De interne audit is een van de meest waardevolle — en tegelijkertijd meest onderschatte — instrumenten binnen ISO 9001. Waar de externe certificeringsaudit achteraf toetst of je systeem voldoet, is de interne audit bedoeld als proactief leerinstrument: het is de spiegel die je eigen systeem je voorhoudt. Een goed uitgevoerde interne audit geeft richting aan verbeteringen, sterkt het vertrouwen in je processen en bereidt je optimaal voor op de externe audit. Maar hoe voert je er een goed uit?
Wat eist ISO 9001 van de interne audit?
Clausule 9.2 van ISO 9001:2015 stelt dat organisaties op geplande tijdstippen interne audits moeten uitvoeren om vast te stellen of het QMS:
- voldoet aan de eigen eisen van de organisatie voor het QMS
- voldoet aan de eisen van ISO 9001
- effectief is geïmplementeerd en onderhouden
De norm vereist daarnaast een auditprogramma dat rekening houdt met het belang van de processen, de wijzigingen die van invloed zijn op de organisatie en de resultaten van vorige audits. Je moet ook zorgen dat auditoren objectief en onpartijdig zijn — in de praktijk betekent dit dat medewerkers niet hun eigen werk mogen auditen.
Het auditprogramma opstellen
Een auditprogramma is het jaarplanningsdocument dat beschrijft welke audits wanneer worden uitgevoerd, wie ze uitvoert en welke scope ze bestrijken. Een effectief auditprogramma zorgt dat alle processen en clausules van ISO 9001 minimaal eenmaal per drie jaar worden geauditeerd — of vaker als risico’s dat rechtvaardigen.
| Auditonderwerp | Frequentie | Auditor | Gepland kwartaal |
|---|---|---|---|
| Primaire processen (verkoop, productie, levering) | Jaarlijks | Externe auditor of collega | Q1 |
| Ondersteunende processen (HR, inkoop, IT) | Jaarlijks | Interne auditor | Q2 |
| Managementprocessen (audit, review, doelstellingen) | Jaarlijks | Externe auditor of collega | Q3 |
| Specifieke risicogebieden | Ad hoc | Naar beoordeling | Naar behoefte |
Stel het auditprogramma vast aan het begin van het jaar en laat het goedkeuren door het management. Documenteer het programma en bewaar het als bewijs voor de externe audit.
Tip: Plan de interne audit minimaal vier tot zes weken vóór je externe certificerings- of surveillance-audit. Zo heb je tijd om bevindingen op te volgen en verbeteringen te implementeren vóór de externe toetsing.
De audit voorbereiden
Een goede voorbereiding bepaalt voor een groot deel de kwaliteit van de audit. Bereid per auditonderwerp een checklist voor op basis van de ISO 9001-clausules die van toepassing zijn op het betreffende proces.
Een auditchecklist voor het inkoopproces bevat bijvoorbeeld vragen als:
- Zijn leveranciersselectiecriteria gedocumenteerd en toegepast?
- Is er een actuele lijst van goedgekeurde leveranciers?
- Worden leveranciers periodiek beoordeeld? Is dit gedocumenteerd?
- Zijn inkoopspecificaties duidelijk gecommuniceerd aan leveranciers?
- Is er bewijs van verificatie van ingekochte producten of diensten?
Verzamel vooraf relevante documentatie: procesbeschrijvingen, werkprocedures, registraties van de afgelopen periode. Stuur de geauditeerde medewerkers tijdig een bericht met de datum, het onderwerp en de verwachte duur van de audit.
De audit uitvoeren
Tijdens de audit verzamelt je bewijs via drie methoden: interviews, observatie en documentbeoordeling. Een goede interne auditor stelt open vragen (“Hoe ga je te werk wanneer…?”), observeert de praktijk (“Kun je mij laten zien hoe…?”) en beoordeelt registraties (“Heb je voorbeelden van de afgelopen maand?”).
Noteer bevindingen nauwkeurig. Elk auditbewijs dat afwijkt van de eis — van de norm of van de eigen procedure — is een potentiële nonconformiteit of observatie. Onderscheid hierbij:
- Nonconformiteit (NC): Een aantoonbare afwijking van een norm-eis of gedocumenteerde eis
- Observatie: Een aandachtspunt dat nog geen NC is, maar dat risico loopt te worden
- Aanbeveling voor verbetering: Een kans die de auditor signaleert, zonder dat er sprake is van een afwijking
Auditrapport en opvolging
Na de audit stel je een auditrapport op. Dit rapport bevat minimaal: de scope en datum van de audit, de naam van de auditor, een samenvatting van bevindingen, de geconstateerde nonconformiteiten en de conclusie over de effectiviteit van het geauditeerde gebied.
Nonconformiteiten worden vervolgens behandeld via de procedure voor corrigerende maatregelen (clausule 10.2). De verantwoordelijke proceseigenaar analyseert de grondoorzaak, bepaalt een corrigerende maatregel en legt een deadline vast. De auditor verifieert na implementatie of de maatregel effectief is geweest.
Veelgestelde vragen
Mag ik mijn eigen medewerkers trainen als interne auditor of moet ik iemand extern inschakelen?
Je mag interne medewerkers opleiden als auditor, mits zij niet hun eigen werk auditen. Er zijn kortlopende ISO 9001-audittrainingen (één tot twee dagen) beschikbaar die voldoende basis bieden voor een interne audit. Voor kleine organisaties zonder geschikte interne kandidaten is het inschakelen van een externe interne auditor een goede optie.
Hoe lang duurt een interne audit voor een kleine organisatie?
Voor een organisatie met tien tot twintig medewerkers is een volledige jaarlijkse interne audit doorgaans haalbaar in één werkdag. Je kunt de audit ook spreiden over meerdere sessies van twee tot drie uur als dat de dagelijkse operatie minder verstoort.
Een goed uitgevoerde interne audit is geen bureaucratische verplichting maar een serieus managementinstrument. Het geef je zekerheid over de werking van je QMS en biedt concrete aanknopingspunten voor verbetering. Wil je ondersteuning bij het opzetten of uitvoeren van je interne auditprogramma? Bekijk ons aanbod op /prijzen.
Klaar om te starten met ISO 9001?
Control One structureert je kwaliteitsmanagementsysteem: procesoverzichten, KPI’s, interne audits en directiebeoordeling. Alles op één plek.
Gerelateerde artikelen
Continu verbeteren met ISO 9001: de PDCA-cyclus
Plan-Do-Check-Act is de motor van ISO 9001. Hoe maak je de PDCA-cyclus werkend in je organisatie?
Een effectief kwaliteitsbeleid opstellen voor ISO 9001
Het kwaliteitsbeleid is de strategische verklaring van je QMS. Zo schrijft je er een die écht werkt.
Documentbeheer in ISO 9001: wat is verplicht?
ISO 9001 stelt eisen aan gedocumenteerde informatie. Wat is verplicht en hoe organiseert je het efficiënt?
ISO 9001 certificaat behouden: jaarlijkse verplichtingen
Certificering is een begin, niet een eindpunt. Wat je jaarlijks moet doen om ISO 9001 gecertificeerd te blijven.