3LM / 3LoD / Control framework / GRC software / IIA / internalaudit / rechtmatigheid gemeenten

Kansen voor internal audit ten aanzien van risicomanagement?

Geplaatst door

Risicomanagement en internal audit

Risicomanagement is iets van de hele organisatie. En daarom zijn bij veel organisaties vele verschillende afdelingen en functies betrokken bij het dagelijks managen van risico’s. Denk hierbij aan internal control, kwaliteitsmanagement, planning & control, veiligheid, business continuity, compliance, (operational) risk management, milieu, treasury, juridische zaken, verzekeringen, controlling, informatiebeveiliging, claims management, etc.

Door deze veelheid aan functies, teams en competenties is vaak niet goed duidelijk wie nu wat moet doen. Soms is bijvoorbeeld de risk manager meer bij control gepositioneerd, de andere keer bij compliance.

Hoe anders is het bij internal audit. Haar rol en onafhankelijkheid en haar legitimering is over het algemeen duidelijk afgebakend en bovendien goed gepositioneerd. Zij is dan ook bij uitstek een belangrijke pion in het succesvol implementeren of doorontwikkelen van risicomanagement. Maar welke consulting rol mag zij hier eigenlijk in spelen?

Three lines model

Recent is een update van het ‘three lines model’ verschenen. Hierin ligt de focus meer op de rollen en daarmee ook op de  onafhankelijkheid en de objectiviteit van internal audit. Internal audit staat wel apart gepositioneerd terwijl de eerste en tweede lijn meer gemixt mogen zijn.

Toch lijkt er in het nieuwe model meer ruimte te zijn voor een zekere betrokkenheid van internal audit ten aanzien van risicomanagement. Zo geeft het model aan dat;

  1. Om aan te kunnen sluiten op de strategische en operationele behoefte van de organisatie moet er tussen internal audit en het management regelmatig contact zijn. Onafhankelijkheid betekent dus  niet afzondering.
  2. Tussen de eerste- en tweedelijns rollen van het management en internal audit bestaat behoefte aan samenwerking en communicatie om dubbel werk of lacunes te voorkomen
  3. Door haar activiteiten bouwt internal audit kennis en begrip van de organisatie

De audit waaier

Wellicht goed om de audit waaier er weer even bij te pakken. Aan de linkerkant staan rollen genoemd die behoren tot de kerntaken van een internal auditor of internal audit dienst. Aan de rechterkant staan taken genoemd, die de internal auditor niet op zich zou moeten nemen. Zie hier hele document van IIA.

In het midden staan advies werkzaamheden genoemd, die internal audit op zich kan nemen met als doel de governance, risicobeheersing en de controle-processen te verbeteren, mits met de juiste waarborgen.

Gelegitimeerd (maar met waarborgen):

  • Faciliteer identificatie en evaluatie van risico’s.
    • de organisatie coachen op risico’s en controls en bevordering van de ontwikkeling van een gemeenschappelijke taal, kader en begrip.  Het faciliteren van risicodialogen is in mijn ogen echt iets voor een risicomanagement professional. Wel kan audit een rol spelen als zij faciliteert door dit soort sessies in te kopen of te organiseren.  
  • Coaching van management in risico-rapportages
    • Bij de rapportages kan audit kritische vragen stellen (validatie top 10) maar ook voorbeelden geven van best practices.  Risicomanagement wordt vaak pas concreet als je een sessie hebt gedaan en de uitkomsten in een rapportage terug ziet komen. Ondersteunen van managers bij het vinden van de beste manier om een ​​risico te beperken of te mitigeren.
  • Coördineer Integrale risicomanagement activiteiten
    • Als er geen integrale aanpak van de risico’s is, kan bij de start internal audit een rol spelen. Maar dan echt als een project. Op de lange termijn is de  coördinerende rol  in mijn ogen beter belegd bij de risicomanager (2de lijn). Dit kost vaak veel tijd en het is de vraag of internal audit deze tijd beschikbaar heeft.
  • Consolideer risicorapportages
    • Bij het consolideren van decentrale risicorapportages worden belangrijke keuzes gemaakt om zaken wel of niet te consolideren. Dit heeft invloed op welke risico’s in de externe verslaglegging worden opgenomen. Dit kan de auditor wel faciliteren maar de keuzes die hierin gemaakt worden mogen nooit bij de internal auditor zelf liggen.
  • Onderhoud en ontwikkel een ERM raamwerk.
    • Het uitdenken en ontwikkelen van een ERM raamwerk is zeker iets waar internal audit toegevoegde waarde kan leveren. Het uitrollen ervan minder. Wel is het in een later stadium belangrijk dat vanuit internal audit goed wordt geanalyseerd of het raamwerk werkt.
  • Ter beschikking stellen van managementtools en -technieken die worden gebruikt door interne audits aan risk en control te koppelen.
    • Als er geen integrale aanpak van de risico’s is, kan bij de start internal audit een rol spelen. Maar dan echt als een project. Op de lange termijn is de  coördinerenderol  in mijn ogen beter belegd bij de risicomanager (2de lijn). Het kost vaak veel tijd en het is de vraag of internal audit deze tijd beschikbaar heeft.
  • Laat organisatie/ directie de urgentie van ERM zien (wees een kampioen)
    • Sponsor ERM, gebruikmakend van zijn expertise in risicobeheer en -controle en de algemene kennis van de organisatie. De druk/ urgentie die internal audit (soms als doorgeefluik van de accountant)  kan creëren is voor veel organisaties zeer belangrijk om beweging in de organisatie te krijgen. Zorg voor een proactieve communicatie in de organisatie.
  • Ontwikkel een RM-strategie ter goedkeuring van de directie/rvb.

Belangrijke waarborgen zijn:

  • Het is helder dat het management verantwoordelijk is en blijft voor risicomanagement;
  • De verantwoordelijkheden van de auditdienst staan beschreven in de charter;
  • De auditdienst managet geen risico’s in opdracht van het management;
  • De auditdienst kan in het besluitvormingsproces een adviserende rol spelen of tegenspraak faciliteren, maar neemt zelf geen besluiten inzake risicomanagement
  • Internal audit kan geen objectief oordeel geven over dat gedeelte van het risk en control framework, waar zij zelf verantwoordelijk voor is. Deze assurance moet door andere gekwalificeerde partijen gegeven worden.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s