De initiële audit: van fase 1 naar fase 2
De initiële audit is de eerste volledige certificeringsaudit, waarmee je voor het eerst je certificaat haalt. Een onafhankelijke auditor van een geaccrediteerde certificerende instantie controleert of je managementsysteem voldoet aan de norm én of het in de praktijk werkt. Dit gebeurt in twee fasen: fase 1 (documentatie) en fase 2 (implementatie).
Deze opzet is gelijk voor de meeste managementsysteemnormen, zoals ISO 9001, ISO 27001 en ISO 14001. De CI moet geaccrediteerd zijn door de Raad voor Accreditatie (RvA) , die toetst tegen de internationale auditstandaard ISO/IEC 17021 . Op deze pagina leggen we de initiële audit norm-onafhankelijk uit.
Het verschil tussen fase 1 en fase 2
De initiële audit bestaat altijd uit twee stappen. Fase 1 kijkt of je papieren op orde zijn en of je klaar bent voor fase 2. Fase 2 kijkt of je in de praktijk doet wat je opschrijft.
| Fase 1: documentatiebeoordeling | Fase 2: implementatie-audit | |
|---|---|---|
| Doel | Klaar voor fase 2? | Werkt het systeem in de praktijk? |
| Focus | Documentatie en opzet | Uitvoering en effectiviteit |
| Locatie | Vaak op afstand | Op locatie |
| Resultaat | Go/no-go voor fase 2 | Certificeringsadvies |
Het verloop stap voor stap
Fase 1: documentatiebeoordeling
De auditor beoordeelt of je documentatie compleet is en of je begrijpt wat de norm vraagt. Het doel is niet om afwijkingen te zoeken, maar om vast te stellen of fase 2 zinvol is.
Wat de auditor doet:
- Beleid, procedures en handboek doorlezen
- Context en scope beoordelen
- Checken of de interne audit en directiebeoordeling zijn gedaan
- De risicobeoordeling bekijken
Vaak gebeurt dit op afstand. Tussen fase 1 en fase 2 zit meestal 1 tot 4 weken, zodat je eventuele aandachtspunten kunt oppakken.
Fase 2: implementatie-audit
De auditor komt op locatie en controleert of je systeem werkt zoals beschreven. Dit is de inhoudelijke audit.
Wat de auditor doet:
- Rondgang door de organisatie
- Gesprekken met medewerkers, van directie tot werkvloer
- Processen volgen en observeren
- Registraties bekijken (orders, klachten, meetgegevens, logs)
- Vragen stellen als “Hoe doen jullie dit?” en “Kun je dat laten zien?”
De auditor zoekt geen goede antwoorden, maar bewijs. Heb je je registraties bij de hand, dan loopt het gesprek soepel.
Hoe lang duurt de initiële audit?
De doorlooptijd hangt af van het aantal auditdagen, en dat hangt weer af van je aantal medewerkers en de complexiteit van je organisatie. Het aantal auditdagen wordt bepaald volgens richtlijnen van de Global Accreditation Cooperation (GAC, voorheen IAF) .
Als grove indicatie voor fase 1 en fase 2 samen:
| Organisatiegrootte | Auditdagen (fase 1 + 2) |
|---|---|
| Klein (1-25 fte) | 2-4 dagen |
| Middelgroot (25-100 fte) | 4-8 dagen |
| Groot (100+ fte) | 7+ dagen |
Het exacte aantal verschilt per norm en per CI. De precieze ranges en kosten vind je op de kosten-pagina.
De mogelijke uitkomsten
Na de audit krijg je een rapport met bevindingen. Die vallen in vier categorieën.
| Uitkomst | Betekenis | Gevolg |
|---|---|---|
| Conform | Je voldoet aan de eis | Goed nieuws |
| Observatie | Verbeterpunt, geen afwijking | Advies, niet verplicht |
| Minor afwijking | Je voldoet niet volledig aan een eis | Oplossen binnen een afgesproken termijn |
| Major afwijking | Ernstige tekortkoming | Blokkeert certificering tot het is opgelost |
Een minor afwijking betekent niet dat je zakt. Je krijgt tijd om hem op te lossen en bewijs te leveren. Pas als de auditor akkoord is, wordt het certificaat uitgegeven. Een major moet je verhelpen voordat certificering volgt, soms met een extra audit.
Voorbeeld van een minor: de interne audit is wel gedaan, maar niet over alle onderdelen. Voorbeeld van een major: er is helemaal geen interne audit uitgevoerd, of de directiebeoordeling ontbreekt volledig.
Hoe bereid je je voor?
Goede voorbereiding scheelt afwijkingen en stress. De belangrijkste punten:
- Check je documentatie. Is alles actueel en klopt het met de praktijk?
- Controleer registraties. Zijn er gaten of ontbrekende handtekeningen?
- Doe een interne audit. Test je eigen systeem voordat de externe auditor komt.
- Brief je medewerkers. Leg uit dat er een auditor komt en wat de bedoeling is.
Veelgemaakte fout: medewerkers instrueren om het “goede antwoord” te geven. Auditors prikken daar doorheen. Eerlijkheid werkt beter en levert bruikbare feedback op.
Na de initiële audit
Slaag je, dan is je certificaat drie jaar geldig. Daarna komt de auditor elk jaar terug voor een kortere controle-audit (surveillance), en na drie jaar volgt een hercertificering.
Wil je je systeem goed bijhouden na de initiële audit? Lees hoe je interne audits plant en uitvoert en hoe de verplichte managementreview werkt. Wil je het auditproces voor jouw specifieke norm lezen? Bekijk de ISO 9001 audit, de ISO 27001 audit of de ISO 14001 audit. Nog geen CI gekozen? Lees certificerende instantie kiezen.