Hoeveel kost een ISO 27001 certificering?
Veel mensen vragen zich af hoeveel tijd een ISO 27001 certificering in beslag neemt en wat de kosten zijn. In dit artikel leggen we uit hoe de benodigde tijd wordt bepaald. Er is geen vast tijdsbestek, maar er is wel een vastgestelde methode! Lees er alles over hieronder.
Initiële audit
Om ISO-certificering te bereiken, wordt een zogenaamde initiële audit uitgevoerd. Een initiële audit bestaat uit fase 1 en fase 2.
Tijdens fase 1 wordt beoordeeld of de organisatie klaar is voor fase 2 op basis van gedocumenteerde informatie in uw managementsysteem en het begrip van de eisen van de standaard.
Tijdens fase 2 wordt de implementatie en effectiviteit van het managementsysteem beoordeeld. Worden alle processen uitgevoerd zoals beschreven? Wordt het beleid nageleefd? Zijn werknemers zich bewust van hun bijdrage aan het management systeem?
Certificerende instellingen werken met “mandagen”.
Een term die eigenlijk niet meer van deze tijd is maar die nog steeds gebruikt wordt om het aantal dagen uit te drukken dat een certificerende instantie rekent voor een audit.
Hoeveel tijd er nodig is voor de initiële audit wordt bepaald in de ‘mandagen tabel’ (zie onder) van de accreditatie standaard. Bijvoorbeeld ISO 17021 voor certificering van ISO 9001 en ISO 27006 voor certificering van ISO 27001.
Kostenvoorbeeld voor een ISO 27001 certificering voor een bedrijf met 20 FTE
Volgens de accreditatie standaard ISO 27006 voor een organisatie met 20 FTE wordt in totaal 7 dagen audit-tijd berekend voor een initiële audit. Van deze tijd wordt 70% besteed aan de audit op uw locatie of door middel van remote audittechnieken. De overige 30% wordt gebruikt voor administratieve taken met betrekking tot de audit, zoals het opstellen van het auditplan en het schrijven van het auditrapport.
Extra tijd
Naast het aantal FTE’s zijn er meer factoren die moeten worden meegenomen in de tijd calculatie.
Enkele voorbeelden:
- De mate van uitbesteding van diensten;
- Het aantal locaties;
- De complexiteit van het management systeem.
Deze factoren kunnen leiden tot een verhoging of verlaging van de audit-tijd. Alle tijdsfactoren worden gedetailleerd besproken tijdens het aanvraagproces.
Kosten?
De certificerende instellingen in Nederland zoals DNV, Dekra en bijvoorbeeld TüV Nord rekenen met een mandagen en een tarief dat tussen de 1500 en 1900 euro per dag ligt. Als we dan het bovengenoemde voorbeeld nemen van een bedrijf met 20 FTE dan zijn de kosten het 1e jaar 7 x 1700 euro = 11.900 euro om dat ISO 27001 certificaat te bemachtigen. Daar moet je dan nog de kosten voor extern advies bij op tellen. Voor een bedrijf met 20 FTE kun je rekening houden met 100 tot 150 uur begeleiding.
Follow-up audits
Bij het behalen van ISO-certificering zullen na de initiële audit kleinere audits plaatsvinden, de zogenaamde surveillance-audits. Ongeveer 1/3 van de audit-tijd van de initiële certificering wordt besteed aan de eerste en tweede surveillance-audit. Voor de hercertificering na de twee surveillance-audits gaat het om 2/3 van de oorspronkelijk berekende tijd.
Voor follow-up audits wordt ook bepaald of er factoren zijn die leiden tot tijd vermindering of -verhoging. Bijvoorbeeld veel non-conformiteiten die tijdens de initiële of surveillance-audits zijn gevonden of significante veranderingen binnen het managementsysteem. In dergelijke gevallen heeft de auditor meestal meer tijd nodig om de audit uit te voeren.
Conclusie
Nu weet je hoe de kosten voor een certificering worden bepaald. Zoals je hebt gelezen, is er geen kant-en-klaar antwoord op de vraag hoelang ISO-certificering duurt. Het hangt af van verschillende factoren. Plan een gratis strategie call in voor meer informatie.