Management

Governance
Controle

Zo maak je een audit onnodig moeilijk

10 manieren om een audit slechter uit te laten pakken dan nodig is.

© CC0 - Pixabay,  geralt
13 juli 2017

10 manieren om een audit slechter uit te laten pakken dan nodig is.

Een audit is nooit leuk. Het betekent een hoop extra werk en bergt altijd een element van onzekerheid in zich. Maar het hoort er nu eenmaal bij.

En als het dan toch moet, dan kun je maar beter zorgen dat zo'n audit goed verloopt. Want een mislukte audit is in ieder geval een smet op je blazoen. Als het om een externe audit door een softwareleverancier gaat, kan het ook behoorlijk kostbaar worden.

Toch lijken sommige IT-afdelingen het erop aan te leggen om een audit te laten mislukken. Dat constateert althans Bruce Harpham, oprichter van Project Management Hacks en publicist, in een artikel voor CIO.com. In de praktijk ziet Harpham IT-afdelingen de volgende fouten maken bij de omgang met in- en externe audits:

1.   Je weet minder van je IT-assets dan degene die de controle uitvoert
Veel organisaties weten niet precies wat ze in huis hebben. Het is bovendien niet ongebruikelijk om de informatie op verschillende plaatsen op te slaan, deels in spreadsheets, deels in losse documenten, zonder dat een proces is ingericht om het overzicht te bewaren en de informatie actueel te houden. Dat zet je in de discussie meteen op achterstand. Een investering in asset management software is daarom in de regel verstandig.

2. Je vertrouwt op handmatige processen om vragen van de controleur te beantwoorden
Gebruik van tooling is ook handig in het afhandelen van informatieverzoeken van de controleur. Het handmatig informatie moet verzamelen uit je systemen levert een grote kans op fouten op, als dat onder tijdsdruk moet gebeuren.

3. Je bent niet in staat audit-uitkomsten aan te vechten
Een softwareleverancier komt het gebruik van zijn software niet voor de lol controleren. Sommige zijn zelfs ronduit agressief. De kans dat je tijdens of na de audit een hoge rekening voorgeschoteld krijgt, is reëel. Je moet je echt opmaken voor een gevecht, als een software-audit wordt uitgevoerd. Eventueel kun je gespecialiseerde consultants en advocaten aanzoeken.

4. Je reageert niet binnen de kortste keren op audit-uitkomsten
Als controleurs misstanden denken te constateren, zullen ze om een reactie vragen. Houd er rekening mee dat ze jouw leidinggevenden ook op de hoogte stellen. Een traag antwoord is in dergelijke gevallen vaak schadelijker voor je carrière dan de misstand op zich.

5. Je betrekt interne auditors niet bij je projectontwikkeling
Eén van de beste manieren om problemen te voorkomen, is het betrekken van de interne auditfunctie bij ontwikkelprojecten. Dat maakt de kans dat er fouten optreden een stuk kleiner. En je voorkomt dat er na afronding van het project alsnog dure aanpassingen doorgevoerd moeten worden.

6. Je bereidt je medewerkers niet voor op een audit
Zonder enige voorbereiding is een audit een vervelende ervaring voor je medewerkers. Bij interne audits schaadt dat de samenwerking, terwijl zo'n audit wel in het bedrijfsbelang is.

7. Je hebt niet nagedacht over de manier waarop een audit begeleid moet worden
Veel van je medewerkers zullen niet goed weten hoe om te gaan met de vragen van auditors. Dat kan tot ongelukken leiden. Problemen kun je afvangen door een aantal van je stafmedewerkers de taak van auditbeheerder toe te wijzen, als liaison tussen auditors en de werkvloer.

8. Je behandelt auditors als de vijand
Niemand vindt het fijn als een ander over zijn schouder mee gaat zitten kijken. Maar als je auditors als de vijand gaat behandelen, vergroot dat de problemen alleen maar. Bij interne audits ondergraaft het bovendien het doel ervan. Internea udits beogen vast te stellen of processen wel optimaal en in overeenstemming met de bedrijfsdoelen ingericht zijn. Daarbij de kont tegen de krib gooien, helpt niet echt.

9. Je ontwikkelt een overdaad aan regels en procedures
Naarmate een bedrijf groter wordt, zul je niet buiten regels en procedures kunnen. Maar denk goed na waar je aan begint. Want als je regels en procedures instelt, verplicht je je medewerkers ook zich daaraan te houden. Het kan zich bij een audit wreken, als die regels te ingewikkeld zijn geworden om na te leven.

10. Je hangt je hoofd in de strop door een overdaad aan uitzonderingen
Meestal zijn uitzonderingen op de bedrijfsregels onder omstandigheden toegestaan, en soms zelfs noodzakelijk. Denk aan het uitstellen van een patch in het besturingssysteem waar een belangrijke applicatie zich in zou verslikken. Maar zo'n afwijking van de regels stelt een auditor voor problemen. Hij zal dan precies willen weten welke regels gelden bij het maken van uitzonderingen, of dat risico's oplevert, en zo ja welke. Dat moet dus goed gedocumenteerd worden, en dat voor alle uitzonderingen die zijn toegestaan.

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.