---

---

De audit

Auto's worden onderhouden om zonder problemen en knipperlichten te rijden – en ze moeten regelmatig naar de T&U. Ook systemen voor bedrijfscontinuïteitsbeheer moeten, net als hun BC-plannen, worden onderhouden om te kunnen functioneren. Alleen regelmatige inspecties kunnen ervoor zorgen dat zij doeltreffend zijn in geval van een verstoring.

Dit wordt natuurlijk geen onderhoud genoemd, maar eerder auditing, afhankelijk van het object van de audit. Audits worden echter niet alleen gebruikt om BC-beheersystemen te onderzoeken, maar ook vele andere onderwerpen, zoals processen, financiële status, projecten, andere beheersystemen, producten, software, richtsnoeren en eisen. De vraag is altijd of hetgeen wordt gecontroleerd aan de vereiste normen voldoet. Met andere woorden, een audit is een doel-prestatievergelijking.

Audits verschillen in de manier waarop ze worden uitgevoerd. Er zijn:

• Eerste partij-audits: Het gaat om een interne audit die door een werknemer wordt uitgevoerd. Bij audits door een eerste partij wordt bijvoorbeeld het kwaliteitsbeheer van de onderneming door een interne auditor beoordeeld.

• Tweede-partij-audits:Deze onderzoeksprocedures worden ook wel leveranciersaudits genoemd. In bedrijven met bestaande toeleveringsketens beoordeelt het inkoopbedrijf bijvoorbeeld het bedrijfscontinuïteitsbeheer van zijn leveranciers (zie ook: Continuïteitsbeheer van de toeleveringsketen). Afwijkingen worden besproken en verholpen – en opnieuw bekeken. Tijdens deze audits worden ook suggesties voor verbetering besproken en, indien mogelijk, uitgevoerd. Daartoe wordt ofwel een van de eigen opgeleide werknemers van de onderneming naar de te controleren onderneming gezonden, ofwel een externe auditor aangesteld.

• Derde-partij-audits: Bij deze audits is certificering het doel. Een externe certificeringsinstantie controleert bijvoorbeeld of een bedrijf voldoet aan de certificering van het managementsysteem volgens ISO 22301:2019. De daaropvolgende regelmatige audits voor hercertificering maken ook deel uit van dit proces.

Alle audits hebben gemeen dat wordt nagegaan of bepaalde gedefinieerde normen in een bedrijf/organisatie worden toegepast.

Audits op het gebied van bedrijfscontinuïteitsbeheer kennen een vaste cyclus, die alleen al het gevolg is van de BCM-levenscyclus. Zij worden aanbevolen met jaarlijkse herhaling, voor gecertificeerde bedrijven zijn zij in deze volgorde verplicht.

Als de auditor bekend is met het bedrijf en de organisatie en/of als er geen inspecties of visuele inspecties nodig zijn, kunnen deze op afstand worden uitgevoerd. In dit geval laat de auditor alle nodige documenten toezenden en voert hij de auditgesprekken op afstand. Als de auditor het te controleren bedrijf niet kent, zijn inspecties ter plaatse bij het uitvoeren van een dreigingsanalyse onontbeerlijk om de bedrijfsorganisatie, met inbegrip van alle faciliteiten, te leren kennen.

Procedure

BCM-audit door Controllit AG om na te gaan of men klaar is voor certificering – een overzicht van de procedure

Na de audit-opdracht en de eerste telefoongesprekken om de inhoud van de audit te coördineren, is de eerste stap de herziening en beoordeling van de documentatie. De documenten omvatten bijvoorbeeld het beleid, het handboek, de BIA- en BC-plannen, enz. Dit omvat ook de controle van de doeltreffendheid van de methodologie. Parallel daarmee worden de openingsvergadering en het auditplan opgesteld en vóór de vergaderdatum aan alle deelnemers toegezonden.

Op de openingsvergadering wordt aan alle deelnemers uitgelegd hoe de audit zal verlopen, waarna deze van start gaat. Afhankelijk van de omvang en diepgang van de audit, kan deze van één dag tot verscheidene weken duren. Tijdens de audit wordt de documentatie / het beheerssysteem beoordeeld en worden interviews gehouden met de BC-manager die verantwoordelijk is voor het proces en andere belanghebbenden.

Daaruit blijkt of alle processen zijn gedocumenteerd en geïmplementeerd. Indien in deze periode afwijkingen worden geconstateerd, wordt de auditor ondersteund met oplossingsgerichte verbetervoorstellen om de afwijkingen zo snel mogelijk te kunnen opheffen. Zodra alle afwijkingen zijn besproken en samengevat, samen met de voorgestelde oplossingen, wordt de afsluitende vergadering voorbereid.

In deze vergadering worden alle afwijkingen met alle betrokkenen doorgenomen. Het auditrapport wordt vervolgens geschreven en aan de deelnemers en de directie toegezonden. Het verslag bevat aanbevelingen die worden beoordeeld op prioriteit, effect en inspanning. Hiermee is de controle beëindigd.

En wat gebeurt er daarna in het bedrijf?

Een gerichte en duurzame audit is afhankelijk van de kennis en ervaring van de auditor. Daarnaast zijn een hoog niveau van begrip, inzicht in complexe processen en managementsystemen, en kennis van de menselijke aard van belang. Een auditor mag namelijk niet bij de deur binnenstormen als hij een tekortkoming opmerkt, noch zich bij de neus laten nemen als een procesmanager probeert een non-conformiteit te verbergen, op welke manier dan ook, of wil afwijken van het auditplan.

Audits zijn zeer waardevolle onderdelen van de BCM-levenscyclus die helpen processen te optimaliseren om als organisatie succesvoller te zijn.

Is er een standaard?

Ja, de ISO 22301:2019. Deze norm voor managementsystemen voor bedrijfscontinuïteit bevat ook een norm voor het uitvoeren van audits (ISO 19011 „Guidance on auditing of management systems“).U bent op zoek naar advies of ondersteuning op het gebied van auditing of BCM? De Controllit AG zal u hierover graag adviseren.