Robin Beiler – Managing Consultant
Een interne audit. ‘Wat is het en waarom moeten we die doen?’ Een terechte vraag. Een stapje terug naar de basisgedachte achter een NEN of ISO norm, lees: uw managementsysteem. Het is opgezet om op verschillende onderwerpen te willen werken volgens een bepaalde standaard. Bijvoorbeeld kwaliteit (ISO 9001), Privacy (AVG) of Informatiebeveiliging (ISO 27001 en NEN 7510). De onderliggende normen zijn het hulpmiddel om te bepalen waar u als organisatie de lat legt.
Onder elke NEN of ISO norm ligt het principe van Plan-Do-Check-Act. Een continue cirkel van bepalen, doen, leren en verbeteren. Plan en Do heeft u al gedaan. Dat was bij het opzetten van het managementsysteem. Waarbij u vastgelegd heeft hoe u gaat werken om de gewenste kwaliteit te bereiken. Tot zover is het nog papier. Waarvan we weten dat dat heel geduldig kan zijn. Waar het om draait is de praktijk. Werkt uw organisatie ook zoals het op papier bedoeld is?
Dat moet u met enige regelmaat toetsen. De Check doet o.a. u met een interne audit. U gaat na waar de afwijkingen ten aanzien van het ideale plaatje liggen. Daar waar er verschillen zijn stuurt u bij (de Act) om te zorgen dat alles weer gaat zoals bedoeld. Alles met het doel om als organisatie stap voor stap beter te worden en dat niveau vast te houden. Hoe u een goede interne audit uitvoert leggen we uit.
Het doel van de interne audit is om als organisatie beter te worden. Een goede interne audit kan alleen als u voldoende onafhankelijk, scherp en eerlijk durft te zijn. Over hoe het gaat en wat er nodig is om te verbeteren. Het is zeker geen beoordeling en de bedoeling om de personen in kwestie ‘de maat te nemen’.
Toch kan dat vervelende en ongemakkelijke situaties opleveren. U bent als interne auditor vaak een van de collega’s en niet hun leidinggevende. Wat vaak goed werkt is vooraf aangeven wat het doel en de opzet is. Ook dat u de scherpte zult opzoeken en dat ze dat niet persoonlijk moeten opvatten. Vertel ook wat er met hun antwoorden en bevindingen gedaan wordt en of de antwoorden al dan niet anoniem zijn.
Of te wel: geen woorden maar daden. Niet alleen intern maar dat geldt ook voor de externe auditor. Die zal met enige regelmaat langskomen om als onafhankelijke derde te bepalen of uw organisatie werkt volgens de uitgangspunten van uw managementsysteem. En als dat zo is, waar we vanuit gaan, dan levert dat een succesvolle externe audit en daarmee verlenging van uw certificering op.
Een externe audit duurt doorgaans een paar dagen. In die relatief korte tijd kan de externe auditor nooit uw hele organisatie beoordelen. Hij of zij zal daarom ook stevig ‘leunen’ op uw interne audits. Inderdaad, u begrijpt het al. Hoe beter die zijn, hoe meer vertrouwen uw auditor krijgt, wat een positieve afloop bespoedigd.
‘Beter’, wat is dat dan? Goed betekent niet letterlijk goed. Goed betekent grip, controle en geen verrassingen. Als u de risico’s en afwijkingen goed in kaart hebt en daar de juiste maatregelen op heeft genomen dan is dat een belangrijk fundament. Voor de zaken die u heeft verbeterd en opgelost is het belangrijk dat u dat zo concreet mogelijk vastlegt. Inclusief de acties, afspraken en opvolging daarvan. Don’t tell it – Show it!
De interne audit is dus een verplicht instrument. Zowel voor het behalen van uw certificaat als voor het onderhoud van uw managementsysteem. Dat is de formele kant. Veel organisaties zien dat het meer is dan dat. Voor hen is de interne audit een manier om de kwaliteit en prestatie van de organisatie naar een hoger niveau te tillen. Wat resulteert in minder fouten, minder kosten, medewerkers die zich meer betrokken voelen en niet in de laatste plaats meer en vooral tevreden klanten.
Hoe een ogenschijnlijk simpele vragenlijst bijzonder veel verschil en impact kan maken.
Wilt u meer weten over de uitvoering van een Interne Audit of zoekt u een onafhankelijke partij die veel ervaring heeft met het uitvoeren van Interne Audits? Neem dan contact met ons op!
Blog geschreven door Robin Beiler, Managing Consultant.
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP