08.07.2019

3 voordelen van een pre-audit

Auteur: Daan Koot

Kenmerkend voor de maand april is de audit-hectiek. De eindsprint voor het indienen van de volledige verantwoording, ondertekening door College en de audit is ieder jaar weer een terugkerend circus. De ENSIA-audit wordt vaak gezien als een verplicht nummer om aan te tonen dat je als gemeente voldoet aan de normen. Dit in tegenstelling tot waar de ENSIA-audit oorspronkelijk voor bedoeld is: het instrument om de informatieveiligheid te verbeteren. Door het laten uitvoeren van een pre-audit ontstaat er niet alleen ruimte voor inzicht en verbetering, maar wordt tevens onnodig werk voorkomen en ontstaat er ruimte voor het tijdig kunnen indienen van de audit.

1. Niet afvinken maar waarborgen en verbeteren

Bij de pre-audit wordt gekeken naar wat de gemeente gaat invullen in de zelfevaluatie. Er wordt beoordeeld op basis van welke argumenten de gemeente een vraag met ‘voldoet’ of ‘voldoet niet’ wil beantwoorden. Tijdens die beoordeling ga je als gemeente het gesprek aan met de auditor. Dit geeft je de mogelijkheid om inzichten uit te wisselen over het al dan niet voldoen aan een norm. Daarmee zorgt een pre-audit dat het verbeteren en waarborgen van de informatieveiligheid als gemeente centraal blijft staan in plaats van de focus te leggen op het ‘afvinken’ van de lijst met normen.

2. Onnodig werk voorkomen

Een pre-audit geeft inzicht in wat nodig is om het auditdossier tijdig en compleet op orde te maken. Je voorkomt hiermee dat je in een later stadium verschil van inzicht krijgt met de auditor en vol in de sprint moet voor het op orde krijgen van bewijslast. Bij verschillende gemeenten kwam eind april bij het afsluiten van het verantwoordingsjaar naar voren dat een oordeel dat op 31-12 gegeven was, alsnog moest worden heroverwogen. Dit zorgt in de laatste fase voor het indienen van de audit onnodig voor meer werk. Bovendien ontstaat hierdoor een verschil in het oordeel van 31-12 en de collegeverklaring.

3. Ontspannen planning

Een gemeente kan na het uitvoeren van een pre-audit vóór 31-12, bij het indienen van de zelfevaluatie alle bewijsstukken voor de audit op orde hebben op de collegeverklaring na. De collegeverklaring kan dan direct in januari worden opgesteld en de audit kan vanaf medio januari worden uitgevoerd. Daardoor ontstaat er ‘lucht’ in de agenda voor de vaststelling door het college en kunnen de stukken al in het eerste kwartaal van het nieuwe jaar worden ingediend.

De toekomst van informatieveiligheid begint nu

De pre-audit geeft ruimte om verbeterpunten te signaleren en te benoemen. Daarmee kunnen gemeenten alvast een start maken met de volgende en derde fase van de audit na opzet en bestaan: de werking. In deze fase wordt over een langere periode gewerkt aan de verbetercyclus. Zo wordt de ENSIA-audit nog meer een instrument voor continue verbetering. Een instrument voor de toekomst!

Ervaar de voordelen van een pre-audit

SafeHarbour wil voor het komende jaar aan meer gemeenten de meerwaarde van een pre-audit leveren. De gemeenten die een pre-audit hebben gehad zijn begeleid in het gehele zelfevaluatietraject en in het verantwoordingstraject. Tijdens de auditgesprekken praten we ook over de toekomst van de informatievoorziening in jouw gemeente. Bekijk onze Audit pagina. Wij doen je zo snel als mogelijk een vrijblijvende offerte toekomen.

Ook voor andere vragen staan wij graag voor je klaar! Je kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl

Categorie: IT security Kennis

Gerelateerde producten

ENSIA-audit