Het uitvoeren van een audit is een belangrijk instrument in het beheersen van processen. Een audit is meer dan vinkjes zetten op een checklist. Het uitvoeren van een audit begint met het inzicht krijgen in de processen en bijbehorende werkzaamheden. Wordt er gewerkt volgens de gemaakte afspraken? Zijn er verbeteringen mogelijk? Een audit uitvoeren helpt om dit inzicht te verkrijgen.
Wat is een audit?
Het woord audit is een afgeleide van het Latijnse woord “audire” en betekent “om te horen”. Een audit is een systematisch en onafhankelijk onderzoek uitgevoerd door een auditor. Op basis van vragenlijsten, checklists en gesprekken met medewerkers bepaalt een auditor of de gang van zaken binnen een bedrijf overeenkomt met de normen, standaarden of doelen die op papier staan. De uitkomsten van een audit worden vastgelegd in een auditrapport.
Audits kunnen zich richten op een complete organisatie, maar bijvoorbeeld ook op een specifiek proces binnen een onderneming. Een audit van een accountant richt zich bijvoorbeeld op het controleren van verantwoordingsstukken zoals jaarrekeningen, subsidieaanvragen of rapportages. De audits van een IT-auditor richten zich op informatiebeveiliging, beheersing van IT en de afstemming tussen bedrijfsprocessen en ICT.
Aan de hand van diverse checklists en vragenlijsten kijkt men naar de huidige situatie en de gewenste situatie. Waarbij afwijkingen en bevindingen gerapporteerd worden aan het management van de organisatie.
Lees ook:
Met LIAS ISMS krijg je als gemeente informatieveiligheid en privacy op orde
Welke soorten audits zijn er?
In de basis zijn audits in twee categorieën in te delen, namelijk:
- De interne audit;
- De externe audit.
De interne audit
Een interne audit is vaak een onderzoek binnen de eigen organisatie naar het goed en betrouwbaar functioneren van de organisatie. Eén of meerdere bedrijfsprocessen worden dan gecontroleerd. Vaak worden processen eerst intern gecontroleerd voordat een externe auditor deze onderzoekt. Het voordeel hiervan is dat het management de kans geboden wordt om tekortkomingen in de overzichten te identificeren en op te lossen voordat deze door externe auditors beoordeeld worden.
Bij interne audits kun je nog onderscheid maken in de volgende audits:
- Systeem audit: toetsen of een organisatie voldoet aan eisen die worden gesteld in een bepaalde norm, ook wel complice audit genoemd.
- Proces audit: toetsen van een (bepaald) bedrijfsproces.
- Product audit: toetsen of het geleverde product voldoet aan kwaliteitseisen.
De externe audit
Dit type audit wordt uitgevoerd door een onafhankelijke auditor van een externe partij. Bij externe audits is het doel vaak om een toetsing uit te voeren om aantoonbaar te maken of een organisatie voldoet aan bepaalde kwaliteitseisen rondom procedures of wetgeving.
Externe audits stellen belanghebbenden vanwege het onafhankelijke karakter daarom beter in staat om beslissingen te nemen met betrekking tot de gecontroleerde onderneming. Een ander voordeel van het inzetten van externe auditoren ten opzichte van interne auditoren is dat zij open en eerlijk kunnen zijn zonder dat dit van invloed is op de dagelijkse werkrelaties binnen een bedrijf.
Wat zijn de taken van een auditor?
Een auditor geeft een onafhankelijk en objectief oordeel of er aan de normen wordt voldaan. Deze normen kunnen interne afspraken zijn, maar ook normenkaders zoals de ISO27001, ENSIA, Suwinet, DigiD, Wpg en VIPP. De auditor voert een onderzoek uit binnen een organisatie naar het juist en betrouwbaar functioneren van de organisatie.
Een audit wordt altijd uitgevoerd in opdracht van het management. Het auditproces is samen te vatten in vier onderwerpen:
- Auditplanning;
- Kick-Off Meeting;
- Uitvoeren audit;
- Rapporteren.
Auditplan
Alle relevante aspecten van een audit worden in een auditplan vastgelegd en met de audittee (de getoetste organisatie) afgestemd zodat vooraf duidelijk is wat onderzocht wordt en op basis van welke criteria. Daarnaast legt men vast hoe en wanneer gerapporteerd en in welke taal. Ook de auditplanning wordt hier vastgelegd. Audits gaan vaak over specifieke processen of onderwerpen. Het is daarom belangrijk om een auditplan op te stellen zodat de audit gestructureerd en planmatig verloopt.
Auditplanning
Een auditplanning begint met het bekijken welke onderwerpen er getoetst moeten worden en door wie deze onderwerpen getoetst moeten worden. Het is belangrijk om van tevoren goed na te denken over het doel van de audit. De ene audit is namelijk de andere niet!
Het doel van de audit kan te maken hebben met de betrouwbaarheid van een verklaring (bijvoorbeeld de collegeverklaring binnen ENSIA), maar ook het doorlichten van processen ten aanzien van een normenkader (bijvoorbeeld tijdens een Wpg-audit).
Kick-Off Meeting
Bij de start van de auditwerkzaamheden is het goed om een kick-off meeting te plannen. Een kick-off meeting is vaak het eerste formele contact tussen het auditteam en de audittee(s). Tijdens een kick-off wordt met de audittee besproken:
- Wat is het doel van de audit?
- Welke onderwerpen er getoetst gaan worden?
- Tegen welke richtlijnen gaan deze onderwerpen getoetst worden?
- Zijn er bijzonderheden t.a.v. de planning waar rekening mee moet worden gehouden?
Een kick-off meeting is erg belangrijk om iedereen hetzelfde begrip te geven van het doel en de werkwijze van de audit.
Het uitvoeren van de audit
De kick-off meeting is achter de rug en het duurt nog enkele weken tot daadwerkelijk gestart wordt met de audit. De audittee is druk met het verzamelen van bewijsmateriaal, maar ook voor de auditor zijn er nog een aantal stappen te zetten.
Tijdens de kick-off meeting zijn op hoofdlijnen de richtlijnen besproken die getoetst gaan worden, de auditor vertaald deze richtlijnen naar een concreet controleprogramma welke als handreiking fungeert tijdens de audit. Ook zal de tijd tussen de kick-off en de dag(en) met de audittee worden gebruikt om alvast in te lezen in de procesdocumentatie en andere bewijsstukken.
En dan is het moment daar. De dag dat de audit gaat beginnen. De auditor heeft als taak om een onafhankelijk oordeel te geven. Om dit oordeel te kunnen geven gebruikt de auditor een aantal onderzoekstechnieken:
- Interviewen van de bij het proces betrokken medewerkers;
- Observeren van informatiesystemen;
- Inspecteren van procesdocumentatie;
- Opnieuw uitvoeren van procescontroles.
Een auditor moet bij elk bewijsstuk vaststellen dat het bewijsmateriaal wat hij krijgt relevant is. Dit doet hij door:
- Vast te stellen of het bewijsmateriaal actueel is;
Past het binnen de onderzoeksperiode? - Vast te stellen of het bewijsmateriaal formeel is vastgelegd;
Heeft het management akkoord gegeven op deze werkwijze? - Vast te stellen of het bewijsmateriaal volledig is;
Zijn alle aspecten benoemd die verwacht worden? - Vast te stellen of het bewijsmateriaal het onderliggende risico van de gemaakte afspraken afdekt;
Voegt dit bewijsmateriaal iets toe in relatie tot de gemaakte afspraken?
Al deze onderzoekstechnieken worden ingezet om te bepalen of het bewijsmateriaal relevant is en of er aan de gemaakte afspraken wordt voldaan.
Rapporteren
Alle resultaten worden gerapporteerd aan het management, zowel de zaken die geheel voldoen aan de afspraken als de verbeterpunten. De verbeterpunten worden door een auditor beschreven in relatie tot een vereiste uit de normen of de interne afspraken en wordt ondersteund door bewijs. De auditor omschrijft wat, waarop en waarom nog niet geheel wordt voldaan aan de gemaakte afspraken.
Lees ook:
Dé valkuilen en tips voor de gemeentelijke ENSIA-audit
Auditen is een vak
Auditen is omwille van alle factoren die hierbij komen kijken dus veel meer dan “vinkjes zetten”. De ene audit is niet de andere. Er is een grote variatie in doelen die voor een audit kunnen worden bedacht. En bij het uitvoeren van een audit kunnen verschillende controledoelstellingen per te auditen onderwerp worden geformuleerd om de benodigde auditwerkzaamheden te kunnen bepalen.
Een checklist kan een handig hulpmiddel zijn voor een auditor om te gebruiken tijdens het uitvoeren van een audit, omdat het kan helpen om ervoor te zorgen dat alle belangrijke aspecten van de audit worden gedekt en dat geen enkel aspecten wordt overgeslagen. Het invullen van een checklist alleen is echter niet voldoende om een effectieve audit uit te voeren.
Een effectieve auditor moet in staat zijn om de bredere context te begrijpen en alle relevante factoren te evalueren om een gedegen beoordeling te kunnen maken. Een goed uitgevoerde audit heeft als voordelen:
- Het bieden van inzichten om processen te optimaliseren en zo te voldoen aan interne afspraken en/of externe normenkaders;
- Het in kaart brengen van risico’s voordat er afwijkingen, incidenten of andere ongewenste bewegingen ontstaan;
- Het verzamelen van concrete verbetermogelijkheden waardoor gerichte verbeteringen mogelijk zijn;
- Een objectieve, onafhankelijke weergave van de effectiviteit van (nieuwe) beheersprocessen.
Wil je meer weten?
Wil je meer weten over het uitvoeren van een audit door Inergy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.