Nieuws

Hoe ziet het externe audit traject eruit?

Jouw organisatie is de afgelopen tijd druk bezig geweest met het opzetten en implementeren van een ISO managementsysteem. De interne audit en directiebeoordeling zijn uitgevoerd en de resultaten zijn netjes uitgewerkt. Actiepunten staan gepland en hebben een eigenaar toegewezen gekregen. Je bent helemaal klaar voor de toetsing. Maar hoe dan? En wat gaat er precies gebeuren? In dit artikel leggen we uit hoe het gehele externe audit traject eruit ziet en wat je kan verwachten.
Dit artikel is voor het laatst bijgewerkt op
29/9/2023

Het externe audittraject bestaat uit een cyclus van 3 jaar. Dit start met de initiële audit (het behalen van het certificaat). Vervolgens vindt er tweemaal een controle-audit (surveillance audit) plaats. Aan het eind van deze cyclus wordt in de hercertificatie-audit bepaald of het certificaat wordt verlengd en de organisatie een nieuwe 3-jarige cyclus in gaat. Deze toetsing wordt door een Certificerende Instantie (CI) uitgevoerd. Een CI is een externe, onafhankelijk instantie die vaststelt of de organisatie aan de te certificeren norm(en) voldoet. Deze CI staat weer onder toezicht van en wordt gecontroleerd door de Raad van Accreditatie (RvA).

Vooronderzoek

De externe auditcyclus start met het vooronderzoek. Tijdens het vooronderzoek onderzoekt een auditor (van bovengenoemde CI) of het managementsysteem doeltreffend en effectief is geïmplementeerd. Dit vindt plaats aan de hand van onder andere een documentonderzoek waarbij wordt gecontroleerd of alle verplichte documentatie aanwezig is. Ook wordt er kennisgemaakt met de organisatie en haar vertegenwoordigers en worden er wat processen bekeken. Tijdens het vooronderzoek worden documenten nog niet inhoudelijk beoordeeld, maar wordt vooral gekeken naar de aanwezigheid van verplichte documentatie. Na afloop van het vooronderzoek ontvangt de organisatie een rapportage met de bevindingen van de auditor, waarin ook beschreven staat of de organisatie klaar is voor de certificatie-audit.

Certificatie-audit

Bij de certificatie-audit draait het om de praktische werking van het managementsysteem. Door het voeren van interviews, inzien van documenten en door mee te kijken bij dagelijkse werkzaamheden van de organisatie toetst de auditor of processen conform het managementsysteem lopen. Na de certificatie-audit bepaalt de auditor of de organisatie in aanmerking komt voor het certificaat. Ook hier wordt na afloop een rapport aangeleverd door de auditor, waarin alle bevindingen uitgebreid worden beschreven.

Surveillance-audit

Nu het certificaat behaald is het klaar met de werkzaamheden. Toch? Zeker niet! Lees hiervoor ons artikel "Onderhoud na het certificaat, essentieel?" Na het behalen van het certificaat wordt tijdens de opvolgende 2 jaren door de auditor getoetst of de processen en het managementsysteem aan de norm blijven voldoen. Bij de twee surveillance audits vindt geen gehele controle van het managementsysteem plaats, maar zal er door middel van vooraf geplande steekproeven beoordeeld worden of de organisatie het certificaat mag blijven behouden.

Hercertificatie-audit

Het ISO certificaat heeft een geldigheid van 3 jaar. Na het 3e jaar zou de geldigheid van het certificaat vervallen, echter bestaat de mogelijkheid tot hercertificeren. De auditor komt dan weer langs om het gehele managementsysteem na te lopen, waarin dezelfde stappen doorlopen worden als tijdens de certificatie-audit.

Kortom, de gehele auditcyclus is een mondvol. Hopelijk heeft dit artikel je meer duidelijkheid verschaft over wat je te wachten staat wanneer jouw organisatie gecertificeerd gaat worden.

Kilian Houthuijzen
Information Security Consultant
085 773 60 05
Naar nieuwsoverzicht

Wij zijn partner van