Heeft jouw organisatie ook te maken met de jaarlijkse audit-hectiek? Met een pre-audit voorkom je stress en ga je lekker ontspannen de audit in.
Kenmerkend voor de maand april is de audit-hectiek. De eindsprint voor het indienen van de volledige verantwoording, ondertekening door College en de audit is ieder jaar weer een terugkerend circus. De ENSIA-audit wordt vaak gezien als een verplicht nummer om aan te tonen dat je als gemeente voldoet aan de normen. Dit in tegenstelling tot waar de ENSIA-audit oorspronkelijk voor bedoeld is: het instrument om de informatieveiligheid te verbeteren.
Bovendien ervaren veel organisaties de audit als een exercitie die niet alleen veel tijd nodig heeft, maar ook met de nodige tijdsdruk gepaard gaat. Wanneer jouw organisatie gebruikmaakt van een pre-audit creëer je niet alleen ruimte voor inzicht en verbetering, voorkom je onnodig werk en ben je in staat om de audit tijdig te kunnen indienen. Dat is nog eens ontspannen voorbereiding op de audit!
- Pre-audit: niet afvinken, maar waarborgen en verbeteren
Bij de pre-audit kijk je naar wat de gemeente gaat invullen in de zelfevaluatie. De beoordeling is op basis van welke argumenten de gemeente een vraag met ‘voldoet’ of ‘voldoet niet’ beantwoordt. Tijdens die beoordeling ga je als gemeente het gesprek aan met de auditor. Dit geeft je de mogelijkheid om inzichten uit te wisselen over het al dan niet voldoen aan een norm. Daarmee zorgt een pre-audit dat het verbeteren en waarborgen van de informatieveiligheid als gemeente centraal blijft staan in plaats van de focus te leggen op het ‘afvinken’ van de lijst met normen.
- Onnodig werk voorkomen
Een pre-audit geeft inzicht in wat nodig is om het auditdossier tijdig en compleet op orde te maken. Je voorkomt hiermee dat je in een later stadium verschil van inzicht krijgt met de auditor en vol in de sprint moet voor het op orde krijgen van bewijslast. Bij verschillende gemeenten kwam eind april bij het afsluiten van het verantwoordingsjaar naar voren dat een oordeel dat op 31 december gegeven was, alsnog moest worden heroverwogen. Heel vervelend, want dan moet je in de laatste fase voor het indienen van de audit nog veel werk verrichten met alle stress die daarbij komt om de deadline te halen. Ook resulteert dit in een verschil in het oordeel van 31 december en de collegeverklaring.
- Ontspannen ENSIA-audit planning
Een gemeente kan na het uitvoeren van een pre-audit vóór 31 december bij het indienen van de zelfevaluatie alle bewijsstukken voor de audit op orde hebben – op de collegeverklaring na. De collegeverklaring stel je dan direct in januari op en de audit kan je vanaf medio januari uitvoeren. Daardoor ontstaat er ‘lucht’ in de agenda voor de vaststelling door het college en kan je de stukken al in het eerste kwartaal van het nieuwe jaar indienen.
De toekomst van informatieveiligheid begint nu
De pre-audit geeft ruimte om verbeterpunten te signaleren en te benoemen. Daarmee kunnen gemeenten alvast een start maken met de volgende en derde fase van de audit na opzet en bestaan: de werking. In deze fase werk je over een langere periode aan de verbetercyclus. Zo wordt de ENSIA-audit nog meer een instrument voor continue verbetering. Een instrument voor de toekomst!
