Als je een ISO 9001, ISO 27001 of ISO 14001 certificaat wil behalen, dan komt onvermijdelijk het moment waarop de certificeerder langskomt. Dan moet jij ervoor zorgen dat jullie daar klaar voor zijn. Een van de zaken die je geregeld moet hebben is het plannen, uitvoeren en opvolgen van interne audits. En dat is precies waarover ik je hieronder meer ga vertellen.
Wat zijn interne audits?
Het woord audit is afgeleid van het Latijnse woord audire wat horen betekent. Een veel gebruikte definitie is:
"Een objectieve beoordeling die aangeeft of de organisatie haar bedrijfsprocessen en de daarmee samenhangende risico's beheerst."
Dit gaat dus veel verder dan horen.
De twee belangrijkste woorden in die definitie zijn ‘objectief’ en ‘risico’s’. Bij een interne audit gaat het niet om meningen, maar om feiten (objectief) en je richt je vooral op de risico’s.
Wat zeggen de normen over interne audits?
De meest gangare normen (ISO 9001, ISO 14001 en de ISO 27001) hebben dezelfde normtekst over interne audits. De tekst is opgedeeld in twee gedeelten. Het eerste gedeelte geeft aan wat je met de audits moet bereiken en het tweede gedeelte geeft aan welke eisen er aan de interne audits worden gesteld.
De letterlijke tekst uit de ISO 9001 is:
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het kwaliteitsmanagementsysteem voldoet aan:
1) de eigen eisen van de organisatie voor haar kwaliteitsmanagementsysteem;
2) de eisen van deze internationale norm;
b) doeltreffend is geïmplementeerd en onderhouden.
Het gaat hier dus om het verkrijgen van informatie. En die informatie moet objectief en betrouwbaar zijn. Met die informatie ga je immers aan de slag om na te gaan of er verbeteringen doorgevoerd moeten worden, of dat het allemaal naar wens gaat.
In het tweede gedeelte van de normtekst worden er eisen gesteld aan de uitvoering. Zo moet er een planning zijn, moet de audit resulteren in een rapportage en moet de rapportage worden opgevolgd.
Verlopen jouw processen probleemloos?
Zo op het eerste gezicht lijkt het weinig zinvol om alleen maar na te gaan of jouw organisatie zich houdt aan haar eigen afspraken en die van de norm. De ervaring leert echter dat er met deze werkwijze informatie boven tafel komt die niet bekend was. Dat kan best wel schrikken zijn. Processen waarvan je dacht dat ze probleemloos verlopen kunnen in de praktijk slecht worden uitgevoerd, met de bijbehorende risico’s.
Een goed uitgevoerde interne audit leidt vaak tot onverwachte verbeteringen die je normaal gesproken niet had doorgevoerd.
Wat moet je hebben geaudit voordat de certificeerder komt?
Zoals ik aangaf in de inleiding moet je audits hebben uitgevoerd, gerapporteerd en opgevolgd. Op deze manier kan de certificeerder zien dat jullie het interne auditproces beheersen. Blijft de vraag over of je dan alle processen moet hebben geaudit, of slechts een paar. Daar zijn de certificeerders minder duidelijk over. Het beste kun je het volledige primaire proces al geaudit hebben. Het primaire proces bestaat uit jullie hoofdprocessen zoals verkoop, productie etc. Het zijn voor de klant de belangrijkste processen en hier vinden vaak ook de grootste risico’s plaats.
Let op dat er van deze audits niet alleen rapportages zijn, maar dat je ook kunt laten zien dat deze zijn opgevolgd. Zo nodig moeten er dus ook naar aanleiding van de resultaten corrigerende maatregelen zijn doorgevoerd.
In deze blog hebben we een belangrijk onderwerp besproken; namelijk het uitvoeren van Interne Audits. Dit onderwerp komt uitgebreid terug in onze ISO-systemen. Daarnaast hebben we de cursus Interne Auditing waarin we een toekomstige Interne Auditor bij de hand nemen zodat hij/zij daadwerkelijk audits gaat uitvoeren in jouw organisatie.
Zin om aan de slag te gaan met het implementeren van de norm voor jouw organisatie? Klik dan hier voor meer informatie: