Interne audit plannen en uitvoeren
Een interne audit is een zelfcontrole: je checkt of je eigen managementsysteem doet wat het moet doen. Elke ISO-managementsysteemnorm verplicht het. De auditor van je geaccrediteerde certificerende instantie verwacht tijdens de initiële audit bewijs dat je interne audits hebt uitgevoerd. Zonder dat bewijs krijg je een major afwijking.
Deze gids is norm-onafhankelijk. De aanpak geldt voor ISO 9001, ISO 27001, ISO 14001, ISO 50001, NEN 7510 en andere normen. De International Organization for Standardization (ISO) heeft hiervoor richtlijn ISO 19011 gepubliceerd.
Wat is het doel van een interne audit?
Een interne audit is geen papieren exercitie. Je gebruikt het om tekortkomingen te vinden voordat de externe auditor dat doet. Kleine gebreken die je zelf ontdekt en oplost, worden bevindingen. Dezelfde gebreken die de externe auditor vindt, worden afwijkingen op je auditrapport.
Concreet voorbeeld: een installatiebedrijf doet een interne audit en ontdekt dat twee medewerkers geen actuele versie van een werkinstructie hebben. Ze passen het distributieproces aan voor de externe audit. Tijdens de certificeringsaudit is dit geen punt meer.
De norm vereist dat de interne auditor onafhankelijk is van de activiteiten die hij beoordeelt. Je mag je eigen werk niet auditen. In kleine organisaties kan dat betekenen dat je iemand inhuurt voor een dag.
Het jaarprogramma opstellen
Je legt vooraf vast welke processen of afdelingen je wanneer auditt. Dit heet het auditprogramma. Het hoeft niet complex te zijn: een simpele tabel of spreadsheet volstaat.
| Wat je vastlegt | Waarom |
|---|---|
| Scope per auditcyclus | Alle eisen van de norm komen aan bod in 1-3 jaar |
| Geplande auditdata | Geeft structuur, voorkomt dat het blijft liggen |
| Verantwoordelijke auditor | Borgt de onafhankelijkheidseis |
| Status per audit | Gepland, uitgevoerd, afgerond |
Een jaarprogramma voor een klein bedrijf kan er zo uitzien: Q1 auditt afdeling A, Q2 afdeling B, Q3 afdeling C, Q4 evaluatie en managementreview. Je hoeft niet elke afdeling elk jaar te auditen, maar je hele systeem moet in de auditcyclus aan bod komen.
Interne audit uitvoeren in 4 stappen
Voorbereiding
Bepaal de scope van deze audit (welke processen, eisen of afdeling), stel een checklijst op en informeer de betrokkenen. Kijk terug op vorige audits: waren er afwijkingen? Dan besteed je er extra aandacht aan.
Bereid open vragen voor, geen ja/nee-vragen. Niet: “Hebben jullie een procedure?” Maar: “Hoe verloopt dit proces in de praktijk? Kun je me dat laten zien?”
Uitvoeren
Ga in gesprek met de mensen die het werk doen. Vraag naar bewijs. Kijk in registraties, logboeken, orders of logs. Loop mee. De audit is geen verhoor maar een gesprek.
Maak aantekeningen tijdens de audit. Noteer wat je ziet, hoort en leest. Vermeng observaties nog niet met conclusies.
Rapporteren
Schrijf je bevindingen op in een auditrapport. Gebruik vier categorieën: conform, observatie (verbeterpunt), minor afwijking (kleine tekortkoming) of major afwijking (ernstige tekortkoming). Die indeling is gelijk aan die van de externe audit. Zo went de organisatie aan de terminologie.
Het rapport is bewijs voor de externe auditor. Bewaar het.
Opvolging en afsluiting
Elke afwijking vraagt een correctieve actie: wat ga je doen, wie is verantwoordelijk en wanneer is het klaar? Registreer dit. Controleer of de actie daadwerkelijk is uitgevoerd en of het probleem is opgelost.
Pas als de actie is geverifieerd, sluit je de bevinding.
Wie voert de interne audit uit?
Klein bedrijf (1-25 fte)
In kleine organisaties is het lastig iemand onafhankelijk te laten auditen. Opties: een collega van een andere afdeling, een externe adviseur die een dag inhuurt of een bevriend bedrijf waarmee je uitwisselt. De norm staat alle drie toe.
Verbinding met de managementreview
De resultaten van je interne audits zijn verplichte input voor de managementreview. De directie bespreekt de bevindingen en bepaalt of er systeemverbeteringen nodig zijn. Leg dit vast, want de externe auditor wil zien dat de directie betrokken is.
Norm-specifieke verdieping
Elke norm heeft eigen accenten bij interne audits. Lees hier verder als je een specifieke norm hebt:
- Interne audit ISO 9001
- Interne audit ISO 27001
- Interne audit ISO 14001
- Interne audit ISO 50001
- Interne audit ISO 42001
- Interne audit NEN 7510
Heb je hulp nodig bij de keuze van software voor je audits en managementsysteem? Lees welke ISO-software je nodig hebt.