De vraag

Audits - Wat is dat precies en hoe zit dit in mekaar?

In kader van de ISO9001 krijgen we elk jaar een extern auditteam over de vloer. Maar we doen ook interne audits. Sandy Bogaert, specialist organisatiebeheersing, is hier verantwoordelijk voor. We vroegen aan haar wie of wat bepaalt welke afdelingen, teams en processen aan bod komen. En hoe zo’n auditproces eruit ziet.

Auditplan

Op het einde van elk jaar maak ik een intern auditplan op. Dat is een overzicht van de te auditen afdelingen, teams en processen voor het jaar nadien. Ik verzamel hiervoor input tijdens mijn jaarlijkse rondgang bij de verschillende afdelingen en de stuurgroepen.

Het interne auditplan vul ik in volgens deze principes.

  • Overkoepelende audits of interne toezichtsaudits Jaarlijks screen ik drie afdelingen: 1 TAW en 2 centrale afdelingen. Ik wissel af, elk jaar komen er andere afdelingen aan bod. Ik probeer wel rekening te houden met de planning van de externe audit zodat een afdeling in eenzelfde jaar geen twee keer wordt geaudit.
  • Audits van afwijkingen Dat kan gaan om een fout gelopen dienstverlening, een probleem met rapportage, een incident, een project met veel obstakels … Belangrijk om mee te geven is dat ik me nooit focus op menselijke fouten tijdens zo’n audit, maar wel op mogelijke fouten of tekortkomingen in het proces.
  • Audits van een nieuw proces, een nieuwe werking Zijn er nieuwe processen, nieuwe afdelingen en teams (denk aan de pijler V&W), dan zet ik die een jaar later op mijn planning.
  • Thema-audits Hier vallen de rest van de audits onder. Het gaat om topics of processen die onder de aandacht komen door een eerdere audit, door een evolutie of trend van buitenaf, omdat een afdeling of stuurgroep het topic aanstipt … Ook Europese subsidies kunnen een aanzet geven. Zo’n subsidies leveren aan onze projecten extra middelen, maar vragen veel rapportering en controles. Met een audit gaan we na of onze werking het mogelijk maakt om aan deze extra rapporteringsnoden te voldoen.

Wellicht komt er volgend jaar nog een vijfde principe bij rond informatieveiligheid. Omdat onze organisatie onder de NIS 2-wetgeving valt, moeten we een ISO 27001 certificering behalen. Daar horen ook de nodige audits bij.

Intakegesprek

Elke audit start met een intakegesprek met het afdelingshoofd, de stuurgroep en/of de proceseigenaar om het proces te overlopen, wie erbij betrokken is, wat de doelstellingen zijn. Dan bepalen we wat in de scope zit en wat de timing van de audit is.

Onderzoek

Dan begint mijn onderzoek. Dat duurt ongeveer één à twee maanden. Ik voer gesprekken met de betrokkenen bij het proces, duik in de procesdocumentatie, kijk naar de structuur van de eventuele toepassingen die de processen ondersteunen … Ik probeer zoveel mogelijk informatie te objectiveren, dat is heel belangrijk.

Auditrapport

Mijn analyse schrijf ik neer in het auditrapport, samen met mijn aanbevelingen en opmerkingen. Ik schrijf het zo helder en neutraal mogelijk. Zoals ik al eerder aangaf is het niet de bedoeling om met de vinger te wijzen naar collega’s of teams, maar wel om handvatten aan te reiken waarmee ze aan de slag kunnen om hun proces beter te maken. Daarom presenteer ik mijn ontwerprapport altijd eerst met de betrokkenen zelf, vooraleer ik het definitief oplever. Ik vind het belangrijk dat iedereen er zich in kan vinden, en dat ik alles goed begrepen heb. Als het nodig is, doe ik nog aanpassingen. We overlopen ook de aanbevelingen en plakken er een haalbare deadline op. Het uiteindelijke auditrapport licht ik toe aan het afdelingshoofd, de stuurgroep, en/of de proceseigenaar. Ik bezorg het ook aan de directieraad.

Opvolging

Alle aanbevelingen uit mijn auditrapporten verzamel ik in een opvolgtabel. Zo heb ik een overzicht met bijhorende timings. In september neem ik de tabel in handen en check ik wat in orde is. Dat koppel ik terug naar de directieraad. Zo draagt de interne audit bij tot de continue verbetering van onze werking. Dat is het uiteindelijke doel van dit proces.