Interne Audits zijn een verplicht onderdeel bij de meeste certificeringen. En natuurlijk is het buiten een certificering om ook goed om je processen intern te beoordelen. Nu kun je ervoor kiezen om deze interne audits zelf uit te voeren, of je laat je begeleiden door een onafhankelijke professional. Natuurlijk bespaar je out-of-pocket kosten als je dit zelf doet, maar onze ervaring leert dat je vaak beter af bent met wat externe hulp. We gaan hier wat dieper op in, om je uit te leggen waarom wij pleiten voor een interne audit met externe hulp.
Om te beginnen: een interne audit heeft een heel andere insteek als een externe audit. Bij een externe audit (door een onafhankelijke partij) wordt getoetst of je organisatie voldoet aan vooraf bepaalde criteria. Bij een interne audit leer je vooral waar mogelijke kansen en/of tekortkomingen liggen voor jouw organisatie. Natuurlijk met de kaders van een certificering in gedachten, maar de nadruk ligt hier veel meer op het begrijpen waaróm deze certificering zo belangrijk is voor je organisatie. Het stelt je namelijk in staat om zwakke plekken in je organisatie te identificeren om te gaan verbeteren. Daarbij is het een instrument voor de directie om onderdelen te toetsen die belangrijk voor hen zijn of waar ze zich zorgen over maken (los van de norm). Zo ga je van sec voldoen aan de norm naar een cultuur van verbeteren en gaat een norm veel meer leven, dan wanneer het simpelweg een eis is van een opdrachtgever.
Interne audit zelf doen of uitbesteden?
Er is wat voor te zeggen om een interne audit zelf te doen. Je wordt gedwongen om met andere ogen naar je organisatie te kijken. Maar het vraagt nogal wat capaciteit om interne audits zelf te doen. En dan hebben we het niet alleen over tijd, maar ook deskundigheid. Naast capaciteit en deskundigheid, moeten we natuurlijk borgen dat een interne audit onpartijdig en objectief wordt uitgevoerd. De praktijk leert dat dit in realiteit, met name bij kleinere organisaties, lastig te bewerkstelligen is.
Scope en deskundigheid
De gewenste certificering bepaalt de omvang van de interne audit. Bij de ISO 9001 is dat bijvoorbeeld kwaliteit en bij ISO 27001 is dat informatiebeveiliging. Welke norm je ook kiest, het is belangrijk dat wordt geïnventariseerd waar de voornaamste risico’s en aandachtsgebieden liggen in jouw bedrijfsvoering. Dit beoordeel je op basis van je eigen kennis en ervaring of misschien met behulp van eerder uitgevoerde audits. En hier ligt direct een risico, want de meeste mensen die worden belast met de taak om de certificering op zich te nemen, zijn hier niet dagelijks mee bezig en/of niet inhoudelijk deskundig. Dat betekent dat het vertrekpunt al niet optimaal is. Het verloop van de audit is hier sterk van afhankelijk en daarmee is dit een punt om goed over na te denken.
Mensen en vragen
Als medewerker die belast is met de certificering ken je de organisatie beter dan elke externe partij. De mensen in de organisatie worden betrokken en uitgevraagd over hun aandeel in de scope van de certificering. Voor ISO 27001 is dat bijvoorbeeld informatiebeveiliging en voor ISO 9001 is dat kwaliteit. Beide onderwerpen raken veel facetten in de organisatie en elke afdeling heeft daar invloed op. Het opstellen van de juiste vragen is echter een vak apart. Hiervoor is diepgaande kennis van en ervaring met de normatiek nodig. Deze is doorgaans niet aanwezig in de organisatie, tenzij er een volwaardige afdeling Informatiebeveiliging cq Kwaliteit aanwezig is. Hier is een externe partner dus ook een waardevolle toevoeging.
Onafhankelijk uitvoeren en rapporteren
Nu alles gesteld staat, ben je klaar voor de interviews van de collega’s. Belangrijk voor de interviews bij de Interne Audits, is dat er geen oordeel wordt geveld. Ze kunnen niet falen bij het beantwoorden van de vragen. Alles is erop gericht om de organisatie beter te maken (en je hoeft niet ziek te zijn om beter te worden). Bij het beantwoorden van de vragen is het van belang dat er goed doorgevraagd wordt, om de juiste scherpte en diepgang in de antwoorden te krijgen. We willen immers dat er zoveel mogelijk boven water komt, als er een afwijking wordt geconstateerd. Hoe vollediger en scherper de antwoorden, hoe beter er maatregelen getroffen kunnen worden om de afwijking op te heffen. Toch merken we dat er onbedoeld druk kan komen te staan op een interview bij een interne audit. Anderzijds zien we dat onervaren interne auditoren het moeilijk vinden om het werk van hun collega’s te beoordelen. Er is geen onafhankelijkheid. Ook dit borg je alleen met externe hulp bij je interne audit.
De beste generale repetitie
Interne audit uitbesteden geeft gemoedsrust
Een interne audit is verplicht, dus daar kom je niet onderuit. Maar het levert ook veel op voor de organisatie. Meer grip op processen en een structuur waarin verbetering centraal staat. Toch zijn er wat mogelijke pijnpunten; het kost tijd, veroorzaakt soms onrust en het ontbreekt bij veel organisaties aan deskundigheid en onpartijdigheid. Als deze pijnpunten in jouw organisatie een probleem dreigen te vormen, adviseren wij om altijd externe hulp in te schakelen. Zo wordt het proces van certificering veel prettiger en dit zorgt voor meer betrokkenheid in de organisatie.
