Kerneigenschappen van een auditdossier
Waar zou een goed auditdossier nu aan moeten voldoen? Dat is samen te vatten in een aantal kernwoorden:
- Eigenaarschap
- Gerubriceerd
- Kwaliteit
- Traceerbaar
- Herhaalbaar
Per kernwoord leggen we hieronder uit wat hiermee wordt bedoeld en hoe u dat zelf vorm kunt geven binnen uw organisatie.
1. Eigenaarschap
In de praktijk komen we vaak tegen dat meerdere mensen betrokken zijn bij een audit, maar dat niemand zich verantwoordelijk voelt voor het opstellen van het auditdossier. Het is zeer aan te bevelen om iemand in de organisatie te benoemen die op zijn minst de aansturing en coördinatie van het opstellen van het auditdossier doet. Denk daarbij aan planning, bewaken van opleveringen, coördineren van de opzet van het auditdossier (inhoudsopgave) en praktische zaken als waar een dossier opgeslagen wordt. Probeer ook uw collega’s mee te nemen in het auditproces en hen verantwoordelijk te maken voor het deel dat zij dienen aan te leveren.
2. Gerubriceerd
Wat een must is voor ieder auditdossier, is dat het opgesteld is aan de hand van het te toetsen normenkader. Een IT-auditor gaat immers altijd aan de hand van datzelfde normenkader een audit uitvoeren en gaat dus vragen stellen over specifieke normen. De insteek moet zijn dat u heel eenvoudig aan de hand van een willekeurig normnummer direct het bijbehorende bewijs kunt laten zien.
Hoe u deze rubricering doet is volledig vormvrij, dat kan door middel van een Excel-sheet die fungeert als inhoudsopgave, via een mappenstructuur op een gedeelde schijf of door middel van een geavanceerd ISMS (Information Security Management System). Het allerbelangrijkste is dat ú goed kunt navigeren door uw eigen auditdossier, met als einddoel dat u het dossier vloeiend kunt presenteren aan een auditor. U zult merken dat als u dit goed oppakt, audits veel soepeler zullen verlopen.
3. Kwaliteit
Zorg voor een kwalitatief goed onderbouwd, volledig en juist dossier. Wat bedoelen we hier mee? Als eerste: een audit gaat altijd over opzet, bestaan en / of werking. Zorg dat u al deze zaken afdekt met uw dossier. Daarnaast, als gevraagd wordt naar beleidsdocumenten, procedures of andere beschrijvingen: zorg dat zichtbaar is dat deze documenten de “waarheid” beschrijven.
Dit betekent dat u bijvoorbeeld moet kunnen laten zien dat een procedure niet een los zwevend document is wat puur voor de audit is opgesteld en verder niet wordt gebruikt. Dit kan door te laten zien dat de procedure vastgesteld is, bekend is in de organisatie (gecommuniceerd) en bijvoorbeeld ook nog mee loopt in een interne controle systeem. Als u volgens de normen controles moet uitvoeren, zorg dan dat duidelijk is wie de controle doet, wanneer, wat gecontroleerd wordt, wat bevindingen en aanbevelingen zijn en vóór wie de controle wordt gedaan (rapportage aan eindverantwoordelijke).
Inzake juistheid: zorg dat uw bewijsstukken betrekking hebben op de juiste onderwerpen: de juiste auditperiode en het juiste object van onderzoek (systeem, applicatie, procedure).
Leg als laatste ook altijd het normenkader dat uw auditor hanteert naast uw dossier en controleer of u alle eisen uit dat normenkader afdekt met uw dossier.
4. Traceerbaar
Dan een stukje inhoudelijk over evidence: zorg dat alles traceerbaar is! We komen heel vaak allerlei mooie, zeer nuttige screenshots tegen, maar dan mist net het stukje dat zichtbaar is wanneer deze is gemaakt en op welke omgeving. Zorg dat alles traceerbaar is, ieder bewijsstuk moet eenvoudig te traceren zijn naar de herkomst van het stuk.
Andersom: zorg dat alle belangrijke stappen in uw procedures óók traceerbaar zijn. Een auditor kan immers op twee manieren controles uitvoeren:
- Vanuit de documentatie naar de werkelijkheid (bijvoorbeeld een ticketsysteem waarin een autorisatieaanvraag wordt gedaan naar de daadwerkelijke inrichting van die autorisaties);
- Vanuit de werkelijkheid naar de documentatie (bijvoorbeeld op basis van een wijzigingslog een willekeurige mutatie in de rechten herleiden tot de onderliggende documentatie die deze wijziging rechtvaardigt).
Als laatste: als uw auditor ook de werking toetst van bepaalde normen, denk op voorhand na hoe u de werking kunt aantonen. Hierbij is het heel belangrijk dat álle mutaties (in het voorbeeld van toegangsbeheer) aantoonbaar op dezelfde manier zijn uitgevoerd. U dient hier dus over na te denken bij het inrichten van uw proces.
5. Herhaalbaar
Dan het laatste aspect: zorg dat u uw auditdossier zo opstelt dat het eenvoudig te reproduceren is voor een volgende audit. De meeste audits zijn namelijk terugkerend. U heeft dus baat bij het structureel opstellen van uw dossier, zodat u het voor een volgende audit alleen hoeft te actualiseren. Hier kunt u significant veel tijd mee besparen.
Een goede voorbereiding is het halve werk
Het gezegde gaat ook zeker op voor audits. Als u uw dossier goed voorbereidt, heeft u daar niet alleen baat bij tijdens de audit maar ook tijdens audits in de volgende jaren. Wij adviseren u dan ook om tijdig met uw auditor te overleggen als u vragen heeft over het opstellen van een goed dossier.
Heeft u vragen over onze IT-audit diensten? Neem dan rechtstreeks contact op met een van onze adviseurs via ons contactformulier.