Interne audit van ISO normen

Een periodieke interne audit aan de hand van een ISO norm zoals bijvoorbeeld de ISO 9001 of ISO 27001, is noodzakelijk voor het voldoen aan deze normen en biedt het management inzicht in de effectiviteit en kwaliteit van lopende bedrijfsprocessen en activiteiten.
 
Om de correcte uitvoering van het opgestelde beleid te waarborgen wordt de toepassing hiervan minimaal één keer per jaar gecontroleerd door een interne audit en wordt daarnaast de werking van het managementsysteem ook getoetst aan de norm door middel van een externe audit.

Wat is een interne audit?

Een interne audit is een controle vanuit de eigen organisatie dat wordt uitgevoerd om het beleid en maatregelen te toetsen aan de norm en eventuele tekortkomingen, of afwijkingen, te identificeren en op te lossen. Het jaarlijks uitvoeren van een interne audit is verplicht wanneer je als bedrijf gecertificeerd bent voor bijvoorbeeld de ISO 9001 norm.

Tijdens een interne audit worden verschillende onderdelen van het beleid getoetst waarbij geldt dat:

• Elk onderdeel minimaal één keer per drie jaar getoetst wordt;
• Belangrijke of risicovolle onderdelen - afhankelijk van de organisatie - minimaal één keer per jaar getoetst worden;

Tijdens een demo van Base27 is het mogelijk een voorbeeld interne audit door te lopen. Dit geeft je inzicht in de uitwerking van het plannen van de audit tot aan het rapporteren aan het management. 

Wat is het doel van een interne audit?

Het doel van een interne audit is om te toetsen of het beleid voldoet aan de eisen die zijn bepaald door de organisatie zelf en of er voldaan wordt aan de eisen van de betreffende ISO norm of normen.

Verder is een interne audit ook een middel om bevindingen en afwijkingen vast te stellen en middels aanvullende maatregelen verbetering van de beveiliging/kwaliteit van interne processen en activiteiten te realiseren. 

Door wie wordt een interne audit uitgevoerd? 

Een interne audit moet worden uitgevoerd door onafhankelijke en onbevooroordeelde personen binnen de organisatie. Het is van essentieel belang dat deze medewerkers hun werk onafhankelijk kunnen doen; zij moeten immers mogelijke fouten/misstanden identificeren en kunnen melden zonder gevolgen voor hun positie binnen de organisatie.

Om die reden wordt de interne audit ook vaak uitgevoerd via extern ingehuurde partijen. Naast onafhankelijkheid is een bijkomend voordeel dat dergelijke adviseurs doorgaans gespecialiseerd zijn en over actuele kennis en ontwikkelingen van het vakgebied beschikken.

Het toetsen van het beleid en activiteiten van de organisatie en het daarbij opstellen van bevindingen en maatregelen eist namelijk wel enige expertise en ervaring. 

Hoe wordt een interne audit uitgevoerd?

Tijdens een interne audit worden onderdelen getoetst met betrekking tot onder andere het managementsysteem, het beleid, de processen, de competentie en bewustzijn van personen en beheersmaatregelen. Deze en andere onderdelen worden vastgelegd in een auditrapportage.

Afbeelding Base27 Auditprogramma

Een interne audit wordt met een aantal stappen vormgegeven:

1. Programma: Planning van alle interne (en eventueel externe) audits.
2. Audits uitvoeren: Voer audits uit en leg bevindingen vast.
3. Bevindingen: Werk bevindingen uit (geef argumentatie en informatie omtrent bewijs/achtergrond) en stel eventueel maatregelen voor.
4. Rapportages: Rapporteer aan het management.

Allereerst wordt de uitvoering van de interne audits gepland door het opstellen van 
(herhalende) audit plannen en deze toe te wijzen. Hierbij wordt onder andere bepaald welke onderdelen gecontroleerd gaan worden. Welke vragen en onderdelen daar precies op staan is per proces en audit verschillend.

Enkele van deze onderdelen kunnen bijvoorbeeld zijn:

• Inzicht in de organisatie en haar context (4.1)
• Acties om risico’s en kansen op te pakken (6.1)
• Doelstellingen en de planning om ze te bereiken (6.2)
• Middelen (7.1)
• Beheersing van gedocumenteerde informatie (7.5.3)
• Operationele planning en beheersing (8.1)

Bij het plannen wordt gebruik gemaakt van het normenkader en wordt ervoor gezorgd dat alle onderdelen periodiek (en minimaal één keer per drie jaar) geaudit worden. De volgende parameters worden hiermee in overweging genomen:

• het gerelateerde risico.
• omvang / complexiteit van het gerelateerde proces.
• verstreken tijd sinds de vorige audit.

Naarmate deze parameters qua impact toenemen, neemt ook de urgentie voor het uitvoeren van een interne audit toe.

De interne audits worden uitgevoerd volgens de planning. 

Afbeelding Base27 Overzicht van bevindingen

Vervolgens worden de bevindingen van de audits verder uitgewerkt. Hierbij wordt er onderbouwing gegeven. 

Bij het opvoeren van de bevindingen worden deze ook geclassificeerd, bijvoorbeeld als volgt:

• OK: er is geen afwijking geconstateerd, het beleid / de beheersmaatregel wordt effectief toegepast.
• Kwetsbaarheid: er is geen afwijking geconstateerd maar er is wel een nieuwe kwetsbaarheid (mogelijk risico) geconstateerd waarvoor mogelijk nieuwe of aangepaste (beheers)maatregelen dienen te worden genomen.
• Kleine afwijking: er is een afwijking met betrekking tot de beheersmaatregel maar deze is nog steeds effectief.
• Grote afwijking: er is een grote afwijking met betrekking tot de beheersmaatregel en deze is niet (meer) effectief.
• Mogelijke verbetering: er is geen afwijking geconstateerd, maar er is een efficiency-verbetering mogelijk door het toepassen van een nieuwe of aangepaste (beheers)maatregel.

Afbeelding Base27 Audit Managementrapportages

Tot slot wordt de interne audit afgesloten na het registreren van alle bevindingen en wordt een nieuwe audit gepland voor de volgende periode. De uitgevoerde interne audit en bijbehorende bevindingen (en eventueel voorgestelde maatregelen) worden gerapporteerd aan het management. 

Met een ISMS tool als Base27 is eenvoudig opvolging te geven aan de hand van geautomatiseerde rapportages.

Welke resultaten levert een interne audit op?

Gedurende de audit wordt getoetst in hoeverre de organisatie het vastgestelde beleid opvolgt. Hiertoe worden het beleid en maatregelen getoetst en worden de resultaten van de monitoring/meting bekeken. Afwijkingen worden in de auditrapportage opgenomen.

Resultaten die een interne audit opleveren zijn onder andere:

• Compliance van eisen gesteld door de betreffende norm.
• Inzicht in de beheersing van risico’s.
• Effectiviteit van (beheers)maatregelen.
• Indicatie van volwassenheid van processen.
• Zicht op verbeterpunten voor beveiliging en interne processen en activiteiten. 

Resultaten van de audits worden gerapporteerd aan het management. Zij beoordelen de resultaten en initiëren vervolgacties om afwijkingen op te lossen en de efficiëntie te verbeteren alsook voorkoming van incidenten / herhaling van de afwijking.

Hierbij dient er per bevinding een oorzaak- en gevolg analyse uitgevoerd te worden die inzicht geeft in de te nemen maatregelen / aanpassingen die het onderliggende probleem daadwerkelijk en volledig oplossen.

Voorbeeld interne audit

Het plannen en uitvoeren van een interne audit wordt met een ISMS tool als Base27 eenvoudiger en overzichtelijker. 

Tijdens een demo van Base27 is het mogelijk een voorbeeld interne audit door te lopen. Dit geeft je inzicht in de uitwerking van het plannen van de audit tot aan het rapporteren aan het management.