De moderne auditor: van 'comply or explain' naar 'search or explain'

Caspar Silvester

Nog niet zo lang geleden kon het voorkomen dat bij het ondergaan van een audit op compliancy bij de geauditeerde partij het gevoel ontstond dat het aanleveren van bewijs méér het doel was dan het daadwerkelijk voldoen aan de norm. Bijvoorbeeld ten aanzien van normen als ISO27001, BIR of ISO900X. 

Auditors

Inzicht in intenties, bedoelingen, daadwerkelijk ingevoerde werkwijzen, processen en procedures waren niet voldoende om de auditors te overtuigen van het feit dat wel degelijk zorgvuldig met de norm werd omgegaan. Inbedding in de eigen processen, borging voor de volgende jaren via backlogs en jaarplannen, invoeren van concrete management cycli (P&C en PDCA), dat alles werd door auditors pas als acceptabel bewijs voor het correcte functioneren gezien als de beschrijvingen van dat bewijs de juiste terminologie bevatten. 

In het kort: een organisatie kan volledig compliant zijn, maar het niet goed hebben verwoord, beschreven, vastgelegd en is daardoor dus niet compliant? Zelfs de voorgaande zin kan taaltechnisch beter, maar dat is ook juist het probleem: compliancy werd door auditors anders uitgelegd dan door de geauditeerde organisatie. De organisatie werkt naar de intentie van de norm, de auditors naar de letter.

Voldoen aan de norm

Er zit sowieso een tegenstrijdigheid in het auditproces versus het voldoen aan een norm. Voldoen aan een norm is wat anders dan hem van toepassing verklaren en daarmee direct beweren dat je in opzet dus al voldoet. Maar auditors duwden organisaties wel eens in die richting. Als de vrijwel letterlijke tekst van een normpunt niet terug gevonden werd in het aangeleverde evidence, dan werd een non-conformity vastgesteld. Het opnemen van de letterlijke normtekst zou dan de oplossing zijn? Als dat het geval zou zijn, is het van toepassing verklaren  van de norm (met een brief van het management erbij en vaststelling in het managementoverleg), voor opzet toch de enig juiste weg? Of men verspreidt normteksten over diverse beleidsdocumenten, zodat ernaar verwezen kan worden?

Mijn inziens ging men in die tijd dus veel te ver met de zoektocht naar compliancy. Het is als met de huidige inhuur van externe medewerkers via brokers en andere tussenpersonen: als de knock-out criteria niet letterlijk in de aangeboden CV terugkomen, valt zelfs de beste geëquipeerde kandidaat af. Zeg maar: de CISSP, CISM, CISA, CRISC kandidaat met 15 jaar ervaring op het relevante/gevraagde taakgebied valt af omdat hij geen WO-opleiding heeft gevolgd….

De eerste selectie wordt dan ook vaak gedaan door “de jongste bediende”, die de achtergrond van het gevraagde niet doorgrondt. Als kaf van koren gescheiden moet worden omdat er koren in overvloed is, kan deze aanpak gebillijkt worden, maar als het koren al met een lampje te zoeken is? Verder gaat deze vergelijking natuurlijk mank op intentie en is voer voor een andere discussie.

Gelukkig is dat nu wel anders.

Rol van de auditors

Auditors, met name die van de Rijksdienst, houden het ‘prepare by client’-principe aan. Dat is een terechte keuze in het onderzoek naar compliancy. Niet langer helpt de betrokken auditor de geauditeerde om het gevraagde bewijs tot stand te brengen, met adviezen die nogal eens leidden tot "handen in het haar", maar de auditor pakt nu zijn echte rol: hij beoordeelt dat wat de organisatie volledig zelfstandig aanlevert. Zo hoort het ook -  goed bedoelde adviezen vanuit de auditor konden er weleens toe leiden dat hij eigenlijk zijn eigen vlees aan het keuren was, of tot gemakzucht bij de betrokken geauditeerde. 

Dit lijkt lastiger voor degene die de audit ondergaat, omdat hij pas terugkoppeling krijgt nadat hij zijn bewijs op orde heeft. Maar dat is natuurlijk wel zo logisch. Een groot voordeel is dat deze betrokken partij zich veel beter realiseert dat het voldoen aan een norm vooral iets is dat hij zelf wil, en niet doet ‘omdat de auditors langskomen’. Immers, er wordt veel meer van hem verwacht. 

Voldoen aan de norm

Zijn organisatie dient de betrokken norm gewoon op orde te hebben, omdat dit daarmee beter beklijft in de organisatie (borging) en méér gaat behoren tot de standaard werkwijze. Voldoen aan een norm is tenslotte géén project. Ieder project is per definitie eindig en daar kan met een norm geen sprake van zijn. Een norm bouw je in je eigen organisatie in, compleet met controles, verbetervoorstellen en implementatie van die verbeteringen. En wanneer je beseft dat het ‘op orde hebben’ betekent dat je ook zelf de controle wilt houden én dat ook zichtbaar moet zijn, dan is het verzorgen van bewijs een logisch gevolg.

Is er dan helemaal geen overleg met de auditors (mogelijk)? Natuurlijk wel, bij voorkeur voorafgaande aan het daadwerkelijke onderzoek. De neuzen dezelfde kant op richten, het eens worden over de interpretatie van een mogelijk onduidelijke norm-eis, een tijdspad uitzetten, kortom: verwachtingsmanagement. 

De moderne auditor

Als beide partijen elkaars rol accepteren en respecteren, wordt het belangrijkste bereikt: een organisatie die een norm heeft verwerkt in haar beleid, processen, procedures, werkinstructies, systemen en tussen de oren van haar medewerkers én een positief oordeel hierover van de auditerende partij. Maar ook: een keurige (voorlopige) reactie per auditpunt/norm-eis, tijdig aangeleverd zodat de betrokkenen nog verbeteringen kan aanbrengen voordat het definitieve oordeel wordt geveld. Dat past de moderne auditor beter.

Dit vraagt een verschuiving van “Comply or Explain” naar “Search or Explain”, omdat een organisatie er zelf beter van wordt een voor hem geldende norm te implementeren. Beter dan alleen maar zoeken naar bewijs om de auditor tevreden houden.

Meer weten over de implementatie van normen voor informatiebeveiliging? 

Heb je hulp nodig bij het implementeren van een norm, of dat nu ISO2700X of NEN7510 of AVG/GDPR, BIO, DIGID, ISO900X, ISO22301 is neem dan contact met ons op. Wij kijken niet alleen naar je uitdaging vanuit de technische en organisatorische implementatie van je norm, maar ook vooral naar de kwaliteit ervan.