Samenvatting ERM Hfdst 7 t/m 9 + 12
Hoofdstuk 7: Monitoren en continu verbeteren
1. Monitoring en verbetering van het risicomanagementproces
2. De auditfunctie (intern) en extern (accountant)
3. Toezicht door de lijnorganisties (1e, 2e en 5e)
4. Continu verbeteren
Monitoring en verbetering van het risicomanagementproces
Vanuit het denken van de verschillende verdedigingslinies bestaan binnen de ERMplus-methodiek
twee mogelijkheden voor het inrichten van de monitoringsfunctie:
De eerste mogelijkheid is het beleggen van de monitorfunctie bij de interne of externe auditfunctie.
Door auditfunctie de trekkersrol te geven wordt monitoring in belangrijke mate belegd binnen de
vierde en vijfde verdedigingslinie. De eindverantwoordelijkheid voor het functioneren van het intern
beheersingsstelsel berust op te allen tijden bij de hoofddirectie; linie 1c.
De tweede mogelijkheid voor het monitoren van de effectiviteit van het stelsel van
beheersingsmaatregelen is de rol van het tactisch en strategische management.
De auditfunctie (intern) en externe (accountant): 3e en 4e verdedigingslinie
Risico’s en risicomanagement is niet nieuw voor internal auditors. Steeds vaker zien we dat
auditplannen zijn gebaseerd op een op risico’s gebaseerde auditaanpak waarbij jaarlijks het
risicoprofiel opnieuw wordt ingeschat. Helaas beperkt een risicogerichte auditaanpak zich tot het
opstellen van het auditplan waarbij risico denken slechts op onderdelen duidelijk naar voren komt.
Geïnventariseerde risico’s vormen de basis voor het selecteren van auditobjecten, maar worden niet
gebruikt in het definiëren en uitvoeren van audits.
Hierdoor wordt er onnodig energie besteed aan het identificeren en testen van ‘niet spannende’
controles of gegevensgerichte werkzaamheden. Ook het gebrek aan kennis kan leiden tot het niet
toetsen van processen of controles die wel van significante betekenis zijn voor het beheersen van
belangrijke doelstellingen.
Binnen ERMplus-methodiek wordt een risicogebaseerde auditbenadering gehanteerd die
strategische en procesrisico’s centraal stelt in het plannen, ontwerpen en uitvoeren van audits.
Kenmerkend hierbij is de integrale benadering: financiële, operationele en IT-audits worden integraal
uitgewerkt in een centraal auditplan waarbij de effecten van bevindingen onderling uitwisselbaar
zijn.
Voordelen risicogebaseerde auditaanpak: Het helpt de auditor met de juiste auditobjecten definiëren
én biedt een kapstok voor het bepalen van de juiste aard, scope en diepgang van de te verrichten
werkzaamheden.
Beoordelen van risico’s
Het implementeren van een risicogebaseerde auditaanpak kan complex en tijdintensief exercitie zijn.
De populariteit van risicogebaseerde auditaanpak is relatief beperkt door het gebrek aan een
deugdelijke integrale risicobenadering en onvoldoende afstemming tussen de verschillinde
auditdisciplines.
De meeste effectieve wijze om tot een adequate, integrale, risicogebaseerde auditaanpak te komen:
risicobeheersingsmatrix. De traditionele risicobeheersingsmatrix bestaat uit wat zijn de relevante
risico’s en welke beheersingsmaatregelen dragen bij om deze risico’s te mitigeren.
1
,Bij de geavanceerde risicomanagement wordt naast de traditionele relaties tussen risico’s en
beheersingsmaatregelen aanvullende kenmerken betrokken die relevant zijn voor het ontwerpen van
de audit.
De totstandkoming van het auditplan
Om tot een integraal en op risico’s gebaseerde auditplan te komen, onderscheiden we een vijftal
activiteiten. Deze stappen zijn:
Stap 1. Risicoclassificatie
Vertrekpunt om tot risico gebaseerde auditplan te komen, is het identificeren en classificeren van
risico’s. om op een succesvolle wijze tot een op risico’s gebaseerd auditplan te komen, onderkennen
we een tweetal aandachtspunten:
1. Op de eerste is het van wezenlijk belang dat op (senior) managementniveau voldoende
draagvlak bestaat voor de geclassificeerde risico’s.
2. Een tweede aandachtspunt is dat de risicoclassificatie uit dient te gaan van inherente risico’s.
Stap 2. Identificatie van beheersingsmaatregelen
Het identificeren van beheersingsmaatregelen kan plaatsvinden via verschillende
inventarisatietechnieken. We noemen het houden van interviews, het doornemen van relevantie
documentatie zoals proces/ en applicatiebeschrijvingen en het gebruik maken van control self
assessments. Voor het identificeren van key-beheersingsmaatregelen adviseert men een top-down
benadering. Nadat key-beheersingsmaatregelen zijn gedefinieerd, kunnen de
beheersingsmaatregelen worden uitgewerkt in de risicobeheersingsmatrix en worden gekoppeld aan
risico’s.
Stap 3. Beoordelen effectiviteit ontwerpbeheersingsmaatregelen
In deze stap bepaalt de auditor de effectiviteit van de aanwezige key-beheersingsmaatregelen in
relatie tot risico’s. de hamvraag bij het evalueren van de in opzet aanwezige beheersingsmaatregelen
is: wordt het risico in voldoende mate gemitigeerd door gekoppelde beheersingsmaatregelen. Het
evalueren van de beheersingsmaatregelen resulteert in een oordeel omtrent de impact en kans van
het restrisico.
Stap 4. Analyseren interne beheersing
Voor het evalueren van de efficiëntie van beheersingsmaatregelen biedt het evaluatiemodel
hieronder een nuttige en handig kapstok.
2
, Naast het evalueren van de efficiëntie van beheersingsmaatregelen in termen van defectief vs.
preventief en handmatig vs. geautomatiseerd, heeft deze stap ook tot doel mogelijke doublures in de
interne beheersing te adresseren. Doublures hebben tot gevolg dat een risico door meerdere
gelijksoortige risico’s wordt beheerst met inefficiënties in de bedrijfsvoering tot gevolg.
Stap 5. Definiëren audits
Nadat de auditor de effectiviteit van het interne beheersingsstelsel heeft beoordeeld en restrisico’s
zijn geclassificeerd ontstaat inzicht in welke beheersingsmaatregelen zinvol zijn om te toetsen. Op
basis van restrisico’s kan de auditor per auditobject (proces, applicatie of anderszins) bepalen welke
risico’s en beheersingsmaatregelen relevant zijn om te onderzoeken.
Binnen de ERMplus-methodiek is een handreiking opgenomen voor het bepalen van de aard en
diepgang van de te verrichten testwerkzaamheden voor risico gebaseerde audits. De aard en
diepgang worden hierbij bepaald aan de hand van de onderliggende classificatie van het inherente
risico’s. Deze handreiking wordt hierna aangeduid (en toegelicht) als het ERMplus-risicotestmodel.
Hierbij wordt een viertal testscenario’s onderkend, te weten:
1. Uitgebreide testing (rood)
2. Beperkte testing (oranje)
3. Verplichte zelfevaluatie (geel)
4. Vrijwillige zelfevaluatie (groen)
3
Hoofdstuk 7: Monitoren en continu verbeteren
1. Monitoring en verbetering van het risicomanagementproces
2. De auditfunctie (intern) en extern (accountant)
3. Toezicht door de lijnorganisties (1e, 2e en 5e)
4. Continu verbeteren
Monitoring en verbetering van het risicomanagementproces
Vanuit het denken van de verschillende verdedigingslinies bestaan binnen de ERMplus-methodiek
twee mogelijkheden voor het inrichten van de monitoringsfunctie:
De eerste mogelijkheid is het beleggen van de monitorfunctie bij de interne of externe auditfunctie.
Door auditfunctie de trekkersrol te geven wordt monitoring in belangrijke mate belegd binnen de
vierde en vijfde verdedigingslinie. De eindverantwoordelijkheid voor het functioneren van het intern
beheersingsstelsel berust op te allen tijden bij de hoofddirectie; linie 1c.
De tweede mogelijkheid voor het monitoren van de effectiviteit van het stelsel van
beheersingsmaatregelen is de rol van het tactisch en strategische management.
De auditfunctie (intern) en externe (accountant): 3e en 4e verdedigingslinie
Risico’s en risicomanagement is niet nieuw voor internal auditors. Steeds vaker zien we dat
auditplannen zijn gebaseerd op een op risico’s gebaseerde auditaanpak waarbij jaarlijks het
risicoprofiel opnieuw wordt ingeschat. Helaas beperkt een risicogerichte auditaanpak zich tot het
opstellen van het auditplan waarbij risico denken slechts op onderdelen duidelijk naar voren komt.
Geïnventariseerde risico’s vormen de basis voor het selecteren van auditobjecten, maar worden niet
gebruikt in het definiëren en uitvoeren van audits.
Hierdoor wordt er onnodig energie besteed aan het identificeren en testen van ‘niet spannende’
controles of gegevensgerichte werkzaamheden. Ook het gebrek aan kennis kan leiden tot het niet
toetsen van processen of controles die wel van significante betekenis zijn voor het beheersen van
belangrijke doelstellingen.
Binnen ERMplus-methodiek wordt een risicogebaseerde auditbenadering gehanteerd die
strategische en procesrisico’s centraal stelt in het plannen, ontwerpen en uitvoeren van audits.
Kenmerkend hierbij is de integrale benadering: financiële, operationele en IT-audits worden integraal
uitgewerkt in een centraal auditplan waarbij de effecten van bevindingen onderling uitwisselbaar
zijn.
Voordelen risicogebaseerde auditaanpak: Het helpt de auditor met de juiste auditobjecten definiëren
én biedt een kapstok voor het bepalen van de juiste aard, scope en diepgang van de te verrichten
werkzaamheden.
Beoordelen van risico’s
Het implementeren van een risicogebaseerde auditaanpak kan complex en tijdintensief exercitie zijn.
De populariteit van risicogebaseerde auditaanpak is relatief beperkt door het gebrek aan een
deugdelijke integrale risicobenadering en onvoldoende afstemming tussen de verschillinde
auditdisciplines.
De meeste effectieve wijze om tot een adequate, integrale, risicogebaseerde auditaanpak te komen:
risicobeheersingsmatrix. De traditionele risicobeheersingsmatrix bestaat uit wat zijn de relevante
risico’s en welke beheersingsmaatregelen dragen bij om deze risico’s te mitigeren.
1
,Bij de geavanceerde risicomanagement wordt naast de traditionele relaties tussen risico’s en
beheersingsmaatregelen aanvullende kenmerken betrokken die relevant zijn voor het ontwerpen van
de audit.
De totstandkoming van het auditplan
Om tot een integraal en op risico’s gebaseerde auditplan te komen, onderscheiden we een vijftal
activiteiten. Deze stappen zijn:
Stap 1. Risicoclassificatie
Vertrekpunt om tot risico gebaseerde auditplan te komen, is het identificeren en classificeren van
risico’s. om op een succesvolle wijze tot een op risico’s gebaseerd auditplan te komen, onderkennen
we een tweetal aandachtspunten:
1. Op de eerste is het van wezenlijk belang dat op (senior) managementniveau voldoende
draagvlak bestaat voor de geclassificeerde risico’s.
2. Een tweede aandachtspunt is dat de risicoclassificatie uit dient te gaan van inherente risico’s.
Stap 2. Identificatie van beheersingsmaatregelen
Het identificeren van beheersingsmaatregelen kan plaatsvinden via verschillende
inventarisatietechnieken. We noemen het houden van interviews, het doornemen van relevantie
documentatie zoals proces/ en applicatiebeschrijvingen en het gebruik maken van control self
assessments. Voor het identificeren van key-beheersingsmaatregelen adviseert men een top-down
benadering. Nadat key-beheersingsmaatregelen zijn gedefinieerd, kunnen de
beheersingsmaatregelen worden uitgewerkt in de risicobeheersingsmatrix en worden gekoppeld aan
risico’s.
Stap 3. Beoordelen effectiviteit ontwerpbeheersingsmaatregelen
In deze stap bepaalt de auditor de effectiviteit van de aanwezige key-beheersingsmaatregelen in
relatie tot risico’s. de hamvraag bij het evalueren van de in opzet aanwezige beheersingsmaatregelen
is: wordt het risico in voldoende mate gemitigeerd door gekoppelde beheersingsmaatregelen. Het
evalueren van de beheersingsmaatregelen resulteert in een oordeel omtrent de impact en kans van
het restrisico.
Stap 4. Analyseren interne beheersing
Voor het evalueren van de efficiëntie van beheersingsmaatregelen biedt het evaluatiemodel
hieronder een nuttige en handig kapstok.
2
, Naast het evalueren van de efficiëntie van beheersingsmaatregelen in termen van defectief vs.
preventief en handmatig vs. geautomatiseerd, heeft deze stap ook tot doel mogelijke doublures in de
interne beheersing te adresseren. Doublures hebben tot gevolg dat een risico door meerdere
gelijksoortige risico’s wordt beheerst met inefficiënties in de bedrijfsvoering tot gevolg.
Stap 5. Definiëren audits
Nadat de auditor de effectiviteit van het interne beheersingsstelsel heeft beoordeeld en restrisico’s
zijn geclassificeerd ontstaat inzicht in welke beheersingsmaatregelen zinvol zijn om te toetsen. Op
basis van restrisico’s kan de auditor per auditobject (proces, applicatie of anderszins) bepalen welke
risico’s en beheersingsmaatregelen relevant zijn om te onderzoeken.
Binnen de ERMplus-methodiek is een handreiking opgenomen voor het bepalen van de aard en
diepgang van de te verrichten testwerkzaamheden voor risico gebaseerde audits. De aard en
diepgang worden hierbij bepaald aan de hand van de onderliggende classificatie van het inherente
risico’s. Deze handreiking wordt hierna aangeduid (en toegelicht) als het ERMplus-risicotestmodel.
Hierbij wordt een viertal testscenario’s onderkend, te weten:
1. Uitgebreide testing (rood)
2. Beperkte testing (oranje)
3. Verplichte zelfevaluatie (geel)
4. Vrijwillige zelfevaluatie (groen)
3
