ISO 19011:2011 biedt vernieuwde kijk op auditeren

november 2011

Een goed functionerend managementsysteem is van toenemend belang voor een goede invulling van het duurzaam functioneren van organisaties: het behalen van de korte-, middellange- en langetermijndoelstellingen voor kwaliteit, veiligheid, milieu, …

Risico's – en dus ook kansen –spelen een rol in het realiseren van deze doelstellingen en moeten dus gemanaged worden. Een adequate beheersing van deze risico's dient niet enkel de organisatie maar ook de overheden en andere stakeholders. Daarom moet er meer en meer werk worden gemaakt van een gestructureerde en integrale aanpak van het management in organisaties.
De vernieuwde integrale richtlijnen voor auditing (ISO 19011:2011) vormen een onmisbaar instrument om het (eigen) managementsysteem tegen het licht te houden. Deze internationale standaard geeft richtlijnen over de principes van auditeren, het managen van auditprogramma's, het uitvoeren van management system audits, alsook richtlijnen m.b.t. de competenties van zij die betrokken zijn bij het auditproces: audit programma management, auditors en audit teams.
Deze vernieuwde richtlijnen voor het auditeren van managementsystemen werd voorbereid door het Technisch Comité ISO/TC 176.

Toepasbaar op alle managementsystemen

ISO 19011 is nu niet meer uitsluitend van toepassing op het auditen van kwaliteits- en milieumanagementsystemen (ISO 9001 en ISO 14001), maar op het auditen van alle typen en soorten managementsystemen (zie kader). De specifieke richtlijnen voor het uitvoeren van certificatieaudits zijn uit ISO 19011 gehaald en als eisen ondergebracht in de aparte norm ISO 17021.

Relatie tussen de principes, management van een auditprogramma, het uitvoeren van een audit en competenties

De richtlijn schenkt aandacht aan het managen van het auditprogramma. De betekenis van het auditprogramma en de rol van degene die daarvoor verantwoordelijk is, zijn versterkt. Een goede voorbereiding en follow-up van een audit zijn minstens zo belangrijk als het uitvoeren van de audit zelf. Het programma zorgt voor goede afstemming met de directie, de noodzakelijke procedures en middelen, een goede getrainde auditorpool, samenstelling auditteams en adequate rapportages en follow-up van de audits.

Risk-based auditen

Opvallend is verder vooral de introductie van het ‘risico-denken' in het auditproces. De richtlijn spreekt vooral over de risico's dat de doelen van het auditprogramma of een individuele audit niet worden gehaald en de risico's die het uitvoeren van een audit voor de organisatie meebrengt (denk bijvoorbeeld aan verstoring van processen).
Daarnaast bemerken we de introductie van risk-based auditen van managementsystemen (zie in deze context de definitie van risico uit ISO 31000: het effect van onzekerheid op het behalen van doelstellingen. (zie ook het artikel “ISO 31000: risico als opportuniteit”)  Dit houdt in dat het programma en de afzonderlijke audits vooral zijn gericht op onderwerpen en activiteiten die risico's voor de organisatie inhouden, ofwel kansen bieden en bedreigingen vormen voor het realiseren van de doelstellingen van de organisatie. Daar kunnen interne audits toegevoegde waarde leveren.
Uitgaande van het risicoprofiel van de organisatie kunnen de processen worden geïdentificeerd die het meest bijdragen tot het realiseren van de doelstellingen van de organisatie. Van die processen is de beheersing en het goede functioneren dus het belangrijkst om kansen te benutten en bedreigingen te minimaliseren. Deze processen zouden daarom prioriteit moeten krijgen in het auditprogramma. Bij de voorbereiding van audits kunnen binnen deze processen de activiteiten nader worden geanalyseerd op kritische stappen en de aangebrachte beheersmaatregelen om het goede functioneren te waarborgen. Bij de uitvoering van de audits zou vervolgens het accent moeten liggen op het beoordelen van de effectiviteit van die beheersmaatregelen.

Integraal risicobeheer

Om de leesbaarheid van ISO 19011 te verbeteren werden alle help-boxen naar de bijlagen verplaatst.
Bijlage A geeft nu goede richtlijnen voor het vaststellen van ‘de nodige kennis en vaardigheden van auditors' voor verschillende vakdisciplines.
Bijlage B geeft praktische informatie, hints en tips voor de uitvoering en rapportage van de audits. Nieuw daarbij zijn aanwijzingen voor zogenaamde ‘remote audits', documentbeoordeling en steekproeftrekking.
Tot slot dient opgemerkt dat audits steeds meer gecombineerd zullen uitgevoerd worden. De periodieke rapporteringen aan management zullen steeds meer handelen over het integraal risicobeheer. Dit impliceert een voortdurend belangrijker kennis van goed risicomanagement bij de interne auditoren en alle betrokken functies.

ISO GUIDE 83

Momenteel neemt ISO verder initiatieven om de managementsystemen steeds beter te stroomlijnen om zo een integraal risicobeheer efficiënter te kunnen opzetten. Deze evolutie merken we ook op in de draftversie van de ISO Guide 83 (High Level Structure and identical text for MSS and common MS terms and core definitions).
Deze zogenaamde ‘High Level Structure' met gemeenschappelijke structuur en identieke tekst voor MSS en gemeenschappelijke MS-termen en - definities is deze zomer goedgekeurd (draftversie).
De 5 pijlers van elk managementsysteem zijn:

  • Leiderschap
  • Risicomanagement
  • Compliance management
  • Verbetermanagement
  • Borging en aantoonbaarheid

Na een laatste verbeterslag van de draft Guide 83 zal definitieve acceptatie van deze nieuwe structuur en gemeenschappelijke tekst en definities in februari 2012 plaatsvinden. Dat houdt in dat de komende herzieningen van ISO 9001 en ISO 14000 in ieder geval al volgens deze structuur zullen worden opgezet.

Te auditen volgens ISO 19011

  • ISO 9001 Kwaliteitsmanagement
  • ISO 14001 Milieumanagement
  • OHSAS 18001 Managementsysteem voor Welzijn op het Werk
  • ISO 27001 Informatiebeveiliging
  • ISO 22000 Voedselveiligheid
  • ISO 15489 Archiefmanagement
  • EN 16001 Energiemanagement (vervangen door ISO 50001)
  • ISO/TS 16949 Kwaliteitsmanagement voor leveranciers aan de auto-industrie
  • EN 12798 Vervoerskwaliteitsmanagement
  • ISO/IEC 20000 Management informatietechnologie
  • ISO 13485 Kwaliteitsmanagement medische hulpmiddelen
  • ISO 28000 Veiligheidsmanagement logistieke keten
  • NEN 7131 Maatschappelijke veiligheid
  • ISO 90003 Kwaliteitsmanagement in computer software

MEER WETEN OVER ISO 19011?

Op 24 januari is rond ISO 19011 een opleiding/workshop gepland. In de voormiddag krijgt u een uiteenzetting rond 'Intern auditeren en de nieuwe ISO 19011:2011':

  • Waarom een nieuwe versie en wat zijn de voornaamste wijzigingen ten opzichte van de eerste versie;
  • Algemene info omtrent de nieuwe versie;
  • Nieuwe eisen en praktische benadering.

Na de middag volgt een ‘Best practices'-workshop

Voor dit gedeelte rekenen wij op de input van de deelnemers Graag vernemen we voor de opleiding plaatsvindt met welke specifieke praktische auditproblemen uzelf of uw organisatie af te rekenen krijgt. Amelior zal aan de hand van deze input een toolbox samenstellen op maat van de deelnemersgroep. Met de docent als moderator wordt het namiddaggedeelte een groepsdiscussie. Uiteraard worden de naar voor gebrachte vragen en problemen behandeld vanuit de nieuwe richtlijn. Doordat wij de problemen vooraf oplijsten kunnen wij u tijdens deze opleiding ook effectieve raad, tips en tricks voor uw uitdagingen aanreiken.
Meer info en inschrijvingen...