1. 38 www.sigmaonline.nl SIGMA Nummer 5, november 2016
AUDITING Trefwoorden
Audit
Certificatie
Continu verbeteren
Organisatie leren
Auteurs
Antonie Reichling
Hans Lekkerkerk
Auditing: (g)een gebed
zonder end?
Als auditing systematisch zou bevorderen dat de geauditeerde organisa-
tie continu verbetert, zou de frequentie van auditing kunnen afnemen.
Maar het auditen van managementsystemen voor certificatie herhaalt
zich met een voorgeschreven frequentie en aantal dagen audittijd. In
het slechtste geval houden auditor en auditee elkaar gevangen in een
tredmolen. Is het inderdaad zo dat people dont do what you expect,
they do what you inspect? Of schiet de effectiviteit van certificatie-
auditing tekort?
De effectiviteit van certificatie-auditing
2. 39www.sigmaonline.nlSIGMA Nummer 5, november 2016
20,000
18,000
16,000
14,000
12,000
10,000
8,000
6,000
4,000
2,000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
0
AUDITING
Certificatie beoogt dat belanghebbenden duurzaam vertrou-
wen kunnen stellen in de effectiviteit van het management-
systeem van de auditee (ISO 17021:2011 10.2.3). In
gewone taal: de organisatie komt (minstens) haar afspraken
met klanten na en waar het beter moet of kan, onderneemt
de organisatie actie.
Certificatie geeft geen absolute garantie, het verlenen van
het certificaat is gebaseerd op een steekproef in een organi-
satie waar feilbare mensen werken. Een auditormanager van
een grote certificatie-instelling formuleerde de betekenis van
het certificaat ooit als volgt: Het managementsysteem heeft
geen grote tekortkomingen, de auditee is duidelijk klant-
gericht en er is sprake van continu verbeteren.
Vooral dit laatste is van belang wil auditing niet slechts een
momentopname zijn. Voor duurzaamheid moeten belangheb-
benden kunnen vertrouwen dat in tussenliggende perioden
de auditee zelf corrigerende maatregelen neemt waarmee
herhaling van tekortkomingen wordt voorkomen leren en
preventieve maatregelen neemt (risicobeheersing) waarmee
tekortkomingen worden voorkomen proactief leren.
Voor effectieve certificatie-auditing moet, naast bovenvermel-
de redenen, het doel per conclusie ook leren zijn. De
vraag is wanneer en hoe dit leerdoel aan de orde komt.
Acceptatie van de norm
Certificatie-auditing gebeurt tegen normen zoals de ISO
9001:2015 voor kwaliteitsmanagementsystemen. Reichling
en Jonker voerden eerder aan dat het van belang is dat
de auditee het referentiekader (lees: de norm) omarmt
(Reichling en Jonker, 2015). Dat dit zo is, wordt in certifica-
tie-auditing over het algemeen stilzwijgend aangenomen.
Maar klopt dat ook? Hoe groot is 端berhaupt de kennis van
de norm in diverse geledingen van de organisatie? Hoe vaak
en met wie is die norm bestudeerd en besproken? Na de
vertaling van de norm in het eigen managementsysteem
verliest deze de aandacht. Zo blijkt uit audits keer op keer
dat eisen voor bijvoorbeeld de input voor de management-
review in de uitvoering worden vergeten.
Cruciaal is de aandacht die auditoren besteden aan het
stellen en gezamenlijk beantwoorden van de en dus vraag.
Wat gaat er goed als je iets volgens de norm doet, wat zijn
Organisaties zijn druk bezig met auditen en geaudit worden.
In 2014 zijn wereldwijd 1.138.155 ISO 9001:2008-certifica-
ten verleend (zie tabel 1). In Nederland stond de teller op
10.433. Voor al deze organisaties betekent de certificatie
een forse investering, denk aan de out-of-pocket kosten van
de beoordeling en de interne kosten van de uren van de ge-
auditeerde organisaties (de auditees). In de beleving van
het moet van ISO kunnen daar nog aardig wat uren bij-
komen, bijvoorbeeld het documenteren van afwijkingen.
Hoe werpt deze inspanning maximaal zijn vruchten af?
De eerste vraag is dan wat auditees hopen te bereiken met
certificatie en of dat doel voor de auditerende instelling (de
auditor) en de auditee helder is en gedeeld.
Ten tweede is de vraag in welke mate de norm waartegen
geaudit wordt geaccepteerd is.
Het doel van certificatie
Certificatie is succesvol en een positieve ervaring als alle
medewerkers ge谷ngageerd zijn (Manders, 2015). Ofwel: de
reden of het doel moet begrepen en omarmd zijn.
Een organisatie kan om verschillende redenen besluiten zich
te laten certificeren. Het kan gaan om commerci谷le overwe-
gingen (zonder certificaat geen business met bepaalde klan-
ten), als stok achter de deur bij de ontwikkeling en instand-
houding van een managementsysteem, of om de kans te
leren van de onafhankelijke blik van een derde. In het laat-
ste geval is er sprake van engagement.
In de norm ISO 17021:2011 staat het doel als volgt om-
schreven: de certificatie van een managementsysteem
biedt onafhankelijk bewijs dat het managementsysteem van
een organisatie:
1. aan de voorgeschreven eisen (de norm) voldoet,
2. in staat is om op consistente wijze haar gestelde beleid
en doelstellingen te verwezenlijken en
3. op doeltreffende wijze is ingevoerd (pagina 5).
In minder dan 50 woorden
Er zijn veel mogelijkheden om de effectiviteit van certificatie-
audits te vergroten.
Belangrijk is dat de auditee de norm omarmt en dat alle
medewerkers ge谷ngageerd zijn.
Voor effectieve certificatie-auditing moet het doel ook leren
zijn.
De Tafel van 11 en gemeenschappelijke betekenisgeving
bieden handvatten voor effectievere audits.
Tabel 1. Diagram ISO 9001-certificaten in Nederland
(Bron: ISO Survey 2014)
3. 40 www.sigmaonline.nl SIGMA Nummer 5, november 2016
Large Simple
Multi-site
Few processes
Repetitive
processes
Small scope
Large Complex
Multi-site
Many processes
Large scope
Unique
processes
Design
responsible
Many processes
Design
responsible
Large scope
Unique
processes
Small Complex
Starting point from
Table OMS 1
Client System Complexity
OrganizationDistribution
Few processes
Small scope
Repetitive
processes
Small Simple
AUDITING
uitgevoerde audits (9.1.4.1). Een van de in ISO
19011:2011 en IAF MD 5:2015 genoemde factoren is het
ontwikkelingsniveau of de volwassenheid van het manage-
mentsysteem, een begrip dat verder ongedefinieerd blijft.
Het vermogen van de auditee om de eigen broek op te
houden wordt niet als factor genoemd. De praktijk lijkt zo
goed als geen aan volwassenheid gerelateerde verminde-
ring van audittijd te laten zien. Samenvattend: maatwerk,
hoezo?
Certificatie is gestandaardiseerde handhaving
In 2004 publiceerde het Ministerie van Justitie de zogeheten
Tafel van 11 (tabel 3). De Tafel van 11 heeft als doel wets-
voorstellen te beoordelen op hun nalevingskansen. De tafel
omvat 11 factoren die verdeeld zijn over twee dimensies:
spontane naleving en handhaving. Spontane dimensies zijn
kennis van regels, kosten en baten, acceptatie, norm-
getrouwheid van de doelgroep en niet-overheidscontrole.
Handhavingsdimensies vragen een permanente investering.
(Externe) handhaving roept daarenboven een reactie op van
how to beat the system, denk aan Demings People with
targets and jobs dependent upon meeting them, will probably
meet the targets even if they have to destroy the enterprise
to do it (bron: W. Edwards Deming, retrieved from
www.brainyquote.com 8/3/16).
Handhavingsdimensies Overwegingen auditee
6. Meldingskans Wat is de kans dat een klant
over ons klaagt bij de certifi-
catie-instelling?
7. Controlekans Wat is de kans dat ze juist
mij auditen?
8. Detectiekans Wat is de kans dat ze er ach-
ter komen hoe het zit?
9. Selectiviteit Wat is de kans dat ze juist
hierop inzoomen?
10. Sanctiekans Wat is de kans dat we daar-
door het certificaat kwijtra-
ken?
11. Sanctie-ernst In het ergste geval raken we
het certificaat kwijt.
Certificatie maakt deel uit van handhaving, gestandaardi-
seerd. De auditor ziet daarbij toe. People dont do what you
expect, they do what you inspect (Louis V. Gerstner Jr.,
American Express, IBM). Dit wantrouwen, dat herkenbaar is
in veel toepassingen van PDCA, is contraproductief
(Vinkenburg, 2006): hoe minder, hoe beter.
de consequenties als je niet compliant bent? Antwoord op
en dus maakt van een vink of een kruis een conclusie.
Een blik op rapportageformats stemt niet altijd vrolijk over
de ruimte die hiertoe wordt geboden. Het blijft meestal bij
de constatering van minor of major non-conformities omdat
het niet volgens de (letter van de) norm is.
Certificatie op maat?
ISO 19011:2011 laat enigszins in het midden wie de verifi-
catie van maatregelen uitvoert: de auditor in een vervolg-
audit, of de organisatie zelf (6.7)?
De 17021:2011 laat er geen twijfel over bestaan: de audi-
tor. ISO 17021:2011 9.1.1.1 stipuleert dat het auditpro-
gramma voor de volledige certificatiecyclus duidelijk maakt
hoe wordt aangetoond dat het managementsysteem voldoet
aan de certificatie-eisen volgens de norm(en). Een hand-
reiking naar de mogelijk verschuivende prioriteiten van de
organisatie ontbreekt. In de praktijk hanteren certificatie-
instellingen vervolgens vaste opvolgtermijnen, gerelateerd
aan de zwaarte van de bevinding. Het stellen van relevante
doelen en plannen en uitvoeren met het oog op timing van
resultaten (Reichling en Jonker, 2015) krijgen weinig tot
geen aandacht.
Het vaststellen van de tijdsduur van een management-
systeem audit is gebaseerd op het IAF Mandatory Document
5:2015. Vanuit een tabel (Annex A) gebaseerd op perso-
neelsaantallen, wordt een audittijd berekend gecorrigeerd
voor complexiteit en risico (3.7, 8) (tabel 2).
De variatie van audittijd ten opzichte van de tabel is maxi-
maal 30% minder, er is geen bovengrens. ISO 17021:2011
heeft het onder meer over de resultaten van alle eerder
Tabel 2. Diagramrelatie tussen complexiteit en audittijd,
IAF MD 5:2015
Tabel 3. Handhavingsdimensies Tafel van 11
4. 41www.sigmaonline.nlSIGMA Nummer 5, november 2016
AUDITING
Complimenten en meedenken, of niet?
Bij continu verbeteren is het eigenaarschap van de verbete-
ring een belangrijke factor. Wordt er daadwerkelijk aan
gewerkt of heeft de waan van de dag de overhand? Hier
vormt certificatie-auditing de stok achter de deur, want
opschorting of zelfs ontneming van het certificaat is de
sanctie. Maar als de verbetering daadwerkelijk door de
auditee als noodzakelijk wordt gezien, in welke mate is die
sanctionerende aanpak dan noodzakelijk? Of werkt die
zelfs contraproductief? Flora (2000) voert aan dat vijf
complimenten op 辿辿n kritiekpunt een effectieve verhouding
is. Auditrapporten voldoen hier niet aan. Zelfs de auditees
zelf nemen vaak niet de tijd hun successen en succesjes
te markeren.
De verantwoordelijkheid voor verbetering ligt bij de auditee.
Maar de auditors beschikken over de kennis en ervaring om
toegevoegde waarde te cre谷ren voor de auditee.
Zo bestaat bij interne of tweedepartij-auditing de mogelijk-
heid om in de oorzaakanalyse mee te denken met de audi-
tee (ISO 19011:2011 6.4.8).
Bij certificatie-auditing is het de auditor echter verboden
de oorzaak aan te geven (ISO 17021:2011 9.1.9.6.3).
Mogelijk is de achterliggende redenering de onafhankelijk-
heid van de auditor. Hier slaat ISO 17021:2011 de plank
mis. Oorzaak- en gevolgredeneringen zitten al opgesloten
in de PDCA-cyclus en in de opzet van ISO 9001:2015
(fig. 1).
De vraag is dus naar welk bewijs de auditor op zoek gaat.
Met andere woorden: aan welke onderwerpen besteedt hij
zijn tijd en hoe presenteert hij, in samenhang, zijn bevindin-
gen? Wat dit laatste betreft bieden de rapportageformats
weinig tot geen (expliciete) ruimte, ze hebben nog te veel
weg van gekwalificeerde vinklijsten.
Hoe kan het beter? 5 voorwaarden
In een eerder artikel presenteerden Reichling en Jonker
gemeenschappelijke betekenisgeving als middel om
gemeenschappelijke doelen met een sterk commitment te
bereiken (Reichling en Jonker, 2015). Hiervoor moet aan vijf
voorwaarden voldaan worden (Weick, 1993 in Reichling en
Jonker, 2015):
1. Handelen moet uitnodigen tot rechtvaardiging: zoek naar
en bespreek steeds weer de baten die de kosten van
certificatie moeten dekken.
2. Handelen moet zichtbaar zijn: leef als leiding het gewens-
te gedrag voor, in het bijzonder bij crises. Integreer jaar-
verslag en directiebeoordeling, wat vindt de organisatie nu
echt belangrijk?
3. Handelen moet onherroepelijk zijn: bespreek de moeilijke
weg terug als eenmaal voor certificatie gekozen is. Hoe
leg je als organisatie aan klanten uit dat je bij nader
inzien er toch maar mee stopt? Nog los van het feit dat
sommige klanten certificatie als een absolute voorwaarde
stellen.
4. Handelen moet zelfgekozen zijn: benut een eventuele
mogelijkheid om aandachtspunten voor de volgende audit
af te spreken. Gebruik de ruimte in het auditprogramma.
5. Handelen moet als belangrijk ervaren worden: blijf als
organisatie en als auditor steeds in gesprek over het doel
van certificatie.
Als het handelen als belangrijk wordt ervaren, dan is de
kans op spontane naleving groter. Het auditprogramma
wordt onder andere op basis van het aangetoonde niveau
van doeltreffendheid van het managementsysteem en de
resultaten van eerdere audits ingevuld (ISO 17021:2011
9.1.1.2).
Als certificerende instellingen daarbij de nadruk zouden
leggen op de aspecten die spontane naleving bevorderen,
dan vermindert de behoefte aan een audit. Spontane
naleving is het resultaat van inspirerend en congruent
Voor duurzaamheid in certificering moeten belang-
hebbenden erop kunnen vertrouwen dat de auditee
tussentijds zelf corrigerende maatregelen neemt.
Figuur 1. Diagram PDCA-cyclus in ISO 9001:2015
Organisatie
en haar
omgeving
(4)
Eisen van
klanten
Behoeften en
verwachtingen
van relevante
belangheb-
benden (4)
Kwaliteitsmanagementsysteem (4)
Do
Evaluatie van
de prestaties
(9)
Check
Verbetering
(10)
Klanttevred-
enheid
Producten en
diensten
Resultaten
van het
kwaliteits-
manage-
mentsys-
teem
Act
Planning
(6)
Plan
Leiderschap
Ondersteuning
(7)
Uitvoering
(8)
5. 42 www.sigmaonline.nl SIGMA Nummer 5, november 2016
leidinggeven. Met congruent wordt bedoeld dat woorden
en daden overeenstemmen. Geordend in een volgorde die
aansluit op PDCA, zien interventies voor spontane naleving
volgens de Tafel van 11 er uit als in tabel 4.
Naarmate een organisatie slechter op deze interventies
presteert, wordt handhaving noodzakelijk. De vraag is in
hoeverre externe belanghebbenden inzicht hebben in het
niveau van spontane naleving. Certificatie levert dan een
objectief bewijs hiervan.
Wat ook bijdraagt is belangrijkere onderwerpen aansnijden.
Grondoorzaken en systemische elementen zijn belangrijker
dan compliance en technische details. Een audit die infor-
matie oplevert over onderwerpen uit de Plan-, Do- of Check-
box met wijdvertakte en belangrijke consequenties voegt
waarde toe. Of dit het geval zal zijn, heeft in hoge mate te
maken met de kwaliteit van de voorbereiding van de audit.
En dat brengt de eerste handreiking in gedachten: de audit-
methodiek (Reichling en Jonker, 2015).
Conclusie
In dit artikel hebben de auteurs een aantal onderwerpen
besproken waardoor certificatie-audits aan effectiviteit
inboeten. Zij verwerpen het adagium people dont do what
you expect, they do what you inspect. Er zijn voldoende
mogelijkheden om de effectiviteit van certificatie-audits te
vergroten. Gemeenschappelijke betekenisgeving en de
dimensies van spontane naleving uit de Tafel van 11 bie-
den handvatten. Certificerende instellingen en toezicht-
houders kunnen veel van elkaar leren, er zijn voldoende
voorbeelden van best practices. In alle gevallen is mensen
en daarmee organisaties aanspreken op hun waarden
en ambities en die benutten om zwakkere punten aan te
pakken, een effectieve aanpak (Van Boxtel en Dijkman,
2015).
Dimensies van spontane naleving In de context van auditing ISO -paragrafen
4. Normgetrouwheid doelgroep Wordt continu ge誰nvesteerd in de gezamenlijkheid
van alle medewerkers?
Hoofdstuk 5
3. Mate van acceptatie Dient ieder onderdeel van het managementsysteem
het gezamenlijke doel?
Hoofdstuk 6, 7.3
2. Kosten en baten Is ieder onderdeel van het managementsysteem
goed ontworpen, rekening houdend met alle belang-
hebbenden?
Hoofdstuk 5, 6
1. Kennis van regels Wordt ieder onderdeel van het management-
systeem goed gecommuniceerd?
Paragrafen 6.3, 7.2,
7.4
5. Niet-overheidscontrole Is er een cultuur waarin fouten maken mag en feed-
back geven en ontvangen gewoon is?
Hoofdstuk 5
Literatuur
Boxtel, A. van en Dijkman, A. (2015). Goud, Potentieelontwikkeling
voor mensen en de organisaties waar zij werken, Zaltbommel:
Thema.
Expertisecentrum Rechtspleging en Rechtshandhaving (ERR) van het
ministerie van Justitie (2000). De Tafel van Elf, Utrecht: CCV.
Flora (2000). Praises Magic Reinforcement Ratio: Five to One gets
the Job Done, The Behavior Analyst Today, vol. 1, no. 4.
IAF Mandatory Document 5:2015. Determination of audit time of
quality and environmental management systems. Quebec:
International Accreditation Forum.
ISO 17021:2011. Conformiteitsbeoordeling Eisen voor instellingen
die audits en certificatie van managementsystemen uitvoeren. Delft:
Nederlands Normalisatie-Instituut.
ISO 19011:2011. Richtlijnen voor het uitvoeren van audits van
managementsystemen. Delft: Nederlands Normalisatie-Instituut.
ISO 9001:2015. Kwaliteitsmanagementsystemen Eisen. Delft:
Nederlands Normalisatie-Instituut.
Manders (2015). Implementation and Impact of ISO 9001.
Rotterdam: Erasmus Universiteit
Reichling, A.J.M. en Jonker, J. (2015). Hoe het auditproces bijdraagt
aan leren, Gemeenschappelijke betekenisgeving tussen auditor en
auditee, Sigma, nr. 4, september 2015.
Vinkenburg, H. (2006). Dienstverlening; paradigmas, deugden en
dilemmas. Deventer: Kluwer.
Weick, K. (1993). Sensemaking in organizations: Small structures
with large consequences. In: Weick, K. (2001). Making Sense of the
Organization. Malden: Blackwell Publishing.
Auteurs
Antonie Reichling is sinds 1992 vrij gevestigd als organisatie-
coach. Met zijn expertise op het snijvlak van strategisch manage-
ment, kwaliteitsmanagement en projectmanagement, helpt hij orga-
nisaties in binnen- en buitenland duurzame oplossingen te cre谷ren.
Als Certiked-beoordelaar is organisatieleren voor hem een speer-
punt. www.reichling.nl.
Dr.ir. L.J. Lekkerkerk (Hans) werkt sinds 1997 als senior docent en
onderzoeker aan de Nijmegen School of Management van de
Radboud Universiteit Nijmegen op het gebied van organisatieont-
werp en innovatie. Hij is in 2012 gepromoveerd op een onderzoek
naar het ontwerpen van de innovatiestructuur. Daarvoor werkte hij
bij Fokker (1985-96) en Leeuwendaal Advies, onder andere op het
gebied van kwaliteitszorg. E-mail: h.lekkerkerk@fm.ru.nl.
AUDITING
Tabel 4. Dimensies spontane naleving Tafel van 11