Wat is een interne audit?
Een interne audit is een systematische, onafhankelijke beoordeling van uw managementsysteem. Het doel is niet om fouten aan te wijzen, maar om te toetsen of uw processen en maatregelen daadwerkelijk werken zoals bedoeld en of ze aansluiten op de eisen van de norm en uw eigen beleid.
Bij ISO 9001 en ISO 27001 is de interne audit een verplicht onderdeel van het managementsysteem. U dient aan te tonen dat u periodiek toetst of uw systeem doeltreffend is. Dat klinkt formeel, maar in de praktijk kan dit heel pragmatisch aangepakt worden.
In dit blog leggen we uit wat een interne audit is en welke resultaten bereikt kunnen worden.
Waarom is een interne audit verplicht?
ISO certificeringen (zoals ISO 9001 en ISO 27001) stellen expliciet dat u interne audits moet plannen en uitvoeren. Dit vloeit voort uit de PDCA-cyclus (Plan-Do-Check-Act): de interne audit is onderdeel van de ‘Check’. Zonder deze check-fase wordt continue verbetering niet aantoonbaar en dat is precies wat het management en een certificerende instelling wel wil zien.
Bovendien geeft een goed uitgevoerde interne audit uw organisatie zelf inzicht in wat er werkt en wat beter kan. Het is dus geen papieren exercitie voor de auditor, maar een stuurinstrument voor uw management.
Wat wordt er precies getoetst?
Tijdens een interne audit toetst de auditor of:
- Uw informatiebeveiligings- of kwaliteitsbeleid wordt nageleefd
- De processen in uw organisatie verlopen zoals gedocumenteerd
- De genomen maatregelen effectief zijn en worden nageleefd
- U tijdig risico’s en afwijkingen signaleert en afhandelt
- U uw doelstellingen van het managementsysteem behaalt
De scope en diepgang van de audit worden bepaald aan de hand van het auditprogramma. Dat programma moet risico-gebaseerd zijn: processen of maatregelen met een hoger risico of eerdere bevindingen verdienen meer aandacht.
Wie voert de interne audit uit?
De ISO norm stelt dat de auditor onafhankelijk moet zijn van de activiteiten die hij of zij toetst. Dat betekent niet dat de auditor altijd van buiten de organisatie moet komen. Iemand uit een andere afdeling kan in veel gevallen al volstaan, mits die persoon geen directe verantwoordelijkheid draagt voor het geauditeerde proces.
In de praktijk kiezen veel organisaties toch voor een externe interne auditor. Dat lijkt tegenstrijdig, maar biedt een belangrijk voordeel: iemand van buiten brengt een frisse blik mee en heeft geen belang bij een goede uitkomst. Dat levert eerlijkere bevindingen op.
Hoe helpt ISO club bij interne audits?
Onze ervaren consultants voeren interne audits uit als volledig onafhankelijke partij. Wij toetsen uw managementsysteem aan de eisen van de norm én aan uw eigen beleid. U ontvangt een helder auditrapport met bevindingen, aanbevelingen en een prioritering, zodat u weet waar u actie op moet ondernemen.
We stemmen de audit altijd af op uw specifieke situatie: de omvang van uw organisatie, de scope van uw certificering en eventuele eerdere bevindingen. Zo is de interne audit geen verplichte horde, maar een nuttige stap richting gereedheid voor de externe audit.
Hoe vaak moet ik een interne audit uitvoeren?
De norm schrijft geen vaste frequentie voor, maar de meeste organisaties voeren minimaal één interne audit per jaar uit. Bij grotere risico’s of meerdere locaties is vaker auditen verstandig.
Wat is het verschil tussen een interne en externe audit?
Een interne audit is een eigen toets om het systeem te verbeteren en te checken of alles klopt. Een externe audit wordt uitgevoerd door een certificerende instelling om vast te stellen of u voldoet aan de norm en of u het certificaat (mag) behoudt.
Mag ik mijn eigen interne audit uitvoeren?
Ja, dat mag. De auditor moet alleen onafhankelijk zijn van de activiteiten die worden getoetst. Veel organisaties kiezen toch voor externe ondersteuning, omdat dat meer objectiviteit en diepgang biedt.
Wat als de interne audit tekortkomingen blootlegt?
Dat is precies het doel. Bevindingen worden vastgelegd en afgehandeld via een correctieve actie. Dit toont aan dat uw systeem werkt: u signaleert, analyseert en verbetert. Een externe auditor waardeert dat positief.
Wat zijn veelvoorkomende bevindingen bij een interne audit?
Veelvoorkomende bevindingen zijn: verouderde documentatie, ontbrekende registraties, onduidelijke verantwoordelijkheden en maatregelen die op papier bestaan maar in de praktijk niet worden gevolgd. Juist deze ‘papieren tijgers’ wil de interne audit aan het licht brengen.
