De interne audit

1. Bepaal het doel van de audit

Belangrijk is om bij het opstellen van het auditprogramma auditdoelen vast te stellen. Wat wil het management bereiken met de audits? Welke informatie moet het opleveren? Op welke vragen moet de audit antwoord kunnen geven? Het met het management vaststellen van de te bereiken doelen moetje niet via de e-mail doen. Daar krijg je in het algemeen geen zinvolle reacties op. Wat veel beter werkt is om samen met een leidinggevende een half uurtje om de tafel te gaan zitten en gewoon te vragen “Welke informatie heb jij nodig om de afdeling goed aan te sturen en hoe zou de eerstvolgende auditronde daarbij kunnen helpen?”

Nog te vaak is het auditprogramma gericht op het beoordelen van alle gedocumenteerde procedures, protocollen en instructies uit het kwaliteitsmanagementsysteem. Vaak wordt daarbij gekeken of de auditees de documenten kennen en weten waar ze staan. Procedures, protocollen en instructies zijn echter ontstaan met een doel, veelal (als het goed is) om risico’s in te perken. Om de effectiviteit van een procedure, protocol of instructie te kunnen bepalen is het daarom belangrijk dat ook wordt gekeken naar het doel van de procedure, het protocol of de werkinstructie en of dat doel nog wel nuttig is.

2. Bepaal de auditonderwerpen. Ga processen, onderwerpen en thema’s auditten die het management belangrijk vindt

De HKZ- en ISO-normen eisen dat gedurende de looptijd van het certificaat alle elementen van het kwaliteitsmanagementsysteem geaudit moeten zijn. Dat betekent in de praktijk dat in een periode van 3 jaar alle normeisen moeten zijn geaudit. Als je het kwaliteitsmanagementsysteem hebt opzet vanuit de normeisen kom je daarmee in de problemen, want hoe kan je in een beperkt aantal auditrondes de vele normeisen auditten? Bovendien is dit erg lastig te organiseren want als auditplanner moet je voortdurend zoeken op welke wijze en bij welke auditees je welke normeis hebt geregeld. Je krijgt daarmee ook niet de handen op elkaar bij het management.

Wat werkt wel?

Vertaal het doel van het auditprogramma samen met het management naar relevante auditonderwerpen. Dus als bijvoorbeeld het auditdoel is het vaststellen of de cliëntdossiers op de afdeling volledig op orde zijn, dan ligt het auditonderwerp voor de hand: audit de cliëntdossiers op de afdeling en neem daarvan een goede steekproef. Als het auditdoel is het vaststellen of het medicatiebeleid effectief is, dan ga je het medicatieproces auditten en als je op zoek wilt naar waar in de organisatie de bejegening van cliënten perfect op orde is, ga je een waarderende audit doen naar bejegening.

Ongeacht het auditonderwerp, ga bij het vaststellen van het auditonderwerp zoveel mogelijk uit van (kritische) processen. Dus processen die nodig zijn om de cliënt goed van dienst te zijn (‘de goede dingen doen’) en die beheerst moeten verlopen (‘de dingen goed doen’). En het moge duidelijk zijn dat dit processen zijn die relevant zijn voor het management.

3. Kies slimme auditcriteria. Gebruik criteria die afgeleid zijn van de organisatiedoelen en afdelingsdoelen

Een goede audit richt zich dus op (voor het management) relevante onderwerpen en geeft inzicht in welke mate aan de auditdoelen wordt voldaan. Om dit vast te kunnen stellen heb je relevante auditcriteria (ook wel toetsingskader genoemd) nodig. Onze ervaring is dat hier te weinig aandacht aan wordt geschonken en dat er wordt geaudit zonder dat de auditoren goede en relevante auditcriteria hebben. Het nadeel hiervan is dat het zonder goede auditcriteria nagenoeg onmogelijk is om tot zinvolle auditbevindingen te komen. Als de auditoren niet goed weten op basis van welke auditcriteria ze de verkregen informatie moeten ‘wegen’ dan gebeuren er twee dingen: of alles lijkt belangrijk en je krijgt een hausse aan veelal kleine en vaak niet echt belangrijke auditbevindingen, of er worden totaal geen auditbevindingen gevonden, terwijl die er wel waren.

Auditcriteria zijn dus belangrijk, maar hoe kom je tot auditcriteria?

Natuurlijk kun je de normeisen van de HKZ of ISO proberen te vertalen naar auditcriteria, maar dan heb je de kans dat je alleen op de conformiteitsaudit blijft zitten waarmee je wellicht je auditdoelstellingen niet realiseert. Leidt dus de auditcriteria af van de auditdoelstelling.

Voorbeeld: stel dat het auditdoel is het vaststellen van de effectiviteit van het medicatieproces.

Je kunt de audit dan wel willen richten op zaken als de aftekenlijst, wie er bevoegd en bekwaam zijn, de medicatiekast, etc. maar dan weet je nog niet of het doel van het medicatieproces wordt bereikt. Dit doel zal vaak iets zijn als: ‘zorg dat de cliënt de juiste medicatie op het juiste moment, in de juiste dosering krijgt.’ Ga dus via de audit onderzoeken of de cliënt altijd de juiste medicatie op het juiste moment in de juiste dosering krijgt. Gaat dit wel eens mis? En hoe vaak gaat het mis?

Een goed auditprogramma richt zich dus op relevante onderwerpen en gebruikt hierbij relevante auditcriteria waarmee kan worden vastgesteld of de auditdoelen worden gerealiseerd.

4. Rapporteer feitelijke auditbevindingen en laat zien hoe ernstig of niet-ernstig de bevinding is

De zinsnede ‘hoe vaak gaat het mis’ brengt ons bij de kwaliteit van de auditrapportages. Zoals eerder gesteld ervaren we dat het feitelijk en concreet rapporteren van auditbevindingen voor veel auditoren lastig is. Te vaak nog zien we meningen van de auditoren, nietszeggende opmerkingen of bevindingen en krijgen we geen inzicht hoe ernstig of risicovol de auditbevinding is. Dit nodigt het management dan ook niet uit om tot actie over te gaan.

Hoe moet het wel?

Als je je als auditor hebt gericht op relevante auditonderwerpen en je hebt daarbij goede auditcriteria gebruikt, is het natuurlijk hartstikke zonde als je vervolgens met een niet-bruikbare auditrapportage komt. Er zijn een paar punten waar je bij het maken van de auditrapportage op moet letten:

• Hou het feitelijk. Beschrijf de feitelijke situatie en bevinding zoals je die hebt waargenomen en hou daarbij het auditdoel voor ogen. Welke informatie wilde het management ook al weer krijgen?

• Maak duidelijk van welke auditcriteria wordt afgeweken. Waarom is het eigenlijk een bevinding?

• Maak vervolgens ook zichtbaar hoe ernstig de bevinding is. Hoe vaak kwam het voor en hoe groot was eigenlijk je steekproef en tot welk risico leidt de bevinding?

Dus niet meer schrijven: ‘het dossier is niet helemaal volledig’, maar ‘de auditor constateert dat in 2 van de 3 bekeken cliëntdossiers de inventarisatie van de cliëntrisico’s ontbreekt. Het mogelijke risico van deze bevinding is dat er onvoldoende zicht is op welke veiligheidsrisico’s deze twee cliënten lopen.’

Conclusie

Een goede audit kan een krachtig instrument zijn om het kwaliteitsmanagementsysteem gericht te verbeteren of te optimaliseren. Om dat voor elkaar te krijgen heb je wel een goed doordacht auditprogramma nodig. Een auditprogramma dat bestaat uit duidelijke doelen (wat willen we weten), passende auditonderwerpen (wat moeten we onderzoeken om aan onze informatie te komen), relevante auditcriteria (welke maatstaf hanteren om te bepalen of het een auditbevinding is of niet) en een feitelijke, concrete auditrapportage die direct zichtbaar maakt voor een leidinggevende of hij of zij in actie moet komen of niet. Het betrekken van de (individuele) leidinggevende bij het opstellen van het auditprogramma in 1-op-1 gesprekken is hierbij cruciaal.

In de Walvisgeluiden van september richten we ons op de volgende fase van de interne audit: hoe komen we van auditbevindingen tot effectieve verbeteringen?