Doeltreffendheid in de Interne Audit

In dit artikel bespreek ik een wijziging in de nieuwe 2022 versie van de ISO 27001 norm binnen paragraaf 9.2 van de norm, de Interne Audit.

Bij de audits die ik uitvoer op de nieuwe norm zie ik dat er geen wijzigingen zijn gedaan in de manier waarop de Interne Audit wordt uitgevoerd. Er is echter wel degelijk een wijziging die relevant is en die ook effect kan hebben op de manier waarop de Interne Audit wordt uitgevoerd.

In de nieuwe norm is toegevoegd dat bij het beoordelen van alle normeisen (en dus ook de maatregelen) moet worden beoordeeld of de implementatie doeltreffend is uitgevoerd. De makkelijkste uitweg hiervoor zou zijn om de conclusie te trekken dat als het geïmplementeerd is dat daarmee het doel getroffen is, maar dat is niet wat bedoeld wordt.

In de oude versie van de norm moesten de inrichting van de informatiebeveiliging vergeleken worden met de eisen vanuit de norm en de eigen eisen van de organisatie. Hiermee was het mogelijk om iets al te beoordelen als conform de eis als er in ieder geval iets was ingericht.

Dat nu ook de doeltreffendheid beoordeeld moet worden is alleen mogelijk als duidelijkheid is wat het doel is van elke norm eis. Dat moet een organisatie zelf helder hebben en dat moet zeker helder zijn voor de interne auditor. Het is daarom zinvol om twee zaken te beoordelen.

  1. Is een norm eis ingericht?
  2. Is de inrichting doeltreffend of effectief?

Natuurlijk is mogelijk dat de effectiviteit of doeltreffendheid altijd al werd beoordeeld. Dat is prachtig en dan is dit hele artikel een open deur. Ik zie echter bij veel organisaties dat de doeltreffendheid niet beoordeeld wordt.