Interne audits bij ISO-certificeringen: hoe het werkt en waarom het essentieel is

Interne audits zijn een verplicht onderdeel van elke ISO-managementsysteemcertificering. Of het nu gaat om ISO 9001, ISO 27001, ISO 22301, ISO 27701 of ISO 42001: de norm vereist dat de organisatie periodiek beoordeelt of het managementsysteem voldoet aan de eisen en of het effectief functioneert. Zonder een goed intern auditprogramma is certificering niet mogelijk.

Waarom interne audits?

Het doel van een interne audit is tweeledig. Ten eerste verifieert de interne audit of het managementsysteem conform de eisen van de norm is ingericht en wordt nageleefd. Ten tweede identificeert de interne audit verbeterkansen. Het is een instrument van de PDCA-cyclus: de "Check" die leidt tot "Act".

De certificeringsinstelling beoordeelt tijdens de externe audit of de organisatie een intern auditprogramma heeft, of de interne audits zijn uitgevoerd door competente en onafhankelijke auditors, of de bevindingen zijn gedocumenteerd, en of er opvolging is gegeven aan geconstateerde afwijkingen. Een organisatie die geen interne audits uitvoert, of die bevindingen niet opvolgt, zal geen certificaat ontvangen of behouden.

Planning: het interne auditprogramma

Een effectief intern auditprogramma begint met planning. De organisatie stelt een auditprogramma op dat alle onderdelen van het managementsysteem over een auditcyclus dekt. De frequentie wordt bepaald op basis van risico: processen met een hoog risico of een geschiedenis van afwijkingen worden vaker geaudit dan stabiele, laag-risico processen.

Bij geintegreerde managementsystemen (bijvoorbeeld ISO 9001 gecombineerd met ISO 27001) wordt het auditprogramma zo ingericht dat overlappende onderdelen eenmalig worden geaudit. De HLS-clausules die in alle normen voorkomen (leiderschap, planning, ondersteuning, evaluatie, verbetering) worden integraal beoordeeld. Normspecifieke onderdelen worden apart geaudit.

Uitvoering: onafhankelijkheid en competentie

De twee belangrijkste vereisten voor interne auditors zijn onafhankelijkheid en competentie. De auditor mag niet zijn eigen werk beoordelen. In kleine organisaties kan dit een uitdaging zijn. Veel organisaties kiezen daarom voor een externe partij die de interne audits uitvoert, of ze wisselen auditors tussen afdelingen.

Competentie betekent dat de auditor de norm kent, auditmethodologie beheerst en voldoende kennis heeft van de processen die worden geaudit. Voor ISO 27001 interne audits is kennis van informatiebeveiliging essentieel. Voor ISO 42001 is kennis van AI-governance nodig.

Rapportage en opvolging

De interne audit resulteert in een rapportage met bevindingen. Bevindingen worden geclassificeerd in afwijkingen (non-conformities) en verbeterpunten (opportunities for improvement). Bij afwijkingen is de organisatie verplicht om een oorzaakanalyse uit te voeren, een corrigerende maatregel te implementeren en de effectiviteit ervan te verifiëren.

De opvolging van bevindingen is minstens zo belangrijk als de audit zelf. Een organisatie die structureel afwijkingen constateert maar deze niet oplost, toont aan dat het managementsysteem niet effectief functioneert. De certificeringsinstelling zal hier kritisch naar kijken.

Veelgemaakte fouten

De meest voorkomende fout is het behandelen van de interne audit als een compliance-checkbox. De audit wordt uitgevoerd omdat het moet, maar de bevindingen leiden niet tot daadwerkelijke verbeteringen. Een tweede veelgemaakte fout is onvoldoende diepgang: de auditor controleert alleen of documenten bestaan, maar toetst niet of de beschreven processen in de praktijk worden gevolgd. Een derde fout is het ontbreken van scope: niet alle onderdelen van het managementsysteem worden in de auditcyclus gedekt.

Secure Audit voert interne audits uit voor ISO 9001, ISO 22301, NEN 7510, ISO 27001, ISO 27017, ISO 27018, ISO 27701 en ISO 42001. Onze auditors combineren onafhankelijkheid met diepgaande kennis van de normen. Neem contact op om te bespreken hoe wij uw interne auditprogramma kunnen versterken.