Hoofdstuk 7: Monitoren en continu verbeteren
1. Monitoring en verbetering van het risicomanagementproces
2. De auditfunctie (intern) en extern (accountant)
3. Toezicht door de lijnorganisties (1e, 2e en 5e)
4. Continu verbeteren
Monitoring en verbetering van het risicomanagementproces
Vanuit het denken van de verschillende verdedigingslinies bestaan binnen de ERMplus-methodiek
twee mogelijkheden voor het inrichten van de monitoringsfunctie:
De eerste mogelijkheid is het beleggen van de monitorfunctie bij de interne of externe auditfunctie.
Door auditfunctie de trekkersrol te geven wordt monitoring in belangrijke mate belegd binnen de
vierde en vijfde verdedigingslinie. De eindverantwoordelijkheid voor het functioneren van het intern
beheersingsstelsel berust op te allen tijden bij de hoofddirectie; linie 1c.
De tweede mogelijkheid voor het monitoren van de effectiviteit van het stelsel van
beheersingsmaatregelen is de rol van het tactisch en strategische management.
De auditfunctie (intern) en externe (accountant): 3e en 4e verdedigingslinie
Risico’s en risicomanagement is niet nieuw voor internal auditors. Steeds vaker zien we dat
auditplannen zijn gebaseerd op een op risico’s gebaseerde auditaanpak waarbij jaarlijks het
risicoprofiel opnieuw wordt ingeschat. Helaas beperkt een risicogerichte auditaanpak zich tot het
opstellen van het auditplan waarbij risico denken slechts op onderdelen duidelijk naar voren komt.
Geïnventariseerde risico’s vormen de basis voor het selecteren van auditobjecten, maar worden niet
gebruikt in het definiëren en uitvoeren van audits.
Hierdoor wordt er onnodig energie besteed aan het identificeren en testen van ‘niet spannende’
controles of gegevensgerichte werkzaamheden. Ook het gebrek aan kennis kan leiden tot het niet
toetsen van processen of controles die wel van significante betekenis zijn voor het beheersen van
belangrijke doelstellingen.
Binnen ERMplus-methodiek wordt een risicogebaseerde auditbenadering gehanteerd die
strategische en procesrisico’s centraal stelt in het plannen, ontwerpen en uitvoeren van audits.
Kenmerkend hierbij is de integrale benadering: financiële, operationele en IT-audits worden integraal
uitgewerkt in een centraal auditplan waarbij de effecten van bevindingen onderling uitwisselbaar
zijn.
Voordelen risicogebaseerde auditaanpak: Het helpt de auditor met de juiste auditobjecten definiëren
én biedt een kapstok voor het bepalen van de juiste aard, scope en diepgang van de te verrichten
werkzaamheden.
Beoordelen van risico’s
Het implementeren van een risicogebaseerde auditaanpak kan complex en tijdintensief exercitie zijn.
De populariteit van risicogebaseerde auditaanpak is relatief beperkt door het gebrek aan een
deugdelijke integrale risicobenadering en onvoldoende afstemming tussen de verschillinde
auditdisciplines.
De meeste effectieve wijze om tot een adequate, integrale, risicogebaseerde auditaanpak te komen:
risicobeheersingsmatrix. De traditionele risicobeheersingsmatrix bestaat uit wat zijn de relevante
risico’s en welke beheersingsmaatregelen dragen bij om deze risico’s te mitigeren.
1
,Bij de geavanceerde risicomanagement wordt naast de traditionele relaties tussen risico’s en
beheersingsmaatregelen aanvullende kenmerken betrokken die relevant zijn voor het ontwerpen van
de audit.
De totstandkoming van het auditplan
Om tot een integraal en op risico’s gebaseerde auditplan te komen, onderscheiden we een vijftal
activiteiten. Deze stappen zijn:
Stap 1. Risicoclassificatie
Vertrekpunt om tot risico gebaseerde auditplan te komen, is het identificeren en classificeren van
risico’s. om op een succesvolle wijze tot een op risico’s gebaseerd auditplan te komen, onderkennen
we een tweetal aandachtspunten:
1. Op de eerste is het van wezenlijk belang dat op (senior) managementniveau voldoende
draagvlak bestaat voor de geclassificeerde risico’s.
2. Een tweede aandachtspunt is dat de risicoclassificatie uit dient te gaan van inherente risico’s.
Stap 2. Identificatie van beheersingsmaatregelen
Het identificeren van beheersingsmaatregelen kan plaatsvinden via verschillende
inventarisatietechnieken. We noemen het houden van interviews, het doornemen van relevantie
documentatie zoals proces/ en applicatiebeschrijvingen en het gebruik maken van control self
assessments. Voor het identificeren van key-beheersingsmaatregelen adviseert men een top-down
benadering. Nadat key-beheersingsmaatregelen zijn gedefinieerd, kunnen de
beheersingsmaatregelen worden uitgewerkt in de risicobeheersingsmatrix en worden gekoppeld aan
risico’s.
Stap 3. Beoordelen effectiviteit ontwerpbeheersingsmaatregelen
In deze stap bepaalt de auditor de effectiviteit van de aanwezige key-beheersingsmaatregelen in
relatie tot risico’s. de hamvraag bij het evalueren van de in opzet aanwezige beheersingsmaatregelen
is: wordt het risico in voldoende mate gemitigeerd door gekoppelde beheersingsmaatregelen. Het
evalueren van de beheersingsmaatregelen resulteert in een oordeel omtrent de impact en kans van
het restrisico.
Stap 4. Analyseren interne beheersing
Voor het evalueren van de efficiëntie van beheersingsmaatregelen biedt het evaluatiemodel
hieronder een nuttige en handig kapstok.
2
, Naast het evalueren van de efficiëntie van beheersingsmaatregelen in termen van defectief vs.
preventief en handmatig vs. geautomatiseerd, heeft deze stap ook tot doel mogelijke doublures in de
interne beheersing te adresseren. Doublures hebben tot gevolg dat een risico door meerdere
gelijksoortige risico’s wordt beheerst met inefficiënties in de bedrijfsvoering tot gevolg.
Stap 5. Definiëren audits
Nadat de auditor de effectiviteit van het interne beheersingsstelsel heeft beoordeeld en restrisico’s
zijn geclassificeerd ontstaat inzicht in welke beheersingsmaatregelen zinvol zijn om te toetsen. Op
basis van restrisico’s kan de auditor per auditobject (proces, applicatie of anderszins) bepalen welke
risico’s en beheersingsmaatregelen relevant zijn om te onderzoeken.
Binnen de ERMplus-methodiek is een handreiking opgenomen voor het bepalen van de aard en
diepgang van de te verrichten testwerkzaamheden voor risico gebaseerde audits. De aard en
diepgang worden hierbij bepaald aan de hand van de onderliggende classificatie van het inherente
risico’s. Deze handreiking wordt hierna aangeduid (en toegelicht) als het ERMplus-risicotestmodel.
Hierbij wordt een viertal testscenario’s onderkend, te weten:
1. Uitgebreide testing (rood)
2. Beperkte testing (oranje)
3. Verplichte zelfevaluatie (geel)
4. Vrijwillige zelfevaluatie (groen)
3
Les avantages d'acheter des résumés chez Stuvia:
Qualité garantie par les avis des clients
Les clients de Stuvia ont évalués plus de 700 000 résumés. C'est comme ça que vous savez que vous achetez les meilleurs documents.
L’achat facile et rapide
Vous pouvez payer rapidement avec iDeal, carte de crédit ou Stuvia-crédit pour les résumés. Il n'y a pas d'adhésion nécessaire.
Focus sur l’essentiel
Vos camarades écrivent eux-mêmes les notes d’étude, c’est pourquoi les documents sont toujours fiables et à jour. Cela garantit que vous arrivez rapidement au coeur du matériel.
Foire aux questions
Qu'est-ce que j'obtiens en achetant ce document ?
Vous obtenez un PDF, disponible immédiatement après votre achat. Le document acheté est accessible à tout moment, n'importe où et indéfiniment via votre profil.
Garantie de remboursement : comment ça marche ?
Notre garantie de satisfaction garantit que vous trouverez toujours un document d'étude qui vous convient. Vous remplissez un formulaire et notre équipe du service client s'occupe du reste.
Auprès de qui est-ce que j'achète ce résumé ?
Stuvia est une place de marché. Alors, vous n'achetez donc pas ce document chez nous, mais auprès du vendeur irisv97. Stuvia facilite les paiements au vendeur.
Est-ce que j'aurai un abonnement?
Non, vous n'achetez ce résumé que pour $5.91. Vous n'êtes lié à rien après votre achat.