Je eerste ISO 9001 -audit komt eraan! Nu vraag je je vast af: wat gaat er nou precies gebeuren tijdens zo'n certificeringsaudit? Je bent al een heel eind op weg naar je ISO 9001-certificaat : je hebt welbewust de keuze gemaakt, je hebt je bedrijf voorbereid en je hebt een certificeerder uitgekozen. En je hebt misschien al data geprikt voor de audit. De offerte van de certificeerder is duidelijk over de kosten. Ze bevat echter ook het nodige jargon (zoals “fase 1”, “controleaudit”,…), en dat maakt het voor jou niet duidelijk.
Wat staat je nou eigenlijk te wachten bij zo’n certificeringsaudit? Het is allemaal best spannend. Logisch! Wat handvatten zouden fijn dus zijn… Al meer dan 30 jaar helpen we bedrijven zoals dat van jou met het behalen en behouden van hun ISO 9001-certificering. En onze Diederik is zelf al meer dan 25 jaar certificerend auditor. We weten dus goed hoe het er bij een certificeringsaudit aan toe gaat. In dit artikel ontdek je hoe zo’n audit in zijn werk gaat en wat auditors precies doen.
Hoe gaan de ISO 9001 auditors te werk?
Laten we je eerst een idee geven van wat er tijdens auditdagen gebeurt. Goed nieuws vooraf: ISO 9001-audits worden altijd gepland. Je weet dus wanneer je de auditors kunt verwachten: het is dus niet het soort inspectie dat de Arbeidsinpectie of de NVWA doet. En je weet wat ze gaan doen op de dagen dat ze bij je bedrijf zijn. Hoeveel (man)dagen dat zijn, vind je in deze tabel.
Elke audit begint met een openingsbijeenkomst. Het auditteam bespreekt daarin een aantal formaliteiten. Samengevat: ze vertellen over het doel van de audit. Over wat je concreet kunt verwachten, zoals tijdens de terugkoppeling aan het eind van de audit. Ook is er tijd om de tijdsplanning met jullie te checken.
Het grootste deel van de tijd zijn de auditors bezig met drie zaken: interviews houden, observeren hoe er gewerkt wordt, en meekijken in jullie documenten en systemen, dossiers, en logboeken (we komen er zo op terug). Daarmee verzamelen ze de informatie waarmee ze beoordelen of je bedrijf voldoet aan de eisen van ISO 9001. En of je consistent werkt zoals jullie zelf besloten hebben.
Tussendoor en aan het eind van de audit zal het auditteam zich terugtrekken om de verzamelde informatie te bespreken. Zijn er zaken die ze nog (verder) willen uitzoeken? Zijn er al afwijkingen duidelijk?
De certificeringsaudit eindigt met een afsluitende bijeenkomst. Tijdens die bijeenkomst deelt het auditteam hun conclusies: welke afwijkingen zijn er geconstateerd en hoe zwaar zijn die. Ze vertellen ook welke werkwijze jullie moeten volgen in reactie op de afwijkingen, en hoe ze schriftelijk verslag van de audit zullen doen.
De interviews tijdens de audit
De auditors willen tijdens de certificeringsaudit met veel mensen spreken. Dat is natuurlijk best spannend! Er komt immers toch een soort controleur vragen stellen…Toch is het niet nodig je zenuwachtig te maken. En het helpt wanneer je de mensen hebt voorbereid.
Het doel van de auditors is te begrijpen hoe het eraan toegaat. Ze willen de taken van degene die ze interviewen begrijpen. Niet om die daarna over te nemen, en ook niet als een beoordelingsgesprek. Maar wel om te begrijpen wat geïnterviewde doet om te zorgen dat het werk (meestal) goed gaat. Denk aan controles, vaste werkwijzen, vereiste opleiding, onderlinge afstemming. En de auditor wil ook weten wat de geïnterviewde doet wanneer het een keer niet goed gaat. Hij is ook altijd geïnteresseerd in het “papierwerk”: welke instructies zijn van toepassing, wat wordt er vastgelegd over de uitgevoerde werkzaamheden. De auditor zal ook vragen naar dingen over het werken bij je bedrijf. Zoals wat er aan opleidingen gedaan wordt, hoe de arbeidsomstandigheden zijn, hoe de directie en het managementteam communiceren (zoals over kwaliteit), wat taakverdelingen en overlegstructuren zijn.
Tip van Diederik
Je helpt jezelf (en de auditor) enorm wanneer je laat zien wat je uitlegt. Dus laat een dossier zien, de offerte en mailwisseling, de evaluatie met de klant, uitkomsten van controles, de systemen waar jullie mee werken,… De auditor zal overigens niet alleen het voorbeeld willen zien dat je aandraagt, maar zelf ook iets uitkiezen.
Houd er rekening mee dat de auditor geen idee heeft hoe het bij jullie werkt. Dus leg veel uit, ook dingen die logisch lijken. De auditor zal je daar met zijn vragen bij helpen.
Observeren tijdens de audit
De auditors willen tijdens de certificeringsaudit niet alleen verhalen horen, ze willen ook dingen zien. In de eerste plaats: hoe gaat het eraan toe. In productiebedrijven is dat gemakkelijk voor te stellen: ze kijken in de magazijnen, productieruimtes, de kwaliteitscontrole, enzovoorts. Dat gaat vaak gepaard met korte vragen aan de medewerkers die bezig zijn en met geplande, langere interviews. Ook bij arbeidsintensieve dienstverlening is het goed voor te stellen wat het meekijken inhoudt.
Bij kennisintensieve dienstverlening zijn de observatiemogelijkheden beperkter. Daar is de observatie vaak hetzelfde als laten zien hoe er gewerkt wordt (zie hierboven: de interviews tijdens de audit). Soms is het zinvol wanneer de auditor een (deel van een) overleg bijwoont. Denk aan een dagstart, of een plannings- of kennisdelingsoverleg.
Het doel van alle observaties is voor de auditor om zélf informatie te verzamelen. Niet alleen dingen hóren, maar ze ook zelf zien. Het geeft hem een completer beeld.
In documenten, dossiers en systemen kijken tijdens de ISO 9001 audit
Hier zijn certificeringsaudits berucht om: het zoeken naar de vastlegging van wat er gedaan is. Ook dit gaat over het kunnen zien van dingen waarover verteld is. Dat betekent niet dat alles maar vastgelegd moet worden! De basis is ISO 9001: de norm stelt verplicht dat bepaalde beslissingen, controles en acties terugvindbaar moeten zijn. Vastgelegd, dus. Daar zitten overigens helemaal geen rare of onlogische dingen tussen. In deze blog noemen we alles wat je moet vastleggen.
Daarboven heeft jouw bedrijf vaak zelf bedacht dat er nog méér moet worden vastgelegd. De auditors zullen ook checken of je die zaken hebt vastgelegd: dat is immers “hoe het hoort” in jouw bedrijf. Niet gek om je je aan je eigen regels te houden, toch? (Er zitten alleen soms wel vreemde verplichtingen bij. Zo kwamen we als regels tegen (bij verschillende bedrijven, dat wel): de externe adviseur moet het auditplan mee ondertekenen, medewerkers moeten voor de ontvangst van het (digitale!) handboek tekenen, papieren werkbonnen (=afdrukken van het ICT-systeem, die handig zijn tijdens de productie) moeten 5 jaar bewaard worden, en alle conceptversies van rapportages moeten bewaard worden. Tja, zo creëer je werk…)
Maar, groot voordeel: omdat jullie die zelf hebben bedacht, kun je ze ook zelf afschaffen.
Zo gaat je allereerste ISO 9001-certificeringsaudit
Je allereerste certificeringsaudit (certificeerders noemen dat een initiële certificatie) bestaat uit twee fases. Zoals je verderop zult lezen is dat anders dan bij alle verdere audits: die kennen geen fases.
Fase 1 van een ISO 9001-audit: kennismaken
De eerste fase van je eerste certificeringsaudit is in feite een inhoudelijke kennismaking. Het auditteam zal het volgende doen:
- Controleren of wat je van ISO 9001 moet vastleggen, inderdaad vastgelegd is. Kort gezegd: het kwaliteitshandboek wordt bekeken, en een aantal documenten die over het kwaliteitssysteem gaan worden ingezien. In elk geval zullen de auditors controleren of de directiebeoordeling en de interne audits zijn uitgevoerd. Vastleggingen die te maken hebben met je dienstverlening of productie zullen de auditors in fase 2 beter kunnen zien. In deze blog hebben we alle vastleggingen beschreven.
- Je bedrijf in hoofdlijnen begrijpen. Een rondleiding door je bedrijf is vaak een logisch onderdeel. En het auditteam wil ook graag het een en ander weten van de apparatuur die jullie gebruiken, welke processen jullie onderkennen, aan welke wet- en regelgeving jullie onderworpen zijn, en (waar van toepassing:) of er verschil is tussen vestigingen.
- Beoordelen of jullie begrijpen wat de norm van je bedrijf en het kwaliteitssysteem vraagt.
- Een aantal interviews houden. Veel certificeerders beperken dit tot interviews met de directie en de kwaliteitsmanager. Sommige doen een breed onderzoek en spreken met diverse sleutelfunctionarissen.
- De planning voor fase 2 bespreken. Dit gebeurt in overleg met jullie. De auditors weten welk soort informatie ze nodig hebben om een goede audit te doen. Jullie weten hoe je bedrijf in elkaar zit, hoe je goed laat zien hoe jullie werken en welke (soort) personen daar het beste inzicht in kunnen geven. Ook spreken jullie de data voor fase 2 af, of bevestigen dat de reeds geplande data blijven staan.
- Als de auditors op basis van wat ze gehoord en gezien hebben, verwachten dat jullie niet op tijd gereed zijn voor fase 2, zullen ze dat zeggen.
Bij veel certificeerders duurt de fase 1-audit een halve of een hele dag.
Fase 2 van een ISO 9001-audit: inhoudelijk onderzoek
De tweede fase van je eerste certificeringsaudit is het echte, inhoudelijke onderzoek. Het auditteam zal mensen interviewen, rondkijken, en documenten inkijken, zoals hierboven al werd uitlegd. Het doel van deze fase 2 is dat je bedrijf bewijst dat:
- jullie aan de eisen van de norm voldoen, door informatie en bewijsstukken te verstrekken,
- processen goed onder controle zijn,
- er metingen, rapportages en waar nodig acties zijn om de processen onder controle te houden,
- je kwaliteitssysteem je in staat stelt te voldoen aan de verwachtingen van de klanten en aan wet- en regelgeving,
- je interne audits en een directiebeoordeling hebt uitgevoerd en er opvolging aan hebt gegeven,
- het management haar verantwoordelijkheid neemt.
In de praktijk betekent dit dat de auditors willen spreken met de directie, diverse (niveaus van) leidinggevenden, enkele stafmensen, en vooral een reeks mensen die zorgen dat opdrachten en orders van klanten goed worden uitgevoerd.
Het aantal mensen dat de auditors willen spreken is afhankelijk van de grootte van je bedrijf. In deze tabel zie je hoeveel dagen het auditteam op bezoek moet komen. Een auditor kan ongeveer 6 interviews/observaties op een dag doen.
Je volgende audits voor ISO 9001 (vanaf jaar twee)
De audits vanaf het tweede jaar volgen hetzelfde patroon als een fase 2-audit. Het meest opvallende verschil is de hoeveelheid tijd die besteed wordt. In jaar 2 en 3 is dat ongeveer een derde van de totale tijd van fase 1 plus fase 2. In jaar 4 is het dubbel zoveel als in de jaren ervoor.
Minder tijd betekent dat er minder onderzocht kan worden. Het auditteam maakt daarom aan het eind van fase 2 een planning van onderwerpen en/of afdelingen die in de komende jaren geaudit zullen worden. Deze planning delen ze met jullie, en je hebt er enige invloed op.
Wat bij volgende audits nieuw is ten opzichte van fase 2, is de controle van de afwijkingen. Afwijkingen zijn per definitie punten waarop je bedrijf niet aan de norm voldoet. Het is dus logisch dat de auditors in de eerstvolgende audit in elk geval naar die punten zullen kijken. Ze zullen controleren of de verbeteringen die jullie jezelf hebben voorgenomen (zie hieronder) in de praktijk zijn gebracht. En vooral of ze als effect hebben dat het probleem structureel is verholpen.
Wat als je geen fijne ISO 9001 auditor hebt?
In dit artikel gaan we uit van de positief ingestelde auditor. Iemand die een bijdrage wil leveren aan het verbeteren van jouw organisatie.
Helaas heb je onder auditors ook heikneuters… De types die alleen normtaal praten, checklists afwerken (of die indruk wekken), alleen maar op zoek (lijken te) zijn naar fouten. Tijdens de audit kun je er helaas niet heel veel aan doen. Maar wijs die auditor er in elk geval (voorzichtig…) op dat ze niet de juiste toon raken. Als het meezit pakken ze het signaal op. Zo niet, laat je contactpersoon bij de certificeerder dan weten dat jullie deze auditor niet terug willen.
De drie dingen die gebeuren na afloop van de certificeringsaudit
Na het bezoek van het auditteam gebeuren er 3 dingen: oorzaakanalyse van afwijkingen, het auditrapport en de certificatiebeslissing. We lopen ze langs.
Aan het eind van het bezoek van de auditors heb je te horen gekregen (of en) welke afwijkingen zij hebben vastgesteld. Die krijg je meteen of enkele dagen na de audit op papier. Daar moeten jullie mee aan de slag:
- Onderzoeken wat de oorzaak van de afwijking is. Je doet jezelf een plezier door dat serieus te onderzoeken: een afwijking is een haakje om écht structurele verbeteringen te vinden.
- Besluiten wat er gedaan wordt om de afwijking weg te werken. Dit is de oplossing van het probleem. In ISO 9001-jargon heet dit: correctie.
- Besluiten wat er gedaan wordt om de gevonden oorzaak weg te werken. Dit is het voorkomen dat het probleem zich gaat herhalen. In ISO 9001-jargon heet dit: corrigerende maatregel.
Je certificeerder bepaalt hoeveel tijd je hebt om dit alles aan de auditor terug te koppelen.
Het auditteam maakt een rapport van de audit. Omdat een audit een onderzoek is, bevat het auditrapport de nodige verantwoording. Dat is belangrijk, maar niet erg interessant. Interessant is wél dat de afwijkingen er (nogmaals) in staan en wat de planning voor de komende jaren is. Meestal wordt het rapport pas (af)gemaakt nadat de auditors de oorzaakanalyse en maatregelen die daaruit voortvloeien hebben goedgekeurd.
Het auditteam zal jullie aan het eind van de audit hebben verteld wanneer je het rapport kunt verwachten.
Het besluit om een certificaat wel of niet uit te reiken, wordt niet genomen door het auditteam. De regels rond certificatie vereisen dat degene die dat besluit neemt, niet bij de audit betrokken was. Deze persoon controleert of het auditteam een goede audit heeft uitgevoerd (dat is een van de redenen dat er verantwoordingsinformatie in het auditrapport staat). Ook checkt hij of de conclusies die getrokken zijn, kloppen met de argumenten (zijn afwijkingen goed onderbouwd bijvoorbeeld). Een andere belangrijke input voor zijn beslissing zijn jullie reacties op de afwijkingen.
Bij een positief besluit ontvangt je bedrijf het ISO 9001-certificaat!
Wat als je major afwijkingen hebt bij de ISO 9001-audit?
Afwijkingen bestaan in twee soorten: belangrijke en minder belangrijke. Veel certificeerders noemen dat major en minor, maar er zijn ook andere termen in omloop. De minder belangrijke (minor) afwijkingen worden op de manier behandeld zoals we hierboven hebben beschreven, en dus in de eerstvolgende normale audit gecontroleerd.
De belangrijke (major) afwijkingen benoemen iets dat jullie structureel niet goed hebben georganiseerd. Jullie klanten lopen daardoor een grote kans niet te krijgen wat ze verwacht hadden, op korte of langere termijn. In dat geval moet je als een haas aan het werk! Sowieso voor je klanten, natuurlijk. Maar de auditors komen ook binnen 6 maanden controleren of je het probleem hebt opgelost (en dus niet pas bij de volgende jaarlijkse audit). Als je nog geen certificaat hebt, krijg je dat ook niet - totdat de belangrijke afwijking is opgelost. Hebben jullie wél al een certificaat, en je lost de afwijking niet op binnen die 6 maanden, dan zal je certificaat worden afgenomen.
Zo werkt een ISO 9001-audit vóór je
Een certificeringsaudit hoeft geen mysterie te zijn. Als je weet wat auditors doen, hoe ze te werk gaan, en waar ze op letten, sta je sterker in je schoenen. In dit artikel heb je gezien wat auditors precies doen: van interviews tot observaties, en van documentbeoordeling tot het trekken van conclusies. Je weet nu ook hoe fase 1 en fase 2 verlopen bij een eerste audit, wat er verandert bij vervolgaudits, en hoe afwijkingen worden opgevolgd.
Komt je (eerste) audit dichterbij? Bereid je er goed op voor. Zorg dat je de belangrijkste documenten op orde hebt. En zorg dat je mensen weten wat ze kunnen verwachten. In onze blog over de voorbereiding geven we je concrete tips over wat je vooraf moet en kunt doen. Met onze lange ervaring in ISO 9001-begeleiding en een certificerend auditor in huis weten we wat werkt.
Nu je weet wat je tijdens een audit te wachten staat, kun je je er goed op voorbereiden. Zo voelt de audit niet als een toets, maar helpt het je met verbeteren. En bevestigt het dat je bedrijf goed bezig is – aan jullie zelf én aan je klanten.
| Wil je meer weten over ISO 9001? Of heb je nog meer vragen over de certificeringsaudit? Neem dan contact met ons op! Wij nemen de tijd om jouw vragen te beantwoorden. Tientallen bedrijven gingen je voor. |