ISO 22301 auditproces
Een ISO 22301 audit toetst of je BCMS niet alleen gedocumenteerd is, maar ook aantoonbaar werkt. De norm staat op ISO , praktische guidance op ISO 22313 , en certificering gaat via geaccrediteerde instellingen onder RvA .
Auditors kijken vooral naar kritieke processen, hersteldoelen (RTO/RPO), testresultaten en opvolging van verbeteracties.
In het kort
| Onderdeel | Wat gebeurt er? | Resultaat |
|---|---|---|
| Stage 1 | BCMS-opzet en documentatiecheck | Go/no-go voor stage 2 |
| Stage 2 | Praktijktoets op uitvoering | Certificeringsadvies |
| Surveillance | Jaarlijkse opvolgaudit | Behoud certificaat |
| Hercertificering | Volledige herbeoordeling in jaar 3 | Verlenging certificaat |
Stap-voor-stap auditverloop
Stage 1: document- en systeemreview
De auditor beoordeelt of je BCMS-architectuur logisch en auditklaar is:
- scope en governance;
- BIA-uitkomsten en hersteldoelen;
- continuiteitsplannen;
- interne audit en management review.
Uitkomst: bevindingen die je oplost voor stage 2.
Stage 2: implementatie in de praktijk
Hier toetst de auditor of processen echt werken:
- zijn rollen helder tijdens incidenten;
- werken escalatie- en communicatiepaden;
- zijn testresultaten aantoonbaar opgevolgd;
- zijn leveranciersafhankelijkheden beheerst.
Uitkomst: certificeringsadvies met eventuele bevindingen.
Jaarlijkse surveillance
Na certificering volgt jaarlijks een controleaudit op kritieke onderdelen en opvolging van eerdere bevindingen.
Hercertificering
In jaar 3 volgt een volledige herbeoordeling voor verlenging.
Bevindingstypen en impact
| Type bevinding | Betekenis | Effect |
|---|---|---|
| Major nonconformity | Fundamenteel gebrek in BCMS-opzet of uitvoering | Certificering uitgesteld |
| Minor nonconformity | Afwijking met beperkte impact | Correctieplan vereist |
| Observatie | Verbeterkans zonder formele afwijking | Geen directe blokkade |
Audit readiness checklist
| Controlepunt | Waarom belangrijk | Verdieping |
|---|---|---|
| Scope en kritieke processen helder | Basis voor auditafbakening | Stappenplan |
| BIA + RTO/RPO actueel | Kern van continuiteitsdoelen | BIA, RTO en RPO |
| Testen aantoonbaar uitgevoerd | Bewijs van werking | Eisen van de norm |
| CAPA opgevolgd en gesloten | Toont verbetercyclus | Eisen van de norm |
| Interne audit + management review | Verplicht onderdeel | Stappenplan |
Veelgemaakte auditfouten
- Plannen wel geschreven, maar nooit geoefend.
- Onrealistische RTO/RPO zonder bestuurlijk besluit.
- Onvoldoende aandacht voor leverancier- en ketenafhankelijkheid.
- Verbeteracties niet aantoonbaar afgerond.
Meer informatie
Stappenplan -> Hoe word je auditklaar?Eisen van de norm -> Wat toetst de auditor inhoudelijk?BIA, RTO en RPO -> Auditkritische begrippenKosten en tijdlijn -> Impact van auditfasen op planningVeelgestelde vragen -> Korte auditantwoorden