COVID-19: praktische tips bij remote auditeren (update)



Remote werken en dus ook remote auditeren is in deze bizarre tijden eerder regel dan uitzondering. Allerhande ICT-toepassingen zijn prima oplossingen om de interne en externe audits, de verificaties, de kwaliteitsmetingen en controles uit te voeren. Maar remote auditing is niet vanzelfsprekend. De kwaliteit van de interne en externe audits mag niet onder het remote auditeren lijden. Enkele reflectievragen kunnen worden gesteld. Hoe pakken we kantooraudits aan en wat te doen met terreinaudits? Wat zijn de do’s en dont’s van remote auditeren?
Risicobeoordeling

Voor er kan worden overgegaan tot remote auditing moeten volgens MD4 paragraaf 4.2.1 de risico’s goed in kaart worden gebracht. Een risicobeoordeling zal worden uitgevoerd om te bepalen of de auditdoelstellingen kunnen worden behaald. 
Het is mogelijk dat enkel met remote auditing deze auditdoelstellingen niet kunnen worden gerealiseerd. Andere audittechnieken zullen dan moeten worden toegepast, al dan niet aanvullend. De risicobeoordeling zal bevatten:

  • de beschikbaarheid van ondersteunende diensten om de remote auditactiviteiten te kunnen laten plaatsvinden;
  • de beschikbaarheid van elektronische informatie en elektronische registraties;
  • beoordeling van de IT-systemen van zowel de geauditeerde organisatie als de certificatie-instelling;
  • de competenties van de geauditeerden en van de auditor om de ingezette technologieën te kunnen gebruiken.

Auditplanning

De auditplanning vraagt extra aandacht bij remote-auditing om ervoor te zorgen dat de auditdoelstellingen worden bereikt binnen de voorziene audittijd.  In ISO 19011 paragraaf 6.2.3 is bepaald dat:

‘De haalbaarheid van de audit behoort te worden vastgesteld om een aanvaardbare hoeveelheid vertrouwen te bieden dat de auditdoelstellingen kunnen worden bereikt.
Bij het vaststellen van de haalbaarheid van de audit behoort rekening te worden gehouden met factoren zoals de beschikbaarheid van het volgende:
a) voldoende en geschikte informatie om de audit te kunnen plannen en uitvoeren;
b) geschikte medewerking van de auditee;
c) toereikende tijd en middelen voor het uitvoeren van de audit.

OPMERKING Onder middelen valt ook de toegang tot afdoende en geschikte informatie- en communicatietechnologie.
Als de audit niet haalbaar is, behoort in overeenstemming met de auditee een alternatief te worden voorgesteld aan de auditklant.’

De gebruikte audittechnieken, remote of niet remote moeten worden overeengekomen tussen de auditor en de auditee of geauditeerde. Volgens MD4, paragraaf 4.2.1 moet een alternatieve auditmethode worden gekozen, indien de remote technieken niet geschikt zijn. Volgens MD4 paragraaf 4.1 moet de certificatie-instelling de dataveiligheid en privacy bekijken. Bijvoorbeeld indien videobeelden worden gebruikt is dit belangrijk.  

Praktische tips

  • Skype of Teams: het auditeren via tools zoals Skype of Teams verloopt prima. Er is steeds iemand van de QESH-afdeling aanwezig (en zichtbaar op apart scherm). Laat je als intern of extern auditor uitnodigen op Skype of Teams. Als intern of extern auditor ken je de mensen op de afdelingen niet, een type-fout in een mailadres is makkelijk gemaakt waardoor je niet kan verbinden.  Vermijd dit tijdsverlies door de begeleider de uitnodigingen te laten versturen;
  • Whatsapp: bij zeer kleine organisaties die niet vertrouwd zijn met Skype of Teams, kan Whatsap nuttig zijn. Zeker voor het doorsturen van een foto (zelfs een foto van een document) is Whatsapp zeer gebruiksvriendelijk;
  • voorbereiding: een audit op afstand vraagt extra voorbereiding. De voorbereiding bestaat natuurlijk minimaal uit het doornemen van de directiebeoordeling, het inkijken van de interne auditplanning (en een steekproefsgewijze verificatie van enkele interne audits op afstand) en de lijst correctieve maatregelen. Zelf voeg ik daar ook de klantentevredenheidsmeting (voor ISO 9001), de milieuaspectenanalyse (ISO 14001) en de risicoanalyse en -evaluatie (ISO 45001) aan toe. Deze documenten worden door de certificatie-instelling bewaard, natuurlijk volledig vertrouwelijk. De nodige afspraken over informatieveiligheid dienen vooraf te worden gemaakt;
  • documenten bekijken: dit kan makkelijk door het scherm te delen. Documenten die niet leesbaar zijn op het scherm, laat ik doormailen. Deze documenten kan ik dan in word, pdf of excel lezen op mijn scherm. De afspraak is dat ik deze documenten daarna delete;
  • steekproefsgewijze verificatie: indien bv. niet alle documenten zoals interne audits of klantenklachten, enz. elektronisch beschikbaar zijn, is een steekproefsgewijze controle moeilijk. Ik pik er dan toch enkele documenten ad-random uit en vraag ze mij als scan of foto achteraf door te sturen. Whatsap is bv. makkelijk om foto's door te sturen;
  • werfbezoeken of atelierbezoeken: die worden uitgesteld. Remote auditing van deze activiteiten lijkt een groot risico te geven op het niet-bereiken van de auditdoelstellingen;
  • persoonlijk contact: het verlies aan persoonlijk contact, wat toch belangrijk is bij het auditeren, vormt geen probleem. Mogelijks zou dit anders zijn indien ik de organisaties voorheen nog niet kende;
  • pauzes: pauzeer regelmatig bij remote auditeren. Een pauze om het anderhalf uur is echt wel nodig. Remote auditeren is veel vermoeiender dan je zou denken. Tijdens deze pauzes kan je als interne of externe auditor ook nog enkele documenten doornemen.
Meer op senTRAL over remote auditing: Corona: remote-auditing en transitieperiode van OSHAS 18001 naar ISO 45001
 

Auteur: Jan Dillen

Gepubliceerd op 27-04-2020

  258