Snel naar content
Audit Checklist

Een audit is veel meer dan het invullen van een checklist

Het uitvoeren van een audit is een belangrijk instrument in het beheersen van processen. Een audit is meer dan vinkjes zetten op een checklist. Het uitvoeren van een audit begint met het inzicht krijgen in de processen en bijbehorende werkzaamheden. Wordt er gewerkt volgens de gemaakte afspraken? Zijn er verbeteringen mogelijk? Een audit uitvoeren helpt om dit inzicht te verkrijgen.

Wat is een audit?

Het woord audit is een afgeleide van het Latijnse woord “audire” en betekent “om te horen”. Een audit is een systematisch en onafhankelijk onderzoek uitgevoerd door een auditor. Op basis van vragenlijsten, checklists en gesprekken met medewerkers bepaalt een auditor of de gang van zaken binnen een bedrijf overeenkomt met de normen, standaarden of doelen die op papier staan. De uitkomsten van een audit worden vastgelegd in een auditrapport. 

Audits kunnen zich richten op een complete organisatie, maar bijvoorbeeld ook op een specifiek proces binnen een onderneming. Een audit van een accountant richt zich bijvoorbeeld op het controleren van verantwoordingsstukken zoals jaarrekeningen, subsidieaanvragen of rapportages. De audits van een IT-auditor richten zich op informatiebeveiliging, beheersing van IT en de afstemming tussen bedrijfsprocessen en ICT.

Aan de hand van diverse checklists en vragenlijsten kijkt men naar de huidige situatie en de gewenste situatie. Waarbij afwijkingen en bevindingen gerapporteerd worden aan het management van de organisatie.

Lees ook:
Met LIAS ISMS krijg je als gemeente informatieveiligheid en privacy op orde

Welke soorten audits zijn er?

In de basis zijn audits in twee categorieën in te delen, namelijk:

  1. De interne audit;
  2. De externe audit.

De interne audit

Een interne audit is vaak een onderzoek binnen de eigen organisatie naar het goed en betrouwbaar functioneren van de organisatie. Eén of meerdere bedrijfsprocessen worden dan gecontroleerd. Vaak worden processen eerst intern gecontroleerd voordat een externe auditor deze onderzoekt. Het voordeel hiervan is dat het management de kans geboden wordt om tekortkomingen in de overzichten te identificeren en op te lossen voordat deze door externe auditors beoordeeld worden.

Bij interne audits kun je nog onderscheid maken in de volgende audits:

  • Systeem audit: toetsen of een organisatie voldoet aan eisen die worden gesteld in een bepaalde norm, ook wel complice audit genoemd.
  • Proces audit: toetsen van een (bepaald) bedrijfsproces.
  • Product audit: toetsen of het geleverde product voldoet aan kwaliteitseisen.

De externe audit

Dit type audit wordt uitgevoerd door een onafhankelijke auditor van een externe partij. Bij externe audits is het doel vaak om een toetsing uit te voeren om aantoonbaar te maken of een organisatie voldoet aan bepaalde kwaliteitseisen rondom procedures of wetgeving.

Externe audits stellen belanghebbenden vanwege het onafhankelijke karakter daarom beter in staat om beslissingen te nemen met betrekking tot de gecontroleerde onderneming. Een ander voordeel van het inzetten van externe auditoren ten opzichte van interne auditoren is dat zij open en eerlijk kunnen zijn zonder dat dit van invloed is op de dagelijkse werkrelaties binnen een bedrijf.

Lees ook:
De 12 meest gestelde vragen bij een audit

Wat zijn de taken van een auditor?

Een auditor geeft een onafhankelijk en objectief oordeel of er aan de normen wordt voldaan. Deze normen kunnen interne afspraken zijn, maar ook normenkaders zoals de ISO27001, ENSIA, Suwinet, DigiD, Wpg en VIPP. De auditor voert een onderzoek uit binnen een organisatie naar het juist en betrouwbaar functioneren van de organisatie.

Een audit wordt altijd uitgevoerd in opdracht van het management. Het auditproces is samen te vatten in vier onderwerpen:

  • Auditplanning;
  • Kick-Off Meeting;
  • Uitvoeren audit;
  • Rapporteren.

Auditplan

Alle relevante aspecten van een audit worden in een auditplan vastgelegd en met de audittee (de getoetste organisatie) afgestemd zodat vooraf duidelijk is wat onderzocht wordt en op basis van welke criteria. Daarnaast legt men vast hoe en wanneer gerapporteerd en in welke taal. Ook de auditplanning wordt hier vastgelegd. Audits gaan vaak over specifieke processen of onderwerpen. Het is daarom belangrijk om een auditplan op te stellen zodat de audit gestructureerd en planmatig verloopt.

Auditplanning

Een auditplanning begint met het bekijken welke onderwerpen er getoetst moeten worden en door wie deze onderwerpen getoetst moeten worden. Het is belangrijk om van tevoren goed na te denken over het doel van de audit. De ene audit is namelijk de andere niet!

Het doel van de audit kan te maken hebben met de betrouwbaarheid van een verklaring (bijvoorbeeld de collegeverklaring binnen ENSIA), maar ook het doorlichten van processen ten aanzien van een normenkader (bijvoorbeeld tijdens een Wpg-audit).

Kick-Off Meeting

Bij de start van de auditwerkzaamheden is het goed om een kick-off meeting te plannen. Een kick-off meeting is vaak het eerste formele contact tussen het auditteam en de audittee(s). Tijdens een kick-off wordt met de audittee besproken:

  • Wat is het doel van de audit?
  • Welke onderwerpen er getoetst gaan worden?
  • Tegen welke richtlijnen gaan deze onderwerpen getoetst worden?
  • Zijn er bijzonderheden t.a.v. de planning waar rekening mee moet worden gehouden?

Een kick-off meeting is erg belangrijk om iedereen hetzelfde begrip te geven van het doel en de werkwijze van de audit.

Het uitvoeren van de audit

De kick-off meeting is achter de rug en het duurt nog enkele weken tot daadwerkelijk gestart wordt met de audit. De audittee is druk met het verzamelen van bewijsmateriaal, maar ook voor de auditor zijn er nog een aantal stappen te zetten.

Tijdens de kick-off meeting zijn op hoofdlijnen de richtlijnen besproken die getoetst gaan worden, de auditor vertaald deze richtlijnen naar een concreet controleprogramma welke als handreiking fungeert tijdens de audit. Ook zal de tijd tussen de kick-off en de dag(en) met de audittee worden gebruikt om alvast in te lezen in de procesdocumentatie en andere bewijsstukken.

En dan is het moment daar. De dag dat de audit gaat beginnen. De auditor heeft als taak om een onafhankelijk oordeel te geven. Om dit oordeel te kunnen geven gebruikt de auditor een aantal onderzoekstechnieken:

  • Interviewen van de bij het proces betrokken medewerkers;
  • Observeren van informatiesystemen;
  • Inspecteren van procesdocumentatie;
  • Opnieuw uitvoeren van procescontroles.

Een auditor moet bij elk bewijsstuk vaststellen dat het bewijsmateriaal wat hij krijgt relevant is. Dit doet hij door:

  • Vast te stellen of het bewijsmateriaal actueel is;
    Past het binnen de onderzoeksperiode?
  • Vast te stellen of het bewijsmateriaal formeel is vastgelegd;
    Heeft het management akkoord gegeven op deze werkwijze?
  • Vast te stellen of het bewijsmateriaal volledig is;
    Zijn alle aspecten benoemd die verwacht worden?
  • Vast te stellen of het bewijsmateriaal het onderliggende risico van de gemaakte afspraken afdekt;
    Voegt dit bewijsmateriaal iets toe in relatie tot de gemaakte afspraken?

Al deze onderzoekstechnieken worden ingezet om te bepalen of het bewijsmateriaal relevant is en of er aan de gemaakte afspraken wordt voldaan.

Rapporteren

Alle resultaten worden gerapporteerd aan het management, zowel de zaken die geheel voldoen aan de afspraken als de verbeterpunten. De verbeterpunten worden door een auditor beschreven in relatie tot een vereiste uit de normen of de interne afspraken en wordt ondersteund door bewijs. De auditor omschrijft wat, waarop en waarom nog niet geheel wordt voldaan aan de gemaakte afspraken.

Lees ook:
Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Auditen is een vak

Auditen is omwille van alle factoren die hierbij komen kijken dus veel meer dan “vinkjes zetten”. De ene audit is niet de andere. Er is een grote variatie in doelen die voor een audit kunnen worden bedacht. En bij het uitvoeren van een audit kunnen verschillende controledoelstellingen per te auditen onderwerp worden geformuleerd om de benodigde auditwerkzaamheden te kunnen bepalen.

Een checklist kan een handig hulpmiddel zijn voor een auditor om te gebruiken tijdens het uitvoeren van een audit, omdat het kan helpen om ervoor te zorgen dat alle belangrijke aspecten van de audit worden gedekt en dat geen enkel aspecten wordt overgeslagen. Het invullen van een checklist alleen is echter niet voldoende om een effectieve audit uit te voeren.

Een effectieve auditor moet in staat zijn om de bredere context te begrijpen en alle relevante factoren te evalueren om een gedegen beoordeling te kunnen maken. Een goed uitgevoerde audit heeft als voordelen:

  • Het bieden van inzichten om processen te optimaliseren en zo te voldoen aan interne afspraken en/of externe normenkaders;
  • Het in kaart brengen van risico’s voordat er afwijkingen, incidenten of andere ongewenste bewegingen ontstaan;
  • Het verzamelen van concrete verbetermogelijkheden waardoor gerichte verbeteringen mogelijk zijn;
  • Een objectieve, onafhankelijke weergave van de effectiviteit van (nieuwe) beheersprocessen.

Wil je meer weten?

Wil je meer weten over het uitvoeren van een audit door Inergy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Jorick van Dooremolen
Jorick van Dooremolen

IT-auditor

Jorick heeft al enige tijd auditervaring met onderander de volgende audits: de ENSIA, Suwinet, DigiD en de VIPP. Hij is sinds 2022 bij Inergy werkzaam.

Meer berichten

Alle berichten

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

De wereld van data analytics is in rep en roer. De reden? Microsoft Fabric. Dit splinternieuwe data analytics platform brengt alle losse analytics tools van Microsoft samen. Veel specialisten experimenteren ermee, maar heeft iemand het platform al bij een klant geïmplementeerd? Wij wel! In dit blog vertelt Merijn wat hij van de implementatie van Microsoft Fabric heeft geleerd.

Lees verder

Veilig (online) de vakantie door

Veilig (online) de vakantie door

Ga je binnenkort op vakantie? Een heerlijk tijd van ontspanning en plezier, maar volgens onze informatieveiligheid experts ook een periode...

Lees verder

Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

Voor cybercriminelen was 2023 een goed jaar. Online dreigingen zijn alleen maar toegenomen en het aantal aanvallen is opnieuw nog...

Lees verder