Kaplan onderscheid drie soorten risico’s; te voorkomen, strategisch en extern. De te voorkomen risico’s zijn te beïnvloeden door de organisatie en daardoor zijn er vaak veel bestaande beheersmaatregelen. Dit kunnen operationele en tactische risico’s en beheersmaatregelen zijn. Veel audits focussen zich op de processen. Vaak de financiële processen maar gelukkig zijn er ook steeds meer business auditors. Deze richten zich meer op de effectiviteit en efficiency van beheersmaatregelen.
Risk based auditing doet steeds meer zijn intrede en hierdoor krijgt audit ook steeds meer betekenis in de gehele organisatie. De audit is geen doel op zich meer maar draagt direct bij aan het verbeteren van de organisatie en dan ook nog daar waar de organisatie echt goed in wil zijn. Dit lukt alleen als de audit is gebaseerd op de belangrijkste risico’s die de doelstellingen van de organisatie in gevaar kunnen brengen.
Maar hoe werkt risk based auditen nu eigenlijk?
Geen risk based auditing zonder goed integraal risicomanagement. Bij de inrichting dient het risicomanagement een heldere koppeling te hebben met de doelstellingen en sturing van de organisatie. Ook de cultuur in de organisatie moet om naar “geen nieuws is slecht nieuws”. Dit betekent dat manager zonder enig risico juist wel een audit kan verwachten immers nobody’s perfect. Daarnaast kan door het reguliere proces een top 10 risico’s per kernwaarde worden vastgesteld. Juist van deze risico’s moet worden vastgesteld of ze binnen het risk appetite passen van de organisatie. Dit doe je door per risico de belangrijkste bestaande mitigerende beheersmaatregelen te;
- inventariseren en
- te toetsen of ze effectief zijn ingericht in opzet, bestaan en werking.
Wat levert het op?
Focus: door risk based auditing krijgt de organisatie grip op de belangrijkste risico’s en kan men sturing geven op de te behalen doelstellingen. Daarbij dient prioritering qua audit en frequentie en diepgang (bijv. aantal steekproeven) op basis van het risicoprofiel plaats te vinden.
Voor de top geeft het comfort dat de beheersing vanuit de organisatie op de belangrijkste risico’s goed gebeurt. Voor de ondersteunende (2e) lijn geeft het informatie waar en hoe men kan verbeteren. De uitvoerende (1e) lijn krijgt direct feedback over hoe ze hun werk doen en kan snel leren van de best practice.