Wat is het verschil tussen interne en externe audit?
De interne en externe audit zijn beide verplichte onderdelen bij ISO normen. Wat is het verschil? En hoe pak je het aan?
Martijn Jonkers is Adviseur en Teamleider (KAMV) bij CertificeringsAdvies Nederland. Hij gaat graag de samenwerking aan met klanten om uit elke uitdaging het optimale resultaat te halen.
martijn@certificeringsadvies.nlWanneer je met een (ISO) norm aan de slag gaat en je wilt je organisatie laten certificeren voor bijvoorbeeld ISO 9001, ISO 27001, VCA of een andere norm, dan kom je uiteindelijk in aanraking met een interne en een externe audit. Beide audits zijn namelijk verplicht. Enerzijds is er een relatie tussen de interne en de externe audit, maar natuurlijk zijn er ook verschillen tussen de twee. In dit blogartikel vertellen we meer over beide auditvormen en leggen we uit waarop ze van elkaar verschillen.
Verschil tussen interne en externe audit
De interne en externe audit zijn twee verschillende tools. Het grootste verschil tussen interne en externe audit zit hem in het doel; beide audits hebben immers een ander doel. Een interne audit is een audit die in feite gericht is op verbeteren van de ‘interne’ organisatie. Wanneer je als organisatie wilt certificeren voor een norm, dan wordt de interne audit doorgaans uitgevoerd door een externe adviseur die daarvoor wordt ingehuurd. Bij ISO-normen is het zelfs verplicht om de interne audit te laten uitvoeren door een onafhankelijk persoon.
Een externe audit, voor bijvoorbeeld ISO 9001, ISO 27001, VCA ed., wordt altijd uitgevoerd door een Certificerende Instantie (CI). Middels een externe audit kan een organisatie aantoonbaar maken dat ze voldoet aan specifieke normeisen en wet- en regelgeving. Het doel van de externe audit is uiteindelijk certificatie. De audit wordt uitgevoerd door een CI, omdat deze vrij is van belangenverstrengeling en de audit onafhankelijk en objectief kan uitvoeren. Daarnaast is een CI bevoegd om, indien de organisatie voldoet, het certificaat uit te reiken.
De interne audit
Audits, zoals de interne en externe audit, bevinden zich in de welbekende PDCA-cyclus (Deming wheel) in de check-fase (C). Een dergelijke check kan op allerlei manieren ingebouwd worden in een kwaliteitsmanagementsysteem, maar de bekendste is de interne audit. De interne audit levert namelijk het bewijs waarmee aangetoond kan worden dat de organisatie in control is en klaar is voor de externe audit. De interne audit is dan ook een managementtool waarmee kansen, risico’s en verbeterpunten in kaart worden gebracht.
Met behulp van een interne audit kan worden bepaald of de doelstellingen voor het managementsysteem behaald worden en of beleid, procedures en werkinstructies worden nagekomen. Daarnaast kan getoetst worden of het managementsysteem voldoet aan de eisen en of deze ook worden nageleefd. Wanneer de processen in de organisatie worden verbeterd, dan draagt het managementsysteem bij aan de doelen.
Een interne audit wordt doorgaans uitgevoerd door een externe adviseur; in ieder geval door iemand die geen belang heeft bij resultaten. Zo komt er objectieve en representatieve informatie uit de audit. Interne audits gaan doorgaans over meerdere kenmerken binnen bedrijfsprocessen (meer dan waar het certificaat voor behaald kan worden). Een interne audit is in geen geval een vervanging van de externe audit.
De externe audit
Het doel van de externe audit is vaststellen of de organisatie voldoet aan de (norm) eisen. Dit wordt vastgesteld door een externe auditor die tijdens de audit bekijkt of er eventueel tekortkomingen zijn in het managementsysteem. Bij de bekendere normen, zoals ISO 9001 en ISO 27001, bestaat de externe audit uit twee fasen:
- In de eerste fase vindt het vooronderzoek plaats waarin de documentatie – ofwel het managementsysteem – wordt onderzocht. Daarbij wordt tevens bekeken of alle verplichte (beleids)documenten aanwezig zijn en of dit alles in de organisatie is geïmplementeerd. Indien geconstateerd wordt dat de organisatie er klaar voor is, wordt er doorgegaan naar de tweede fase.
- In de tweede fase vindt het certificeringsonderzoek plaats. Daarbij bekijkt een auditor of de vastgestelde acties uit fase één zijn doorgevoerd en hoe alles is aangepakt. Dat onderzoek doet hij o.a. door het afnemen van interviews met medewerkers. Op die manier kan bepaald worden of er gewerkt wordt zoals in beleid, procedures en werkinstructies is vastgelegd.
Indien er wordt voldaan aan eisen uit een certificatieschema, dan wordt er uiteindelijk een certificaat uitgereikt. Met behulp van dat certificaat kun je organisatie aantonen dat er voldaan wordt aan de eisen vanuit de norm. Een externe audit vindt periodiek – bij ISO-normen doorgaans jaarlijks – plaats.
Vol vertrouwen de externe audit tegemoet!
In dit artikel is het verschil tussen de interne en externe audit duidelijk gemaakt. Wil je als organisatie vol vertrouwen de (externe) audit tegemoet? Dan adviseren wij van CertificeringsAdvies Nederland je om allereerst een gedegen interne audit uit te laten voeren. Door het laten uitvoeren van de interne audit:
- Voldoe je aan de verplichting vanuit de norm. Het uitvoeren van een interne audit, die uitgevoerd wordt door een onafhankelijke partij, is namelijk verplicht.
- Ga je goed voorbereid de externe audit tegemoet.
- Kun je de puntjes op de i zetten; bij de interne audit wordt het managementsysteem beoordeeld en worden verbeteracties in kaart gebracht.
- Kun je als organisatie aan de slag met praktische tips en daarnaast ontvang je een intern auditrapport (een eis voor certificering) met daarin bevindingen, tekortkomingen en verbeterpunten.
Door het laten uitvoeren van een interne audit kun je gericht aan de slag met de laatste stappen op weg naar certificering. Wil je een interne audit uit laten voeren of wil je meer informatie? Neem dan gerust contact met ons op.
Transcriptie video: Wat is het verschil tussen de interne en de externe audit?
Interne audit en externe audit zijn termen die je vaak voorbij hoort komen als je een managementsysteem gaat opzetten of als je wilt certificeren voor bijvoorbeeld ISO 9001, 14001 of 27001. Maar wat is eigenlijk een interne of een externe audit en wat zijn de verschillen? Een interne audit en een externe audit zijn verplichte onderdelen voor certificering. Het zijn daarnaast wel twee verschillende tools en hebben allebei een ander doel. Een interne audit is een audit die in feite gericht is op het verbeteren van de interne organisatie. Deze audit dient uitgevoerd te worden door een onafhankelijk persoon die kennis heeft van auditen en van de norm. Een externe audit wordt ook wel certificatie-audit genoemd. Met als doel: certificeren of het verlengen van het certificaat als je al gecertificeerd bent. Een externe audit wordt altijd uitgevoerd door een certificerende instantie. Middels certificering kun je vervolgens aantonen dat je voldoet aan de normeisen van bijv. ISO 9001, 14001 of 27001. En de daaraan gekoppelde wet- en regelgeving. Hoe zit dat precies? De interne audit levert het bewijs dat je als organisatie in control bent of dat je klaar bent voor de externe audit. Het is eigenlijk een managementtool om kansen, risico’s, knel- of verbeterpunten in kaart te brengen binnen je organisatie. Door middel van een interne audit kun je als organisatie bepalen of dat je doelstellingen worden behaald en of werkinstructies, beleid en werkprocessen worden nagekomen. Daarnaast kan worden getoetst of dat het managementsysteem voldoet aan de eisen en of dat deze ook worden nageleefd. Zoals eerder gezegd, kunnen interne audits worden uitgevoerd door eigen medewerkers, maar vaak wordt er gekozen voor een externe partij die onafhankelijk en onpartijdig is en die kritisch kan kijken naar de organisatie en het managementsysteem. Dan door naar de externe audit. In tegenstelling tot de interne audit, wordt de externe audit altijd uitgevoerd door een certificerende instantie. Een toelatingsaudit van een certificering bestaat uit twee fases. Je hebt in dat geval een fase 1: de onderzoeksfase. En een fase 2: daadwerkelijk de audit op het managementsysteem waarop wordt getoetst of je voldoet en kunt certificeren. Je gaat altijd een contract aan voor drie jaar met een certificerende instantie. In die drie jaar heb je een toelatingsaudit, een controle-audit, controle twee en vervolgens de hercertificering. Een externe auditor kijkt of er tekortkomingen zijn in het managementsysteem en of wordt voldaan aan de eisen. Als er wordt voldaan aan de eisen van de norm, dan word je voorgedragen voor certificering of als je al gecertificeerd bent, zal het certificaat verlengd worden. Kun je hulp gebruiken bij het opstellen van een auditplan, een auditplanning of het uitvoeren van interne audits? Dan helpen wij je graag!
Martijn Jonkers is Adviseur en Teamleider (KAMV) bij CertificeringsAdvies Nederland. Hij gaat graag de samenwerking aan met klanten om uit elke uitdaging het optimale resultaat te halen.
martijn@certificeringsadvies.nlKom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
- Altijd een oplossing op maat
- Jouw organisatie als uitgangspunt
- Snel, pragmatisch en persoonlijk