14.08.2020

Een bevinding bij een audit is een positief signaal

Wat gaat er door jouw hoofd als de auditor aangeeft dat iets niet aan de norm voldoet? Zie je dit als een wijzende vinger, gezakt zijn voor een examen of juist als een kans om te verbeteren? Wanneer er bij de audit door de auditor een afwijking van de norm wordt vastgesteld als bevinding, dan kan dit voor jou als verantwoordelijke binnen je organisatie als een onaangename verrassing aanvoelen. Je leefde immers in de overtuiging dat alles op orde was en dan vertelt iemand jou dat dit niet zo is. Voel je niet op de vingers getikt! Het is vooral een kans voor verbetering.

Bij een audit is er geen sprake van positief of negatief

De aanpak van de auditors van SafeHarbour is er een met een positieve insteek. Er wordt geen ‘examen’ afgenomen waarvoor je kunt zakken of slagen en er worden geen vinkjes gezet. De auditor gaat in gesprek met de klant over het continu kunnen verbeteren. Daarbij kijken we naar een optimum tussen enerzijds werkbaar en anderzijds dogmatisch volgens de normen werken. Ofwel: welke maatregelen dragen nog bij aan de veiligheid en welke maatregelen zijn overdreven gezien het risico dat erdoor wordt afgedekt?

De ideale audit mindset

Het gaat er dus om met welke houding en insteek een auditor de bevindingen overbrengt en hoe jij als verantwoordelijke de bevindingen ervaart en deze ziet als kansen voor verbetering. Je was je eerder niet bewust van wat er beter kon en nu ben je dat wel. Een audit is een meetmoment dat bevindingen en aanbevelingen kan opleveren. Doe er je voordeel mee en benut deze om continu te verbeteren. Dat is juist een slim en waardevol gegeven voor de betrokken organisatie. Een pre-audit zorgt ervoor dat je meer tijd hebt om te kunnen verbeteren. 

Begrijpen van de reden achter de norm bij een audit

Wanneer je de reden achter de norm begrijpt dan is het vaak ook gemakkelijker om de audit als positief te ervaren. Daan Koot, adviseur informatiebescherming en information systems-auditor bij SafeHarbour zegt er het volgende over: ‘Ik probeer het altijd positief te keren, door de reden achter de norm duidelijk te maken. Wanneer je naar zo’n normenkader kijkt dan zit er namelijk een bepaalde logica achter. In een autorisatiematrix bijvoorbeeld horen rechten zodanig over rollen verdeeld te zijn, dat de scheiding van taken binnen de organisatie goed in te richten is. Hierdoor kan belangenvermenging vermeden worden. Het komt zelden voor dat ik een norm moet onderzoeken waarvan ik het nut en de logica niet kan uitleggen. Vanzelfsprekend probeer ik daarbij de norm in het grotere kader van de veiligheid van de hele organisatie te plaatsen. Als ik bijvoorbeeld een procedure toegangsbeheer onderzoek, dan wil ik graag de procedure zien voor de gehele organisatie. Als er een procedure is, die slechts op het te onderzoeken systeem van toepassing is, dan vraag ik steeds naar hoe dat zich verhoudt tot alle andere systemen in de organisatie.’

Wat doe je vervolgens met een bevinding?

De bevindingen leiden tot een verbeterplan. Juist de resultaten van een audit dragen bij aan de verbetering van de processen en daarmee een betere informatiebeveiliging van de organisatie. Het verbeterplan wordt uitgevoerd en via een her-audit wordt bevestigd dat de verbetering is uitgevoerd, waardoor de organisatie weer aansluit bij de gestelde eisen en daarmee de informatiebeveiliging weer beter op orde heeft.

Lees: De valkuilen en tips voor de ENSIA-audit.

Neem contact op

Op onze audit pagina vind je alle informatie over de audits die wij verzorgen, onze aanpak en auditors. Even doorpraten over dit onderwerp of benieuwd hoe wij je kunnen helpen? Dat kan, neem contact op via 085 30 30 279, stuur een e-mail naar info@safeharbour.nl of vul het contactformulier op de website in.