Help, een audit!

Wanneer je als organisatie een ISO- of ander certificaat wilt behalen, ontkom je niet aan audits. Een audit is eigenlijk niets anders dan een toetsing om te kijken of je aan de eisen van de norm voldoet. Na het lezen van deze blog ken je het verschil tussen een interne en externe audit, weet je wie een audit uitvoert en waarom organisaties soms zelf kiezen voor onaangekondigde audits. Daarnaast kom je erachter hoe je je goed op een audit kunt voorbereiden én wat Conformiso hierin kan betekenen.

Verschil en overeenkomst tussen interne en externe audit

Laten we beginnen met het grote verschil tussen een interne en externe audit. Een externe audit wordt uitgevoerd door iemand (een auditor) van buiten jouw organisatie. Deze auditor is verbonden aan een certificerende instelling. De uitkomst van een externe audit heeft ook consequenties: de auditor bepaalt of je wel of geen certificaat behaalt.
Een interne audit wordt uitgevoerd door een persoon binnen de organisatie. Dat kan de KAM-coördinator zijn maar ook bijvoorbeeld een adviseur van buiten die de organisatie begeleid in het certificeringstraject. De uitkomsten van een interne audit leiden niet tot het behalen (of afnemen) van een certificaat.
Let op: interne audits zijn een verplicht onderdeel van een ISO-traject. Zonder interne audit kun je geen certificaat behalen.

De grootste overeenkomst tussen een interne en externe audit: er moet tegen dezelfde norm, tegen dezelfde eisen worden getoetst. Tijdens een audit, zowel intern als extern, vinden documentcontroles plaats waarbij wordt gekeken of alle processen op de juiste manier zijn beschreven en vastgelegd en of er ook wordt gewerkt volgens die processen. Naast deze documentcontrole worden er gesprekken met medewerkers gevoerd over de manier van werken binnen verschillende afdelingen van de organisatie; van directie tot werkplaats. Ook een projectbezoek kan onderdeel zijn van een audit.

Goed voorbereid, met hulp van de externe adviseur

Een naderende externe audit brengt vaak wat spanning met zich mee, zeker als het gaat om een eerste of initiële audit. Omdat het vooraf lastig in te schatten is hoe streng de auditor zal zijn, voelt zo’n externe audit soms als een examen. Dat horen we soms ook terug van medewerkers; zij zijn bang om ‘verkeerde’ antwoorden te geven. Ons advies naar onze klanten (en hun medewerkers) is altijd: vertel hoe het echt is, dan kun je geen verkeerd antwoord geven. Een auditor wil dat wat jij zegt ook kunnen toetsen, het moet allemaal aantoonbaar zijn. Als je antwoorden mooier zijn dan de werkelijkheid, komt dat bij een goede auditor zeker aan het licht.
Toch zou een audit, intern of extern, niet heel veel extra voorbereiding nodig moeten hebben. Als het goed is, heb je al je procedures en werkwijzen vastgelegd en geregistreerd. Als je medewerkers dan ook netjes werken conform die vastgelegde afspraken, dan ben je al voldoende voorbereid op een audit.

De rol van een externe KAM-adviseur – bijvoorbeeld van Conformiso – is tijdens een externe audit niet meer heel groot. Het meeste werk wordt uitgevoerd in de tijd naar de audit toe: zorgen dat alle documenten in orde zijn, dat iedereen weet waar alles te vinden is en dat alle betrokken medewerkers geïnformeerd zijn hoe een externe audit verloopt en wat hun rol daarin is.
Tijdens de audit zal de KAM-adviseur puur ter ondersteuning aanwezig zijn, directie en/of de vaste medewerkers van de organisatie doen het woord. De KAM-adviseur kan met zijn/haar ervaring wel, indien nodig, vragen die de auditor stelt verduidelijken. Ook kan de adviseur in de gaten houden of de auditor geen dingen vraagt (of zelfs ‘eist’) die niet in de norm staan.

Geen auditstress meer? Conformiso biedt ‘KAM-manager as a service’

Conformiso neemt jou met de ‘KAM-manager as a service’ alle zorg uit handen op het gebied van kwaliteitsmanagement, informatiebeveiliging, veiligheid & gezondheid en milieuzorg. Wij onderhouden en beheren jullie managementsystemen voor een vast, laag maandbedrag mét certificeringsgarantie! Zolang wij het beheer en onderhoud van het KAM-management uitvoeren, ben jij verzekerd van het behoud van je certificering(en). Gegarandeerd!

Meer weten over onze diensten? Neem dan contact met ons op voor een vrijblijvend kennismakingsgesprek. Telefonisch via 040-2319023 of via de button hieronder

Neem contact op

Hoe verloopt een audit?

Voordat de externe audit plaatsvindt, ontvang je van de auditor een auditplanning. Hierin staat beschreven wat er tijdens de audit wordt bekeken, wanneer deze plaatsvindt en wie er allemaal bij betrokken worden. In principe is de directeur of een vertegenwoordiger van de directie altijd aanwezig bij een initiële audit. Immers, in de norm staat duidelijk beschreven dat de directie betrokken moet zijn bij de certificering.
Bij een initiële audit worden doorgaans alle processen beoordeeld, bij de audits in de twee daaropvolgende jaren worden processen steekproefsgewijs getoetst. Wanneer er bij de eerste c.q. voorgaande audit afwijkingen worden geconstateerd, komen ze daar bij een latere audit zeker op terug.

Na afloop van de externe audit volgt een auditrapportage met de bevindingen van de auditor. Als er zaken zijn die (nog) niet voldoen aan de eisen van de norm, kan de auditor een ‘afwijking’ schrijven. Deze zijn er in verschillende gradaties:

Major non conformity:
Grote tekortkoming in een proces. Deze moet eerst worden afgehandeld voordat kan worden overgegaan op certificering (binnen 3 maanden met een Plan van Aanpak). Het is aan de auditor om te bepalen of dit schriftelijk afgehandeld kan worden of dat het nodig is dat de auditor nog een keer zelf op locatie komt toetsen of de major NC in voldoende is afgehandeld of gedegradeerd wordt tot een minor non conformity.
Minor non conformity:
Kleinere tekortkoming die certificatie niet in de weg staat. Hiervoor moet soms een PvA worden gemaakt. Tijdens de volgende audit zal door de auditor getoetst worden of de minor(s) in voldoende mate is/zijn afgehandeld.
Maatregel ter verbetering:
Er is geen tekortkoming geconstateerd maar een punt dat mogelijk in de toekomst wel tot een tekortkoming gaat leiden. Of een verbetermogelijkheid die niet door de norm wordt vereist maar die de organisatie mogelijk wel kan helpen om de kwaliteit, efficiëntie etc. te verbeteren. De organisatie bepaalt zelf of ze hiermee aan de slag gaan.

Als jouw organisatie de audit goed heeft doorstaan en je voldoet aan alle eisen die de norm stelt, word je door de auditor ‘voorgedragen voor certificering’, zoals dat heet. Dat betekent in de praktijk dat je binnen afzienbare tijd het certificaat voor de betreffende norm in ontvangst kunt nemen.

Onaangekondigde audit?

Voor sommige normen vinden externe audits onaangekondigd plaats. Dat geldt met name voor normen in de voedselveiligheid (bijvoorbeeld IFS of BRC). Een auditor komt dan eens per drie jaar op bezoek zonder afspraak vooraf en moet binnen 30 minuten na aankomst in de productieruimte kunnen kijken. Zo’n audit vindt plaats vanaf 3 of 4 maanden vóór tot 1 maand na het verlopen van je certificaat.

Voor een onaangekondigde audit kun je maximaal 10 data doorgeven waarop het de organisatie niet uitkomt dat de onaangekondigde audit plaatsvindt, bijvoorbeeld als er groot onderhoud aan machines gepland staat. De afwezigheid van bepaalde functionarissen, bijvoorbeeld de kwaliteitsfunctionaris of directeur, is geen reden waarom er geen onaangekondigde audit kan plaatsvinden.

Daarnaast is er bij sommige voedselveiligheidsschema’s, zoals BRC, de keuze om naast de onaangekondigde audit 1x per 3 jaar, elk jaar onaangekondigd geaudit te worden. Als je kiest voor onaangekondigde audits, bijvoorbeeld omdat een klant dit eist, is het herkenbaar op het certificaat dat de organisatie onaangekondigd is geaudit. Tevens is het op het BRC-certificaat zichtbaar hoeveel afwijkingen er zijn geconstateerd. Als je zelf kiest voor onaangekondigde audits laat je uiteraard wel zien dat je ervan uit kunt gaan dat je alles altijd – volgens de norm – op orde hebt binnen je organisatie.