Audit Manual — Universeel Template

Kennis
Kern in het kort

Dit template genereert een volledig GIAS-conform Audit Manual op basis van uw organisatiegegevens. Dertien secties van strategie en jaarplanning tot QAIP en coördinatie met andere assurance-aanbieders. Met governance-switch, live invulvelden en vier bijlagen: GIAS-crossreferenties, Checklist Voorbereiding, Uitvoering en Afronding.

Vul uw organisatiegegevens in

Alle velden ingevuld
✓ Gekopieerd naar klembord
Audit Manual: Intern Audithandboek
ORGANISATIENAAM
Versie 1.0  |  Ingangsdatum: DD-MM-JJJJ  |  Conform: CHARTER REFERENTIE
Sectie 1

Introductie

Dit Audit Manual beschrijft de werkwijze van de Internal Audit Functie (IAF) van ORGANISATIENAAM. Het handboek is opgesteld conform de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA) en vult het Internal Audit Charter aan (CHARTER REFERENTIE).

Waar het charter de positie, het mandaat en de onafhankelijkheid van de IAF vastlegt, beschrijft dit handboek hoe de IAF haar werkzaamheden in de praktijk uitvoert: van strategie en planning tot rapportage, follow-up en kwaliteitsborging.

De gehanteerde auditaanpak is gebaseerd op METHODOLOGIE. Dit handboek treedt in werking per DD-MM-JJJJ en wordt jaarlijks herzien.

Sectie 2

Strategie en jaarplanning

De CAE stelt jaarlijks een risicogebaseerd internal auditplan op. Dit plan is gebaseerd op:

  • Een actuele risicobeoordeling van het audit universe (alle auditeerbare objecten van ORGANISATIENAAM);
  • Input van de RAAD VAN COMMISSARISSEN / BOARD, het AUDIT COMMITTEE en het senior management;
  • De strategische doelstellingen van de organisatie;
  • Resultaten van voorgaande audits en openstaande aanbevelingen.

Het jaarplan omvat verplichte aandachtsgebieden conform GIAS Standaard 9.2: informatietechnologie en cyberbeveiliging, frauderisico's, en naleving van wet- en regelgeving.

Het auditplan wordt ter goedkeuring voorgelegd aan het AUDIT COMMITTEE. Materiële afwijkingen van het goedgekeurde plan worden eveneens ter goedkeuring voorgelegd. Tussentijdse herziening vindt plaats bij significante veranderingen in de organisatie of het risicoprofiel.

Sectie 3

Opdrachtvoorbereiding

Elke auditopdracht start met een gestructureerde voorbereidingsfase. De CAE of aangewezen senior auditor stelt een opdrachtbrief op die minimaal omvat: doelstellingen, scope, auditeerperiode, normenkader, geplande doorlooptijd en de samenstelling van het auditteam.

Onafhankelijkheid en objectiviteit

Vóór aanvang van elke opdracht bevestigen alle betrokken auditors hun onafhankelijkheid en objectiviteit. Bij (dreiging van) belangenconflicten wordt een alternatieve auditor aangesteld.

Risicobeoordeling en werkprogramma

Op basis van de opdrachtscope voert het auditteam een opdracht-specifieke risicobeoordeling uit. De uitkomsten vormen de basis voor het werkprogramma: de gestructureerde beschrijving van uit te voeren werkzaamheden, normenkader, benodigde informatiebronnen en evaluatiecriteria.

Overleg met auditee

De CAE voert voorafgaand aan elke opdracht een openingsgesprek met de verantwoordelijk manager (auditee) om de doelstelling, scope en werkwijze toe te lichten en afstemming te bereiken over de planning. Materiële bezwaren worden geëscaleerd conform sectie 8.

Sectie 4

Uitvoering van de opdracht

Informatie verzamelen

Het auditteam verzamelt informatie via de OBW-aanpak: Observatie (directe waarneming van processen en activiteiten), Bevraging (interviews met medewerkers en management) en Waarneming (analyse van documenten, systemen en data). Informatie wordt op betrouwbaarheid, volledigheid en relevantie getoetst.

Bevindingen formuleren

Elke bevinding wordt gedocumenteerd met: omschrijving van de situatie (wat is aangetroffen?), het normenkader (wat had moeten zijn?), de grondoorzaak, het gevolg/risico, en een aanbeveling gericht op de oorzaak. Bevindingen worden geprioriteerd op basis van risicorelevantie (hoog / midden / laag).

Frauderisico's

Het auditteam houdt gedurende de uitvoering alert op indicatoren van fraude of niet-integer gedrag. Bij concreet vermoeden van fraude wordt de CAE onmiddellijk geïnformeerd, die vervolgens bepaalt of en hoe te escaleren.

Supervisie

De CAE of aangewezen superviserende auditor bewaakt de kwaliteit en voortgang van de uitvoering. Significante afwijkingen van het werkprogramma worden gedocumenteerd en ter goedkeuring voorgelegd.

Sectie 5

Dossiervorming

De IAF legt per opdracht een auditdossier aan dat voldoende bewijs bevat om conclusies te onderbouwen en te reconstrueren. Het dossier omvat minimaal: de opdrachtbrief, risicobeoordeling, werkprogramma, werktekeningen, interviews/notities, en het eindrapport inclusief de management response.

Auditdossiers worden bewaard gedurende BEWAARTERMIJN na afronding van de opdracht, conform de wettelijke vereisten en het retentiebeleid van ORGANISATIENAAM. Toegang is beperkt tot leden van de IAF en bevoegde toezichthouders. Auditdossiers worden niet aan externe partijen verstrekt zonder expliciete toestemming van de CAE.

Sectie 6

Opdrachtrapportage

Conceptrapport en hoor en wederhoor

Na afronding van de uitvoering stelt het auditteam een conceptrapport op. Dit rapport wordt ter review voorgelegd aan de auditee en het verantwoordelijk management (hoor en wederhoor). De auditee heeft de gelegenheid feitelijke onjuistheden te corrigeren en een management response te formuleren op elke aanbeveling.

Definitief rapport

Na verwerking van reacties stelt de CAE het definitieve rapport vast. Het rapport bevat: aanleiding en doelstelling, scope en methodologie, overall auditconclusie, bevindingen met prioritering, aanbevelingen, management responses en een actieplan (ATF).

Distributie

Het definitieve rapport wordt verspreid aan: het verantwoordelijk management, de CAE (archivering), het AUDIT COMMITTEE (significante bevindingen of op verzoek) en de RAAD VAN COMMISSARISSEN (periodieke rapportage). CAE (archivering) en het AUDIT COMMITTEE van de BOARD OF DIRECTORS.

Fouten en omissies / Non-conformiteit

Indien na publicatie een materiële fout of omissie in het rapport wordt geconstateerd, geeft de CAE een gecorrigeerd rapport uit en informeert alle ontvangers. Non-conformiteit met de GIAS wordt gedocumenteerd, gecommuniceerd aan het AUDIT COMMITTEE en opgenomen in de QAIP-rapportage.

Sectie 7

Follow-up en monitoring van aanbevelingen

De IAF monitort de implementatie van aanbevelingen via het Action Tracking Form (ATF). Het management is verantwoordelijk voor de implementatie; de IAF bevestigt de uitvoering en de effectiviteit.

De CAE rapporteert kwartaalsgewijs aan het AUDIT COMMITTEE over de stand van zaken van openstaande aanbevelingen, inclusief vertraagde en niet-geïmplementeerde items. Aanbevelingen die na de overeengekomen deadline niet zijn geïmplementeerd worden geëscaleerd conform sectie 8.

Sectie 8

Escalatie en risicoacceptatie

Wanneer het management besluit een aanbeveling niet of niet volledig op te volgen, documenteert de CAE dit als formele risicoacceptatie. De risicoacceptatie omvat: beschrijving van het restrisico, de naam van de accepterende manager en de datum. Bij risico's boven de risicobereidheid van ORGANISATIENAAM geldt de volgende escalatieladder:

  1. Overleg met de verantwoordelijk manager;
  2. Escalatie naar het senior management;
  3. Escalatie naar het AUDIT COMMITTEE;
  4. Indien nodig: melding aan het voltallig toezichthoudend orgaan.

De CAE legt alle risicoacceptaties en escalatiestappen vast in het auditdossier.

Sectie 9

Periodieke rapportage

Kwartaalrapportage

De CAE rapporteert kwartaalsgewijs aan het AUDIT COMMITTEE over: voortgang van het auditplan (% afgerond, verwachte voltooiing), significante bevindingen, status openstaande aanbevelingen, capaciteits- en budgetafwijkingen, en eventuele aantastingen van de onafhankelijkheid.

Jaaroordeel (Overall Opinion)

De CAE brengt jaarlijks een overall opinion uit over de effectiviteit van de governance, het risicobeheer en de interne beheersing van ORGANISATIENAAM. Dit oordeel is gebaseerd op de gezamenlijke resultaten van alle in het jaar uitgevoerde opdrachten.

Thematische rapportages

Naast de periodieke rapportage kan de CAE thematische rapportages uitbrengen over sectoroverstijgende of strategische risico's, op verzoek van het AUDIT COMMITTEE of op eigen initiatief.

Sectie 10

Adviesdiensten

Naast assurancediensten verleent de IAF adviesdiensten aan het management van ORGANISATIENAAM. Bij adviesdiensten gelden aanvullende spelregels:

  • De IAF neemt geen managementverantwoordelijkheid over;
  • Adviesdiensten mogen de objectiviteit van de IAF niet aantasten;
  • Bij een latere assurance-opdracht op hetzelfde object meldt de CAE de eerder verleende adviesdienst;
  • De CAE informeert het AUDIT COMMITTEE over significante adviesdiensten.
Sectie 11

Middelen- en budgetbeheer

Budget

De CAE stelt jaarlijks een budgetvoorstel op, afgestemd op het auditplan. Het budget wordt goedgekeurd door het AUDIT COMMITTEE. Materiële afwijkingen worden gemeld.

Personeel en competenties

De IAF beschikt over de kennis, vaardigheden en overige competenties die nodig zijn voor de uitvoering van het auditplan. De CAE bevordert de continue professionele ontwikkeling van alle medewerkers, inclusief certificering (CIA en sectorspecifieke kwalificaties). Bij ontbrekende kennis voor specifieke opdrachten wordt gebruik gemaakt van co-sourcing of externe expertise.

Technologie en tools

De IAF maakt gebruik van geëigende audit-tools voor planning, dossierbeheer, data-analyse en rapportage. De CAE beoordeelt periodiek of de beschikbare technologie nog passend is voor het mandaat.

Sectie 12

Kwaliteitsborging en verbetering (QAIP)

Continue monitoring

De kwaliteit van opdrachten wordt continu gemonitord via supervisie (sectie 4), dossierreviews en tevredenheidsmeting bij auditees na elke opdracht.

Zelfevaluatie

De CAE voert jaarlijks een interne zelfevaluatie uit. De uitkomsten worden, samen met de conformiteit met de GIAS en de realisatie van prestatiedoelstellingen, gerapporteerd aan het AUDIT COMMITTEE.

Prestatiemeting en KPI's

De IAF meet haar prestaties aan de hand van KPI's die jaarlijks worden goedgekeurd door het AUDIT COMMITTEE. Minimale indicatoren: realisatie auditplan (%), gemiddelde doorlooptijd per opdracht, tevredenheidsscore auditees, opvolgingspercentage aanbevelingen en GIAS-conformiteitsoordeel.

Externe kwaliteitstoetsing (EQA)

Ten minste eenmaal per vijf jaar laat de IAF een externe kwaliteitstoetsing uitvoeren door een onafhankelijke, gekwalificeerde partij. De uitkomsten worden gerapporteerd aan het AUDIT COMMITTEE. Bij een significant non-conformiteitsoordeel stelt de CAE een verbeterplan op.

Sectie 13

Coördinatie met andere assuranceaanbieders

De CAE coördineert de werkzaamheden van de IAF met die van de externe accountant, de risicomanagementfunctie, de compliancefunctie en andere interne of externe aanbieders van assurancediensten. Doel is: beperken van dubbel werk, borgen van een integrale risicodekking, en vergroten van de gecombineerde toegevoegde waarde.

De CAE beoordeelt in welke mate op het werk van andere aanbieders kan worden gesteund (GIAS Standaard 9.5) en documenteert deze beoordeling in het auditdossier.

Bijlage A: GIAS Crossreferentietabel

Per sectie van dit handboek de relevante GIAS-principes, standaarden en DO-vereistenummers. ⚠ = kritieke vereiste.

Sectie handboek Principe Standaard DO-vereiste nrs. Kritiek
1: Introductie PR6 Geautoriseerd door het bestuur 6.2 Internal auditcharter 1, 4
1: Introductie PR9 Systematische en risicogebaseerde aanpak 9.3 Overleg over opdrachtdoelstellingen 1
2: Strategie & plan PR9 Systematische en risicogebaseerde aanpak 9.1 Opdrachtportfolio 1, 2
2: Strategie & plan PR9 Systematische en risicogebaseerde aanpak 9.2 Risicogebaseerde planning 1, 2, 3
2: Strategie & plan PR9 Systematische en risicogebaseerde aanpak 9.4 Internal auditplan 1, 2, 3, 4
3: Voorbereiding PR13 Gepland en goed beheerd 13.1 Planningsdoelstellingen 1, 2
3: Voorbereiding PR13 Gepland en goed beheerd 13.2 Opdrachtbriefing en -bereik 1, 2, 3
3: Voorbereiding PR13 Gepland en goed beheerd 13.3 Risicobeoordeling 1, 2
3: Voorbereiding PR13 Gepland en goed beheerd 13.4 Werkprogramma 1, 2
4: Uitvoering PR14 Communiceren van bevindingen 14.1 Informatie verzamelen 1, 2
4: Uitvoering PR14 Communiceren van bevindingen 14.2 Analyse en evaluatie 1
4: Uitvoering PR14 Communiceren van bevindingen 14.3 Bevindingen identificeren 1, 2, 3
4: Uitvoering PR14 Communiceren van bevindingen 14.4 Aanbevelingen 1, 2
5: Dossiervorming PR14 Communiceren van bevindingen 14.6 Dossiervorming 1, 2, 3, 4, 5
6: Rapportage PR15 Communiceren van resultaten 15.1 Definitieve communicatie 1, 2, 3, 4, 5
6: Rapportage PR11 Communiceren van conclusies 11.4 Kwaliteit van de communicatie 1, 2, 3
7: Follow-up PR15 Communiceren van resultaten 15.2 Bevestigen implementatie aanbevelingen 1, 2, 3
8: Escalatie PR11 Communiceren van conclusies 11.5 Escalatie van significante zaken 1, 2
9: Rapportagestructuur PR11 Communiceren van conclusies 11.3 Rapportage aan bestuur en senior mgmt 1, 2, 3
10: Adviesdiensten PR6 Geautoriseerd door het bestuur 6.1 Internal auditmandaat 1
10: Adviesdiensten PR9 Systematische en risicogebaseerde aanpak 9.1 Opdrachtportfolio 1
11: Middelen PR10 Goed beheerde middelen 10.1 Middelen 1, 2
11: Middelen PR10 Goed beheerde middelen 10.2 Medewerkers 1, 2, 3
11: Middelen PR10 Goed beheerde middelen 10.3 Technologie en tools 1
12: QAIP PR12 Kwaliteitsborging en verbetering 12.1 Interne kwaliteitstoetsing 1, 2, 3
12: QAIP PR12 Kwaliteitsborging en verbetering 12.2 Prestatiemeting 1, 2, 3
12: QAIP PR12 Kwaliteitsborging en verbetering 12.3 Supervisie op opdrachten 1, 2
12: QAIP PR8 Onder toezicht van het bestuur 8.4 Externe kwaliteitstoetsing 1, 2, 3
13: Coördinatie PR9 Systematische en risicogebaseerde aanpak 9.5 Coördinatie andere assurance 1

Bijlage B: Checklist Voorbereiding

Gebruik deze checklist bij de start van elke auditopdracht. Blockers (rood gemarkeerd) zijn verplicht voor start uitvoering.

Algemeen
# Onderwerp Vraag Bewijs GIAS Gewicht
1 Onafhankelijkheid en objectiviteit van het auditteam ⚠ Blocker Is het auditteam (auditors én CAE) onafhankelijk en vrij van (schijn van) belangenverstrengeling ten opzichte van het auditobject? Ondertekende onafhankelijkheidsverklaringen; geen eerdere betrokkenheid bij het auditobject; documentatie van teamrotatie. Onafhankelijk: (niet verantwoordelijk (geweest) voor onderzoeksobject of betrokken geweest bij adviesopdracht in afgelopen 5 jaar, geen limitering opgelegd t.a.v. scope of toegang tot informatie / personen / systemen enz) Objectief: risico van een bias (t.a.v. betrokkenen / beheersing) afwegen/bespreken, bewust zijn van eventuele vooroordelen t.a.v. personen / situatie zodat team / reviewer hier extra scherp op kan zijn) 2.3 3
2 Competenties en deskundigheid van auditoren Beschikt het auditteam over de vereiste competenties voor deze audit? Welke rolverdeling is er? Auditteam profiel; opleidings- en ervaringsdocumentatie; beoordeling competentie-auditfit. Passende en voldoende middelen te baseren op aard en de complexiteit van elke opdracht, de gestelde tijdslimieten en de beschikbare middelen. 3.1 3
3 Beschikbaarheid van juiste kennis, kunde, capaciteit Beschikt het team over voldoende kennis, ervaring en middelen om de audit professioneel uit te voeren? Competentiematrix, cv’s van het team, opleidingsregistraties, bewijs van ingehuurde externe deskundigen. 13.5 2
4 Interne kwaliteitsreview organiseren Is een onafhankelijke interne review georganiseerd en is de reviewer voldoende gekwalificeerd? Reviewopdracht opgenomen in de planning; reviewchecklist-sjabloon; naam van de reviewer en diens onafhankelijkheidsverklaring. 12.2 3
5 Risicoanalyse op onderzoeksobject Zijn de relevante risico’s voor het onderzoeksobject, inclusief fraude- en non-compliance risico’s, in kaart gebracht en geanalyseerd? Risicobeoordelingswerkblad, afwegingen rond frauderisico, uittreksels uit het risicoregister, interviews met stakeholders. Leg uitkomsten (risico's) vast in PvA of details apart in auditdossier. 13.2 3
6 Ethische/Fraude risico’s expliciet meenemen Zijn ethische en fraude risico’s herkend en meegenomen in de risicoanalyse en planning van de audit? Aantekeningen ethische risicobeoordeling; interviews met stakeholders; fraude-/ethiekchecklist in de planning. 1.2 2
7 Non-compliance risico's expliciet meenemen Is de relevante wet en regelgeving in beeld en is niet naleven hiervan meegenomen in de risicoanalyse en planning van de audit? aantekeningen van risico analyse, gesprekken met stakeholders, 13.2 2
8 Aanleiding beschrijven Wat is de aanleiding van de audit? Bv vanuit Jaarplan maar ook waarom deze audit in het jaarplan is opgenomen. Denk aan aandachtsgebieden, risico’s, zwakheden en ontwikkelingen/ veranderingen. 1
9 Grove planning opstellen Beschrijf (bv welk kwartaal) de audit vermoedelijk zal worden uitgevoerd. Bepaal ook of er factoren zijn die de planning beïnvloeden, bv vakantieperiodes. 1
10 Relevante ontwikkelingen of openstaande punten Welke ontwikkelingen zijn er die relevant zijn om mee te nemen in het plan? Zijn er bekende kwetsbaarheden/problemen en staan er nog acties (audit findings) open? 1
PVA / Normenkader
# Onderwerp Vraag Bewijs GIAS Gewicht
1 Vaststellen van doelstellingen en scope van de audit Zijn de doelstellingen en de scope van de audit vastgesteld in lijn met het doel en de organisatiedoelstellingen? Gedocumenteerde opdrachtdoelstellingen en scope in het auditplandossier; goedgekeurde aankondigingsbrief van de audit. 13.3 3
2 Bepalen auditee Is in het plan beschreven wie de auditee is mbt het onderwerp? 1
3 Afspraken met auditee bevestigen middels PvA Zijn de afspraken met de auditee over het onderzoek vooraf vastgelegd en bevestigd? Aankondigingsmail van de audit, ondertekende opdrachtbevestiging, vastgelegde scope-bevestiging. Leg uitkomsten (afspraken/bevestiging) vast, bijv. email van verzenden PvA of details apart in auditdossier. 13.4 2
4 Opstellen (audit) plan Is een (audit) plan opgesteld waarin de werkzaamheden gekoppeld zijn aan de doelstellingen en scope? Goedgekeurd werkprogramma; koppeling van werkzaamheden aan doelstellingen; auditplan-memo. De IAF werkt niet met werkprogramma’s waar in detail van te voren wordt vastgelegd welke audit activiteiten moeten worden doorlopen. Bij audit wordt auditplan opgesteld, voor overige onderzoeken kan worden voldaan met verkorte opdrachtbevestiging of plan/memo van aanpak. in Checklist spreken we van (audit) plan. 13.6 3
5 Opdrachtgever Is in het plan beschreven wie de opdrachtgever is van deze audit? 1
6 Opstellen normenkader Is voor de audit een toereikend (voldoende specifiek en toetsbaar) normenkader opgesteld (behorend bij minimaal de belangrijkste risico's of processtappen/projectfasen)? Voor audits een vereiste, voor overige onderzoeken afhankelijk van overeengekomen opdracht. De term 'work program' wordt niet vertaald naar 'werkprogramma', maar geeft weer dat er voorbereidend werk wordt gedaan én gecommuniceerd (via audit plan/pva en normenkader) om doelstellingen en auditvragen binnen de scope van de audit te behalen/beantwoorden. 13.6 3
7 Topical requirements meenemen binnen normenkader Is voor dit onderwerp een relevant Topical Requirements document beschikbaar? Kijk hier: https://www.theiia.org/en/standards/2024-standards/topical-requirements/ Verplicht element binnen de bredere IPPF. 2
8 Bepalen betrokkenen Is duidelijk welke andere betrokkenen/stakeholders relevant zijn voor verkrijgen van de juiste informatie en zijn deze personen opgenomen in het audit plan? 1
9 Afstemmen met betrokkenen Is er afgestemd met de stakeholders over doel, scope, timing en verantwoordelijkheden van de audit? Vastlegging van communicatie met de opdrachtgever; verslagen of e-mails die overeenstemming bevestigen over doel, scope, uitkomsten en verantwoordelijkheden. Houd rekening met specifieke stimulerende / remmende factoren voor dit onderzoek en impact ervan voor afstemming met stakeholders en het plan van aanpak. 13.1 2
10 Detailplanning Bevat het plan een gedetailleerde planning (bv een week-strokenplanning) en zijn de verschillende fases en deliverables daarin opgenomen? 1
11 Afstemming risico analyse auditee Ingeval van audit: is de inschatting van de auditee vastgelegd van de effectiviteit van de beheersingsmaatregelen (bruto t.o.v. netto risico) waarover assurance is gewenst? Zie handboek, voorbereidingsfase gaat uit van zelf risico inschatting maken en vastleggen van de inschatting van de auditee van de effectiviteit van de beheersingsmaatregelen (bruto t.o.v. netto risico) waarover assurance gewenst is. Veelal middels heat chart vastgelegd. 2
12 Afstemming normenkader auditee Is het (concept audit) plan inclusief normenkader afgestemd met auditee? Leg vast, bijv. email of in dossier (OneNote). Ga na of de auditee de beoogde normering voldoende kent en of die normering echt aansluit bij de visie van auditee op management control 2
13 Afstemming normenkader controller Is het (concept audit) plan inclusief normenkader afgestemd met controller? Leg vast, bijv. email of in dossier (OneNote). (vereiste voor audits, voor overige: indien geen afstemming heeft plaatsgevonden toelichten waarom) 2
14 Afstemming PO / FG Is bij "privacy audit" het rapport afgestemd met de PO en de FG? Leg vast, bijv. email of in dossier (OneNote). Afstemming FG is vereiste voor privacy audits, voor overige privacy opdrachten: indien geen afstemming heeft plaatsgevonden toelichten waarom) 1
15 Compliance IIA communiceren Standaard tekst: is overwogen de tekst ‘In overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing’ op te nemen? 4.1 1
16 Review (audit) plan Is het (audit) plan gereviewd en staan er geen opmerkingen meer open? (n.b aantoonbaar uitvoeren (track changes in digitaal document of aantekeningen op hard copy document scannen) 12.3 3
17 Verzending (audit) plan Is het definitieve (audit) plan verzonden naar ten minste de opdrachtgever en de auditees? 13.1 2

Bijlage C: Checklist Uitvoering

Gebruik tijdens de uitvoeringsfase.

# Onderwerp Vraag Bewijs GIAS Gewicht
1 Tijdige escalatie bij issues of afwijking van plan Zijn tekortkomingen en knelpunten bij de uitvoering tijdig gemeld aan relevante betrokkenen en CAE? Escalatielogboeken; knelpunt-memo’s; meldingen aan het senior management. Bij belangrijke tekortkomingen informeert de CAE tussentijds de auditee en opdrachtgever. Dit om verrassingen bij bespreken van de concept auditrapportage te voorkomen. Daarnaast wordt de opdrachtgever geïnformeerd over eventuele vertragingen in de voortgang. Bewaak dat de opdrachtgever gedurende de audit inhoudelijk op de hoogte blijft van vertragingen of bijzonderheden. Zorg nieuwe verwachtingen/ontwikkelingen met je worden gedeeld, zodat er nog op in kan worden gespeeld. 14.5 2
2 Verzamelen en analyseren van informatie Is voldoende en relevante informatie verzameld en geanalyseerd m.b.v. een passende methode? Interviewverslagen; data-extracten; observatielogboeken; verzamelde documentatie. Werkdocumenten; dossierindex; aantekeningen van documentbeoordeling. De IAF hanteert de OBW aanpak (zie handboek over aanpak en wat vast te leggen bij toetsing van de opzet, bestaan en/of werking van beheersingsmaatregelen). De IAF voert standaard geen RCA's uit (want dat zijn andere soorten onderzoeken) maar de verzamelde informatie moet wel voldoende zijn om de bevindingen te onderbouwen. 14.1 3
3 Voldoende en juiste documentatie van werkzaamheden Zijn de werkzaamheden, analyses en bevindingen adequaat vastgelegd? Interviewverslagen; data-extracten; observatielogboeken; verzamelde documentatie. Werkdocumenten; dossierindex; aantekeningen van documentbeoordeling. De IAF hanteert de OBW aanpak (zie handboek over aanpak en wat vast te leggen bij toetsing van de opzet, bestaan en/of werking van beheersingsmaatregelen). De IAF voert standaard geen RCA's uit (want dat zijn andere soorten onderzoeken) maar de verzamelde informatie moet wel voldoende zijn om de bevindingen te onderbouwen. 14.2 3
4 Onderbouwing documentatie Zijn bevindingen die gebaseerd zijn op documentatie voorzien van juiste verwijzingen naar het auditdossier? Analysesamenvattingen; grondoorzaakanalyses; auditmatrices. Indien gebruik is gemaakt van externen, zorg dat ook deze dossierstukken zijn opgenomen in het auditdossier. 14.6 3
5 Conclusie/score ⚠ Blocker Zijn alle normen voorzien van een conclusie/score met duidelijke tekstuele onderbouwing? Evaluatietabellen; vergelijkingen van auditbewijs; afwijkingslogboeken. Zorg dat voor een derde (bv reviewer) duidelijk te begrijpen is hoe de conclusie/scores per norm zijn opgebouwd/samengesteld. 14.3 3
6 Valideren van bevindingen met auditee Zijn significante bevindingen afgestemd of geverifieerd bij de betrokkenen? Gespreksverslagen; bevestigingsmails van de auditee; validatiedocumenten. Om ervoor te zorgen dat de ontvangen informatie juist wordt vertaald naar bevindingen, worden de bevindingen per norm afgestemd met de verantwoordelijke persoon (veelal per email). 14.4 3
7 Kwaliteit van documentatie Is de documentatie van werkzaamheden, bevindingen en conclusies zó opgezet dat een onafhankelijke derde (bv. reviewer) de audit kan reproduceren en begrijpen? Reviewaantekeningen, dossierstructuur met versiebeheer, werkprogramma’s met referenties, reviewerfeedback 14.6 2
8 Geen onnodige documentatie in dossier Zitten er geen ongebruikte stukken meer in dossier of zijn die in een map 'overige' geplaatst (bv achtergrondinfo)? 1
9 Afstemming afwijking PvA/normenkader Zijn eventuele wijzigingen in de aanpak die na de review van het auditplan / normenkader plaats hebben gevonden afgestemd met de reviewer? 2

Bijlage D: Checklist Afronding

Gebruik bij de afrondingsfase. Blockers blokkeren publicatie van het definitieve rapport.

Concept rapport
# Onderwerp Vraag Bewijs GIAS Gewicht
1 Inhoud Is het conceptrapport volledig, juist, leesbaar, in balans (positieve en negatieve punten), en sluiten conclusies en kernbevindingen aan bij de doelstelling en scope uit het auditplan? Conceptrapport, reviewaantekeningen, correctielogboeken, verwerkte revieweropmerkingen in het dossier 11.3 3
2 Aanbevelingen Zijn evt aanbevelingen logisch afgeleid van bevindingen, uitvoerbaar en realistisch (SMART waar mogelijk)? Concept actieplan tabellen, voorstel verbetermaatregelen, onderbouwing uitvoerbaarheid 14.4 3
3 Concept rapport - structuur en consistentie met audit plan is het rapport consistent met het audit plan? Bevat het de doelstelling en scope? 15.1 2
4 Verantwoording bijzonderheden Zijn bijzonderheden of afwijkingen bij opdracht of uitvoering (bijv. wijziging in scope, onzekerheden, (opgelegde) beperkingen) geconstateerd? 11.4 2
5 Conclusie Bevat het rapport een conclusie die de originele doelstelling volledig beantwoordt? 14.5 3
6 Juistheid en consistentie Is de definitieve rapportage consistent met het auditdossier, zijn eventuele wijzigingen t.o.v. het concept onderbouwd? Definitief rapport, wijzigingslog t.o.v. concept, toelichting afwijkingen in dossier 11.4 2
7 Conform GIAS uitgevoerd Is overwogen de tekst ‘In overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing’ op te nemen? De final engagement communication mag een verklaring bevatten dat de opdracht in overeenstemming is met de Global Internal Audit Standards, maar alleen als dit wordt ondersteund door de resultaten van engagement supervision en het quality assurance & improvement program. 1
8 Ethiek en objectiviteit Is gedurende de gehele opdracht geen sprake geweest van objectiviteits- of onafhankelijkheids- belemmeringen, en zijn eventuele impairments volledig en transparant gedocumenteerd? 2.3 2
9 Due professional care Is de audit uitgevoerd met voldoende diepgang en zorgvuldigheid passend bij risico en complexiteit? 4.1 2
10 Beperking verspreidingskring Blijkt uit de rapportage dat het rapport niet kan worden verspreid zonder toestemming van de opdrachtgever, de verantwoordelijk directeur, verantwoordelijk manager of Internal Audit, tenzij de opdrachtgever dit niet noodzakelijk acht? 1
11 Afstemming met stakeholders (indien van toepassing) Is het conceptrapport waar relevant afgestemd met opdrachtgever, PO/FG (privacy audits) of andere aangewezen stakeholders? E-mails met opdrachtgever/PO/FG, notities van afstemmingsoverleg 2
12 Wederhoor auditee Is het conceptrapport besproken met de auditee voor wederhoor en is feedback aantoonbaar verwerkt? 15.1 3
13 Aanwijzingen fraude Zijn er aanwijzingen voor fraude geweest, zo ja dit in de rapportage opgenomen dan wel mondeling afgestemd met opdrachtgever en manager concern control? 2
14 Verschil van mening Is sprake van een verschil van mening tussen auditee / proceseigenaar en (lead) auditor? 2
15 Verschil van mening Is sprake van een verschil van mening tussen (lead) auditor en reviewer? 2
16 Kwaliteitsreview Is interne kwaliteitsreview gedurende de audit voldoende uitgevoerd en gedocumenteerd? 12.1 3
Definitief rapport
# Onderwerp Vraag Bewijs GIAS Gewicht
1 Management (re)actie Is de management (re)actie opgenomen in het audit rapport en/of dossier (indien van toepassing) 2
2 Volledigheid afwerking commentaren Zijn de ontvangen commentaren/vragen op de concept rapportage beantwoord en is de afwerking gedocumenteerd in dossier? 2
3 Ongewijzigde conclusie Is in de definitieve rapportage de conclusie van de audit ongewijzigd gebleven (ten opzichte van eerste concept) en zo niet, blijkt uit het dossier de motivatie van de wijziging? 2
4 Goedkeuring CAE ⚠ Blocker Is de definitieve rapportage door de CAE formeel goedgekeurd en daarmee onder diens verantwoordelijkheid (ownership) gebracht, vóórdat deze is gecommuniceerd of verspreid naar stakeholders? Akkoord e-mail CAE, ondertekend rapport, workflowbevestiging 11.3 3
5 Verspreiding definitief rapport Is het definitieve rapport tijdig en volledig verspreid naar alle relevante stakeholders conform handboek/manual, en is bewijs van verzending aanwezig? Distributielijst, verzendlogs, e-mail met timestamp 15.1 2
6 Agendering in DT Is de definitieve rapportage geagendeerd bij het DT (én bekend dat eventueel de betrokken manager bij bespreking in het DT aanwezig is)? N.B. bij privacy audit ook reactie van FG opnemen in DT agendapost. 1
Action Tracking Form (ATF)
# Onderwerp Vraag Bewijs GIAS Gewicht
1 Action Tracking Form (ATF) Zijn alle bevindingen vertaald naar een ATF met minimaal: managementactie, actiehouder, deadline? En is het ATF consistent met het rapport? ATF, DT-agendapost, SMART acties opgenomen, bevestiging verzonden ATF 14.4 3
2 Detailbevindingen onderliggend aan de bevindingen zoals vermeld in ATF goed te herleiden? Is in agendapost vermeld of in het ATF alle bevindingen of in gecomprimeerde vorm de belangrijkste elementen uit het definitieve rapport zijn opgenomen? 15.1 2
3 Management acties in ATF Is de opvolging en monitoring van actieplannen geborgd (door besluitvorming in DT). Follow-uplogboeken, bevestigingen van implementatie door actiehouders, monitoringdashboards 15.2 2
4 Verspreiding definitief ATF Is het ATF na bespreking bij DT verstuurd naar de verzendlijst 2
5 Archivering documentatie Zijn het definitieve rapport, ATF en onderliggende auditdocumentatie veilig, volledig en toegankelijk gearchiveerd? Archiveringslog, dossiermap met toegangsrechten, versiebeheer, back-up bevestiging 14.6 2

Van handboek naar werkende praktijk

De checklists en het Action Tracking Form uit dit handboek werken het prettigst in een tool die meeloopt met je opdracht. De Audit-suite (dossierreview, action tracking, jaarplan) van Audirium is hierop gebouwd: gratis in het betàprogramma.

Terug naar Kennis