De audit als objectieve standmeting
Wat een audit feitelijk meet, en hoe je hem zo inkoopt dat de uitkomst van jou blijft
Een audit is een onafhankelijke meting van de stand van zaken op één moment, niets meer en niets minder. Hij vertelt je wat de feitelijke staat is van een afgebakend systeem, getoetst aan een norm die buiten jouw organisatie bestaat, uitgevoerd door iemand die geen belang heeft bij de uitkomst. Hij is geen opvoedend instrument, geen verbeterprogramma, en geen vinkje dat je onder de NIS2-richtlijn of DORA wegzet. Wie de audit in een van die andere rollen perst, krijgt iets terug dat lijkt op zekerheid en het niet is.
Dat verschil klinkt klein en is in de praktijk groot. Het bepaalt wie je inhuurt, wat je vraagt, wat je krijgt, en wat je ermee kunt doen richting board en toezichthouder. Het bepaalt ook of de uitkomst van jou blijft of in de la van iemand anders verdwijnt. Voor de CISO die zijn volgende audit nog moet ingaan, is dit verschil het verschil tussen een document dat hem positie geeft en een document dat hem werk oplevert zonder iets terug.
Wat een audit wel meet en wat hij niet meet
Een audit meet drie dingen. Hij meet of een afgesproken set beheersmaatregelen aanwezig is. Hij meet of die maatregelen in de gemeten periode hebben gewerkt zoals beschreven. Hij meet of er bewijs is waarop een derde kan vertrouwen. Dat is het. Een audit doet uitspraak over een afgebakende scope op een specifiek tijdvenster, met een specifieke norm, door een specifieke partij. Buiten die afbakening zegt hij niets.
Wat hij niet meet, is even belangrijk. Een audit meet niet of jullie volwassen zijn als security-organisatie. Hij meet niet of jullie de juiste investeringen doen. Hij meet niet of jullie cultuur klopt. Hij meet niet of jullie het risico goed begrepen hebben, hij meet of jullie de maatregelen hebben uitgevoerd die uit een ander proces zijn voortgekomen. Die andere processen, de risicobeoordeling, de programmaplanning, de architectuurkeuze, zijn jouw werk. Een audit toetst de uitkomst, niet de gedachten.
Onder ISO 27001 is dit explicieter dan velen denken. De norm vraagt geen lijst goede intenties, hij vraagt een werkend managementsysteem. De auditor kijkt naar het managementsysteem dat jullie zelf hebben gebouwd. Hij meet of het draait zoals het door jullie is beschreven. Hij keurt de beschrijving niet, hij toetst of hij klopt met wat hij ziet. Hetzelfde geldt voor ISAE 3402 en voor SOC 2: de norm levert de meetlat, de partij levert het bewijs, de auditor levert het oordeel binnen die scope. Niemand levert verbetering. Verbetering is geen auditproduct.
Waarom de audit-als-instrument zo vaak fout valt
Veel organisaties kopen een audit alsof het een coach is. Ze hopen op gerichte aanbevelingen, op een programma-suggestie, op iemand die meedenkt over volgende stappen. Die hoop is niet onschuldig. Hij ondergraaft precies wat de audit waardevol maakt, namelijk de onafhankelijkheid. Een auditor die meedenkt over wat je moet doen, kan in een volgende ronde niet meer onafhankelijk toetsen of je het hebt gedaan. Het verschil tussen advies en toetsing is een muur, geen overgang. Beroepsregels onder ISAE 3402 en de zekerheid-standaarden eronder benoemen die scheiding expliciet, niet als beleefdheid maar als constructie-eis.
Daarnaast wordt de audit vaak ingekocht als compliance-vinkje. De NIS2-richtlijn vraagt om aantoonbare risicobeheersmaatregelen onder bestuurlijke verantwoordelijkheid. Het is verleidelijk om een audit-rapport te zien als het bewijs dat die maatregelen er zijn. Het rapport is bewijs van het moment van meting, niet bewijs dat het bestuur stuurt op uitvoering. Toezichthouders die straks doorvragen, zoeken niet naar het rapport. Ze zoeken naar het besluitvormingsritme eronder. De audit is de momentopname, het bestuur draagt de continuïteit. Een organisatie die deze twee verwart, krijgt op het verkeerde moment een onaangenaam gesprek.
Een derde valkuil is de scope-creep tijdens de audit zelf. Een auditor komt binnen voor een afgebakend onderwerp, ziet onderweg dingen die hem opvallen, en levert een rapport waarin de oorspronkelijke vraag is opgegaan in algemene observaties. De CISO leest het rapport, herkent het werk niet meer, en kan er intern weinig mee. Niet omdat de observaties fout zijn, maar omdat de scope is vervaagd. Wat je niet hebt afgesproken te meten, kun je achteraf ook niet gebruiken om bestuurlijk over te beslissen.
Hoe ziet een bruikbare audit eruit?
Een bruikbare audit voldoet aan een beperkte set criteria, vooraf vastgesteld, schriftelijk afgesproken, getoetst aan de levering. Vijf punten die het verschil maken.
Een vooraf vastgelegde scope. Welk systeem, welke processen, welke locaties, welke periode. Niet "de security-functie" of "de informatiebeveiliging", wel een afgebakend geheel dat in een zin uit te schrijven is. Wat erbuiten valt, valt erbuiten. Geen creep tijdens uitvoering.
Een expliciete norm of referentiekader. ISO 27001-Annex A, een SOC 2-criteria-set, een eigen control framework dat herleidbaar is. Niet "vakstandaard, bewezen werkwijze, gebruikelijke aanpak, professionele standaard" of "wat gangbaar is". Een meetlat zonder schaal meet niet.
Een gescheiden rol tussen meting en interpretatie. De auditor levert bevindingen tegen de norm. De interpretatie, wat dit betekent voor jullie programma en jullie risico-acceptatie, is jouw werk of het werk van een aparte partij. Twee functies in één hand maken beide functies zwakker.
Een levering die bestuurlijk leesbaar is. Een management summary die het bestuur kan lezen zonder vertaling vooraf. Geen technische diepte zonder kop, geen aanbevelingsdocument verkleed als toetsingsverslag. Een audit dient een formele functie. De vorm moet die functie dienen.
Een herhaalbare meetmethode. Volgende audit, volgende meting, vergelijkbare uitkomst. Een audit waarvan je de methode niet kunt herhalen, levert geen tijdreeks, en zonder tijdreeks geen ontwikkeling te tonen aan board of toezichthouder.
Wat hoort dan wel waar?
Als de audit de meting is, waar gebeurt dan het werk dat ervan af hangt? Op drie plekken, en het is de moeite waard ze uit elkaar te houden.
De beslissing wat je laat meten. Dat is bestuurlijk werk, voorbereid door de CISO, vastgesteld in de risicobeoordeling. Welke onderwerpen vragen externe toetsing, op welke frequentie, met welk diepte-niveau. Een organisatie die elk jaar dezelfde audit laat doen omdat het zo gegroeid is, mist het hele punt. De audit volgt de risicobeoordeling, niet andersom.
De vertaling van bevindingen naar werk. Dat is jouw programma, jouw plannings-ritme, jouw eigen of ingehuurde capaciteit. Een auditor levert geen plan van aanpak. Een auditor levert observaties, en wat je daarmee doet, is een aparte beslissing onder een ander mandaat. Wie de auditor laat schrijven wat er moet gebeuren, koopt de onafhankelijkheid van de volgende toetsing op.
Het bewijs dat het werk gebeurt. Dat is wat de toezichthouder onder de NIS2-richtlijn feitelijk wil zien: niet alleen dat er gemeten is, maar dat er met de meting iets is gedaan, in een traceerbaar ritme, onder bestuurlijke verantwoordelijkheid. Het rapport is de momentopname. De besluitvormingsketen eromheen is de continuïteit. Het Nationaal Cyber Security Centrum wijst er in zijn governance-publicaties consistent op dat juist die keten het zwakke punt is in de meeste organisaties.
Hoe koop je een audit zo in dat de uitkomst van jou blijft?
Drie vragen die het inkoopgesprek scherp maken en die de meest voorkomende latere ergernissen voorkomen.
Wat is de scope, woord voor woord, en wat staat er expliciet buiten? Vraag een schriftelijke afbakening die je intern aan je CIO en je CFO kunt voorleggen voordat de opdracht start. Een auditor die geen afbakening op papier wil zetten voordat hij begint, is een auditor die de scope onderweg zal oprekken. Geen scope, geen opdracht.
Wie eigent zich het rapport toe en wie eigent zich de bevindingen toe? Het rapport hoort van jou te zijn. De bevindingen ook. De methode die de auditor gebruikt mag van hem zijn, maar de uitkomst is van de gemeten organisatie. Vraag het expliciet. Veel partijen schrijven hun rapportages in een format dat ze elders willen hergebruiken; voor jou werkt dat zelden mee.
Hoe wordt de scheiding tussen meting en advies bewaakt? Als dezelfde partij die meet ook zou willen leveren wat zij meet, is dat een belangenconflict in het ontwerp. Vraag schriftelijk vast te leggen dat de auditor in de gemeten scope geen aanvullende dienstverlening zal aanbieden binnen een redelijke termijn. Onder de zekerheid-standaarden is dit gangbaar. Wie het niet wil opschrijven, neemt jou minder serieus dan jouw board verdient.
Deze drie vragen draaien het inkoopgesprek om. Het gaat niet meer over wat de auditor gaat doen, maar over wat jij ermee gaat kunnen. Dat is een ander gesprek, met een ander soort partij, en het sluit een aanzienlijk deel van de markt structureel uit. Dat is geen probleem. Dat is precies de filter die je wilt.
Wat dit voor jouw positie betekent
De CISO die zijn volgende audit ingaat zonder deze afbakening, krijgt een rapport en een hoeveelheid extra werk, en hij moet vervolgens intern uitleggen waarom de uitkomst hem geen positie geeft. De CISO die de audit inkoopt als onafhankelijke meting binnen een afgebakende scope, met een methode die herhaalbaar is en met een rapport dat van hem blijft, krijgt iets anders: een instrument dat zijn bestuur kan lezen, dat zijn toezichthouder kan accepteren, en dat hij zelf het volgende jaar opnieuw kan inzetten om beweging aantoonbaar te maken. Dat is geen retoriek. Dat is hoe je een meting van een verbeterprogramma onderscheidt.
Het bestuur dat onder de NIS2-richtlijn toeziet op uitvoering, heeft geen tweehonderd pagina's nodig. Het heeft een paar gestructureerde metingen nodig, in een ritme dat zich herhaalt, met een interpretatie die door jou is geleverd, niet door de auditor. Daarmee kan het besturen. Zonder dat blijft het rapport in de la, en kom je in een gesprek waarin je een document moet verdedigen dat je zelf niet hebt geschreven en niet helemaal begrijpt waarom het zo geschreven is.
Een audit goed inkopen is geen procureurswerk. Het is positie-werk. Je bepaalt wat er gemeten wordt, welke norm geldt, welk bewijs wordt geleverd, in welke vorm het rapport thuiskomt, en wat er met de bevindingen mag gebeuren. Wie dat vooraf scherp afspreekt, krijgt aan het eind een document dat staat naast de andere documenten die jullie zelf maken, niet erboven. Een meting onder de programma's, niet een programma onder de meting.
Als je weegt of de volgende audit het instrument wordt dat jou positie geeft of een verplichting die je erbij draagt, is een gesprek vooraf de kortste route. Een uur waarin we de scope, de norm en de afspraken doorlopen voordat je de opdracht uitzet. Daar bepaalt zich het verschil tussen een rapport in de la en een meting waar je het hele jaar mee verder kunt.