Moderne auditplanning
Bij de meeste auditafdelingen start in september de procedure voor het maken van het jaarplan voor het komende jaar. De gesprekken met de belangrijkste stakeholders worden ingepland in september en oktober.
In dezelfde periode wordt de audit universe bijgewerkt. Begin november wordt het jaarplan van internal audit in concept opgesteld en doorgesproken met de raad van bestuur en eventueel andere belangrijke stakeholders. De uiteindelijke goedkeuring van het plan gebeurt in de raad van bestuur (RvB) en het audit committee (AC).
Het is een zeer tijdrovende procedure. In januari gaat de uitvoering van start. Ik heb het ook jarenlang zo gedaan, maar de vraag is: is dit nog steeds de juiste manier om de resources van internal audit te alloceren? Gezien mijn ervaringen van de afgelopen jaren met kwaliteitstoetsingen van internal auditfuncties (IAF) en de veranderingen in hun omgeving ben ik hieraan gaan twijfelen.
Er zijn kleinere IAF’s die geen audit universe hebben omdat er naast het uitvoeren van audits simpelweg geen tijd is voor het bijhouden van een audit universe. Er zijn ook grotere IAF’s die zijn overgestapt op agile werken en gestopt zijn met het bijhouden van een audit universe. Dat betekent dat je niet meer over de volle breedte aan je RvB en AC kunt garanderen dat je alle risico’s in kaart brengt en daar tijdig signalen over geeft. In je audit charter zul je dan ook moeten melden dat je op een andere wijze invulling geeft aan het monitoren van risico’s over het gehele bedrijf heen. Overigens wil dat niet zeggen dat er niet meer wordt gekeken naar risico’s; de nieuwe manier van werken leunt veel sterker op de risico’s die worden aangedragen door het management en die in de dialoog worden gechallenged door de IAF. Een andere benadering dus.
Verder merk ik dat het jaarlijks diepgaand analyseren van de risico’s niet meer van deze tijd is. Vooral bij agile werken zie je dat auditfuncties met een rolling forward jaarplanning, die elk kwartaal in overleg met het management wordt aangepast, een goede focus op de risico’s houden. Niet eens per jaar maar elk kwartaal. Met alle moderne technieken kun je dit zelfs maandelijks doen. Ik denk dat er nog geen IAF’s zijn die deze methode toepassen omdat de rapportagecyclus naar de RvB en het AC per kwartaal zijn ingericht en de sprint bij agile werken meestal zes weken duurt. Ook voor IAF’s die niet agile werken zou het invoeren van een dynamische planning een goede zaak zijn. Momenteel wordt de planning van de meeste IAF’s halfjaarlijks bijgesteld op basis van de gewijzigde omstandigheden.
Plannen binnen internal audit is een hulpmiddel om te komen tot een goede focus van de resources, met name medewerkers, op de goede onderwerpen. Het is de vraag of dit momenteel met de gebruikte procedures en tools wel gebeurt op de meest effectieve en efficiënte manier. Gezien de toegenomen kwaliteit van de tweede lijn in ondernemingen (vooral risk management), de toename van de beschikbare informatie en de introductie van kunstmatige intelligentie zou de IAF in staat moeten zijn om sneller en beter te (her)plannen.
Het moet mogelijk zijn om vanaf 2025 een planningsmodule te ontwikkelen die maandelijks de auditplanning bijstelt aan de hand van alle informatie uit de onderneming. Denk aan risk management, incidenten, resultaten laatste audits en de financiële resultaten. Laat deze informatie beoordelen door kunstmatige intelligentie en een voorstel voor een bijgesteld auditplan is het resultaat, zonder dat het veel tijd vergt.
Over
Thijs Smit is auditconsultant en geeft eveneens trainingen en cursussen op het gebied van internal audit. Daarnaast is hij geassocieerd partner bij One Risk Advisory. Daarvoor was hij voorzitter van IIA Nederland, president van ECIIA, bestuurslid IIA Global en CAE bij PostNL, Hoogovens, Corus, Ahold, SNS Reaal en SHV.
Reacties (0)
Lees meer over dit onderwerp:
IA en AI
Mijn ervaringen met artificial intelligence (AI) waren tot mei 2024 zeer beperkt. Tot dan toe had ik aan ChatGPT maar een drietal vragen gesteld. Bij het ontwikkelen van een controleprogramma op het inkoopproces vroeg ik ChatGPT om een auditplan te maken. Het opgeleverde auditplan was niet perfect, maar zeker 80% was bruikbaar. Mijn tweede vraag […]
Lees meerDe GIAS: en nu?
Er is ruim drie jaar gewerkt aan de nieuwe Global Internal Audit Standards, die per 1 januari 2025 operationeel worden.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.