Geert Haisma
De verantwoordelijkheden van interne auditors worden steeds uitgebreider. Van hen wordt verwacht dat ze uit hun comfortzone treden, met zekerheid de juiste en meest belangrijkste risico’s in kaart brengen en tijdig inzichten leveren om belangrijke strategische beslissingen te sturen. Daarnaast moeten ze stakeholders helpen zich een weg te banen door een wereld waarin sprake is van snel veranderende regelgeving, grootschalige datalekken en complexe zakelijke en politieke onzekerheden. Helaas staan auditors vaak op afstand van de rest van een organisatie. Er is niet genoeg aandacht voor de auditor, terwijl auditors nauw betrokken horen te zijn bij het gericht doorvoeren van organisatorische optimalisaties. Zo blijkt het voor auditors in het algemeen lastig te zijn om aan de juiste data te komen waarmee zij aan een organisatie geschikte aanbevelingen kunnen doen.
Om auditors te ondersteunen bij het voldoen aan wat van ze wordt verwacht, bestaat er een aantal best practices. Door deze juist te implementeren kan een organisatie op termijn haar doelen beter bereiken. Er ontstaat namelijk meer inzicht in de effectiviteit van risicobeheersing. De implementatie van deze best practices creëert ook een meer doelgerichte, saamhorige cultuur die organisaties ten goede komt.
Vijf best practices voor auditors
Focus op wat écht belangrijk is
Om een kosteneffectieve audit te kunnen doen is het van belang om eerst de factoren in kaart te brengen die op dat moment direct invloed hebben op het auditproces. Denk hierbij aan aangepaste wet- en regelgeving, de huidige organisatiecultuur en de professionele kennis van de medewerkers. Op deze manier is de kans van het optreden van eventuele bias preventief te verminderen. Als auditor heeft u meer flexibiliteit en zekerheid om te bepalen welk doel een audit dient en hoe en in welk tijdframe de audit zal plaatsvinden. De auditor zal zich beter kunnen concentreren op de toegevoegde waarde voor de organisatie, datgene wat juist écht belangrijk is.
Leg alle audit gerelateerde voorwaarden en activiteiten vast in beleid
Iedereen binnen een organisatie moet op de hoogte zijn van het beleid omtrent het auditproces. Om deze reden is het verstandig om alle audit gerelateerde voorwaarden en activiteiten vast te leggen in het beleid. Hierin moet in ieder geval stapsgewijs worden opgenomen wat de exacte handelingen dienen te zijn die van elke betrokken medewerker wordt verwacht en hoe regelmatig een audit kan plaatsvinden. Schriftelijke richtlijnen zorgen voor consistentie, duidelijkheid en verantwoording en dwingt een organisatie om het auditproces te blijven onderzoeken en optimaliseren.
Neem risicomanagement als uitgangspunt
We leven in een wereld waarin organisaties steeds meer risico’s lopen. Wet- en regelgeving wordt in steeds sneller tempo aangepast en cybercriminelen worden steeds slimmer. Dit zorgt ervoor dat auditors steeds vaker bedrijfsprocessen en -projecten opnieuw moeten beoordelen. Als organisatie wil men immers constant voorbereid zijn op risico’s door risicogestuurde audits en tegenslagen voorkomen. Risicomanagement is dus van het uiterste belang om als auditor de doelen op effectieve en efficiënte wijze te bereiken.
Zorg voor betrokken medewerkers
Medewerkers zijn het grootste en belangrijkste bezit van elke organisatie. Om deze reden is het van cruciaal belang dat alle betrokken medewerkers goed geïnformeerd worden en weten wat van hen verwacht wordt. Daarnaast is het essentieel om managers te betrekken bij het proces om de uitvoer van de interne audit zo efficiënt mogelijk te laten verlopen. Dit zal resulteren in de juiste allocatie van werkzaamheden, tijd en geld.
Zet audits proactief in om als organisatie strategische besluiten te kunnen nemen
Audits zouden meer moeten zijn dan enkel de naleving van intern beleid en externe regelgeving. Om als organisatie het maximale uit een audit te halen hoort men opvolging te geven aan de waardevolle gegevens die uit de resultaten naar voren komen. Deze data kan worden ingezet om bedrijfsprocessen te optimaliseren en er preventief voor te zorgen dat toekomstige resultaten nóg beter zullen zijn. Daarnaast kunnen deze gegevens richting geven aan strategische besluiten, omdat de organisatie meer inzicht heeft gekregen in haar sterke en minder sterke punten.
Software ter ondersteuning van het auditproces
Om als auditor het auditproces op efficiënte wijze te kunnen managen en vastleggen, is gebruik van de juiste audit software vereist, waarbij continu inzicht in een overzichtelijke audit trail van uitzonderlijk belang is. Op die manier bent u altijd audit ready en standaard voorbereid op eisen die gesteld worden vanuit normen, frameworks en wet- en regelgeving.
De auteur, Geert Haisma, is directeur bij FullyinControl en tevens blogger op het Risk & Compliance Platform Europe.