ISO certificering is een vrijwillig proces waarmee organisaties hun inzet voor kwaliteits- en veiligheidsnormen kunnen aantonen. De International Organization for Standardization (ISO) is een wereldwijd bestuursorgaan dat normen vaststelt onder andere andere kwaliteit, veiligheid en milieubescherming.
Het is een manier voor organisaties om aan te tonen dat zij zich inzetten om veilige producten of diensten te produceren en tegelijkertijd de klanttevredenheid te garanderen. Ook kan het een marketinginstrument zijn om een bedrijf te onderscheiden van diens concurrenten.
Kiest een organisatie ervoor zich te laten certificeren, dan volgt er een heel proces met veel verschillende partijen en stappen. Om ervoor te zorgen dat aan de uiteindelijke criteria wordt voldaan, huurt een bedrijf gewoonlijk een auditor in om de toepassing van de norm te controleren en te certificeren dat hieraan is voldaan.
In dit artikel bespreken we de rol van een auditor bij ISO certificering. role of an auditor in ISO certification.
Welke partijen zijn betrokken bij ISO certificering?
Het proces om tot ISO certificering te komen, vereist dat verschillende partijen samenwerken aan één doel. Daartoe behoort in ieder geval het management dat verantwoordelijk is voor het opstellen van beleid en procedures. Verder zijn er interne medewerkers betrokken die verantwoordelijk zijn voor de uitvoering van dat beleid. Zoals security officers of kwaliteitsmedewerkers.
Maar ook externe consultants die advies geven over hoe de organisatie het best aan die eisen kan voldoen, zijn onderdeel van dit proces. Daarnaast zijn er externe dienstverleners zoals auditors die speciaal worden ingehuurd om te beoordelen of de organisatie aan de eisen voldoet. Deze auditor bezoekt de organisatie meerdere dagen, weken of maanden, afhankelijk van de omvang en complexiteit. Tijdens deze bezoeken beoordeelt de auditor of aan alle vastgestelde criteria wordt voldaan.
Wat is de rol van een auditor bij ISO certificering?
Een auditor speelt een cruciale rol in het streven van een organisatie naar ISO certificering. De taak van een auditor is op hoofdlijnen tweeledig. Ten eerste beoordelen zij bestaande processen binnen de organisatie om te bepalen of deze voldoen aan de vastgestelde criteria. Ten tweede controleren zij of alles wat in de verstrekte documentatie staat ook daadwerkelijk overeenkomt met de praktijk.
Auditors bieden onafhankelijk toezicht op de manier waarop dingen feitelijk worden gedaan. Zij bieden waardevol inzicht in gebieden waar verbetering nodig is om aan de norm te voldoen. Dit kan betekenen dat aanvullende training nodig is of dat er extra controles nodig zijn. Deze aanpassingen leiden uiteindelijk tot het succesvol behalen van de gewenste ISO certificering, of het nu de 9001, 14001 of de 27001 serie is.
De 5 belangrijkste taken van een auditor
1. Controle van de naleving
De primaire verantwoordelijkheid van een auditor is dus te controleren of een organisatie voldoet aan de internationale normen of voorschriften. Tijdens een auditproces moet de auditor documenten en dossiers met betrekking tot elke eis beoordelen en bepalen of ze al dan niet aan die eisen voldoen. Dit omvat een evaluatie van de wijze waarop processen worden uitgevoerd en het bepalen of er wijzigingen nodig zijn met het oog op de naleving.
2. Het onderzoeken van procedures
Een auditor moet ook de bestaande procedures die binnen de organisatie in gebruik zijn beoordelen en aanbevelingen doen voor eventuele verbeteringen. Dit omvat bijvoorbeeld het onderzoeken van bestaande systemen en het beoordelen van hun effectiviteit. Maar ook het toetsen ervan aan de huidige wetgeving en het identificeren van mogelijke risico's.
3. Rapporten maken
Na het voltooien van het auditproces, stelt een auditor een rapport op met bevindingen en aanbevelingen op basis van de analyse van de processen, procedures, documenten en dossiers. Het is belangrijk dat deze rapporten gedetailleerd en toch beknopt zijn, zodat ze begrijpelijk zijn voor personen op alle niveaus binnen een organisatie. Ook leveren deze rapporten het bewijs voor de waarnemingen van de auditor tijdens het beoordelingsproces.
4. Overleg met het management
Het is essentieel dat auditors bij het uitvoeren van een audit overleggen met management en directie, vooral als er actie van het management nodig is. Dit stelt auditors in staat een beter inzicht te krijgen in eventuele problemen. En het biedt managers waardevolle feedback over gebieden waar verbetering mogelijk is.
5. Controle van de prestaties
Het controleren van de prestaties van de organisaties ligt primair bij de organisatie zelf. Een externe auditor controleert dit niet vaker dan één keer per jaar. Naast de externe auditor, is er ook vaak een interne auditor. Dit kan een medewerker zijn of een ingehuurde auditor die tussentijds controleert of de organisatie aan alle eisen van de norm en de zelf opgelegde eisen voldoet. Dit kan eenmalig per jaar zijn of bijvoorbeeld maandelijks of per kwartaal, waarbij een deelonderwerp een interne audit krijgt.
Wat zijn de kosten voor een auditor bij ISO certificering?
De kosten voor het inhuren van een auditor hangen af van verschillende factoren zoals de complexiteit als gevolg van de omvang, de scope van het project of branche specifieke kwesties. Ook de geografische locatie speelt een rol.
Daarnaast is natuurlijk een gekwalificeerde professional nodig die ervaren genoeg is om opdrachten correct en binnen een redelijke termijn uit te voeren. Dit voorkomt onnodige tijdsverspilling en draagt bij aan een goed gepland en efficiënt beoordelingsproces door de auditor. Sommige auditors bieden kortingen aan als meerdere sites of locaties een audit nodig hebben.
Over het algemeen variëren de kosten van €2.000-€15.000, afhankelijk van een aantal factoren:
- De omvang van de vereiste werkzaamheden.
- De voorbereidingstijd van de auditor voor het verzamelen van relevante informatie.
- De benodigde tijd voor het analyseren van deze informatie en het uitwerken van de meest geschikte corrigerende maatregelen.
- Het begeleiden van benodigde acties door medewerkers.
- Het achteraf checken of alles voldoet aan de vereiste specificaties.
- Kosten voor het eindrapport met alle conclusies en aanbevelingen.
- Eventuele reiskosten afhankelijk van de geografische ligging van de locatie.
Conclusie
Kortom, begrijpen wat de rol van een auditor is in een ISO certificeringstraject en weten welke kosten er bij komen kijken, helpt in het besluitvormingsproces. En stelt je in staat weloverwogen keuzes te maken om doelen efficiënt en effectief te bereiken.
Hulp nodig bij het implementeren van ISO 27001 certificering?
Heb je hulp nodig bij het nemen van maatregelen om aan de ISO 27001 certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door organisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.
Gerelateerde artikelen
Clean Desk Policy en Clear Screen Policy en informatiebeveiliging
When it comes to information security, there are several measures an organization can take to ensure that sensitive information remains secure. Two of these measures are the Clean Desk Policy and the Clear Screen Policy. In this article, we will take a closer look at...
Wat is een verklaring van toepasselijkheid (VvT)?
Een verklaring van toepasselijkheid (SoA) is een document dat wordt gebruikt om de relevantie en mate van naleving van bepaalde normen en standaarden binnen een organisatie vast te stellen. Het wordt vaak opgesteld als onderdeel van certificeringsprocessen, zoals ISO-certificeringen. Waarin verschilt...
Wat zijn de voordelen van ISMS-software?
In de huidige digitale wereld is informatiebeveiliging van vitaal belang voor organisaties. Verlies of diefstal van gevoelige informatie kan ernstige gevolgen hebben, zoals reputatieschade, financiële verliezen en wettelijke aansprakelijkheid. Om deze risico's tot een minimum te...