Leestijd: 4 minuten
Een interne audit kost tijd, vraagt aandacht en raakt de hele organisatie. Hoe groot de impact is, hangt af van hoe je het organiseert. En hoe goed je voorbereid bent. We schreven al eerder over het doen van een interne audit en waar een interne audit toe kan leiden: security- en compliancebevindingen – of beide.
Wat bepaalt de impact van een audit?
De impact wordt bepaald door drie dingen:
- De scope en inrichting van de organisatie
- De gekozen set aan maatregelen
- De mate waarin maatregelen vooraf getest zijn
Laten we ze stuk voor stuk doorlopen.
Scope en organisatiestructuur
ISO 27001 of NEN 7510-certificering geldt altijd binnen een bepaalde scope. Die scope bepaal je zelf: processen, locaties, producten. Bij de start van een audit – intern of extern – is die scope het uitgangspunt. Wat nemen we mee, wat niet? Waar kijken we precies naar?
Hoe scherper je dat afbakent, hoe gerichter de audit. Maar hoe complexer je organisatie is, hoe meer werk het wordt. Een organisatie met decentrale structuur is complexer. Maatregelen gelden dan op meerdere plekken. Meer mensen, meer interviews, meer werk.
Kortom: de juiste scope kiezen is geen administratieve stap, maar een strategische keuze die het hele auditproces bepaalt.
De set aan maatregelen
ISO-normen werken met een standaardset aan maatregelen. Die pas je toe of weerleg je gemotiveerd – ‘comply or explain’. Wat je toepast, leg je vast in de Verklaring van Toepassing.
Elke drie jaar moet je volledige scope zijn doorgelicht. Maar dat hoeft niet allemaal tegelijk. Audit wat risicovol is, vaker.
- Bij een softwarebedrijf: jaarlijks de ontwikkelprocessen.
- Bij een detacheerder: jaarlijks de HR-processen.
Zo richt je een auditplanning in die slim inspeelt op het belang van maatregelen.
Testen, testen, testen
Een audit zonder zelf uitgevoerde toetsing van maatregelen kan een hele grote impact hebben op de organisatie. Maar wat test je eigenlijk?
- De opzet van een maatregel
- Het bestaan ervan
- De effectiviteit
Normen als ISO 27001, NEN 7510, maar ook NIS2 of DORA, vragen allemaal toetsing. Maar de interpretatie verschilt. ISO kijkt anders naar effectiviteit dan bijvoorbeeld de financiële sector.
Duidelijkheid vooraf is cruciaal. Wat wil je aantonen? En hoe diep ga je?
Ons advies: test slim. “Test once, comply many.” Zo voorkom je dubbel werk. Zeker voor kleinere organisaties is dit essentieel. Als je met meerdere toezichthouders te maken hebt hoef je niet dezelfde maatregelen per toezichthouder te testen.
Wie te beperkt test, loopt risico’s. Zowel qua beveiliging, als ook qua auditimpact. Goed georganiseerde, gedocumenteerde en bewezen maatregelen maken audits soepeler en effectiever, maar waarschuwen het bestuur ook eerder over risico’s.
Hoe maak je afspraken over de audit?
Een auditor begint met een auditplan. Hierin staat wat onderzocht wordt – en wat niet, wie daarvoor nodig is en volgens welke schaal bevindingen worden ingeschat.
Het plan is gebaseerd op jouw intern vastgestelde auditplanning en auditprogramma.
Scope en diepgang bepalen uiteindelijk:
- De tijd die nodig is
- Het aantal interviews
- De hoeveelheid bewijs
- En dus: de kosten
Zijn keuzes niet helder? Of blijkt tijdens de uitvoering dat aanpassing nodig is? Geen probleem. In goed overleg kan de planning worden bijgesteld.
Hoe zorg je voor een betrouwbare uitkomst?
Een audit legt bloot wat niet goed gaat. Dat is precies de bedoeling.
- Beleidsregels die niet worden gevolgd
- Informatie die onvoldoende is beschermd
- Afspraken die niet worden nagekomen
Confronterend? Soms. Maar ook noodzakelijk.
Een audit doe je om te verbeteren. Het bestuur heeft recht op een eerlijk beeld. Wat er misgaat, moet boven tafel komen. Zonder filter. Daarom is goed opdrachtgeverschap cruciaal. Geen verdraaiing van uitkomsten. Geen rapporten die blijven liggen vanwege interne belangen.
Bij Beyond Ideas rapporteren we direct aan het bestuur. Zo houd je de lijn zuiver. En is de uitkomst bruikbaar – voor actie én voor certificering.
