Het ISO 9001 auditproces
De audit is het moment van de waarheid. Een onafhankelijke auditor van een geaccrediteerde certificerende instantie controleert of je kwaliteitsmanagementsysteem voldoet aan ISO 9001 en of het in de praktijk werkt. De NEN biedt de officiële Nederlandse versie van de norm. Op deze pagina lees je precies wat je kunt verwachten.
Soorten audits
Er zijn drie soorten externe audits in de certificeringscyclus:
| Type audit | Wanneer | Doel |
|---|---|---|
| Certificeringsaudit | Eerste keer | Beoordelen of je voldoet en certificaat verdient |
| Surveillance audit | Jaarlijks (jaar 1 en 2) | Controleren of je nog steeds voldoet |
| Hercertificeringsaudit | Na 3 jaar | Opnieuw beoordelen voor verlenging certificaat |
Daarnaast heb je de interne audit: een audit die je zelf uitvoert (of laat uitvoeren) om je systeem te controleren. Dit is verplicht volgens de norm.
De certificeringsaudit in twee fasen
De eerste audit bestaat uit twee fasen:
Fase 1: Documentatiebeoordeling
De auditor beoordeelt of je documentatie op orde is en of je klaar bent voor fase 2.
Wat de auditor doet:
- Documentatie doorlezen (kwaliteitshandboek, procedures, beleid)
- Context en scope beoordelen
- Interne audit en directiebeoordeling checken
- Risico-inventarisatie bekijken
Hoe:
- Vaak op afstand (auditor krijgt documenten toegestuurd)
- Soms kort op locatie (halve dag)
Resultaat:
- Bevindingen en opmerkingen
- Advies of je klaar bent voor fase 2
- Indicatie van focuspunten voor fase 2
Tussen fase 1 en 2 zit meestal 1-4 weken, zodat je eventuele bevindingen kunt oppakken.
Fase 2: Implementatie-audit
De auditor komt op locatie om te controleren of je systeem werkt zoals beschreven.
Wat de auditor doet:
- Rondgang door het bedrijf
- Gesprekken met medewerkers (van directie tot werkvloer)
- Processen volgen en observeren
- Registraties bekijken (orders, facturen, klachten, meetgegevens)
- Stellen van vragen: “Hoe doen jullie dit?”, “Kun je me een voorbeeld laten zien?”
Hoe lang:
- Klein bedrijf: 1 dag
- MKB: 2-3 dagen
- Groot bedrijf: 3-5 dagen of meer
Wat de auditor wil zien:
- Dat je doet wat je zegt (processen kloppen met documentatie)
- Dat medewerkers weten wat hun rol is
- Dat je meet en verbetert
- Bewijs: registraties, rapporten, notulen
Wat beoordeelt de auditor?
De auditor controleert alle eisen van ISO 9001, maar let vooral op:
Algemene effectiviteit
- Werkt je systeem? Niet alleen op papier, maar in de praktijk?
- Levert het resultaten op (klanttevredenheid, kwaliteit)?
Context en leiderschap
- Begrijp je je eigen organisatie en omgeving?
- Is de directie betrokken?
Processen
- Zijn je kernprocessen beheerst?
- Meet je de juiste dingen?
- Pak je afwijkingen aan?
Verbetering
- Verbeter je continu?
- Wat doe je met klachten en afwijkingen?
- Wat zijn de resultaten van interne audits?
Mogelijke uitkomsten
Na de audit krijg je een rapport met bevindingen. Er zijn vier categorieën:
| Categorie | Betekenis | Gevolg |
|---|---|---|
| Conformiteit | Je voldoet aan de eis | Goed nieuws |
| Observatie | Verbeterpunt, maar geen afwijking | Niet verplicht op te lossen, wel advies |
| Minor afwijking | Je voldoet niet volledig aan een eis | Moet je oplossen binnen 90 dagen |
| Major afwijking | Ernstige tekortkoming | Blokkeert certificering, heraudit nodig |
Een of meerdere minor afwijkingen betekent niet automatisch dat je zakt. Je krijgt tijd om ze op te lossen en bewijs te leveren. Pas als de auditor akkoord is, wordt het certificaat uitgegeven.
Voorbeelden van afwijkingen
Minor afwijking:
- Interne audit niet volledig uitgevoerd
- Kwaliteitsdoelstelling niet meetbaar geformuleerd
- Een procedurebeschrijving mist
- Registratie niet compleet
Major afwijking:
- Helemaal geen interne audit gedaan
- Directiebeoordeling ontbreekt volledig
- Structureel niet voldoen aan klanteisen
- Geen bewijs dat het systeem werkt
Voorbereiden op de audit
Weken van tevoren
- Check je documentatie: Is alles actueel? Klopt het met de praktijk?
- Controleer registraties: Zijn er gaten? Missende handtekeningen?
- Doe een proefaudit: Loop zelf de eisen langs of laat dit door iemand anders doen
Dagen van tevoren
- Brief medewerkers: Leg uit dat er een auditor komt en wat de bedoeling is
- Bereid de ruimte voor: Een plek waar de auditor kan werken
- Zorg dat documenten toegankelijk zijn: Niets is irritanter dan zoeken tijdens de audit
Tijdens de audit
- Wees eerlijk: Probeer niet te verbergen wat er misgaat
- Geef concrete antwoorden: “We doen het zo…” met voorbeelden
- Vraag om verduidelijking: Snap je de vraag niet? Vraag door
- Maak aantekeningen: Schrijf bevindingen op
Veelgemaakte fout: medewerkers instrueren om “het goede antwoord” te geven. Auditors prikken hier doorheen. Eerlijkheid werkt beter.
Wat als je zakt?
Bij major afwijkingen krijg je geen certificaat. Dat voelt vervelend, maar het is geen eindstation.
Wat je kunt doen:
- Analyseer de bevindingen: wat ging er mis?
- Maak een actieplan om de afwijkingen op te lossen
- Voer de acties uit
- Plan een heraudit (vaak alleen op de probleemgebieden)
De meeste organisaties die zakken, slagen bij de heraudit. Het kost extra tijd en geld, maar het is geen ramp.
Surveillance audits
Na certificering komt de auditor jaarlijks terug. Deze surveillance audit is korter dan de initiële audit, meestal de helft van de tijd.
Wat de auditor controleert:
- Of je nog steeds voldoet
- Wat je hebt gedaan met eerdere bevindingen
- Veranderingen in je organisatie
- Specifieke onderdelen van de norm (niet elk jaar alles)
Tip: zie de surveillance audit niet als “controle”, maar als kans om feedback te krijgen. Een goede auditor geeft waardevolle verbeterpunten.
Hercertificeringsaudit
Na 3 jaar verloopt je certificaat. Om het te verlengen, is een hercertificeringsaudit nodig. Deze is vergelijkbaar met de initiële audit, maar vaak iets korter omdat je trackrecord meetelt.
Kiezen van een certificerende instantie
Niet elke certificerende instantie is hetzelfde. Let op:
Accreditatie
Kies een instantie die geaccrediteerd is door de Raad voor Accreditatie (RvA). Zonder accreditatie is je certificaat niet erkend.
Ervaring in je sector
Sommige instanties hebben meer ervaring in bepaalde sectoren. Een auditor die je branche kent, stelt relevantere vragen.
Kosten
Vergelijk offertes, maar let niet alleen op prijs. De goedkoopste is niet altijd de beste.
Aanpak
Sommige auditors zijn streng en formeel, anderen meer coachend. Vraag naar de aanpak.
Bekende certificerende instanties in Nederland:
De interne audit
Naast de externe audit moet je zelf ook auditen. Dit is verplicht volgens de norm.
Wie mag de interne audit doen?
Iemand die:
- Onafhankelijk is van het proces dat geaudit wordt (je mag niet je eigen werk controleren)
- Weet hoe je auditeert (training is aan te raden)
- De norm kent
Opties:
- Collega van een andere afdeling
- Externe partij (adviseur, consultant)
- Ingehuurde auditor
Hoe vaak?
De norm zegt niet hoe vaak, maar je moet alle onderdelen van je systeem regelmatig auditen. De meeste organisaties doen jaarlijks een volledige cyclus.
Wat registreer je?
- Auditplan (wat, wanneer, door wie)
- Auditrapport (bevindingen)
- Acties naar aanleiding van bevindingen
- Bewijs dat acties zijn uitgevoerd
Veelgestelde vragen over de audit
Mag ik erbij zijn tijdens de audit? Ja, sterker nog: het is aan te raden. Zorg dat iemand de auditor begeleidt.
Wat als een medewerker iets verkeerds zegt? Dat kan gebeuren. Probeer het niet te corrigeren tijdens het gesprek. Maak een notitie en bespreek het later met de auditor als er een misverstand is.
Hoe lang duurt het voordat ik het certificaat heb? Na een positieve audit meestal 2-4 weken. Bij afwijkingen langer, afhankelijk van hoe snel je ze oplost.
Kan ik van certificerende instantie wisselen? Ja, maar het vraagt extra werk. De nieuwe instantie moet je systeem opnieuw beoordelen.
Volgende stap
Heb je nog vragen? Bekijk de veelgestelde vragen of ga terug naar het overzicht van ISO 9001.