In 7 stappen naar een degelijke interne audit planning
Een onontbeerlijke stap in elke interne audit opdracht is het maken van een goede planning. Vaak grijpen interne auditors hiervoor terug naar de documentatie van voorgaande interne audit opdrachten of wordt de planning van de vorige audit van het proces gekopieerd. Als een proces voor de eerste keer geauditeerd wordt en er geen documentatie van vorige opdrachten beschikbaar is, wordt dokter Google vaak geconsulteerd. Kant-en-klare checklijsten voor een interne audit plan zijn dan in een paar muisklikken beschikbaar.
Het gevaar van deze werkwijze, is dat interne audit geen rekening meer houdt met de (wijzigende) omstandigheden, de context en de doelstellingen van de geauditeerde organisatie in kwestie. Een interne audit wordt op deze manier een ‘check-the-box’ oefening die weinig tot geen toegevoegde waarde biedt voor de organisatie.
In dit artikel bieden we een stappenplan aan dat als leidraad kan dienen bij het opmaken van een interne audit planning, zowel voor recurrente als nooit eerder geauditeerde processen.
Stap 1: Begrijp de doelstellingen en context van de audit
Voor het team kan beginnen aan de interne audit opdracht is het belangrijk om te begrijpen waarom het proces of project in het audit plan werd gezet.
Stel hierbij de volgende vragen:
- Waarom werd het proces/project goedgekeurd in het audit plan?
- Hoe draagt het proces/project bij tot het bereiken van de doelstellingen van de onderneming?
- Welke risico’s dekt de audit af?
- Werd het proces in het verleden al geauditeerd en wat waren de resultaten?
- Zijn er sinds kort of sinds de laatste audit belangrijke wijzigingen in het proces?
Stap 2: Schakel hulp in
Een interne auditor wordt vaak geconfronteerd met interne bedrijfsprocessen of domeinen waar hij zelf onvoldoende achtergrond en kennis over bezit. Hij kan geen expert zijn in alle facetten van het bedrijf die mogelijks aan een interne audit worden onderworpen. Bovendien verandert de omgeving waarin de onderneming zich bevindt voortdurend. Om te verzekeren dat het geauditeerde proces en de key controles goed ontworpen zijn, rekening houdend met alle relevante risico’s, is het aangeraden om externe expertise in te schakelen.
Relevante artikelen uit business tijdschriften of blogposts (van bv. het IIA) kunnen een goede bron zijn om ontbrekende kennis verder uit te diepen. Het inschakelen van een vakdeskundige is ook een optie.
Zo hoeft een interne auditor geen expert te zijn om een kwaliteitsvolle interne audit aan te bieden.
Stap 3: Kijk verder dan de controleactiviteiten
Een gecontroleerd proces omvat méér dan goed ontworpen en uitgevoerde controleactiviteiten. Een allesomvattend audit programma houdt rekening met alle elementen uit het COSO-raamwerk (COSO 2013 Internal control – Integrated framework). Hou bij het opmaken van de audit planning daarom ook rekening met de controle omgeving, risicobeoordeling, informatie & communicatie en monitoring activiteiten.
Stap 4: Maak een lijstje
Om een goed audit plan te kunnen opmaken, is het belangrijk inzicht te verwerven in het te auditeren proces, de applicaties die het proces ondersteunen en de relevante rapporten die gebruikt worden om het proces te monitoren.
Maak daarom een lijstje van documenten en gegevens die je voorafgaandelijk aan de audit wil ontvangen voor een eerste onderzoek:
- De interne richtlijnen, procedures, werkbeschrijvingen en organigrammen m.b.t. het geauditeerde proces;
- Rapporten die gebruikt worden om de efficiëntie en effectiviteit van een proces op te volgen;
- Toegang tot de belangrijkste applicaties in het proces;
- …
Stap 5: Een voorbereid man of vrouw is er twee waard
Na het initiële onderzoek, volgt er een interne meeting met het audit team. Hierin wordt het begrip van het proces en de belangrijke stappen gedeeld en gevalideerd. Een beschrijving of visualisatie van het proces met de belangrijkste processtappen, de input en outputs en de interne controle elementen vormt de basis van deze meeting. Ook de validatie van het proces door de vakexpert kan voor additionele input zorgen.
Na de interne validatie, wordt het begrip van het proces geconfirmeerd met en door de business stakeholders in een planningsmeeting. Door de goede voorbereiding kan het team aantonen dat zij geïnformeerd is en klaar om aan de audit te beginnen.
Stap 6: Bereid het auditprogramma voor
Nu het interne audit team inzicht heeft verkregen in het te auditeren proces en de daar bijhorende risico’s, kan het een audit programma opstellen. Een audit programma bevat de volgende punten:
- De doelstellingen van het proces;
- De risico’s binnen het proces;
- De controles die deze risico’s mitigeren;
- De belangrijkste attributen van de controles:
- Is de controle preventief of detectief?;
- Frequentie waarmee de controle wordt uitgevoerd;
- Mitigeert de controle een fraude risico?;
- Wordt de controle manueel of door een systeem uitgevoerd?;
- Een initiële inschatting van het risico;
- De procedures die gebruikt zullen worden om de controles te testen:
- Ondervraging;
- Observatie;
- Inspectie;
- Re-performance.
Stap 7: Check, check, dubbelcheck
Een audit programma wordt best door meerdere personen gecontroleerd en goedgekeurd vooraleer het gefinaliseerd wordt. Dit is zeker het geval voor processen die in het verleden nog niet werden geauditeerd.
Dit zorgt ervoor dat de stakeholders akkoord gaan met het programma en er geen onduidelijkheden ontstaan tijdens het veldwerk.
De volgende personen worden bij voorkeur betrokken in de validatie van het audit programma:
- Interne audit manager
- Vakexpert
- Hoofd van interne audit
- Management ’s contactpunt voor de audit
Door deze 7 stappen op te volgen, kan succesvol een audit planning opgesteld worden. Zo kan het interne audit team goed voorbereid van start gaan met het veldwerk.
Heb je hulp nodig bij het opstellen van jouw interne auditplan? Aarzel dan niet om ons te contacteren.
Jolien Vromant, Certified Internal Auditor – 7 oktober 2020