Menu
Lang, lang geleden leerde ik bij de auditopleiding wat een audit is. Simpel gezegd een audit is een toets tegen een norm. De auditor moet onafhankelijk, onpartijdig en deskundig zijn. En de norm? Die moet zo hard mogelijk zijn, zo objectief mogelijk, zo meetbaar mogelijk. Hoe minder interpretatiemogelijkheid hoe beter.
Daar zit dan de crux met de ISO (met name de Annex A van de ISO27001). Deze is nogal abstract en multi-interpretabel geformuleerd; feitelijk kun je dan ook beter spreken van best practices. En best practices lijken best lastig objectief toetsbaar. Deze tegenstelling wringt het wel eens als je niet weet hoe je daar mee om moet gaan. Het is eigenlijk heel eenvoudig, de klant moet een (onderbouwde) vertaling hebben gemaakt van de best practice naar een norm. En die toets je. Immers: de ISO is VOOR en DOOR de organisatie. Als auditor doet jouw mening, over hoe een beheersmaatregel beter geïmplementeerd zou moeten worden er niet zo heel veel toe. Je mag alleen een bevinding schrijven op een afwijking van de norm. Voor de duidelijkheid binnen ISO-audits worden over het algemeen drie type bevindingen gehanteerd. Zwaarste is een “major” een kritische afwijking die duidt op systeem falen. Daaronder is er de “minor” oftewel een afwijking van de norm (eigen beleid) die niet duidt op een systeem falen. Daaronder is er de “observatie” of verbeterpunt, dat is geen bevinding an sich maar kan iets zijn wat als de situatie verandert een issue kan vormen of iets dat de organisatie beter kan doen.
Het valt me steeds vaker op dat dit concept bij veel (nieuwe) auditoren onbekend is en dat het lijkt alsof zij de organisatie toetsen tegen hun eigen mening en dat zijzelf bepalen hoe hoog de lat moet liggen. Een ernstig voorbeeld van niet zo lang geleden. Een klant van mij had een audit voor ISO27001. De auditor toetste niet tegen de norm, maar tegen zijn mening. Deze auditor schreef bijvoorbeeld een minor op A6.2 (Arbeidsoveenkomst) die iets luidde in de trant van: “De organisatie beschikt niet over een register van in- en uitdiensttreders.” De normtekst (best practice) schrijft voor dat moet worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging. Nergens en dan ook nergens staat hier dat er een register moet zijn. Nog los van het feit dat de betreffende organisatie al bijna 20 jaar bestaat en ook een extreem laag verloop heeft, de 6 medewerker zijn gemiddeld al 12 jaar in dienst. Dus de bevinding dekt geen risico af en heeft geen raakvlak met de genoemde norm. Deze klant kreeg, tot zijn en mijn grote verbazing, nog een paar bevindingen van hetzelfde niveau.
Hoewel je als auditor alleen moet toetsen tegen de norm en daarin je eigen mening niet mee moet nemen, betekent dit niet dat je geen mening mag hebben. Je brengt (als het goed is) een schat aan ervaring mee; je ziet hoe het er bij vergelijkbare bedrijven aan toegaat, je hebt een goede theoretische basis. Vanuit die positie en de kennis die je hebt, ben je verplicht om je klant te challengen. Is de gekozen oplossing echt de beste? Kan de organisatie in de toekomst issues krijgen als ze zo doorgaat? Dat is een reden om een observatie te schrijven. Een aantal van de “bevindingen” die de auditor in kwestie schreef hadden eigenlijk best goede observaties kunnen zijn.
Normaal gesproken bereid ik mijn klanten zo goed voor dat ik niet aanwezig hoef te zijn tijdens een audit. Ik ga er dan ook vanuit dat een auditor diens werk goed doet – en in verreweg de meeste gevallen is dat ook zo. Ik vind het dan ook jammer dat ik dit soort auditoren steeds vaker tegenkom.
Het zou fijn zijn als de Certificerende Instellingen wat meer aandacht zouden besteden aan het correct opleiden van hun auditoren. Dit zal voor alle betrokken partijen een stuk prettiger werken, tot die tijd grijpen we terug op de voor auditoren vervelende vraag: “Oh ja?! WAAR staat dat dan in de norm? Laat eens zien!”