audit

Audits tijdens Corona lockdowns – dat lukt niet

auditOmdat op dit moment een groot deel van het bedrijfsleven te maken heeft met Corona lockdowns kunnen audits niet worden doorgevoerd. Dat lijkt op dit moment een minimaal detail, toch kan het voor de nodige problemen gaan zorgen.

Toegang

Vorige week werd hier al gewezen op datacenters die op slot zijn voor de klanten. De begrijpelijke maatregel draagt bij aan het tegengaan van de verdere verspreiding van het corona virus. Een lockdown van datacenters hoeft geen probleem te zijn. De meeste werkzaamheden zijnimmers remote te verrichten. Problematisch is wel dat nu onder omstandigheden derden toegang tot de hardware en infrastructuur moet krijgen, terwijl dat contractueel was uitgesloten. Partijen die dergelijke bepalingen opnemen doen dat omdat het in de eigen procesbeschrijvingen is vermeld. Ze worden daar ook periodiek op gecontroleerd. Dat gebeurt tijdens de audits.

Audits

Aan audits wordt weinig ruchtbaarheid gegeven. Als de controle positief uitvalt zal elke partij dat wel actief communiceren. Dan heet het dat de jaarlijkse audit heeft geleid tot het verlengen van de ISO of NEN certificatie. Goed nieuws voor klanten die daar op moeten letten en prettig voor sales medewerkers van de IT dienstverlener die nieuwe klanten willen binnenhalen.

Er is op dit moment echter een probleem met de audits. Ook nu weer geldt dat er niet over gecommuniceerd wordt. Het zijn signalen uit de buurlanden die hier subtiel naar verwijzen. De situatie is complex. Voor bepaalde certificeringen geldt dat bij een eerste “aanvraag” en voor “verlenging” binnen een bepaalde periode met de audit moet worden gestart en afgerond.

Met zoveel bedrijven waarvoor geldt dat het personeel niet op de zaak mag zijn is het niet mogelijk die audit werkzaamheden door te voeren. Die controles kunnen en mogen niet geheel remote worden uitgevoerd. Afhankelijk van het soort audits zijn interviews verplicht. De voorwaarden van audits kunnen door de corona lockdowns een probleem zijn. In ieder geval op gespannen voet staan met de vereiste social distance.

Technische oplossingen

Een deel van de werkzaamheden kan natuurlijk wel plaatsvinden. Gesprekken kunnen in principe per videoverbinding plaatsvinden en wellicht is het mogelijk dat de auditors toegang krijgen tot het netwerk van de opdrachtgever om zo de documentatie te kunnen raadplegen.

Er zijn dus technische oplossingen beschikbaar. Deze hebben echter ook weer de nodige problemen. Sommige bedrijven mogen externen geen toegang tot het eigen netwerk geven. Andere zijn niet in staat de medewerkers op een veilige manier van huis uit aan videoconferenties te laten deelnemen. Dat laatste heeft minder te maken met onveilige of onbetrouwbare applicaties zoals Zoom. Het gaat meer om het soort informatie dat men moet delen, maar de huisgenoten niets aangaat.

Verlopen certificeringen

Het is onvermijdelijk dat door de huidige omstandigheden strikt genomen certificeringen verlopen en de verlenging niet op tijd kan worden toegekend. Dat hoeft geen probleem te zijn. Het is een kwestie van  goed documenteren en communiceren.