Audit løgne - ISO Academy

Auditløgne..
På mange opfordringer er jeg blevet bedt om at genoptrykke en ældre
artikel, jeg skrev i 2001.
Uagtet at vi nu skriver 2013 må vi desværre stadig erkende, at der
hersker mange myter og misforståelser omkring audit.
Bortset fra enkelte små-ændringer og tilføjelser gengives artiklen i sin
fulde længde.
Hobro
Juli 2013
Mogens Larsen
Senior konsulent
1
Løgn nr. 1: Audit handler om overensstemmelse.
M
åske er denne myte den, der præger ethvert aspekt
inden for audit.
Uigennemsigtigt, snigende, dræbende og kamufleret er
den den største skadevolder inden for audit.
Enhver organisation, uanset branche eller type, har det til fælles,
at de skal søge at opnå: kvalitet, overensstemmelse og tillid.
Organisationen skal vide, hvad kunderne stiller af krav, og derefter
vælge om den vil opfylde dem eller lukke forretningen.
Organisationen skal være i stand til at levere den kvalitet, som er i overensstemmelse med
diverse reguleringer, samt med kundernes og virksomhedens egne krav. Og endelig skal
organisationen give ledelsen, kunderne, myndigheder og andre interessenter tillid til at
den vil opfylde de første to mål på en forudsigelig og konsistent måde.
For at kunne opfylde alle 3 mål etableres systemer. Da det er ledelsen, der er ansvarlig for
disse (ejere af systemer) og da den også er ansvarlig for at vedligeholde og forbedre dem,
har den behov for oplysninger.
De behøver valide data/informationer om følgende områder:
Tilstrækkelighed:
Passende:
Effektivitet:
Har systemerne de potentialer, som er tilstrækkelige til at opnå
succes?
Er systemet implementeret efter hensigten?
Har systemet opnået de resultater, som var intentionen?
Den traditionelle ”overensstemmelses audit” opfylder langt fra disse mål.
Overensstemmelsesaudit fokuserer på en lille del af ”tilstrækkeligheden” dvs. at auditere
om hvorvidt procedurerne er i overensstemmelse med de relevante krav - på en mindre
grad af implementeringen eller en kombination af begge.
I ingen af disse tilfælde er der indsamlet tilstrækkelige oplysninger til at give et billede af
organisationens system – og endnu mindre som vil kunne få ledelsen til at gennemføre
forbedringer.
Det er et faktum, at de fleste auditorer undgår bevidst at vurdere informationer, som
ligger uden for grænserne for overensstemmelse.
Det er også nemmere at udarbejde et antal ligegyldige spørgsmål, og se om de ansatte
kan svare på dem!
2
Denne fremgangsmåde er med til at give auditorerne et alibi. Så har de ryggen fri, men
det er også sikkert, at informationerne er værdiløse, trivielle og intetsigende.
Hvis vi skal have meningsfulde audits, bør de afvikles således, at de giver den størst
mulige værdi for ledelsen.
Dette betyder, at auditorerne skal nægtes at gennemføre de restriktive
overensstemmelsesaudits og lære at indsamle brugbar information, som ledelsen har
behov for.
Løgn nr. 2: Audits skal fokusere på fakta.
(Auditorer skal huske de objektive vidnesbyrd.)
H
er har vi endnu en almindelig kendt misforståelse, som - selv om den er velment ikke fører til noget produktivt.
Selvfølgelig har vi brug for fakta. Auditorer skal være opmærksomme på, at fakta er
væsentlige – væsentlige for at kunne gennemføre de efterfølgende korrigerende
handlinger/forbedringer.
Ledelsen skal jo ikke gætte sig frem til, hvad auditorerne har observeret!
Men at sige, at audit skal fokusere på fakta, er et misledende og ødelæggende
perspektiv. Audit skal ikke fokusere på fakta, men på systemer.
Formålet med audit er at skaffe ledelsen valid feedback om systemets tilstrækkelighed,
effektivitet og at det er passende.
Det står der jo i kravet til Ledelsens evaluering i ISO9001:2008. pkt. 5.6.
Dette er målet og det er det, audit skal fokusere på.
Dette vil blive gentaget flere gange i denne artikel.
Auditorerne har for vane at glemme, at fakta ikke er brugbare og meningsfulde i sig selv.
Fakta har kun mening i det omfang at de kaster lys på noget, der har betydning – såsom
systemets funktion.
Auditor farver ofte individuelle problemer mere end de fortjener. De pådømmer dem som
afvigelser dvs. uoverensstemmelser. Derefter søger de efter flere af samme slags og linker
dem sammen med de krav, der er overtrådt, nedfælder dem og kalder det for en
auditrapport.
Den tekniske betegnelse for dette fænomen er at ”hænge sig i småting – eller bagateller”
og det har været et møllehjul om auditorernes hals i årevis.
Sygeligt – men det er den indgroede optagethed af jagten på fakta, der er skyld i dette –
en jagt, der går ud på at samle på trofæer.
3
Udsagnet om at man ikke kan argumentere mod fakta, gælder. Auditorerne søger at
beskytte sig selv mod argumenter i stedet for at indsamle informationer, som er brugbare
og meningsfulde for ledelsen..
Ikke før auditorerne har lært at analysere og fremlægge de nødvendige fakta på en
overbevisende måde, som kaster lys på organisationens systemer, vil de slippe ud af
denne åg, som de selv holder liv i.
Løgn nr. 3. Auditorer må ikke være dømmende.
N
oget af det første auditorerne lærer, er ikke at være dømmende.
Som meget andet er dette rodfæstet i gode meninger og intentioner. Auditorerne
ønsker selvklart ikke at lade audit udarte til et forum, hvor auditor pådutter ledelsen sin
egen forudindtagne opfattelse.
De fleste vil være enige i, at det ville være ødelæggende (bortset fra de få, som ville gøre
det uanset hvad).
Men et forbud mod at være dømmende er uforenelig med effektiv auditering.
Begrundende, informative og fakta-baserede domme er ikke kun en del af audit – det er
en central del af den.
Slår man op i forskellige leksika vil man se begrebet at dømme defineres som:
”evnen til at danne sig en mening eller evaluere ved at skelne og sammenholde”
Dette er nøjagtigt, hvad auditorer bør gøre. De bør foretage en kritisk vurdering af
systemets status. De skal sammenligne det, de har set, med en given standard. Og de bør
anvende output fra denne proces med henblik på at evaluere tilstrækkeligheden, om det
er passende og effektivt.
Problemet er ikke at auditorer dømmer. Problemet er, at de ikke afsiger de rigtige domme.
Auditorerne bruger så meget tid på at diskutere fakta, overensstemmelse eller mangel på
sådanne, objektivitet og lignende myter, at de glemmer den centrale sandhed omkring
audit.
Auditorer arbejder med begrænsede og ukomplette stykker informationer, der er
indsamlet ved at studere dokumentationen, interviewe medarbejdere og iagttage
aktiviteter i praksis.
4
I stedet bør de, som vi har været ind på tidligere, lægge kræfterne et andet sted: nemlig i
at konkludere tilstrækkelighed, implementeringsgraden og effektivitet og linke disse
elementer til de fakta, der er indsamlet.
Løgn nr. 4. Audit handler om verifikationsaktiviteter.
I
deen om, at auditorerne arbejder som inspektører har plaget såvel auditorerne som
brugerne i årevis. (Læs min anden artikel: Audit-det stads..)
Denne opfattelse er et levn fra dengang man netop beskæftigede inspektører. Oprindeligt
var de fleste audits heller ikke andet end glorificerede inspektioner.
Formålet med dem var netop at finde fejl, notere dem ned, afrapportere dem til videre
foranstaltning – korrigerende handlinger.
Simpelt, nemt og samvittighedsfuldt – og forkert.
Audit er ikke en verifikationsaktivitet – men en informationsindsamlingsaktivitet.
Formålet med denne aktivitet er at indsamle og analysere de informationer, der er
nødvendige for at afsige de rigtige domme over organisationens systemer og videregive
disse informationer til den ledelse, der er ansvarlig for systemet.
Selv om de naturligvis bør være rodfæstet i specifikke fakta og observationer, bør de ikke
(faktisk må de ikke) være begrænsede til dem.
Auditorerne har en tendens til at fokuser på det tilfældige og det værdiløse.
Auditrapporterne tenderer - ikke overraskende – til at være oplæsninger af de småting,
som auditorerne har fundet forkert.
Fra et traditionelt synspunkt virker dette godt. De har set på en masse småting, registreret
dem de havde set og som ikke opfyldte en eller anden konkret standard eller et konkret
krav, og samvittighedsfuldt afrapporteret dem.
Man skal presses hårdt for at identificere værdien af det, der var opnået.
5
Løgn nr. 5. Løbende forbedringer – det er formålet med
audit!
D
ette er en påstand, som ikke holder og som ofte er blevet anvendt for at
retfærdiggøre audit. Det har desværre mere at gøre med markedsføring eller
reklame end værdiladet audit.
At acceptere påstanden kræver, at man gør køb på rimelig tvivlsomme præmisser. De
forudsætter, at ledelsen og de ansatte er robotter som, hvis de ikke modtager udefra
kommende stimuli, vil fortsætte med at gøre som de altid har gjort; så der aldrig ville
finde forbedringer sted.
Selv om kun få auditorer vil indrømme dette faktum åbent og ærligt, vil de taktisk bilde sig
selv og andre ind, at det forholder sig sådan.
Audits er ikke med til at skabe løbende forbedringer.
Hvis de afvikles korrekt, kan de indirekte bidrage til at være en del af de løbende
forbedringer. I nogle tilfælde kan de såmænd spille en aktiv rolle.
Men audits er alt for begrænsede i omfang, frekvens, tid og ekspertise til at blive en
afgørende faktor i en effektiv løbende forbedringsproces.
Auditorer kan deltage i de korrigerende handlinger, der sker efter konstatering af kritiske
afvigelser, men igen: den korrigerende handling er en handling, der er med til at regulere
afvigelsen. Lighedstegn mellem korrigerende handlinger og løbende forbedringer vil
korrumpere begreberne.
Audit kan tjene som en relativt uafhængig og objektiv kilde til feedback om
organisationens system.
Audit kan anvendes til at påpege områder, der ikke opfylder givne retningslinjer, der er
kritiske for organisationen, og give ledelsen af det auditerede område informationer om
status.
De kan endvidere spille en afgørende rolle i forbindelse med vurdering af, om eksterne
krav, f.eks. krav fra myndigheder, overholdes.
Hvad de imidlertid ikke kan, er at være drivkraften bag løbende forbedringer. Løbende
forbedringer er ledelsens og medarbejdernes ansvar og forpligtelse. Fordi de har
færdighederne, den fornødne viden og den nødvendige ekspertise.
Audit kan bidrage til processen – men ikke gå forrest.
6
Løgn nr. 6. Interne auditorer bør efterligne de
certificerende organers.
D
enne løgn er måske ikke så fremherskende som tidligere. Og dog. Kan læseren
genkende noget i det følgende?
Det er en uomtvistelig kendsgerning, at langt de fleste kurser/uddannelser har de
certificerende organers auditorer som målgruppe – de såkaldte ledende assessorer.
Disse kurser blev udviklet midt i 80´erne, da der var behov for at uddanne assessorer til
de certificerende organer.
Uddannelserne har reelt ikke ændret sig meget de sidste 30 år hverken i indhold og i
form, således at resultatet er da også blevet derefter.
Efter sådant et kursusforløb udklækkes ”kopier” af de eksterne assessorer, der fremover
skal virke som interne auditor. Via deres instruktører, som tit hentes fra de certificerende
organers egne rækker, videreformidles disse løgne til deltagerne.
Formelle og stive regler. Fokus på uoverensstemmelser – også de uoverensstemmelser,
der er tilfældige og uden betydning. For dem er en afvigelse en afvigelse. Basta!
Det undrer ikke, at holdningen hos brugerne bliver derefter.
Der gøres hovedrent inden en audit.
Interne audits placeres strategisk lige før de eksterne audits..
Og der læses ”lektier” inden auditorerne kommer. Nerverne står på højkant.
Medarbejderne er blevet instrueret om kun at svare på de spørgsmål, som auditorerne
stiller og ikke indgå i nogen dialog med dem – fjenden?
Tæppet er gået for 1. akt af skuespillet om, hvem der narrer hvem!
Og kvalitetscheferne er i stort antal selv ude om det.
Auditprogrammet er mange steder at sidestille med udfyldelse af en lottokupon.
I ISO9001:2008 pkt. 8.2.2.om Interne audit står der, at interne audits skal planlægges
på grundlag af status og vigtighed.
Er planlægning at ligestille med forberedelse? Kravet nævner ikke noget om forberedelse.
Kun planlægning.
7
Men standarden siger klart og tydeligt, at man skal tage højde for status og vigtighed.
Ikke desto mindre er der kvalitetschefer, der har den sjældne magiske evne, at de kan
planlægge audits et helt kalenderår frem i tiden!
Det er ærgerligt, at disse særlige evner ikke anvendes mere konstruktivt - f.eks. til
forebyggelse - evnen til at se, hvornår noget kan gå galt!
Auditproceduren indeholder de fleste steder et par linjer om at hele
kvalitetsstyringssystemet skal auditeres mindst 1 – 3 gange over f.eks. 3 år.
Selv om jeg har pløjet standarden igennem forfra og bagfra hundredvis af gange de sidste
20 år, er jeg aldrig stødt på dette krav.
Er det også en ”levning” fra abe-efter auditten, som er nedarvet fra den eksterne audit –
om at hele kvalitetsstyringssystemet skal auditeres mindst én gang i løbet af
kontraktforløbet?
Hvis ikke - hvem er så opfinderen af disse tåbelige og værdiløse påfund?
Hvordan forbereder auditor sig?
Den effektive og kontrollerende auditor sætter sig ned med den dokumentation, som
vedrører det område, der skal auditeres. Med stor omhu udvælges passager i
dokumentationen. Der nedskrives spørgsmål i checklisten, der er behørigt indrettet,
således at der plads til et OK eller flueben, et minus eller andet symbol.- afhængig af hvad
”ofrene” svarer.
Og auditor kender jo svarene på sine spørgsmål. Han/hun har jo facitlisten!
Vedkommende har jo forberedt sig grundigt!
Er svarene forkerte – rapporteres de..
Og for at auditten skal have en vis troværdighed kategoriseres afvigelserne som majors
eller minors.
Hvor mange minors går der for resten på en major?
Vi er over i den boldgade, hvor afvigelserne kan sidestilles med bøder, hæfte eller
fængsel.
Og der er ikke plads til tiltalefrafald!
Jeg har aldrig forstået, hvad disse ”kategorier” af afvigelser skulle bruges til!
Det er uforståeligt, at ingen har sat sig til modværge mod dette spild af kostbare
ressourcer.
At sige at interne auditorer ikke ofte efterligner de eksterne auditor – er altså løgn!
8
Karakteristika ved succesrige audits.
D
et forudgående vil nemt kunne opfattes som et deprimerende perspektiv, hvad
angår audit.
Faktisk er dette ikke tilfældet.
Audit er et håndværk, der ikke alene stiller krav til nogle tekniske færdigheder, men i høj
grad til personligheden hos den, der skal udføre audit.
Udvælgelsen af kandidaterne sker for lemfældigt. Interesserede kan f.eks.- når der er en
”auditor stilling” ledig via opslag - melde sig til et auditkursus eller uddannelse.
Uanset om den pågældende er egnet eller ikke.
Auditorer skal håndplukkes, og de egenskaber der er vigtige i denne sammenhæng er, at
de pågældende skal være respekteret og anerkendt i organisationen.
De bør have et dybere kendskab til virksomhedens processer, til kulturen i virksomheden
og til virksomhedens ledelsessystem. Og meget mere!
Auditor er den interne konsulent – en coach og sparringspartner. Ikke en kontrollant eller
inspektør.
Når der er audit, bør auditor sætte sig sammen med ledelsen for de respektive områder
og sammen med den tilrettelægge den kommende audit. Standarden siger jo, at audit skal
planlægges. Den siger ikke, at man ikke skal planlægge/forberede den sammen med
”kunderne”.






Hvad ønsker ledelsen at drøfte under audit?
Hvilke informationer har ledelsen behov for?
Hvilke informationer har auditor at formidle til ledelsen?
Hvilke problemstillinger er der?
Hvor gode er vi?
Hvor er risiciene?
Vi behandlede overensstemmelsesaudit under den første løgn.
Overensstemmelsesaudit er ”yt”.
De bør ganske enkelt forbydes, hvis formålet alene skal være at søge efter
overensstemmelse.
Undtagen i de tilfælde, hvor myndighedskrav spiller ind.
Frekvensen bør sættes op. Auditorer bør afsætte 10 % af deres arbejdstid til denne
metier. De 10 % dækker audit, kollegiale-møder, studier, opgraderingskurser, ledermøder,
erfa-grupper ol.
9
Kun ved at auditorerne har fingeren på pulsen, er de i stand til at levere et kvalificeret
stykke arbejde.
Auditorerne skal - som alle andre i organisationen - have den nødvendige kompetence.
Kompetence betyder: at kunne bruge det man har lært.
En auditor, der kun udfører 1-3 audits om året, er ikke kompetent!
Auditorerne bør også trænes i at anvende forskellige metoder og strategier.
Kun en begrænset del af virksomhedens ansatte ved, hvad det virkelige formål med audit
er. Hvis du mener det modsatte eller er i tvivl – så gennemfør en ”bruger-undersøgelse”..
Audit er til for brugerne. Audit er ledelsens mulighed for at tage temperaturen på systemet
– både det positive og de områder, der har behov for støtte og vejledning.
Et auditkursus er kun det første skridt.
Det er derfor langt fra tilstrækkeligt, at de herefter blot indgår i en eller anden form for
”sidemandsoplæring” bestående af 3-5 audits, før de slippes løs.
Auditering er en løbende proces, hvor auditorpræstationer også er genstand for en
evaluering.
Auditorer har behov for at blive superviseret – at få feedback på deres præstationer.
I realiteternes verden er kvalitetsafdelingen i mange tilfælde ”Afdeling for målinger”. Og
kvalitetsafdelingen altså en anden betegnelse for ”Kvalitetskontrol”.
De audittyper, der er nævnt i dette skrift kan nemt sættes i bås med ”måleteknikeren”.
Deres primære job er altså at måle om systemet efterleves og er i overensstemmelse med
en eller anden standard. Hvis det er det, organisationen ønsker, så er løgnene i dette skrift
sandheder.
Så beklager jeg – det må være mig, der har misforstået noget!
Men alligevel - ikke før ledelsen begynder at tage audit alvorligt – herunder at afsætte de
nødvendige ressourcer og betragte audit som en vigtig del af styringssystemets udvikling
og vedligeholdelse - vil vi stadig blive opsøgt af løgne.
Og før auditorerne bliver omskolet til at yde det, som brugerne har behov for, vil løgnene
ikke holde op med at opsøge os.
Vil du vide mere om, hvordan den kommende auditor-profil bliver og hvilket bud vi har på,
hvordan audit bør afvikles efter ISO9001:2008 standard, kan du rekvirere yderligere
oplysninger på
[email protected]
10