Extended Audit Approach: Nieuwe aanpak geïntegreerde certificatie-audits

01-07-2019 Enkele jaren geleden heeft de komst van de High Level Structure (HLS) geleid tot managementsysteemnormen die beter op elkaar zijn afgestemd en door een organisatie gemakkelijker geïntegreerd zijn toe te passen. Dit leidt ertoe dat steeds meer organisaties een integraal managementsysteem hebben waarmee ze kunnen aantonen dat ze verschillende normen toepassen en dus verschillende certificaten kunnen verkrijgen.

Dit was natuurlijk altijd al een mogelijkheid, maar met de op de HLS gebaseerde normen is dat eenvoudiger geworden. In dit artikel wordt kort ingegaan op een nieuwe aanpak van het uitvoeren van externe audits op een geïntegreerd managementsysteem: de zogenoemde Extended Audit Approach.


door Dick Hortensius, consultant Managementsystemen NEN

Al kort na de publicatie van de HLS door ISO in 2012 ontstond de gedachte dat dit tot effectievere en efficiëntere externe audits zou kunnen leiden. Effectiever, omdat bijvoorbeeld bij een beoordeling tegen ISO 14001 van een managementsysteem dat al gecertificeerd is op basis van ISO 9001, de standaard HLS elementen (zoals documentbeheersing, opzet van interne audits en management reviews, kenmerken van goed leiderschap) minder aandacht hoeven te krijgen en de focus kan liggen op voor milieumanagement specifieke eisen. Efficiënter omdat op die manier tijd kan worden bespaard en mensen of afdelingen binnen een organisatie niet tweemaal voor hetzelfde onderwerp worden bevraagd. Het heeft alleen even geduurd voordat een nieuwe aanpak kon worden verankerd in de spelregels waaraan certificatie-instellingen zich moeten houden. En die aanpak blijkt ook nog niet helemaal uitgekristalliseerd te zijn, waardoor de toepassing pas in januari 2021 van kracht wordt.

De spelregels voor certificatie

De spelregels voor certificatie liggen vast in internationale normen in de ISO/IEC 17000-serie voor conformiteitsbeoordeling en daarop gebaseerde certificatieschema's. Zo bevat ISO/IEC 17021-1 eisen voor instellingen die systeemcertificatie uitvoeren, zoals beoordelingen tegen ISO 9001, ISO 14001 en ISO 45001. Het gaat daarbij om eisen aan de structuur en het managementsysteem van de organisatie, de competentie van het personeel en de planning, uitvoering en rapportage van certificatie-audits. ISO/IEC 17021-1 wordt gebruikt als basis voor het accrediteren van certificatie-instellingen. In die norm wordt eigenlijk alleen een definitie van een geïntegreerde audit gegeven, iets gezegd over de competentie van de lead-auditor in een dergelijke situatie en dat het een factor is bij het bepalen van de benodigde auditduur. Door het International Accreditation Forum (IAF), de wereldwijde federatie van accreditatieinstellingen, worden voor bepaalde facetten van certificatie zogenoemde mandatory documents (MD) uitgebracht. De bij IAF aangesloten accreditatie-instellingen worden geacht die MD’s in aanvulling op de ISO/IEC 17000-normen toe te passen bij accreditatie. En zo worden die MD’s eigenlijk ‘verplichte kost’ voor certificatie-instellingen. Er zijn MD’s voor het nemen van steekproeven bij het uitvoeren van multi-site audits en het bepalen van de minimale duur van audits. Recentelijk is ook en nieuwe versie van MD 11 uitgekomen: voor de toepassing van ISO/IEC 17021-1 bij het uitvoeren van audits op geïntegreerde managementsystemen (Zie IAF MD 11:2019).

Geïntegreerde certificatie-audits

Volgens MD 11 is een ‘geïntegreerde audit’ een audit van het managementsysteem van een organisatie waarbij gelijktijdig tegen twee of meer normen getoetst worden. De eerste editie van MD 11 uit 2013 beschrijft een methodiek om de maximale korting te berekenen die een certificatie-instelling mag toepassen bij een geïntegreerde audit. Die korting mag worden gegeven op de totale tijd die voor afzonderlijke audits tegen de normen zou moeten worden gerekend. De korting hangt af van de mate van geïntegreerd zijn van het managementsysteem van de beoordeelde organisatie en van de mate waarin de individuele auditteamleden zijn gekwalificeerd voor een of meer van de toegepaste normen. Dit kan leiden tot een korting van maximaal 20% van de audittijd. Voor het beoordelen van de mate van geïntegreerd zijn van het managementsysteem moet minimaal worden gekeken naar de in tabel 1 genoemde factoren.

Nieuwe benadering

In de nieuwe MD 11 is naast deze methodiek een tweede mogelijkheid voor benadering van geïntegreerde audits beschreven: de Extended Audit Approach (EEA). Deze benadering mag worden toegepast op volledig geïntegreerde managementsystemen (volgens de factoren in tabel 1) en bij toetsing tegen HLS-based normen. Er moet dan wel een verplichte ‘planningssessie’ plaatsvinden voorafgaand aan, of als onderdeel van, de fase 1 audit. Daarbij moet worden vastgesteld of er inderdaad sprake is van een volledig geïntegreerd systeem dat past bij de scope van de activiteiten van de organisatie en de organisatiestructuur en -processen. Voor de auditduur moet in dit geval worden uitgegaan van de langste minimale audittijd die geldt voor een van de normen waartegen wordt getoetst (bijvoorbeeld ISO 22000); voor elke aanvullende norm moet 50% van de daarvoor geldende minimale auditduur worden opgeteld. Dat kan dus leiden tot een grotere reductie in auditduur dan bij de tot nog toe geldende methodiek.
Interessanter is ook de aanpak van de EAA. De leadauditor moet het geïntegreerde systeem beoordelen tegen de eisen in de hoofdstukken 4, 5, 6, 9 en 10 van de op de HLS-gebaseerde normen. De andere leden in het auditteam auditen dan tegen de meer specifieke en op operationele procesbeheersing gerichte eisen in de normen in hoofdstuk 7 en 8. Uiteraard worden eisen gesteld aan de competentie van lead-auditor en auditteamleden zodat aspect- en sectorspecifieke kennis in voldoende mate aanwezig zijn. Daarbij is het belangrijk te beseffen dat MD 11 aanvult op ISO/IEC 17021-1 en alle algemeen geldende eisen aan de certificatie-instelling, de bij certificatie betrokken medewerkers en het certificatieproces onverkort van toepassing zijn.

Kanttekeningen

Het is goed om te zien dat bij geïntegreerde certificatie-audits meer rekening kan worden gehouden met de verworvenheden van de HLS. Organisaties die kiezen voor een volledig geïntegreerd bedrijfsvoeringssysteem in lijn met de opzet van de nieuwe generatie managementsysteemnormen kunnen met hun certificatie-instelling nieuwe afspraken maken over inrichting en duur van de externe audits. De in MD 11 beschreven aanpak van de EEA kan een eerste stap zijn in de richting dat een certificatie-instelling eerst een keer de goede opzet en werking van het 'kernsysteem' op basis van de HLS beoordeelt en vervolgens de goede werking en inbedding van de daarop 'ingeplugde' aspectsystemen. Zoals in het begin van dit artikel aangegeven, kan dit leiden tot effectievere en efficiëntere audits met meer toegevoegde waarde voor de certificaathouders en de belanghebbenden daarvan. De focus bij discussies over geïntegreerde audits lijkt nog steeds te liggen bij berekening van de minimaal toe te passen auditduur, terwijl het wat mij betreft ook moet gaan om wat de beste aanpak van geïntegreerde audits is die goed inzicht geven en waar het bedrijf ook iets aan heeft. Misschien dat de conclusie is, dat daarvoor soms meer auditdagen nodig zijn in plaats van minder, waar dan tegenover moet staan dat de organisatie beter inzicht krijgt in de sterke en zwakkere punten van het geïntegreerde systeem. Dat is goed voor het imago van certificatie en certificaten en voor alle daarbij betrokken actoren: certificatie-instellingen, certificaathouders en de belanghebbenden daarvan die vertrouwen op certificaten.

Dit artikel is eerder gepubliceerd in Kwaliteit in bedrijf #3, mei-juni 2019.

Meer informatie over de Extended Audit Approach

Voor meer informatie over Extended Audit Approach kunt u contact opnemen met Dick Hortensius, consultant Managementsystemen, telefoon 015 2 690 115, e-mail mm@nen.nl.

Norm

NEN-EN-ISO/IEC 17021-1:2015 en

Conformiteitsbeoordeling - Eisen voor instellingen die audits en certificatie van managementsystemen...

NEN-ISO/IEC 17021-1 bevat principes en eisen in verband met de competentie, consistentie en onpartijdigheid van instellingen die audits en certificatie van allerlei soorten managementsystemen leveren. Certificatie-instellingen die volgens dit deel va...

Meer informatie over deze norm

Eerder door u bekeken

Meer informatie over Extended Audit Approach

Voor inhoudelijke informatie over Extended Audit Approach of over het normalisatieproces: Dick Hortensius, consultant Managementsystemen.

015 2 690 115

dick.hortensius@nen.nl

Top normen Managementsystemen

Download gratis gids