Wanneer past een non-conformity?

Een auditor mag alleen een non-conformity (NC) geven als hij objectief kan aantonen dat je afwijkt van de norm of van je eigen vastgelegde afspraken. Meningen, 'best practice' en persoonlijke ervaring zijn daarvoor geen geldige grond — die horen thuis bij een zogenaamde OFI. Tijd om dat onderscheid scherp te maken.

Marcel van Langen
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Ik voer regelmatig interne audits uit. En ik zit net zo vaak aan de andere kant van de tafel, bij klanten die net een externe audit achter de rug hebben. In beide rollen komt één gesprek de laatste tijd steeds vaker langs. De auditor heeft een bevinding opgeschreven, er staat 'non-conformity' boven, en de organisatie moet daar iets mee. Maar als je goed leest, is het eigenlijk een mening. Daarover wil ik het even hebben.

Wat is een non-conformity eigenlijk?

Laten we bij het begin beginnen. Een non-conformity — in auditland meestal afgekort tot NC — is een afwijking van een eis. Niet van een wens, niet van een goed idee, niet van iets dat de auditor elders heeft zien werken. Een eis.

En een eis is iets dat vastligt. Op papier, in de norm of in je eigen documenten. Dat is belangrijk, want het verschil tussen "ik vind" en "er staat" is precies het verschil tussen mening en eis. En dat is precies waar het vaak scheef gaat.

De twee bronnen die wél tellen

Je kunt als auditor maar op twee plekken een eis vandaan halen die een NC rechtvaardigt.

De eerste is de norm zelf. Bij ISO 27001 zijn dat de hoofdstukken die voorschrijven wat je als organisatie moet hebben: beleid, risicomanagement, directiebeoordeling, de bekende dingen. Plus de beheersmaatregelen uit Annex A.

De tweede is je eigen papierwerk. Wat jij als organisatie hebt opgeschreven over hoe je werkt. Procedures, beleid, werkinstructies. Doe je iets anders dan wat je zelf hebt vastgelegd? Dan is dat een afwijking. Helder.

En dat is overigens meteen een reden om voorzichtig te zijn met wat je vastlegt. Ik zie nog regelmatig organisaties met dikke procedures vol strakke bepalingen, die vervolgens bij elke audit struikelen over hun eigen drempels. Soms is vager schrijven beter dan preciezer schrijven. Niet uit luiheid, wel uit realisme.

Waar het vaak scheef gaat

Dit is wat ik in de praktijk tegenkom. De auditor zegt: "Jullie wachtwoordenbeleid is te slap." Je leest de norm, je leest je eigen beleid — er staat nergens iets dat je beleid tegenspreekt. Dan voel je: deze bevinding komt ergens vandaan, maar niet uit een eis.

Wat vaak de werkelijke bron is:

  • de auditor vindt het zelf niet sterk genoeg
  • bij een andere klant zag hij het anders geregeld
  • hij verwijst naar 'best practice' of 'common practice'
  • hij noemt een framework dat niet in jouw scope zit, zoals NIST of de CIS-benchmarks

Stuk voor stuk geen slechte bronnen voor een gesprek. Maar wel slechte bronnen voor een NC. Want in geen van deze gevallen is er iets geschonden — er is hoogstens een verschil van inzicht.

En dan wordt het een mening die doet alsof hij een eis is. Dat is waar ik me aan stoor, eerlijk gezegd. Niet aan de auditor die meedenkt — die is juist welkom. Wel aan de bevinding die doet alsof ze objectief is terwijl ze dat niet is.

De verbeterkans is geen tweederangs bevinding

Gelukkig is er een prima alternatief voor al die momenten waarop een auditor iets ziet maar er geen eis onder kan leggen. In auditland heet dat een Opportunity for Improvement, kortweg OFI. Een verbeterkans dus. Geen afwijking, wel een suggestie.

Ik vind dit persoonlijk een van de mooiste gereedschappen uit de audit-gereedschapskist. Een goede auditor ziet dingen die jij niet ziet — omdat hij bij tien andere organisaties is geweest dit jaar en jij bij je eigen werkt. Die blik van buiten is goud waard. Je wílt 'm horen.

Maar je wilt hem niet als afwijking in je auditverslag terugvinden. Want een afwijking moet je oplossen, onderbouwen, documenteren. Een verbeterkans mag je waarderen, overwegen, of gewoon naast je neerleggen. Dat zijn wezenlijk verschillende dingen.

Mijn vraag aan elke auditor (en aan mezelf): twijfel je tussen NC en OFI? Maak er dan een OFI van. Dat beschermt de objectiviteit van je oordeel, en het maakt je advies bovendien luisterbaarder. Want waar een NC verdedigend reageren oproept, roept een OFI nieuwsgierigheid op.

Wat doe je als je toch een mening krijgt verpakt als NC?

Stel dat het toch gebeurt. Je krijgt een NC en je voelt aan je water dat het een mening is. Wat dan? Een paar dingen die je gewoon kunt doen, zonder dat het in een conflict hoeft te ontaarden:

  • Vraag naar de eis. "Welke clausule of welk van onze eigen documenten wordt hier precies geraakt?" Wordt die vraag niet concreet beantwoord, dan heb je je antwoord.
  • Vraag of het als OFI kan. Dat is geen escalatie. Dat is een redelijk verzoek. Veel auditors gaan er direct in mee, omdat ze zelf ook voelen dat ze aan het rekken waren.
  • Praat met de teamleider van de auditor. De certificerende instelling is zelf gebonden aan eigen regels. Zij willen geen bevindingen die straks niet verdedigbaar zijn.
  • Alleen in echt grove gevallen: klachtenprocedure. Elke geaccrediteerde certificerende instelling heeft er een. Het is een zwaar middel, dus bewaar 'm voor zware gevallen.

Geen van deze acties is onvriendelijk of onprofessioneel. Het is gewoon het gesprek dat bij een volwassen professionele relatie hoort.

Kortom

Een non-conformity hoort gebaseerd te zijn op iets objectiefs. De norm, of je eigen woorden. Meningen, ervaring, best practice — het is allemaal waardevol, maar het hoort in een verbeterkans. Niet in een afwijking.

Voor jou als geauditeerde betekent dat: je mag kritisch zijn op bevindingen die rieken naar interpretatie. Niet agressief, wel helder. Je hoeft dat niet te slikken.

En voor ons allemaal — auditors, CISO's, kwaliteitsmanagers, directies: een audit is op z'n mooist een gesprek. Eentje waarin feiten feiten zijn en meningen meningen. En waarin allebei welkom zijn, zolang ze niet door elkaar heen gaan lopen.

Zorg ervoor dat je volgende audit dat onderscheid scherp heeft. Lees anders ook m'n eerdere blogs over een leuke audit — bestaat dat? en over auditangst voorkomen. Wat mij betreft hoort dit stuk daarbij.

En mocht je nieuwsgierig zijn naar hoe Normity audits, bevindingen en verbeterkansen ondersteunt: je weet ons te vinden.

audit auditor non-conformity NC OFI opportunity for improvement ISO 27001 ISO 17021 objectief bewijs bevinding mening best practice certificering certificerende instelling clause Annex A compliance bezwaar auditor-kwaliteit mapping toetsing
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management