ZBC Kennisbank

Interne audit belangrijker dan externe audit bij ISO 9001, ISO 27001 en NEN 7510

 

Wanneer je net een grote inspanning hebt geleverd om een managementsysteem in elkaar te timmeren, waarmee je gecertificeerd wilt worden, en vervolgens maatregelen hebt geïmplementeerd, dan wordt de interne audit uitgevoerd met in feite maar één doel: checken of je voldoet aan de eisen van ISO 9001, ISO 27001 en/of NEN 7510. Verbeteren is dan niet aan de orde.

Want waarschijnlijk is alles gebeurd onder tijdsdruk, omdat klanten of ketenpartners het certificaat eisten. En voor de externe audit moet de hele PDCA-cyclus nu eenmaal zijn doorlopen. Je hebt dan dus net een grote verbeterslag achter de rug met de PLAN-fase en de DO-fase. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’), de inkt van de risicoanalyse is net droog en de 114 maatregelen uit bijlage A zijn zeer kortgeleden helemaal doorlopen. En meestal kun je zeggen, dat de implementatie van het managementsysteem best mee viel. Want de organisatie was al in control en informatiebeveiliging was al goed geregeld. Het was dus al lang duidelijk dat het werkte. Dat kon alleen nog niet worden aangetoond. En dat kunnen aantonen was eigenlijk waar het om ging.

De eerste interne audit

Zoals gezegd is de eerste interne audit voor kleinere dienstverlenende organisaties dus eigenlijk slechts gericht op het halen van de certificeringsaudit. Die interne audit levert een stukje bewijs waarmee je aantoont dat je in control bent. Je wijst hiervoor uiteraard een interne auditor aan, die netjes het opgestelde auditprogramma afwerkt. Doorgaans echter weet hij de antwoorden al op zijn vragen en kent hij ook reeds de bewijzen van naleving. 
Het standaard auditprogramma bestaat waarschijnlijk uit de volgende issues:

  1. een beoordeling of het ISMS werkt (hoofdstuk 4 t/m 10 van de norm);
  2. een beoordeling of de operationele planning adequaat is uitgevoerd;
  3. voortgang verbeterplan;
  4. afhandeling wijzigingsvoorstellen;
  5. afhandeling incidenten;
  6. steekproef naleving interne norm (bijlage A);
  7. beoordeling of de afwijkingen uit de vorige interne audit adequaat zijn opgevolgd.

Het laatste punt is bij de eerste interne audit natuurlijk nog niet relevant. Voor de overige punten geldt dat moet worden gecheckt of het bewijs geleverd kan worden. Wanneer dat niet het geval is, dan wordt dit vaak nog gerepareerd voor de externe audit.
De daaropvolgende directiebeoordeling stelt ook weinig voor. De directie is immers intensief betrokken geweest bij de PLAN en de DO-fase, die nog maar net afgesloten zijn. Eigenlijk is dit slechts een papieren tijger, om te voldoen aan de norm.1)

1) Voor grotere organisaties die een formeel managementsysteem nodig hebben om te functioneren, geldt dit verhaal dus niet, maar de ZBC dienstverlening is ook niet gericht op dit type organisaties. Slechts als een dienstverlenende unit binnen een grotere organisatie gecertificeerd wil of moet worden, dan is de ZBC dienstverlening en zijn de best practices van de ZBC kennisbank relevant.

Na de eerste audit

Nadat de externe audit vlak na de eerste interne audit succesvol is verlopen, is het managementsysteem in gebruik. Vanaf dit moment kan de organisatie twee kanten op gaan:

  • De organisatie merkt dat het managementsysteem bijdraagt aan de professionalisering van haar dienstverlening en naleving van de maatregelen is vanzelfsprekend.
  • De organisatie beschouwt het managementsysteem als ballast en de naleving wordt pas weer opportuun als de volgende externe audit voor de deur staat. Dan wordt veel effort gestoken in window dressing om de externe auditor voldoende zand in de ogen te kunnen strooien. We zien dit vooral voorkomen in organisatie waarin de directiebetrokkenheid laag is. In de praktijk vindt de interne audit opnieuw plaats vlak voor de externe audit. Een in feite herhaalt zich dan het spelletje van de eerste interne audit. En ook in de toekomst blijft zich dat natuurlijk herhalen.

Gelukkig komt dit laatste type organisatie steeds minder voor, zeker als om het kleinere organisaties gaat. Die kunnen zich niet permitteren om jaarlijks goed geld naar kwaad geld te gooien. Ze plukken liever de vruchten van hun investering. In de rest van dit artikel gaan we uit van de situatie, waar de directie en de betrokkenen willen dat het managementsysteem werkt.

De tweede interne audit

Na de certificering werkt dus het managementsysteem. Maar het is eigenlijk net als nieuwe schoenen. Die knellen vaak en daarom zou je ze het liefst af en toe uitschoppen. Maar ja, je weet dat ze dan nooit ingelopen raken en dat ze blijven knellen. Zo gaat dit ook met managementsystemen. Vaak is bij de opzet conform de ISO 9001, ISO 27001 of NEN 7510 onvoldoende rekening gehouden met de werkbaarheid ervan. (Zie ook ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie’.) Ongetwijfeld zitten er pijnpunten in en zo nu en dan worden ze even in de hoek geschopt om lekker met de voeten op tafel te kunnen zitten.
Daarom is het verstandig de tweede interne audit al na een jaar te plannen. Het accent ligt hierbij nog steeds wel op het managementsysteem, maar nu is de centrale vraag hoe we het beter kunnen laten passen bij wat we doen. Het managementsysteem moet niet zozeer beter, maar vooral slimmer worden. Dat is het centrale thema van de tweede interne audit.
Natuurlijk wordt daarbij ook gekeken naar afwijkingen, maar vooral naar de oorzaak van de afwijking. (Zie ook ‘Aanbevelingen interne audit via de root cause analysis ofwel de oorzaakanalyse’.) Niet degene die afwijkt, is het probleem, het probleem zijn het managementsysteem en de maatregelen. Het is daarom niet handig, dat deze interne audit uitgevoerd wordt door de mensen die hebben meegeholpen aan de bouw van het managementsysteem.

Op weg naar volgende interne audits

Uiteraard zal de externe auditor in de tweede externe audit opnieuw het managementsysteem beoordelen. Daar de externe auditor echter slechts kijkt naar de naleving van de norm, heeft dit voor de organisatie minder toegevoegde waarde. Als het eenmaal goed is, dan zal het managementsysteem zelf nauwelijks meer onderwerp van discussie zijn en neemt de waarde van de externe audit sterk af. Maar de externe audit is en blijft verplicht en deze zal jaarlijks herhaald moeten worden.
De interne audit kan echter aanzienlijk aan belang winnen. Deze kan zich veel meer richten op de verbetering van de kwaliteit en/of de informatiebeveiliging zelf. En dat is tenslotte waar het om gaat. Wel moet duidelijk blijven, dat je niet gaat verbeteren om het verbeteren zelf. De verbetering moet waarde hebben. En dat is meestal doordat de verbetering een risico vermindert. Dus nog steeds geldt de vraag: ‘Is dit erg ?’.
Meestal is dit ook het moment om het auditprogramma aan te passen aan de praktijk. De aandacht voor de werking van het managementsysteem kan verminderen en de verbetering van de inhoud wordt prominenter. Daarom zal ook de intake van de interne audit belangrijker worden. (Zie ook ‘Checklist standaardplan interne audit’.) De interne auditor wordt gevraagd zich te focussen op een aantal problemen die de organisatie ervaart en de organisatie verwacht, dat de interne auditor oorzaken vindt voor deze problemen en aanbevelingen doet hoe ze, liefst binnen de context van het managementsysteem, opgelost kunnen worden.
Afhankelijk van de probleemstelling is het mogelijk hier een specifieke auditor voor te vragen. In het uitwisselingsprogramma interne auditors dat ZBC faciliteert, is het mogelijk om interne auditors met specifieke expertises te vinden.
Kortom, het belang van de interne audit neemt steeds verder toe voor de organisatie, terwijl het belang van de externe audit steeds verder afneemt. Bij de eerste interne audit moet je je hier uiteraard nog niet druk om maken. Dan moet gewoon dat certificaat worden gehaald.

ZBC helpt organisaties via cursussen en coaching met het opzetten en verbeteren van hun managementsystemen voor ISO 27001, NEN 7510, privacy en ISO 9001.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 16 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *