Hoe omgaan met risico’s en GDPR bij remote audits?

'Remote audits', of het auditeren vanop afstand (met Teams, Zoom en andere communicatieprogramma's) is niet meer weg te denken uit de auditpraktijk. Twee belangrijke aspecten hierbij zijn de risicobeoordeling en de informatieveiligheid/GDPR. Hierover dienen de nodige afspraken te worden gemaakt.
Kwaliteit garanderen van de audit

Ook bij certificatie-audits van managementsystemen is de digitalisering een feit. Het geheel of gedeeltelijk uitvoeren van digitale audits van managementsystemen zoals ISO 9001, ISO 45001, ISO 14001 en/of VCA maakt dan ook deel uit van de digitale strategie van elk moderne organisatie. 

Algemene principes bij het remote auditeren is dat de kwaliteit van de audit moet gegarandeerd zijn: 

  • de technologie moet beschikbaar zijn
  • zowel auditor(s) als auditee(s) dienen competent te zijn om deze technologie te gebruiken tijdens de audit
  • de auditee dient de nodige documenten en registraties online ter beschikking te hebben of een documentscanner om deze documenten en registraties te digitaliseren indien nodig
  • extra aandacht moet worden besteed aan  de risico’s die samenhangen met het remote auditeren en met informatieveiligheid/GDPR
De risicobeoordeling

Voorafgaandelijk aan de audit moet een risicobeoordeling worden uitgevoerd. Deze risicobeoordeling bestaat uit:

  • de capaciteit van de certificatie-instelling en van de auditor om een remote-audit te kunnen uitvoeren
  • het remote ICT- en IT-systeem dat de certificatie-instelling en de auditee zijn overeengekomen evenals de capaciteit van de auditor om dit systeem te kunnen gebruiken
  • risico’s op gebied van informatieveiligheid, GDPR en confidentialiteit
  • risico’s op IT-falen
  • het verloop van vorige audits en de hierbij opgetreden niet-conformiteiten

Indien deze risico’s te groot zijn, kan de audit niet 'remote' worden uitgevoerd. Bij aanvaardbare risico’s kan de audit wel remote worden uitgevoerd.  Deze risicobeoordeling zal gedocumenteerd zijn bij elke audit. Risicomaatregelen kunnen worden getroffen.

Algemeen zijn de risico’s te groot en zullen er dus geen remote audits worden uitgevoerd in de volgende situaties:

audits van bouwplaatsen, werven, werkplaatsen en atelierbezoeken
geen remote audits bij de initiële auditgeen remote audits bij MAJOR-niet-conformiteiten of meer den 5 MINOR-non-conformiteiten

Informatieveiligheid/GDPR

De certificatie-instelling en de auditee moeten een overeenkomst hebben afgesloten over het gebruik van IT met bepalingen over informatieveiligheid en confidentialiteit. Bij gebruik van klassieke platformen zoals WebEx, Zoom, Microsoft Teams, enz. wordt ervan uitgegaan dat de informatieveiligheid en confidentialiteit is gegarandeerd.

Auditbewijs: enkel die documenten die tijdens de audit aan bod komen

Enkel documenten tijdens de audit zelf kunnen aanzien worden als auditbewijs, evenals documenten voorafgaandelijk overgemaakt aan de auditor en besproken tijdens de eigenlijke audit.

 
Verbod van opnames

Het is tijdens de audit niet toegelaten om opnames te maken van stem of beeld. Indien tijdens de audit een IT-storing zich voordoet, zal de audit worden beëindigd en zal een audit ter plaatse worden uitgevoerd. Bij een kleine IT-storing die snel kan worden opgelost, wordt de audit verdergezet zoals gepland.


Auteur: Jan Dillen

Gepubliceerd op 11-12-2020

  85