Moderne auditplanning

Bij de meeste auditafdelingen start in september de procedure voor het maken van het jaarplan voor het komende jaar. De gesprekken met de belangrijkste stakeholders worden ingepland in september en oktober.

In dezelfde periode wordt de audit universe bijgewerkt.  Begin november wordt het jaarplan van internal audit in concept opgesteld en doorgesproken met de raad van bestuur en eventueel andere belangrijke stakeholders. De uiteindelijke goedkeuring van het plan gebeurt in de raad van bestuur (RvB) en het audit committee (AC).

Het is een zeer tijdrovende procedure. In januari gaat de uitvoering van start. Ik heb het ook jarenlang zo gedaan, maar de vraag is: is dit nog steeds de juiste manier om de resources van internal audit te alloceren? Gezien mijn ervaringen van de afgelopen jaren met kwaliteitstoetsingen van internal auditfuncties (IAF) en de veranderingen in hun omgeving ben ik hieraan gaan twijfelen.

Er zijn kleinere IAF’s die geen audit universe hebben omdat er naast het uitvoeren van audits simpelweg geen tijd is voor het bijhouden van een audit universe. Er zijn ook grotere IAF’s die zijn overgestapt op agile werken en gestopt zijn met het bijhouden van een audit universe. Dat betekent dat je niet meer over de volle breedte aan je RvB en AC kunt garanderen dat je alle risico’s in kaart brengt en daar tijdig signalen over geeft. In je audit charter zul je dan ook moeten melden dat je op een andere wijze invulling geeft aan het monitoren van risico’s over het gehele bedrijf heen. Overigens wil dat niet zeggen dat er niet meer wordt gekeken naar risico’s; de nieuwe manier van werken leunt veel sterker op de risico’s die worden aangedragen door het management en die in de dialoog worden gechallenged door de IAF. Een andere benadering dus.

Verder merk ik dat het jaarlijks diepgaand analyseren van de risico’s niet meer van deze tijd is. Vooral bij agile werken zie je dat auditfuncties met een rolling forward jaarplanning, die elk kwartaal in overleg met het management wordt aangepast, een goede focus op de risico’s houden. Niet eens per jaar maar elk kwartaal. Met alle moderne technieken kun je dit zelfs maandelijks doen. Ik denk dat er nog geen IAF’s zijn die deze methode toepassen omdat de rapportagecyclus naar de RvB en het AC per kwartaal zijn ingericht en de sprint bij agile werken meestal zes weken duurt. Ook voor IAF’s die niet agile werken zou het invoeren van een dynamische planning een goede zaak zijn. Momenteel wordt de planning van de meeste IAF’s halfjaarlijks bijgesteld op basis van de gewijzigde omstandigheden.

Plannen binnen internal audit is een hulpmiddel om te komen tot een goede focus van de resources, met name medewerkers, op de goede onderwerpen. Het is de vraag of dit momenteel met de gebruikte procedures en tools wel gebeurt op de meest effectieve en efficiënte manier. Gezien de toegenomen kwaliteit van de tweede lijn in ondernemingen (vooral risk management), de toename van de beschikbare informatie en de introductie van kunstmatige intelligentie zou de IAF in staat moeten zijn om sneller en beter te (her)plannen.

Het moet mogelijk zijn om vanaf 2025 een planningsmodule te ontwikkelen die maandelijks de auditplanning bijstelt aan de hand van alle informatie uit de onderneming. Denk aan risk management, incidenten, resultaten laatste audits en de financiële resultaten. Laat deze informatie beoordelen door kunstmatige intelligentie en een voorstel voor een bijgesteld auditplan is het resultaat, zonder dat het veel tijd vergt.