Bij Audittrail dragen we het woord zelfs in onze naam. Het is de basis en oorsprong waar wij vandaan komen. Misschien zijn wij daarom ook alerter als het gaat om het gebruik van het woord ‘audit’. Want wat is dat nou?
De audit komt er weer aan..
En zelfs de theorie laat ons nog wel eens in de steek. De meest gangbare definitie is:
‘Een systematisch en onafhankelijk onderzoek, op basis van een vastgesteld normenkader, over een afgebakend onderwerp, ter verschaffing van additionele zekerheid aan de organisatie of andere stakeholders.’ Wat mij betreft goed genoeg. Zitten er nu belangrijke woorden in deze definitie? Ja en nee; alle woorden zijn belangrijk. We nemen de belangrijkste even door:
# ‘Systematisch’:
Er moeten een systeem in het onderzoek zitten. De opbouw logisch en de deliverables helder. Een open deur. En toch is het de ruggengraat van een goede audit. Het zorgt voor voorspelbaarheid en een (grotere) acceptatie van het auditrapport. Want daar worden toch vaak dingen in gezegd die niet heel populair zijn.
# ‘Onafhankelijk’:
Deze is ook belangrijk. De auditor moet onafhankelijk zijn en geen belangen hebben in een positieve of negatieve uitkomst van het onderwerp. Dat stelt eisen aan de positie en aansturing van de auditor. En daarom is het soms ook heel gezond om een interne audit door een externe uit te laten voeren. Hier staat bewust geen ‘objectief’, omdat naar mijn mening geen enkel mens 100% objectief is. Puur omdat we mens zijn en het zou schijnzekerheid geven als we als auditoren heel hard gaan roepen dat we 100% objectief zijn. Zo objectief mogelijk? Dat wel.
# ‘Onderzoek’:
Dit zie ik als het verzamelen van informatie om de probleemhebber van advies te voorzien.
# ‘Vastgesteld normenkader’:
Het is belangrijk om vooraf de meetlat te bepalen wat je langs je ‘onderzoeksobject’ legt en daar met de auditee overeenstemming over te krijgen. Anders loop je het risico dat je na veel werk te horen krijgt dat je het voor niets hebt gedaan. Als opdrachtgever is het ook belangrijk om van te voren goed af te stemmen welk normenkader gebruikt wordt. Zo weet je zeker dat je ook de additionele zekerheid krijgt die je nodig hebt. Daarnaast zorgt een goed normenkader bij het zo veel mogelijk objectief maken van het onderzoek.
# ‘Afgebakend onderwerp’:
Wellicht een open deur, maar in onze praktijk komen we nog wel eens ‘scope creep’ tegen. Je kan eenvoudigweg niet de hele organisatie in al haar facetten in één maal onderzoeken. Dat zou veel te lang duren, te veel menskracht vergen en te veel verschillende expertises nodig hebben. En als je net klaar bent met het laatste stukje, is de wereld van de eerste afdeling al weer veranderd; met als gevolg dat je rapportage niet meer klopt. Om het onderzoek beheersbaar te houden is het essentieel om vooraf de scope of aandachtsgebied van de audit strak te definiëren. En ook afspraken te maken wat je moet doen als er net over het randje van de scope interessante bevindingen verschijnen. Voor de opdrachtgever is er nog een bons: bij een strakke scope zijn de kosten ook overzichtelijker en beheersbaarder.
# ‘Additionele zekerheid’:
Het gaat om het leveren van extra zekerheid. En dus ook bij dingen die goed gaan. Wat mij betreft is er bij auditoren nog wel eens de neiging om te focussen op de dingen die niet goed gaan. Want dat zijn risico’s nietwaar? Natuurlijk, maar het doet het harde werk van veel mensen geen recht om alleen de slechte dingen of de risico’s te benoemen. Zorg er voor dat er ook gezegd wordt wat wel goed gaat. In ieder geval: je geeft als auditor zekerheid. Want ‘Er is op basis van onderzoek (etc) vastgesteld dat (vul uitkomst in).’
Even sparren? Bel gerust. Wij van Audittrail mogen ons verheugen op ruime ervaring met het uitvoeren van operational, IT- en kwaliteitsaudits en het opzetten van auditafdelingen en auditframeworks.
