Vul uw organisatiegegevens in
Introductie
Dit Audit Manual beschrijft de werkwijze van de Internal Audit Functie (IAF) van ORGANISATIENAAM. Het handboek is opgesteld conform de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA) en vult het Internal Audit Charter aan (CHARTER REFERENTIE).
Waar het charter de positie, het mandaat en de onafhankelijkheid van de IAF vastlegt, beschrijft dit handboek hoe de IAF haar werkzaamheden in de praktijk uitvoert: van strategie en planning tot rapportage, follow-up en kwaliteitsborging.
De gehanteerde auditaanpak is gebaseerd op METHODOLOGIE. Dit handboek treedt in werking per DD-MM-JJJJ en wordt jaarlijks herzien.
Strategie en jaarplanning
De CAE stelt jaarlijks een risicogebaseerd internal auditplan op. Dit plan is gebaseerd op:
- Een actuele risicobeoordeling van het audit universe (alle auditeerbare objecten van ORGANISATIENAAM);
- Input van de RAAD VAN COMMISSARISSEN / BOARD, het AUDIT COMMITTEE en het senior management;
- De strategische doelstellingen van de organisatie;
- Resultaten van voorgaande audits en openstaande aanbevelingen.
Het jaarplan omvat verplichte aandachtsgebieden conform GIAS Standaard 9.2: informatietechnologie en cyberbeveiliging, frauderisico's, en naleving van wet- en regelgeving.
Het auditplan wordt ter goedkeuring voorgelegd aan het AUDIT COMMITTEE. Materiële afwijkingen van het goedgekeurde plan worden eveneens ter goedkeuring voorgelegd. Tussentijdse herziening vindt plaats bij significante veranderingen in de organisatie of het risicoprofiel.
Opdrachtvoorbereiding
Elke auditopdracht start met een gestructureerde voorbereidingsfase. De CAE of aangewezen senior auditor stelt een opdrachtbrief op die minimaal omvat: doelstellingen, scope, auditeerperiode, normenkader, geplande doorlooptijd en de samenstelling van het auditteam.
Onafhankelijkheid en objectiviteit
Vóór aanvang van elke opdracht bevestigen alle betrokken auditors hun onafhankelijkheid en objectiviteit. Bij (dreiging van) belangenconflicten wordt een alternatieve auditor aangesteld.
Risicobeoordeling en werkprogramma
Op basis van de opdrachtscope voert het auditteam een opdracht-specifieke risicobeoordeling uit. De uitkomsten vormen de basis voor het werkprogramma: de gestructureerde beschrijving van uit te voeren werkzaamheden, normenkader, benodigde informatiebronnen en evaluatiecriteria.
Overleg met auditee
De CAE voert voorafgaand aan elke opdracht een openingsgesprek met de verantwoordelijk manager (auditee) om de doelstelling, scope en werkwijze toe te lichten en afstemming te bereiken over de planning. Materiële bezwaren worden geëscaleerd conform sectie 8.
Uitvoering van de opdracht
Informatie verzamelen
Het auditteam verzamelt informatie via de OBW-aanpak: Observatie (directe waarneming van processen en activiteiten), Bevraging (interviews met medewerkers en management) en Waarneming (analyse van documenten, systemen en data). Informatie wordt op betrouwbaarheid, volledigheid en relevantie getoetst.
Bevindingen formuleren
Elke bevinding wordt gedocumenteerd met: omschrijving van de situatie (wat is aangetroffen?), het normenkader (wat had moeten zijn?), de grondoorzaak, het gevolg/risico, en een aanbeveling gericht op de oorzaak. Bevindingen worden geprioriteerd op basis van risicorelevantie (hoog / midden / laag).
Frauderisico's
Het auditteam houdt gedurende de uitvoering alert op indicatoren van fraude of niet-integer gedrag. Bij concreet vermoeden van fraude wordt de CAE onmiddellijk geïnformeerd, die vervolgens bepaalt of en hoe te escaleren.
Supervisie
De CAE of aangewezen superviserende auditor bewaakt de kwaliteit en voortgang van de uitvoering. Significante afwijkingen van het werkprogramma worden gedocumenteerd en ter goedkeuring voorgelegd.
Dossiervorming
De IAF legt per opdracht een auditdossier aan dat voldoende bewijs bevat om conclusies te onderbouwen en te reconstrueren. Het dossier omvat minimaal: de opdrachtbrief, risicobeoordeling, werkprogramma, werktekeningen, interviews/notities, en het eindrapport inclusief de management response.
Auditdossiers worden bewaard gedurende BEWAARTERMIJN na afronding van de opdracht, conform de wettelijke vereisten en het retentiebeleid van ORGANISATIENAAM. Toegang is beperkt tot leden van de IAF en bevoegde toezichthouders. Auditdossiers worden niet aan externe partijen verstrekt zonder expliciete toestemming van de CAE.
Opdrachtrapportage
Conceptrapport en hoor en wederhoor
Na afronding van de uitvoering stelt het auditteam een conceptrapport op. Dit rapport wordt ter review voorgelegd aan de auditee en het verantwoordelijk management (hoor en wederhoor). De auditee heeft de gelegenheid feitelijke onjuistheden te corrigeren en een management response te formuleren op elke aanbeveling.
Definitief rapport
Na verwerking van reacties stelt de CAE het definitieve rapport vast. Het rapport bevat: aanleiding en doelstelling, scope en methodologie, overall auditconclusie, bevindingen met prioritering, aanbevelingen, management responses en een actieplan (ATF).
Distributie
Het definitieve rapport wordt verspreid aan: het verantwoordelijk management, de CAE (archivering), het AUDIT COMMITTEE (significante bevindingen of op verzoek) en de RAAD VAN COMMISSARISSEN (periodieke rapportage). CAE (archivering) en het AUDIT COMMITTEE van de BOARD OF DIRECTORS.
Fouten en omissies / Non-conformiteit
Indien na publicatie een materiële fout of omissie in het rapport wordt geconstateerd, geeft de CAE een gecorrigeerd rapport uit en informeert alle ontvangers. Non-conformiteit met de GIAS wordt gedocumenteerd, gecommuniceerd aan het AUDIT COMMITTEE en opgenomen in de QAIP-rapportage.
Follow-up en monitoring van aanbevelingen
De IAF monitort de implementatie van aanbevelingen via het Action Tracking Form (ATF). Het management is verantwoordelijk voor de implementatie; de IAF bevestigt de uitvoering en de effectiviteit.
De CAE rapporteert kwartaalsgewijs aan het AUDIT COMMITTEE over de stand van zaken van openstaande aanbevelingen, inclusief vertraagde en niet-geïmplementeerde items. Aanbevelingen die na de overeengekomen deadline niet zijn geïmplementeerd worden geëscaleerd conform sectie 8.
Escalatie en risicoacceptatie
Wanneer het management besluit een aanbeveling niet of niet volledig op te volgen, documenteert de CAE dit als formele risicoacceptatie. De risicoacceptatie omvat: beschrijving van het restrisico, de naam van de accepterende manager en de datum. Bij risico's boven de risicobereidheid van ORGANISATIENAAM geldt de volgende escalatieladder:
- Overleg met de verantwoordelijk manager;
- Escalatie naar het senior management;
- Escalatie naar het AUDIT COMMITTEE;
- Indien nodig: melding aan het voltallig toezichthoudend orgaan.
De CAE legt alle risicoacceptaties en escalatiestappen vast in het auditdossier.
Periodieke rapportage
Kwartaalrapportage
De CAE rapporteert kwartaalsgewijs aan het AUDIT COMMITTEE over: voortgang van het auditplan (% afgerond, verwachte voltooiing), significante bevindingen, status openstaande aanbevelingen, capaciteits- en budgetafwijkingen, en eventuele aantastingen van de onafhankelijkheid.
Jaaroordeel (Overall Opinion)
De CAE brengt jaarlijks een overall opinion uit over de effectiviteit van de governance, het risicobeheer en de interne beheersing van ORGANISATIENAAM. Dit oordeel is gebaseerd op de gezamenlijke resultaten van alle in het jaar uitgevoerde opdrachten.
Thematische rapportages
Naast de periodieke rapportage kan de CAE thematische rapportages uitbrengen over sectoroverstijgende of strategische risico's, op verzoek van het AUDIT COMMITTEE of op eigen initiatief.
Adviesdiensten
Naast assurancediensten verleent de IAF adviesdiensten aan het management van ORGANISATIENAAM. Bij adviesdiensten gelden aanvullende spelregels:
- De IAF neemt geen managementverantwoordelijkheid over;
- Adviesdiensten mogen de objectiviteit van de IAF niet aantasten;
- Bij een latere assurance-opdracht op hetzelfde object meldt de CAE de eerder verleende adviesdienst;
- De CAE informeert het AUDIT COMMITTEE over significante adviesdiensten.
Middelen- en budgetbeheer
Budget
De CAE stelt jaarlijks een budgetvoorstel op, afgestemd op het auditplan. Het budget wordt goedgekeurd door het AUDIT COMMITTEE. Materiële afwijkingen worden gemeld.
Personeel en competenties
De IAF beschikt over de kennis, vaardigheden en overige competenties die nodig zijn voor de uitvoering van het auditplan. De CAE bevordert de continue professionele ontwikkeling van alle medewerkers, inclusief certificering (CIA en sectorspecifieke kwalificaties). Bij ontbrekende kennis voor specifieke opdrachten wordt gebruik gemaakt van co-sourcing of externe expertise.
Technologie en tools
De IAF maakt gebruik van geëigende audit-tools voor planning, dossierbeheer, data-analyse en rapportage. De CAE beoordeelt periodiek of de beschikbare technologie nog passend is voor het mandaat.
Kwaliteitsborging en verbetering (QAIP)
Continue monitoring
De kwaliteit van opdrachten wordt continu gemonitord via supervisie (sectie 4), dossierreviews en tevredenheidsmeting bij auditees na elke opdracht.
Zelfevaluatie
De CAE voert jaarlijks een interne zelfevaluatie uit. De uitkomsten worden, samen met de conformiteit met de GIAS en de realisatie van prestatiedoelstellingen, gerapporteerd aan het AUDIT COMMITTEE.
Prestatiemeting en KPI's
De IAF meet haar prestaties aan de hand van KPI's die jaarlijks worden goedgekeurd door het AUDIT COMMITTEE. Minimale indicatoren: realisatie auditplan (%), gemiddelde doorlooptijd per opdracht, tevredenheidsscore auditees, opvolgingspercentage aanbevelingen en GIAS-conformiteitsoordeel.
Externe kwaliteitstoetsing (EQA)
Ten minste eenmaal per vijf jaar laat de IAF een externe kwaliteitstoetsing uitvoeren door een onafhankelijke, gekwalificeerde partij. De uitkomsten worden gerapporteerd aan het AUDIT COMMITTEE. Bij een significant non-conformiteitsoordeel stelt de CAE een verbeterplan op.
Coördinatie met andere assuranceaanbieders
De CAE coördineert de werkzaamheden van de IAF met die van de externe accountant, de risicomanagementfunctie, de compliancefunctie en andere interne of externe aanbieders van assurancediensten. Doel is: beperken van dubbel werk, borgen van een integrale risicodekking, en vergroten van de gecombineerde toegevoegde waarde.
De CAE beoordeelt in welke mate op het werk van andere aanbieders kan worden gesteund (GIAS Standaard 9.5) en documenteert deze beoordeling in het auditdossier.
Bijlage A: GIAS Crossreferentietabel
Per sectie van dit handboek de relevante GIAS-principes, standaarden en DO-vereistenummers. ⚠ = kritieke vereiste.
| Sectie handboek | Principe | Standaard | DO-vereiste nrs. | Kritiek |
|---|---|---|---|---|
| 1: Introductie | PR6 Geautoriseerd door het bestuur | 6.2 Internal auditcharter | 1, 4 | ⚠ |
| 1: Introductie | PR9 Systematische en risicogebaseerde aanpak | 9.3 Overleg over opdrachtdoelstellingen | 1 | ⚠ |
| 2: Strategie & plan | PR9 Systematische en risicogebaseerde aanpak | 9.1 Opdrachtportfolio | 1, 2 | |
| 2: Strategie & plan | PR9 Systematische en risicogebaseerde aanpak | 9.2 Risicogebaseerde planning | 1, 2, 3 | ⚠ |
| 2: Strategie & plan | PR9 Systematische en risicogebaseerde aanpak | 9.4 Internal auditplan | 1, 2, 3, 4 | ⚠ |
| 3: Voorbereiding | PR13 Gepland en goed beheerd | 13.1 Planningsdoelstellingen | 1, 2 | ⚠ |
| 3: Voorbereiding | PR13 Gepland en goed beheerd | 13.2 Opdrachtbriefing en -bereik | 1, 2, 3 | ⚠ |
| 3: Voorbereiding | PR13 Gepland en goed beheerd | 13.3 Risicobeoordeling | 1, 2 | ⚠ |
| 3: Voorbereiding | PR13 Gepland en goed beheerd | 13.4 Werkprogramma | 1, 2 | ⚠ |
| 4: Uitvoering | PR14 Communiceren van bevindingen | 14.1 Informatie verzamelen | 1, 2 | ⚠ |
| 4: Uitvoering | PR14 Communiceren van bevindingen | 14.2 Analyse en evaluatie | 1 | ⚠ |
| 4: Uitvoering | PR14 Communiceren van bevindingen | 14.3 Bevindingen identificeren | 1, 2, 3 | ⚠ |
| 4: Uitvoering | PR14 Communiceren van bevindingen | 14.4 Aanbevelingen | 1, 2 | ⚠ |
| 5: Dossiervorming | PR14 Communiceren van bevindingen | 14.6 Dossiervorming | 1, 2, 3, 4, 5 | ⚠ |
| 6: Rapportage | PR15 Communiceren van resultaten | 15.1 Definitieve communicatie | 1, 2, 3, 4, 5 | ⚠ |
| 6: Rapportage | PR11 Communiceren van conclusies | 11.4 Kwaliteit van de communicatie | 1, 2, 3 | |
| 7: Follow-up | PR15 Communiceren van resultaten | 15.2 Bevestigen implementatie aanbevelingen | 1, 2, 3 | ⚠ |
| 8: Escalatie | PR11 Communiceren van conclusies | 11.5 Escalatie van significante zaken | 1, 2 | |
| 9: Rapportagestructuur | PR11 Communiceren van conclusies | 11.3 Rapportage aan bestuur en senior mgmt | 1, 2, 3 | |
| 10: Adviesdiensten | PR6 Geautoriseerd door het bestuur | 6.1 Internal auditmandaat | 1 | ⚠ |
| 10: Adviesdiensten | PR9 Systematische en risicogebaseerde aanpak | 9.1 Opdrachtportfolio | 1 | |
| 11: Middelen | PR10 Goed beheerde middelen | 10.1 Middelen | 1, 2 | |
| 11: Middelen | PR10 Goed beheerde middelen | 10.2 Medewerkers | 1, 2, 3 | |
| 11: Middelen | PR10 Goed beheerde middelen | 10.3 Technologie en tools | 1 | ⚠ |
| 12: QAIP | PR12 Kwaliteitsborging en verbetering | 12.1 Interne kwaliteitstoetsing | 1, 2, 3 | ⚠ |
| 12: QAIP | PR12 Kwaliteitsborging en verbetering | 12.2 Prestatiemeting | 1, 2, 3 | ⚠ |
| 12: QAIP | PR12 Kwaliteitsborging en verbetering | 12.3 Supervisie op opdrachten | 1, 2 | ⚠ |
| 12: QAIP | PR8 Onder toezicht van het bestuur | 8.4 Externe kwaliteitstoetsing | 1, 2, 3 | ⚠ |
| 13: Coördinatie | PR9 Systematische en risicogebaseerde aanpak | 9.5 Coördinatie andere assurance | 1 | ⚠ |
Bijlage B: Checklist Voorbereiding
Gebruik deze checklist bij de start van elke auditopdracht. Blockers (rood gemarkeerd) zijn verplicht voor start uitvoering.
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Onafhankelijkheid en objectiviteit van het auditteam ⚠ Blocker | Is het auditteam (auditors én CAE) onafhankelijk en vrij van (schijn van) belangenverstrengeling ten opzichte van het auditobject? | Ondertekende onafhankelijkheidsverklaringen; geen eerdere betrokkenheid bij het auditobject; documentatie van teamrotatie. Onafhankelijk: (niet verantwoordelijk (geweest) voor onderzoeksobject of betrokken geweest bij adviesopdracht in afgelopen 5 jaar, geen limitering opgelegd t.a.v. scope of toegang tot informatie / personen / systemen enz) Objectief: risico van een bias (t.a.v. betrokkenen / beheersing) afwegen/bespreken, bewust zijn van eventuele vooroordelen t.a.v. personen / situatie zodat team / reviewer hier extra scherp op kan zijn) | 2.3 | 3 |
| 2 | Competenties en deskundigheid van auditoren | Beschikt het auditteam over de vereiste competenties voor deze audit? Welke rolverdeling is er? | Auditteam profiel; opleidings- en ervaringsdocumentatie; beoordeling competentie-auditfit. Passende en voldoende middelen te baseren op aard en de complexiteit van elke opdracht, de gestelde tijdslimieten en de beschikbare middelen. | 3.1 | 3 |
| 3 | Beschikbaarheid van juiste kennis, kunde, capaciteit | Beschikt het team over voldoende kennis, ervaring en middelen om de audit professioneel uit te voeren? | Competentiematrix, cv’s van het team, opleidingsregistraties, bewijs van ingehuurde externe deskundigen. | 13.5 | 2 |
| 4 | Interne kwaliteitsreview organiseren | Is een onafhankelijke interne review georganiseerd en is de reviewer voldoende gekwalificeerd? | Reviewopdracht opgenomen in de planning; reviewchecklist-sjabloon; naam van de reviewer en diens onafhankelijkheidsverklaring. | 12.2 | 3 |
| 5 | Risicoanalyse op onderzoeksobject | Zijn de relevante risico’s voor het onderzoeksobject, inclusief fraude- en non-compliance risico’s, in kaart gebracht en geanalyseerd? | Risicobeoordelingswerkblad, afwegingen rond frauderisico, uittreksels uit het risicoregister, interviews met stakeholders. Leg uitkomsten (risico's) vast in PvA of details apart in auditdossier. | 13.2 | 3 |
| 6 | Ethische/Fraude risico’s expliciet meenemen | Zijn ethische en fraude risico’s herkend en meegenomen in de risicoanalyse en planning van de audit? | Aantekeningen ethische risicobeoordeling; interviews met stakeholders; fraude-/ethiekchecklist in de planning. | 1.2 | 2 |
| 7 | Non-compliance risico's expliciet meenemen | Is de relevante wet en regelgeving in beeld en is niet naleven hiervan meegenomen in de risicoanalyse en planning van de audit? | aantekeningen van risico analyse, gesprekken met stakeholders, | 13.2 | 2 |
| 8 | Aanleiding beschrijven | Wat is de aanleiding van de audit? Bv vanuit Jaarplan maar ook waarom deze audit in het jaarplan is opgenomen. | Denk aan aandachtsgebieden, risico’s, zwakheden en ontwikkelingen/ veranderingen. | 1 | |
| 9 | Grove planning opstellen | Beschrijf (bv welk kwartaal) de audit vermoedelijk zal worden uitgevoerd. Bepaal ook of er factoren zijn die de planning beïnvloeden, bv vakantieperiodes. | 1 | ||
| 10 | Relevante ontwikkelingen of openstaande punten | Welke ontwikkelingen zijn er die relevant zijn om mee te nemen in het plan? Zijn er bekende kwetsbaarheden/problemen en staan er nog acties (audit findings) open? | 1 |
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Vaststellen van doelstellingen en scope van de audit | Zijn de doelstellingen en de scope van de audit vastgesteld in lijn met het doel en de organisatiedoelstellingen? | Gedocumenteerde opdrachtdoelstellingen en scope in het auditplandossier; goedgekeurde aankondigingsbrief van de audit. | 13.3 | 3 |
| 2 | Bepalen auditee | Is in het plan beschreven wie de auditee is mbt het onderwerp? | 1 | ||
| 3 | Afspraken met auditee bevestigen middels PvA | Zijn de afspraken met de auditee over het onderzoek vooraf vastgelegd en bevestigd? | Aankondigingsmail van de audit, ondertekende opdrachtbevestiging, vastgelegde scope-bevestiging. Leg uitkomsten (afspraken/bevestiging) vast, bijv. email van verzenden PvA of details apart in auditdossier. | 13.4 | 2 |
| 4 | Opstellen (audit) plan | Is een (audit) plan opgesteld waarin de werkzaamheden gekoppeld zijn aan de doelstellingen en scope? | Goedgekeurd werkprogramma; koppeling van werkzaamheden aan doelstellingen; auditplan-memo. De IAF werkt niet met werkprogramma’s waar in detail van te voren wordt vastgelegd welke audit activiteiten moeten worden doorlopen. Bij audit wordt auditplan opgesteld, voor overige onderzoeken kan worden voldaan met verkorte opdrachtbevestiging of plan/memo van aanpak. in Checklist spreken we van (audit) plan. | 13.6 | 3 |
| 5 | Opdrachtgever | Is in het plan beschreven wie de opdrachtgever is van deze audit? | 1 | ||
| 6 | Opstellen normenkader | Is voor de audit een toereikend (voldoende specifiek en toetsbaar) normenkader opgesteld (behorend bij minimaal de belangrijkste risico's of processtappen/projectfasen)? | Voor audits een vereiste, voor overige onderzoeken afhankelijk van overeengekomen opdracht. De term 'work program' wordt niet vertaald naar 'werkprogramma', maar geeft weer dat er voorbereidend werk wordt gedaan én gecommuniceerd (via audit plan/pva en normenkader) om doelstellingen en auditvragen binnen de scope van de audit te behalen/beantwoorden. | 13.6 | 3 |
| 7 | Topical requirements meenemen binnen normenkader | Is voor dit onderwerp een relevant Topical Requirements document beschikbaar? Kijk hier: https://www.theiia.org/en/standards/2024-standards/topical-requirements/ | Verplicht element binnen de bredere IPPF. | 2 | |
| 8 | Bepalen betrokkenen | Is duidelijk welke andere betrokkenen/stakeholders relevant zijn voor verkrijgen van de juiste informatie en zijn deze personen opgenomen in het audit plan? | 1 | ||
| 9 | Afstemmen met betrokkenen | Is er afgestemd met de stakeholders over doel, scope, timing en verantwoordelijkheden van de audit? | Vastlegging van communicatie met de opdrachtgever; verslagen of e-mails die overeenstemming bevestigen over doel, scope, uitkomsten en verantwoordelijkheden. Houd rekening met specifieke stimulerende / remmende factoren voor dit onderzoek en impact ervan voor afstemming met stakeholders en het plan van aanpak. | 13.1 | 2 |
| 10 | Detailplanning | Bevat het plan een gedetailleerde planning (bv een week-strokenplanning) en zijn de verschillende fases en deliverables daarin opgenomen? | 1 | ||
| 11 | Afstemming risico analyse auditee | Ingeval van audit: is de inschatting van de auditee vastgelegd van de effectiviteit van de beheersingsmaatregelen (bruto t.o.v. netto risico) waarover assurance is gewenst? | Zie handboek, voorbereidingsfase gaat uit van zelf risico inschatting maken en vastleggen van de inschatting van de auditee van de effectiviteit van de beheersingsmaatregelen (bruto t.o.v. netto risico) waarover assurance gewenst is. Veelal middels heat chart vastgelegd. | 2 | |
| 12 | Afstemming normenkader auditee | Is het (concept audit) plan inclusief normenkader afgestemd met auditee? | Leg vast, bijv. email of in dossier (OneNote). Ga na of de auditee de beoogde normering voldoende kent en of die normering echt aansluit bij de visie van auditee op management control | 2 | |
| 13 | Afstemming normenkader controller | Is het (concept audit) plan inclusief normenkader afgestemd met controller? | Leg vast, bijv. email of in dossier (OneNote). (vereiste voor audits, voor overige: indien geen afstemming heeft plaatsgevonden toelichten waarom) | 2 | |
| 14 | Afstemming PO / FG | Is bij "privacy audit" het rapport afgestemd met de PO en de FG? | Leg vast, bijv. email of in dossier (OneNote). Afstemming FG is vereiste voor privacy audits, voor overige privacy opdrachten: indien geen afstemming heeft plaatsgevonden toelichten waarom) | 1 | |
| 15 | Compliance IIA communiceren | Standaard tekst: is overwogen de tekst ‘In overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing’ op te nemen? | 4.1 | 1 | |
| 16 | Review (audit) plan | Is het (audit) plan gereviewd en staan er geen opmerkingen meer open? | (n.b aantoonbaar uitvoeren (track changes in digitaal document of aantekeningen op hard copy document scannen) | 12.3 | 3 |
| 17 | Verzending (audit) plan | Is het definitieve (audit) plan verzonden naar ten minste de opdrachtgever en de auditees? | 13.1 | 2 |
Bijlage C: Checklist Uitvoering
Gebruik tijdens de uitvoeringsfase.
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Tijdige escalatie bij issues of afwijking van plan | Zijn tekortkomingen en knelpunten bij de uitvoering tijdig gemeld aan relevante betrokkenen en CAE? | Escalatielogboeken; knelpunt-memo’s; meldingen aan het senior management. Bij belangrijke tekortkomingen informeert de CAE tussentijds de auditee en opdrachtgever. Dit om verrassingen bij bespreken van de concept auditrapportage te voorkomen. Daarnaast wordt de opdrachtgever geïnformeerd over eventuele vertragingen in de voortgang. Bewaak dat de opdrachtgever gedurende de audit inhoudelijk op de hoogte blijft van vertragingen of bijzonderheden. Zorg nieuwe verwachtingen/ontwikkelingen met je worden gedeeld, zodat er nog op in kan worden gespeeld. | 14.5 | 2 |
| 2 | Verzamelen en analyseren van informatie | Is voldoende en relevante informatie verzameld en geanalyseerd m.b.v. een passende methode? | Interviewverslagen; data-extracten; observatielogboeken; verzamelde documentatie. Werkdocumenten; dossierindex; aantekeningen van documentbeoordeling. De IAF hanteert de OBW aanpak (zie handboek over aanpak en wat vast te leggen bij toetsing van de opzet, bestaan en/of werking van beheersingsmaatregelen). De IAF voert standaard geen RCA's uit (want dat zijn andere soorten onderzoeken) maar de verzamelde informatie moet wel voldoende zijn om de bevindingen te onderbouwen. | 14.1 | 3 |
| 3 | Voldoende en juiste documentatie van werkzaamheden | Zijn de werkzaamheden, analyses en bevindingen adequaat vastgelegd? | Interviewverslagen; data-extracten; observatielogboeken; verzamelde documentatie. Werkdocumenten; dossierindex; aantekeningen van documentbeoordeling. De IAF hanteert de OBW aanpak (zie handboek over aanpak en wat vast te leggen bij toetsing van de opzet, bestaan en/of werking van beheersingsmaatregelen). De IAF voert standaard geen RCA's uit (want dat zijn andere soorten onderzoeken) maar de verzamelde informatie moet wel voldoende zijn om de bevindingen te onderbouwen. | 14.2 | 3 |
| 4 | Onderbouwing documentatie | Zijn bevindingen die gebaseerd zijn op documentatie voorzien van juiste verwijzingen naar het auditdossier? | Analysesamenvattingen; grondoorzaakanalyses; auditmatrices. Indien gebruik is gemaakt van externen, zorg dat ook deze dossierstukken zijn opgenomen in het auditdossier. | 14.6 | 3 |
| 5 | Conclusie/score ⚠ Blocker | Zijn alle normen voorzien van een conclusie/score met duidelijke tekstuele onderbouwing? | Evaluatietabellen; vergelijkingen van auditbewijs; afwijkingslogboeken. Zorg dat voor een derde (bv reviewer) duidelijk te begrijpen is hoe de conclusie/scores per norm zijn opgebouwd/samengesteld. | 14.3 | 3 |
| 6 | Valideren van bevindingen met auditee | Zijn significante bevindingen afgestemd of geverifieerd bij de betrokkenen? | Gespreksverslagen; bevestigingsmails van de auditee; validatiedocumenten. Om ervoor te zorgen dat de ontvangen informatie juist wordt vertaald naar bevindingen, worden de bevindingen per norm afgestemd met de verantwoordelijke persoon (veelal per email). | 14.4 | 3 |
| 7 | Kwaliteit van documentatie | Is de documentatie van werkzaamheden, bevindingen en conclusies zó opgezet dat een onafhankelijke derde (bv. reviewer) de audit kan reproduceren en begrijpen? | Reviewaantekeningen, dossierstructuur met versiebeheer, werkprogramma’s met referenties, reviewerfeedback | 14.6 | 2 |
| 8 | Geen onnodige documentatie in dossier | Zitten er geen ongebruikte stukken meer in dossier of zijn die in een map 'overige' geplaatst (bv achtergrondinfo)? | 1 | ||
| 9 | Afstemming afwijking PvA/normenkader | Zijn eventuele wijzigingen in de aanpak die na de review van het auditplan / normenkader plaats hebben gevonden afgestemd met de reviewer? | 2 |
Bijlage D: Checklist Afronding
Gebruik bij de afrondingsfase. Blockers blokkeren publicatie van het definitieve rapport.
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Inhoud | Is het conceptrapport volledig, juist, leesbaar, in balans (positieve en negatieve punten), en sluiten conclusies en kernbevindingen aan bij de doelstelling en scope uit het auditplan? | Conceptrapport, reviewaantekeningen, correctielogboeken, verwerkte revieweropmerkingen in het dossier | 11.3 | 3 |
| 2 | Aanbevelingen | Zijn evt aanbevelingen logisch afgeleid van bevindingen, uitvoerbaar en realistisch (SMART waar mogelijk)? | Concept actieplan tabellen, voorstel verbetermaatregelen, onderbouwing uitvoerbaarheid | 14.4 | 3 |
| 3 | Concept rapport - structuur en consistentie met audit plan | is het rapport consistent met het audit plan? Bevat het de doelstelling en scope? | 15.1 | 2 | |
| 4 | Verantwoording bijzonderheden | Zijn bijzonderheden of afwijkingen bij opdracht of uitvoering (bijv. wijziging in scope, onzekerheden, (opgelegde) beperkingen) geconstateerd? | 11.4 | 2 | |
| 5 | Conclusie | Bevat het rapport een conclusie die de originele doelstelling volledig beantwoordt? | 14.5 | 3 | |
| 6 | Juistheid en consistentie | Is de definitieve rapportage consistent met het auditdossier, zijn eventuele wijzigingen t.o.v. het concept onderbouwd? | Definitief rapport, wijzigingslog t.o.v. concept, toelichting afwijkingen in dossier | 11.4 | 2 |
| 7 | Conform GIAS uitgevoerd | Is overwogen de tekst ‘In overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing’ op te nemen? | De final engagement communication mag een verklaring bevatten dat de opdracht in overeenstemming is met de Global Internal Audit Standards, maar alleen als dit wordt ondersteund door de resultaten van engagement supervision en het quality assurance & improvement program. | 1 | |
| 8 | Ethiek en objectiviteit | Is gedurende de gehele opdracht geen sprake geweest van objectiviteits- of onafhankelijkheids- belemmeringen, en zijn eventuele impairments volledig en transparant gedocumenteerd? | 2.3 | 2 | |
| 9 | Due professional care | Is de audit uitgevoerd met voldoende diepgang en zorgvuldigheid passend bij risico en complexiteit? | 4.1 | 2 | |
| 10 | Beperking verspreidingskring | Blijkt uit de rapportage dat het rapport niet kan worden verspreid zonder toestemming van de opdrachtgever, de verantwoordelijk directeur, verantwoordelijk manager of Internal Audit, tenzij de opdrachtgever dit niet noodzakelijk acht? | 1 | ||
| 11 | Afstemming met stakeholders (indien van toepassing) | Is het conceptrapport waar relevant afgestemd met opdrachtgever, PO/FG (privacy audits) of andere aangewezen stakeholders? | E-mails met opdrachtgever/PO/FG, notities van afstemmingsoverleg | 2 | |
| 12 | Wederhoor auditee | Is het conceptrapport besproken met de auditee voor wederhoor en is feedback aantoonbaar verwerkt? | 15.1 | 3 | |
| 13 | Aanwijzingen fraude | Zijn er aanwijzingen voor fraude geweest, zo ja dit in de rapportage opgenomen dan wel mondeling afgestemd met opdrachtgever en manager concern control? | 2 | ||
| 14 | Verschil van mening | Is sprake van een verschil van mening tussen auditee / proceseigenaar en (lead) auditor? | 2 | ||
| 15 | Verschil van mening | Is sprake van een verschil van mening tussen (lead) auditor en reviewer? | 2 | ||
| 16 | Kwaliteitsreview | Is interne kwaliteitsreview gedurende de audit voldoende uitgevoerd en gedocumenteerd? | 12.1 | 3 |
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Management (re)actie | Is de management (re)actie opgenomen in het audit rapport en/of dossier (indien van toepassing) | 2 | ||
| 2 | Volledigheid afwerking commentaren | Zijn de ontvangen commentaren/vragen op de concept rapportage beantwoord en is de afwerking gedocumenteerd in dossier? | 2 | ||
| 3 | Ongewijzigde conclusie | Is in de definitieve rapportage de conclusie van de audit ongewijzigd gebleven (ten opzichte van eerste concept) en zo niet, blijkt uit het dossier de motivatie van de wijziging? | 2 | ||
| 4 | Goedkeuring CAE ⚠ Blocker | Is de definitieve rapportage door de CAE formeel goedgekeurd en daarmee onder diens verantwoordelijkheid (ownership) gebracht, vóórdat deze is gecommuniceerd of verspreid naar stakeholders? | Akkoord e-mail CAE, ondertekend rapport, workflowbevestiging | 11.3 | 3 |
| 5 | Verspreiding definitief rapport | Is het definitieve rapport tijdig en volledig verspreid naar alle relevante stakeholders conform handboek/manual, en is bewijs van verzending aanwezig? | Distributielijst, verzendlogs, e-mail met timestamp | 15.1 | 2 |
| 6 | Agendering in DT | Is de definitieve rapportage geagendeerd bij het DT (én bekend dat eventueel de betrokken manager bij bespreking in het DT aanwezig is)? N.B. bij privacy audit ook reactie van FG opnemen in DT agendapost. | 1 |
| # | Onderwerp | Vraag | Bewijs | GIAS | Gewicht |
|---|---|---|---|---|---|
| 1 | Action Tracking Form (ATF) | Zijn alle bevindingen vertaald naar een ATF met minimaal: managementactie, actiehouder, deadline? En is het ATF consistent met het rapport? | ATF, DT-agendapost, SMART acties opgenomen, bevestiging verzonden ATF | 14.4 | 3 |
| 2 | Detailbevindingen onderliggend aan de bevindingen zoals vermeld in ATF goed te herleiden? | Is in agendapost vermeld of in het ATF alle bevindingen of in gecomprimeerde vorm de belangrijkste elementen uit het definitieve rapport zijn opgenomen? | 15.1 | 2 | |
| 3 | Management acties in ATF | Is de opvolging en monitoring van actieplannen geborgd (door besluitvorming in DT). | Follow-uplogboeken, bevestigingen van implementatie door actiehouders, monitoringdashboards | 15.2 | 2 |
| 4 | Verspreiding definitief ATF | Is het ATF na bespreking bij DT verstuurd naar de verzendlijst | 2 | ||
| 5 | Archivering documentatie | Zijn het definitieve rapport, ATF en onderliggende auditdocumentatie veilig, volledig en toegankelijk gearchiveerd? | Archiveringslog, dossiermap met toegangsrechten, versiebeheer, back-up bevestiging | 14.6 | 2 |
Van handboek naar werkende praktijk
De checklists en het Action Tracking Form uit dit handboek werken het prettigst in een tool die meeloopt met je opdracht. De Audit-suite (dossierreview, action tracking, jaarplan) van Audirium is hierop gebouwd: gratis in het betàprogramma.