Offerte aanvragen
nl_NL NL
nl_NL NL en_GB EN de_DE DE

Wat gebeurt er in fase 1 en fase 2 van een audit?

Voor veel organisaties is certificering een belangrijke stap om betrouwbaarheid, kwaliteit of informatiebeveiliging aan te tonen. Maar wat houdt het auditproces precies in? En wat gebeurt er in fase 1 en fase 2 van een audit? Deze twee fasen vormen samen het hart van het initiële certificeringstraject. In dit artikel leest u stap voor stap wat u kunt verwachten, wat het doel is van beide fasen en hoe DigiTrust hier als onafhankelijke certificerende instelling mee omgaat. 

Hoe ziet het certificeringstraject eruit? 

Het certificeringstraject begint met een aanvraag en een verkennend gesprek. Hierin worden onder andere de scope van de certificering, het toepassingsgebied en de normen besproken. Daarna volgt de initiële audit, die uit twee fasen bestaat: fase 1 en fase 2. 

Als beide fasen succesvol worden afgerond, ontvangt de organisatie het certificaat. Daarna vinden periodiek surveillance-audits plaats (jaarlijks), en na een aantal jaar een hercertificatie-audit. Dit waarborgt de continue naleving van de norm. 

Wat is fase 1 van een audit? 

Fase 1 is de voorbereidende fase van de initiële audit. Deze kan op locatie plaatsvinden of op afstand. Het doel van fase 1 is om te beoordelen of de organisatie voldoende voorbereid is op de diepgaandere fase 2. 

Tijdens fase 1 wordt gekeken naar: 

  • de documentatie van het managementsysteem (zoals beleidsdocumenten, procedures en risicobeoordelingen); 
  • de scope van de certificering en de relevante wet- en regelgeving; 
  • de context van de organisatie, zoals stakeholders en externe factoren; 
  • de mate waarin het systeem al is geïmplementeerd; 
  • de bewustwording binnen de organisatie. 

Fase 1 biedt ruimte voor bijsturing: als er nog duidelijke tekortkomingen zijn, kunnen deze vóór fase 2 worden aangepakt. 

Wat is fase 2 van een audit? 

In fase 2 vindt de daadwerkelijke beoordeling van de implementatie plaats. Deze audit wordt altijd op locatie uitgevoerd en richt zich op de werking van het managementsysteem in de praktijk. 

Tijdens fase 2 beoordeelt de auditor of het systeem effectief is geïmplementeerd en daadwerkelijk werkt zoals bedoeld. Dit gebeurt onder meer via: 

  • interviews met medewerkers op verschillende niveaus; 
  • observaties van processen en werkwijzen; 
  • toetsing van documentatie en registraties; 
  • het verzamelen van objectief bewijs dat de normen worden nageleefd. 

Aan het eind van fase 2 stelt de auditor een oordeel op: is er voldoende vertrouwen dat aan de norm wordt voldaan? Bij een positief resultaat wordt het certificaat toegekend. 

Wat is het verschil tussen fase 1 en fase 2? 

Hoewel fase 1 en fase 2 beide onderdeel zijn van het certificeringstraject, verschillen ze duidelijk van elkaar in doel en aanpak: 

Kenmerk Fase 1 Fase 2 
Doel Voorbereiding en inzicht Beoordeling van implementatie 
Locatie Op afstand of op locatie Altijd op locatie 
Activiteiten Documentatiebeoordeling, contextanalyse Interviews, praktijktoetsing, bewijslast 
Resultaat Klaar voor fase 2 of bijsturen nodig Oordeel over certificering 

Samen vormen ze een compleet beeld van het managementsysteem: van papieren opzet tot praktijktoepassing. 

De rol van DigiTrust in het auditproces 

DigiTrust is een onafhankelijke certificerende instelling en voert audits uit conform internationale accreditatienormen, zoals ISO/IEC 17021. Wij beoordelen objectief of een organisatie voldoet aan de eisen van de gekozen norm, zoals ISO 9001, ISO 27001 of andere schema’s. 

Wat wij niet doen, is adviseren over de inrichting of implementatie van het managementsysteem. Dit waarborgt onze onafhankelijkheid en maakt dat u kunt vertrouwen op een eerlijke en herleidbare beoordeling. 

DigiTrust zorgt voor: 

  • een transparante auditplanning; 
  • duidelijke communicatie over toetsingscriteria; 
  • deskundige auditoren met sectorspecifieke kennis. 

Veelgestelde vragen over het auditproces 

Hoe lang duren fase 1 en fase 2 van een audit?
Dat hangt af van de grootte, complexiteit en sector van de organisatie. Gemiddeld duurt fase 1 één dag en fase 2 één tot enkele dagen. 

Kun je fase 2 doen zonder fase 1?
Nee, fase 1 is een verplicht onderdeel van de initiële audit. Het vormt de basis voor fase 2. 

Wat als fase 1 negatief uitvalt?
Als er tijdens fase 1 belangrijke tekortkomingen worden vastgesteld, kan fase 2 worden uitgesteld. De organisatie krijgt dan gelegenheid om verbeteringen door te voeren. 

Is een audit hetzelfde als certificering?
Nee, een audit is het onderzoek dat leidt tot een oordeel. Certificering is het formele besluit om een certificaat toe te kennen op basis van de auditresultaten. 

Conclusie 

Fase 1 en fase 2 van een audit vormen samen het fundament van het certificeringstraject. De eerste fase richt zich op de voorbereiding en documentatie, de tweede op de praktijk en effectiviteit. DigiTrust voert beide fasen uit op onafhankelijke wijze, zonder adviesrol, en volgens internationaal erkende beoordelingsrichtlijnen. 

Wilt u meer weten over het auditproces of bent u benieuwd wat u kunt verwachten tijdens een certificeringstraject? DigiTrust legt het u graag helder en objectief uit. 

Lees meer over

Wat is het NIS2 Kwaliteitsmerk?

Steeds meer organisaties krijgen te maken met strengere eisen rondom informatiebeveiliging. Dat komt door de NIS2-richtlijn: Europese wetgeving die inmiddels ook in Nederland is omgezet naar nationale wetgeving. Maar hoe toon je als organisatie aan dat je voldoet aan de

Lees verder »
Terug naar de kennisbank
nl_NLNL
en_GBEN de_DEDE nl_NLNL