Wat betekent auditgereedheid in de praktijk?

Het betekent dat een auditor morgen zou kunnen arriveren en u zou kunnen overhandigen wat ze vragen zonder iets te reconstrueren: een register dat overeenkomt met de werkelijkheid, goedkeuringen die zijn vastgelegd toen ze plaatsvonden, en afvoerbewijs gearchiveerd op het moment van afvoer. De praktische test is de verrassingsaudit - als slagen afhangt van een hectische week bewijs verzamelen, bent u audit aan het voorbereiden, niet auditgereed.

Hoe bereidt u een vaste activa audit voor?

Reconcilieer het register met de werkelijkheid in beide richtingen - kies records en vind de assets, kies assets en vind de records. Ruim spookassets op, ga achter ontbrekende aankoop- en afvoerdocumenten aan, bevestig wie elk item daadwerkelijk heeft, en controleer of er goedkeuringen bestaan voor toevoegingen en afschrijvingen. Doe dan een proefronde op een kleine steekproef, want dat is precies wat de auditor zal doen.

Is auditgereedheid alleen relevant voor grote bedrijven?

Nee. Kleine organisaties krijgen ook te maken met audits - verzekeringsclaims na diefstal, controles op subsidies en financiering, ISO-certificering, belastingcontroles, due diligence bij het ophalen van geld of een overname. Ze worden ook harder geraakt door ongereedheid, omdat de kennis meestal in het hoofd van één persoon zit en het bewijs in een mix van inboxen en spreadsheets.

Auditgereedheid: betekenis en checklist-basis

Auditgereedheid is de staat waarin records, controles en bewijs zijn georganiseerd zodat een interne of externe audit kan worden doorstaan zonder last-minute werk.

Auditgereedheid is de staat waarin records, internal controls en ondersteunend bewijs zo zijn georganiseerd dat een interne of externe audit op elk moment kan beginnen zonder reconstructie op het laatste moment. Een auditgerede organisatie behandelt audits niet als gebeurtenissen om zich op voor te bereiden; ze houdt de registers, goedkeuringen en papieren sporen die de auditor zal vragen standaard nauwkeurig, zodat de audit zelf een steekproefoefening wordt in plaats van een archeologieproject.

Wat auditors daadwerkelijk vragen

De exacte verzoeken variëren per audittype - financieel, ISO-certificering, verzekering, interne controle - maar waar assets betreft is de kernlijst opmerkelijk stabiel:

Een actueel assetregister dat overeenkomt met de werkelijkheid: wat bestaat, waar het is, wie het heeft, wat het kostte, en in welke staat het verkeert.
Bewijs dat controles werken, niet alleen dat ze op papier bestaan - vastgelegde goedkeuringen voor aankopen en afvoer, en zichtbare segregation of duties tussen degene die aanvraagt en degene die goedkeurt.
Een spoor voor elk bemonsterd item. Auditors testen in beide richtingen: ze kiezen records en vragen u de asset te produceren, dan kiezen ze assets van een bureau en vragen u het record te produceren. Gereedheid betekent dat beide richtingen werken.
Afvoer- en afschrijvingsbewijs - wie het heeft goedgekeurd, wanneer het vertrok, en voor data-dragende uitrusting, bewijs dat het is gewist.
Voor beveiligingsgerichte audits zoals ISO 27001, een information asset register met een specifieke eigenaar per vermelding.

Records het hele jaar actueel houden

Sommige records verouderen langzaam; andere binnen weken. De snel verouderende verdienen de routine: wie elke laptop en telefoon daadwerkelijk heeft (toewijzingen verschuiven bij elke rolwissel), de assetstatus (de machine die in maart voor reparatie ging en in mei stilletjes werd buiten gebruik gesteld), en het aantal licenties voor softwarelicenties, die auditors steeds vaker als elke andere asset behandelen. Kleine draagbare items - externe schijven, adapters, testapparaten - verdwijnen het eerst uit registers en zetten u het hardst voor schut, want een ontbrekend data-dragend apparaat is een beveiligingsbevinding, niet zomaar een voorraadverschil. Langzamer maar essentieel: aankoopfacturen, garantiedocumenten en afvoercertificaten, bewaard zolang uw data retention policy zegt dat ze opvraagbaar moeten zijn.

Waar gereedheid meestal breekt

Dezelfde gaten duiken audit na audit op. Spookassets - items op het register die fysiek niet meer bestaan - blazen de boeken op en zakken meteen voor de record-naar-asset-test. Gereconstrueerd bewijs is de volgende: goedkeuringen die mondeling werden gegeven en pas de week vóór de audit op papier werden gezet, zijn voor een ervaren auditor gemakkelijk te herkennen, en erger dan helemaal geen goedkeuring. Dan is er de kennis die bij één persoon zit, waar het register technisch prima is maar alleen één medewerker het kan uitleggen. En tenslotte de gewoonte om de auditmap pas op het laatst te vullen: alles in één heroïsche eindsprint de week vóór het bezoek bij elkaar harken. Dat is auditvoorbereiding, en het verschil zit hem in de details.

Auditgereedheid in de praktijk

De gewoonte die gereedheid oplevert is eenvoudig te formuleren: leg elke gebeurtenis vast wanneer ze gebeurt, in één systeem, op naam van een specifieke persoon. Uitleningen, retouren, overdrachten, statuswijzigingen en afvoer die worden vastgelegd op het moment dat ze plaatsvinden, maken van de audit een kwestie van filteren en exporteren in plaats van forensisch onderzoek. In AMPthilly landt elke uitlening, retour, overdracht, statuswijziging en goedkeuring in een permanente audithistorie op het assetrecord, te exporteren naar CSV zodra de auditor erom vraagt. Welke tool u ook gebruikt, de test blijft hetzelfde: zou u het bewijs vandaag kunnen leveren, voor elke asset, zonder dat iemand zich iets hoeft te herinneren?

Gerelateerde termen

Internal Controls - het beleid en de controles waarvan auditors de werking testen
Segregation of Duties - de controle die aanvragen, goedkeuren en vastleggen tussen mensen splitst
ISO 27001 Asset Management - de certificeringscontext waar assetbewijs het hardst wordt bemonsterd
Information Asset Register - het data-register dat beveiligingsauditors naast het hardware-register verwachten
Data Retention Policy - de regels voor hoe lang auditbewijs produceerbaar moet blijven

Begrippenlijst

Wat is auditgereedheid?

Wat auditors daadwerkelijk vragen

Records het hele jaar actueel houden

Waar gereedheid meestal breekt

Auditgereedheid in de praktijk

Gerelateerde termen

Gerelateerde gidsen

Softwarelicenties beheren: seats, verlengingen en toewijzingen

Externe schijven en USB-opslag bijhouden

Begrippen uit deze gids

Laat uw register het werk doen

Wij respecteren uw privacy