Wat is een Delta Audit? DQS I Ontdek nu meer

Delta-audits worden uitgevoerd met de bedoeling om managementsystemen te auditen op het verschil tussen de status quo en de (nieuwe) normeisen.

Het doel is om eventuele noodzaak voor actie te identificeren voordat bijvoorbeeld een overgangsaudit naar een nieuwe norm of een certificeringsaudit wordt uitgevoerd. Delta-audits kunnen op elk moment en onafhankelijk van regelmatig geplande audits worden uitgevoerd.

De delta-audit is genoemd naar de vierde letter van het Griekse alfabet "Delta" (∆). Een term die vaak als synoniem wordt gebruikt is gap-analyse.

INHOUD

Wanneer is een delta-audit zinvol?
Wanneer is het de moeite waard?
Wanneer moet een delta audit worden uitgevoerd?
Hoe werkt een delta audit?
Conclusie

Wanneer is een delta-audit zinvol?

Delta-audits worden door certificatie-instellingen aangeboden als een optionele dienst. Het is bijvoorbeeld zinvol wanneer er herzieningen van ISO-managementsysteemnormen beschikbaar zijn en bedrijven willen overstappen op de nieuwe versie. Zoals destijds het geval was bij de bekende norm voor kwaliteitsmanagement, de overgang van ISO 9001:2008 naar ISO 9001:2015. De delta-audit was voor veel bedrijven een welkome gelegenheid om op basis van de definitieve norm na te gaan of er maatregelen moesten worden genomen om een succesvolle overgang naar de nieuwe versie te waarborgen.

Een delta-audit is ook nuttig bij de overstap van een managementsysteemnorm waarvan de uitgever geen ISO is, naar een ISO-norm. Het creëert transparantie en identificeert de mogelijke behoefte aan actie. Een voorbeeld hiervan komt uit het domein van veiligheid en gezondheid op het werk (OHS): de overstap van BS OHSAS 18001 naar ISO 45001:2018.

Een andere situatie waarin delta-audits kunnen worden gebruikt, is het ontbreken van een formele basis voor certificering. Neem het voorbeeld van de Europese Algemene Verordening Gegevensbescherming (GDPR): hoewel de nieuwe GDPR in mei 2018 eindelijk in werking is getreden, is er nog geen manier om ertegen te certificeren. In dergelijke gevallen maakt de gegevensbeschermingsaudit gebruik van een hiaatanalyse om te bepalen of het bedrijf voldoet aan de belangrijkste gegevensbeschermingsaspecten. Dit levert geen officieel certificaat op. Het biedt het bedrijf echter de zekerheid dat het weet wat de status quo is, wat de achterstand is ten opzichte van de voorschriften van de algemene verordening gegevensbescherming en of er actie moet worden ondernomen.

Wanneer is de inspanning de moeite waard?

Een delta-audit kan bijvoorbeeld een zinvolle maatregel zijn in het geval van een normherziening, aangezien bedrijven zelden 100 procent up-to-date zijn met een herziene of nieuw uitgegeven managementsysteemnorm op het moment van de geplande overschakeling.

Qua inspanning is de delta-audit ongeveer vergelijkbaar met een (eveneens optionele) pre-audit, die wordt uitgevoerd vóór de fase 1-audit in het geval van initiële certificering. Beide procedures staan los van de eigenlijke certificeringsaudit en vergen dus extra inspanningen. Niettemin bespaart een dergelijke audit in de meeste gevallen tijd en kosten in vergelijking met een onvoldoende voorbereide certificatieaudit, waarbij aanzienlijke non-conformiteiten (afwijkingen) worden vastgesteld.

Wanneer moet een delta-audit worden uitgevoerd?

Wie een delta-audit laat uitvoeren, moet nadenken over het juiste moment om deze uit te voeren. Als de nieuwe eisen van een norm zijn vastgesteld, bestaat er niet zoiets als een te vroege datum. Omgekeerd moet een bedrijf verwachten dat uit een gap-analyse zal blijken dat er actie nodig is. Er moet dus voldoende tijd worden uitgetrokken, bijvoorbeeld tot de geplande omschakelingsaudit, om de nodige maatregelen te kunnen implementeren.

Hoe werkt een delta-audit?

Een gap-analyse wordt altijd voor elke onderneming afzonderlijk uitgevoerd. Bestaande bedrijfsstructuren worden geanalyseerd om bijvoorbeeld de inspanning en kosten te bepalen die nodig zijn voor certificering. Afhankelijk van de eisen kan de analyse alleen betrekking hebben op afzonderlijke delen van een bedrijf of rekening houden met alle gebieden van het bedrijf. De analyse omvat onder meer de actieplannen, risicobeoordelingen of doelomschrijvingen van het bedrijf.

De audit wordt gewoonlijk in de volgende stappen uitgevoerd:

Zelfbeoordeling door uw bedrijf op basis van een lijst met vragen
Bepaling van de aandachtspunten voor de audit in nauw overleg met het certificeringsbedrijf
Beoordeling ter plaatse van de huidige status door de auditor
Evaluatie van de zelfevaluatie door de auditor met het oog op de ter plaatse vastgestelde werkelijke toestand
Documentatie van de zwakke punten en het potentieel voor verbetering door de auditor.

Er moet echter worden opgemerkt dat er geen aanvullende beoordeling door de auditor is na de delta-audit en een eventuele komende overgangsaudit of certificeringsaudit. Dit betekent dat niet kan worden aangetoond of het vastgestelde potentieel voor verbetering ook is geïmplementeerd.

Uit de procedure en aanpak blijkt duidelijk dat een dergelijke gap-analyse geen dienst is in de zin van een adviesactiviteit. Het is een nuttige voorbereiding op de certificeringsaudit met het oog op de eventuele noodzaak van maatregelen. Zij kan aan de certificatie voorafgaan, maar maakt geen deel uit van de ISO-certificatie.

Conclusie

Een delta-audit (synoniem: gap-analyse) wordt meestal gebruikt wanneer een norm wordt herzien of volledig opnieuw wordt uitgegeven. Certificatiebedrijven bieden hun klanten dan een bepaling van de huidige status en een beoordeling van hun zelfbeoordeling. Deze worden vergeleken met de nieuwe eisen in het bedrijf ter plaatse. De vastgestelde zwakke punten (delta's / hiaten) worden gedocumenteerd en moeten door het bedrijf worden weggewerkt vóór de eigenlijke systeemaudit. Deze laatste wordt echter niet geauditeerd.

Het belangrijkste voordeel is dat er geen significante afwijkingen (non-conformiteiten) meer te verwachten zijn bij de eigenlijke certificatieaudit. Dit bespaart tijd en geld.