Risico-gestuurde internal audit

Geplaatst door

Risk based internal auditing  of risico-gestuurde auditing, doet steeds meer zijn intrede en hierdoor krijgt internal audit ook steeds meer betekenis in de gehele organisatie. Het uitvoeren van internal audits is geen doel op zich, en  dient bij te dragen aan het verbeteren van de organisatie en dan vooral in de belangrijkste processen. Dit lukt alleen als de internal audit is gebaseerd op de belangrijkste risico’s die de doelstellingen van de organisatie in gevaar kunnen brengen. Het nieuwe 3 lines model heeft dat recent nog duidelijk neergezet.

Kaplan onderscheid drie soorten risico’s; te voorkomen, strategisch en extern. De te voorkomen risico’s zijn te beïnvloeden door de organisatie en daardoor zijn er vaak veel bestaande beheersmaatregelen.  Dit kunnen operationele en tactische risico’s en beheersmaatregelen zijn. Veel audits focussen zich op de processen. Vaak de financiële processen maar er zijn ook steeds meer business auditors.  Deze richten zich meer op de effectiviteit en efficiency van risicobeheersmaatregelen.

Hoe werkt risk based internal auditen?

Geen risk based internal auditing zonder goed integraal risicomanagement!  Bij de inrichting dient het risicomanagement een heldere koppeling te hebben met de doelstellingen en sturing van de organisatie. Ook de cultuur in de organisatie moet om naar “geen nieuws is slecht nieuws”. Dit betekent dat manager zonder enig risico juist wel een audit kan verwachten immers nobody’s perfect. Daarnaast kan door het reguliere proces een top 10 risico’s per kernwaarde worden vastgesteld. Juist van deze risico’s moet worden vastgesteld of ze  binnen het risk appetite Schermafbeelding 2017-03-30 om 14.44.15passen van de organisatie.

Dit doe je door per risico de belangrijkste bestaande mitigerende beheersmaatregelen te;

  •  inventariseren en
  • te toetsen of ze effectief zijn ingericht in opzet, bestaan en werking.

Wat levert risico-gestuurde internal audit op?

Focus: door risk based auditing krijgt de organisatie grip op de belangrijkste risico’s en kan men sturing geven op de te behalen doelstellingen. Daarbij dient prioritering qua audit en frequentie en diepgang (bijv. aantal steekproeven) op basis van het risicoprofiel plaats te vinden.  Dit betekent ook dat minder risicovolle processen  minder lastig worden gevallen door internal audit.

Voor de directie geeft deze aanpak het comfort dat de beheersing vanuit de organisatie op de belangrijkste risico’s goed gebeurt (assurance) . Voor de ondersteunende (2e) lijn geeft het informatie waar en hoe men kan verbeteren. De uitvoerende (1e) lijn krijgt direct bevindingen en aanbevelingen meer relevant voor hen zijn doordat ze meer in lijn meer de doelstellingen en key risico’s liggen.

Schermafbeelding 2017-03-30 om 14.47.08.png

2 comments

  1. Ik vraag me af wat het nadeel is van de risk based approach. Kan deze leiden tot minder ‘maatwerk’ (welke nadelen zijn er nog meer)?

    1. Nadeel is dat je nooit 100% control kunt garanderen. Daarnaast kan het zorgen voor extra werk doordat er een nieuwe audit ingericht moet worden voor een nieuw risico. Dus de kasgeld audit niet maar Projectmanagement omgevingswet.. wel

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s