Risk based auditing

Kaplan onderscheid drie soorten risico’s; te voorkomen, strategisch en extern. De te voorkomen risico’s zijn te beïnvloeden door de organisatie en daardoor zijn er vaak veel bestaande beheersmaatregelen. Dit kunnen operationele en tactische risico’s en beheersmaatregelen zijn. Veel audits focussen zich op de processen. Vaak de financiële processen maar gelukkig zijn er ook steeds meer business auditors. Deze richten zich meer op de effectiviteit en efficiency van beheersmaatregelen.

Risk based auditing doet steeds meer zijn intrede en hierdoor krijgt audit ook steeds meer betekenis in de gehele organisatie. De audit is geen doel op zich meer maar draagt direct bij aan het verbeteren van de organisatie en dan ook nog daar waar de organisatie echt goed in wil zijn. Dit lukt alleen als de audit is gebaseerd op de belangrijkste risico’s die de doelstellingen van de organisatie in gevaar kunnen brengen.

Maar hoe werkt risk based auditen nu eigenlijk?

Geen risk based auditing zonder goed integraal risicomanagement. Bij de inrichting dient het risicomanagement een heldere koppeling te hebben met de doelstellingen en sturing van de organisatie. Ook de cultuur in de organisatie moet om naar “geen nieuws is slecht nieuws”. Dit betekent dat manager zonder enig risico juist wel een audit kan verwachten immers nobody’s perfect. Daarnaast kan door het reguliere proces een top 10 risico’s per kernwaarde worden vastgesteld. Juist van deze risico’s moet worden vastgesteld of ze binnen het risk appetite passen van de organisatie. Dit doe je door per risico de belangrijkste bestaande mitigerende beheersmaatregelen te;

inventariseren en
te toetsen of ze effectief zijn ingericht in opzet, bestaan en werking.

Wat levert het op?

Focus: door risk based auditing krijgt de organisatie grip op de belangrijkste risico’s en kan men sturing geven op de te behalen doelstellingen. Daarbij dient prioritering qua audit en frequentie en diepgang (bijv. aantal steekproeven) op basis van het risicoprofiel plaats te vinden.

Voor de top geeft het comfort dat de beheersing vanuit de organisatie op de belangrijkste risico’s goed gebeurt. Voor de ondersteunende (2^e) lijn geeft het informatie waar en hoe men kan verbeteren. De uitvoerende (1^e) lijn krijgt direct feedback over hoe ze hun werk doen en kan snel leren van de best practice.

Meer artikelen:

Bas van ’t Hof over Strategiekaarten voor Effectief Risico- en Prestatiemanagement in Gemeenten

Bas van’t Hof een bedreven Governance, Risk & Compliance professional werkend als Adviseur Concerncontrol Risico- & Prestatiemanagement bij De Bedrijfsvoeringspartner...

Lees dit bericht >

Risicomanagement

Nieuwe aanpak voor meer synergie Risicomanagement en Procesmanagement

In de dynamische en complexe omgeving is het essentieel om processen efficiënt te beheren en risico’s effectief te beheersen. Procesmanagement...

Lees dit bericht >

Risicomanagement

Risicomanagement

Wij zijn een erkend leerbedrijf!

Onlangs hebben wij van het SBB de officiële erkenning als ‘erkend leerbedrijf’ in ontvangst mogen nemen. Dit betekent dat Naris...

Lees dit bericht >

Risicomanagement

Risicomanagement

5 stappen op weg naar een Verklaring Omtrent Risicobeheersing

Afgelopen december 2023 werd besloten een wettelijk verplichte Verklaring Omtrent Risicobeheersing (VOR) voor ondernemingen aan de corporate governance code toe...

Lees dit bericht >

Risicomanagement

Bekijk meer artikelen en Webinars in de Naris Academy ->

Nederland

Plantageweg 1C
3833 AZ Leusden

Colosseum 19
7521 PV Enschede

Duitsland

Hohenzollernring 57
50672 Köln

Over NARIS

Partners

GRC tooling

Support

Risk based auditing

Maar hoe werkt risk based auditen nu eigenlijk?

Wat levert het op?

In het kort: