Skip to main content

Tips om je voor te bereiden op een audit


Eind 2018 waren gemeenten druk bezig met de verantwoording over ENSIA. De zelfevaluatie moest namelijk vóór 31 december zijn ingeleverd. In onze eerdere blog gaven we je al 7 tips om (ook) te slagen voor de Suwinet audit. Die, naast de DigiD audit, onderdeel is van ENSIA. Maar hoe kun je je als gemeente eigenlijk op zo’n audit voorbereiden? En wat kun je doen om het audit proces zo goed mogelijk te laten verlopen? In deze blog geef ik je enkele tips!

Zelf heb ik gedurende mijn loopbaan als Certified Information System Auditor (CISA) talloze audits uitgevoerd. Mijn ervaring is dan ook dat in sommige gevallen de auditees, ofwel de partij die geaudit wordt, zich beter had kunnen voorbereiden. Een goede voorbereiding is immers het halve werk. En dat geldt ook voor een geslaagde audit. In mijn huidige functie ondersteun en begeleid ik gemeenten bij de voorbereiding op externe audits, zoals ENSIA (Suwinet en DigiD).

Wat doet een auditor?

Allereerst heb je bij een audit te maken met auditors. Een auditor is iemand die zich beroepsmatig bezighoudt met het controleren van een organisatie en is vaak gespecialiseerd op een bepaald terrein. Voor sommige organisaties, zoals overheidsinstellingen en banken, is het bij wet verplicht om zelf een auditor aan te stellen. Deze auditors worden ‘internal auditors’ genoemd. Daarnaast kun je als organisatie een ‘external auditor’ inhuren om bedrijfsprocessen, financiële verslagen, rapporten et cetera te controleren en te bewaken. In sommige gevallen wordt er een externe auditor ingehuurd om de interne auditor te controleren. Maar er zijn meer verschillen. Zo heb je bijvoorbeeld auditors in verschillende soorten en maten. Ik heb vijf typen voor je op een rij gezet:

De auditor, onderverdeeld in vijf types

  1. De schriftgeleerde
    Een term afkomstig uit de Bijbel, waarbij mannen grondige studie maakten van de Heilige Schrift, en in het bijzonder de wet. Vertaald naar het hedendaagse werk van auditors, is deze auditor zeer theoretisch onderlegd en een deskundige op het gebied van normen en standaarden (hij kent deze van binnen en van buiten). Een schriftgeleerde is, zoals de naam al zegt, zeer geleerd, echter geldt dit niet voor zijn levenswijsheid. Deze auditor vindt dat hij gelijk heeft en heeft daarbij weinig oog voor andermans interpretatie. De schriftgeleerde zal daarnaast altijd alles volgens het boekje doen en begeeft zich niet graag buiten zijn specifieke gebied.
  2. De freewheeler
    Het tegenovergestelde van de schriftgeleerde is de freewheeler. Hij kent de grote lijnen, maar werkt minder graag vanuit vaste structuren en is flexibel in zijn aanpak, ‘er zijn vele wegen die naar Rome leiden’. Daarnaast heeft de freewheeler een holistische visie op de wereld, er is meer in het leven dan alleen auditeren. De freewheeler kan dingen van een afstand beschouwen en daardoor problemen relativeren. De freewheeler is sociaal ingesteld en vind de onderlinge band belangrijk, er is dus ook ruimte voor een praatje.
  3. De doordrammer
    Ook wel bekend als mensen die altijd hun eigen standpunt, opvatting of mening verkondigen. De doordrammer wil per sé zijn gelijk krijgen, heeft een sterke drang om te presteren en staat daarbij niet open voor tegenargumenten. Verschil met de schriftgeleerde is dat de doordrammer nogal eens eigen interpretaties handhaaft en daarbij dwingend kan worden of over mensen heen kan walsen.
  4. De professional
    Deze auditor zet plannen en ideeën om in uitvoerbare taken en gaat strategisch te werk. Hij kent de normen en standaarden vrij goed, en kijkt met zekere realiteitszin naar wat hem voorgeschoteld wordt. Hij ziet wat haalbaar is en wat niet en benut al zijn mogelijkheden. De professional staat open voor discussie en er is begrip voor onderlinge verschillen.
  5. De wispelturige
    Is minder van de vaste lijn of vaste hand en kan op het ene moment anders reageren dan op een ander moment. De wispelturige is zo veranderlijk als het weer, de ene dag schijnt de zon en de andere dag dondert en bliksemt het. Hij is onvoorspelbaar en daarom moeilijk in te schatten door degene aan de andere kant van de tafel. De positieve eigenschap die aan wispelturigheid ten grondslag ligt is: flexibiliteit. Wordt deze auditor te flexibel? Dan gaat dit ten koste van de ordelijkheid en kan er gebrek aan structuur ontstaan. Dit resulteert in iemand met voortdurend een andere mening, ofwel de wispelturige auditor.

Ken je auditor!

Wellicht herken je je auditor (of anderen) in bovenstaande types. Als je weet met welk type auditor je te maken hebt, kun je hier voordeel uit halen. Het optimaal inzetten van deze kennis is essentieel voor een succesvolle samenwerking tussen jou en je auditor. Hieronder enkele tips die je hierbij kunnen helpen:

  • Eerlijkheid duurt het langst – met liegen en verzwijgen kom je ook bij een audit niet ver, wees dus altijd eerlijk. Een audit is om te toetsen of iets aan een norm voldoet. Wanneer dit niet het geval is, is dit een aanleiding voor verbetering.
  • Aarzel niet om vragen te stellen aan anderen indien je iets niet begrijpt of weet – het is niet vanzelfsprekend dat je alles weet van wat een auditor van je vraagt. Wanneer je zelf het antwoord niet weet, kun je deze altijd uitzetten binnen de organisatie bij degene die deze vraag wel kan beantwoorden.
  • Betrek de inhoudelijk betrokken collega’s – laat de collega’s die in de praktijk betrokken zijn bij een bepaald proces het verhaal doen. Zij zitten het dichts op het proces en weten als geen ander hoe het werk in de praktijk wordt uitgevoerd. Op die manier voorkom je misverstanden of onjuiste antwoorden richting de auditor.
  • Bereid de audit voor met de inhoudelijk betrokkenen collega’s – zorg dat je de audit voorbereid met de collega’s die bij de audit betrokken zijn. Plan voorafgaand aan de audit een overleg in waarin je uitlegt wat het doel is van de audit, op welke wijze het auditdossier op de diverse onderwerpen is samengesteld en wat er van een ieder verwacht wordt.
  • Zorg dat de betrokken collega’s hun agenda vrij houden – zo kunnen zij stand-by staan op de dag van de audit om nog aanvullende informatie te geven indien nodig. Dit voorkomt onnodige vertraging.
  • Geef alleen informatie als daar om gevraagd wordt – en beperk de informatie tot het antwoord op de vraag. Wanneer je te veel informatie aan een auditor geeft kan dit weer leiden tot aanvullende vragen.

Ken jezelf

  1. De meegaande
    Dit type laat zich gemakkelijk door anderen leiden. Deze auditee schikt zich snel in bepaalde situaties of bij beslissingen van de auditor. Ze zijn makkelijk in omgang en zullen gemakkelijk instructies opvolgen. Voor een auditor is dit een makkelijk type om mee samen te werken.
  2. De onderdanige
    Biedt totaal geen tegengas of –gewicht. Dit type vind de mening van de auditor zo belangrijk, dat ze die altijd zullen laten voorgaan. Hierdoor kan de auditor gemakkelijk iemand iets opleggen.
  3. De professional
    Zoals ook hierboven aangegeven, zijn professionals zelfstandige, resultaatgerichte vakmensen die zich niet eenvoudig laten sturen. Wanneer deze auditee het ergens mee oneens is zal hij dit ook aangegeven. Anderzijds zal de professional ook instemmen met vastgestelde feiten van de auditor, mits correct.
  4. De gespeeld onverschillige
    Dit type zal met opzet elke auditor afweren. Hij doet alsof een audit tegen zijn zin is of dat het hem totaal niet uitmaakt. Onder het motto ‘ik heb wel wat beters te doen’, probeert dit type overal onderuit te komen. Zeer vervelend voor een auditor.
  5. De betweter
    Meent alles beter te weten dan anderen. Welke onderwerp je ook zult aankaarten als auditor, de betweter heeft overal een eigen opvatting op. Vaak is hij een expert op een bepaald gebied, maar staat daarbij niet open voor de opvattingen van anderen. Dit type wordt dan ook vaak bestempeld als arrogant.
  6. De kwaadwillende
    Bij dit type ligt er vaak iets anders aan ten grondslag, zoals ontevredenheid over de organisatie of werkzaamheden, een mogelijk ontslag, et cetera. Hierdoor zal deze auditee bewust iets benadelen of zorgen dat de audit niet goed verloopt. Dit type hangt vaak alle vuile was buiten van de organisatie, wat onprettig kan zijn voor de auditor..

Tot slot

Ik hoop je met deze blog en tips wat meer inzicht en mensenkennis te hebben gegeven die jou helpen om het audit proces zo goed en soepel mogelijk te laten verlopen. Heb je na aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.