Voor veel processen en andere zaken in de bedrijfsvoering bestaan normenkaders. Denk bv. aan ISO 9001 (kwaliteitsmanagement) en ISO 27001 (informatiebeveiliging in het algemeen). Zo’n normenkader beschrijft wat je moet doen om een bepaald thema goed te beheersen.

Wil je of moet je voldoen aan een bepaald normenkader, dan schakel je een onafhankelijke partij in om te beoordelen of alles conform dat normenkader is beheerst: een auditor. Als alles perfect op orde is gaat dat meestal heel soepel. Maar als dat misschien nog niet zo is, wat kun je dan verwachten van een auditor? Dat hangt ervan af: de ene auditor is de andere niet.

Hoe werkt een auditor?

Een auditor zal in de regel bij alle onderdelen van de betreffende norm vragen stellen zoals:

  • Hoe is dit ingericht?
  • Wie is hiervoor verantwoordelijk?
  • Welke eigen eisen stellen jullie?
  • Welke documentatie is er?
  • Hoe toon je aan dat alles/iedereen werkt zoals beschreven?

Op basis van geleverde documentatie en interviews met belanghebbenden, zal de auditor zich een oordeel vormen over elk onderdeel.

Wat kun je verwachten van een auditor?

Natuurlijk zal de auditor exact beschrijven welke documenten die heeft gekregen en met wie die heeft gesproken. Ook zal die per onderdeel van de norm aangeven in hoeverre daaraan wordt voldaan. Daarbij maakt die gebruik van specifieke richtlijnen om een goede audit uit te voeren. De auditor heeft gerichte trainingen gevolgd en een tijdje meegelopen met ervaren collega-auditors om het vak te leren. Daarmee moet betrouwbaarheid, zuiverheid en reproduceerbaarheid worden geborgd.

Hoe werkt dat in de praktijk?

Helaas is de praktijk weerbarstig. Problemen die kunnen optreden zijn onder meer:

  • De auditor heeft geen verstand van of affiniteit met de diensten die de organisatie levert. Gevolg: verkeerde interpretaties en inschattingen van het belang van of de inrichting van bepaalde onderdelen van de norm.
  • De auditor is vooral uit op het vinden van nonconformiteiten, niet op het vinden van bewijs voor een conforme inrichting en werking. Gevolg: “bevindingen” die eenvoudig weerlegd hadden kunnen worden als de auditor had doorgevraagd.
  • De auditor gaat zijn boekje te buiten, bv. door veel dieper in te gaan op randverschijnselen dan nodig: Gevolg: tijdverspilling en “bevindingen” waarvan de materialiteit op zijn minst twijfelachtig is.
  • De auditor is strenger dan de norm voorschrijft. Gevolg: “bevindingen” over details die niet te vinden zijn in de norm.
  • De auditor is niet streng genoeg. Gevolg: je krijgt ten onrechte het oordeel dat alles op orde is, waardoor noodzakelijke verbeteringen moeilijk te realiseren zijn.

Hoe ga je om met een auditor?

Het begint bij de selectie van een auditor. Ga alleen in zee met een auditor die bekend is met de branche van je organisatie en die daar eerder audits heeft uitgevoerd.

Probeer de attitude van de auditor te achterhalen. Is het een “klassieke” auditor die vooral zoekt naar de gaten in jouw invulling van de norm, of is het iemand die zijn best doet om bewijs te vinden dat je voldoet, ook als je zelf niet goed weet hoe je dat kan aantonen.

Van een auditor mag je verwachten dat die niet alleen meldt wat niet voldoet, maar daarbij ook aangeeft wat je moet doen om op niveau te komen. Hoe je dat doet, moet je zelf weten. Sta niet toe dat de auditor op jouw stoel gaat zitten.

Een auditor is ook maar een mens met zijn/haar eigen achtergrond, voorkeuren en interpretaties. Die kun je allemaal ter discussie stellen. Is een conclusie voor jou niet duidelijk genoeg gemotiveerd, confronteer de auditor dan met zijn eigen wapens. Stel dus vragen zoals: “waar staat in de norm dat het zo en zo moet?”, “waaruit blijkt dat xxx niet werkt conform de norm?”, “als ik je bewijsmateriaal yyy toon, verandert dat dan je oordeel?”. Kortom, daag de auditor uit om onbevooroordeeld en zuiver zijn werk te doen.

Als een audit enkel frustratie en irritatie oplevert, vraag je dan twee dingen af:

  • Kan ik hier nog iets positiefs uithalen, zoals een lijst van terechte verbeterpunten?
  • Zou het helpen als ik een andere auditor inschakel?

Realiseer je dat de bril waarmee jij zelf de wereld bekijkt ook gekleurd is. Je bent immers ook maar een mens. Niettemin, je kunt altijd beslissen om een audit te stoppen en/of een andere auditor te zoeken.

Conclusie

Een audit uitvoeren is een vak. Dat vraagt om vakkennis en ervaring. Een audit ondergaan is ook een vak. Dan helpt het als je iemand erbij hebt die ervaring heeft met de uitvoering of begeleiding van audits en waar nodig tegengas kan geven.

Een audit hoeft geen pijnlijke exercitie te zijn. Een goede voorbereiding is (veel meer dan) het halve werk.

Deel dit artikel met anderen
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Pin on Pinterest
Pinterest
Email this to someone
email
Print this page
Print

Erik is een expert op het gebied van informatiebeveiliging, privacy en risico-management. Hij heeft vele projecten gedaan op het gebied van informatiebeveiliging, IT-infrastructuur, risico-management, identity & access management en business continuity, waarbij hij de rol speelde van consultant, expert, auditor, projectleider, en security officer.