CHECKLIST STANDAARDPLAN INTERNE AUDIT

Transcriptie

1 CHECKLIST STANDAARDPLAN INTERNE AUDIT Auteur: Wiebe Zijlstra (11 January 2017) Iedere interne audit van een managementsysteem is uniek. Want iedere audit heeft zijn eigen auditdoelstellingen. Het auditproces en dus het auditplan zullen afgestemd moeten worden op het bereiken van die doelstellingen. Daarom is het handig deze checklist te gebruiken. Niet om deze slaafs te volgen, maar juist om te beoordelen of elke stap nodig is voor het bereiken van de doelstellingen. Het gebruik van deze checklist moet er dus aan bijdragen dat ook de Checklist uitvoeren standaard interne audit niet slaafs gevolgd wordt. Voor een externe audit zoals ISO 9001, ISO of NEN 7510 zijn er doorgaans niet veel afwijkingen. Deze is erop gericht compliance vast te stellen voor de norm. Interne audits zijn echter vaak meer gericht op verbetering (zie Interne auditing: veel compliance, weinig verbetering.) Dat verbeterproces begint bij de directiebeoordeling. En de directie wil uiteraard weten of investeringen in verbeteringen wel zo nodig zijn. Beslissingen daartoe moeten goed onderbouwd worden. Daarvoor is een gestructureerde audit nodig op basis van een gedegen plan. Deze checklist is daarom primair bedoeld om af te wijken van de standaard, want met het strikt volgen van de standaard kom je niet verder dan het bepalen van compliance. De afwijkingen moeten dan wel vooraf worden bepaald, zodat de audit gedegen wordt uitgevoerd en dus ook een overtuigend resultaat oplevert. Daarom zijn deze standaard checklists ook gebaseerd op de ISO

2 Auditproces De audit bestaat standaard uit de volgende stappen: We zullen in dit document alle stappen bespreken, behalve de derde stap Uitvoeren van auditactiviteiten. Hiervoor is een aparte checklist Het hoeft geen betoog dat aanpassingen in het plan ook leiden tot aanpassing in de uitvoering van het plan. Het initiëren van de audit Als een audit wordt geïnitieerd, blijft de aangewezen auditteamleider verantwoordelijk voor het uitvoeren van de audit tot de audit is afgerond. Voor het initiëren van een audit behoren alle stappen uit de checklists te worden overwogen en zo nodig aangevuld. Vanaf de tweede of derde interne audit is de uitkomst dan afhankelijk van de risico s, de doelstellingen, de behoefte van de auditee, de processen en de specifieke omstandigheden van de audit. Vanaf dit moment wordt het belang van de interne audit groter dan dat van de externe audit, die zich hoofdzakelijk richt op het functioneren van het managementsysteem en slechts mondjesmaat op de verbetering zelf. 2

3 Het eerste contact leggen met de auditee Het eerste contact met de auditee voor het uitvoeren van de audit kan informeel of formeel zijn en behoort te worden gelegd door de auditteamleider. Het eerste contact heeft als doel: de communicatielijnen op te zetten met de vertegenwoordigers van de auditee; informatie te verkrijgen over het auditprogramma, zoals dat door de auditee opgesteld is; informatie te verkrijgen over de doelstellingen, reikwijdte en methoden van de audit; af te stemmen over de samenstelling van het auditteam, inclusief de technisch deskundigen; te verzoeken om toegang tot relevante documenten en registraties in verband met de voorbereidingen van de audit; van toepassing zijnde wettelijke, contractuele en andere eisen te bepalen, die relevant zijn voor de activiteiten en producten van de auditee; met de auditee overeenstemming te bereiken over de behandeling van vertrouwelijke informatie; afspraken te maken over de audit, inclusief het in een rooster opnemen van data; te bepalen of er locatiespecifieke eisen zijn wat betreft de toegang, beveiliging, gezondheid en veiligheid enz.; overeenstemming te bereiken over de aanwezigheid van waarnemers en de noodzaak voor begeleiders voor het auditteam; vast te stellen welke punten van belang of zorg bestaan voor de auditee met betrekking tot de specifieke audit. Bij een interne audit vindt meestal een intakegesprek plaats, waarbij bovenstaande punten aan de orde komen. 3

4 Het bepalen van de haalbaarheid van de audit De haalbaarheid van de audit behoort te worden vastgesteld om een aanvaardbare hoeveelheid vertrouwen te bieden dat de auditdoelstellingen kunnen worden gehaald. Bij het vaststellen van de haalbaarheid van de audit behoort rekening te worden gehouden met factoren zoals de beschikbaarheid van het volgende: de auditdoelstellingen en de verwachte diepgang van de audit; voldoende en geschikte informatie om de audit te kunnen plannen en uitvoeren; geschikte medewerking van de auditee; toereikende tijd en middelen voor het uitvoeren van de audit. Als de audit niet haalbaar is, behoort in overeenstemming met de auditee een alternatief te worden voorgesteld aan de auditklant. Voorbereidingen treffen voor de auditactiviteiten De relevante documentatie van het managementsysteem van de auditee behoort te worden beoordeeld om: informatie te verzamelen om auditactiviteiten voor te bereiden en de geschikte werkdocumenten op te stellen bijvoorbeeld over processen, functies; een overzicht te krijgen van de omvang van de systeemdocumentatie om mogelijke leemten op te sporen. OPMERKING Hoofdstuk B.3 uit de ISO norm levert richtlijnen voor het uitvoeren van een documentbeoordeling. De documentatie behoort, voor zover van toepassing en relevant, te bestaan uit documenten en registraties van het managementsysteem en eerdere auditrapporten. De documentbeoordeling behoort rekening te houden met de omvang, aard en complexiteit van het managementsysteem en de organisatie van de auditee, en met de doelstellingen en reikwijdte van de audit. 4

5 Het auditplan zelf opstellen De auditteamleider behoort een auditplan op te stellen op basis van de informatie in het auditprogramma en in de door de auditee geleverde documentatie. Het auditplan behoort rekening te houden met het effect van de auditactiviteiten op de bedrijfsprocessen van de auditee en de basis te vormen voor overeenstemming tussen de auditklant, het auditteam en de auditee over de uitvoering van de audit. Het auditplan behoort een doelmatige inroostering en coördinatie van de auditactiviteiten te vergemakkelijken om de doelstellingen doeltreffend te kunnen halen. De mate van gedetailleerdheid in het auditplan behoort de reikwijdte en de complexiteit van de audit weer te geven, evenals het effect van onzekerheid op het halen van de auditdoelstellingen. Bij het opstellen van het auditplan behoort de auditteamleider op de hoogte te zijn van het volgende: de geschikte steekproeftechnieken (zie hoofdstuk B.3 van de ISO norm); de samenstelling en de gezamenlijke competentie van het auditteam; de risico s voor de organisatie die de audit met zich meebrengt. Risico s voor de organisatie kunnen bijvoorbeeld voortvloeien uit de aanwezigheid van auditteamleden die invloed heeft op de gezondheid en veiligheid, het milieu en de kwaliteit, en een bedreiging vormt voor de producten, diensten, het personeel of de infrastructuur van de auditee (bijvoorbeeld verontreiniging in steriele kamers). De schaal en inhoud van het auditplan kunnen verschillen, bijvoorbeeld tussen de eerste en vervolgaudits, evenals tussen interne en externe audits. Het auditplan behoort flexibel genoeg te zijn om wijzigingen toe te laten die in de loop van de auditactiviteiten noodzakelijk kunnen worden. Het auditplan behoort de volgende aspecten te omvatten, of hiernaar te verwijzen: a. de auditdoelstellingen; b. de reikwijdte van de audit, inclusief identificatie van organisatorische en functionele eenheden, evenals processen waarop de audit moet worden uitgevoerd; c. de auditcriteria en eventuele referentiedocumenten; d. locaties, data, verwachte tijdstip en duur van de uit te voeren auditactiviteiten, inclusief bijeenkomsten met het management van de auditee; 5

6 e. de auditmethoden die worden gebruikt, inclusief de omvang waarin het nemen van steekproeven nodig is om voldoende auditbewijsmateriaal te verkrijgen, en het ontwerp van het steekproefschema, indien van toepassing; f. de taken en verantwoordelijkheden van de auditteamleden, begeleiders en waarnemers; g. de toewijzing van toepasselijke middelen aan kritische onderdelen van de audit. Het auditplan kan ook de volgende aspecten omvatten, voor zover van toepassing: identificatie van de vertegenwoordiger van de auditee voor de audit; de voertaal waarin gedurende de audit wordt overlegd en waarin de auditrapporten worden gesteld, als die verschilt van de moedertaal van de auditor of de auditee, of beide; de onderwerpen van het auditrapport; voorzieningen voor logistiek en communicatie, inclusief specifieke voorzieningen voor de locaties waarop een audit wordt uitgevoerd; eventuele specifieke maatregelen die worden getroffen om het effect van onzekerheid op het halen van de auditdoelstellingen aan te pakken; zaken die verband houden met de vertrouwelijkheid en informatiebeveiliging; eventuele vervolgactiviteiten van een eerdere audit; eventuele vervolgactiviteiten voor de geplande audit; coördinatie met andere auditactiviteiten, bij een gezamenlijke audit. Het auditplan kan desgewenst worden beoordeeld en geaccepteerd door de auditklant, en behoort aan de auditee te worden voorgelegd. Eventuele bezwaren van de auditee tegen het auditplan behoren te worden opgelost in een overleg tussen de auditteamleider, de auditee en de auditklant. 6

7 Werkzaamheden toewijzen binnen het auditteam De auditteamleider behoort in overleg met het auditteam aan elk lid van het auditteam verantwoordelijkheid toe te wijzen voor het uitvoeren van audits van specifieke processen, activiteiten, functies of locaties. Bij deze toewijzingen behoort rekening te worden gehouden met de onafhankelijkheid en competentie van auditoren, het doeltreffend gebruik van middelen, en de verschillende taken en verantwoordelijkheden van auditoren, auditoren in opleiding en technisch deskundigen. De auditteamleider behoort instructiebijeenkomsten te organiseren voor het auditteam voor zover dit van toepassing is, om een werkverdeling te maken en besluiten te nemen over mogelijke veranderingen. In de loop van de audit kunnen wijzigingen worden aangebracht in de werkverdeling om te zorgen dat de auditdoelstellingen worden gehaald. Werkdocumenten opstellen De leden van het auditteam behoren de informatie die relevant is voor de toewijzing van hun audit te verzamelen en te beoordelen, en waar nodig werkdocumenten op te stellen voor referentie en registratie van auditbewijsmateriaal. Dergelijke werkdocumenten kunnen omvatten: aandachtspuntenlijsten; steekproefschema s voor audits; formulieren voor het registreren van informatie, zoals ondersteunend bewijsmateriaal, auditbevindingen en notulen van bijeenkomsten. Het gebruik van aandachtspuntenlijsten en formulieren mag geen beperking vormen voor de omvang van de auditactiviteiten, die kan veranderen als gevolg van informatie die tijdens de audit wordt verzameld. Werkdocumenten, inclusief registraties die voortkomen uit het gebruik ervan, behoren te worden bewaard ten minste tot de audit is afgerond of zoals in het auditplan is aangegeven. De archivering van documenten na afronding van de audit is beschreven in 6.6. Documenten met vertrouwelijke of bedrijfseigen informatie behoren te allen tijde op geschikte wijze te worden beschermd door de leden van het auditteam. 7

8 De auditactiviteiten uitvoeren De beschrijving hiervan vind je in de een afzonderlijke checklist Het auditrapport opstellen De auditteamleider behoort de auditresultaten te rapporteren in overeenstemming met de procedures van het auditprogramma. Het auditrapport behoort een volledige, nauwkeurige, bondige en duidelijke weerslag van de audit te vormen, en behoort de volgende aspecten te omvatten of hiernaar te verwijzen: a. de auditdoelstellingen; b. de reikwijdte van de audit, in het bijzonder de identificatie van de organisatorische en functionele eenheden of processen waarop de audit is uitgevoerd; c. identificatie van de auditklant; d. identificatie van het auditteam en de deelnemers van de auditee aan de audit; e. de data waarop, en de locaties waar de auditactiviteiten zijn uitgevoerd; f. de auditcriteria; g. de auditbevindingen en het bijbehorende bewijsmateriaal; h. de auditconclusies; i. een verklaring waarin staat in welke mate aan de auditcriteria is voldaan. Het auditrapport kan ook de volgende aspecten omvatten of hiernaar verwijzen, voor zover van toepassing: het auditplan inclusief tijdschema; een samenvatting van het auditproces, inclusief ondervonden belemmeringen die afbreuk kunnen doen aan de betrouwbaarheid van de auditconclusies; bevestiging dat de auditdoelstellingen zijn gehaald binnen de reikwijdte van de audit in overeenstemming met het auditplan; eventuele gebieden binnen de reikwijdte van de audit die niet zijn afgedekt; een samenvatting met de auditconclusies en de belangrijkste bevindingen die de conclusies onderbouwen; eventuele onopgeloste meningsverschillen tussen het auditteam en de auditee; mogelijkheden voor verbetering, als dit in het auditplan is gespecificeerd; geïdentificeerde good practices ; de eventuele overeengekomen plannen voor vervolgmaatregelen; een verklaring omtrent de vertrouwelijke aard van de inhoud; eventuele implicaties voor het auditprogramma of volgende audits; de verspreidingslijst voor het auditrapport. 8

9 Het auditrapport bespreken Doorgaans wordt het voorlopige auditrapport eerst besproken met de auditklant, meestal de directie aangevuld met de kwaliteitsmanager en/of de security officer en/of de privacy officer. De presentatie is vooral gericht op de aanbevelingen voor de aanvullende doelstellingen, die voor de audit zijn gedefinieerd en de onderbouwing daarvan. Als aanbevelingen niet haalbaar zijn, worden alternatieven besproken, waarmee de aanvullende doelstellingen beter gerealiseerd kunnen worden. Voorkomen moet worden, dat de bevindingen en conclusies zelf ter discussie gesteld worden. Dit zou afbreuk doen aan de objectiviteit en dus de geloofwaardigheid van de audit. Deze sessie kan ertoe leiden, dat de aanbevelingen in het voorlopige auditrapport worden aangepast in het definitieve rapport. Het auditrapport verspreiden Het auditrapport behoort binnen een overeengekomen periode te worden verspreid. Als de verspreiding vertraging oploopt, behoren de redenen hiervoor te worden doorgegeven aan de auditee en de persoon die het auditprogramma managet. Het auditrapport behoort te worden gedateerd, beoordeeld en goedgekeurd, voor zover van toepassing overeenkomstig de procedures van het auditprogramma. Het auditrapport behoort vervolgens te worden verspreid onder de ontvangers zoals gedefinieerd in de auditprocedures of het auditplan. De audit afronden De audit is afgerond als alle geplande auditactiviteiten zijn uitgevoerd of als dit anderszins is overeengekomen met de auditklant (er kan zich bijvoorbeeld een onverwachte situatie voordoen waardoor de audit niet volgens plan kan worden afgerond). Documenten die betrekking hebben op de audit behoren te worden bewaard of vernietigd zoals overeengekomen door de deelnemende partijen en overeenkomstig de procedures van het auditprogramma en van toepassing zijnde eisen. Tenzij wettelijk vereist, mogen het auditteam en de persoon die het auditprogramma managet de inhoud van documenten, eventuele andere informatie die tijdens de audit is verkregen, of het auditrapport, niet vrijgeven aan andere partijen zonder uitdrukkelijke toestemming van de auditklant en, indien van toepassing, toestemming van de auditee. Als openbaarmaking van de inhoud van een auditdocument wordt vereist, behoren de auditklant en de auditee hiervan zo spoedig mogelijk op de hoogte te worden gesteld. 9

10 Aandachtspunten uitvoering interne audit In de tekst wordt in de opmerkingen een aantal keren verwezen naar de ISO norm. Als je deze norm zelf hebt (verkrijgbaar bij het NEN tegen betaling), dan kun je deze naslaan. Zoals eerder aangegeven is een interne audit meestal niet alleen gericht op compliance, maar vooral op verbetering. De valkuil van het springen naar conclusies ligt hierbij natuurlijk op de loer. Om dit netjes te doen is een oorzaakanalyse ofwel een root cause analysis de aangewezen weg om ook de opdrachtgever een goed inzicht te geven in wat er daadwerkelijk mis is. Het is niet ondenkbaar, dat de echte oorzaak eigenlijk ligt bij onvoldoende directiebetrokkenheid of nalatigheid van de directie. Niet ondenkbaar betekent hier, dat het in de praktijk vaak voorkomt. Maar dit moet natuurlijk wel met goede argumenten kunnen worden onderbouwd. Als daadwerkelijk de oorzaakanalyse uitgevoerd dient te worden, dan moet hier in het auditplan al rekening mee worden gehouden. Door de interviews meer bottom up te plannen, kan dit vrij eenvoudig meegenomen worden. Kritiek van interne auditors op de directie wordt vaak niet zo gewaardeerd. Vaak zien we daardoor dat werkelijke oorzaken onbesproken blijven en verbeteringen niet worden bereikt. SEC helpt organisaties met het opzetten en verbeteren van hun management systemen voor ISO 27001, NEN 7510, privacy en ISO