Of het nu ISO 27001, ISO 9001, NEN 7510 of een andere certificering is, zodra het managementsysteem is ingericht horen periodieke audits erbij. Dit geldt voor zowel interne audits als externe audits. Zeker de initiële externe audit cyclus kan spannend zijn, omdat het toch voelt als een soort examen doen en er een externe partij mee kijkt of jouw processen, procedures en maatregelen wel correct geïmplementeerd zijn en of je aan de eisen van de norm(en) voldoet. In deze blog zullen we uitleg geven waar je aan moet denken tijdens de voorbereiding op een externe audit, zoals het vaststellen van de audit scope, het auditprogramma, de kennis van de managementsysteem verantwoordelijke(n) en praktische zaken zoals de auditruimte en het belang van een lege agenda.
Kiezen van een audit partij
Tijdens de implementatie van een managementsysteem is het handig om alvast op zoek te gaan naar een externe audit partij. Er zijn veel verschillende partijen op de markt, zorg er minimaal voor dat de partij geaccrediteerd is voor de norm die geaudit dient te worden. Indien nodig kan dit gecontroleerd worden op de website van de Raad voor Accreditatie.
Zorg dat je de externe audit data duidelijk afspreekt, zowel intern als met de externe partij om te voorkomen dat de juiste mensen niet aanwezig kunnen zijn tijdens de audit”.
Audit scope
Tijdens de implementatie van een managementsysteem is het al van belang dat het toepassingsgebied van het managementsysteem duidelijk is, en dit toepassingsgebied duidelijk gecommuniceerd wordt met de audit partij/certificerende instelling. Dit helpt de externe partij met het vaststellen van hoeveel tijd er nodig is om het managementsysteem te auditen en helpt de organisatie te focussen op de processen die binnen de audit scope vallen.
Auditprogramma
Een onderdeel van bijna alle normeringen is het opstellen van een auditprogramma voor de komende 3 jaar (een gemiddelde auditcyclus duurt 3 jaar). In dit auditprogramma leg je vast wat er minimaal per audit geaudit dient te worden. Voor de externe audit zal dit afhankelijk zijn van de externe partij. Neem hier minimaal voor op of dit een initiële audit of een controle audit is.
Kennis van de norm
Wanneer de externe audit dichterbij komt is het prettig om de norm waarop je geaudit wordt nog een keer door te lezen, om het geheugen op te frissen en de details weer naar boven te halen. Bedenk tijdens het doorlezen hoe je deze onderdelen hebt gedocumenteerd en geïmplementeerd, bedenk welke vragen een auditor hierover kan stellen en indien je het idee hebt dat je wat mist, neem actie.
Auditplanning
Enkele weken voor de externe audit zal de externe auditor een auditplanning delen met de organisatie. In deze planning geeft de auditor aan welke onderdelen op welk moment uitgevoerd gaan worden. Controleer deze planning en deel deze planning met de belangrijkste stakeholders van de organisatie. Zorg ervoor dat je deze planning aanvult met welke medewerkers bij welke onderdelen aanwezig zijn. Indien het op een bepaald moment niet mogelijk is een onderwerp uit te voeren, ga in overleg met de externe auditor. Meestal is het geen probleem om twee onderdelen te wisselen, zodat de juiste mensen aan kunnen sluiten op het juiste moment.
Wanneer je de auditplanning hebt aangevuld, stuur hem terug naar de externe audit partij.
Zorg dat je tijdens de audit de planning erbij houdt en zorgt dat de aanwezig geachte medewerkers op tijd aansluiten bij de juiste onderdelen, dat zorgt voor een efficiënte audit dag.
Zorg dat de documentatie up-to-date is
Ondanks alle taken en maatregelen om je managementsysteem up-to-date te houden gebeurt het toch nog wel eens dat bepaalde registraties niet ingevoerd zijn of niet volledig zijn. Controleer tijdig of de documentatie echt up-to-date is om niet voor verassingen te staan tijdens de audit.
Leg de interne medewerkers uit wat een audit is
Een audit is vaak nieuw voor medewerkers, neem de tijd om uit te leggen wat een audit in houdt en wat er van medewerkers verwacht wordt, zoals bijvoorbeeld aanwezigheid doordat een onderdeel onder hun verantwoordelijkheid valt, of het tonen van bewijslast over bepaalde zaken.
Sommige medewerkers kunnen geïnterviewd worden over hun werkzaamheden en hun verantwoordelijkheden. Van belang is dat medewerkers op hoogte zijn van de beleidstukken en regels die voor hun gelden en dat ze dit ook daadwerkelijk kunnen uitleggen met voorbeelden. Bijvoorbeeld tijdens een audit kan de HR-medewerker toelichten hoe het HR-beleid, inclusief het personeelshandboek werkt waarin bepaalde regels benoemd zijn. Een medewerker kan naar het personeelshandboek gevraagd worden om te verifiëren of dit ook daadwerkelijk bekend is bij medewerkers en dat ze weten waar ze het kunnen terugvinden.
Zorg dat de juiste medewerkers aanwezig zijn
In het verlengde van de auditplanning en de uitleg over audits dienen de juiste medewerkers ook op het juiste moment aanwezig te zijn. Blok tijdig de agenda’s van de medewerkers die onderdeel van de audit zijn. Zeker het management dient aan te sluiten bij specifieke onderdelen, om betrokkenheid te tonen. Dit staat ook vaak in de auditplanning van de externe auditor.
Zorg voor een ‘lege agenda’
Dit is een praktische tip, maar toon ook respect naar de externe auditor. Zorg ervoor dat als jij verantwoordelijk bent voor het verloop van een externe audit binnen jouw organisatie. Wanneer je telkens gestoord wordt door collega’s tijdens de audit is dit een storende factor.
Zorg voor een fijne ruimte
Een andere praktische tip is dat er een fijne ruimte aanwezig moet zijn om de audit in uit te voeren. Auditdagen zijn lange dagen, dus een ruimte met een goede tafel en goede stoelen waar de gesprekken plaats vinden is van groot belang. Soms heeft de auditor ook tijd nodig om uit te werken, zorg ervoor dat hier ook de ruimte voor is. Vaak kan dit in dezelfde ruimte en kunnen de auditees naar hun eigen werkplek.
Bedenk ook van tevoren waar de lunch plaats kan vinden, dit kan in dezelfde ruimte, maar kan bijvoorbeeld ook in het bedrijfsrestaurant of lunch ruimte. Een andere ruimte geeft je brein ook even rust.
Toegang tot ruimtes en systemen
Zorg dat een auditor toegang heeft tot alle ruimtes die binnen de scope van het managementsysteem vallen. Het kan bijvoorbeeld nodig zijn om een serverruimte te betreden of een datacenter te bezoeken. Dan dient deze toegang tijdig aangevraagd te worden.
Tijdens een audit kunnen hiernaast ook systemen gecontroleerd moeten worden, of bijvoorbeeld het toegangsbeleid is toegepast of dat data wel gewist is dat gewist dient te zijn, de juiste mensen dienen aanwezig te zijn om dit inzichtelijk te maken.
Benieuwd naar hoe wij je kunnen helpen bij een audit? Neem contact met ons op, zodat we samen kunnen bespreken hoe we jouw organisatie kunnen helpen.
