Stap 10 naar certificering:

externe audit

De laatste belangrijke stap naar certificering

Stephan Brinkhuis

Een auditor is geen tegenstander maar fungeert als spiegel om je te laten zien hoe jouw organisatie functioneert

De laatste stap naar certificering:

Externe audit

Stap 10: De externe audit – wat gebeurt er écht achter de schermen?

Dit is Stap 10 in onze reeks “In 10 stappen naar certificering”. Je hebt alle voorbereidingen getroffen: beleid staat, risico’s zijn beoordeeld, beheersmaatregelen ingevoerd en verbetercycli draaien. Dan komt hét moment waar alles om draait: de externe audit. Voor veel organisaties voelt dit spannend – en dat snap ik. Als lead auditor zie ik dagelijks hoe teams zich voorbereiden, waar ze tegenaan lopen en welke vragen ze niet zagen aankomen. Daarom neem ik je mee in hoe het traject eruitziet, wat wij als auditor doen en vooral: hoe jij relaxed en auditproof blijft.

Hoe ziet het audittraject eruit?

De certificering die volgt is niet alleen een officieel bewijs dat je voldoet aan de norm, maar ook dat je organisatie haar eigen afspraken nakomt. Maar wat gebeurt er precies tijdens die audits? Welke stappen doorloop je? En welke vragen kun je verwachten?

Jaar 1: De initiële audit – Fase 1 en Fase 2

Fase 1: Documentatiereview

Dit is de “design check”. Ik kijk of je managementsysteem logisch is opgebouwd en klaar voor de praktijktoets in Fase 2. Denk aan:

Is de scope helder?

Zijn risico’s goed geïdentificeerd en beoordeeld?

Hoe borg je dat medewerkers beleid kennen?

Mijn tip: Zorg dat je documentatie niet alleen compleet is, maar ook logisch. Ik zie vaak dat alles er wel is, maar dat het niet consistent is. Een goed verhaal achter je keuzes maakt het verschil.

Fase 2: De praktijktoets

Nu wordt het spannend: werkt je organisatie zoals afgesproken? Dit check ik via interviews, steekproeven en bewijsstukken. Voorbeelden van vragen:

Hoe monitoren jullie KPI’s?

Kun je voorbeelden geven van incidenten en hoe die zijn afgehandeld?

Aan medewerkers: “Wat doe je als je een beveiligingsincident ontdekt?”

Mijn tip: Bereid je mensen voor. Niet op “de juiste antwoorden”, maar op het waarom achter processen. Als iemand zegt: “Geen idee, dat doet IT”, dan is dat een rode vlag. Iedereen moet snappen wat zijn rol is.

Jaar 2 en 3: Surveillance-audits

Deze audits zijn kleiner, maar ik check of je systeem leeft. Typische vragen:

Welke veranderingen zijn er sinds de laatste audit?

Hoe borg je continuïteit bij groei of personeelswisselingen?

Mijn tip: Laat zien dat je systeem meebeweegt. Een statisch systeem is een risico. Toon verbeteracties en actuele risicoanalyses.

Jaar 4: Herstart van de cyclus

De hercertificeringsaudit lijkt op Fase 2, maar is vaak iets minder diepgaand. Toch geldt: wie continu bijstuurt, hoeft hier niet te stressen.

Wat ik vaak zie misgaan

Te veel focus op documenten: Een mooi handboek is niet genoeg. Het gaat om gedrag.

Geen bewijs paraat: Als ik vraag naar een logboek of leveranciersbeoordeling, wil ik het direct zien.

Onvoorbereide medewerkers: Ze hoeven geen normteksten te kennen, maar wel hun rol.

Hoe uComply helpt om auditproof te zijn

Met uComply heb je alles op één plek: documentatie, risico’s, bewijsstukken. En dankzij de AI-consultant kun je zelfs auditvragen simuleren en direct antwoorden vinden. Dat scheelt stress én tijd.

Conclusie

Zie een audit niet als een examen, maar als een kans om te laten zien hoe goed je organisatie werkt. Een auditor is geen tegenstander, maar een spiegel. Hoe beter je voorbereid bent, hoe meer waarde je uit die spiegel haalt.

👉 Bekijk alle 10 stappen naar certificering