Steeds vaker zien we een op risico’s gebaseerde auditaanpak, waarbij het risicoprofiel jaarlijks opnieuw wordt ingeschat. Helaas beperkt een risicogerichte auditaanpak zich in de praktijk nog vaak tot een auditplan waarin het risicodenken vaak slechts op onderdelen duidelijk naar voren komt. Er wordt dan onnodig veel energie besteed aan het identificeren en testen van ‘niet spannende’ controles of aan gegevensgerichte werkzaamheden.Â
Het gebruik van een risicogebaseerde auditaanpak biedt duidelijke voordelen. Het helpt de auditor de juiste auditobjecten te definiëren en biedt een kapstok voor het bepalen van de juiste aard, scope en diepgang van de te verrichten testwerkzaamheden. In het Handboek Risicomanagement wordt een risicogebaseerde auditbenadering gehanteerd die strategische en procesrisico’s centraal stelt in het plannen, ontwerpen én uitvoeren van audits. Kenmerkend hierbij is de integrale benadering: financiële, operationele en IT-audits worden integraal uitgewerkt in een centraal auditplan, waarbij de effecten van bevindingen onderling uitwisselbaar zijn.
Beoordelen van risico’s
Het implementeren van een risicogebaseerde auditaanpak kan in de praktijk nogal eens uitmonden in een complexe en tijdsintensieve exercitie. Door het gebrek aan een deugdelijke integrale risicobenadering en aan onvoldoende afstemming tussen de verschillende auditdisciplines, is de populariteit van een risicogebaseerde auditaanpak nog relatief beperkt.
De populariteit van een risicogebaseerde auditaanpak is nog relatief beperkt.
De meest effectieve wijze om tot een adequate, integrale, risicogebaseerde auditaanpak te komen, is het gebruik van een ‘risicobeheersingsmatrix’. In een risicobeheersingsmatrix worden risico’s en beheersingsmaatregelen op een gestructureerde wijze met elkaar in verband gebracht.
In een traditionele benadering van een risicogebaseerde auditbenadering worden risico’s en beheersingsmaatregelen op een vrij eenvoudige wijze met elkaar in verband gebracht: wat zijn de relevante risico’s en welke beheersingsmaatregelen dragen bij aan het mitigeren van deze risico’s? In onderstaande is een voorbeeld van een traditionele risicobeheersingsmatrix uitgewerkt. De rol van de auditor beperkt zich tot het relateren van de beheersingsmaatregelen aan één of meer risico’s, door kruisjes te plaatsen.
Hoewel een traditionele risicobeheersingsmatrix de auditor een overzichtelijk beeld geeft van de belangrijkste beheersingsmaatregelen in relatie tot de aanwezige risico’s, geeft een dergelijke matrix geen antwoord op elementaire vragen als:
- Hoe effectief is het ontwerp van de beheersingsmaatregelen in relatie tot de risico’s?
- Wat is de importantie van een beheersingsmaatregel in relatie tot het bovenliggende risicoprofiel?
- Wat zijn de achterliggende oorzaken van het risico?
- Wat is de aard van het risico (financiële verslaggeving, operationele risico’s, rechtmatigheidsrisico’s e.d.)?
- Wat is de aard van de beheersingsmaatregelen (handmatig, geautomatiseerd, zachte beheersingsmaatregelen, managementbeheersingsmaatregelen e.d.)?
Om een meer diepgaand inzicht te verkrijgen in de achtergronden en aard van risico’s en beheersingsmaatregelen, is het raadzaam om een meer geavanceerde risicobeheersingsmatrix te hanteren. Hierin worden aanvullende kenmerken betrokken die relevant zijn voor het ontwerpen van de audit. Zoals bijvoorbeeld de importantie en aard van het risico, kenmerkende karakteristieken van de beheersingsmaatregel (preventief, detectief, geautomatiseerd, handmatig e.d.) en de kwaliteit van de opzet.
De geavanceerde risicobeheersingsmatrix (zie figuur hieronder) biedt een prima basis voor het definiëren van een deugdelijk, op risico’s gebaseerd auditplan. Om tot een integraal en op risico’s gebaseerd auditplan te komen, onderscheiden we een vijftal activiteiten:
Stap 1: Classificeren van risico’s
Het vertrekpunt om tot een op risico gebaseerd auditplan te komen, is het identificeren en classificeren van risico’s. Deze risico’s kunnen worden uitgewerkt in de geavanceerde risicobeheersingsmatrix, rekening houdend met de risicohouding en het risicobeleid van de organisatie. Zo zullen risico’s waarvoor het management geen interne beheersingsmaatregelen wenst te nemen, maar die ze bijvoorbeeld willen verzekeren of accepteren, niet worden uitgewerkt in de geavanceerde risicobeheersingsmatrix.
Nadat de risico’s zijn geïdentificeerd, dienen ze te worden geclassificeerd door een inschatting toe te kennen voor de kans dat dit risico optreedt en de impact die het kan hebben. Een veelgebruikte techniek voor het classificeren van risico’s is risico-mapping.
Van belang is dat er op (senior) managementniveau voldoende draagvlak bestaat voor de geclassificeerde risico’s. Een tweede aandachtspunt is dat bij de classificatie van risico’s de mitigerende werking van beheersingsmaatregelen buiten beschouwing wordt gelaten. Dit vindt pas in stap 3 plaats.
Lees ook: 4 tips voor de risiogestuurde auditor
Stap 2: Identificeren van beheersingsmaatregelen
De tweede stap is het identificeren van relevante beheersingsmaatregelen. Dit kan uitgevoerd worden met behulp van verschillende inventarisatietechnieken, bijvoorbeeld interviews, relevante documenten zoals proces- en applicatiebeschrijvingen doornemen en gebruik maken van control-selfassessments.
Een veelvoorkomende valkuil is het identificeren van een overvloed aan beheersingsmaatregelen. Dit leidt tot een onbeheersbaar en niet-transparant bouwwerk van controles en procedures.
Een veelvoorkomende valkuil bij deze stap is het identificeren van een overvloed aan beheersingsmaatregelen. Te veel beheersingsmaatregelen leiden tot een onbeheersbaar en niet-transparant bouwwerk van controles en procedures. Om dit te voorkomen is het raadzaam om uitsluitend ‘key-beheersingsmaatregelen’ te benoemen. Beheersingsmaatregelen worden als ‘key’ aangemerkt als ze kritisch zijn voor het bereiken van de organisatiedoelstellingen, zoals een betrouwbare financiële verslaggeving of het bereiken van de procesdoelstellingen.
Nadat de key-beheersingsmaatregelen via een top-downbenadering zijn gedefinieerd, kunnen ze worden uitgewerkt in de risicobeheersingsmatrix en worden ‘gekoppeld’ aan risico’s. Vervolgens kan de risicoclassificatie doorvertaald worden naar de beheersingsmaatregelen.
Stap 3: Evalueren van effectiviteit van ontwerpbeheersingsmaatregelen
In deze stap bepaalt de auditor de effectiviteit van de aanwezige key-beheersingsmaatregelen: wordt het risico in voldoende mate gemitigeerd door de gekoppelde beheersingsmaatregelen? Het evalueren van de effectiviteit van beheersingsmaatregelen kent veelal een hoog gehalte aan professionele oordeelsvorming. Door achterliggende oorzaken van het risico te betrekken, ontstaat een beter inzicht in de aard van het risico. Deze drijfveren vormen het focusgebied, en daarmee wat de key-beheersingsmaatregelen minimaal moeten mitigeren.
Stap 4: Analyseren van interne beheersing
Gedurende het evalueren van de effectiviteit van het stelsel van interne beheersingsmaatregelen ontstaat er niet alleen inzicht in of risico’s adequaat worden beheerst, maar ook in de wijze waarop. Zo zijn geautomatiseerde preventieve beheersingsmaatregelen in de regel effectiever en goedkoper dan handmatige detectieve maatregelen.
Het is raadzaam om zo veel mogelijk het management en de lijnorganisatie te betrekken bij het evalueren van de interne beheersing.
Deze stap heeft ook tot doel mogelijke doublures in de interne beheersing aan te pakken. Doublures hebben tot gevolg dat een risico door meerdere gelijksoortige risico’s worden beheerst, wat tot inefficiënties in de bedrijfsvoering leidt. Het is ook raadzaam om zo veel mogelijk het management en de lijnorganisatie te betrekken bij het evalueren van de interne beheersing om (meer) draagvlak te creëren.
Stap 5: Definiëren van audits
Nadat de auditor de effectiviteit van het interne beheersingsstelsel heeft beoordeeld en de restrisico’s heeft geclassificeerd, ontstaat er inzicht in welke beheersingsmaatregelen zinvol zijn om te toetsen. Restrisico’s hebben hierbij betrekking op de classificatie van risico’s, rekening houdend met de mitigerende werking van beheersingsmaatregelen. Op basis van de restrisico’s kan de auditor per auditobject (proces, applicatie of anderszins) bepalen welke risico’s en beheersingsmaatregelen relevant zijn om te onderzoeken.
Een risicogebaseerde aanpak biedt ook handvatten voor het bepalen van de diepgang van de te verrichten werkzaamheden. Deze diepgang heeft een nauwe relatie met de mate van zekerheid die het management verlangt over taakbeheersing.
Het management zal primair gefocust zijn op een effectieve beheersing van ‘spannende’ risico’s.
Het management zal primair gefocust zijn op een effectieve beheersing van ‘spannende’ risico’s, en daarom een hoge mate van zekerheid verlangen over een effectieve werking van beheersingsmaatregelen. Bij minder ‘spannende’ risico’s zal het management wellicht minder zekerheid verlangen. Zeker als het management beschikt over beperkte capaciteit en middelen voor het uitvoeren van audits, kan het risicoprofiel een nuttige handreiking vormen voor het prioriteren van de audits.
Daarnaast kan het risicoprofiel behulpzaam zijn bij het bepalen van de diepgang van de audit. Zo kan er bij minder spannende beheersingsmaatregelen volstaan worden met minder diepgaande testwerkzaamheden. De aard en diepgang van de door de auditor te verrichten werkzaamheden hangen nauw samen met de risicoclassificatie.
Risicotestmodel
Het risicotestmodel is een raamwerk om de aard en de diepgang van de audit met de bovenliggende risicoclassificatie op consistente wijze uit te werken. Hierbij kunnen we een viertal testscenario’s onderscheiden: uitgebreide testing (rood), beperkte testing (oranje), verplichte zelfevaluatie (geel) en vrijwillige zelfevaluatie (groen).
Beheersingsmaatregelen die samenhangen met inherente risico’s die de classificatie ‘groen’ of ‘laag’ hebben, behoeven de minste aandacht tijdens het uitvoeren van een audit. De auditor kan zich beperken tot het afnemen van een interview om de effectiviteit van de beheersingsmaatregelen te evalueren; er zijn geen verdere steekproeven of deelwaarnemingen nodig.
Het tweede testscenario gaat over risico’s dis als ‘geel’ of ‘gemiddeld’ zijn geclassificeerd. Het toetsen van deze beheersingsmaatregelen beperkt zich tot het vaststellen van het bestaan ervan op basis van een minimale steekproef. Het testwerk van de auditor en de mate van verschafte zekerheid is derhalve relatief beperkt.
Het derde testscenario gaat over beheersingsmaatregelen waarvoor de inherente risico’s de classificatie ‘oranje’ of ‘significant’ hebben gekregen. De werkzaamheden van de auditor zijn gericht op het vaststellen van het bestaan en de werking van de beheersingsmaatregelen gedurende een bepaalde periode. De werkzaamheden van de auditor zijn erop gericht het management een redelijke mate van zekerheid te verschaffen.
Het laatste testscenario gaat over beheersingsmaatregelen die zijn gekoppeld aan inherente risico’s met de classificatie ‘hoog’ of ‘rood’. De auditor verricht in deze gevallen uitgebreide testwerkzaamheden ter validatie van de werking van de beheersingsmaatregelen gedurende een bepaalde periode. Op basis van deze werkzaamheden kan de auditor het management een hoge mate van zekerheid verschaffen over de effectiviteit van de beheersingsmaatregelen in die bepaalde periode.
Bron: Handboek Risicomanagement
Door: Urjan Claassen
Handboek Risicomanagement
Het Handboek risicomanagement beschrijft een praktische methodiek voor het inrichten van integraal risicomanagement. Het boek is gebaseerd op de principes van het COSO ERM-model en biedt concrete handvatten voor het identificeren en beheersen van risico’s op strategisch en procesniveau.
