Interne of externe auditor: waar de keuze echt over gaat
De interne audit is verplicht. Clausule 9.2 vraagt erom, in 27001:2022 en in 7510:2024. Maar de norm schrijft niet voor wie de audit uitvoert, en evenmin hoe diep die gaat. De keuze voor een interne of externe auditor is daarmee aan jou. En die keuze bepaalt of de interne audit iets oplevert of alleen een rapport.
Voor een security officer is dat geen detail. De interne audit is het moment waarop de werking van het managementsysteem wordt getoetst, niet alleen het bestaan ervan. Een zwakke interne audit laat precies dat onbeproefd.In de zorgsector gelden aanvullende eisen voor informatiebeveiliging. Wij voeren gecombineerde audits uit waarbij de zorgspecifieke normatieve context volledig wordt meegenomen.
De onafhankelijkheidseis is geen formaliteit
Elke norm met een interne audit stelt dezelfde eis: de auditor beoordeelt niet het eigen werk. Clausule 9.2 vraagt om objectiviteit en onpartijdigheid van het auditproces. Op papier voldoen de meeste organisaties daaraan. In de praktijk minder vaak.
De kwaliteitsmanager die het systeem heeft ingericht, auditeert datzelfde systeem. De proceseigenaar beoordeelt het proces dat hij zelf heeft ontworpen. Beiden zijn deskundig. Geen van beiden is onafhankelijk.
Onafhankelijkheid gaat niet over deskundigheid, maar over afstand. Een auditor die te dicht op het werk zit, ziet niet meer wat hij is gaan beschouwen als normaal. De toegangsrechten die nooit zijn ingetrokken. De maatregel die stilletjes niet meer wordt toegepast. De meest voorkomende tekortkoming die wij in interne audits zien, is niet een ontbrekende maatregel, maar een afwijking zonder eigenaar. Dat is precies wat een interne audit hoort bloot te leggen.Voor een security officer is dat geen detail. De interne audit is het moment waarop de werking van het managementsysteem wordt getoetst, niet alleen het bestaan ervan. Een zwakke interne audit laat precies dat onbeproefd.In de zorgsector gelden aanvullende eisen voor informatiebeveiliging. Wij voeren gecombineerde audits uit waarbij de zorgspecifieke normatieve context volledig wordt meegenomen.
Interne of externe auditor: de afweging hangt af van omvang
De vraag wie de audit uitvoert kent grofweg twee antwoorden, en het juiste antwoord hangt af van de omvang van de organisatie.
Kwalitatief is een externe auditor de sterkste keuze. De onafhankelijkheid is direct geborgd en de normkennis is diepgaand. In kleinere organisaties is dat vaak ook de enige werkbare optie, omdat bijna iedereen ergens bij betrokken is en interne onafhankelijkheid lastig te organiseren valt.
Is er behoefte aan een interne auditfunctie, bijvoorbeeld omdat de organisatie groter is of de auditfrequentie hoog ligt, dan is één opzet optimaal: een interne auditor die je opleidt en die extern wordt begeleid. De interne auditor kent de organisatie, de processen en de cultuur. De externe begeleiding borgt de onafhankelijkheid op de onderdelen die er toe doen en brengt de normkennis die je niet met een tweedaagse cursus opbouwt.
De fout die ik vaak zie: de keuze wordt op kosten gemaakt. Intern lijkt goedkoper, dus intern. Maar de vraag is niet wat de audit kost. De vraag is of de audit iets oplevert.De kwaliteeisen voor informatiebeveiliging. Wij voeren gecombineerde audits uit waarbij de zorgspecifieke normatieve context volledig wordt meegenomen.
Competentie is een aparte eis naast onafhankelijkheid
Onafhankelijkheid alleen is niet genoeg. Clausule 7.2 vraagt om aantoonbare competentie. Een onafhankelijke auditor die de norm niet diep genoeg kent, stelt de juiste vragen niet en vraagt niet door op het antwoord.
Dat is de zwakte van de tweedaagse interne-auditcursus. Die leert iemand een audit uitvoeren volgens een vast stramien. Ze leert diegene niet beoordelen of een risicoafweging klopt, of een maatregel het beoogde risico daadwerkelijk afdekt. Die beoordeling vraagt ervaring met de norm in meerdere organisaties.
Een volwaardige interne auditronde op 27001:2022 of 7510:2024 kost al snel drie tot vijf dagen, voorbereiding en rapportage meegerekend. Wie die tijd niet investeert, krijgt een audit die het bestaan van het systeem bevestigt, niet de werking ervan.
Diepgang: het auditprogramma dat te vlak is
Onafhankelijkheid bepaalt of de audit iets kan vinden. Competentie bepaalt of de auditor doorvraagt. Het auditprogramma bepaalt of de audit op de juiste plek kijkt. Daar gaat het vaak mis, en zelden door slordigheid. Meestal door gelijkmatigheid.
Elk proces krijgt evenveel aandacht. Elk jaar dezelfde scope. Een vaste ronde langs alle clausules, netjes over de maanden verdeeld. Het oogt grondig, maar het is oppervlakkig. Een programma dat alles even diep bekijkt, bekijkt niets echt diep.
Een goed auditprogramma is risicogestuurd. Waar zit de meeste verandering sinds vorig jaar? Waar zijn incidenten geweest? Welk proces hangt aan een paar mensen? Daar gaat de diepgang heen. Processen die stabiel zijn en een laag risico dragen, kunnen lichter. Het verschil tussen een programma dat alles aanraakt en een programma dat iets vindt, zit in die keuze.
In de zorg: HKZ en NEN 7510 vragen verschillende kennis
In zorgorganisaties komt daar een vraag bij. HKZ en 7510:2024 worden vaak in één interne auditronde ondergebracht. Dat scheelt tijd, maar het zijn verschillende kennisdomeinen.
HKZ richt zich op kwaliteit van zorg: processen, cliëntveiligheid, continue verbetering. 7510:2024 richt zich op informatiebeveiliging in de zorgcontext: vertrouwelijkheid van patiëntgegevens, toegangsbeheer, beschikbaarheid van systemen. Een auditor die sterk is in het ene domein, is dat niet vanzelf in het andere.
Het gevolg laat zich raden. De kwaliteitskant wordt grondig getoetst, de informatiebeveiligingskant wordt een formaliteit. De vragen over toegangsbeheer, logging en risicobeoordeling worden gesteld, maar niet doorgevraagd. Voor een security officer is dat de gevaarlijkste uitkomst, omdat juist daar de werking onbeproefd blijft. Een gecombineerde ronde kan, mits je erkent dat het twee vragen zijn die twee competenties vereisen
Van verplichting naar stuurinstrument
De interne audit is het enige onderdeel van het managementsysteem dat je volledig kunt richten op wat jouw organisatie nodig heeft. De externe auditor komt om te beoordelen of je voldoet. De interne audit is van jou.
Gebruikt als verplichting levert het een vinkje op. Gebruikt als stuurinstrument levert het inzicht op: welke risico’s je beheerst, of de maatregelen werken, en waar de organisatie zichzelf voor de gek houdt.
Wil je de interne audit uitbesteden, of liever een interne auditor opleiden onder externe begeleiding? iQomply doet beide, op 27001:2022 en 7510:2024. Neem contact op voor een gesprek over wat bij jouw organisatie past.
Veelgestelde vragen over interne audits
Mag de kwaliteitsmanager de interne audit zelf uitvoeren?
Alleen voor de delen waar diegene niet zelf verantwoordelijk voor is. Clausule 9.2 verbiedt het beoordelen van het eigen werk. Heeft de kwaliteitsmanager het managementsysteem ingericht, dan kan hij dat systeem niet onafhankelijk auditen. In kleinere organisaties is dat lastig te scheiden en is een externe auditor vaak de enige werkbare oplossing.
Moet een interne auditor onafhankelijk zijn volgens de norm?
Ja. Zowel 27001:2022 als 7510:2024 eisen objectiviteit en onpartijdigheid van het auditproces. De auditor mag niet het eigen werk beoordelen. Onafhankelijkheid gaat hier niet over deskundigheid, maar over voldoende afstand tot het object van de audit.
Interne audit uitbesteden of intern opleiden, wat is beter?
Kwalitatief is uitbesteden aan een externe auditor het sterkst: directe onafhankelijkheid en diepe normkennis. Wil je een blijvende interne functie, dan is een interne auditor opleiden onder externe begeleiding het optimum. De keuze hangt af van de omvang van de organisatie en de auditfrequentie, niet van de kosten.
Kun je HKZ en NEN 7510 in één interne audit combineren?
Dat kan, mits je erkent dat het verschillende kennisdomeinen zijn. HKZ gaat over kwaliteit van zorg, 7510:2024 over informatiebeveiliging. Eén auditor is zelden in beide even sterk. Zonder die erkenning wordt de informatiebeveiligingskant een formaliteit, terwijl daar juist het risico zit.
Klaar om van compliance naar volwassenheid te groeien?
Vrijblijvend, praktisch en gericht op jouw situatie.
