Auditløgne.. På mange opfordringer er jeg blevet bedt om at genoptrykke en ældre artikel, jeg skrev i 2001. Uagtet at vi nu skriver 2013 må vi desværre stadig erkende, at der hersker mange myter og misforståelser omkring audit. Bortset fra enkelte små-ændringer og tilføjelser gengives artiklen i sin fulde længde. Hobro Juli 2013 Mogens Larsen Senior konsulent 1 Løgn nr. 1: Audit handler om overensstemmelse. M åske er denne myte den, der præger ethvert aspekt inden for audit. Uigennemsigtigt, snigende, dræbende og kamufleret er den den største skadevolder inden for audit. Enhver organisation, uanset branche eller type, har det til fælles, at de skal søge at opnå: kvalitet, overensstemmelse og tillid. Organisationen skal vide, hvad kunderne stiller af krav, og derefter vælge om den vil opfylde dem eller lukke forretningen. Organisationen skal være i stand til at levere den kvalitet, som er i overensstemmelse med diverse reguleringer, samt med kundernes og virksomhedens egne krav. Og endelig skal organisationen give ledelsen, kunderne, myndigheder og andre interessenter tillid til at den vil opfylde de første to mål på en forudsigelig og konsistent måde. For at kunne opfylde alle 3 mål etableres systemer. Da det er ledelsen, der er ansvarlig for disse (ejere af systemer) og da den også er ansvarlig for at vedligeholde og forbedre dem, har den behov for oplysninger. De behøver valide data/informationer om følgende områder: Tilstrækkelighed: Passende: Effektivitet: Har systemerne de potentialer, som er tilstrækkelige til at opnå succes? Er systemet implementeret efter hensigten? Har systemet opnået de resultater, som var intentionen? Den traditionelle ”overensstemmelses audit” opfylder langt fra disse mål. Overensstemmelsesaudit fokuserer på en lille del af ”tilstrækkeligheden” dvs. at auditere om hvorvidt procedurerne er i overensstemmelse med de relevante krav - på en mindre grad af implementeringen eller en kombination af begge. I ingen af disse tilfælde er der indsamlet tilstrækkelige oplysninger til at give et billede af organisationens system – og endnu mindre som vil kunne få ledelsen til at gennemføre forbedringer. Det er et faktum, at de fleste auditorer undgår bevidst at vurdere informationer, som ligger uden for grænserne for overensstemmelse. Det er også nemmere at udarbejde et antal ligegyldige spørgsmål, og se om de ansatte kan svare på dem! 2 Denne fremgangsmåde er med til at give auditorerne et alibi. Så har de ryggen fri, men det er også sikkert, at informationerne er værdiløse, trivielle og intetsigende. Hvis vi skal have meningsfulde audits, bør de afvikles således, at de giver den størst mulige værdi for ledelsen. Dette betyder, at auditorerne skal nægtes at gennemføre de restriktive overensstemmelsesaudits og lære at indsamle brugbar information, som ledelsen har behov for. Løgn nr. 2: Audits skal fokusere på fakta. (Auditorer skal huske de objektive vidnesbyrd.) H er har vi endnu en almindelig kendt misforståelse, som - selv om den er velment ikke fører til noget produktivt. Selvfølgelig har vi brug for fakta. Auditorer skal være opmærksomme på, at fakta er væsentlige – væsentlige for at kunne gennemføre de efterfølgende korrigerende handlinger/forbedringer. Ledelsen skal jo ikke gætte sig frem til, hvad auditorerne har observeret! Men at sige, at audit skal fokusere på fakta, er et misledende og ødelæggende perspektiv. Audit skal ikke fokusere på fakta, men på systemer. Formålet med audit er at skaffe ledelsen valid feedback om systemets tilstrækkelighed, effektivitet og at det er passende. Det står der jo i kravet til Ledelsens evaluering i ISO9001:2008. pkt. 5.6. Dette er målet og det er det, audit skal fokusere på. Dette vil blive gentaget flere gange i denne artikel. Auditorerne har for vane at glemme, at fakta ikke er brugbare og meningsfulde i sig selv. Fakta har kun mening i det omfang at de kaster lys på noget, der har betydning – såsom systemets funktion. Auditor farver ofte individuelle problemer mere end de fortjener. De pådømmer dem som afvigelser dvs. uoverensstemmelser. Derefter søger de efter flere af samme slags og linker dem sammen med de krav, der er overtrådt, nedfælder dem og kalder det for en auditrapport. Den tekniske betegnelse for dette fænomen er at ”hænge sig i småting – eller bagateller” og det har været et møllehjul om auditorernes hals i årevis. Sygeligt – men det er den indgroede optagethed af jagten på fakta, der er skyld i dette – en jagt, der går ud på at samle på trofæer. 3 Udsagnet om at man ikke kan argumentere mod fakta, gælder. Auditorerne søger at beskytte sig selv mod argumenter i stedet for at indsamle informationer, som er brugbare og meningsfulde for ledelsen.. Ikke før auditorerne har lært at analysere og fremlægge de nødvendige fakta på en overbevisende måde, som kaster lys på organisationens systemer, vil de slippe ud af denne åg, som de selv holder liv i. Løgn nr. 3. Auditorer må ikke være dømmende. N oget af det første auditorerne lærer, er ikke at være dømmende. Som meget andet er dette rodfæstet i gode meninger og intentioner. Auditorerne ønsker selvklart ikke at lade audit udarte til et forum, hvor auditor pådutter ledelsen sin egen forudindtagne opfattelse. De fleste vil være enige i, at det ville være ødelæggende (bortset fra de få, som ville gøre det uanset hvad). Men et forbud mod at være dømmende er uforenelig med effektiv auditering. Begrundende, informative og fakta-baserede domme er ikke kun en del af audit – det er en central del af den. Slår man op i forskellige leksika vil man se begrebet at dømme defineres som: ”evnen til at danne sig en mening eller evaluere ved at skelne og sammenholde” Dette er nøjagtigt, hvad auditorer bør gøre. De bør foretage en kritisk vurdering af systemets status. De skal sammenligne det, de har set, med en given standard. Og de bør anvende output fra denne proces med henblik på at evaluere tilstrækkeligheden, om det er passende og effektivt. Problemet er ikke at auditorer dømmer. Problemet er, at de ikke afsiger de rigtige domme. Auditorerne bruger så meget tid på at diskutere fakta, overensstemmelse eller mangel på sådanne, objektivitet og lignende myter, at de glemmer den centrale sandhed omkring audit. Auditorer arbejder med begrænsede og ukomplette stykker informationer, der er indsamlet ved at studere dokumentationen, interviewe medarbejdere og iagttage aktiviteter i praksis. 4 I stedet bør de, som vi har været ind på tidligere, lægge kræfterne et andet sted: nemlig i at konkludere tilstrækkelighed, implementeringsgraden og effektivitet og linke disse elementer til de fakta, der er indsamlet. Løgn nr. 4. Audit handler om verifikationsaktiviteter. I deen om, at auditorerne arbejder som inspektører har plaget såvel auditorerne som brugerne i årevis. (Læs min anden artikel: Audit-det stads..) Denne opfattelse er et levn fra dengang man netop beskæftigede inspektører. Oprindeligt var de fleste audits heller ikke andet end glorificerede inspektioner. Formålet med dem var netop at finde fejl, notere dem ned, afrapportere dem til videre foranstaltning – korrigerende handlinger. Simpelt, nemt og samvittighedsfuldt – og forkert. Audit er ikke en verifikationsaktivitet – men en informationsindsamlingsaktivitet. Formålet med denne aktivitet er at indsamle og analysere de informationer, der er nødvendige for at afsige de rigtige domme over organisationens systemer og videregive disse informationer til den ledelse, der er ansvarlig for systemet. Selv om de naturligvis bør være rodfæstet i specifikke fakta og observationer, bør de ikke (faktisk må de ikke) være begrænsede til dem. Auditorerne har en tendens til at fokuser på det tilfældige og det værdiløse. Auditrapporterne tenderer - ikke overraskende – til at være oplæsninger af de småting, som auditorerne har fundet forkert. Fra et traditionelt synspunkt virker dette godt. De har set på en masse småting, registreret dem de havde set og som ikke opfyldte en eller anden konkret standard eller et konkret krav, og samvittighedsfuldt afrapporteret dem. Man skal presses hårdt for at identificere værdien af det, der var opnået. 5 Løgn nr. 5. Løbende forbedringer – det er formålet med audit! D ette er en påstand, som ikke holder og som ofte er blevet anvendt for at retfærdiggøre audit. Det har desværre mere at gøre med markedsføring eller reklame end værdiladet audit. At acceptere påstanden kræver, at man gør køb på rimelig tvivlsomme præmisser. De forudsætter, at ledelsen og de ansatte er robotter som, hvis de ikke modtager udefra kommende stimuli, vil fortsætte med at gøre som de altid har gjort; så der aldrig ville finde forbedringer sted. Selv om kun få auditorer vil indrømme dette faktum åbent og ærligt, vil de taktisk bilde sig selv og andre ind, at det forholder sig sådan. Audits er ikke med til at skabe løbende forbedringer. Hvis de afvikles korrekt, kan de indirekte bidrage til at være en del af de løbende forbedringer. I nogle tilfælde kan de såmænd spille en aktiv rolle. Men audits er alt for begrænsede i omfang, frekvens, tid og ekspertise til at blive en afgørende faktor i en effektiv løbende forbedringsproces. Auditorer kan deltage i de korrigerende handlinger, der sker efter konstatering af kritiske afvigelser, men igen: den korrigerende handling er en handling, der er med til at regulere afvigelsen. Lighedstegn mellem korrigerende handlinger og løbende forbedringer vil korrumpere begreberne. Audit kan tjene som en relativt uafhængig og objektiv kilde til feedback om organisationens system. Audit kan anvendes til at påpege områder, der ikke opfylder givne retningslinjer, der er kritiske for organisationen, og give ledelsen af det auditerede område informationer om status. De kan endvidere spille en afgørende rolle i forbindelse med vurdering af, om eksterne krav, f.eks. krav fra myndigheder, overholdes. Hvad de imidlertid ikke kan, er at være drivkraften bag løbende forbedringer. Løbende forbedringer er ledelsens og medarbejdernes ansvar og forpligtelse. Fordi de har færdighederne, den fornødne viden og den nødvendige ekspertise. Audit kan bidrage til processen – men ikke gå forrest. 6 Løgn nr. 6. Interne auditorer bør efterligne de certificerende organers. D enne løgn er måske ikke så fremherskende som tidligere. Og dog. Kan læseren genkende noget i det følgende? Det er en uomtvistelig kendsgerning, at langt de fleste kurser/uddannelser har de certificerende organers auditorer som målgruppe – de såkaldte ledende assessorer. Disse kurser blev udviklet midt i 80´erne, da der var behov for at uddanne assessorer til de certificerende organer. Uddannelserne har reelt ikke ændret sig meget de sidste 30 år hverken i indhold og i form, således at resultatet er da også blevet derefter. Efter sådant et kursusforløb udklækkes ”kopier” af de eksterne assessorer, der fremover skal virke som interne auditor. Via deres instruktører, som tit hentes fra de certificerende organers egne rækker, videreformidles disse løgne til deltagerne. Formelle og stive regler. Fokus på uoverensstemmelser – også de uoverensstemmelser, der er tilfældige og uden betydning. For dem er en afvigelse en afvigelse. Basta! Det undrer ikke, at holdningen hos brugerne bliver derefter. Der gøres hovedrent inden en audit. Interne audits placeres strategisk lige før de eksterne audits.. Og der læses ”lektier” inden auditorerne kommer. Nerverne står på højkant. Medarbejderne er blevet instrueret om kun at svare på de spørgsmål, som auditorerne stiller og ikke indgå i nogen dialog med dem – fjenden? Tæppet er gået for 1. akt af skuespillet om, hvem der narrer hvem! Og kvalitetscheferne er i stort antal selv ude om det. Auditprogrammet er mange steder at sidestille med udfyldelse af en lottokupon. I ISO9001:2008 pkt. 8.2.2.om Interne audit står der, at interne audits skal planlægges på grundlag af status og vigtighed. Er planlægning at ligestille med forberedelse? Kravet nævner ikke noget om forberedelse. Kun planlægning. 7 Men standarden siger klart og tydeligt, at man skal tage højde for status og vigtighed. Ikke desto mindre er der kvalitetschefer, der har den sjældne magiske evne, at de kan planlægge audits et helt kalenderår frem i tiden! Det er ærgerligt, at disse særlige evner ikke anvendes mere konstruktivt - f.eks. til forebyggelse - evnen til at se, hvornår noget kan gå galt! Auditproceduren indeholder de fleste steder et par linjer om at hele kvalitetsstyringssystemet skal auditeres mindst 1 – 3 gange over f.eks. 3 år. Selv om jeg har pløjet standarden igennem forfra og bagfra hundredvis af gange de sidste 20 år, er jeg aldrig stødt på dette krav. Er det også en ”levning” fra abe-efter auditten, som er nedarvet fra den eksterne audit – om at hele kvalitetsstyringssystemet skal auditeres mindst én gang i løbet af kontraktforløbet? Hvis ikke - hvem er så opfinderen af disse tåbelige og værdiløse påfund? Hvordan forbereder auditor sig? Den effektive og kontrollerende auditor sætter sig ned med den dokumentation, som vedrører det område, der skal auditeres. Med stor omhu udvælges passager i dokumentationen. Der nedskrives spørgsmål i checklisten, der er behørigt indrettet, således at der plads til et OK eller flueben, et minus eller andet symbol.- afhængig af hvad ”ofrene” svarer. Og auditor kender jo svarene på sine spørgsmål. Han/hun har jo facitlisten! Vedkommende har jo forberedt sig grundigt! Er svarene forkerte – rapporteres de.. Og for at auditten skal have en vis troværdighed kategoriseres afvigelserne som majors eller minors. Hvor mange minors går der for resten på en major? Vi er over i den boldgade, hvor afvigelserne kan sidestilles med bøder, hæfte eller fængsel. Og der er ikke plads til tiltalefrafald! Jeg har aldrig forstået, hvad disse ”kategorier” af afvigelser skulle bruges til! Det er uforståeligt, at ingen har sat sig til modværge mod dette spild af kostbare ressourcer. At sige at interne auditorer ikke ofte efterligner de eksterne auditor – er altså løgn! 8 Karakteristika ved succesrige audits. D et forudgående vil nemt kunne opfattes som et deprimerende perspektiv, hvad angår audit. Faktisk er dette ikke tilfældet. Audit er et håndværk, der ikke alene stiller krav til nogle tekniske færdigheder, men i høj grad til personligheden hos den, der skal udføre audit. Udvælgelsen af kandidaterne sker for lemfældigt. Interesserede kan f.eks.- når der er en ”auditor stilling” ledig via opslag - melde sig til et auditkursus eller uddannelse. Uanset om den pågældende er egnet eller ikke. Auditorer skal håndplukkes, og de egenskaber der er vigtige i denne sammenhæng er, at de pågældende skal være respekteret og anerkendt i organisationen. De bør have et dybere kendskab til virksomhedens processer, til kulturen i virksomheden og til virksomhedens ledelsessystem. Og meget mere! Auditor er den interne konsulent – en coach og sparringspartner. Ikke en kontrollant eller inspektør. Når der er audit, bør auditor sætte sig sammen med ledelsen for de respektive områder og sammen med den tilrettelægge den kommende audit. Standarden siger jo, at audit skal planlægges. Den siger ikke, at man ikke skal planlægge/forberede den sammen med ”kunderne”. Hvad ønsker ledelsen at drøfte under audit? Hvilke informationer har ledelsen behov for? Hvilke informationer har auditor at formidle til ledelsen? Hvilke problemstillinger er der? Hvor gode er vi? Hvor er risiciene? Vi behandlede overensstemmelsesaudit under den første løgn. Overensstemmelsesaudit er ”yt”. De bør ganske enkelt forbydes, hvis formålet alene skal være at søge efter overensstemmelse. Undtagen i de tilfælde, hvor myndighedskrav spiller ind. Frekvensen bør sættes op. Auditorer bør afsætte 10 % af deres arbejdstid til denne metier. De 10 % dækker audit, kollegiale-møder, studier, opgraderingskurser, ledermøder, erfa-grupper ol. 9 Kun ved at auditorerne har fingeren på pulsen, er de i stand til at levere et kvalificeret stykke arbejde. Auditorerne skal - som alle andre i organisationen - have den nødvendige kompetence. Kompetence betyder: at kunne bruge det man har lært. En auditor, der kun udfører 1-3 audits om året, er ikke kompetent! Auditorerne bør også trænes i at anvende forskellige metoder og strategier. Kun en begrænset del af virksomhedens ansatte ved, hvad det virkelige formål med audit er. Hvis du mener det modsatte eller er i tvivl – så gennemfør en ”bruger-undersøgelse”.. Audit er til for brugerne. Audit er ledelsens mulighed for at tage temperaturen på systemet – både det positive og de områder, der har behov for støtte og vejledning. Et auditkursus er kun det første skridt. Det er derfor langt fra tilstrækkeligt, at de herefter blot indgår i en eller anden form for ”sidemandsoplæring” bestående af 3-5 audits, før de slippes løs. Auditering er en løbende proces, hvor auditorpræstationer også er genstand for en evaluering. Auditorer har behov for at blive superviseret – at få feedback på deres præstationer. I realiteternes verden er kvalitetsafdelingen i mange tilfælde ”Afdeling for målinger”. Og kvalitetsafdelingen altså en anden betegnelse for ”Kvalitetskontrol”. De audittyper, der er nævnt i dette skrift kan nemt sættes i bås med ”måleteknikeren”. Deres primære job er altså at måle om systemet efterleves og er i overensstemmelse med en eller anden standard. Hvis det er det, organisationen ønsker, så er løgnene i dette skrift sandheder. Så beklager jeg – det må være mig, der har misforstået noget! Men alligevel - ikke før ledelsen begynder at tage audit alvorligt – herunder at afsætte de nødvendige ressourcer og betragte audit som en vigtig del af styringssystemets udvikling og vedligeholdelse - vil vi stadig blive opsøgt af løgne. Og før auditorerne bliver omskolet til at yde det, som brugerne har behov for, vil løgnene ikke holde op med at opsøge os. Vil du vide mere om, hvordan den kommende auditor-profil bliver og hvilket bud vi har på, hvordan audit bør afvikles efter ISO9001:2008 standard, kan du rekvirere yderligere oplysninger på [email protected] 10
© Copyright 2024