementsysteem. Auditteam leden: namen en rolverdeling. Auditee: naam, vestigingsadres, postadres, directie en contactpersoon. Logistiek: datum, tijden, duur, benodigde middelen, verplaatsingen.

9.5 Het auditprogramma Het auditplan is dus een plan van aanpak voor het onderzoek dat je tijdens de audit gaat uitvoeren. Het auditprogramma is de algehele planning die de verschillende audits betreft. Dit wordt door de verantwoordelijken voor de audit opgesteld en beheert. Voor interne audits stelt doorgaans een KAM-coördinator of vergelijkbare functionaris dit programma op. Voor certificatie-audits is dit ofwel de auditteamleider of de certificatie-manager van de certificatie instelling. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 32

www.IMSite.eu Auditen van Managementsystemen 1 Voor de interne audits stelt men dus ook een programma op. Dit interne auditprogramma voorziet in een planning voor de audits, regelt de verantwoordelijkheden en de middelen. Het management moet de verantwoordelijkheid voor het auditprogramma toewijzen aan iemand. Deze persoon stelt dan het programma op, bewaakt dit en beoordeelt of het ook verbeterd kan worden. Ook moeten de benodigde middelen beschikbaar worden gesteld. Het interne auditprogramma voor organisaties die willen voldoen aan de ISO 9001: 2008, de OHSAS 18001: 2007 of de ISO 14001: 2004 norm zal het gehele managementsysteem omvatten. De doelstellingen van het auditprogramma zijn dan gebaseerd op:      

Informatiebehoefte van het management. De eisen en verwachtingen van klanten, medewerkers en/of andere belanghebbenden. De van toepassing zijnde normeisen. Eisen uit weten regelgeving voor product, arbo-aspecten en/of milieu-aspecten. Afspraken met leveranciers. De risico’s van de organisatie.

De omvang van een intern auditprogramma is afhankelijk van een aantal factoren. Er zal minimaal de ruimte moeten zijn om de doelen voor het auditprogramma te kunnen realiseren. Daarnaast is auditen een aparte taak die specifieke kennis en kunde vraagt. 9.6 Opstellen van checklijsten Voor het opstellen van een checklijst kunnen we dezelfde procesbenadering gebruiken die we in hoofdstuk 4 ook hebben besproken. Hierbij werd de benodigde input voor een proces in zes categoriën ingedeeld. Per categorie kan men specifieke vragen of aandachtspunten nemen die tijdens de audit aan bod kunnen komen. Aanvullend hierop zijn de doelstellingen van de processen, zoals outputcriteria, en de interacties of communicatie met belanghebben handig om in de voorbereiding te betrekken. Boomdiagram voor procesanalyse Proces voor productie of dienstverlening

Mensen

Methoden

Bezetting Normen Training Procedures Kwalificatie Werkafspraken Communicatie Bewustzijn Arbeidsomstandigheden

Materialen

Grondstoffen Voorschriften Goedkeuring Beschikbaarheid

Metingen

Meetapparatuur Streefwaarden Bewaking Bijsturing

Voorbeelden van dergelijke vragen zijn dan: Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 33

Materieel

Goedkeuring Beschikbaarheid Kalibratie Onderhoud

Milieu

Werkomstandigheden Invloed op milieu Invloed van milieu

www.IMSite.eu Auditen van Managementsystemen 1 Mensen:  Hebben de medewerkers in dit proces specifieke kennis of vaardigheden nodig?  Wat zijn de taken, verantwoordelijkheden en bevoegdheden voor de functie?  Wie ga ik interviewen?  Is hij of zij op de hoogte van het beleid en het functioneren van het systeem?  Wat zijn de vereiste ervaring, opleiding en bekwaamheden voor deze functies?  Wat is zijn of haar bijdrage aan of invloed op de kwaliteit van het product? Methoden:  Wat is het doel van elk proces?  Wat is de input van elk proces?  Wat is de output van elk proces?  Zijn er werkinstructies of procedures voor deze processen?  Hoe hangen die processen met elkaar samen? Materialen:  Welke grondstoffen of halffabrikaten gebruikt men?  Wat zijn acceptatiecriteria voor deze materialen? Metingen:  Vinden er metingen plaats in de processen?  Gebruikt men meetmiddelen of andere vorm van procesbewaking?  Zijn er prestatie-indicatoren in het proces of voor het product? Materieel:  Welke gereedschap of andere hulpmiddelen gebruikt men?  Hoe is de staat van onderhoud hiervan?  Vraagt dit materieel nog een bepaalde bekwaamheid of zijn er arbo-risico's aan verbonden? Milieu:  Welke productieomstandigheden (klimaat) en hulpmiddelen zijn er nodig?  Welke invloed hebben de fysieke omstandigheden op het product bij productie, opslag en vervoer? Output:  Wat is de output van dit proces?  Welke eisen stelt men aan deze output? Interacties:  Gebruikt men bij dit proces de output van een ander proces? Informatie:  Wie zijn de belanghebbenden bij dit proces?  Hoe communiceert de organisatie met deze belanghebbenden over dit proces?  Welke eisen komen uit weten regelgeving?  Welke informatie is bepalend voor het leervermogen in het proces?  Welke informatie is bepalend voor de flexibiliteit in het proces? Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 34

www.IMSite.eu Auditen van Managementsystemen 1 In combinatie met de normen, contracteisen en wetgeving kunnen we zo het referentiekader opstellen voor een audit. Over dit referentiekader dient vooraf duidelijkheid en overeenstemming te zijn. De auditor en de (proces)manager zullen het vooraf eens moeten zijn over wat de juiste antwoorden op de onderzoeksvragen zijn.


2009-09-23 Pagina 35


10 De uitvoering van de audit 10.1 De openingsbijeenkomst Veel audits zullen uitgevoerd worden door een éénpersoons auditteam. Als er meerdere auditoren in het team zitten, dan zijn alle auditoren aanwezig bij de openingsbijeenkomst. Dit is een vergadering onder leiding van de auditteamleider bij de start van de audit. Naast het auditteam zal de vertegenwoordiger van auditee aanwezig zijn. Aan te bevelen is om ook andere vertegenwoordigers van het management en de bij de audit betrokken medewerkers aanwezig te laten zijn. Interne audits en sommige leveranciersbeoordelingen zullen een minder omvangrijke of formele introductie kennen dan de certificatie-audit. Afhankelijk van het doel van de audit en de bekendheid van de aanwezigen met het audit-doel komen de volgende onderwerpen aan de orde: 

   

 

 

 

Welkom. Vaak zal het management van auditee hier het woord nemen. Beperk dit tot de noodzakelijke beleefdheden waarna de auditteamleider de leiding van de vergadering overneemt. Introductie en kennismaken aanwezigen. De leden van het auditteam en eventuele waarnemers die de audit zullen bijwonen kunnen zich voorstellen. Vaststellen van het auditplan met daarin de interviewplanning. Het doel en de criteria van de audit. Ook dit is onderdeel van het auditplan, maar verdient extra aandacht omdat het de reden en het belang van de audit aangeeft. Status van de documentatie van het managementsysteem. Eventuele wijzigingen of aanvullingen moeten beschikbaar zijn en buiten de openingsvergadering besproken en beoordeeld. Toelichting op de werkwijze in de interviews, projectbezoeken en bij overige observaties en/of steekproeven. Toelichting op de wijze van rapporteren en welke status bepaalde auditbevindingen kunnen hebben en wat de relatie daarvan is met de auditconclusie. Het tijdstip van de eindbespreking en wat daarin zal gaan worden besproken. Maak logistieke afspraken. Dit omvat begeleiding door auditee, lunch- en koffieafspraken, beschikbaarheid overlegruimte voor het auditteam, eventuele beperkte toegang, veiligheidsaspecten en hygiënevoorschriften. Bevestig het vertrouwelijke karakter van de audit. Nodig uit tot het stellen van vragen over de audit.

10.2 Bijeenkomsten tijdens de audit Voor eenvoudige audits zullen de openingsbijeenkomst en de eindbespreking de enige twee vergaderingen zijn. Bij meer complexe audits is het aan te bevelen om andere bijeenkomsten te beleggen binnen het auditteam of met auditee. Beperk echter de vergadertijd, want vergaderen is geen auditen. In een tussentijdse vergadering met het auditteam kan men informatie uitwisselen of een begin maken met de auditrapportage. Eventueel kan, naar aanleiding van bevindingen, de auditplanning worden aangepast of te verifiëren activiteiten aan elkaar overgedragen. Bij


2009-09-23 Pagina 36

www.IMSite.eu Auditen van Managementsystemen 1 meerdaagse audits zijn tussentijdse vergaderingen met auditee aan te bevelen als dagafsluiting, waarin de belangrijkste bevindingen van die dag kunnen worden besproken. 10.3 Het verzamelen van bewijs Een audit is een onderzoek. De onderzoeksaanname is hier dat een managementsysteem voldoet aan een (of meerdere) norm(en). Met voldoende kennis van de norm(en) en de processen binnen de organisatie gaat de auditor aan de slag om deze stelling te bevestigen danwel te falsificeren. Meer specifiek zijn de doelstellingen voor een audit het verzamelen van bewijs om:    

Vast te stellen dat de processen en het systeem overeenkomen met de eisen van de norm en overige auditcriteria. Te bevestigen dat doelstellingen worden behaald. Vast te stellen dat procesbeheersing en risico's acceptabel zijn. Kansen voor verbeteringen te identificeren.

Dit vraagt om een duidelijke onderzoeksaanpak waarin bronnen van informatie als registraties, documenten, interviews, analyses, observaties en fysiek bewijsmateriaal een plaats moeten krijgen. Een goede aanpak hierbij is om het proces in de organisatie te volgen (zowel voorwaarts als achterwaarts). Bij de verschillende processtappen kan men vragen stellen vanuit de 6Mbenadering (mensen, methoden, materieel, metingen, milieu en materialen). Tussen de verschillende processtappen en in de samenhang tussen de processen kan men de interacties onderzoeken. Een proces maakt van input een bepaalde output. Deze bepaalde output moet aan doelstellingen voldoen, omdat elk proces een (of meer) doelstelling(en) kent. Het vergelijken van de feitelijke procesresultaten met de geplande resultaten is een belangrijk onderdeel van elke audit. Doelstellingen kunnen onder andere betrekking hebben op klanteneisen, milieuaspecten of arbo-risico's. Dit kan zich uitdrukken in veel verschillende vormen zoals output, variabiliteit, integriteit, vrij van verontreinigingen, afmetingen etc. Als een proces niet aan een doelstelling kan voldoen, dan is het zaak dit tijdens een audit nader te onderzoeken. Naast doelstellingen is risicobeheersing een belangrijk onderwerp voor audits. Auditoren kunnen daarbij zogenaamde 'Wat als…' vragen stellen. De proces-eigenaar zal doorgaans op dergelijke vragen een goed antwoord kunnen geven. Van belang is echter in te zien dat risico's altijd zullen bestaan. Een alternatieve definitie voor een risico is dan ook een geaccepteerde onveiligheid. 10.4 Auditen met plan-do-check-act Een belangrijk onderwerp voor managementsysteemaudits is de procesbeheersing. De plan-do-check-act techniek is een belangrijk onderdeel van de procesmatige benadering van audits. De bekende PDCA-cirkel van Walter Shewhart is een veelgebruikt model om verbetermechanismen vorm te geven. De PDCA-cirkel bestaat uit vier onderdelen: 

Plan: een plan, procedure of methode is ontwikkeld (stel vast wat moet worden gedaan). Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 37

www.IMSite.eu Auditen van Managementsystemen 1   

Do: het plan, de procedure of de methode wordt uitgevoerd (voer uit wat is gepland). Check: het plan, de procedure of de methode wordt bewaakt of gemeten tegen vooraf vastgestelde criteria (weet wanneer het goed wordt uitgevoerd). Act: actie wordt ondernomen zodra er verschil is tussen de gerealiseerde en de geplande resultaten (stuur bij wanneer nodig).

P A

D C

Binnen proces- en systeemaudits is de PDCA-techniek goed te gebruiken. Procesbeheersing vereist een vooraf vastgestelde methode voor het proces. Ontbreekt dit, dan is er geen basis voor bijsturing of verbetering. De vastgestelde methode kan diverse vormen hebben en is afhankelijk van het risico binnen het proces. Dit kan zijn in de vorm van stroomschema's, instructies, illustraties of verifieerbare training. Het interviewen van meerdere personen die bij het proces zijn betrokken kan de bevestiging geven van een vooraf afgesproken plan. De uitvoering in de praktijk levert het bewijs op van de volgende stap in de PDCA-cirkel: do. Registraties, toelichtingen tijdens interviews en demonstraties dragen bij aan het auditbewijsmateriaal. Maar het eenvoudig opvolgen van een methode is nog geen bewijs van procesbeheersing. Van belang is hier het controle-mechanisme in het proces te testen. Bewijs van deze check-stap in de PDCA-cirkel is bijvoorbeeld de registratie van metingen. Als de meetresultaten niet overeenkomen met de vooraf vastgestelde criteria, dan zal bijsturing nodig zijn. Bewijs van deze bijsturing kan zijn: afval, registraties van nieuwe procesinstellingen of verbetervoorstellen. 10.5 Bewijs van verbeteren De eis van continu verbeteren is een van de uitdagingen voor de auditor om hier bewijs van te vinden tijdens de audit. Een verbetering vereist een aanpassing van een proces of een systeem. Verbeteren is meer dan alleen meer je best doen of harder werken. Bewijs van verbeteren is zelden gevonden in een grafiek of cijfermateriaal, maar zal in de succesvolle verandering die is doorgevoerd moeten worden gevonden. Het uitgangspunt van een verbetering is de analyse van feiten. Het is het antwoord op de vraag: Wat gebeurt er verder met al de meetresultaten? Door het analyseren en Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 38

www.IMSite.eu Auditen van Managementsystemen 1 vergelijken van de gerealiseerde resultaten met de geplande resultaten ontdekt men risico's, verspilling en kansen voor verbetering. Diverse managementtechnieken en statistische methoden komen hier van pas. Op basis van deze analyse kan een verbetervoorstel worden opgesteld en beoordeeld. De volgende stap is het invoeren van de verbetering. Bij een audit kan deze invoering worden geverifieerd door de daadwerkelijke verandering in het proces vast te stellen. De uiteindelijke verbetering zal ook bewijs moeten opleveren voor de organisatie, wat uit het realiseren van doelstellingen kan blijken. Het is de verantwoordelijkheid van het management van de organisatie om processen te beheersen en continue verbetering te realiseren. 10.6 Het auditen van algemene eisen Auditoren moeten om kunnen gaan met algemene eisen die niet specifiek zijn geformuleerd. Dergelijke eisen zijn voor verschillende interpretaties vatbaar. Toch is het belangrijk dat de auditor alle eisen van de norm(en), hoe algemeen verwoord ook, in de audit betrekt. Managementsysteemnormen kennen algemeen geformuleerde eisen omdat de normen op alle soorten organisaties worden toegepast. We spreken daarom ook over generieke normen. Er zijn vier verschillende typen van algemene eisen. Dergelijke eisen kunnen in interpretatiedocumenten worden vastgelegd voor bijvoorbeeld een branche, door een certificatie-instelling of als criterium voor leveranciersbeoordeling. Het eerste type algemene eisen wordt gevormd door algemene woorden of termen als periodiek, met geplande tussenpozen of zonder onnodig uitstel. Dergelijke termen betekenen veelal dat activiteiten geregeld moeten voorkomen, zonder dat een specifieke frequentie is vereist. Als tijdsplanningen of responstijden wel zijn vastgelegd (in bijvoorbeeld procedures of instructies) dan kunnen deze eenvoudig als interpretatie worden gehanteerd. Bij ontbreken hiervan kan de auditor eenvoudig vragen welke termijnen voor de auditee acceptabel zijn en dit als criterium gebruiken. Bijvoorbeeld: Wat is tijdig? Wat betekent voor u zonder onnodig uitstel? Hoe vaak is voor u periodiek? Abstracte of gegeneraliseerde eisen zijn het tweede type algemene eisen. Voorbeelden hiervan zijn de beheersing van processen of het beheren van de werkomgeving. Procesbeheersing vraagt altijd een specifieke invulling. Dat kan binnen één organisatie zelfs variëren indien men op meerdere locaties werkt. Als auditor kun je dit op twee manieren benaderen. De eerste is de plan-do-check-act methode op het proces toepassen en de tweede is een specifieke checklist voor een bepaalde situatie hanteren. ISO 9001: 2008 biedt hier een eerste handvat voor in §7.5.1 van de norm. Onduidelijke of ongedefinieerde woorden als relevant, geschikt of passend zijn een derde vorm van algemene eisen. Als termen niet helemaal duidelijk zijn, dan zijn er voor de auditor de toelichtende normen beschikbaar, zoals de ISO 9000: 2005 of de ISO 14050: 2002, en wellicht dat een woordenboek ook van dienst kan zijn. Daarnaast is het van belang in de gaten te houden voor wie iets relevant, geschikt of passend moet zijn en welke betekenis hij of zij daaraan geeft. Dus ook hier kan de auditor dit aan de auditee vragen.


2009-09-23 Pagina 39

www.IMSite.eu Auditen van Managementsystemen 1 Het vierde type algemene eis is de eis die geen specifiek verifieerbare output of actie vraagt. Er is dan geen vereiste om iets te definiëren, te documenteren, te beoordelen of te plannen. Bijvoorbeeld de eis betreffende de instandhouding van het product (ISO 9001: 2008 §7.5.5). Bij dergelijke eisen loopt men de kans als auditor om subjectieve bevindingen te rapporteren. De uitdaging is hier echter om de auditee uit te laten leggen hoe aan de eis wordt voldaan.


2009-09-23 Pagina 40


11 Interviewtechniek en communicatie 11.1 Een communicatiemodel Eén van de belangrijkste vaardigheden van een auditor betreft het effectief communiceren. Communiceren kunnen we terugbrengen op de situatie waarin iemand iets aan een ander laat weten. De een noemen we zender, de ander de ontvanger. Maar bij nadere bestudering is 'iets aan iemand laten weten' een wel erg simpele omschrijving van wat er allemaal bij communicatie gebeurt. We zullen in dit hoofdstuk nader ingaan op het fenomeen communicatie en het onderdeel van de audit waarin dit het meest prominent een rol speelt: het interview. Het begrip communicatie kunnen we met behulp van een model nader beschrijven, zoals geïllustreerd in onderstaande figuur.

Relationeel

Zender

Expressief

Referentieel

Boodschap

Ontvanger

Appelerend

Terugkoppeling

Een boodschap kent meerdere functies. We onderscheiden vier hoofdfuncties: 1. De referentiële functie: de boodschap verwijst naar bepaalde feiten, verschijnselen of gebeurtenissen. 2. De expressieve functie: de boodschap geeft een beeld van de zender, van zijn persoon, rol, normen en waarden. 3. De relationele functie: de boodschap verraadt hoe de zender over de ontvanger denkt, en de boodschap schept, bestendigt of verandert de verhouding tussen zender en ontvanger. 4. De appellerende functie: de boodschap doet een beroep op de ontvanger om iets te doen of te laten. Elke boodschap, elke auditvraag en elk antwoord hierop hebben deze vier elementen in zich. De rol van de ontvanger in het communicatieproces omvat drie activiteiten: interpreteren, evalueren en reageren. Bij het interpreteren kent de ontvanger een bepaalde betekenis toe en bepaalt wat in zijn ogen de belangrijkste functie van de boodschap is. Net als de zender is de ontvanger zich hier niet altijd even goed van bewust. Op grond van de interpretatie zal de ontvanger proberen zich een oordeel te vormen over de boodschap en tegelijk over de zender. Dat oordeel kan natuurlijk afwijken van wat de zender verwacht of zou willen. Interpretatie en evaluatie hebben direct invloed op de reactie van de ontvanger van de boodschap.


2009-09-23 Pagina 41

www.IMSite.eu Auditen van Managementsystemen 1 Problemen zijn er dus genoeg voor het goed overbrengen van een boodschap. Om iets tegen zulke problemen te doen, is het nodig dat de zender weet hoe de boodschap bij de ontvanger overkomt. Daarover krijgt hij informatie door de manier waarop de ontvanger op de boodschap reageert. Die informatie wordt terugkoppeling, feedback of ook wel metacommunicatie genoemd. De terugkoppeling is dus niet zozeer het antwoord dat de auditee geeft, maar alle signalen die hij of zij afgeeft over het interview. Terugkoppeling is veelal indirect en non-verbaal. Het geven van terugkoppeling is niet altijd eenvoudig, omdat het kritiek op de wijze van communiceren van de ander kan inhouden. Kritiek kan bedreigend overkomen en het verdere communicatie in gevaar brengen. Het is daarom belangrijk niet alleen negatieve terugkoppeling te geven maar ook positieve. Het ontvangen van feedback is soms ook moeilijk. Onderdruk de neiging het als persoonlijke kritiek op te vatten en doe iets met de terugkoppeling. Het zal het communicatieproces alleen maar ten goede komen. 11.2 Het auditinterview Elk interview kunnen we opdelen in drie stukken: de start, het middendeel en de afsluiting. Begin het interview als een gewoon gesprek met een begroeting en wat social talk. Het zorgt voor een goede en ontspannen sfeer. Bij de start kan je aangeven wat de doelstelling is van het gesprek. Afhankelijk van het feit of de auditee bij de openingsbijeenkomst aanwezig was, dien je een toelichting te geven op het gesprek en de bijdrage die dit kan leveren aan de algemene doelstelling van de audit. Geef aan waar je het met de auditee over wilt hebben en start dan het eigenlijke interview. Opbouw interview

Introductie

Middendeel

Afsluiting

In het middendeel vindt het eigenlijke interview plaats. Bouw dit op rond de thema's die je wilt bespreken met auditee. Aan te bevelen is een half-gestructureerde aanpak, waarin het gesprek zijn eigen verloop kan krijgen en niet beperkt blijft tot die verificatie-punten die je wilt afvinken. Interviews dienen bij voorkeur op de werkplek plaats te vinden, zodat auditee zijn of haar werkwijze in de praktijk kan demonstreren. Kies als volgorde in de gesprekthema's van eenvoudig naar moeilijk, ofwel ga de diepte in maar begin niet te moeilijk. Het gesprek komt met algemene open vragen aan het begin in de juiste sfeer, waarna je kunt trechteren naar de meer ingewikkelde onderwerpen. Elk interview zul je tijdig moeten afsluiten. Dit gesprekseinde mag niet te abrupt zijn, de auditee moet dit ook als een natuurlijke afsluiting ervaren. Geef een korte samenvatting Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 42

www.IMSite.eu Auditen van Managementsystemen 1 van de besproken onderwerpen en de positieve bewijzen die je uit dit interview hebt gezien of gehoord. Afwijkingen komen vervolgens aan bod en kunnen daarbij al worden vastgelegd. Bedank de auditee voor de tijd en de bijdrage aan de doelstelling van de audit. 11.3 Interviewvragen Zonder vragen is een interview geen interview. De kunst is hier om de juiste vraag te stellen. Vragen moeten begrijpelijk zijn voor de auditee. Lange vragen met moeilijke woorden en in de lijdende vorm zijn af te raden. Korte, eenvoudige en actieve vragen werken het beste. Een vraag is bedoeld om een antwoord te krijgen. Nu kan de vraag wel goed zijn, maar aan de verkeerde persoon gesteld is het nog geen succes. Belangrijk is dus de kennis van auditee goed in te schatten. Een toelichting op een vraag door de auditor is dan op zijn plaats. En wellicht dat het antwoord dan elders te krijgen is. Naast goede vragen, zijn er ook minder geschikte vragen. Voorbeelden van minder geschikte vragen zijn: 







 

De dubbelvraag: Meerdere vragen tegelijk stellen. De auditee zal geneigd zijn op alleen de laatste vraag een antwoord te geven. Op de overige vragen krijg je dus geen antwoord. Te ruim gestelde vragen: Algemene vragen waarop bijna elk antwoord goed is leveren weinig anders als een lang verhaal op. Op specifieke vragen krijg je specifieke antwoorden. Meerkeuzevragen: Dat zijn vragen waarin de keuzeantwoorden zijn opgenomen (of-of). Het beperkt de vrijheid van auditee om zijn of haar eigen antwoord te formuleren. Mededelende vragen: Dat is een mededeling waarbij de toonhoogte aan het eind omhoog gaat alsof er een vraag wordt gesteld. Het klinkt als een conclusie en nodigt niet uit tot antwoorden. Retorische vragen: Dit zijn vragen die gesteld worden zonder dat er een antwoord wordt verwacht. De auditee zal hooguit denken dat je het antwoord al weet. Waarom-vragen: Vragen die beginnen met waarom lijken de beweegredenen van auditee of de organisatie ter discussie te stellen. Betere vragen beginnen met wie, wat, waar, wanneer en vooral met hoe.

Vragen kunnen we op verschillende manieren kenmerken. Vier verschillende indelingen zijn als volgt: 





Open en gesloten vragen: Een open vraag nodigt de auditee uit tot het doen van een verhaal. Een gesloten vraag kan met ja of nee worden beantwoord. Met een open vraag kun je de kraan van de spraakwaterval open zetten en met een gesloten vraag weer afsluiten. Directe en indirecte vragen: Een directe vraag stelt het onderwerp van het gesprek centraal, terwijl een indirecte vraag het onderwerp meer inpakt. Een indirecte aanpak maakt onderwerpen minder persoonlijk evenals de hypothetische vraag (stel dat…). Directe vragen leveren meer directe antwoorden op. Neutrale en suggestieve vragen. Een neutrale vraag laat de auditee geheel vrij om zijn eigen verhaal te doen. Suggestieve vragen leggen de mening van de Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 43




vraagsteller voor aan de ander. Dergelijke vragen stellen we dagelijks in gewone gesprekken. Tijdens audits is het beter geen mening te hebben en je te beperken tot de feiten. Hoofdvragen en doorvragen. Een hoofdvraag snijdt een nieuw onderwerp aan en is veelal voorzien van een inleiding. De auditor bereidt deze hoofdvragen voor, omdat hiermee de rode draag voor het gesprek wordt aangegeven. Met doorvragen kun je voortgaan op het verhaal van de auditee. Hierdoor kan de auditee dit verhaal nader concretiseren of illustreren.

11.4 Interviewantwoorden Elk antwoord dat je krijgt tijdens het interview zul je als auditor moeten beoordelen op bruikbaarheid. Ga hierbij uit van het auditdoel: het vinden van bewijs voor het functioneren van het managementsysteem en van mogelijkheden ter verbetering. Bij het evalueren van de antwoorden gaat het om validiteit, compleetheid, relevantie en duidelijkheid. De validiteit of geldigheid van een antwoord kan worden bedreigd door verschillende beweegredenen van auditee die niet direct ter zake doen. De auditee zal bijvoorbeeld heel vriendelijk tegen je willen blijven, ondanks de niet zo goede vraag die je stelt. Een andere valkuil is het sociaal gewenste antwoord. Het opleuken van de werkelijkheid en verdringen van fouten is heel menselijk. Bij twijfel over de validiteit van het antwoord zul je altijd moeten doorvragen. Of een antwoord compleet is, is moeilijk vast te stellen. Bij twijfel over de volledigheid van het antwoord moet je altijd doorvragen. Pas op voor de al te snelle reactie 'zie je wel, precies wat ik dacht'. Als auditor moet je een open geest hebben en alle mogelijk antwoorden kunnen accepteren. Antwoorden moeten ook relevant zijn. Irrelevante antwoorden slaan niet terug op de vraag. Ten slotte zal een antwoord, net als natuurlijk de vraag, duidelijk moeten zijn. 11.5 Non-verbale communicatie Naast alle woorden die we uitspreken in een gesprek staan al onze andere communicatie kanalen wijd open. Er wordt wel gesteld dat de inhoud maar een beperkt onderdeel is van waar we tijdens een gesprek op letten. De volgende aandachtspunten over deze nonverbale communicatie zijn van belang voor een goed interview: 







Spreektempo en -ritme. Spreek niet te snel om de auditee de tijd te gunnen over de vraag te laten nadenken. Rustig spreken nodigt ook uit om met een antwoord te worden onderbroken. Een goed ritme laat de punten en komma's in een zin horen wat de duidelijkheid van de vraag ten goede komt. Volume en articulatie. Spreek niet te zacht en slik geen woorden of lettergrepen in. Duidelijk spreken maakt je vraag belangrijk genoeg om een duidelijk antwoord op te geven. Melodie. Bij een vraag gaat de toonhoogte aan het eind van de zin omhoog. Laat je dit na, dan klinkt de vraag als een mededeling of mening. De zogenoemde oproepende stemmelodie nodigt de auditee uit tot het geven van een antwoord. Stopwoordjes en hummetjes. Wees je bewust van de storende werking hiervan. Een knikje en oogcontact werken beter. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 44






Kijkrichting. Met het leggen van oogcontact met auditee weet je of hij of zij luistert. Aan het eind van een vraag kun je met oogcontact het woord aan auditee geven. Bewegingen. Mensen zitten nooit stil. Sommige bewegingen zijn een aankondiging, zoals diep ademhalen of naar voren gaan zitten om het woord te nemen. Door armen en benen mee te laten bewegen tijdens een vraag kun je aangeven dat je nog niet klaar bent met de vraag. Luistergedrag daarentegen is veel rustiger. Lichaamshouding. Door de houding van auditee te kopiëren (de zogenaamde houdingsecho) kun je de auditee op zijn gemak stellen. Met je eigen houding kun je je betrokkenheid en aandacht bij het gesprek aangeven door een licht voorovergebogen houding aan te nemen.

11.6 Problemen en hun mogelijke oplossingen Tijdens interviews kunnen diverse problemen voorkomen. We bespreken er hier een aantal met hun mogelijke oplossingen. Ten eerste is er de auditee die niet is te stuiten in zijn verhaal. Afremmen kan door gesloten vragen te stellen en de auditee niet te veel aan te moedigen met knikjes of hummetjes. Een samenvatting van het verhaal kan de leiding van het gesprek weer bij de auditor leggen. Dit is het tweede veel voorkomende probleem bij interviews. De auditee neemt de controle over het gesprek van de auditor. Onderbreek de auditee dan gerust met een structuurvraag. Pas op voor de boemerang-vraag. Als auditor geef je alleen antwoord op vragen over de audit. Niet over het onderwerp van de audit (het managementsysteem van auditee). Geef vragen van een auditee bijvoorbeeld een plek buiten het interview, bijvoorbeeld tijdens de lunch of na afloop van de audit. Een tegenvraag is eigenlijk ook een voorbeeld van het geen antwoord geven. Als een antwoord uitblijft, probeer dan met een toelichting of vraag over de communicatie (de meta-vraag) het gesprek weer op gang te krijgen. Dan zijn er nog de chaotische afdwalers. Hier werken samenvattingen en terugschakelingen naar eerdere vragen. In alle gevallen geldt: blijf beleefd en laat de auditee in zijn waarde. 11.7 NLP-technieken voor auditoren De afkorting NLP staat voor Neuro-Linguïstisch Programmeren. Het is een verzameling technieken gebaseerd op de neurologische achtergronden van communicatie. Op basis van studies van het menselijk gedrag tijdens communicatie heeft men diverse strategiën, uitgangspunten en theoriën opgesteld voor een betere interpersoonlijke communicatie en om veranderingen te kunnen realiseren. Zoals uit dit hoofdstuk mag blijken, is auditen een heel specifieke vorm van communicatie. Audit-interviews wijken af van gewone gesprekken. Wil je in een gewoon gesprek veelal meningen met elkaar afstemmen, bij een audit ben je op zoek naar bewijs om de doeltreffendheid van een managementsysteem te toetsen danwel hieraan bij te dragen. In deze paragraaf zullen we een aantal NLPtechnieken bespreken die je kunnen bijstaan bij het uitvoeren van het audit-interview. Als we de taak van de auditor bekijken vanuit de NLP-principes, dan zijn de volgende strategiën en psychologische aspecten van communicatie van belang: 

De stemming van de auditor. Je stemming en de wijze waarop je de audit ervaart zijn van invloed op het communicatieproces tijdens de audit. Negatieve ervaringen uit voorgaande audits zullen je stemming beïnvloeden, waardoor je algehele Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 45






beleving van auditing in een negatieve spiraal kan komen. Dit geldt ook voor de auditee, die bij het woord audit van een normaal functionerende medewerker in een defensieve angsthaas kan veranderen. Goedbedoelde 'tips' van adviseurs over hoe de auditee zich tijdens de audit moet gedragen, dragen hieraan bij. Door stil te staan bij de invloed van stemming en eerdere ervaringen op het auditproces word je als auditor competenter vooral in het omgaan met precaire situaties tijdens gesprekken. De taalvaardigheid van de auditor. Taal heeft direct invloed op de beleving en stemming van de ontvanger. Realiseer je daarbij dat zinnen als het ware na-echoën in het hoofd van mensen. Bijvoorbeeld de zin: "Er is geen enkele reden om tijdens deze audit ergens voor te moeten vrezen." Laat je telkens een woord van het begin weg als bij een echo, dan wordt de boodschap steeds negatiever. Dit is hetzelfde mechanise waarom auditees alleen maar antwoord geven op de laatste vraag als je er meerdere achter elkaar hebt gesteld. Een goed alternatief voor de voorbeeldzin zou zijn: "Tijdens deze audit zal het auditteam zich inzetten voor een succesvolle audit waarmee u zich kunt verbeteren." De mate van verstandhouding tijdens de audit. Zonder verstandhouding versta je elkaar niet. Een bepaalde mate van verstandhouding is dus een voorwaarde voor communicatie. Een verstandhouding vraagt empathie en wederzijds respect, terwijl je vasthoudt aan de doelstellingen van het gesprek. Bedenk hierbij dat een boodschap slechts voor een klein deel uit de 'inhoud' bestaat. Diverse studies komen op minder dan tien procent inhoud uit, met de rest voor non-verbale signalen en omstandigheden.

Met de redenen of ideeën achter deze strategiën in gedachten, kunnen we ons voordeel doen tijdens audits. Het principe hierachter is dat we grip op gegevens en informatie krijgen door deze te verdraaien, te generalizeren of delen weg te laten. En iedereen doet dat op zijn eigen manier, die kenmerkend is voor hoe hij (informatie over) de wereld om hem heen ervaart. Het verdraaien of vervormen van informatie gebeurt regelmatig vanuit onze eigen filters en interpretaties. De boodschap kan dezelfde zijn, maar twee verschillende mensen horen beslist twee verschillende dingen. Vervorming treedt op, zodra we onze perceptie aanpassen. Het komt ook voor bij het 'tussen de regels door' willen lezen of bij het inschatten van iemands gedachten. Een bewuste vervorming door een model te hanteren is veelal een goede strategie om informatie over te brengen. We generalizeren zodra we conclusies trekken uit twee of meer ervaringen. De mate waarin we generaliseren is essentieel voor de waarde van deze conclusies. Auditoren zullen altijd generaliseren, al was het maar omdat een audit een steekproef is op basis waarvan je een uitspraak doet. Het verheffen van een eenmalige blunder tot een levenslange overtuiging is een slechte maar veel voorkomende strategie. Het selectief weglaten van delen van informatie is in onze informatie-maatschappij een strategie om te overleven geworden. Deze selectie hangt daarmee samen met de stress die we ervaren. Als we audits als een stress-factor zien, dan worden we nog selectiever in het opnemen van de informatie die tijdens een audit op ons af komt. Het verband tussen bovengenoemde theoriën en strategiën wordt gevormd door een aantal uitgangspunten over menselijke communicatie. De uitgangspunten die je als auditor hanteert hebben direct invloed op alle aspecten van je gedrag tijdens een audit. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 46

www.IMSite.eu Auditen van Managementsystemen 1 Kenmerkende eigenschappen van een effectieve auditor zijn een flexibele opstelling en een open geest. De volgende uitgangspunten kunnen je helpen bij het vergroten van de interpersoonlijke vaardigheden in het communicatieproces. 













Auditees hebben een positieve insteek. Als je uitgangspunt is dat iedereen de beste bedoelingen heeft in zijn of haar werk, dan maakt dit dat je meer open staat voor de acties van auditee. Dezelfde boodschap herhalen we via alle kanalen. We communiceren via alle mogelijke kanalen, zowel verbaal als non-verbaal. Deze kanalen kunnen elkaar versterken en mogen niet met elkaar strijdig zijn. Met de juiste samenhang in alle communicatiekanalen kom je betrouwbaar over en spreek je mensen ook op de onbewuste niveaus aan. Je krijgt wat je vraagt. Als je een bepaalde vraag stelt en je krijgt niet het antwoord dat je wilt, dan zul je eerst een andere vraagstelling moeten proberen. Als doeltreffende communicator zul je deze flexibiliteit moeten inzetten. Auditees handelen vanuit hun beleving van de werkelijkheid. De perceptie van en reactie op de omgeving is afhankelijk van hoe een auditee in de wereld staat. Hoogstwaarschijnlijk is dat anders dan je als auditor de werkelijkheid bekijkt. Deze werkelijkheid bestaat dan ook niet, alleen de perceptie daarvan. Elk interview heeft een toegevoegde en persoonlijke waarde. Dit betekent niet dat je iedere auditee voor promotie moet voordragen. Maar ieder persoon die je als auditor hebt gesproken moet je achter laten een goed gevoel over de waarde van het interview. Dit vereist het opbouwen van een verstandhouding en vertrouwen in de toegevoegde en persoonlijke waarde van het interview met de auditee. Misverstanden bestaan niet, alleen terugkoppeling. De kern van auditing ligt in het geven van informatie met een toegevoegde waarde voor de organisatie van auditee. Het geven van terugkoppeling tijdens de audit is onderdeel van je taak als auditor. Door het belang van een goede communicatie te onderkennen, kun je de kwaliteit van de informatie die je tijdens een audit krijgt, verhogen. Met flexibiliteit beheers je het communicatieproces. Als je de flexibiliteit beheerst om tijdens een gesprek een andere perceptie te aanvaarden of een andere communicatie strategie te hanteren, dan heb je een groot voordeel in het communicatieproces. Door de perceptie van je gesprekspartner te waarderen krijg je een beter begrip van de boodschap.

Deze uitgangspunten staan aan de basis van een positief communicatieproces. Het bewust hanteren van deze uitgangspunten verandert de manier waarop je communicatie ervaart en uiteindelijk hoe je zelf communiceert. Uiteindelijk staat of valt de kwaliteit van de audit met de kwaliteit van de informatie die je, onder andere, uit de interviews haalt.


2009-09-23 Pagina 47


12 Steekproeven of steekproefsgewijs 12.1 Steekproefbewijs Tijdens de audit kun je als auditor een steekproef nemen. Tenzij er een goede reden voor is, zoals bij productcertificatie of financiële audits, is dit geen statistisch onderbouwd en wetenschappelijk verantwoord onderzoek. Volgens algemeen spraakgebruik hebben we het hier dus over steekproefsgewijs. Het is feitelijk een zeer beperkt onderzoek om direct bewijs te verkrijgen voor het functioneren van het managementsysteem. Een groot nadeel van dit steekproefsgewijs vergaren van bewijs zonder statistische onderbouwing is dat gevonden afwijkingen vatbaar voor discussie zijn met auditee. Er was namelijk geen goede onderbouwing van de steekproef. Het zorgvuldig nemen van elke steekproef is dus van belang voor de waarde van je audit. Daarnaast is de gehele audit als een steekproef te beschouwen. Het is nu eenmaal niet mogelijk om tijdens de beperkte duur van de audit een volledig onderzoek op alle procesonderdelen of dossiers van auditee uit te voeren. Tijdens een eindgesprek van een certificatie-audit komt dit aspect ook altijd even naar voren. Een en ander betekent niet dat de auditor geen verstand hoeft te hebben van het nemen van een steekproef om een bepaalde hypothese te toetsen. In de praktijk neemt het belang van statistiek alleen maar toe en zal een auditor dus moeten kunnen beoordelen of een bepaalde statistische techniek juist is toegepast. In dit hoofdstuk geven we je een aantal handreikingen voor het nemen van steekproeven tijdens een audit en wat dit voor het resultaat van de audit kan betekenen. 12.2 Het nemen van een steekproef Het principe van een steekproef is de meeste mensen wel duidelijk. In een restaurant zal iemand de wijn proeven voordat de overige glazen worden gevuld. We gaan er dan vanuit dat die ene slok kenmerkend is voor de gehele fles of eventuele volgende flessen. Een steekproef nemen is een beperkt onderzoek teneinde een uitspraak te kunnen doen over de gehele populatie waaruit de steekproef is genomen. Deze populatie is dan een verzameling onderling variabele elementen, die te groot is om in haar geheel te onderzoeken. Tijdens een audit kunnen veel van dergelijke verzamelingen tegen komen. Voorbeelden zijn verwerkte orders, uitgevoerde projecten, resultaten van productieprocessen of het personeelsbestand. We hopen dat de steekproef een goede afspiegeling is van de werkelijkheid, maar soms speelt het toeval ons parten en is de steekproef eerder een lachspiegel. Hoe groter de steekproef, hoe kleiner de kans dat deze afwijkt van de populatie. Steekproeven moeten dus voldoende groot zijn om met de vereiste nauwkeurigheid de gevraagde eigenschap van de populatie weer te geven. Naast deze nauwkeurigheid die het gevolg is van een toevalsafwijking, kunnen we bij het trekken van een steekproef ook systematische fouten maken. Alle leden van een populatie moeten dezelfde kans hebben om in de steekproef te worden opgenomen. De steekproef moet dus representatief zijn. De manier waarop je een steekproef neemt moet altijd onafhankelijk zijn van de te onderzoeken eigenschappen. Bijvoorbeeld de steekproef in een fabriek uit de verzameling van orders in behandeling heeft de afwijking dat grotere orders langer in behandeling zijn en daarmee langer in deze verzameling verblijven dan kleine Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 48

www.IMSite.eu Auditen van Managementsystemen 1 orders. Of een enqûete over klanttevredenheid die wordt ingevuld door mensen die de producten niet afnemen. Er bestaan meerdere methoden voor het nemen van een steekproef. Een veel (onbewust) gebruikte methode bij audits is de voetstootse steekproef door de eerste de beste uit de populatie die men tegenkomt als steekproef te beschouwen. Let bij deze werkwijze vooral op wie de regie tijdens een audit in handen heeft. Ga daarbij uit van de gedachte dat auditees hun beste beentje voor zetten. Voorbeelden van voetstootse steekproeven zijn: de eerste de beste kist of doos van een partij goederen, een willekeurige klant uit een verkoopboek of de eerste medewerker die je op de werkvloer tegen komt. Een lotingssteekproef ontstaat door te loten welke elementen uit de verzameling je in de steekproef opneemt. Hierbij kun je een toevalsgetal gebruiken, zoals op de meeste rekenmachines is aan te maken. Een bruikbare werkwijze is als volgt. Als de elementen van de verzameling op een bepaalde wijze zijn geordend (genummerd, alfabetisch of op moment van binnenkomst) dan vermenigvuldig je het aantal leden van die verzameling met het toevalsgetal en neemt het zoveelste element uit die verzameling. Bijvoorbeeld: 35 klantendossiers staan op alfabetische volgorde, je neemt het toevalsgetal, vermenigvuldigt dit met 35 en je neemt het zoveelste dossier als steekproef. Heb je geen rekenmachine met deze functie bij de hand, neem dan een getal uit onderstaande tabel. Toevalsgetallen 0,594 0,680 0,293 0,554 0,063

0,552 0,042 0,924 0,323 0,313

0,978 0,470 0,828 0,506 0,803

0,562 0,792 0,215 0,141 0,304

0,567 0,117 0,413 0,727 0,011

Een lotingssteekproef is niet per definitie representatief. Ook hier kan het toeval tegen ons werken, wanneer de verzameling eigenlijk uit verschillende deelverzamelingen bestaat. Zoals in een fabriek waar twee machines hetzelfde product maken of waar dertig procesn van het personeel op kantoor zit en de rest in de fabriekshal werkt. We kunnen dan een evenredig gelede steekproef nemen. We zorgen dan dat de deelverzamelingen precies evenredig in de steekproef worden vertegenwoordigd. Realiseer je dat bij een steekproef altijd het toeval een rol speelt. De beste manier om met bewijzen op basis van een steekproef om te gaan, is verificatie of bevestiging door auditee. Verifieer of de procesbewaking of interne audits van auditee tot dezelfde conclusies komen danwel laat de vertegenwoordiger van de auditee de resultaten van je steekproef bevestigen.


2009-09-23 Pagina 49


13 Audit-rapportage en opvolging 13.1 Auditbevindingen en conclusies Tijdens de audit verzamel je bewijsmateriaal aan de hand van de interviews, waarnemingen en steekproeven. Dit bewijsmateriaal beoordeel je aan de hand van de auditcriteria, waaronder één van de normen voor managementsystemen. De volgende stap is het formuleren van de auditbevindingen. Auditbevindingen geven aan dat wordt voldaan aan de auditcriteria of dat er afwijkingen zijn ten opzichte van deze criteria. Als de auditdoelstellingen dit toelaten, dan kunnen de auditbevindingen ook verbetervoorstellen bevatten. Dit is met name bij interne audits het geval. Externe auditoren, met name die in het geval van certificatie, onthouden zich van concrete verbeteradviezen. Bij interne audits is er doorgaans geen ander Major vs. minor volgens de ASQ: onderscheid in de soorten bevindingen dan voldoen aan de eisen en afwijkingen die verbeteringen behoeven. Bij A major nonconformance results from the certificatie-trajecten (en ook wel bij failure to address a requirement in the standard or a situation that could result in leveranciersbeoordelingen) maakt men een onderscheid nonconforming product getting to the tussen incidentele afwijkingen en structurele customer. tekortkomingen in het systeem of de implementatie daarvan. Bij een afwijking (in het Engels: minor A minor nonconformance results from an nonconformance) wordt er deels niet aan een normeis isolated lapse in an otherwise compliant voldaan. De auditee wordt wel verzocht om een system. onderzoek naar de oorzaak van de afwijking in te stellen en passende maatregelen te nemen. Bij een tekortkoming (in het Engels: major nonconformance) wordt er niet voldaan aan een normeis hetgeen een belemmering is voor de afgifte of continuering van het certificaat. Met dergelijke kwalificaties komen we bij de auditconclusies. De auditconclusies worden, evenals de kwalificatie van afwijkingen, bij certificatie-audits opgesteld door de leider van het auditteam. Tijdens een voorbespreking van het auditteam overlegt men over de auditconclusies. Afhankelijk van het auditplan en de doelstellingen van de audit kunnen de conclusies aanbevelingen of een bepaalde opvolging omvatten. Bij interne audits zullen aanbevelingen een grote rol spelen, terwijl de opvolging van bevindingen en conclusies in een certificatietraject een rol spelen. Nog enkele tips voor het opstellen van auditbevindingen:  

  

Bevindingen hebben betrekking op het voldoen van het systeem of het proces aan de eisen. Nooit op het functioneren van een persoon. Incidentele fouten of producten met afwijkingen zijn slechts auditbewijsmateriaal voor een bevinding gerelateerd aan het functioneren van het managementsysteem. Bespreek bevindingen om bevestiging te krijgen van het bewijs. Zorg dat de (vertegenwoordiging van de) auditee je bevindingen begrijpt en onderschrijft. Relateer elke bevinding, en vooral elke afwijking, aan de auditcriteria (normeis). Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 50


Bij ontbreken van overeenstemming over de bevindingen en de conclusie, moeten de verschilpunten duidelijk worden vastgelegd.

13.2 De eindbespreking Net als de openingsbijeenkomst is de leider van het auditteam de voorzitter van de eindbespreking. Het onderwerp van de bespreking is de auditconclusie met eventuele opvolgafspraken waaronder corrigerende of preventieve maatregelen. Afhankelijk van de omvang en aard van de audit zal de eindbespreking al dan niet een formele vergadering zijn. Besteed tijdens de eindbespreking aandacht aan de volgende punten:    

 

 

Een woord van dank voor de medewerkers voor hun tijd en medewerking en voor de gastvrijheid die je hebt genoten. Sta kort stil bij het doel en de omvang van de audit. Een verwijzing naar de meer uitgebreide openingsbijeenkomst is vaak handig. Bevestig of het auditplan is gerealiseerd, danwel welke afwijkingen er op het auditplan zijn opgetreden. Introduceer de afwijkingen eerst met positieve bevindingen. Een inleiding met de vraag "Wat gaat goed en wat kan er beter?" geeft een betere indruk dan direct de fouten opsommen. Benadruk dat de audit slechts een momentopname of steekproef is. Bespreek vervolgens de afwijkingen en zorg dat de auditee deze ook begrijpt. Bevindingen zijn gebaseerd op bewijsmateriaal, dus er hoeft geen discussie over de bevindingen en de conclusie plaats te vinden. Bij certificatie-audits tekent de auditee voor de correctheid en het begrip van de bevindingen, niet dat hij of zij het eens is met de conclusie. Laat een kopie achter van de op papier vastgelegde bevindingen. Geef ten slotte een toelichting op het eventuele opvolgingstraject.

13.3 Opstellen van het auditrapport Vervolgens zul je de bevindingen en de auditconclusie moeten verwerken in het auditrapport. Bij certificatie-audits is dit de verantwoordelijkheid van de teamleider. Het auditrapport behoort een volledige, nauwkeurige, bondige en duidelijke weergave van de audit te zijn. Voor interne audits kan veelal volstaan worden met een korte rapportage van de auditbevindingen. Bij externe audits kunnen de volgende onderwerpen in het rapport zijn opgenomen:        

De doelstellingen van de audit met het onderwerp en toepassingsgebied alsmede de gebruikte auditcriteria. Identificatie van de opdrachtgever, de auditee, contactpersonen en de leden van het auditteam. De plaats, tijd en data van de audit. De auditbevindingen en conclusies. Eventueel van toepassing zijnde regelementen of procedures voor de audit. Het gerealiseerde auditplan en eventuele afwijkingen op het eerder opgestelde auditplan. Eventuele aanbevelingen voor verbetering. Afspraken over de opvolging. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 51


Eventueel embargo en een verspreidingslijst.

13.4 Afronding van de audit Je bent pas klaar met de audit als alle activiteiten genoemd in het auditplan zijn uitgevoerd en het auditrapport is afgeleverd. Documenten, waaronder je aantekeningen, moeten worden bewaard conform de geldende richtlijnen en afspraken met de auditee en/of de opdrachtgever voor de audit (de auditklant). De inhoud van die documenten mogen niet openbaar worden gemaakt zonder de toestemming van de auditee en/of de auditklant. Een uitzondering hierop is de inzage vanwege accreditatie-onderzoek of als dit volgens de wet wordt vereist. Als dit laatste het geval is, dan behoren auditee en auditklant hiervan op de hoogte worden gesteld. 13.5 Opvolging van de audit Na de audit kan er een opvolgingstraject nodig zijn als je een noodzaak of mogelijkheid voor verbeteren hebt gesignaleerd als auditor. Op basis van de gerapporteerde bevinding zal de auditee (of het voor de betreffende afdeling verantwoordelijke management) tijdig een verbetermaatregel moeten voorstellen. Deze verbetermaatregel zul je op implementatie en doeltreffendheid beoordelen volgens de gemaakte afspraken. Bij het beoordelen van genomen corrigerende of preventieve maatregelen kun je de volgende bewijzen van verbeteren gebruiken. Bedenk daarbij dat een verbetering altijd een verandering vereist.     

Gewijzigde documentatie van processen (procedures). Onderzoeksverslagen over de oorzaak van afwijkingen. Verslagen van bijeenkomsten (intern of extern met leveranciers of klanten). Aangepaste doelstellingen. Resultaten van interne audits of directiebeoordeling.

Alle resultaten van uitgevoerde audits, verbetermaatregelen en hun opvolging zijn ten slotte weer input voor het opstellen van een nieuw auditprogramma. Zie hiervoor ook het volgende hoofdstuk.


2009-09-23 Pagina 52


14 Het auditproces continu verbeteren 14.1 De kwaliteit van het auditproces Het vertrouwen dat men in het auditproces kan stellen, is afhankelijk van de bekwaamheid van degenen die de audit uitvoeren. Deze bekwaamheid bestaat uit een aantal onderdelen. De persoonlijke kenmerken van de auditor hebben we in hoofdstuk 5 al de revue laten passeren. Naast deze persoonlijke kenmerken zijn kennis en kunde op het gebied van auditing en op het onderwerp waarop men audit van groot belang. Dit heeft primair betrekking op de auditing en normkennis. Aanvullend is kennis van het toepassingsgebied van het betreffende managementsysteem onontbeerlijk. 14.2 Bijblijven en beoordelen Auditoren zullen zich moeten inspannen om bij te blijven bij hun vakgebied. De ontwikkelingen in kwaliteits-, arbo- en/of milieumanagement staan niet stil, zo zullen er regelmatig nieuwe eisen zijn waar organisaties aan moeten voldoen. De auditor zal hierop moeten kunnen toetsen. Een permanente professionele ontwikkeling is voor de auditor en de verantwoordelijke voor het auditprogramma daarom een belangrijk aandachtspunt. Auditoren zullen hun ervaring in het uitvoeren van audits actueel moeten houden. De kwaliteit van het auditproces staat of valt met de kwaliteit van de auditoren. Een regelmatige beoordeling van hun prestaties zal bijdragen aan objectieve, eerlijke en betrouwbare audits. De eventuele behoefte aan trainingen of andere manieren om de vaardigheden van auditoren te verhogen dient een plaats te krijgen in het auditproces, onafhankelijk van de aard van dit auditproces (intern of extern). 14.3 Verbeteren van het auditprogramma Auditoren worden ingezet voor hun bijdrage in het gehele auditprogramma. Het management van dit auditprogramma heeft de verantwoordelijkheid om ook in dit programma een continue verbetering tot stand te brengen. Ook in het auditproces kunnen we de plan-do-check-act cyclus terug vinden. Het programma is het plan, de uitvoering is de do, de beoordeling van het programma en van de auditoren is de check en de bijsturing in het programma is de act. Het beoordelen van een auditprogramma en de auditoren die dit uitvoeren lijkt een lastige klus, omdat het vaak over collega’s gaat. Het hanteren van prestatie-indicatoren vanuit het proces en de reacties op de audits is dan een goed hulpmiddel. Aan beide partijen (auditor en auditee) kan de vraag gesteld worden: Heeft u dit opgeleverd wat u wilt dat het u oplevert? Afhankelijk van het antwoord op deze vraag kan het auditprogramma en/of de uitvoering worden aangepast. De auditee is indirect één van de klanten van het auditproces, omdat deze zijn voordeel kan doen met de verbeterkansen uit de audits.


2009-09-23 Pagina 53


15 Tips en trucs We besluiten de serie hoofdstukken over het auditproces met een aantal tips en trucs uit de praktijk van het auditen. 

U heeft geen klachten van klanten. Mag ik uw creditnota's eens inzien? De meeste creditnota's kennen een oorzaak in onenigheid met de klant. Let dan op de koppeling tussen dit financiële proces en de kwaliteitsprocessen in de organisatie. En zolang een bedrijf zijn inkoop niet via creditfacturering doet, is elke creditnota een signaal voor een afwijking. Kijk dan ook eens naar het onderzoek naar de oorzaak en de genomen verbetermaatregelen.



Wat zijn de wakkerligpunten voor het management? Vraag het management waar zij wakker van liggen. En vervolgens hoe hun managementsysteem kan helpen bij het hervinden van de nachtrust. Je richt je dus op het systeem van managen van een organisatie en de mate van acceptatie daarvan door het eigen management.



Neem de acht kwaliteitsmanagementprincipes eens als kader voor de audit.



Welke managementinstrumenten gebruikt u en hoe zijn deze gekoppeld aan uw managementsysteem? Veel organisaties gebruiken bij het maken van plannen de SWOT-analyse of de balanced score card. Van belang is hoe deze gekoppeld zijn aan bijvoorbeeld de directiebeoordeling en preventieve maatregelen.



Begin met de analyses en eigen beoordeling van het bedrijf.



Welke veranderingen buiten de organisatie spelen in de nabije toekomst een rol en hoe gaat het management hier mee om? Let vooral op wijzigingen in weten regelgeving, verzekeringsvoorwaarden of inkoopbeleid van klanten.



Auditen met PDCA op elk niveau in een organogram. Neem het organisatieschema van de organisatie en teken in elk vakje de PDCA cirkel. Vervolgens kun je voor elk vakje vragen naar plannen, de uitvoering, controles en aanpassingen. Dus op management-, staf-, persoons- en projectniveau is dit een hulpmiddel voor het vormgeven van je interview.



Vijf keer waarom vragen om de bron-oorzaken van een afwijking te achterhalen. Bij een audit kun je op een incident stuiten. Om van dit incident naar de werkelijke oorzaken te komen, kun je vijf keer waarom vragen om naar de bron-oorzaken van de afwijking te komen. Vervolgens kun je mogelijk een trend identificeren wat leidt naar een bevinding met toegevoegde waarde. Let op: een afwijking heeft zelden maar één oorzaak.



Persoonsgegevens zijn vertrouwelijke gegevens. Het auditen van vertrouwelijke gegevens zoals trainingsregistraties vraagt om een zorgvuldige benadering. Hanteer als leidraad dat bevindingen nooit persoonsnamen bevatten en dat het systeem onderwerp van de beoordeling is.


2009-09-23 Pagina 54


Een goed geformuleerde bevinding is de kern van het auditrapport en de start voor een waardevolle verbetering. Om te controleren of je bevinding zinnig is, kun je de 'nou-en toets' gebruiken. Zolang je zelf in gedachten of iemand anders steeds nouen kan zeggen op de bevinding, dan is deze nog niet specifiek genoeg om waarde toe te kunnen voegen.



Koppeling met de audit-commissie. Grotere (beursgenoteerde) organisaties kennen een zogenaamde audit-commissie. Deze commissie is belast met de controle op de verantwoording die een organisatie aflegt in onder andere de financiële jaarverslagen. Hierin moeten bedrijven ook een uitspraak doen over hun risicobeheersing. Een koppeling met deze commissie over de resultaten op KAMmanagement gebied is daarom een waardevolle aanvulling op het verantwoordingsproces van de organisatie.


2009-09-23 Pagina 55


16 KAM-normen: de algemene eisen 16.1 Introductie Voor auditoren is normkennis van groot belang, omdat normen veelal onderdeel zijn van de auditcriteria waartegen geaudit wordt. In dit hoofdstuk en de volgende vier hoofdstukken geven we een kort overzicht van de verschillende onderdelen van de managementsysteemnormen. Meer aandacht geven we aan de documenten, procedures en registraties die vanuit de normen worden gevraagd. Tijdens de cursussen en trainingen op basis van dit praktijkhandboek zullen de betreffende normen meer inhoudelijk aan bod komen. De benadering van de KAM-normen doen vanuit de ISO 9001 norm. Dit is de meest gebruikte norm voor managementsystemen en een goede basis om de twee andere normen (ISO 14001 en OHSAS 18001) in te passen. Maar de beste bron van normkennis kunt u natuurlijk ook direct raadplegen, en dat zijn de normteksten zelf. Als auditor dient u over exemplaren van de betreffende normen te beschikken. 16.2 Overzicht van de normeisen voor KAM-management De volgende normparagrafen hebben betrekking op de algemene normeisen voor KAMmanagementsystemen. Norm K: ISO 9001: 2008

A: OHSAS 18001: 2007

M: ISO 14001: 2004

Paragraaf 4.1 4.2.1 4.2.2 4.2.3 4.2.4 4.1 4.4.4 4.4.5 4.5.3 4.1 4.4.4 4.4.5 4.5.3

Onderwerp Kwaliteitsmanagementsysteem - Algemene eisen Documentatie-eisen - Algemeen Kwaliteitshandboek Beheersing van documentatie Beheersing van registraties Elementen van het arbo-managementsysteem - Algmene eisen Documentatie Beheer van documenten en gegevens Registraties en registratiebeheer Milieuzorgsysteemeisen - Algemene eisen Documentatie van het milieuzorgsysteem Documentenbeheer Registraties

16.3 Documentatie en procedures Op basis van de hiervoor genoemde normeisen kun je als auditor de volgende documentatie en procedures aantreffen in het KAM-managementsysteem. Norm K: ISO 9001: 2008

Paragraaf 4.2.1.a 4.2.2.a 4.2.2.c 4.2.3

Documentatie en procedures Gedocumenteerde verklaringen van het kwaliteitsbeleid en de kwaliteitsdoelstellingen Kwaliteitshandboek met het onderwerp en toepassingsgebied van het kwaliteitsmanagementsysteem Beschrijving in het kwaliteitshandboek van de interacties tussen de processen van het kwaliteitsmanagementsysteem Gedocumenteerde procedure voor de beheersing van


2009-09-23 Pagina 56

www.IMSite.eu Auditen van Managementsystemen 1 Norm

Paragraaf

4.2.4

A: OHSAS 18001: 2007

4.4.4.a 4.4.5 4.5.3

M: ISO 14001: 2004

4.4.4.a 4.4.5 4.5.3

Documentatie en procedures documenten die zijn vereist door het kwaliteitsmanagementsysteem Gedocumenteerde procedure die de beheersing definieert voor de identificatie, het opslaan, de bescherming, het terugvinden, de bewaartermijn en de vernietiging van registraties Beschrijving van de kernelementen van het arbomanagementsysteem en hun wisselwerking Procedures voor het beheer van alle vereiste documenten en gegevens Procedures voor het identificeren, bijhouden en verwijderen van arbo-registrties, evenals van reslutaten van audits en beoordelingen Beschrijving van de kernelementen van het milieumanagementsysteem en hun wisselwerking Procedures voor het beheer van alle vereiste documenten Procedures voor het identificeren, bijhouden en verwijderen van milieuregistraties


2009-09-23 Pagina 57


17 KAM-normen: de directieverantwoordelijkheid 17.1 Overzicht van de normeisen voor KAM-management De volgende normparagrafen hebben betrekking op de directieverantwoordelijkheid in de normen voor KAM-managementsystemen. We vatten deze eisen wel eens samen onder de richting van de organisatie of de inspiratie van een organisatie. Norm K: ISO 9001: 2008

A: OHSAS 18001: 2007

M: ISO 14001: 2004

Paragraaf 5.1 5.2 5.3 5.4 5.5 5.6 4.2 4.3.3 4.3.4 4.4.1 4.4.3 4.6 4.2 4.3.3 4.3.4 4.4.1 4.4.3 4.6

Onderwerp Betrokkenheid van de directie Klantgerichtheid Kwaliteitsbeleid Planning Verantwoordelijkheid, bevoegdheid en communicatie Directiebeoordeling Arbo-beleid Doelstellingen Programma's voor arbo-management Structuur en verantwoordelijkheid Overleg en communicatie Beoordeling door de directie Milieubeleid Doelstellingen en taakstellingen Milieuzorgprogramma('s) Structuur en verantwoordelijkheid Communicatie Beoordeling door de directie

17.2 Documentatie en procedures Op basis van de hiervoor genoemde normeisen kun je als auditor de volgende documentatie en procedures aantreffen in het KAM-managementsysteem. Norm A: OHSAS 18001: 2007

Paragraaf 4.3.3 4.4.1

4.4.3

M: ISO 14001: 2004

4.3.3

4.4.1 4.4.3

Documentatie en procedures Arbo-doelstellingen voor elke relevante functie en op elk relevant niveau binnen de organisatie Taakverdeling, verantwoordelijkheden en bevoegdheden van personeel dat activiteiten beheert, uitvoert en verifieert die invloed uitoefenen op de arbo-risico's van de activiteiten, faciliteiten en processen in de organisatie Procedures om te bewerkstelligen dat relevante arboinformatie wordt bekendgemaakt aan en ontvangen van werknemers en andere belanghebbende partijen Milieudoelstellingen en -taakstellingen voor elke relevante functie en op elk relevant niveau binnen de organisatie Taakverdeling, verantwoordelijkheden en bevoegdheden Procedures voor interne communicatie tussen de verschillende niveaus en functies van de organisatie en voor het ontvangen, vastleggen en reageren op relevante communicatie van externe belanghebbende partijen


2009-09-23 Pagina 58

www.IMSite.eu Auditen van Managementsystemen 1 17.3 Registraties Registraties vormen mede het bewijs dat aan de normeisen wordt voldaan. De volgende registraties hebben betrekking op de directieverantwoordelijkheid: Norm K: ISO 9001: 2008 A: OHSAS 18001: 2007 M: ISO 14001: 2004

Paragraaf 5.6.1 4.6 4.6

Registratie Directiebeoordelingen Schriftelijk vastgelegde beoordeling door de directie Schriftelijk vastgelegde beoordeling door de directie


2009-09-23 Pagina 59


18 KAM-normen: het managen van middelen 18.1 Overzicht van de normeisen voor KAM-management De volgende normparagrafen hebben betrekking op het management van de benodigde middelen vanuit de normen voor KAM-managementsystemen. We vatten deze normeisen wel samen onder de inrichting of de mobilisatie van de organisatie. Norm K: ISO 9001: 2008

A: OHSAS 18001: 2007 M: ISO 14001: 2004

Paragraaf 6.1 6.2 6.3 6.4 4.4.2 4.4.2

Onderwerp Beschikbaar stellen van middelen Personeel Infrastructuur Werkomgeving Opleiding, bewustzijn en bekwaamheid Opleiding, bewustzijn en bekwaamheid

18.2 Documentatie en procedures Op basis van de hiervoor genoemde normeisen kun je als auditor de volgende documentatie en procedures aantreffen in het KAM-managementsysteem. Norm A: OHSAS 18001: 2007

Paragraaf 4.4.2

M: ISO 14001: 2004

4.4.2

Documentatie en procedures Procedures om werknemers in iedere relevante functie op elk relevant niveau bewust te maken Procedures om medewerkers of leden in iedere relevante functie en op elk relevant niveau bewust te maken

18.3 Registraties Registraties vormen mede het bewijs dat aan de normeisen wordt voldaan. De volgende registraties hebben betrekking op de het managen van middelen: Norm K: ISO 9001: 2008

Paragraaf 6.2.2.d

Registratie Opleiding, training, vaardigheden en ervaring


2009-09-23 Pagina 60


19 KAM-normen: het realiseren van het product 19.1 Overzicht van de normeisen voor KAM-management De volgende normparagrafen hebben betrekking op het realiseren van het product in de normen voor KAM-managementsystemen. Deze normeisen gaan dus over het creëren van toegevoegde waarde. Norm K: ISO 9001: 2008

A: OHSAS 18001: 2007

M: ISO 14001: 2004

Paragraaf 7.1 7.2 7.3 7.4 7.5 7.6 4.3.1 4.3.2 4.4.6 4.3.1 4.3.2 4.4.6

Onderwerp Planning van het realiseren van het product Processen die verband houden met de klant Ontwerp en ontwikkeling Inkoop Productie en het leveren van diensten Beheersing van bewakings- en meetapparatuur Planning voor identificatie van gevaren, risicobeoordelingen en risicobeheersing Wettelijke en andere eisen Beheersing van de werkzaamheden Milieuaspecten Wettelijke en andere eisen Beheersing van de werkzaamheden

19.2 Uitsluitingen van normeisen ISO 9001: 2008 In principe moeten organisaties die aan de eisen van de norm willen voldoen, aan alle eisen uit die norm voldoen. Behalve wanneer een bepaalde eis uit hoofdstuk 7 (Productrealisatie) niet van belang is voor het toepassingsgebied van het kwaliteitsmanagementsysteem. Dit moet het bedrijf zelf bepalen en vastleggen in het kwaliteitshandboek (eis uit § 4.2.2 van ISO 9001: 2008). Het toepassingsgebied van het kwaliteitsmanagementsysteem moet goed worden geformuleerd en daarbij, gemotiveerd, aangegeven welke onderdelen van hoofdstuk 7 zijn uitgesloten. Het gaat hierbij dus om de mogelijke uitsluiting van eisen binnen dit gekozen toepassingsgebied. Dat betekent tevens dat niet alle producten of diensten die het bedrijf kan leveren in het toepassingsgebied moeten zijn opgenomen. Het duidelijk formuleren van het toepassingsgebied is dus een eerste vereiste. Voor die producten en/of diensten die in dit toepassingsgebied staan, moet aan alle eisen van de ISO 9001: 2008 worden voldaan. Behalve wanneer men kan aantonen dat bepaalde onderdelen van hoofdstuk 7 niet relevant zijn voor de organisatie. De eisen uit de overige paragrafen zijn altijd van toepassing. Deze uitsluitingen mogen geen invloed hebben op het vermogen van de organisatie om producten te leveren die voldoen aan de eisen van de klant of regelgeving. De uitsluitingen kunnen ook betrekking hebben op kleine delen van hoofdstuk 7. Het feit dat een speciale activiteit, zoals ontwerp en ontwikkeling of inkoop, is uitbesteed of door een ander bedrijfsonderdeel wordt uitgevoerd, is op zich nog geen reden om deze activiteit niet in het systeem op te nemen. Zeker niet wanneer eindverantwoordelijkheid of coördinatie van deze activiteiten bij de activiteiten van het bedrijf behoren.


2009-09-23 Pagina 61

www.IMSite.eu Auditen van Managementsystemen 1 Uitsluitingen die niet voldoen aan de eisen uit § 1.2 van ISO 9001: 2008 zijn geen “toegestane uitsluitingen”. Zulke onjuiste uitsluitingen kunnen in de volgende situaties voorkomen:      

Het simpelweg overslaan van een eis uit hoofdstuk 7 omdat men hier niet aan wil voldoen. Het was vroeger nooit in het systeem opgenomen. Wanneer eisen uit hoofdstuk 7 worden uitgesloten omdat regelgeving dit niet vereist maar wel nodig zijn om aan de eisen van de klant te voldoen. Wanneer eisen uit hoofdstuk 7 worden uitgesloten die zijn vereist vanuit regelgeving maar niet nodig zijn om aan de eisen van de klant te voldoen. Het overslaan van eisen uit andere paragrafen dan hoofdstuk 7. Het uitsluiten van eisen zonder goede onderbouwing daarvan in het handboek.

Dergelijke uitsluitingen zullen voor de auditoren van Certificatie-instellingen reden zijn om geen positief advies af te geven voor de certificatie van het kwaliteitssysteem. Kortom: Al die processen die men nodig heeft om een product en/of dienst te leveren moet men in het systeem opnemen. Het gekozen toepassingsgebied èn de eventuele uitsluitingen met motivatie moet men beschrijven in het kwaliteitshandboek. 19.3 Documentatie en procedures Op basis van de hiervoor genoemde normeisen kun je als auditor de volgende documentatie en procedures aantreffen in het KAM-managementsysteem. Norm K: ISO 9001: 2008

Paragraaf 7.1.b

A: OHSAS 18001: 2007

4.3.1

4.3.2

4.4.6.a

4.4.6.b 4.4.6.c

4.4.6.d

M: ISO 14001: 2004

4.3.1

Documentatie en procedures Documenten opgesteld voor de realisering van het product Procedures voor de continue identificatie van gevaren, beoordeling van risico's, en de implementatie van eventuele benodigde beheersmaatregelen Procedure om de wettelijke en andere arbo-eisen die van toepassing zijn op de organsiatie te identificeren en daar toegang toe te hebben Procedures voor die situaties waarin het ontbreken van deze procedures tot afwijkingen van het arbo-beleid en de doelstellingen zou kunnen leiden Criteria in procedures voor de uitvoering van de werkzaamheden Rocedures die samenhangen meg geïdentificeerde arborisico's voor goederen, uitrusting en diensten die door de organisatie zijn ingekocht en/of worden gebruikt Procedures voor ontwerp en inrichting van de werkplek, processen, installaties, machines, operationele procedures en organisatie van het werk, met inbegrip van aanpassing aan menselijke mogelijkheden, om arborisico's aan de bron weg te nemen of te minimaliseren Procedure(s) om de milieuaspecten van de activiteiten, producten of diensten, die de organisatie kan beheersen en waarvan mag worden verwacht dat zij er invloed op kan uitoefenen, te identificeren om de aspecten te bepalen die belangrijke effecten (kunnen) hebben op het milieu


2009-09-23 Pagina 62


Paragraaf 4.3.2

4.4.6.a

4.4.6.b 4.4.6.c

Documentatie en procedures Procedure om eisen van weten regelgeving en andere door de organisatie onderschreven eisen die van teopassing zijn op de milieuaspecten van haar activiteiten, producten of diensten, te identificeren en daar toegang toe te hebben Procedures voor die situaties waarin het ontbreken van deze procedures tot afwijken van het milieubeleid en de doelstellingen en taakstellingen zou kunnen leiden Criteria in procedures voor de uitvoering van de werkzaamheden Procedures die samenhangen met identificeerbare significante milieuaspecten van door de organisatie gebruikte goederen en diensten

19.4 Registraties Registraties vormen mede het bewijs dat aan de normeisen wordt voldaan. De volgende registraties hebben betrekking op het realiseren van het product: Norm K: ISO 9001: 2008

Paragraaf 7.1.d

7.2.2

7.3.2 7.3.4 7.3.5 7.3.6 7.3.7 7.4.1

7.5.2.d 7.5.3 7.5.4

7.6.a

7.6

7.6

Registratie Registraties die nodig zijn om het bewijs te leveren dat de realisatieprocessen het het resulterende product voldoen aan de eisen (voor zover van toepassing) Registraties van de resultaten van de beoordeling van producteisen en van de maatregelen die voortvloeien uit de beoordeling Input voor ontwerp en ontwikkeling met betrekking tot producteisen Resultaten van beoordelingen van ontwerp en ontwikkeling en eventueel noodzakelijke maatregelen Resultaten van de verificatie van ontwerp en ontwikkeling en eventueel noodzakelijke maatregelen Resultaten van de geldigverklaring van ontwerp en ontwikkeling en eventueel noodzakelijke maatregelen Resultaten van beoordeling van wijzigingen in ontwerp en ontwikkeling en eventueel noodzakelijke maatregelen De resultaten van beoordelingen en eventueel noodzakelijke maatregelen die voortvloeien uit de beoordeling Voor zover van toepassing indien er sprake is van zgn. speciale processen Wanneer naspeurbaarheid vereist is, de unieke identificatie van het product Eigendommen van de klant die verloren zijn gegaan, beschadigd zijn geraakt of anderszins ongeschikt voor gebruik worden geacht De basis of standaard gebruikt voor kalibratie of verificatie van bewakings- en meetapparatuur wanneer toepasselijke (inter)nationale normen ontbreken De geldigheid van voorgaande meetresultaten als de bewakings- en meetapparatuur niet aan de eisen blijkt te voldoen Registraties van de resultaten van kalibratie en verificatie


2009-09-23 Pagina 63


20 KAM-normen: meten, analyseren en verbeteren 20.1 Overzicht van de normeisen voor KAM-management De volgende normparagrafen hebben betrekking op de activiteiten van het meten, het analyseren en het verbeteren volgens de normen voor KAM-managementsystemen. Deze normeisen kunnen we benoemen als de verrichting of de reflectie van de organisatie. Norm K: ISO 9001: 2008

A: OHSAS 18001: 2007

M: ISO 14001: 2004

Paragraaf 8.1 8.2 8.3 8.4 8.5 4.5.1 4.5.4 4.4.7 4.5.2 4.5.1 4.5.4 4.4.7 4.5.2

Onderwerp Meting, analyse en verbetering Bewaking en meting Beheersing van afwijkende producten Analyse van gegevens Verbetering Prestatiemeting en monitoring Audits Voorbereid zijn en reageren op noodsituaties Ongevallen, incidenten, afwijkingen en corrigerende en preventieve maatregelen Monitoring en metingen Milieuzorgsysteemaudits Voorbereid zijn en reageren op noodsituaties Afwijkingen en corrigerende en preventieve matregelen

20.2 Documentatie en procedures Op basis van de hiervoor genoemde normeisen kun je als auditor de volgende documentatie en procedures aantreffen in het KAM-managementsysteem. Norm K: ISO 9001: 2008

Paragraaf 8.2.2

8.3

8.5.2 8.5.3 A: OHSAS 18001: 2007

4.5.1 4.5.1

4.5.4 4.4.7

4.5.2

Documentatie en procedures Gedocumenteerde procedure voor de verantwoordelijkheden en eisen voor het plannen en uitvoeren van audits, en voor het rapporteren van resultaten en het bijhouden van registraties Gedocumenteerde procedure voor de beheersing en hiermee samenhangende verantwoordelijkheden en bevoegdheden om met afwijkende producten om te gaan Gedocumenteerde procedure voor corrigerende maatregelen Gedocumenteerde procedure voor preventieve maatregelen Procedures voor het regelmatig monitoren en meten van de arbo-prestaties Procedures voor kalibratie en onderhoud voor monitoringsapparatuur indien deze nodig is voor prestatiemeting en -monitoring Procedures voor het periodiek uitvoeren van arbo-audits Procedures voor het identificeren van de mogelijkheid van ongevallen en noodsituaties en voor het reageren daarop, en voor het voorkomen en verminderen van mogelijke ziekte en letsel die ermee gepaard kunnen gaan Procedure voor het definiëren van verantwoordelijkheden en bevoegdheden met


2009-09-23 Pagina 64


Paragraaf

M: ISO 14001: 2004

4.5.1

4.5.1 4.5.1 4.5.4 4.4.7

4.5.2

Documentatie en procedures betrekking tot ongevallen, incidenten, afwijkingen en corrigerende en preventieve maatregelen Procedures voor het regelmatig monitoren en meten van de belangrijkste kenmerken van de werkzaamheden en activiteiten van de organisatie die een belangrijk effect kunnen hebben op het milieu Procedures voor het bewaren van registraties van kalibratie en onderhoud van monitoringsapparatuur Procedures voor het periodiek evalueren van naleving van milieuwet- en regelgeving Procedures voor het periodiek uitvoeren van milieumanagementsysteemaudits Procedures voor het identificeren van de mogelijkheid van ongevallen en noodsituaties en voor het reageren daarop, en voor het voorkomen en verminderen van milieueffecten die ermee gepaard kunnen gaan Procedure voor het definiëren van verantwoordelijkheden en bevoegdheden voor het behandelen en onderzoeken van afwijkingen, het nemen van maatregelen om veroorzaakte effecten te verminderen en voor het treffen en afhandelen van corrigerende en preventieve maatregelen

20.3 Registraties Registraties vormen mede het bewijs dat aan de normeisen wordt voldaan. De volgende registraties hebben betrekking op het meten, analyseren en verbeteren: Norm K: ISO 9001: 2008

Paragraaf 8.2.2 8.2.4 8.3

A: OHSAS 18001: 2007

8.5.2 8.5.3 4.5.1

4.5.1 4.5.4 4.5.2

M: ISO 14001: 2004

4.5.1

4.5.1 4.5.4 4.5.2

Registratie De resultaten van interne audits en vervolgactiviteiten De indicatie van persoon of personen die bevoegd zijn het product vrij te geven De aard van de productafwijkingen en eventueel later getroffen maatregelen, waaronder verkregen goedkeuringen De resultaten van corrigerende maatregelen De resultaten van preventieve maatregelen Registraties van voldoende gegevens en resultaten van monitoring en metingen, voor het beoordelen van de effectiviteit van corrigerende en preventieve maatregelen Registraties van kalibratie- en onderhoudsactiviteiten en de resultaten daarvan Rapportages van de resultaten van audits Registratie van alle wijzigingen in vastgelegde procedures, die voortkomen uit corrigerende en preventieve maatregelen Informatie om prestaties, relevante beheersingsmechanismen en naleving van de milieudoelstellingen en -taakstellingen van de organisatie te traceren Kalibraties en onderhoud van monitoringsapparatuur Rapportages van de resultaten van audits Registratie van alle wijzigingen in vastgelegde procedures, die voortkomen uit corrigerende en preventieve maatregelen


2009-09-23 Pagina 65


21 Het interne auditproces 21.1 Doel en omvang van het interne auditprogramma Interne audits houdt men om vast te stellen in hoeverre het management-systeem voldoet en waar de mogelijkheden liggen tot verbeteren. Voor deze interne audits stelt men een programma op. Dit interne auditprogramma voorziet in een planning voor de audits, regelt de verantwoordelijkheden en de middelen. Het management moet de verantwoordelijkheid voor het auditprogramma toewijzen aan iemand. Deze persoon stelt dan het programma op, bewaakt dit en beoordeelt of het ook verbeterd kan worden. Ook moeten de benodigde middelen beschikbaar worden gesteld. Het interne auditprogramma voor organisaties die willen voldoen aan een managementsysteemnorm zal het gehele managementsysteem omvatten. De doelstellingen van het auditprogramma zijn dan gebaseerd op:      

Informatiebehoefte van het management. De eisen en verwachtingen van de belanghebbenden. De normeisen van de managementsysteemnorm(en). Eisen uit weten regelgeving. Afspraken met leveranciers. De risico's van de organisatie.

De omvang van een intern auditprogramma is afhankelijk van meerdere factoren. Er zal minimaal de ruimte moeten zijn om de doelen voor het auditprogramma te kunnen realiseren. Daarnaast is auditen een aparte taak die specifieke kennis en kunde vraagt. 21.2 Verantwoordelijkheden, middelen en procedures Zoals hiervoor al gesteld moet er iemand verantwoordelijk zijn voor het interne auditprogramma. Deze persoon moet inzicht hebben in de auditprincipes en -technieken. Nog belangrijker is inzicht in de behoefte van de organisatie en het management aan informatie en verbetermogelijkheden. De verantwoordelijkheden omvatten:     

Vaststellen van doelen en omvang van het auditprogramma. Zorgen voor de middelen en een procedure voor interne audits. De uitvoering organiseren en de resultaten vastleggen. Het auditprogramma bewaken, beoordelen en waar mogelijk verbeteren. Het rapporteren over de resultaten van de audits aan de directie.

21.3 De uitvoering van het interne auditprogramma De uitvoering van het interne auditprogramma omvat de volgende activiteiten:     

Bekend maken van het programma onder betrokkenen. Plannen en doen uitvoeren van de audits. Bewaken rapportage en opvolgingsmaatregelen. Beoordelen auditoren en terugkoppelen van hun prestaties. Beschikbaar stellen van de middelen.


2009-09-23 Pagina 66

www.IMSite.eu Auditen van Managementsystemen 1 Eén van de normeisen voor interne audits betreft het bijhouden van registraties. Deze registraties hebben op de eerste plaats betrekking op het auditproces zelf, zoals het geplande en het gerealiseerde auditprogramma, de samenstelling van auditteams, de beoordeling van het auditprogramma en de auditoren. Daarnaast moeten er registraties zijn van de resultaten van de interne audits. Dat zijn de interne auditrapporten, de voorstellen voor verbeteren en de beoordeling van deze verbeteringen. Ook de rapportage aan de directie over de opbrengst van het auditproces voor de organisatie is een registratie waarmee het functioneren van dit proces kan worden aangetoond. De normeisen voor interne audits vinden we terug in §8.2.2 van de ISO 9001: 2008 en in §4.5.4 van de OHSAS 18001: 2007 en de ISO 14001: 2004. De output of resultaten van interne audits worden genoemd bij de directiebeoordeling en als onderdeel van het proces van continue verbetering. 21.4 Het interne auditprogramma bewaken en beoordelen Ook in het interne auditproces kunnen we de plan-do-check-act cyclus terug vinden. Het programma is het plan, de uitvoering is de do, de beoordeling van het programma en van de auditoren is de check en de bijsturing in het programma is de act. Het beoordelen van een auditprogramma en de auditoren die dit uitvoeren lijkt een lastige klus, omdat het vaak over collega’s gaat. Het hanteren van prestatie-indicatoren vanuit het proces en de reacties op de audits is dan een goed hulpmiddel. Aan beide partijen (auditor en auditee) kan de vraag gesteld worden: Heeft u dit opgeleverd wat u wilt dat het u oplevert? Afhankelijk van het antwoord op deze vraag kan het auditprogramma en/of de uitvoering worden aangepast. De auditee is indirect één van de klanten van het auditproces, omdat deze zijn voordeel kan doen met de verbeterkansen uit de interne audits.


2009-09-23 Pagina 67


22 De leveranciersbeoordeling 22.1 Leveranciers selecteren en beoordelen Leveranciers moeten aan een aantal criteria voldoen om aan de organisatie te mogen leveren. Aspecten als leverbetrouwbaarheid, assortiment, prijs, levertijden en meedenken in probleemoplossing kunnen een rol spelen. Bij de beoordeling van leveranciers moet worden gedefinieerd:      

Hoe de leveranciers worden beoordeeld. Hoe vaak dit gebeurt. Op basis van welke criteria deze beoordeling plaatsvindt. Welke hulpmiddelen of methoden hierbij gebruikt worden. Wanneer inspecties of audits worden verminderd of geïntensiveerd. Welke ondersteuning de leverancier moet verlenen bij het oplossen van problemen.

Niet al deze aspecten zijn altijd van toepassing. De mate van beheersing en controle is afhankelijk van het soort product dat wordt ingekocht. We kunnen hierbij vier soorten producten onderscheiden: 1. Strategische producten: Deze vertegenwoordigen een belangrijke waarde, de levering van de producten kan niet door andere leveranciers worden gegarandeerd. 2. Knelpuntproducten: De levering van deze producten is van groot belang (het niet leveren veroorzaakt een knelpunt). De financiële invloed van deze producten is echter gering. 3. Hefboomproducten: Deze producten kunnen door verschillende leveranciers worden geleverd en hebben een grote invloed op de kostprijs van een eindproduct. 4. Routine producten: Deze producten kunnen ook door verschillende leveranciers worden geleverd maar hebben een kleine invloed op de kostprijs van het product. 22.2 Risicobeheersing en onderaannemers Een belangrijk onderwerp bij het beoordelen van leveranciers is het inschatten hoe onderaannemers of andere dienstverlenende leveranciers risico's beheersen. Methoden voor het beoordelen van leveranciers, de door hun geleverde producten en diensten en de beheersing van hun processen kan door middel van een audit plaatsvinden. In plaats van een tweede partij-audit is het gebruikelijk te vertrouwen op de resultaten van een onafhankelijke derde partij audit (certificaat).


2009-09-23 Pagina 68


23 Het certificatieproces 23.1 Van aanvraag tot certificaatverlening In het certificatie-proces speelt de audit een belangrijke rol. Maar het is slechts een schakel in een langer proces. Dit proces staat hieronder in hoofdlijnen weergegeven. 1. Informatie. Op verzoek van een organisatie zal De certificatie-instelling informatie verstrekken over de aanvraagprocedure en het onderzoek. 2. Offerte. De volgende stap is het voorstel om een certificatie-overeenkomst aan te gaan waarin de omvang van het onderzoek staat begroot. 3. Aanwijzing auditteamleider en auditteam. Als de certificatie-overeenkomst tot stand is gekomen zal een auditteamleider worden benoemd vanuit De certificatieinstelling die het onderzoek leidt. 4. Vooronderzoek, certificatie-audit en rapportage. Dit proces is uitgebreid in voorgaande hoofdstukken beschreven en dient een volledig onderzoek van de documentatie en implementatie van het managementsysteem te zijn binnen het vastgestelde toepassingsgebied op basis van de afgesproken normen. 5. Beslissing over certificaatverlening. Binnen een maand nadat het onderzoek is afgerond met een eindrapport beslist De certificatie-instelling over de certificatie. Deze beslissing wordt door een andere persoon gedaan op basis van de door de auditteamleider aangeleverde rapportages met toelichting. 6. Afgifte en publicatie van het certificaat. Het afgegeven certificaat wordt in een openbaar register opgenomen. Dit register is op de website van De certificatieinstelling te raadplegen. 7. Opvolgingsaudits. Tijdens de drie jaar dat het certificaat geldig is, zal De certificatieinstelling regelmatig (minimaal eens per jaar) een opvolgingsaudit uitvoeren. 8. Herbeoordeling. Voordat het certificaat, dat drie jaar geldig is, niet meer geldig is, moet opnieuw worden vastgesteld of het managementsysteem nog volledig aan de eisen voldoet. Er vindt dan een herbeoordeling plaats die iets minder omvangrijk is dan het eerste certificatie-onderzoek. Het gehele certificatie-proces begint dan weer van voren af aan. 23.2 Opvolgingsaudits De tussentijdse audits bij gecertificeerde bedrijven noemen we opvolgingsaudits. Tijdens deze audits die doorgaans door dezelfde auditteamleider worden uitgevoerd, komen de volgende onderwerpen aan bod:       

De implementatie van het systeem. Veranderingen in de organisatie, het productieproces of de systeemdocumentatie. De toepassing van gewijzigde procedures en regels. De openbaarmaking van het certificaat. De eigen beoordeling van het systeem door de organisatie door interne audits en directiebeoordelingen. Behandeling van klachten. Verbetermaatregelen naar aanleiding van externe audits en de eigen beoordeling.

De frequentie, aard en omvang van de opvolgingsaudits zijn gebaseerd op de eisen die door accreditatie-instellingen worden gesteld. Daarnaast kan de gecertificeerde organisatie Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 69

www.IMSite.eu Auditen van Managementsystemen 1 ook om extra audits verzoeken. Als algemene regel geldt dat jaarlijks een derde van de tijd van de certificatie-audit aan opvolgingsaudits wordt besteed en dat de herbeoordeling na drie jaren circe twee derde van de tijd van de initiële certificatie omvat. Als er belangrijke veranderingen in de organisatie, het managementsysteem of het productieproces plaatsvinden bij gecertificeerde organisaties, dan zijn zij verplicht dit aan de certificatie-instelling te melden. Afhankelijk van de aard en omvang van de wijzigingen kan de certificatie-instelling dan een aanvullend onderzoek instellen.

Start: certificatieovereenkomst

Vooronderzoek, documenten beoordeling en auditplan

Rapport, auditplan

Audit

Rapport

Auditplan

-

Certificatie beslissing

+ Certificaat

Opvolgingsaudits, minimaal eens per jaar

Heraudit na drie jaar


2009-09-23 Pagina 70

Rapporten


24 Andere normen voor managementsystemen 24.1

Introductie Naast de normen die hiervoor zijn behandeld, zijn er nog vele andere algemene managementnormen. Een aantal laten we in dit hoofdstuk de revue passeren. Niet al deze managementsysteemnormen zijn grondslagen voor certificatie of vereisen een volwaardig managementsysteem. Zo zou men VCA goed een procescertificaat kunnen noemen evenals HACCP. Beide regelingen zijn op een specifiek aspect van de risico's in de bedrijfsvoering gericht en passen goed onder het kopje risicomanagement en preventieve maatregelen in een geïntegreerd managementsysteem.

24.2

VGM Checklist Aannemers (VCA) VCA betekent Veiligheid, gezondheid en milieu Checklist Aannemers, maar het is veel meer. VCA is een veelzijdig en compleet programma waarmee dienstverlenende bedrijven objectief en structureel kunnen worden getoetst en gecertificeerd op hun VGMbeheersysteem (VGM is Veiligheid, Gezondheid, Milieu). Sinds oktober 1998 is er ook een Veiligheids Checklist Uitzend- en detacheringsbureaus (VCU). Dit systeem is voortgekomen uit VCA en is daar ook op gebaseerd. VCU is een procedure voor de certificering van het veiligheidsbeheersysteem van uitzend- en detacheringsbureaus en is bedoeld voor: 1. Uitzending naar inleners/opdrachtgevers die VCA opleggen; 2. Uitzending naar inleners/aannemers met VCA-certificaat. Een VCA- (en VCU)-certificaat is uitsluitend bedoeld voor bedrijven die werkzaamheden (laten) uitvoeren met een 'verhoogd risico'. Meestal gaat het om werk dat wordt gedaan in fabrieken en werkplaatsen, of op locatie. Bijvoorbeeld onderhoudswerk in petrochemie, baggerwerkzaamheden, werkzaamheden aan spoorlijnen, werkzaamheden op hoogte enz. Deze werkzaamheden worden doorgaans uitgevoerd door aannemers, beter gezegd: opdrachtnemers, in opdracht van opdrachtgevers. Er is dan sprake van een uitbestedingsrelatie. Het VCA-certificeringssysteem is ontwikkeld door opdrachtgevers en aannemers in de petrochemische industrie in ons land. Inmiddels wordt het systeem ook door andere branches toegepast en is het niet langer beperkt tot Nederland. België heeft het VCAsysteem al in gebruik. Ook in Duitsland, Oostenrijk en Zwitserland is het VCA-systeem inmiddels geïntroduceerd. (bron: www.ssvv.nl)

24.3

Accountability (AA 1000) en de Global Reporting Initiative De AA 1000 is een norm opgesteld door ISEA (Institute of Social and Ethical Accountability). De Engelse term accountability is het beste te vertalen met rekenschap of verantwoordelijkheid. De norm richt zich met name op de bedrijfsinrichting voor het juist en volledig verantwoording kunnen afleggen aan alle belanghebbenden bij een organisatie over diens activiteiten. Deze verantwoording omvat dan vooral de economische, sociale en milieu-aspecten van de organisatie. De norm betreft de gehele informatiestroom over deze aspecten binnen de organisatie, dus omvat minimal de registratie, verwerking, controle en rapportage. De AA1000 is geen basis voor certificatie, maar geeft duidelijk richtlijnen voor de inrichting van het proces van verantwoording afleggen aan belanghebbenden. Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 71

www.IMSite.eu Auditen van Managementsystemen 1 De Global Reporting Initiative (GRI) sluit hier goed op aan door voor de genoemde aspecten een duidelijk rapportage format te geven. Organisaties kunnen volgens deze rapportagemethodiek hun economische, sociale en milieu-prestaties duidelijk maken. Organisaties kunnen hun jaarrapportages inrichten aan de hand van de GRI richtlijnen. 24.4

Investors in people (IiP) Investors in People is een certificeerbaar, continu verbeterproces dat inwerkt op zowel het organisatorische als het personele vlak van een onderneming. Mooie voornemens worden afrekenbaar. Dit resulteert meestal in betere bewustwording van gezamenlijke doelstellingen bij managers en medewerkers. Hierdoor ontstaan:        

Betere arbeidsverhoudingen Verbeterde communicatie Meer werkplezier Coachend leiderschap Meer kwaliteit Meer productiviteit Minder verzuim Een beter imago

Het certificeerbare schema is opgebouwd rond vier principes en twaalf indicatoren op het gebied van personele ontwikkeling. (bron: www.iipnl.nl) 24.5

Eco Management en Audit Systeem (EMAS) EMAS staat voor ‘Eco Management and Audit Scheme’. Dit is de titel van een verordening van de Europese Unie die de lidstaten verplicht om een systeem in te voeren waarbij industriële bedrijven het recht kunnen krijgen om een Europees ‘milieu-logo’ te voeren. Deelname aan de EMAS-verordening is vrijwillig. De doelstelling van de verordening is om industriële bedrijven te stimuleren tot verbetering van de milieuprestaties. Uitgangspunt is dat door de invoering van een milieuzorgsysteem, het auditen van het systeem en het uitbrengen van een milieujaarverslag bedrijven worden gestimuleerd tot een continue verbetering van de milieuprestaties. Een bedrijf kan worden geregistreerd als EMAS-deelnemer wanneer aan de volgende voorwaarden is voldaan:   

Een milieuzorgsysteem is ingevoerd. Een milieuverslag is opgesteld (in de EMAS-verordening wordt dit een milieuverklaring genoemd). Een erkende milieuverificatie-instelling het milieuzorgsysteem en de milieuverklaring heeft goedgekeurd.

In de tekst van de verordening zijn eisen opgenomen waaraan het milieuzorgsysteem en de milieuverklaring moeten voldoen. De eisen die aan het milieuzorgsysteem worden gesteld zijn vergelijkbaar met de eisen uit de internationale norm voor milieuzorgsystemen, de ISO 14001. De milieuverklaring is vergelijkbaar met een milieujaarverslag. In de verordening staan de punten opgenomen waaraan aandacht dient te worden besteed. Wanneer de erkende milieuverificatie-instelling het milieuzorgsysteem en de milieuverklaring heeft Versie 5.0 © 2009 www.IMSite.eu

2009-09-23 Pagina 72

www.IMSite.eu Auditen van Managementsystemen 1 goedgekeurd kan het bedrijf een registratie aanvragen bij de ‘competent body’ in de betreffende lidstaat. In Nederland is SCCM door het ministerie van VROM daarvoor aangewezen (bron: www.sccm.nl) 24.6

Social Accountability 8000 (SA 8000) De SA 8000: 2001 norm is gericht op de beheersing van arbeidsomstandigheden in de gehele internationale toeleveringsketen van een producent of handelaar. De norm is gebaseerd op internationale regels (VN, ILO). Centrale onderwerpen in de norm zijn: kinderarbeid, gedwongen arbeid, veiligheid en gezondheid, recht op vakbondswerk, dicriminatie, werktijden, beloning en een management systeem. (bron: www.cepaa.org)

24.7

EFQM/INK Het begrip total quality management is in de jaren 80 en 90 van de vorige eeuw veel gebruikt om bepaalde modellen of instrumenten voor management te classificeren. De belangrijkste modellen op dit gebied zijn wel de modellen voor de kwaliteitsprijzen, zoals de Malcolm Baldrige National Quality Award in de Verenigde Staten van Amerika en het European Foundation for Quality Management (EFQM) model voor de jaarlijkse EFQMprijzen. In Nederland is het INK-managementmodel ontwikkeld in lijn met het EFQMmodel. Het INK-managementmodel is een kwaliteitsinstrument bedoeld om organisaties zich bewust te laten worden van hun kwaliteiten, deze nader te onderzoeken en vervolgens te verbeteren. Het model kan gebruikt worden om de bedrijfsvoering te versterken en de om de organisatie integraal aan te sturen. Het model bestaat uit negen praktijkgerichte aandachtsgebieden: vijf organisatiegebieden en vier resultaatgebieden. Centraal staat ook de bekende plan-do-check-act verbetercyclus die ook in de inleiding van de ISO 9001: 2008 norm staat aangehaald. Op de weg naar continue verbetering van organisaties zijn daarbij vijf fasen ontwikkeld. Het model bestaat uit negen aandachtsgebieden. De vijf organisatiegebieden bieden de structuur om te beschrijven hoe uw organisatie is ingericht en hoe deze wellicht verbeterd kan worden. De vier resultaatgebieden geven een kader voor de strategisch relevante doelen die u wilt bereiken. Het leren en verbeteren is gericht op het realiseren van de gekozen richting (leiderschap, strategie en beleid) met de inrichting (medewerkers, middelen en processen) naar de gewenste verrichting (waardering en eindresultaat).

24.8

Hazard Analysis and Critical Control Points (HACCP) Het document 'Eisen voor een op HACCP gebaseerd voedselveiligheidssysteem' wordt door verschillende certificatie instellingen gebruikt om organisaties te certificeren. Het onderwerp van certificatie is dan het aantoonbaar beheersen van de bedrijfsaspecten die met voedselveiligheid te maken hebben. De techniek HACCP is een goed voorbeeld van een preventieve maatregel om risico's op het gebied van voedselveiligheid te beheersen.


2009-09-23 Pagina 73


I Literatuur Publicaties Freeman, D.L. The Quality Auditor's Handbook. Upper Saddle River, NJ: Prentice Hall, 1997. Rijs, G. van Doorzagen - Gereedschap voor het audit interview. 1998. Russell, J.P. The process auditing techniques guide. Milwaukee, WI: ASQ Quality Press, 2003. Steehouder, M.F. et al. Leren communiceren - Procedures voor mondelinge en schriftelijke communicatie. 2de druk Groningen: Woters-Noordhoff, 1984. Wijvekate, M.L. Onderzoekmethoden. Utrecht: Het Spectrum, 1992. Normen NEN-EN-ISO 9000 Kwaliteitsmanagementsystemen - Grondbeginselen en verklarende woordenlijst. Delft: NEN, 2000. NEN-EN-ISO 9001 Kwaliteitsmanagementsystemen - Eisen. Delft: NEN, 2000. NEN-EN-ISO 9004 Kwaliteitsmanagementsystemen - Richtlijnen voor prestatieverbetering. Delft: NEN, 2000. NEN-EN-ISO 14001 Milieuzorgsystemen - Eisen en richtlijnen voor gebruik. Delft: NEN, 2004 NEN-EN-ISO 19011 Richtlijnen voor het uitvoeren van kwaliteits- en/of milieumanagementsysteemaudits. Delft: NEN, 2002. OHSAS 18001 Arbo-managementsystemen - Specificatie.Delft: NEN, 2000. Internet www.asq.org: The American Society for Quality www.nemus.nl: de internetpagina's van NEMUS www.imsite.eu: de internetpagina’s van IMSite – cursussen op het gebied van managementsystemen en auditing www.rva.nl: De Nederlandse Raad voor Accreditatie (toezichthouder op certificatie) www.sccm.nl: De Stichting Coördinatie Certificatie Milieuzorg (ISO 14001 en EMAS) www.ssvv.nl: De Stichting Samenwerken voor Veiligheid (beheerder VCA)


2009-09-23 Pagina 74

Auditen van Managementsystemen

Recommend Documents