Rondom ISO-audits bestaan hardnekkige misverstanden. Ze leiden tot onnodige spanning, verkeerde voorbereiding en, misschien het meest jammer, gemiste kansen om wél waarde uit een audit te halen. In dit artikel zetten we de vijf meest voorkomende misverstanden op een rij, en leggen we uit wat er wél klopt.
Misverstand 1: De auditor komt fouten zoeken
Dit is verreweg het meest gehoorde misverstand. En het is begrijpelijk: als er iemand van buitenaf komt die je werk beoordeelt, voelt dat al snel als een inspectie. Maar een auditor is geen inspecteur. Het doel van een audit is niet om een lijst met fouten te produceren, maar om vast te stellen of het managementsysteem werkt en waar het beter kan.
Bij EIK Certificering en Certificatie in de Zorg gaan we in elke audit uit van conformiteit: het uitgangspunt is dat het managementsysteem voldoet. Dat is geen formaliteit, maar een bewuste benadering. We weten dat organisaties die gecertificeerd zijn, al aantoonbaar hebben geïnvesteerd in hun systeem. Van daaruit gaan we in gesprek over hoe het systeem in de praktijk functioneert. Wat gaat goed? Wat is lastig? Waar liggen kansen?
Onze auditoren bedenken overigens niet zelf de verbeteringen, dan zouden we in de rol van adviseur zitten, en dat is nadrukkelijk niet onze positie als certificatie-instelling. Maar door de juiste vragen te stellen en observaties te delen, helpen we organisaties om zelf de verbeterpunten te identificeren.
Misverstand 2: We moeten alles dichttimmeren met documentatie
Een veelgemaakte aanname is dat meer documentatie automatisch leidt tot een beter auditresultaat. Het tegendeel is vaak waar. Te veel documentatie werkt averechts, om meerdere redenen.
Ten eerste: als alles tot in detail is vastgelegd, moet de praktijk ook exact overeenkomen met die vastlegging. Hoe gedetailleerder de documentatie, hoe groter de kans dat de realiteit afwijkt. En dat levert juist afwijkingen op. Ten tweede: documentatie die niemand leest of gebruikt, draagt niet bij aan kwaliteit. Het wordt een papieren werkelijkheid die los staat van wat er daadwerkelijk in de organisatie gebeurt.
Wat we wél graag zien, is dat er echt is nagedacht over hoe kwaliteit of informatiebeveiliging geborgd wordt in de dagelijkse praktijk. Dat zit vaak meer in voorbeeldgedrag van de leiding, kennis en ervaring van medewerkers, een goede onboarding en interne kennisdeling, dan in een handboek of procedure.
Een managementsysteem hoeft niet dik te zijn om goed te zijn. Het moet passend zijn bij de organisatie: de omvang, de complexiteit, de sector en de risico’s waarmee de organisatie te maken heeft.
Misverstand 3: Afwijkingen zijn een slecht resultaat
Veel organisaties beschouwen een audit met afwijkingen als een tegenvaller. Dat is jammer, want afwijkingen zijn juist een van de meest waardevolle uitkomsten van een audit.
Een afwijking is in essentie een signaal: hier is iets dat niet werkt zoals het is bedoeld, of hier voldoet het systeem niet aan de norm. Dat klinkt misschien vervelend, maar het biedt een concreet aangrijpingspunt voor verbetering. Door een afwijking goed te analyseren, wat is de echte oorzaak?, kan de organisatie niet alleen de specifieke situatie herstellen, maar ook structurele maatregelen nemen die herhaling voorkomen.
Sterker nog: organisaties die nooit afwijkingen hebben, roepen bij auditoren juist vragen op. Geen enkele organisatie is perfect. Als er nooit iets afwijkt, kan dat betekenen dat het interne toezicht niet scherp genoeg is, of dat de organisatie te voorzichtig is om zaken te benoemen. Openheid over wat goed gaat én wat beter kan, is een teken van een volwassen organisatie.
Misverstand 4: De audit is maar een momentopname
Dit misverstand bevat een kern van waarheid en juist daardoor is het lastig te ontkrachten. Ja, een audit vindt plaats op een bepaald moment. En ja, het is een steekproef: niet alle processen, niet alle medewerkers en niet alle documenten komen aan bod.
Maar dat betekent niet dat een audit alleen gaat over dat ene moment. Auditoren kijken bewust naar trends en ontwikkelingen over een langere periode. Zijn eerder geconstateerde afwijkingen opgepakt? Zijn verbeteracties daadwerkelijk doorgevoerd en effectief gebleken? Hoe ontwikkelen prestatie-indicatoren zich? Wat zijn de resultaten van interne audits en management reviews?
Bovendien is de audit onderdeel van een driejarige certificatiecyclus. In die cyclus wordt het hele managementsysteem in de breedte beoordeeld, verspreid over meerdere auditmomenten. Elk auditmoment is dus een bouwsteen in een groter geheel.
Wat organisaties hiervan kunnen meenemen: bereid je niet alleen voor op het ‘nu’, maar laat ook zien hoe je je in de afgelopen periode hebt ontwikkeld. Dat geeft de auditor een veel completer beeld dan een snapshot op één dag.
Misverstand 5: Na certificering zijn we klaar
Dit is misschien wel het gevaarlijkste misverstand. De weg naar certificering vraagt vaak veel energie: processen worden beschreven, verbeterpunten worden aangepakt, medewerkers worden betrokken. Maar als het certificaat eenmaal aan de muur hangt, verslapt bij veel organisaties de aandacht.
Dat is begrijpelijk, maar problematisch. Certificering is niet het eindpunt, maar het startpunt van continu verbeteren. Het certificaat bevestigt dat het managementsysteem op dat moment voldoet aan de norm. Maar normen vragen niet om een statisch systeem: ze vragen om een systeem dat zich aanpast, leert en verbetert.
De periodieke externe audit is daarin een waardevol reflectiemoment. Eerst intern, wanneer de organisatie zich voorbereidt op de audit en kritisch naar het eigen systeem kijkt. Daarna extern, wanneer de auditor met een frisse blik meekijkt. Die combinatie houdt de aandacht voor het managementsysteem levend en voorkomt dat het verwatert tot een papieren exercitie.
Organisaties die certificering zien als een continu proces in plaats van een project met een einddatum, halen er structureel meer waarde uit. Niet alleen in de vorm van een certificaat, maar in de vorm van betere processen, meer bewustzijn en uiteindelijk betere resultaten.
Tot slot
Misverstanden over audits zijn hardnekkig, maar niet onoverkomelijk. Door als organisatie te investeren in het begrijpen van wat een audit écht inhoudt, wordt het minder spannend en meer waardevol. Audits zijn geen doel op zich. Ze zijn een middel om als organisatie scherp te blijven en te blijven leren.
