Assessments en audits - zekerheid of inzicht?
25 november 2021 

Assessments en audits - zekerheid of inzicht?

Assessments of audits, wat is dat nou eigenlijk? Een assessment of audit geeft inzicht en additionele zekerheid met betrekking tot een onderwerp. Zo simpel is het eigenlijk. Een audit of assessment voer je niet uit ‘omdat het moet’, maar omdat je er extra kennis of inzicht uit wilt halen.

Waarom een assessment of audit?

Zoals de inleiding al zegt, een assessment en audit levert inzicht of additionele zekerheid. Het inzicht is dan vooral in ‘waar staan we als organisatie, wat doen we goed en wat zijn de verbeterpunten’. Het is dan goed om in ieder geval de documentatie (de opzet, in auditorstermen), en de getroffen maatregelen (bestaan) mee te nemen. Een goede rapportage levert niet alleen bevindingen op, maar ook gedetailleerde aanbevelingen. Waar wij nog wel eens rapportages tegenkomen met als inhoud van aanbeveling dat de bevinding opgelost moet worden, geven wij de voorkeur aan de vorm van een adviesrapport. Want daar kan je als organisatie echt mee verder. Denk hierbij aan onze privacy, security en compliance assessments.

Het geven van additionele zekerheid is meer gericht op ‘hebben we het voor elkaar en zijn we in control’. Dit zijn eerder audits die we uitvoeren namens de afdeling risk & control of de business controller. Voor de liefhebbers: een audit als verlengstuk van de derde lijn (in het three lines of defense model). Een voorbeeld hiervan is onze security of IT-audit.

Het mooie is dat een rapportage direct input is voor een jaarplan of een verbeterplan.

Belangrijk is wel de vorm van de rapportage. Wij geven de voorkeur aan te rapporteren in PowerPoint, en voor specifieke vakgebieden zoals privacy en security in PowerBI. Dan heb je als organisatie direct inzicht. En het is toegankelijk voor iedereen.

Een aantal tips

  • Als je een externe audit of assessment aanvraagt: wees dan bewust wanneer je een assurance rapportage of een adviesrapportage vraagt aan de auditor.
  • Wees op tijd met het inplannen en aanvragen van audits. De meeste auditoren zijn in het najaar erg druk. Let ook op de interne organisatie: de mensen moeten wel tijd vrij kunnen maken voor het interview van de auditor. Wij merken een sterke toename in het aantal assessments en audits dat wij mogen uitvoeren.
  • Zorg dat de rapportage is opgeleverd voordat jaarplannen en budgetrondes zijn geweest. Of zorg voor genoeg budget om de verbeterpunten op te pakken.
  • Budgetteer een audit of assessment goed. En hou ook rekening met inzet en kosten voor het oppakken van de verbeterpunten. Anders constateert de auditor volgend jaar weer precies hetzelfde.

Wil je een (interne) audit of assessment door een externe laten uitvoeren? Zoek dan een vakspecialist, zoals wij van Audittrail. Wij geven een realistisch beeld van de situatie en kunnen dat ook goed onderbouwen.

Audittrail voert al meer dan 20 jaar audits en assessments uit. Met heldere rapportages waar je als organisatie verder mee kan. Wij voeren ook assessments as a service: vooraf plannen we jaarlijkse assessments of audits met u.

Over de schrijver
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.
Reactie plaatsen