Het externe audittraject bestaat uit een cyclus van 3 jaar en is het slotakkoord van het implementatietraject. Dit start met de initiële audit (het behalen van het certificaat). Vervolgens vindt er tweemaal een controle-audit (surveillance audit) plaats. Aan het eind van deze cyclus wordt in de hercertificatie-audit bepaald of het certificaat wordt verlengd en de organisatie een nieuwe 3-jarige cyclus in gaat. Deze toetsing wordt door een Certificerende Instantie (CI) uitgevoerd. Een CI is een externe, onafhankelijk instantie die vaststelt of de organisatie aan de te certificeren norm(en) voldoet. Deze CI staat weer onder toezicht van en wordt gecontroleerd door de Raad van Accreditatie (RvA).
Preliminary research
The external audit cycle starts with the preliminary audit. During the preliminary audit, an auditor (from the CB mentioned above) investigates whether the management system has been implemented effectively and efficiently. This is done by means of, among other things, a document review, which checks whether all the mandatory documentation is present. They also meet the organization and its representatives and review some processes. During the preliminary examination, documents are not yet assessed in terms of content, but rather the presence of mandatory documentation is examined. After the preliminary audit, the organization receives a report with the auditor's findings, which also describes whether the organization is ready for the certification audit.
Certification audit
The certification audit focuses on the practical operation of the management system. By conducting interviews, viewing documents and observing the daily activities of the organization, the auditor tests whether processes conform to the management system. After the certification audit, the auditor determines whether the organization is eligible for the certificate. Afterwards, the auditor also provides a report in which all findings are described in detail.
Surveillance audit
Nu het certificaat behaald is het klaar met de werkzaamheden. Toch? Zeker niet! Lees hiervoor ons artikel "Onderhoud na het certificaat, essentieel?". Na het behalen van het certificaat wordt tijdens de opvolgende 2 jaren door de auditor getoetst of de processen en het managementsysteem aan de norm blijven voldoen. Bij de twee surveillance audits vindt geen gehele controle van het managementsysteem plaats, maar zal er door middel van vooraf geplande steekproeven beoordeeld worden of de organisatie het certificaat mag blijven behouden.
Recertification audit
Het ISO certificaat, zoals van de ISO 27001 en NEN 7510, heeft een geldigheid van 3 jaar. Na het 3e jaar zou de geldigheid van het certificaat vervallen, echter bestaat de mogelijkheid tot hercertificeren. De auditor komt dan weer langs om het gehele managementsysteem na te lopen, waarin dezelfde stappen doorlopen worden als tijdens de certificatie-audit.
In short, the entire audit cycle is a mouthful. Hopefully this article has given you more clarity on what to expect when your organization goes for certification.
In our white paper, we take you step by step through our implementation process.
.jpeg)
