De auditor komt weer langs. En die gaat natuurlijk weer in onbegrijpelijke taal praten. Of: jij, als auditor gaat naar de auditee en moet daar duidelijk proberen te maken wat je bedoelt.

Een bron van spraakverwarring zijn de begrippen Opzet, Bestaan en Werking. Daarom een uitleg. Zodat de audit een goed verloop kan hebben en in ieder geval niet vanaf het begin al struikelt over begripsverwarring.

Alles draait om de beheersmaatregelen. Let wel: ik bedoel hier mee niet alleen de technische maatregelen, maar zeker ook de operationele maatregelen. Ook het in plaats hebben van risicomanagement is een beheersmaatregel. De begrippen opzet, bestaan en werking worden in het Engels al snel wat duidelijker: ‘design and operating effectiveness’.

De opzet van beheersmaatregelen staat voor ontwerp, bijvoorbeeld te vinden in beleid, zoals informatiebeveiligingsbeleid, privacy beleid, een business case of een projectplan. Als het ontwerp aanwezig is, blijkt dat er een afgewogen keuze is gemaakt. De auditor zal het ontwerp bijvoorbeeld toetsen aan volledigheid. Omdat er van het ontwerp verwacht wordt dat het een formele positie heeft binnen de organisatie (het geeft de kaders voor het treffen en toetsen van de maatregelen) zal er verwacht worden dat het een formele aftekening of goedkeuring heeft gekregen. Denk hierbij aan de handtekening van een directie of MT, of een vastlegging van accordering in een formeel overleg.

Het bestaan zegt zoveel als dat de maatregelen feitelijk zijn getroffen. Voor feitelijke maatregelen (het ophangen en aanzetten van brandmelders) is dat eenvoudig vast te stellen. Voorbeelden van bestaan bij minder concrete maatregelen zijn hoe het ontwerp (de opzet) zich heeft vertaald in procedures, processen en werkwijzen.

De werking gaat over de effectiviteit van de getroffen maatregelen. Doen deze wel hoe ze bedoeld zijn? Hierbij wordt het ontwerp naast de getroffen maatregel gelegd en wordt het effect getoetst.

Als voorbeeld: in het ontwerp staat dat er in iedere ruimte een rookmelder is geplaatst, vanwege een wettelijke plicht. Het ontwerp is gelezen en blijkt volledig. Check. Dan is er een rondgang in het gebouw en in de genoemde ruimten is er een rookmelder aanwezig. Maar dan weten we nog niet of ze het ook feitelijk doen. In dit (korte) voorbeeld zijn zowel opzet als bestaan getoetst. Als de rookmelders getest worden en ze gaan af op het juiste moment (zoals beschreven in het ontwerp, wat getoetst was), dan is ook de werking vastgesteld.

Nu kunnen we tevens ontleden wat er gebeurt als één van de drie ontbreekt of minder sterk is. Over beleid en alles wat te maken heeft met papierwerk wordt nogal eens lacherig gedaan. Een papieren tijger willen we geen van allen zijn. Maar op het moment dat er geen ontwerp is, kunnen we concluderen dat de getroffen maatregelen zijn gebaseerd op de vakkundigheid, visie of inzicht van één of een aantal functionarissen in de organisatie. Plus dat de werking van de getroffen maatregelen niet getoetst zijn. De vraag: ‘doen zij waarvoor ze bedoeld zijn’, kan niet beantwoord worden.

Dan het bestaan: als er alleen zaken op papier staan maar maatregelen niet getroffen zijn, krijgen we een situatie van schijnveiligheid. Hier komt ook de kracht van een audit naar voren. Tijdens een audit zal of kan dit hiaat aangetoond worden.

En als laatste: de werking. De set aan getroffen maatregelen zijn vaak een evolutie. Sommigen bestaan al jaren, sommigen zijn nieuw. En eigenlijk zal iedere keer de effectiviteit van de getroffen maatregelen getoetst moeten worden. Niet persé vanuit de angst dat er te weinig maatregelen zijn, maar meer vanuit het perspectief dat het zonde is als maatregelen niet blijken te voldoen aan de verwachtingen. Want een maatregel kost geld, tijd en energie. En dan is het zonde als ‘ie geen bijdrage levert.

Jorrit van de Walle is directeur bij Audittrail, een audit- en adviesbureau op het gebied van informatiebeveiliging, legal, audit en business control. Samen met een team van bevlogen professionals – experts en juristen –  werkt hij voor opdrachtgevers in verschillende sectoren, in verschillende landen.