Driejarige cyclus

Het externe audittraject bestaat uit een cyclus van 3 jaar en is het slotakkoord van het implementatietraject. Dit start met de initiële audit (het behalen van het certificaat). Vervolgens vindt er tweemaal een controle-audit (surveillance audit) plaats. Aan het eind van deze cyclus wordt in de hercertificatie-audit bepaald of het certificaat wordt verlengd en de organisatie een nieuwe 3-jarige cyclus in gaat. Deze toetsing wordt door een Certificerende Instantie (CI) uitgevoerd. Een CI is een externe, onafhankelijk instantie die vaststelt of de organisatie aan de te certificeren norm(en) voldoet. Deze CI staat weer onder toezicht van en wordt gecontroleerd door de Raad van Accreditatie (RvA).

Vooronderzoek

De externe auditcyclus start met het vooronderzoek. Tijdens het vooronderzoek onderzoekt een auditor (van bovengenoemde CI) of het managementsysteem doeltreffend en effectief is geïmplementeerd. Dit vindt plaats aan de hand van onder andere een documentonderzoek waarbij wordt gecontroleerd of alle verplichte documentatie aanwezig is. Ook wordt er kennisgemaakt met de organisatie en haar vertegenwoordigers en worden er wat processen bekeken. Tijdens het vooronderzoek worden documenten nog niet inhoudelijk beoordeeld, maar wordt vooral gekeken naar de aanwezigheid van verplichte documentatie. Na afloop van het vooronderzoek ontvangt de organisatie een rapportage met de bevindingen van de auditor, waarin ook beschreven staat of de organisatie klaar is voor de certificatie-audit.

Certificatie-audit

Bij de certificatie-audit draait het om de praktische werking van het managementsysteem. Door het voeren van interviews, inzien van documenten en door mee te kijken bij dagelijkse werkzaamheden van de organisatie toetst de auditor of processen conform het managementsysteem lopen. Na de certificatie-audit bepaalt de auditor of de organisatie in aanmerking komt voor het certificaat. Ook hier wordt na afloop een rapport aangeleverd door de auditor, waarin alle bevindingen uitgebreid worden beschreven.

Surveillance-audit

Nu het certificaat behaald is het klaar met de werkzaamheden. Toch? Zeker niet! Lees hiervoor ons artikel "Onderhoud na het certificaat, essentieel?". Na het behalen van het certificaat wordt tijdens de opvolgende 2 jaren door de auditor getoetst of de processen en het managementsysteem aan de norm blijven voldoen. Bij de twee surveillance audits vindt geen gehele controle van het managementsysteem plaats, maar zal er door middel van vooraf geplande steekproeven beoordeeld worden of de organisatie het certificaat mag blijven behouden.

Hercertificatie-audit

Het ISO certificaat, zoals van de ISO 27001 en NEN 7510, heeft een geldigheid van 3 jaar. Na het 3e jaar zou de geldigheid van het certificaat vervallen, echter bestaat de mogelijkheid tot hercertificeren. De auditor komt dan weer langs om het gehele managementsysteem na te lopen, waarin dezelfde stappen doorlopen worden als tijdens de certificatie-audit.

Kortom, de gehele auditcyclus is een mondvol. Hopelijk heeft dit artikel je meer duidelijkheid verschaft over wat je te wachten staat wanneer jouw organisatie gecertificeerd gaat worden.
‍