Wat is een audit, wat is een review?

Audits en Reviews lijken in vele opzichten op elkaar en worden vaak met elkaar verward. Beide zijn het activiteiten om de kwaliteit van automatiseringsproducten vast te stellen en beide vinden ze onafhankelijk van het eigenlijke maak-proces plaats.

Er zijn echter een aantal belangrijke verschillen. Deze verschillen zijn als volgt nader te definiëren :

• Reviews vinden plaats op alle aspecten van opzichzelfstaande IT-producten. Audits vinden plaats op enkele aspecten van alle producten.
• Reviews worden uitgevoerd door een team uit de eigen organisatie. Audits worden uitgevoerd door onafhankelijke specialisten.

Met een audit is een onpartijdige oordeel over de kwaliteit dus meer gewaarborgd. Daar tegenover staat dat de opdrachtgever vrijwel geen invloed heeft op de uitkomsten van de audit en sterk moet vertrouwen op de expertise van het auditbureau. Om deze reden wordt de opdracht voor een audit meestal gegeven aan een speciaal auditbureau of een accountantskantoor met specialisten op het vakgebied. Om toch enigszins voorbereid te zijn op de audit en de resultaten kan het management besluiten om een proefaudit te laten uitvoeren door eigen specialisten om zo vast aan de oplossing van geconstateer­de afwijkingen te beginnen. Het geeft namelijk een goede indruk als tijdens de werkelijke audit blijkt dat de problemen al onderkend zijn en een oplossingsrichting is gekozen. Dit kan tot een gunstige opmerking in het auditrapport leiden.

IT-Audit types.

In het algemeen zijn er een aantal verschillende objecten waarover een audit is uit te voeren. Om te voorkomen dat een audit te breed wordt opgezet, er tegenstrijdige resultaten komen of te veel tijd verloren gaat moet er een onderscheid worden gemaakt tussen de volgende audittypes :

1. Organisatie audit. Dit is een audit uit te voeren over het functioneren van een organisatie inclusief de gebruikte informatiesystemen. In dit type audit wil men vaststel­len of de organisatie wel doelmatig werkt en voldoende door de hulpmiddelen wordt ondersteund.

2. Technische systeemaudit. Direct na de ingebruikname van een informatiesysteem kan het systeem technisch worden doorgelicht door een onafhankelijke organisatie. De specialisten die op dit type audit worden ingezet moeten zeer bekend zijn het automati­seringplatform waarop het informatiesysteem gebaseerd is. Het rapport van deze audit zal niet alleen iets over de systeemopzet zoals programmatuur, netwerk en database zeggen maar ook ingaan op de onderhoudbaarheid en de kwaliteit van de documenta­tie. De adviezen uit deze audit kunnen leiden tot groter verbeteringen van de performance en het systeembeheer.

3. Functionele systeemaudit. De functionele systeemaudit wordt voornamelijk ingegeven vanuit een controle oogpunt en dient vragen te beantwoorden als “Is het systeem controleerbaar?”, “Is het systeem te beheersen?” en “Levert het systeem voldoende managementinformatie op?”. Er wordt ondermeer gekeken naar functiescheiding, controle totalen en toegang.

4. Operationeel systeem audit. Als een informatiesysteem reeds geruime tijd in werking is zal het onderhoud op het systeem toenemen. De vraag die dan moet worden beant­woord is “Is het verantwoord om verder te gaan met het onderhoud, of moet een nieuwbouw project worden overwogen?”. In dit type audit worden met name de risico’s en de kosten van de verschillende alternatieven tegen elkaar afgewogen zodat een verantwoorde keuze kan worden gemaakt.

5. Projectaudit. Een projectaudit geeft een oordeel over het verloop van een project. Er wordt gekeken naar het volgen van kwaliteitshandboeken, procedures en projectplan­nen. Tussentijdse audit kunnen worden gebruikt om het risico te bepalen en het project bij te sturen. Daarbij wordt bekeken of het project voldoende wordt beheerst door de projectma­nager en of de diepgang en kwaliteit van de mijlpaalproducten voldoende is. Bij een eindaudit het project is het niet meer mogelijk om het project bij te sturen, de uitkom­sten van de audit kunnen echter worden gebruikt om de projectin­richting van volgende projecten te verbeteren.

6. Kwaliteitsaudit. In voorkomende gevallen kan een klant wensen dat bij een leveran­cier een audit wordt uitgevoerd waaruit blijkt hoe de kwaliteit van het maakproces van de producten is. De uitkomsten van de audit dienen dan als uitgangspunt voor het vertrouwen in de leverancier.

Moment van audit.

Het moment waarop een audit plaatsvindt dient altijd te worden ingepland en is afhanke­lijk van het object waarover een audit moet plaatsvinden. Het object waarover de audit wordt uitgevoerd moet namelijk gereed zijn. Daarnaast kennen we twee type audits te weten de eenmalige- en de regelmatige-audit. De eenmalige audit vind meestal na afronding van een projectmijlpaal plaats. De terugkerende audit is anders van aard en dient meestal om een bepaalde situatie te handhaven of tekortkomingen in een kwali­teitssysteem te lokaliseren. Hierbij moet worden gedacht aan het verlengen van bijvoorbeeld ISO-9000 certificaten waarvoor telkens opnieuw via een audit wordt bepaald of de organisa­tie nog aan de voorwaarden voldoet. De ISO-9000 audits worden alleen door een certificerende instantie uitgevoerd.

Auditopdracht en -plan.

De auditopdracht dient duidelijk te maken om wat voor soort audit het gaat en wat het bereik van de audit is. Het is belangrijk om het bereik goed in de opdracht af te bakenen en duidelijk aan te geven welke aard van aanbevelingen gewenst zijn.

Tevens dient te worden aangegeven binnen welk tijdsbestek de audit moet worden uitgevoerd. Aan de hand van de opdracht en enkele informerende gesprekken zal het bureau een offerte maken. Na gunning van de opdracht kan de eigenlijke audit worden uitgevoerd aan de hand van een auditplan. Volgens de ISO-10011 norm worden in dit plan de volgende aspecten nader uitgewerkt :

– Het doel en bereik van de audit (nadere uitwerking van de opdracht);
– Identificatie van personen die verantwoordelijkheden hebben met betrekking tot het doel en het bereik;
– Identificatie van de documentatie;
– Identificatie van het auditteam;
– Het tijdstip, duur en de lokatie van de audit;
– Identificatie van de te auditen organisatie-eenheden;
– Overzicht van de te houden bijeenkomsten;
– Vaststelling van de eisen ten aanzien van de vertrouwelijkheid van de audit en rapportage.
– Vaststelling van de datum van de presentatie van het auditrapport.

De betrokkenen bij een audit.

Bij een audit is doorgaans een groep personen betrokken die ieder een bepaalde rol tijdens de audit vervullen. Anders dan bij de review hoeven de meeste van deze personen niet perse een professio­nele instelling t.a.v. kwaliteit te hebben, ze dienen echter wel terzakekundig te zijn. Auditors dienen echter wel een bepaalde persoon­lijkheid te hebben zodat zij de juiste toon kunnen zetten zodat de door hun gewenste acties worden uitgevoerd.

Afhankelijk van het audit, de omvang en de complexiteit van het auditobject worden de volgende rollen onderkent :

De auditleider.
•    De auditleider coördineert de audit en is verantwoordelijk voor de te volgen procedu­res. Tevens maakt hij de afspraken voor vergaderingen. Meestal is hij een medewerker van het bureau dat de audit uitvoert.

De auditleider zal het auditproces tevens evalueren op zijn bruikbaarheid zodat het eventueel kan worden verbetert, in dit geval voor eigengebruik van het auditbu­reau.

De auditor.
•    De auditor is een medewerker van het auditbureau en is materiedeskundig op het gebied waarover de audit wordt uitgevoerd.

De auditor beoordeelt mede het auditobject en let daarbij met name op die aspecten waarvan hij materiedeskundig is. Tevens stelt hij mede het auditrapport op.

De opdrachtgever.
•    De opdrachtgever geeft aan welke objecten aan een audit onderworpen moeten worden.

Tevens zal hij het auditbureau in de organisatie introduceren. Het auditbureau rapporteert aan de opdrachtgever.

Het afdelingshoofd.
•    Het afdelingshoofd is verantwoordelijk voor de activiteiten die op de afdeling plaats­vinden. Hij is direct betrokkene in een audit die onderdelen van zijn organisatie omvat. Hem zullen interviews worden afgenomen terwijl hij tevens deelneemt aan vergaderin­gen betreffende de audit.

De afdelingsmedewerkers.
•    De afdelingsmedewerkers zullen door de auditor geïnterviewd worden. Tevens zal de docu­mentatie die de medewerkers bij de uitvoering van hun werk gebruiken worden onderzocht. Het is mogelijk dat dit onderzoek in meerdere sessies wordt uitgevoerd, waarbij de medewerkers wordt gevraagd om in een volgende sessie aan te tonen dat zij over de juiste documentatie beschikken.

Auditactiviteiten.

De volgende activiteiten worden als onderdeel van de audit uitgevoerd :

1. Kennismaking auditteam en vaststellen officiële overlegstructuur voor de audit.
2. Verspreiding van het auditplan, de te hanteren methoden en technieken en de checklis­ten.
3. Doornemen aanwezige documentatie(procedures) t.b.v. de beeldvorming.
4. Afnemen van interviews voor nadere uitleg en achtergronden.
5. Onderzoek van het eigenlijke auditobject op afwijking t.o.v. de documentatie.
6. Afnemen aanvullende interviews ten behoeve van toelichting op onduidelijkheden.
7. Opstellen concept auditrapport.
8. Doornemen concept auditrapport met objecteigenaar waarbij de eigenaar in de gelegenheid is om de normafwijkingen te weerleggen.
9. Opstellen definitief auditrapport.
10. Presentatie definitief auditrapport aan opdrachtgever.

De opdrachtgever zal over het algemeen actie ondernemen om de aanbevelingen in het rapport op te volgen en een vervolgaudit te laten uitvoeren.

Auditrapport.

Volgens de ISO 10011-1 norm dient een auditrapport de volgende onderdelen te bevatten :

– Doel en bereik van de audit;
– Het auditplan, gegevens over de samenstelling van het auditteam, de verantwoordelij­ke bij de te auditen organisatie, de datums waarop de diverse activiteiten zijn uitge­voerd en specifieke gegevens over de organisatie;
– Identificatie van de toegepaste en beoordeelde documentatie;
– De vastgestelde normafwijkingen;
– Oordeel van het auditteam over de ernst van de normafwijking;
– Aanbevelingen over de wijze waarop de normafwijkingen kunnen worden opgeheven;
– De lijst voor de distributie van het auditrapport.

Boeken over dit onderwerp

Praktijkgids – Werken met ISO 9001:2015

Auteur: René Gouwens
Deze praktijkgids ‘Werken met ISO 9001:2015 – De impact van kwaliteitsmamagement’ is samengesteld voor organisaties die willen starten met het opzetten van een kwaliteitsmanagmentsysteem volgens ISO 9001.
Europrijs: 59,0
Bestellen

Bartleby the Scrivener

Auteur: Herman Melville
A pathetic law clerk refuses to be fired. Themes: isolation; alienation.
Europrijs: 4,95
Bestellen




Summary
Wat is een audit, wat is een review?
Article Name
Wat is een audit, wat is een review?
Description
Audits en Reviews lijken in vele opzichten op elkaar en worden vaak met elkaar verward. Beide zijn het activiteiten om de kwaliteit van automatiseringsproducten vast te stellen en beide vinden ze onafhankelijk van het eigenlijke maak-proces plaats.
Author
Publisher Name
ITpedia
Publisher Logo

-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Audit gebruikersorganisatie 81 vragen.
Audit organisatie rond de werkplek 32 vragen.
Audit interne-controleerbaarheid 65 vragen.
Audit organisatie verwerkingsorganisatie 52 vragen.
Audit ontwikkelafdeling 51 vragen.
Systeem audit 54 vragen.
Audit privacy-gevoelige gegevens 16 vragen.
Audit inrichting computerruimte 31 vragen.
Sidebar