Spelregels voor audits
Roel Dufifie
Inleiding
Een audit is een systematisch onderzoek om te controleren of iets voldoet aan bepaalde normen, regels, wetgeving of kwaliteitscriteria. Het doel is vaak om transparantie te creëren, fouten of risico’s op te sporen en verbeterpunten aan te wijzen. Echter kan het ook tot de nodige nadelige gevolgen leiden. Zo kan er bij bepaalde audits een boete opgelegd worden aan de partij die in overtreding is, kan deze partij verplicht worden om een nabetaling te verrichten en kan de overtreding leiden tot reputatieschade.
In dit whitepaper zullen verschillende soorten audits uiteengezet worden. Aangezien audits een grote impact kunnen hebben op de partij die geaudit wordt, is het noodzakelijk om goed te weten wanneer en onder welke voorwaarden er geaudit mag worden. Dit whitepaper richt zich specifiek op deze eisen, die in het vervolg van dit whitepaper ‘ontvankelijkheidseisen’ genoemd zullen worden.
Interne audit
Een interne audit is een systematisch en onafhankelijk onderzoek binnen een organisatie in opdracht van diezelfde organisatie. Het onderzoek wordt uitgevoerd door een entiteit binnen die organisatie of door personen die van buitenaf ingehuurd zijn in opdracht van het hoger management. Het doel is te controleren of processen, systemen en activiteiten voldoen aan interne richtlijnen, externe wet- en regelgeving, en gestelde kwaliteits- of prestatiedoelen. Belangrijk hierin is dus dat de auditerende partij onderdeel is van de organisatie die zij audit. Bij grote (internationale) organisaties kan deze entiteit een hele afdeling betreffen. Bij middelgrote of kleine organisaties betreffen het eerder enkele personen die onafhankelijk het onderzoek verrichten.
Met een interne audit kunnen meerdere doelen worden bereikt:
Een interne audit mag meestal onverwacht plaatsvinden, aangezien er bij veel bedrijven in het beleid aangegeven staat dat interne audits onderdeel zijn van de reguliere bedrijfsvoering. Uiteraard hangt dit wel af van interne regels en afspraken, waardoor er aan enkele ontvankelijkheidseisen voldaan moet worden:
Externe audit
Een externe audit is een systematisch en onafhankelijk onderzoek dat wordt uitgevoerd bij een organisatie door een entiteit of persoon van buiten de organisatie. Het doel is om te beoordelen of de organisatie die geaudit wordt, voldoet aan vastgestelde normen, wet- en regelgeving en contractuele eisen. Hierbij kan het gaan om een formele toets die kan leiden tot het krijgen van een bepaald certificaat, vergunning of officieel oordeel.
Ook hierin is belangrijk dat de audit objectief, systematisch en bewijsgericht plaatsvindt. De externe partij moet onafhankelijk zijn, zoals een certificerende instelling, accountant of toezichthouder dat is. Deze onafhankelijkheid is strikter dan bij een interne audit: de auditor mag namelijk geen enkel belang hebben bij de organisatie die zij audit. Aangezien de bevindingen van een externe audit vaak leiden tot een formeel resultaat, zoals een rapport, verklaring of certificaat, is het cruciaal dat de audit systematisch en bewijsgericht gebeurt.
Een externe audit mag, in tegenstelling tot een interne audit, niet onverwacht plaatsvinden. Aangezien het gaat om een beoordeling door een externe partij, zijn er altijd wettelijke verplichtingen of vooraf gemaakte afspraken nodig om de audit te rechtvaardigen. In hoofdlijnen mag een externe audit plaatsvinden in de volgende twee situaties:
Als eerste de situatie waarin de audit uitgevoerd wordt door een overheids- of toezichthoudende instantie. Deze zijn zeer divers en uiteenlopend wat betreft aandachtsgebieden. Veelvoorkomende audits zijn bijvoorbeeld:
Ten eerste moet een overheids- of toezichthoudende audit berusten op een wettelijke grondslag. De toezichthouder moet een in de wet opgenomen basis en bevoegdheid hebben om de audit uit te voeren. Deze zijn bijvoorbeeld te vinden in de Algemene wet inzake rijksbelastingen (AWR), de Arbeidsomstandighedenwet, de Warenwet en de Algemene wet bestuursrecht (Awb).
Ten tweede mogen alleen aangewezen ambtenaren de audits uitvoeren, waarbij zij zich moeten legitimeren en kenbaar maken welke overheids- of toezichthoudende instantie zij vertegenwoordigen. Zo mag een inspecteur van de Nederlandse Voedsel- en Warenautoriteit niet een btw-controle uitvoeren. Dat onderzoek is voorbehouden aan de inspecteurs van de Belastingdienst.
Ten derde moet er sprake zijn van doelgebondenheid. Dit betekent dat een audit alleen mag plaatsvinden voor het doel dat in de wet is vastgelegd. Stel dat de Inspectie Gezondheidszorg en Jeugd een audit uitvoert op de hygiëne(maatregelen) binnen een ziekenhuis, dan mag zij niet opeens (ook) gaan controleren op de verwerking en opslag van patiëntgegevens.
Ten vierde moet er aan de proportionaliteit en subsidiariteit eisen worden voldaan. Deze houden in dat er gekozen moet worden voor de minst ingrijpende effectieve manier om het doel te bereiken en dat daarbij niet meer gedaan wordt dan noodzakelijk is om dat doel te bereiken. Denk hierbij aan het eerst opvragen van documenten voordat er meteen een fysieke controle plaatsvindt.
Ten vijfde moet de auditor zorgvuldig en transparant handelen vanaf de aankondiging van de audit. Dit betekent dat zij duidelijk het doel en de scope van de audit moet toelichten, aangeven welke informatie wordt opgevraagd en waarom dit opgevraagd wordt, en hoe de bevindingen worden vastgelegd. Het rapport van bevindingen moet gedeeld worden met de organisatie die geaudit is. Als de organisatie vragen heeft over de bevoegdheid van de auditor, dan moet de auditor informatie verstrekken over haar wettelijke basis en bevoegdheden.
Gedurende de audit van de toezichthouder moet, net zoals bij een interne audit, met grote zorgvuldigheid met persoonsgegevens omgegaan worden. Ook hebben organisaties het recht om aan het einde van de audit correcties of toelichting te geven op de bevindingen. Soms hebben zij het recht om in beroep te gaan of bezwaar aan te tekenen tegen besluiten, bijvoorbeeld bij opgelegde sancties.
Audit door een leverancier
Als tweede de situatie waarin de audit uitgevoerd wordt door een leverancier van de geauditeerde organisatie. Deze situatie bevindt zich tussen de interne audit en de externe audit door overheidstoezichthouders in. De audit wordt namelijk door een externe partij uitgevoerd, maar met toestemming vanuit de geauditeerde organisatie. Deze toestemming is vervat in de eerste ontvankelijkheidseis: er moet een contractuele afspraak zijn gemaakt tussen de organisatie die geaudit wordt als afnemer van een product of dienst, en de partij die de audit uitvoert, als leverancier van dat product of die dienst. Dit wordt wel het auditrecht of right-to-audit genoemd.
Een voorbeeld hiervan is de situatie waarin een organisatie softwarelicenties koopt van een softwareleverancier. De leverancier kan in het contract – al dan niet via haar algemene voorwaarden – bedingen dat zij het recht heeft om een controle te houden bij de afnemende partij. Het doel is dan om vast te stellen dat de licenties niet onrechtmatig worden gebruikt. Oftewel, dat de licenties volgens de voorwaarden van het contract ingezet en gebruikt worden.
Stel nu dat een organisatie jaarlijks licenties voor een softwareprogramma afneemt. De softwareleverancier kan bedingen dat zij na enige tijd mag controleren of de licenties volgens de voorwaarden worden gebruikt. Bijvoorbeeld dat een unieke licentie slechts op één stuk hardware, zoals een computer, mag worden geïnstalleerd of dat een unieke licentie slechts aan één werknemersaccount gekoppeld mag worden. Als een afnemer van de licenties een unieke licentie tegen de voorwaarden in installeert op meerdere computers of koppelt aan meerdere werknemersaccounts, kan de softwareleverancier middels een audit maatregelen treffen. Denk hierbij aan het nafactureren van het aantal licenties dat de geaudite organisatie eigenlijk gebruikt heeft de afgelopen jaren, al dan niet gevolgd door een in het contract opgenomen boete voor het schenden van de contractvoorwaarden.
Aangezien de financiële gevolgen groot kunnen zijn, is het belangrijk dat er duidelijke en eerlijke afspraken in het contract zijn opgenomen. De contractsvrijheid in Nederland zorgt er echter voor dat er niet eenduidige ontvankelijkheidseisen bestaan in het geval van vrijwillige, op contracten berustende audits. Partijen mogen namelijk zelf afspreken welke voorwaarden zij willen laten gelden bij een audit, tenzij dit wettelijk niet toegestaan is.
Toch komen de ontvankelijkheidseisen die hiervoor bij de interne audit en de externe audit door een toezichthoudende overheidsinstantie genoemd zijn, in de praktijk vaak voor om een audit voor beide partijen werkbaar te maken. Zo is een vaak voorkomende tweede ontvankelijkheidseis dat de scope en het doel van de audit duidelijk omschreven moet zijn. De audit moet beperkt zijn tot de producten of diensten die de leverancier aan de afnemer heeft geleverd, met het doel te controleren of deze volgens de afgesproken voorwaarden worden gebruikt.
Een derde vaak voorkomende ontvankelijkheidseis is dat het aantal audits vaak gemaximeerd is– bijvoorbeeld tot één keer per jaar - en dat de audit binnen een redelijke tijd wordt uitgevoerd. De gedachte hierachter is dat de bedrijfsvoering van de geaudite organisatie minimaal onderbroken wordt.
Een vierde en laatste vaak voorkomende ontvankelijkheidseis is dat de partij die de audit uitvoert de audit tijdig moet aankondigen, bijvoorbeeld een maand van tevoren. Onaangekondigde audits kunnen echter ook toegestaan zijn, maar alleen in het geval dat dit expliciet in het contact is opgenomen. Denk hierbij bijvoorbeeld aan de situatie waarin er een ernstig beveiligingsincident is geweest.
Conclusie
Al met al zijn er zowel interne audits en externe audits, waarbij de externe audits onderverdeeld zijn in verplichte en vrijwillige audits. Voor alle audits geldt dat er aan eisen voldaan moet worden, voordat zij uitgevoerd mogen worden. Deze ontvankelijkheidseisen zijn divers, maar komen voor een groot deel overeen bij zowel interne als externe audits. Een externe audit is echter doorgaans minder snel toegestaan dan een interne audit. Vanwege de verstrekkende gevolgen van audits is het verstandig om tijdig de legitimiteit van een audit na te gaan. Ook is het goed om constant zicht te houden op de onafhankelijkheid en zorgvuldigheid van de auditor en te controleren hoe de bevindingen in het eindrapport tot stand zijn gekomen.
Een audit is een systematisch onderzoek om te controleren of iets voldoet aan bepaalde normen, regels, wetgeving of kwaliteitscriteria. Het doel is vaak om transparantie te creëren, fouten of risico’s op te sporen en verbeterpunten aan te wijzen. Echter kan het ook tot de nodige nadelige gevolgen leiden. Zo kan er bij bepaalde audits een boete opgelegd worden aan de partij die in overtreding is, kan deze partij verplicht worden om een nabetaling te verrichten en kan de overtreding leiden tot reputatieschade.
In dit whitepaper zullen verschillende soorten audits uiteengezet worden. Aangezien audits een grote impact kunnen hebben op de partij die geaudit wordt, is het noodzakelijk om goed te weten wanneer en onder welke voorwaarden er geaudit mag worden. Dit whitepaper richt zich specifiek op deze eisen, die in het vervolg van dit whitepaper ‘ontvankelijkheidseisen’ genoemd zullen worden.
Interne audit
Een interne audit is een systematisch en onafhankelijk onderzoek binnen een organisatie in opdracht van diezelfde organisatie. Het onderzoek wordt uitgevoerd door een entiteit binnen die organisatie of door personen die van buitenaf ingehuurd zijn in opdracht van het hoger management. Het doel is te controleren of processen, systemen en activiteiten voldoen aan interne richtlijnen, externe wet- en regelgeving, en gestelde kwaliteits- of prestatiedoelen. Belangrijk hierin is dus dat de auditerende partij onderdeel is van de organisatie die zij audit. Bij grote (internationale) organisaties kan deze entiteit een hele afdeling betreffen. Bij middelgrote of kleine organisaties betreffen het eerder enkele personen die onafhankelijk het onderzoek verrichten.
Met een interne audit kunnen meerdere doelen worden bereikt:
- Het controleren van naleving van interne procedures, intern beleid en wetgeving;
- Het opsporen van verbeterpunten door middel van het signaleren van risico’s en inefficiënties;
- Het identificeren en helpen beheersen van bedrijfsrisico’s;
- Het voorbereiden op externe audits, bijvoorbeeld ISO-certificering, accountantscontrole of toezichthouderscontrole.
Een interne audit mag meestal onverwacht plaatsvinden, aangezien er bij veel bedrijven in het beleid aangegeven staat dat interne audits onderdeel zijn van de reguliere bedrijfsvoering. Uiteraard hangt dit wel af van interne regels en afspraken, waardoor er aan enkele ontvankelijkheidseisen voldaan moet worden:
- Het doel en de scope (afbakening) moeten duidelijk zijn voor alle betrokkenen, zodat een werknemer weet of de audit op zijn of haar werk betrekking heeft.
- Ook moet er aan privacywetgeving voldaan worden. Er mogen daardoor enkel essentiële persoonsgegevens verzameld en verwerkt worden, in lijn met de Algemene Verordening Gegevensbescherming (AVG).
- Daarbij mag er geen misbruik worden gemaakt van de in de audit verzamelde informatie. Denk hierbij aan (verkapte) disciplinaire consequenties, zoals het intrekken van secundaire arbeidsvoorwaarden of een demotie.
- Daarnaast hebben organisaties vaak een tijdsperiode in hun beleid staan, waarin bijvoorbeeld staat dat een afdeling maar één keer in de drie jaar geaudit mag worden.
- Verder is het noodzakelijk dat de audit niet de bedrijfsvoering van kernactiviteiten onderbreekt. Het mag dus niet voor operationele problemen zorgen.
Externe audit
Een externe audit is een systematisch en onafhankelijk onderzoek dat wordt uitgevoerd bij een organisatie door een entiteit of persoon van buiten de organisatie. Het doel is om te beoordelen of de organisatie die geaudit wordt, voldoet aan vastgestelde normen, wet- en regelgeving en contractuele eisen. Hierbij kan het gaan om een formele toets die kan leiden tot het krijgen van een bepaald certificaat, vergunning of officieel oordeel.
Ook hierin is belangrijk dat de audit objectief, systematisch en bewijsgericht plaatsvindt. De externe partij moet onafhankelijk zijn, zoals een certificerende instelling, accountant of toezichthouder dat is. Deze onafhankelijkheid is strikter dan bij een interne audit: de auditor mag namelijk geen enkel belang hebben bij de organisatie die zij audit. Aangezien de bevindingen van een externe audit vaak leiden tot een formeel resultaat, zoals een rapport, verklaring of certificaat, is het cruciaal dat de audit systematisch en bewijsgericht gebeurt.
Een externe audit mag, in tegenstelling tot een interne audit, niet onverwacht plaatsvinden. Aangezien het gaat om een beoordeling door een externe partij, zijn er altijd wettelijke verplichtingen of vooraf gemaakte afspraken nodig om de audit te rechtvaardigen. In hoofdlijnen mag een externe audit plaatsvinden in de volgende twee situaties:
- Wettelijke verplichting voor middelgrote en grote ondernemingen, zoals een accountantscontrole van de jaarrekening of audit door een toezichthouder (overheids- of toezichthoudende audit).
- Vrijwillige contractuele afspraak tussen de organisatie die geaudit wordt in de rol van afnemer van een product of dienst en de partij waardoor zij geaudit wordt in de rol van leverancier van dat product of die dienst (audit door een leverancier). Hieronder valt ook het geval van certificering voor bijvoorbeeld ISO, VCA en FSC, dat vereist dat de gecertificeerde organisatie periodiek een externe audit moet ondergaan door een erkende certificerende instelling om de certificering te mogen behouden.
Als eerste de situatie waarin de audit uitgevoerd wordt door een overheids- of toezichthoudende instantie. Deze zijn zeer divers en uiteenlopend wat betreft aandachtsgebieden. Veelvoorkomende audits zijn bijvoorbeeld:
- Financiële en fiscale audits: denk hierbij aan de Belastingdienst die boekenonderzoek, btw-controle en loonheffingencontrole verricht.
- Arbeids- en sociale wetgeving audits: de inspectie Sociale Zaken en Werkgelegenheid kan controleren op arbeidsomstandigheden, arbeidstijden, minimumloon en de inzet van buitenlandse werknemers. Het UWV kan controleren op naleving van socialezekerheidswetgeving, bijvoorbeeld wetgeving met betrekking tot (loonkosten)subsidies.
- Audits op kwaliteit en veiligheid van producten en diensten: bijvoorbeeld het toezicht op voedsel- en productveiligheid door de Nederlandse Voedsel- en Warenautoriteit. Ook vallen hieronder audits op transportveiligheid, milieuvoorschriften en afvalstromen van de Inspectie Leefomgeving en Transport.
- Audits op het gebied van gezondheidszorg en jeugd: hieronder vallen audits en inspecties in ziekenhuizen, verpleeghuizen, jeugdzorginstellingen en farmaceutische bedrijven door de Inspectie Gezondheidszorg en Jeugd.
- Audits met betrekking tot informatiebeveiliging en privacy: de Autoriteit Persoonsgegevens (AP) kan controleren op naleving van de AVG, wat weer kan leiden tot verdere onderzoeken, boetes en verscherpt toezicht.
- Audits op het gebied van onderwijs en wetenschap: denk hierbij aan de onderwijsinspectie, die toezicht houdt op de kwaliteit van onderwijsinstellingen. Ook vallen hieronder NWO- en RVO-audits bij subsidieaanvragen voor onderzoek en innovatieprojecten.
- Audits voor specifieke sectoren: De Nederlandsche Bank en de Autoriteit Financiële Markten houden bijvoorbeeld toezicht op financiële instellingen, banken, verzekeraars en pensioenfondsen. Lokaal toezicht door het Kadaster en gemeentelijke toezichthouders vindt bijvoorbeeld plaats bij bouw- en omgevingsvergunningen.
Ten eerste moet een overheids- of toezichthoudende audit berusten op een wettelijke grondslag. De toezichthouder moet een in de wet opgenomen basis en bevoegdheid hebben om de audit uit te voeren. Deze zijn bijvoorbeeld te vinden in de Algemene wet inzake rijksbelastingen (AWR), de Arbeidsomstandighedenwet, de Warenwet en de Algemene wet bestuursrecht (Awb).
Ten tweede mogen alleen aangewezen ambtenaren de audits uitvoeren, waarbij zij zich moeten legitimeren en kenbaar maken welke overheids- of toezichthoudende instantie zij vertegenwoordigen. Zo mag een inspecteur van de Nederlandse Voedsel- en Warenautoriteit niet een btw-controle uitvoeren. Dat onderzoek is voorbehouden aan de inspecteurs van de Belastingdienst.
Ten derde moet er sprake zijn van doelgebondenheid. Dit betekent dat een audit alleen mag plaatsvinden voor het doel dat in de wet is vastgelegd. Stel dat de Inspectie Gezondheidszorg en Jeugd een audit uitvoert op de hygiëne(maatregelen) binnen een ziekenhuis, dan mag zij niet opeens (ook) gaan controleren op de verwerking en opslag van patiëntgegevens.
Ten vierde moet er aan de proportionaliteit en subsidiariteit eisen worden voldaan. Deze houden in dat er gekozen moet worden voor de minst ingrijpende effectieve manier om het doel te bereiken en dat daarbij niet meer gedaan wordt dan noodzakelijk is om dat doel te bereiken. Denk hierbij aan het eerst opvragen van documenten voordat er meteen een fysieke controle plaatsvindt.
Ten vijfde moet de auditor zorgvuldig en transparant handelen vanaf de aankondiging van de audit. Dit betekent dat zij duidelijk het doel en de scope van de audit moet toelichten, aangeven welke informatie wordt opgevraagd en waarom dit opgevraagd wordt, en hoe de bevindingen worden vastgelegd. Het rapport van bevindingen moet gedeeld worden met de organisatie die geaudit is. Als de organisatie vragen heeft over de bevoegdheid van de auditor, dan moet de auditor informatie verstrekken over haar wettelijke basis en bevoegdheden.
Gedurende de audit van de toezichthouder moet, net zoals bij een interne audit, met grote zorgvuldigheid met persoonsgegevens omgegaan worden. Ook hebben organisaties het recht om aan het einde van de audit correcties of toelichting te geven op de bevindingen. Soms hebben zij het recht om in beroep te gaan of bezwaar aan te tekenen tegen besluiten, bijvoorbeeld bij opgelegde sancties.
Audit door een leverancier
Als tweede de situatie waarin de audit uitgevoerd wordt door een leverancier van de geauditeerde organisatie. Deze situatie bevindt zich tussen de interne audit en de externe audit door overheidstoezichthouders in. De audit wordt namelijk door een externe partij uitgevoerd, maar met toestemming vanuit de geauditeerde organisatie. Deze toestemming is vervat in de eerste ontvankelijkheidseis: er moet een contractuele afspraak zijn gemaakt tussen de organisatie die geaudit wordt als afnemer van een product of dienst, en de partij die de audit uitvoert, als leverancier van dat product of die dienst. Dit wordt wel het auditrecht of right-to-audit genoemd.
Een voorbeeld hiervan is de situatie waarin een organisatie softwarelicenties koopt van een softwareleverancier. De leverancier kan in het contract – al dan niet via haar algemene voorwaarden – bedingen dat zij het recht heeft om een controle te houden bij de afnemende partij. Het doel is dan om vast te stellen dat de licenties niet onrechtmatig worden gebruikt. Oftewel, dat de licenties volgens de voorwaarden van het contract ingezet en gebruikt worden.
Stel nu dat een organisatie jaarlijks licenties voor een softwareprogramma afneemt. De softwareleverancier kan bedingen dat zij na enige tijd mag controleren of de licenties volgens de voorwaarden worden gebruikt. Bijvoorbeeld dat een unieke licentie slechts op één stuk hardware, zoals een computer, mag worden geïnstalleerd of dat een unieke licentie slechts aan één werknemersaccount gekoppeld mag worden. Als een afnemer van de licenties een unieke licentie tegen de voorwaarden in installeert op meerdere computers of koppelt aan meerdere werknemersaccounts, kan de softwareleverancier middels een audit maatregelen treffen. Denk hierbij aan het nafactureren van het aantal licenties dat de geaudite organisatie eigenlijk gebruikt heeft de afgelopen jaren, al dan niet gevolgd door een in het contract opgenomen boete voor het schenden van de contractvoorwaarden.
Aangezien de financiële gevolgen groot kunnen zijn, is het belangrijk dat er duidelijke en eerlijke afspraken in het contract zijn opgenomen. De contractsvrijheid in Nederland zorgt er echter voor dat er niet eenduidige ontvankelijkheidseisen bestaan in het geval van vrijwillige, op contracten berustende audits. Partijen mogen namelijk zelf afspreken welke voorwaarden zij willen laten gelden bij een audit, tenzij dit wettelijk niet toegestaan is.
Toch komen de ontvankelijkheidseisen die hiervoor bij de interne audit en de externe audit door een toezichthoudende overheidsinstantie genoemd zijn, in de praktijk vaak voor om een audit voor beide partijen werkbaar te maken. Zo is een vaak voorkomende tweede ontvankelijkheidseis dat de scope en het doel van de audit duidelijk omschreven moet zijn. De audit moet beperkt zijn tot de producten of diensten die de leverancier aan de afnemer heeft geleverd, met het doel te controleren of deze volgens de afgesproken voorwaarden worden gebruikt.
Een derde vaak voorkomende ontvankelijkheidseis is dat het aantal audits vaak gemaximeerd is– bijvoorbeeld tot één keer per jaar - en dat de audit binnen een redelijke tijd wordt uitgevoerd. De gedachte hierachter is dat de bedrijfsvoering van de geaudite organisatie minimaal onderbroken wordt.
Een vierde en laatste vaak voorkomende ontvankelijkheidseis is dat de partij die de audit uitvoert de audit tijdig moet aankondigen, bijvoorbeeld een maand van tevoren. Onaangekondigde audits kunnen echter ook toegestaan zijn, maar alleen in het geval dat dit expliciet in het contact is opgenomen. Denk hierbij bijvoorbeeld aan de situatie waarin er een ernstig beveiligingsincident is geweest.
Conclusie
Al met al zijn er zowel interne audits en externe audits, waarbij de externe audits onderverdeeld zijn in verplichte en vrijwillige audits. Voor alle audits geldt dat er aan eisen voldaan moet worden, voordat zij uitgevoerd mogen worden. Deze ontvankelijkheidseisen zijn divers, maar komen voor een groot deel overeen bij zowel interne als externe audits. Een externe audit is echter doorgaans minder snel toegestaan dan een interne audit. Vanwege de verstrekkende gevolgen van audits is het verstandig om tijdig de legitimiteit van een audit na te gaan. Ook is het goed om constant zicht te houden op de onafhankelijkheid en zorgvuldigheid van de auditor en te controleren hoe de bevindingen in het eindrapport tot stand zijn gekomen.
Wil je deze whitepaper nog eens op je gemak doorlezen? Open hem via onderstaande knop!