Een audit begint zelden met spanning.
Meestal begint het vrij praktisch.
Een auditor stelt een paar vragen.
Hoe registreren jullie incidenten?
Wie beslist wanneer een risico acceptabel is?
Hoe worden verbeterpunten opgevolgd?
De eerste antwoorden zijn vaak duidelijk. Er is een document, een overzicht of een procedure. Alles lijkt logisch.
Maar dan komt vaak een tweede vraag.
“Kun je laten zien hoe dat in de praktijk werkt?”
Op dat moment verandert het gesprek. Niet omdat er iets mis is, maar omdat zichtbaar wordt hoe het dagelijks werk zich verhoudt tot wat er is vastgelegd. Wat eerst vanzelfsprekend leek, moet ineens worden uitgelegd.
Daar begint de echte audit.
De herkenbare spanning rond audits
Voor veel organisaties voelt een audit als controle. Alsof iemand komt toetsen of alles klopt. Daardoor verschuift de aandacht snel naar bewijs: documenten, registraties en rapportages.
Dat is begrijpelijk. Wanneer een auditor vraagt naar risico’s of incidenten, wil je laten zien dat het onderwerp serieus wordt genomen.
Toch blijkt in de praktijk dat auditors zelden alleen geïnteresseerd zijn in documenten. Ze proberen iets anders te begrijpen: hoe beslissingen tot stand komen.
Niet of er een lijst met risico’s bestaat, maar hoe die lijst wordt gebruikt.
Niet of incidenten worden geregistreerd, maar wat er daarna gebeurt.
In veel organisaties zit precies daar de spanning.
Waarom dit probleem ontstaat
In veel organisaties zijn processen grotendeels impliciet georganiseerd. Mensen weten hoe het werk loopt. Rollen zijn duidelijk omdat teams klein zijn en iedereen elkaar kent. Beslissingen ontstaan in gesprekken en worden snel opgepakt.
Dat werkt vaak prima.
Totdat iemand van buiten meekijkt.
Een auditor kijkt namelijk zonder de context van het dagelijks werk. Wat voor het team logisch voelt, moet ineens worden toegelicht. Waarom een risico prioriteit kreeg. Waarom een maatregel voldoende werd gevonden. Waarom een incident geen vervolg kreeg.
Op dat moment wordt zichtbaar hoeveel kennis nooit expliciet hoefde te worden gemaakt.
Niet omdat het werk onzorgvuldig is gedaan, maar omdat de logica altijd vanzelfsprekend was.
De reflex van meer documentatie
Wanneer organisaties zich voorbereiden op audits, ontstaat vaak dezelfde reflex: meer vastleggen.
Er worden extra procedures geschreven. Overzichten uitgebreid. Registraties gedetailleerder gemaakt. Het idee is eenvoudig: als auditors bewijs vragen, moet dat bewijs ergens staan.
Maar meer documentatie betekent niet automatisch meer duidelijkheid.
Wanneer documenten losstaan van de praktijk waarin beslissingen worden genomen, blijven ze vooral bestaan voor het moment waarop iemand ernaar vraagt. In het dagelijks werk spelen ze een veel kleinere rol.
Auditors merken dat snel. Ze stellen dan vragen die niet over het document zelf gaan, maar over wat erachter zit.
Wie beslist wanneer een risico wordt geaccepteerd?
Wie bepaalt of een incident wordt opgevolgd?
Wanneer is een maatregel werkelijk afgerond?
Het zijn vragen over keuzes, niet over documenten.
Wat auditors proberen te begrijpen
In de praktijk proberen auditors vooral te beoordelen of een organisatie haar eigen werkwijze begrijpt.
Dat wordt zichtbaar in drie signalen.
Consistentie.
Vergelijkbare situaties worden op vergelijkbare manier behandeld.
Herleidbaarheid.
Beslissingen zijn later nog te reconstrueren.
Eigenaarschap.
Het is duidelijk wie verantwoordelijk is voor opvolging.
Wanneer deze drie elementen aanwezig zijn, ontstaat vertrouwen. Zelfs wanneer processen nog niet perfect zijn uitgewerkt.
Het verschil tussen vastleggen en begrijpen
Veel organisaties proberen audits te doorstaan door zo volledig mogelijk te zijn. Alles moet ergens staan.
Maar volledigheid is zelden het probleem.
Het echte probleem ontstaat wanneer iets wel geregistreerd is, maar niet meer te begrijpen.
Een risico staat in een overzicht, maar niemand weet waarom het zo is beoordeeld.
Een maatregel staat als afgerond, maar het effect is nooit besproken.
Een incident is geregistreerd, maar de afweging erachter ontbreekt.
Voor een auditor voelt dat instabiel. Niet omdat het per se fout is, maar omdat de logica achter de keuzes niet meer zichtbaar is.
Daarom weegt uitleg vaak zwaarder dan volledigheid.
Structuur als hulpmiddel
Structuur betekent hier niet meer regels of extra administratie. Het betekent dat beslissingen herkenbaar blijven.
Waarom is een risico zo beoordeeld?
Wie besloot dat een maatregel voldoende was?
Wanneer is bewust gekozen om iets niet te doen?
Wanneer die vragen later nog beantwoord kunnen worden, ontstaat rust. Niet alleen voor auditors, maar ook binnen de organisatie zelf.
Discussies worden korter. Overdrachten eenvoudiger. Prioriteiten duidelijker.
De audit verandert daarmee van een zoektocht naar bewijs in een gesprek over hoe het werk georganiseerd is.
Reflectie
Een audit gaat zelden over het vinden van fouten. Het gaat over begrijpen hoe een organisatie werkt.
Wanneer keuzes zichtbaar blijven, ontstaat vertrouwen. Niet omdat alles perfect is vastgelegd, maar omdat de logica achter beslissingen herkenbaar blijft.
Daarmee verandert ook de rol van een audit. Het wordt een moment waarop duidelijk wordt of structuur en praktijk nog met elkaar verbonden zijn.
En precies daar wordt zichtbaar wat auditors feitelijk testen, ook als ze het niet zo noemen.
Verder lezen
- Een interne audit werkt pas als mensen durven zeggen wat niet klopt
- Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt
- Waarom procesanalyse cruciaal is als je beslissingen wilt kunnen uitleggen
- Audits gaan zelden alleen over documenten. Auditors kijken vooral of keuzes, verantwoordelijkheden en opvolging begrijpelijk en consistent zijn.
Geef een reactie