Gratis Demo Contact
Baarn : 035 - 54 83 255
audit header

Audit

Wat is een audit?

Een audit is een systematisch onderzoek in een organisatie naar processen, systemen en daarin verwerkte gegevens. Het doel van zo’n audit is te controleren of ze voldoen aan vooraf vastgestelde regels, wetten en standaarden.

Er zijn verschillende type audits en iedere audit concentreert zich meestal op een specifiek aspect van de bedrijfsvoering. Zo zijn er financiële audits maar ook je informatiebeveiliging of je projectmanagement kun je auditen. We lichten dit in het artikel verder toe.

Soorten audits

‘Wat is een audit?’ is dan ook vaak een te algemene vraag. Je kunt bij audits allereerst een onderscheid maken in de bedrijfsprocessen waarop een specifieke audit zich richt. Hiervan geven we verderop in het artikel wat voorbeelden. Maar je kunt ook een onderscheid maken tussen zogeheten interne en externe audits:

  • Interne audits worden uitgevoerd door eigen specialisten met als doel de eigen organisatie inzicht te geven van de kwaliteit van processen en systemen en noodzakelijke verbeterpunten.
  • Externe audits worden daarentegen uitgevoerd door een volledig onafhankelijke en gekwalificeerde externe auditor. Dat maakt de auditresultaten meer gezaghebbend en bruikbaar voor bijvoorbeeld certificatietrajecten of als bewijs dat de organisatie compliant is met wet- en regelgeving.

Audit report

Een belangrijk element van een audit is dan ook de verslaglegging. Dit wordt wel een audit report, auditrapport of audit rapportage genoemd en geeft een toegankelijk en gestructureerd overzicht van wat er beoordeeld is, welke constateringen daarbij zijn gedaan en welke verbeterpunten worden geadviseerd. Vaak is zo’n audit rapport ook iets waar in een vervolgstap op wordt teruggekeken om te zien of en hoe de advies- en verbeterpunten zijn geïmplementeerd.

Wat is een Chief Audit Executive?

Als audits serieus worden ingezet binnen een organisatie zijn daarvoor professionele auditprocessen en auditors noodzakelijk, vaak onder aansturing van een Chief Audit Executive of audit manager. Deze CAE is binnen de organisatie eindverantwoordelijk voor alle audit and management control activiteiten. Met name bij organisaties die maatschappelijk en/of financieel onder het spreekwoordelijke vergrootglas liggen is deze rol erg belangrijk. Denk aan overheidsinstellingen, organisaties die betalingsverkeer verzorgen of beursgenoteerd multinationals. Ook grote zorgverleners, onderwijsinstellingen en non-profit organisaties stellen vaak een Chief Audit Executive aan.

Waarom is een audit belangrijk?

Een audit is om meerdere redenen belangrijk. Een paar voorbeelden zijn:

  • Een audit kun je gebruiken als bewijs dat je voldoet aan relevante wetten en regelgeving, of aan branche-specifieke en interne richtlijnen. Deze compliance is steeds belangrijker voor bedrijven en organisaties.
  • Met behulp van een audit kun je de betrouwbaarheid van je organisatiegegevens controleren. Daarbij denken veel mensen aan financiële informatie voor bijvoorbeeld investeerders, maar het kan ook gaan om productiecijfers, kwaliteitscijfers etc.
  • Audits helpen je risico’s te inventariseren en je risicobeheer te professionaliseren. Steeds meer managementsystemen zijn namelijk risico gedreven. Men begint met een gedegen risicoanalyse en concentreert zich vooral op de belangrijkste risico’s.
  • In het verlengde daarvan leveren audits heel veel inzicht op over de organisatie, bedrijfsvoering en processen. Vaak is een audit rapport een startpunt om verbeterprojecten te starten.
  • Specifiek om fraude te detecteren of te voorkomen zijn gerichte audits een belangrijk hulpmiddel. Door verschillende financiële rapportages te vergelijken kunnen afwijkende patronen worden herkend.

Kortom, audits beoordelen op een onafhankelijke manier je integriteit, effectiviteit, efficiëntie en naleving.

Waarvoor kan je een audit uitvoeren?

Meestal richt een audit zich op een specifieke aspect van je bedrijfsvoering (zoals de financiën, kwaliteit of informatiebeveiliging). Er zijn dan ook verschillende type audits:

  • Met financiële audits toets je de betrouwbaarheid van financiële applicaties en informatie zoals de balansgegevens, winst- en verliesrekening en financiële rapportages.
  • Bij een operationele audit richt je je op de efficiëntie en effectiviteit van primaire bedrijfsprocessen, bijvoorbeeld de productieprocessen of de logistieke keten.
  • IT-audits controleren de beveiliging, betrouwbaarheid en efficiëntie van IT-systemen en -processen.
  • Bij een compliance-audit wordt nagegaan of een organisatie voldoet aan alle geldende wetten, richtlijnen en intern vastgestelde beleidsregels.
  • Een kwaliteit-audit wordt uitgevoerd om de kwaliteitsprocessen te beoordelen en te verbeteren.
  • Milieu-audits inventariseren de toegepaste milieumaatregelen en gaan na of er aan de relevante milieuwetten en duurzaamheidsregels wordt voldaan.
  • Een sociale audit richt zich op de sociale verantwoordelijkheden van organisaties. Onderwerpen zijn onder andere arbeidsomstandigheden, mensenrechten en integriteit.

Tools4ever is met name betrokken bij IT-audits en compliance audits. Veel IT-omgevingen moeten voldoen aan normen op het gebied van informatiebeveiliging zoals ISO 27001, NEN 7510 of de BIO. Bij zo’n ISO-audit en security audit is een centrale eis dat de toegang van gebruikers goed wordt beheerd. Men eist bijvoorbeeld dat iedere gebruiker alleen toegang krijgt tot applicaties en gegevens die mensen nodig hebben voor hun afgesproken taken, een principe dat bekend staat als ‘Least Privilege’. Een modern IAM-platform als HelloID is daarvoor cruciaal omdat daarmee iedereen automatisch wordt voorzien van de juiste rechten, terwijl die rechten ook op ieder moment inzichtelijk zijn.

Hoe werkt een audit?

Hoe is zo’n stappenplan opgebouwd?  Dat varieert afhankelijk van het type audit, maar ruwweg gaat het altijd om de volgende stappen:

  1. Je begint met de auditvoorbereiding. De doelen moeten duidelijk zijn en er moet een auditteam worden vastgesteld of een auditor geselecteerd. Er moet een planning worden gemaakt en alle documenten en gegevens verzameld. Duidelijk moet zijn welke normen of richtlijnen moeten worden toegepast en soms is er een standaard audit checklist.
  2. Via een risicobeoordeling bepaal je wat de belangrijkste risico’s en aandachtsgebieden zijn. Aan de hand daarvan weten we waar de nadruk van de audit zich op moet richten en kun je het auditplan verfijnen.
  3. De audit uitvoeren. Dit kan afhankelijk van het type audit gebeuren aan de hand van interviews, analyse van documenten en procesbeschrijvingen, het observeren van werkzaamheden en het uitvoeren van steekproeven.
  4. Op basis hiervan wordt de audit rapportage gemaakt. De bevindingen worden gedocumenteerd, inclusief sterke punten, verbeterpunten, conclusies en aanbevelingen.
  5. In de nazorgfase wordt het rapport besproken met het management. Ook moet er een plan worden gemaakt voor de verwerking van de aanbevelingen, inclusief een planning voor de (her)beoordeling van de te realiseren verbeterpunten.

audit pagina helloID

Hoe bereid je je voor op een audit?

Hoe kun je je voorbereiden op een audit als je verantwoordelijk bent voor de IAM-functionaliteit en processen? We schetsten al eerder dat veel IT- en beveiligingsnormen tegenwoordig duidelijke eisen stellen aan het Identity en Access Management. Een IAM-platform als HelloID moet niet alleen voldoen aan de eisen, je moet die compliance ook op ieder moment kunnen aantonen. Ook moet bij bijvoorbeeld een datalek of een ander beveiligingsincident een volledige audit trail beschikbaar zijn.

HelloID logt daarom niet alleen alle business rule aanpassingen. Ook alle individuele rechtenaanvragen door gebruikers en managers in het IAM-platform worden automatisch vastgelegd, inclusief wie een verzoek heeft ingediend, wie het heeft beoordeeld en goedgekeurd, en wie uiteindelijk de activatie heeft uitgevoerd. Ook toegangspogingen tot de IT-omgeving worden automatisch geregistreerd. Zo heb je met de HelloID auditfunctionaliteit altijd alle vereiste input voor beveiligingsevaluaties en audits.

Meer weten over het gebruik van HelloID bij audits. Bekijk ons webinar auditing en reporting voor alle uitgebreide auditing mogelijkheden.

Bij een IT-audit beoordeel je de informatiesystemen en -infrastructuur van een organisatie. Het doel is om de betrouwbaarheid, beveiliging, en naleving van regelgeving van IT-processen te waarborgen. Zo’n IT-audit omvat de beheersmaatregelen, data-integriteit en de bescherming tegen cyberdreigingen.

Met een beveiligingsaudit evalueer je op een systematische manier de informatiebeveiliging van een organisatie. Zo’n beveiligingsaudit richt zich op je beveiligingsmaatregelen, zoals de toegangscontrole, databeveiliging en naleving van regelgeving. Doel is het ontdekken van kwetsbaarheden, risico’s en compliance problemen.

< terug naar overzicht