Een goede interne audit in zeven stappen

Het nut van een interne audit

Een interne audit. ‘Wat is het en waarom moeten we die doen?’ Een terechte vraag. Een stapje terug naar de basisgedachte achter een NEN of ISO norm, lees: uw managementsysteem. Het is opgezet om op verschillende onderwerpen te willen werken volgens een bepaalde standaard. Bijvoorbeeld kwaliteit (ISO 9001), Privacy (AVG) of Informatiebeveiliging (ISO 27001 en NEN 7510). De onderliggende normen zijn het hulpmiddel om te bepalen waar u als organisatie de lat legt.

PDCA

Onder elke NEN of ISO norm ligt het principe van Plan-Do-Check-Act. Een continue cirkel van bepalen, doen, leren en verbeteren. Plan en Do heeft u al gedaan. Dat was bij het opzetten van het managementsysteem. Waarbij u vastgelegd heeft hoe u gaat werken om de gewenste kwaliteit te bereiken. Tot zover is het nog papier. Waarvan we weten dat dat heel geduldig kan zijn. Waar het om draait is de praktijk. Werkt uw organisatie ook zoals het op papier bedoeld is?

Dat moet u met enige regelmaat toetsen. De Check doet o.a. u met een interne audit. U gaat na waar de afwijkingen ten aanzien van het ideale plaatje liggen. Daar waar er verschillen zijn stuurt u bij (de Act) om te zorgen dat alles weer gaat zoals bedoeld. Alles met het doel om als organisatie stap voor stap beter te worden en dat niveau vast te houden. Hoe u een goede interne audit uitvoert leggen we uit.

Een goede interne audit in 7 stappen

1. Bepalen van de relevante normeisen
   Als u iets wilt toetsen heeft u wel een referentie nodig. Wat is de maatstaf. De eisen van uw onderliggende normering zijn hier het vertrekpunt. In uw managementsysteem heeft u de maatregelen beschreven zodat u voldoet aan de eisen van de norm die voor u relevant is. Vaak geeft uw opdrachtgever aan, aan welke norm u moet voldoen om zaken met hen te (blijven) doen. Daarnaast kan de overheid of toezichthouder wettelijk eisen stellen waaraan uw organisatie moet voldoen. Denk bijvoorbeeld aan de privacy eisen van de AVG.
2. Vaststellen van de belangrijkste aandachtsgebieden en risico’s
   Een NEN of ISO-norm en vaak ook uw organisatie zijn omvangrijk. U kan in een interne audit niet alles in een keer toetsen. Op basis van de normeisen uit de vorige stap bepaalt u wat de belangrijkste aandachtsgebieden zijn. Voor AVG is dat vaak de aanwezigheid en kwaliteit van het privacybeleid, het verwerkingsregister of de privacyverklaring. Als het gaat om informatiebeveiliging vragen gebieden als de beveiliging van uw ICT-systemen en de toegangsbeveiliging tot uw gebouwen vaak de aandacht. Bepaal die ook voor uw organisatie.Dat kunt u vervolgens verder aanscherpen door na te gaan wat de potentiele risico’s zijn binnen die aandachtsgebieden. Op basis van uw ervaring, inschatting en eerdere audits gaat u na waar er mogelijke afwijkingen en risico’s kunnen zitten. Bepaal daarbij ook hoe groot deze kunnen zijn en wat de kans is dat ze zich voordoen en wat daarvan dan de potentiele impact kan zijn.Dat resulteert in een aantal specifieke aandachtsgebieden. Aandachtsgebieden die de basis zijn voor uw interne audit.
3. Keuze relevante personen
   Welke personen binnen uw organisatie kunnen iets vertellen over het betreffende aandachtsgebied? Dat is de vraag die u moet stellen in deze stap. Zij vormen uw lijst met kandidaten voor interviews. En dan is het wel belangrijk dat uw vragenlijst aansluit op het werkgebied van de geïnterviewde. Zo stelt u vragen over fysieke toegangsbeveiliging aan de functionaris die verantwoordelijk is voor facility en vragen over het informatiebeveiligingsbeleid bij voorkeur aan het management en de Security Officer.
4. Maken vragenlijsten
   Tijd voor een van de lastigere stappen. Het maken van goede vragenlijsten. De kwaliteit hiervan bepaalt de kwaliteit van uw audit. Op basis van de scope die u heeft bepaald in stap 1 en 2 en de keuze van de functionarissen definieert u vragen om vast te stellen of men in de praktijk bekend is met de beschreven maatregelen en in hoeverre men ook daadwerkelijk werkt volgens de beschreven werkwijze. Bijvoorbeeld zal aan een developer gevraagd kunnen worden of het ontwikkelproces verloopt volgens het “OTAP” principe (waarbij aparte omgevingen zijn ingericht voor het Ontwikkelen, Testen, Acceptatie en Productie).We hebben al eerder geschreven over specifieke software om het opzetten en beheren van managementsystemen een stuk makkelijker te maken. Mocht u het ooit overwegen. Kijk dan ook goed of deze een module voor de interne audit heeft. Een dergelijk systeem helpt u met alle hiervoor en hierna genoemde stappen. Het resultaat is niet alleen efficiënter maar vaak inhoudelijk ook beter.

5. Uitvoeren
   De voorbereidingen zijn gedaan. Aan de slag. U gaat de eerder bepaalde collega’s uitnodigen voor een interview. Geef daarbij duidelijk aan dat het om een interne audit gaat. Licht kort toe waar u het over wilt hebben. Indien mogelijk vraagt u of ze dat willen voorbereiden.In het interview bespreekt u aan de hand van de vragen het functioneren van de aandachtsgebieden. Belangrijk is dat de beantwoording diepgang en scherpte heeft. Neem geen genoegen met het eerste antwoord. Met doorvragen geeft u diepgang aan de beantwoording en met het registreren van aantoonbare onderbouwing van de antwoorden geeft u scherpte aan de beantwoording. Zonder dat het een kruisverhoor wordt of mensen zich persoonlijk beoordeeld voelen. Het is geen examen. Het gaat erom dat de organisatie samen op een hoger niveau gebracht wordt.
6. Rapportage
   Het resultaat van de interviews is een flinke stapel aantekeningen en bevindingen waar u een compacte en duidelijke rapportage van moet maken. Daarvoor is het verstandig de rapportage op te bouwen aan de hand van de gekozen aandachtspunten of focusgebieden. Om het overzichtelijk te houden clustert u de aantekeningen en bevindingen en voegt u ze toe aan het best passende aandachtsgebied. Deze bevindingenclusters dient u als auditor te beoordelen. Omdat u als eerste aan de slag wilt met de hoge risico’s.Het is verstandig om daarbij dezelfde categorieën te gebruiken als de externe auditors:- Grote non-conformiteit
   – Kleine non-conformiteit
   – Observatie
   – Verbeterpunt
   – Opmerkelijke spanningDe rapportage bespreekt u met uw stakeholders. Meestal de verantwoordelijke directie. Aangevuld met de privacy/security officer als uw organisatie die heeft. U neemt de belangrijkste uitkomsten door en bespreekt de voorgestelde bijsturingsmaatregelen. Het kan zijn dat die om tijd en investeringen vragen. Daar kunt u mogelijk direct afspraken over maken. De uitkomst is een vastgesteld overzicht van de geconstateerde afwijkingen en een actielijst om de noodzakelijke bijsturingen te doen.We hebben het hierboven al over software gehad. Er zijn pakketten waar u letterlijk met de ipad of laptop in de hand de interviews kan doen en direct de antwoorden kan verwerken. Sommige gaan zelfs zover dat op basis daarvan direct een concept rapportage kan worden gemaakt.

7. Bijsturen
   De actielijst uit stap nummer 6 is hier uw vertrekpunt. Er zijn een aantal zaken die opgepakt moeten worden. Bepaal welke dat zijn en wie ze moet oppakken. Informeer deze mensen goed over wat er moet gebeuren. Belangrijk is om dat goed vast te leggen en op te volgen. Inclusief de terugkoppeling van de betreffende persoon dat het geregeld is. Vergeet daarbij niet om ook daadwerkelijk ‘bewijs’ van het resultaat te vragen. Ook dat legt u vast. Waarom dat zo belangrijk is leest u verderop.

Een interne audit is geen examen

Het doel van de interne audit is om als organisatie beter te worden. Een goede interne audit kan alleen als u voldoende onafhankelijk, scherp en eerlijk durft te zijn. Over hoe het gaat en wat er nodig is om te verbeteren. Het is zeker geen beoordeling en de bedoeling om de personen in kwestie ‘de maat te nemen’.

Toch kan dat vervelende en ongemakkelijke situaties opleveren. U bent als interne auditor vaak een van de collega’s en niet hun leidinggevende. Wat vaak goed werkt is vooraf aangeven wat het doel en de opzet is. Ook dat u de scherpte zult opzoeken en dat ze dat niet persoonlijk moeten opvatten. Vertel ook wat er met hun antwoorden en bevindingen gedaan wordt en of de antwoorden al dan niet anoniem zijn.

De externe auditor: Don’t tell it – Show it

Of te wel: geen woorden maar daden. Niet alleen intern maar dat geldt ook voor de externe auditor. Die zal met enige regelmaat langskomen om als onafhankelijke derde te bepalen of uw organisatie werkt volgens de uitgangspunten van uw managementsysteem. En als dat zo is, waar we vanuit gaan, dan levert dat een succesvolle externe audit en daarmee verlenging van uw certificering op.

Een externe audit duurt doorgaans een paar dagen. In die relatief korte tijd kan de externe auditor nooit uw hele organisatie beoordelen. Hij of zij zal daarom ook stevig ‘leunen’ op uw interne audits. Inderdaad, u begrijpt het al. Hoe beter die zijn, hoe meer vertrouwen uw auditor krijgt, wat een positieve afloop bespoedigd.

‘Beter’, wat is dat dan? Goed betekent niet letterlijk goed. Goed betekent grip, controle en geen verrassingen. Als u de risico’s en afwijkingen goed in kaart hebt en daar de juiste maatregelen op heeft genomen dan is dat een belangrijk fundament. Voor de zaken die u heeft verbeterd en opgelost is het belangrijk dat u dat zo concreet mogelijk vastlegt. Inclusief de acties, afspraken en opvolging daarvan. Don’t tell it – Show it!

Continue verbetering

De interne audit is dus een verplicht instrument. Zowel voor het behalen van uw certificaat als voor het onderhoud van uw managementsysteem. Dat is de formele kant. Veel organisaties zien dat het meer is dan dat. Voor hen is de interne audit een manier om de kwaliteit en prestatie van de organisatie naar een hoger niveau te tillen. Wat resulteert in minder fouten, minder kosten, medewerkers die zich meer betrokken voelen en niet in de laatste plaats meer en vooral tevreden klanten.

Hoe een ogenschijnlijk simpele vragenlijst bijzonder veel verschil en impact kan maken.

Wilt u meer weten over de uitvoering van een Interne Audit of zoekt u een onafhankelijke partij die veel ervaring heeft met het uitvoeren van Interne Audits? Neem dan contact met ons op!

Blog geschreven door Robin Beiler, Managing Consultant.

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01