Remote interne audit – zo doe je dat!

In tijden van corona werden audits ineens allemaal remote om de certificering te behouden. Maar hoe doe je dat?

Remote interne audit
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Interne audits zijn de controles die je doet om zeker te zijn dat je processen goed lopen én om te signaleren waar het beter kan. Organisaties doen dit soort audits op voor hen relevante thema’s, ten opzichte van een vastgestelde norm. Milieu voor een afvalverwerker conform ISO 14001; informatiebeveiliging voor een leverancier van een online platform conform ISO 27001; de kwaliteit van geproduceerde sensors conform ISO 9001. Recentelijk is de digitale revolutie heel snel gegaan in auditland: audits werden opeens allemaal ‘remote’, want bedrijven wilden hun certificering niet verliezen. Dat heeft soms energie gekost, maar is eigenlijk prima gegaan. In dit blogartikel delen we praktische tips met je omtrent hoe je een remote interne audit succesvol maakt.

Intern auditen

Om het aspect ‘remote’ apart te kunnen behandelen, is het goed om te kijken naar wat een reguliere, on-site, interne audit, eigenlijk is:

Je zoekt “zelf” naar bewijs van wel/niet naleven van je eigen afspraken (processen).

  • Die eigen afspraken moeten aan een norm voldoen. De vragen die gesteld moeten worden zijn dus gebaseerd op zowel de norm, alsmede op de werkwijze van de eigen organisatie.
  • Die “zelf” moet wel onafhankelijk en deskundig zijn met betrekking tot de normering. Om deze reden worden interne audits vaak (ook aan CAN) uitbesteed. Ook wel bekend als de “externe interne audit”.
  • De antwoorden op de vragen uit de audit moeten worden vastgelegd op zo’n manier dat de organisatie aantoonbaar zichzelf controleert en iets doet met de uitkomsten. In normtaal: auditrapportage moet worden behandeld bij directiebeoordeling en daar moeten beslissingen uit komen.

Dat bewijs vergaar je door te kijken naar drie bronnen: registratie/waarnemingen, documenten en interview:

  • Waarnemingen: staat een deur open die dicht moet zijn?
  • Documenten en registraties: zijn de offertes wel getekend gearchiveerd? Is in een dashboard zichtbaar dat alle malware updates uitgerold zijn?
  • Interview: nodig de ander uit om te vertellen hoe zaken in de praktijk verlopen.

Op basis van een vastgestelde planning check je de processen die onder het thema vallen (de scope) met relevante kennishebbers.

  • Je wilt elk deel van je hele scope in een cyclus van drie jaar minstens één keer checken, maar belangrijke of risicovolle zaken vaker.
  • Je plant mensen op tijd in en varieert, zodat je niet alleen de “goede spreekbuizen” hoort.

Wat heb je als interne auditor (dus) nodig voor een interne audit:

  • Een auditplanning en beschikbaarheid van de auditees;
  • Een auditrapport, waardoor je houvast hebt in het stellen van de vragen;
  • Kennis en kunde van de norm en het auditvak;
  • De gelegenheid zelf ‘op pad’ te gaan om waarnemingen te kunnen doen;
  • Leidinggevenden die met de resultaten van de interne audit aan de slag gaan;
  • Een positieve houding die de interne audit open en waardevol.

Bij ons recente webinar over dit onderwerp kwamen de meeste vragen over de beste manier van vastleggen van auditbevindingen. Heb je (daarover) ook vragen? Stel deze gerust!

Remote interne audit

Wat is er dan anders bij een remote interne audit? Qua doelstelling van de audit: niets. Je mag niet opeens aspecten van je auditproces overslaan omdat je niet fysiek op locatie bent. In de uitvoering zijn er natuurlijk wat uitdagingen, maar gelukkig ook kansen! En ja, remote auditeren mag, zowel intern als door je certificerende instelling. Remote auditeren is relevant voor elk onderwerp en elke norm.

Voor de duidelijkheid, een remote interne audit is een audit die op afstand wordt uitgevoerd. Via een digitale omgeving en met audiovisuele middelen wordt de audit uitgevoerd. Interviews worden online afgenomen. Waarnemingen worden gedaan door een ‘cameraman’ op afstand te sturen. Documenten en registraties worden online gecontroleerd. De remote audit moet inhoudelijk dezelfde resultaten kunnen realiseren als een audit op locatie. Het is aan de auditor om te zorgen dat de ‘online’ methode voldoet.

Laten we voorop stellen: de remote interne audit heeft voordelen!

  1. Zowel in de tijd van Corona, maar ook daarbuiten: sommige processen zijn risicovol.
  2. Je hebt veel minder reistijd en reiskosten. Het is niet nodig om mensen bij elkaar te brengen die prima op afstand hun werk kunnen doen. Dit is vooral heel praktisch voor organisaties met meerdere vestigingen of werkzaamheden op diverse locaties. Dat is ook gelijk milieuvriendelijker.
  3. Je bent flexibeler. In plaats van een (externe) interne auditor die per se op de dag dat hij er is mensen moet spreken, is het nu veel makkelijker om auditmomenten te spreiden gedurende het jaar. Dat past overigens ook goed bij de “stapsgewijs certificeren” aanpak die sommige certificeringsinstellingen gebruiken. En is er een niet-behandeld punt? Gewoon kort na het interne auditmoment een gaatje vinden om het punt alsnog te behandelen. Let op: dat is geen kans om dingen alsnog snel op orde te maken, maar kan ook later aantonen dat een afwijking is opgelost.
  4. Voorgaande punt maakt, afhankelijk van wat een leverancier voor je doet, het ook makkelijker om meerdere leveranciers te auditen (second party audit). Een mooie kans om je leveranciersbeheersing beter te maken dan alleen een leveranciersbeoordeling.

Remote interne audit: ‘Remote’ voorbereiden

Wat zijn naar aanleiding van de definitie hierboven van remote auditeren dan valkuilen en manieren om daar mee om te gaan:

“Digitale omgeving en audiovisuele middelen”

  1. De auditee(s) moet(en) een plek hebben waarbij hij/zij voldoende internetsnelheid heeft, een camera en microfoon (oortjes zijn praktisch), de mogelijkheid het scherm te delen, en toegang tot dezelfde documenten en registraties alsof de auditor naast hem staat. Bij voorkeur in alle rust en zonder lawaai van de productieomgeving.
  2. Hoeveel mensen nodig je uit? Houd het praktisch: per sessie maximaal 2 auditees. De introductie en afsluiting kan je natuurlijk met meer mensen doen.
  3. Een digitale omgeving of video-bellen applicatie zoals bijvoorbeeld Microsoft Teams.
  4. De zekerheid (afstemmen met de Security Officer is een goed idee) dat die digitale omgeving gebruikt mag worden voor de remote audit en welke documenten wel/niet op welke manier tijdens de audit gedeeld mogen worden. Het heeft meestal de voorkeur de digitale omgeving van je eigen organisatie te gebruiken. Wees terughoudend met het gunnen van toegangsrechten aan externe (interne) auditoren, maar help de auditor wel: een goede auditor moet alles kunnen bekijken wat hij wil.
  5. Afstemmen of het mag dat de audit wordt opgenomen (beeld en/of geluid). Hier zijn mogelijke privacy-issues, dus ons advies is: doe dit pas als je zeker bent van je zaak en iedereen hiervan op de hoogte en akkoord mee is!

“Inzage …. gebeurt online”

  1. Dit is eenvoudig voor digitale gegevens (mits niet te groot), een stuk lastiger voor papieren in mappen. Als je weet dat sommige zaken niet digitaal zijn, maak dan eventueel een afspraak vooraf over digitalisering.
  2. Voor controle van processen in de praktijk: veel kan met een camera! En waar het beter kan door er te zijn: dan beperk je het deel op locatie tot het noodzakelijke. Recentelijk begeleidden wij bijvoorbeeld een ISO 9001 certificeringsaudit van een gerenommeerd productiebedrijf dat ook montage op locatie doet. De hele fabriek is op afstand geauditeerd met gebruik van een mobiele telefoon: voor de montage-locatie werd wel gekozen voor een fysiek bezoek.

Wanneer je met voorgaande rekening hebt gehouden, dan moet het lukken. Om het beste resultaat te halen, zie hieronder onze verdere aanbevelingen.

Wil je meer weten over de interne audit? Of een audit door CertificeringsAdvies Nederland uit laten voeren? Bekijk dan onze interne audit pagina.

Beheersing van details maakt de meester!

De lijst tips die hieronder volgt kan eenvoudig worden samengevat tot ‘maak de omstandigheden van de remote audit zo dicht mogelijk bij die van een normale audit’.

  1. Voorbereiding is alles! Controleer je auditplan en check welke delen echt niet op afstand kunnen. Met betrekking tot de rest: zorg voor meer contact tussen auditor en auditee in de voorbereidingsfase. Gun de auditor meer tijd in de voorbereiding – dat scheelt tijd en informatieoverdracht tijdens de video-audit, waardoor die zich op de kern kan richten. Voor de auditee kan het veel rustiger zijn om op voorhand informatie bij elkaar te zoeken dan ‘live’ met een auditor die meekijkt.
  2. Test kort vooraf of het wel werkt. Ook in Nederland en zeker in het buitenland zijn er plekken waar deze verbinding niet voldoende is of de digitale middelen voor een auditee niet beschikbaar zijn.
  3. Zorg dat auditor en auditee beiden twee schermen ter beschikking hebben. Zo houd je contact met elkaar, houd je de sfeer makkelijker positief, en ben je minder tijd kwijt met heen-en-weer klikken om schermen te delen.
  4. Geef als interne auditor duidelijk aan hoe jij een ‘cameraman’ door de organisatie wilt sturen. Bij reguliere audits was er altijd al de controlevraag of een begeleider van de audit beschikbaar kon zijn: dit is een ideale cameraman. Geef daarbij aan dat je heel directief zal zijn: als een medewerker over een vaatje heen moet stappen om bij de deur van een chemieruimte te komen, dan moet dat kunnen. Geeft de medewerker aan dat dit niet veilig kan? Dan kan dat in het echt ook niet en is dat een auditbevinding.
  5. Waar laat je de cameraman naar kijken? Bijvoorbeeld naar orde en netheid van ruimte en machines en de traceerbaarheid van (deels) gereed product door orderbonnen (ISO 9001), voorraden stoffen op werkplekken (ISO 14001), de aanwezigheid van zichtwering tegen pottenkijkers (ISO 27001). Eén van de voordelen van een auditor die zichtbaar door de organisatie heen gaat was altijd het bewustzijn voor de medewerkers. Wij merken hetzelfde effect bij zo’n “cameraman”.
  6. Waar kun je de cameraman niet naar laten kijken en is dus reden om misschien toch langs te gaan voor specifieke onderwerpen?
    1. Hoe ’solide’ een fysiek product voelt;
    2. De temperatuur – een te hoge temperatuur leidt bijvoorbeeld tot openstaande deuren of te hete serverruimte – beiden relevant voor o.a. informatiebeveiliging;
    3. Geur en geluid (audiovisuele apparatuur vlakt geluid af qua volume).
  7. Remote auditen is ‘nieuw’ en voelt soms minder ‘menselijk’. Daardoor kost het de deelnemers vaak wat meer energie. Plan daarom pauzes!

Meer informatie?

We hopen dat je, met deze toelichting van de remote interne audit, dit goed of nóg beter op kunt pakken in jouw organisatie. Heb je toch nog vragen of kun je wel wat hulp gebruiken? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg.

NEEM CONTACT OP

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

  • Altijd een oplossing op maat
  • Jouw organisatie als uitgangspunt
  • Snel, pragmatisch en persoonlijk

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields