Het auditproces bij ISO 20000-1
Een ISO 20000-1 certificeringsaudit bestaat uit twee fases: een documentatiebeoordeling (stage 1) en een praktijktoets (stage 2). Na certificering volgt elk jaar een controle-audit en na drie jaar een hercertificering. De norm is vastgesteld door ISO en beschikbaar via NEN . Het volledige traject richting de audit staat in het stappenplan, en wat de auditor inhoudelijk toetst lees je op de eisen van ISO 20000-1.
Interne audit versus externe certificeringsaudit
Er zijn twee soorten audits. De interne audit doe je zelf: een medewerker of adviseur controleert of je SMS voldoet, vóórdat de externe auditor komt. Dat is een verplicht onderdeel van de norm en een goede kans om gaten te dichten.
De externe certificeringsaudit voert een geaccrediteerde instelling uit, zoals Kiwa , DNV of TÜV . Alleen die audit levert een certificaat op. De instelling moet geaccrediteerd zijn door de Raad voor Accreditatie (RvA) .
De certificeringsaudit: stage 1 en stage 2
| Auditfase | Wat gebeurt er | Uitkomst |
|---|---|---|
| Stage 1 | Documentatiebeoordeling, gereedheidscheck | Lijst met bevindingen, groen licht voor stage 2 |
| Stage 2 | Praktijktoets, medewerkersgesprekken, bewijs | Certificaat of lijst met afwijkingen |
| Surveillance | Jaarlijkse controle of SMS blijft werken | Certificaat blijft geldig |
| Hercertificering | Volledige herbeoordeling na drie jaar | Nieuw certificaat voor drie jaar |
Stage 1: documentatiebeoordeling
De auditor beoordeelt je documentatie en kijkt of je klaar bent voor stage 2. Hij controleert: is de scope duidelijk, zijn de processen beschreven, is de interne audit uitgevoerd, en is de directiebeoordeling gedaan?
Stage 1 is geen stempel halen. De auditor geeft bevindingen terug die je oplost vóór stage 2. Plan voldoende tijd tussen de twee stages: minimaal twee tot vier weken.
Stage 2: praktijktoets
Stage 2 is de echte toets. De auditor praat met medewerkers, vraagt bewijs op en controleert of de processen daadwerkelijk werken. Hij kijkt niet alleen naar documenten, maar naar de werkelijkheid.
Clausule 8, de servicemanagementprocessen, neemt bij stage 2 vaak de helft van de audittijd in beslag. De auditor wil concrete voorbeelden zien: hoe is dit incident afgehandeld, wie heeft deze wijziging goedgekeurd, wat stond er in de SLA-rapportage van vorige maand?
Bewijs uit de praktijk telt meer dan documenten. Tickets, SLA-rapportages, wijzigingslogboeken en notulen van evaluaties zijn wat de auditor zoekt. Een mooi opgemaakt proces zonder bewijs van gebruik is geen bewijs van naleving.
Afwijkingen: major en minor nonconformity
Als de auditor iets vindt dat niet klopt, registreert hij een afwijking. Er zijn twee soorten.
Een major nonconformity is een ernstige afwijking: een vereist proces ontbreekt, een clausule is systematisch niet nageleefd, of er is een fundamenteel gat in het SMS. Bij een major mag je geen certificaat krijgen. Je lost het op en ondergaat een heraudit.
Een minor nonconformity is een kleinere tekortkoming: een procedure is niet overal gevolgd, of documentatie is incompleet. Je stuurt binnen de afgesproken termijn bewijs van herstel op. Het certificaat wordt pas afgegeven na goedkeuring.
Corrigerende maatregelen beschrijf je in een actieplan: wat is er misgegaan, wat doe je eraan en hoe voorkom je herhaling?
Een veelgemaakte fout: denken dat bevindingen van stage 1 automatisch goed komen bij stage 2. Stage 2 is een nieuwe toets. Oplossingen uit stage 1 moeten aantoonbaar doorgevoerd zijn vóór de tweede dag.
Hoe je je voorbereidt
Goede voorbereiding begint bij bewijs verzamelen, niet bij documenten schrijven. Zorg dat je voor de belangrijkste clausule 8-processen concrete voorbeelden hebt.
Wat de auditor wil zien bij clausule 8:
- Tickets of logboeken van incidentafhandeling met doorlooptijden
- SLA-rapportages die tonen of je afspraken hebt nagekomen
- Wijzigingslogboeken met goedkeuringen
- Notulen van evaluaties met leveranciers
- Bewijs van een uitgevoerde interne audit en directiebeoordeling
Lees de processen van ISO 20000-1 door en controleer voor elk proces of je bewijs hebt. Zorg dat medewerkers hun eigen werk kunnen uitleggen: de auditor vraagt door.
Gecombineerde audit met ISO 27001
Als je ook ISO 27001 hebt of tegelijk aanvraagt, kun je een gecombineerde audit plannen. De HLS-structuur is identiek, waardoor clausules 4 tot en met 7 en clausule 9 en 10 in één sessie worden getoetst. Dat scheelt auditdagen en dus kosten. Lees meer op ISO 20000 en ISO 27001.
Surveillance en hercertificering
Na certificering volgt elk jaar een surveillance-audit. De auditor controleert een selectie van de clausules en bewaakt de voortgang van verbetermaatregelen. Na drie jaar is er een volledige hercertificering.
Jaarlijkse controle-audits zijn geen formaliteit. Wie zijn SMS verwaarloost na certificering, loopt kans op een suspension of intrekking van het certificaat.
Volgende stappen
Het volledige traject van nul naar certificaat.
Stappenplan → Voorbereiding op de auditIncidentbeheer, wijzigingsbeheer en meer.
De processen → Wat clausule 8 vraagtIndicatieve kosten per fase en bedrijfsgrootte.
Kosten en tijdlijn → Auditkosten begrootKosten besparen met een gecombineerde aanpak.
ISO 20000 en ISO 27001 → Gecombineerde auditStaat je vraag er niet tussen? Bekijk dan de veelgestelde vragen over ISO 20000.