Wat is een audit, wat is een review?

Audit / Review

Wat is een audit eigenlijk? En wat is een review? Deze vraag komen we vaker tegen. Audits en Reviews lijken in vele opzichten namelijk op elkaar en worden vaak met elkaar verward. Beide zijn het activiteiten om de kwaliteit van automatiseringsproducten vast te stellen. Beide vinden ze bovendien onafhankelijk van het eigenlijke maak-proces plaats.

Er zijn echter een aantal belangrijke verschillen. Deze verschillen zijn als volgt nader te definiëren :

  • Reviews vinden plaats op alle aspecten van opzichzelfstaande IT-producten. Audits vinden plaats op enkele aspecten van alle producten.
  • Reviews voeren we uit met een team uit de eigen organisatie. Maar audits worden uitgevoerd door onafhankelijke specialisten.

Resultaten

Met een audit is een onpartijdige oordeel over de kwaliteit dus meer gewaarborgd. Daar tegenover staat dat de opdrachtgever vrijwel geen invloed heeft op de uitkomsten. Hij moet sterk vertrouwen op de expertise van het auditbureau. Om deze reden geven we de opdracht voor een audit meestal aan een speciaal auditbureau met specialisten op het vakgebied. Om toch enigszins voorbereid te zijn op de resultaten van de audit kunnen we besluiten om een proefaudit uit te voeren. Dit kan echter door eigen specialisten. Zo kan het bedrijf al vast aan de oplossing van geconstateerde afwijkingen beginnen. Het geeft een goede indruk als tijdens de werkelijke audit blijkt dat de problemen al onderkend zijn en er een oplossingsrichting is gekozen. Dit kan namelijk tot een gunstige opmerking in het auditrapport leiden.

Wat is een audit type?

In het algemeen zijn er een aantal verschillende objecten waarover een IT audit is uit te voeren. Om te voorkomen dat we een audit te breed opzetten, er tegenstrijdige resultaten komen of te veel tijd verloren gaat moeten we een onderscheid maken tussen de volgende audittypes:

1. Organisatie audit

Dit is een audit die we uit laten voeren over het functioneren van een organisatie, inclusief de gebruikte informatiesystemen. In dit type audit willen we vaststellen of de organisatie wel doelmatig werkt. Tevens laten we onderzoeken of er voldoende hulpmiddelen zijn die de organisatie ondersteunen.

2. Technische systeemaudit

Direct na de ingebruikname van een informatiesysteem kunen we het systeem technisch laten doorlichten door een onafhankelijke organisatie. De specialisten die we hier op hierop zetten moeten echter zeer bekend zijn het automati­seringplatform waarop het informatiesysteem gebaseerd is. Het rapport van deze audit zegt niet alleen iets over de systeemopzet zoals programmatuur, netwerk en database. Het zal ook ingaan op de onderhoudbaarheid en de kwaliteit van de documenta­tie. De adviezen zullen leiden tot groter verbeteringen van de performance en het systeembeheer.

3. Functionele systeemaudit

De functionele systeemaudit wordt voornamelijk ingegeven vanuit een controle oogpunt en dient vragen te beantwoorden als “Is het systeem controleerbaar?”, “Is het systeem te beheersen?” en “Levert het systeem voldoende managementinformatie op?”. We kijken onder meer naar functiescheiding, controle-totalen en toegang.

4. Operationeel systeem audit

Als een informatiesysteem al geruime tijd in werking is zal het onderhoud op het systeem toenemen. De vraag die we dan moeten beantwoorden is: “Is het nog steeds verantwoord om verder te gaan met het onderhoud, of moeten we een nieuwbouw project overwegen?”. In dit type audit wegen we met name de risico’s en de kosten van de verschillende alternatieven tegen elkaar af. Zodoende kunnen we een verantwoorde keuze maken.

5. Projectaudit

Een projectaudit geeft een oordeel over het verloop van een project. De auditors kijken met name of we de kwaliteitshandboeken, procedures en projectplan­nen goed volgen. Tussentijdse audits kunnen we bovendien gebruiken om het risico te bepalen en het project bij te sturen. Daarbij bekijken we of de projectleider het project voldoende beheerst en of de diepgang en kwaliteit van de mijlpraalproducten voldoende is. Bij een eindaudit het project is het echter niet meer mogelijk om het project bij te sturen. De uitkomsten kunnen we wel gebruiken om de projectin­richting van volgende projecten te verbeteren.

6. Kwaliteitsaudit

In voorkomende gevallen kan een klant wensen dat bij een leveran­cier een audit wordt uitgevoerd. Hij wil dan graag weten hoe de kwaliteit van het maakproces van de producten is. De uitkomsten dienen in dat geval als uitgangspunt voor het vertrouwen in de leverancier. Het is verstandig om deze mogelijkheid vooraf in het contract vast te leggen.

Wat is een goed moment voor een audit?

Het moment waarop een audit plaatsvindt dient altijd te worden ingepland. Dat is namelijk afhankelijk van het object waarover een audit moet plaatsvinden. Het te auditen object moet namelijk gereed zijn. Daarnaast kennen we twee type audits te weten de eenmalige- en de regelmatige-audit. De eenmalige audit vind meestal na afronding van een projectmijlpaal plaats. De terugkerende audit is echter anders van aard. Deze dient meestal om een bepaalde situatie te handhaven of tekortkomingen in een kwali­teitssysteem te lokaliseren. Hierbij moeten we denken aan het verlengen van bijvoorbeeld ISO-9000 certificaten. Daarvoor moet een bedrijf telkens opnieuw via een audit laten vaststellen of het nog aan de voorwaarden voldoet. Alleen een certificerende instantie mag de ISO-9000 audit uitvoeren.

Wat is een audit opdracht en wat is een audit plan?

Een Audit volgt doorgaans op een Quick Scan. De Quick Scan levert al een aantal bevindingen op waar de audit dan dieper naar gaat graven.

De auditopdracht dient duidelijk te maken om wat voor soort audit het gaat en wat het bereik is. Het is namelijk belangrijk om het bereik goed in de opdracht af te bakenen. Het is ook belangrijk om duidelijk aan te geven welke aard van aanbevelingen gewenst zijn.

Tevens dienen we aan te geven binnen welk tijdsbestek we de audit moeten laten uitvoeren. Aan de hand van de opdracht en enkele informerende gesprekken zal het bureau een offerte maken. Na gunning van de opdracht kan men de eigenlijke audit uitvoeren aan de hand van een auditplan. Dit plan werken we volgens de ISO-10011 norm op de volgende aspecten nader uit:

  • Het doel en bereik (nadere uitwerking van de opdracht).
  • Identificatie van personen die verantwoordelijkheden hebben met betrekking tot het doel en het bereik.
  • Inventarisatie van de documentatie.
  • Identificatie van het auditteam.
  • Het tijdstip, duur en de locatie.
  • Identificatie van de te auditen organisatie-eenheden.
  • Overzicht van de te houden bijeenkomsten.
  • Vaststelling van de eisen ten aanzien van de vertrouwelijkheid en rapportage.
  • Vaststelling van de datum van de presentatie van het auditrapport.

De betrokkenen bij een audit

Bij een audit is doorgaans een groep personen betrokken die ieder een bepaalde rol vervullen. Anders dan bij de review hoeven de meeste van deze personen niet perse een professionele instelling t.a.v. kwaliteit te hebben. Ze dienen echter wel ter zake kundig te zijn. De auditors zelf dienen echter wel een bepaalde persoonlijkheid te hebben waardoor zij de juiste toon kunnen zetten om de door hun gewenste acties uit te laten voeren.

Afhankelijk van het audit, de omvang en de complexiteit van het auditobject onderkennen we de volgende rollen:

De auditleider

  • De auditleider coördineert de audit en is bovendien verantwoordelijk voor de te volgen procedu­res. Tevens maakt hij de afspraken voor vergaderingen. Meestal is hij een medewerker van het bureau dat de audit uitvoert. De auditleider zal het auditproces tevens evalueren op zijn bruikbaarheid zodat het eventueel kan worden verbetert. In dit geval echter voor eigen gebruik van het auditbu­reau.

De auditor

  • De auditor is een medewerker van het auditbureau en is bovendien materiedeskundige op het gebied waarover hij de audit gaat uitvoeren. Hij beoordeelt mede het auditobject en let daarbij met name op die aspecten waarvan hij materiedeskundige is. Tevens stelt hij mede het auditrapport op.

De opdrachtgever

  • De opdrachtgever geeft aan welke objecten aan een audit onderworpen moeten worden. Tevens zal hij het auditbureau in de organisatie introduceren. Het auditbureau rapporteert aan de opdrachtgever.

Het afdelingshoofd / de teamleider

  • Het afdelingshoofd of de teamleider is verantwoordelijk voor de activiteiten die op de afdeling plaatsvinden. Hij is direct betrokkene betreffende die onderdelen van zijn organisatie omvat. Hem zullen interviews worden afgenomen terwijl hij tevens deelneemt aan vergaderingen betreffende de audit.

De afdelingsmedewerkers

  • De auditor zal ook de afdelingsmedewerkers interviewen. Tevens zal hij de documentatie, die de medewerkers bij de uitvoering van hun werk gebruiken, onderzoeken. Het is mogelijk dat hij dit onderzoek in meerdere sessies uitvoert. Als dat het geval is vraagt hij de medewerkers om in een volgende sessie aan te tonen dat zij over de juiste documentatie beschikken.

Auditactiviteiten

De volgende activiteiten worden als onderdeel van de audit uitgevoerd :

  1. Kennismaking auditteam en vaststellen officiële overlegstructuur.
  2. Verspreiding van het auditplan, de te hanteren methoden en technieken en de checklis­ten.
  3. Doornemen aanwezige documentatie(procedures+bedrijfsprocessen) t.b.v. de beeldvorming.
  4. Afnemen van interviews voor nadere uitleg en achtergronden.
  5. Onderzoek van het eigenlijke auditobject op afwijking t.o.v. de documentatie.
  6. Afnemen aanvullende interviews ten behoeve van toelichting op onduidelijkheden.
  7. Opstellen concept auditrapport.
  8. Doornemen concept auditrapport met objecteigenaar waarbij de eigenaar in de gelegenheid is om de normafwijkingen te weerleggen.
  9. Opstellen definitief auditrapport.
  10. Presentatie definitief auditrapport aan opdrachtgever.

De opdrachtgever zal over het algemeen actie ondernemen om de aanbevelingen in het rapport op te volgen. Tevens plant hij een vervolgaudit in.

Auditrapport

Wat is een audit waard zonder een goed auditrapport. Volgens de ISO 10011-1 norm dient een auditrapport de volgende onderdelen te bevatten :

  • Doel en bereik van de audit.
  • Het auditplan.
  • Gegevens over de samenstelling van het auditteam.
  • De verantwoordelijken bij de te auditen organisatie.
  • De datums waarop de diverse activiteiten zijn uitge­voerd.
  • Specifieke gegevens over de organisatie.
  • Identificatie van de toegepaste en beoordeelde documentatie.
  • De vastgestelde normafwijkingen.
  • Oordeel van het auditteam over de ernst van de normafwijking.
  • Aanbevelingen over de wijze waarop de normafwijkingen kunnen worden opgeheven.
  • De lijst voor de distributie van het auditrapport.
LinkedIn Group

Discussieer mee op LinkedIn.

Samenvatting
Wat is een audit, wat is een review?
Artikel
Wat is een audit, wat is een review?
Beschrijving
Wat is een audit en hoe pak je het aan? Audits en Reviews lijken in vele opzichten op elkaar en worden vaak met elkaar verward. Beide zijn het activiteiten om de kwaliteit van automatiseringsproducten vast te stellen en beide vinden ze onafhankelijk van het eigenlijke maak-proces plaats. Hoe maken we een auditplan?
Auteur
Publisher Naam
ITpedia
Publisher Logo

Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.

Laatste artikelen

Sidebar