Het auditproces bij ISO 45001
Een ISO 45001 audit kent twee vormen: de interne audit die je zelf uitvoert en de externe certificeringsaudit. Bij die externe audit beoordeelt een auditor van een geaccrediteerde instantie of je G&VW-managementsysteem voldoet aan ISO 45001 . De officiële norm is verkrijgbaar via NEN . Eerst de interne audit, daarna de externe. Op deze pagina leggen we beide uit en laten we zien wat de auditor checkt.
Een audit beoordeelt niet alleen documenten, maar vooral of je veiligheidsmanagementsysteem in de praktijk werkt. De auditor praat ook met medewerkers op de werkvloer over veiligheid.
Het ISO 45001 auditproces in het kort
| Onderdeel | Wat gebeurt er? | Resultaat |
|---|---|---|
| Fase 1 | Documentatiebeoordeling | Ready/no-go voor fase 2 |
| Fase 2 | Implementatie-audit op locatie | Certificeringsadvies |
| Surveillance | Jaarlijkse controle-audit | Behoud certificaat |
| Hercertificering | Volledige herbeoordeling in jaar 3 | Verlenging certificaat |
De interne audit voor ISO 45001
Voordat de externe auditor komt, voer je zelf een interne audit uit. Dat is geen formaliteit, maar een eis uit hoofdstuk 9 van de norm. Je controleert of je eigen systeem voldoet aan ISO 45001 en of het in de praktijk werkt. Zie het als een generale repetitie.
De interne audit is verplicht en gebeurt minimaal één keer per jaar. Je dekt over een auditcyclus alle eisen van de norm af. Het hoeft niet in één sessie; je kunt het verdelen over het jaar.
Wie voert de interne audit uit?
De interne auditor moet onafhankelijk zijn van het werk dat hij beoordeelt. Hij mag niet zijn eigen werk controleren. Wie de gevarenidentificatie heeft opgesteld, mag dat onderdeel dus niet zelf auditen.
Kleine bedrijven hebben vaak te weinig mensen voor die scheiding. Twee oplossingen werken goed. Laat collega’s elkaars werk beoordelen, of huur een externe interne auditor in. Een opgeleide medewerker kost €500 tot €1.500 aan training (indicatie, zie kosten en tijdlijn) en bespaart daarna jaarlijks.
Wat controleer je tijdens de interne audit?
Je loopt de eisen van de norm langs en zoekt bewijs dat je eraan voldoet. De kern: kloppen je documenten met de praktijk, en werkt het systeem echt? Werk de interne audit hoofdstuk voor hoofdstuk af. Per hoofdstuk stel je een paar concrete vragen en vraag je het bijbehorende bewijs op.
| Hoofdstuk | Voorbeeldvragen | Welk bewijs vraag je op? |
|---|---|---|
| 4. Context | Weet je welke interne en externe factoren je veiligheid raken? Klopt de scope nog? | Contextanalyse, scopebeschrijving, belanghebbendenoverzicht |
| 5. Leiderschap en participatie | Kan de directie haar betrokkenheid aantonen? Worden medewerkers echt betrokken? | G&VW-beleid, notulen overleg, verslagen van consultaties |
| 6. Planning | Is het gevaren- en risicoregister compleet en actueel? Zijn doelen meetbaar? | Risicoregister, wettelijke-eisenoverzicht, doelstellingenplan |
| 7. Ondersteuning | Zijn medewerkers competent? Werkt de communicatie over veiligheid? | Opleidingsregister, competentiematrix, communicatieplan |
| 8. Uitvoering | Volgen maatregelen de hiërarchie van beheersing? Zijn noodplannen getest? | Werkinstructies, oefenverslagen, afspraken met aannemers |
| 9. Evaluatie | Meet je je prestaties? Is naleving van de wet getoetst? | KPI-overzicht, nalevingsevaluatie, vorige auditverslagen |
| 10. Verbetering | Worden incidenten onderzocht en opgevolgd? | Incidentmeldingen, oorzaakanalyses, lijst corrigerende maatregelen |
Een uitgebreidere versie met een statuskolom om aan te vinken vind je in de ISO 45001 checklist (Nederlands). Je legt je bevindingen vast in een auditverslag en rapporteert die aan het management. Bevindingen die je vindt, los je op vóór de externe audit. Doe je dat niet, dan vindt de externe auditor ze alsnog.
Interne audit zelf doen of uitbesteden?
Je mag de interne audit zelf uitvoeren of inkopen. De keuze hangt af van je grootte, je interne kennis en de eis van onafhankelijkheid: de auditor mag niet zijn eigen werk beoordelen.
| Zelf doen | Uitbesteden | |
|---|---|---|
| Kosten | Eenmalig €500 - €1.500 opleiding, daarna laag | Per audit, vaak €750 - €2.000 (indicatie) |
| Kennis | Je bouwt zelf normkennis op | Directe ervaring van een specialist |
| Onafhankelijkheid | Lastig bij weinig medewerkers | Volledig onafhankelijk |
| Geschikt voor | Bedrijven met meerdere afdelingen | Kleine bedrijven of een eerste audit |
Veel kleine bedrijven besteden de eerste interne audit uit en leiden daarna een eigen medewerker op. Zo combineer je leren met onafhankelijkheid. De opleidings- en auditkosten staan op de pagina kosten en tijdlijn.
De interne audit en de externe certificeringsaudit toetsen dezelfde eisen. Het verschil: bij de interne audit kijk je naar je eigen systeem, bij de externe komt een onafhankelijke auditor langs. Een grondige interne audit voorkomt verrassingen.
Het ISO 45001 auditverloop stap voor stap
Fase 1: documentatiebeoordeling
In fase 1 beoordeelt de auditor of je op papier klaar bent. Hij bekijkt je documentatie, je gevarenidentificatie en risicobeoordeling, je beleid en doelstellingen, en je overzicht van wettelijke verplichtingen.
Het doel is vaststellen of je G&VW-managementsysteem voldoende is uitgewerkt om fase 2 te kunnen doen. De auditor checkt ook of je de interne audit en directiebeoordeling hebt uitgevoerd.
Fase 1 duurt typisch een halve dag tot een dag voor kleinere organisaties. Het kan op locatie plaatsvinden of deels op afstand.
Na fase 1 krijg je een rapport met bevindingen. Als er fundamentele tekortkomingen zijn, wordt fase 2 uitgesteld totdat je deze hebt opgelost. Vaak zijn er wel opmerkingen, maar is de conclusie dat je door kunt naar fase 2.
Fase 2: implementatie-audit
In fase 2 komt de auditor naar je locatie om te controleren of je systeem niet alleen op papier bestaat, maar ook in de praktijk werkt.
De auditor praat met medewerkers op verschillende niveaus. Hij vraagt naar hun kennis van het beleid, hun rol in het systeem en hoe ze omgaan met veiligheid in hun dagelijks werk. Een operator kan gevraagd worden wat hij doet bij een gevaarlijke situatie. Een leidinggevende kan uitleggen hoe werkplekinspecties worden uitgevoerd.
De auditor bekijkt registraties zoals incidentmeldingen, resultaten van werkplekinspecties, opleidingsregistraties, verslagen van toolbox meetings en notulen van directiebeoordelingen. Hij wil bewijs zien dat je doet wat je zegt te doen.
De auditor loopt rond op de werkvloer en observeert hoe er gewerkt wordt. Worden veiligheidsvoorschriften nageleefd? Zijn de instructies aanwezig en leesbaar? Wordt de juiste PBM gedragen? Komt de situatie overeen met wat gedocumenteerd is?
De auditor zoekt niet naar perfectie. Hij zoekt naar een werkend systeem dat voldoet aan de eisen en dat leidt tot continue verbetering. Kleine afwijkingen zijn normaal en kunnen worden opgelost.
Mogelijke uitkomsten van de ISO 45001 audit
Na de audit krijg je een rapport met bevindingen. Er zijn verschillende soorten bevindingen.
Conformiteiten zijn punten waar je voldoet aan de eisen. Deze bevestigen dat het goed gaat.
Observaties zijn verbeterpunten die geen afwijking van de norm zijn. De auditor ziet mogelijkheden om iets beter te doen, maar je voldoet aan de minimale eisen. Je bent niet verplicht actie te ondernemen, maar het is wel verstandig.
Minor afwijkingen zijn tekortkomingen die opgelost moeten worden, maar die de werking van het systeem niet fundamenteel ondermijnen. Je krijgt typisch negentig dagen om deze af te handelen. Het certificaat wordt afgegeven zodra je bewijs aanlevert dat de afwijkingen zijn opgelost.
Major afwijkingen zijn ernstige tekortkomingen die de werking van het systeem fundamenteel ondermijnen. Bij major afwijkingen kan het certificaat niet worden afgegeven totdat de afwijkingen zijn opgelost en geverifieerd via een heraudit.
De meeste organisaties krijgen bij de eerste audit enkele minor afwijkingen. Dat is normaal. Je lost ze op, levert bewijs aan en ontvangt je certificaat.
Veelvoorkomende bevindingen bij de ISO 45001 audit
Sommige tekortkomingen komen vaker voor. Door hiervan te weten, kun je ze voorkomen.
Bij werknemersparticipatie
De meest specifieke eis van ISO 45001 is werknemersparticipatie. Auditors letten hier scherp op. Als medewerkers niet kunnen uitleggen hoe zij worden betrokken bij het identificeren van gevaren of het vaststellen van maatregelen, is dat een bevinding.
Zorg dat werknemersparticipatie aantoonbaar is. Vastleggen wie heeft deelgenomen aan risicobeoordelingen, hoe suggesties worden afgehandeld en welke input is meegenomen in beleidsbeslissingen.
Bij gevaren en risico’s
De gevarenidentificatie is onvolledig of de risicobeoordeling is niet transparant. De auditor wil zien dat je systematisch alle relevante gevaren hebt bekeken, inclusief psychosociale risico’s en risico’s bij niet-routinematige activiteiten.
Een register met alleen de voor de hand liggende gevaren is onvoldoende. Je moet kunnen uitleggen hoe je tot je inventarisatie bent gekomen.
Bij naleving wetgeving
Het overzicht van wettelijke eisen is niet actueel of de evaluatie van naleving ontbreekt. Je moet niet alleen weten welke regels gelden, maar ook periodiek controleren of je ze naleeft en dit vastleggen.
De Arbowet, het Arbobesluit en branchespecifieke regelgeving moeten zijn geïdentificeerd. De auditor kan vragen hoe je wijzigingen in wetgeving volgt.
Bij doelstellingen
Doelstellingen zijn niet meetbaar of de voortgang wordt niet gemonitord. “We willen veiliger werken” is geen goede doelstelling. “We verlagen het aantal incidenten met 20% in 12 maanden” is dat wel, mits je de voortgang bijhoudt en kunt laten zien.
Bij incidentonderzoek
Incidenten worden niet onderzocht of de corrigerende maatregelen zijn niet effectief. De auditor vraagt naar recente incidenten en hoe deze zijn afgehandeld. Als je geen bewijs hebt van oorzaakanalyse en opvolging, is dat een bevinding.
Bij interne audit
De interne audit was onvoldoende of bevindingen zijn niet opgevolgd. De interne audit moet alle eisen van de norm dekken en de auditor mag niet zijn eigen werk controleren. Bevindingen moeten zijn afgehandeld.
Hoe bereid je je voor op een ISO 45001 audit?
Een goede voorbereiding vergroot de kans op een soepele audit.
Controleer je documentatie
Loop je documentatie na. Is alles actueel? Kloppen de versienummers? Zijn er geen tegenstrijdigheden tussen wat je hebt opgeschreven en wat je doet? Verouderde documenten die niet overeenkomen met de praktijk zijn een rode vlag.
Bereid je medewerkers voor
Informeer medewerkers dat de audit eraan komt en wat dit inhoudt. Ze hoeven niet bang te zijn, maar ze moeten wel kunnen uitleggen wat ze doen en hoe veiligheid in hun werk is geregeld.
Vertel hen dat ze eerlijk moeten antwoorden. Als ze iets niet weten, is het beter om dat te zeggen dan iets te verzinnen. Auditors waarderen eerlijkheid.
Oefen eventueel met een paar medewerkers. Welke vragen kunnen ze verwachten? Weten ze waar het beleid staat? Kennen ze de procedure voor het melden van gevaarlijke situaties?
Controleer je registraties
Verzamel de registraties die de auditor waarschijnlijk wil zien: incidentmeldingen, werkplekinspecties, opleidingsregistraties, toolbox-verslagen, auditverslagen en notulen van directiebeoordelingen.
Zorg dat ze compleet en toegankelijk zijn. Als je nog gaten hebt in je registraties, is dit het moment om ze te vullen.
Loop je werkplek na
Bekijk je werkplek met de ogen van een auditor. Zijn de veiligheidsinstructies aanwezig waar ze horen? Worden PBM’s correct gedragen? Zijn vluchtwegen vrij? Staan gevaarlijke stoffen correct opgeslagen? Kleine dingen vallen op.
Plan de auditdagen
Zorg dat de relevante mensen beschikbaar zijn. De auditor wil praten met de directie, met de verantwoordelijke voor het G&VW-systeem en met medewerkers op de werkvloer. Als sleutelpersonen op vakantie zijn, heb je een probleem.
Probeer niet te verbloemen of te verbergen. Auditors zijn getraind om inconsistenties te zien. Eerlijkheid over tekortkomingen en hoe je ze aanpakt, maakt een betere indruk dan proberen ze te verbergen.
Tijdens de ISO 45001 audit
De audit begint met een openingsvergadering waarin de auditor het programma toelicht en vragen beantwoordt. Vervolgens gaat hij aan de slag volgens zijn auditplan.
Wijs iemand aan die de auditor begeleidt en aantekeningen maakt van bevindingen. Dit helpt bij de opvolging en voorkomt misverstanden.
Beantwoord vragen eerlijk en bondig. Als je iets niet weet, zeg dat dan en bied aan om de informatie later te leveren. Ga niet speculeren of uitweiden.
Als de auditor een bevinding noteert, vraag dan om verduidelijking als je het niet begrijpt. Je hoeft het niet oneens te zijn, maar je moet wel begrijpen wat het probleem is en hoe je het kunt oplossen.
De audit eindigt met een slotvergadering waarin de auditor zijn bevindingen presenteert. Dit is het moment om vragen te stellen over onduidelijkheden.
Na de ISO 45001 audit
Na de audit ontvang je het formele rapport. Bij minor afwijkingen krijg je tijd om deze op te lossen, typisch negentig dagen. Je levert bewijs aan van de genomen maatregelen en de auditor beoordeelt of dit voldoende is.
Zodra alle afwijkingen zijn afgehandeld, ontvang je het certificaat. Dit is drie jaar geldig.
De jaarlijkse ISO 45001 surveillance audit
Na certificering komt de auditor elk jaar terug voor een surveillance-audit. Dit is korter dan de initiële audit, typisch een derde tot de helft van de tijd. De auditor controleert of je het systeem onderhoudt en verbetert.
Bij de surveillance-audit wordt niet het hele systeem geaudit, maar een selectie van onderdelen. Over de drie jaar moet alles aan bod komen.
Als de surveillance-audit ernstige tekortkomingen aan het licht brengt, kan het certificaat worden geschorst of ingetrokken. Dit is zeldzaam als je het systeem serieus onderhoudt.
De ISO 45001 hercertificeringsaudit
Na drie jaar volgt een hercertificeringsaudit. Deze is uitgebreider dan een surveillance-audit en vergelijkbaar met de initiële audit. Het hele systeem wordt opnieuw beoordeeld.
Bij succesvolle hercertificering ontvang je een nieuw certificaat voor de volgende drie jaar.
Hoe kies je een certificerende instantie voor ISO 45001?
Je kiest zelf welke certificerende instantie de audit uitvoert. Kies altijd een instantie die is geaccrediteerd door de Raad voor Accreditatie (RvA) of een vergelijkbare instelling die deel uitmaakt van de International Accreditation Forum (IAF) .
Bekende instanties in Nederland zijn Kiwa , TÜV , DNV , DEKRA , Bureau Veritas en LRQA .
Vraag offertes aan bij meerdere instanties en vergelijk op prijs, doorlooptijd en ervaring in jouw sector. Een auditor die je branche begrijpt, kan meer waarde toevoegen.
Volgende stap
Terug naar het stappenplan voor het complete traject, of lees de veelgestelde vragen voor antwoorden op praktische vragen.