Onze visie op audit
Bouw een Audit trail op processen en beheersing
Maak de Plan Do Check Act af in onze audit software en werk risk based. Hierdoor kunnen aanbevelingen direct worden opgevolgd. Zo gaat jouw organisatie op gebied van risicomanagement van procesbeheersing naar procesverbetering conform ISO 19011.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
Met Audit software bewaak je de PDCA
Plan
De audit planning dient aan te sluiten bij het risicoprofiel en controls rondom de strategie en processen van jouw organisatie..
Do
Dataverzameling: doorloop per auditprogramma zorgvuldig de stappen van het uitvoerproces. Hieronder vallen de analyse, risicobeoordeling en analyse controls.
Check
Evalueer de resultaten en het uitvoerproces van de audit en verbeter waar mogelijk. Door de koppeling van risk en control kunnen processen verbeterd worden en meer synergie bereikt worden.
Act
Voorkom een stuwmeer aan aanbevelingen en zorg voor overzicht en goede monitoring zodat bevindingen en aanbevelingen daadwerkelijk opgevolgd kunnen worden.
Met een self assessment wordt elke medewerker een internal auditor
Veel organisaties leunen nog te veel op de internal audit afdeling. Hierdoor is men druk met het verzamelen van documenten en bewijslast en is er te weinig tijd om aanbevelingen echt op te volgen en de PDCA af te maken. Dat moet en kan uiteraard anders. Door een risico gestuurde aanpak worden prioriteiten gesteld en kan er verantwoording worden afgelegd. Dit bevordert ook de onafhankelijkheid van de internal audit afdeling. Met zelfgemaakte control risk self assessments (CRSA), die belangrijke instrumenten zijn voor de auditor, wordt de organisatie echt betrokken en wordt het risicobewustzijn vergroot.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Strategische risicoanalyse als basis auditplanning
Door de koppeling van doelen, processen, risico’s, controls en audit worden audits een integraal onderdeel van de sturing en daarmee relevant voor de organisatie. Met NARIS GRC faciliteer, administreer en monitor je het hele auditproces. Van richten, inrichten, dataverzameling, analyse naar bevindingen, aanbevelingen en rapportage.
Self assessment faciliteert de eerste en tweede lijn
Door self assessments kom je erachter of jouw kern processen in control zijn en of de maatregelen (processen) effectief ingericht zijn. Om bewijslast op te halen kun je met NARIS GRC gemakkelijk periodiek vragenlijsten of checklists uitzetten binnen je organisatie. Hierdoor blijft er meer tijd over voor data-analyse en focus op die organisatieonderdelen die minder in control zijn.
Bouw of importeer een control framework
Bespaar tijd op de inrichting en het ontwerp van je audit door gebruik te maken van standaard templates in NARIS GRC gebaseerd op normen (onder andere ISO31000, 27001/27002/90001, NEST), frameworks (NOREA) en wet- en regelgeving (AVG, BIO). Zo is het mogelijk om aan te haken bij wat andere organisaties al uitgewerkt hebben en ontstaat focus op het specifiek maken van controls.
Inspiratie rondom auditing.
Ma. 1 nov 2021 – Webinar – Audit Management Software
NARIS organiseerde in samenwerking met het IIA maandag 1 november 2021 een webinar Risk Based Auditing over Audit Management Software
Komt u ook niet toe aan het uitvoeren van audits en interne controles?
Gedurende de Plan Do Check Act (PCDA) -cycle van een corporatie worden bij de Check fase verschillende audits en interne
RVO implementeert NARIS Audit
Richard van Hienen, Afdelingshoofd Interne Audit Dienst van de Rijksdienst voor Ondernemend Nederland (RVO) is blij met de succesvolle implementatie
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
