ISO 19011: risicobeheersing als basis voor audits

De nieuwe ISO 19011-richtlijn is niet enkel meer van toepassing op het auditeren van kwaliteits- en milieumanagementsystemen (ISO 9001 en ISO 14001), maar op het auditeren van alle types managementsystemen. Dat zou het uitvoeren van geïntegreerde audits moeten vergemakkelijken.

foto thinckstockISO 19011: 2011 behandelt de principes van auditeren, het managen van auditprogramma's en het uitvoeren van managementsysteemaudits. Er staan onder meer aanbevelingen in omtrent de competenties van alle betrokkenen bij het auditproces: auditprogrammamanagement, auditoren en auditteams.

In de nieuwe versie zijn de betekenis van het auditprogramma en de rol van diegene die daarvoor verantwoordelijk is, versterkt.

Een goede voorbereiding en follow-up van een audit zijn vanaf nu minstens zo belangrijk als het uitvoeren van de audit zelf. Er ligt ook meer nadruk op een goede afstemming met de directie, de noodzakelijke procedures en middelen, een goed getrainde auditorpool, de samenstelling van auditteams en adequate rapportages over en follow-up van de audits.

Bestemd voor alle auditoren

"ISO 19011 is altijd al een richtlijn geweest voor auditeren in het algemeen, maar was wel beperkter dan nu", vertelt Joris De Landtsheer, senior consultant bij Amelior. "Veel bedrijven zijn ISO-gecertificeerd en dan is een interne audit verplicht. ISO 19011 vertelt hen wat er van hen verwacht wordt: hoe ze moeten plannen, aan welke competenties auditoren moeten voldoen, enzovoort. Vroeger gold die richtlijn enkel voor kwaliteits- en milieumanagement, nu is ze van toepassing op alle managementsystemen, zoals ISO 22000 voor voedselveiligheid, ISO 50000 voor energiemanagment, ISO 27001 voor informatiebeveiliging, enz."

De specifieke richtlijnen voor het uitvoeren van certificatieaudits zijn uit ISO 19011 gehaald en als eisen ondergebracht in de eveneens vernieuwde norm ISO 17021. "Wat niet belet dat ook certificatie-auditoren hun voordeel kunnen doen met ISO 19011. De richtlijn is immers bestemd voor alle soorten auditoren."

Risico's beheersen

Joris De Landtsheer: "Meer dan vroeger zullen die auditoren ook de focus leggen op risicobeheer, en erover waken dat ze voldoende middelen, tijd en de juiste personen hebben, en dat ze aan de criteria kunnen voldoen."

Daarmee sluit ISO 19011 aan op de algemene tendens van een op risico's gebaseerde benadering van normen. ISO 14001 en OHSAS 18001 gaan hier al van uit, en wellicht zal dit na revisie ook voor ISO 9001 het geval zijn. "Alle mogelijke risico's binnen de betreffende managementsystemen moeten beheerst worden, ook binnen ISO 19011. Mogelijke risico's die kunnen verhinderen de doelstellingen te behalen, werden vroeger niet in de norm vermeld, en bedrijven hielden er niet altijd rekening mee."

In het geval van ISO 19011 gaat het overigens niet enkel om risico's die beletten dat de doelen van het auditprogramma of een individuele audit niet worden gehaald, zoals bijvoorbeeld een gebrekkige interne organisatie. De betrokkenen moeten ook rekening houden met risico's die het uitvoeren van een audit op zich meebrengt, zoals het verstoren van bepaalde processen.

Geïntegreerd auditeren?

Er is een tendens om audits steeds meer gecombineerd uit te voeren, maar het is nog de vraag in hoeverre de nieuwe richtlijn ISO 19011: 2011 hierbij daadwerkelijk hulp zal bieden. "Hoe meer je met geïntegreerde audits werkt, hoe moeilijker het is al die kennis in je team te hebben en hoe groter het risico dat je de doelstellingen van de audit niet realiseert. Een richtlijn kan daar alleen maar voor waarschuwen. Net als voor het gevaar dat je niet alle auditterreinen vooraf hebt gedefinieerd."

ISO Guide 83

ISO legt momenteel de laatste hand aan de ISO Guide 83, waarin werk wordt gemaakt van een identieke structuur en kerneisen voor alle managementsysteemnormen. Dit moet leiden tot beter integreerbare normen waarbij risicomanagement, corporate governance (behoorlijk bestuur), compliance (voldoen aan de wet- en regelgeving) en MVO (maatschappelijk verantwoord ondernemen) van toenemend belang zijn.

De vijf pijlers van elk managementsysteem zijn volgens ISO Guide 83 leiderschap, risicomanagement, compliance management, verbetermanagement en borging en aantoonbaarheid. De komende herzieningen van ISO 9001 en ISO 14000 zullen al volgens deze structuur worden opgezet.

Delen via

Verwante artikelen

Remote Auditing - wat is het en hoe ga je te werk?

De maatregelen rond de virusuitbraak worden versoepeld, toch bijft thuiswerken voor velen de norm. Maar worden audits nog uitgevoerd en hoe? 
Kristin Case van Case Consults

Herbekijk de Kwinta webinar over interne audits

In een nieuwe Kwinta webinar deelde Kristin Case van Case Consults enkele tips om het management van je interne audit-programma's te verbeteren.

Business Excellence 2.0 in de praktijk

Mensen goesting doen krijgen in kwaliteit. Dat was het hoofddoel van Bénédicte Colpaert, Head of Prevention & Business Excellence bij Umicore, toen ze Business Excellence 2.0 uitrolde in haar organisatie.