Een interne audit. Waarom eigenlijk?
Een interne audit. ‘Wat is het en waarom moeten we die doen?’ Een terechte vraag.  
 
Een stapje terug naar de basisgedachte achter een NEN of ISO norm, lees: uw managementsysteem. Het is opgezet om op verschillende onderwerpen te willen werken volgens een bepaalde standaard. Bijvoorbeeld kwaliteit (ISO 9001), Privacy (AVG) of Informatiebeveiliging (ISO 27001 en NEN 7510). De onderliggende normen zijn het hulpmiddel om te bepalen waar u als organisatie de lat legt. 
 
PDCA
Onder elke NEN of ISO norm ligt het principe van Plan-Do-Check-Act. Een continue cirkel van bepalen, doen, leren en verbeteren. 
 
Plan en Do heeft u al gedaan. Dat was bij het opzetten van het managementsysteem. Waarbij u vastgelegd heeft hoe u gaat werken om de gewenste kwaliteit te bereiken. Tot zover is het nog papier. Waarvan we weten dat dat heel geduldig kan zijn. Waar het om draait is de praktijk. Werkt uw organisatie ook zoals het op papier bedoeld is. 
 
Dat moet u met enige regelmaat toetsen. De Check doet o.a. u met een interne audit. U gaat na waar de afwijkingen op het ideale plaatje liggen. Daar waar er verschillen zijn stuurt u bij (de Act) om te zorgen dat alles weer gaat zoals bedoeld. Alles met het doel om als organisatie stap voor stap beter te worden en dat niveau vast te houden. Hoe u een goede interne audit uitvoert leggen we uit.
 

Een goede interne audit in 7 stappen
1. Bepalen van de relevante normeisen
Als u iets wilt toetsen heeft u wel een referentie nodig. Wat is de maatstaf. De eisen van uw onderliggende ISO, NEN of ISAE norm zijn hier het vertrekpunt. In uw managementsysteem heeft u de maatregelen beschreven zodat u voldoet aan de eisen van de norm die voor u relevant is. Vaak schrijft uw opdrachtgever voor aan welke norm u moet voldoen om zaken met hen te mogen (blijven) doen. Daarnaast kan de overheid of toezichthouder wettelijke eisen stellen waaraan uw organisatie moet voldoen. Denk bijvoorbeeld aan de privacy eisen van de AVG. 
 
2. Vaststellen van de belangrijkste aandachtsgebieden en risico’s
Een NEN of ISO norm en vaak ook uw organisatie zijn omvangrijk. U kunt in een interne audit niet alles in een keer toetsen. Op basis van de normeisen uit de vorige stap bepaalt u wat de belangrijkste aandachtsgebieden zijn. Voor AVG is dat vaak de aanwezigheid en kwaliteit van het privacybeleid, het verwerkingsregister of de privacyverklaring. Als het gaat om informatiebeveiliging vragen gebieden als de beveiliging van uw ICT systemen en de toegangsbeveiliging tot uw gebouwen vaak de aandacht. Bepaal die aandachtsgebieden ook voor uw organisatie. 
 
Dat kunt u vervolgens verder aanscherpen door na te gaan wat de potentiele risico’s zijn binnen die gebieden. Op basis van uw ervaring, inschatting en eerdere audits gaat u na waar er mogelijke afwijkingen kunnen zitten. Bepaal daarbij ook hoe groot deze kunnen zijn en wat de kans is dat ze zich voordoen en wat daarvan dan de potentiele impact kan zijn.
 
Dat resulteert in een aantal specifieke aandachtsgebieden. Aandachtsgebieden die de basis zijn voor uw interne audit. 
 
3. Keuze relevante personen
Welke personen binnen uw organisatie kunnen iets vertellen over het betreffende aandachtsgebied. Dat is de vraag die u moet stellen in deze stap. Zij vormen uw lijst met interview kandidaten. En dan is het wel belangrijk dat uw vragenlijst aansluit op het werkgebied van de geïnterviewde. Zo stelt u vragen over toegangsbeveiliging aan de functionaris die verantwoordelijk is voor facility en vragen over het informatiebeveiligingsbeleid bij voorkeur aan het management. 
 
4. Maken vragenlijsten
Tijd voor een van de lastigere stappen. Het maken van goede vragenlijsten. De kwaliteit hiervan bepaalt de kwaliteit van uw audit. Op basis van de scope die u heeft bepaald in stap 1 en 2 en de keuze van de functionarissen definieert u vragen om vast te stellen of men in de praktijk bekend is met de beschreven maatregelen en in hoe verre men ook daadwerkelijk werkt volgens de beschreven werkwijze. Bijvoorbeeld zal aan een developer gevraagd kunnen worden of het ontwikkelproces verloopt volgens het “OTAP” principe (waarbij aparte omgevingen zijn ingericht voor het Ontwikkelen, Testen, Acceptatie en Productie). 
 
We hebben al eerder geschreven over specifieke software om het opzetten en beheren van managementsystemen een stuk makkelijker te maken. Mocht u het ooit overwegen. Kijk dan ook goed of deze een module voor de interne audit heeft. Een dergelijk systeem helpt u met alle hiervoor en hierna genoemde stappen. Het resultaat is niet alleen efficiënter maar vaak inhoudelijk ook beter.
 
5. Uitvoeren
De voorbereidingen zijn gedaan. Aan de slag. U gaat de eerder bepaalde collega’s uitnodigingen voor een interview. Geef daarbij duidelijk aan dat het om een interne audit gaat. Licht kort toe waar u het over wilt hebben. Indien mogelijk vraagt u of ze dat willen voorbereiden. 
 
In het interview bespreekt u aan de hand van de vragen het functioneren van de aandachtsgebieden. Belangrijk is dat het diepgang en scherpte heeft. Neem niet genoegen met het eerste antwoord. Durf door te vragen en vraag om aantoonbare onderbouwing van de antwoorden. Zonder dat het een kruisverhoor wordt of mensen zich persoonlijk beoordeeld voelen. Het is geen examen. Het gaat erom om de organisatie samen op een hoger niveau te brengen. 
 
6. Rapportage 
Het resultaat van de interviews….  ....een flinke stapel aantekeningen en bevindingen waar u een compacte en duidelijke rapportage van moet maken. Daarvoor is het verstandig de rapportage op te bouwen aan de hand van de gekozen aandachtpunten of focusgebieden. Om het overzichtelijk te houden clustert u de bevindingen en voegt ze toe aan het best passende aandachtsgebied. Omdat u als eerste aan de slag wilt met de hoge risico’s, beoordeelt u als auditor de bevindingenclusters. Het is verstandig om daarbij dezelfde categorieën te gebruiken als de externe auditors; 
o   Grote non-conformiteit
o   Kleine non-conformiteit
o   Observatie
o   Verbeterpunt
o   Opmerkelijke inspanning
 
De rapportage bespreekt u met uw stakeholders. Meestal de verantwoordelijke directie. Aangevuld met de privacy/security officer als uw organisatie die heeft. U neemt de belangrijkste uitkomsten door en bespreekt de voorgestelde verbetermaatregelen. Het kan zijn dat die om tijd en investeringen vragen. Daar kunt u mogelijk direct afspraken over maken. 
 
De uitkomst is een vastgesteld overzicht van de geconstateerde afwijkingen en een actielijst om de noodzakelijke verbeteringen uit te voeren. 
 
We hebben het hierboven al over software gehad. Er zijn pakketten waar u letterlijk met de ipad of laptop in de hand de interviews kan doen en direct de antwoorden kan verwerken. Sommige gaan zelfs zover dat op basis daarvan direct een concept rapportage kan worden gemaakt. 
 
7. Bijsturen
De actielijst uit stap nummer 6 is hier uw vertrekpunt. Er is een aantal zaken die opgepakt moeten worden. Bepaal welke dat zijn en wie ze moet oppakken. Informeer deze mensen goed over wat er moet gebeuren. Belangrijk is dat goed vast te leggen en op te volgen. Inclusief de terugkoppeling van de betreffende persoon zodra het geregeld is. Vergeet daarbij niet ook daadwerkelijk ‘bewijs’ van het resultaat vast te leggen. Waarom dat zo belangrijk is leest u verderop. 

 
Een interne audit is geen examen
Het doel van de interne audit is om als organisatie beter te worden. Een goede interne audit kan alleen als u voldoende onafhankelijk, scherp en eerlijk durft te zijn. Over hoe het gaat en wat er nodig is om te verbeteren. Het is zeker geen beoordeling en de bedoeling om de personen in kwestie ‘de maat te nemen’.
 
Toch kan dat vervelende en ongemakkelijke situaties opleveren. U bent als interne auditor vaak een van de collega’s en niet hun leidinggevende. Wat vaak goed werkt is vooraf aangeven wat het doel en de opzet is. Ook dat u de scherpte zult opzoeken en dat ze dat niet persoonlijk moeten opvatten. Vertel ook wat er met hun antwoorden en bevindingen gedaan wordt en of de antwoorden al dan niet anoniem zijn. 
 

De externe auditor: Don’t tell it - Show it
Of te wel: geen woorden maar daden. Niet alleen intern maar in dit geval voor de externe auditor. Die zal met enige regelmaat langskomen om als onafhankelijke derde te bepalen of uw organisatie werkt volgens de uitgangspunten van uw managementsysteem. En als dat zo is, waar we vanuit gaan, dan levert dat een succesvolle externe audit en daarmee verlenging van uw certificering op. 
 
Een externe audit duurt doorgaans een paar dagen. In die relatief korte tijd kan de externe auditor nooit uw hele organisatie beoordelen. Hij of zij zal daarom ook stevig ‘leunen’ op uw interne audits. 
 
Inderdaad, u begrijpt hem al. Hoe beter die zijn, hoe meer vertrouwen uw auditor krijgt, wat een positieve afloop bespoedigd. 
 
‘Beter’, wat is dat dan? Goed betekent niet letterlijk goed. Goed betekent grip, controle en geen verrassingen. Als u de risico’s en afwijkingen goed in kaart hebt en daar de juiste maatregelen op heeft genomen dan is dat een belangrijk fundament. 
 
Voor de zaken die u heeft verbeterd en opgelost is het belangrijk dat u dat zo concreet mogelijk vastlegt. Inclusief de acties, afspraken en opvolging daarvan. Don’t tell it – Show it!
 
 
Continue verbetering
De interne audit is dus een verplicht instrument. Zowel voor het behalen van uw certificaat als voor het onderhoud van uw managementsysteem. Dat is de formele kant. Veel organisaties zien dat het meer is dan dat. Voor hen is de interne audit een manier om de kwaliteit en prestatie van de organisatie naar een hoger niveau te tillen. Wat resulteert in minder fouten, minder kosten, medewerkers die zich meer betrokken voelen en niet in de laatste plaats meer en vooral tevreden klanten.
 
Hoe een ogenschijnlijk simpele vragenlijst bijzonder veel verschil en impact kan maken.

Blog geschreven door Robin Beiler

Een stevig verhaal over Managementsystemen

en over software die u tijd en geld bespaart

Een compleet verhaal over de implementatie en onderhoud van managementsystemen en software u helpt om dat slim en efficiënt te doen. Beter, sneller en goedkoper.

Een 'must have' voor iedereen die een NEN, ISO of IASE certificaat heeft of nog wil halen.

Een stevig verheela over managementsysteem
Download gratis uw persoonlijke exemplaar

SmartManSys

Meer weten? Neem dan contact met ons op!