Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

Transcriptie

1 NEN Introductie-evenement ISO AUDITING IN BEWEGING Effectief Auditprogramma Edwin Martherus, GoRisk Beatrixgebouw Utrecht, 20 sept 2018 GoRisk Wie ben ik? Ø Technisch, bedrijfskundig, financieel en gedragskundig opgeleid Ø Circa 20 jaar ervaring met risicomanagement, managementsystemen en auditing Ø Koninklijke Marine, Aon, Arthur Andersen, Deloitte, KPMG en Dura Vermeer als werkgever Ø Sinds 2007 zelfstandig consultant, trainer en coach Ø Auditing en risicomanagementtrainingen, commissielid en gastspreker NEN Ø Kerncompetentie is aanzwengelaar Ø Bereikbaar op of Lowlands 2018 Effectief auditprogramma (opbouw) WHY: Definitie audit NEN-EN-ISO Richtlijn WHAT HOW WHY Ø Ø Ø WHY: waarom doen we de audits zoals we ze doen? HOW: hoe doen we de audits die we doen? WHAT: wat doen de audits die we doen? Ø Audit is een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van bewijsmateriaal en het objectief beoordelen ervan (feitelijke informatie) om vast te stellen in welke mate aan de auditcriteria (eisen) is voldaan Ø Om te waarborgen dat audits zich richten op de voor de organisatie en haar belanghebbenden relevante zaken wordt hierbij een op risico s (en kansen) gebaseerde benadering gehanteerd Andere WHY leidt tot andere HOW en WHAT 1

2 WHY: Definitie audit WHY: Interne auditing binnen HLS Plan Do Check Act Instituut Internal Auditors (IIA) 4. Context van de organisatie 5. Leiderschap 6. Planning 7. Ondersteuning 8. Uitvoering 9. Evaluatie van de prestaties 10. Verbetering Ø Audit is een onafhankelijke activiteit voor het verkrijgen van meer zekerheid over en het verbeteren van de werking van een organisatie en het creëren van toegevoegde waarde. Hierbij rekening houdende met de issues en stakeholders in de (veranderende) context en de hieruit voortkomende kansen & risico s voor de organisatie Ø Audit helpt een organisatie haar doelstellingen te bereiken door een systematische, gedisciplineerde en op risico s (en kansen) gebaseerde aanpak te hanteren voor het evalueren en verbeteren van de effectiviteit (en efficiency) van processen voor risicomanagement, managementsystemen en governance Leiderschap en betrokkenheid Beleid Rollen, verantwoordelijkheden en bevoegdheden Maatregelen om risico s aan te pakken en kansen te benutten Doelstellingen en de planning om ze te bereiken Middelen Competentie Bewustzijn Communicatie Gedocumenteerde informatie Operationele planning en uitvoering Monitoren, meten analyseren en evalueren Interne audit Directiebeoordeling Afwijkingen en corrigerende maatregelen Continue verbetering WHY: Interne auditing binnen governance WHY: Rol interne auditfunctie binnen LoD s Analyse context, strategische kansen & risico s, beleid, toepassingsgebied QMS In-control bestuursverklaring Risicogestuurd auditen en directiebeoordeling 1e lijn 2e lijn 3e lijn 4e lijn Vaststellen doelen, eisen, processen, middelen, kansen & risico s, maatregelen, TVB s Zelfevaluatie door lijnmanagement, stafafdelingen, proceseigenaren, leveranciers In- & externe proces Directie P&C Dienst/ product Periodiek monitoren, controleren, analyseren en rapporteren uitkomsten alsmede leren & verbeteren Lijnmanagement QESH, HR, IT, Security Business control Interne Audit (directiebeoordeling) 4 LoD s hebben 1 gezamenlijk doel met ieder eigen TVB s! Externe audit, toezichthouders 2

3 WHY: Interne auditing binnen de business WHY: Taak interne auditing GOEDE DINGEN DOEN BEPAAL STRATEGIE O.B.V. KANSEN & RISICO S VERBETER & ACCELEREER DINGEN GOED DOEN CONNECT MET OMGEVING HEB EEN MISSIE, VISIE, WAARDEN & TOON LEIDERSCHAP AUDIT & REVIEW ALS DIRECTIE RICHT IN ORGANISATIE, RICHT IN PROCESSEN, PRODUCTEN SUPPORT BEHEER(S) UITVOERING MONITOR, CONTROLEER TEST & ANALYSEER Compliance Naleving QMS Ding doen Eisen & normen Afwijkingen In-control Verbeteren prestaties Effectiviteit QMS Goede dingen doen Resultaat Agility & resilience Control effectiveness BEWEGING Verbeteren proces Efficiency QMS Dingen goed doen Inspanningen Verspilling (lean) Cost of control HOW: Doel auditprogramma Doelstelling en planning audits baseren op: Ø Compliance-verplichtingen Ø Gestelde bedrijfsdoelen en effectief behaalde resultaten Ø Efficiency (kritische) bedrijfsprocessen of projecten En verder op Ø Toekomstige behoeftes of verwachtingen stakeholders Ø Ingeschatte organisatiebrede risico s & kansen directie Ø Eerdere resultaten in- & externe audits Ø Ad-hoc verzoeken HOW: Principes auditprogramma Ø Integriteit Ø Eerlijke verslaglegging Ø Beroepsmatige zorgvuldigheid Ø Vertrouwelijkheid Ø Onafhankelijkheid Ø Bewijsbaarheid Ø Risico s (en kansen)-gerichte benadering 3

4 HOW: Insteek kansen & risico s organisatie Throw Tune Transfer Terminate Tackle Take Tolerate Treat KANSEN 13 RISICO S HOW: Risico s & kansen auditing Top 10 risico s 1. Geen helder doel audit(programma) 2. Beschikbare tijd & capaciteit 3. Competenties, kennis en ervaring 4. Schijnzekerheid compliance QMS 5. Verplicht en voorspelbaar feestje 6. Gebrekkige acceptatie & opvolging 7. Als politieagent gezien worden 8. Conflicterende belangen 9. Voor karretje laten spannen 10. RvA/CI s bewegen niet mee Top 10 kansen 1. Directie als opdrachtgever 2. Aansluiting strategie, doel & prestatie 3. Kansen & risicoprofiel als vertrekpunt 4. Lean (her)inrichten integraal MS 5. Afstemmen rol, taak & scope LoD s 6. Samenstelling & ontwikkeling auditteam 7. Combineren of integreren audits 8. Auditing (weer) leuker maken 9. Audit als business partner 10. Methode informatieverzameling HOW: Vaststellen auditprogramma HOW: Auditing is teamwork Doelstelling auditprogramma is: Doelstelling afzonderlijke audit Reikwijdte (functies/ processen) # Doelstelling auditprogramma Auditteam Auditcriteria (eisen/kader) Methode, middelen & informatie Capaciteit Planning Resultaat Verantwoordelijkheid Betrokkenheid 3 4 Productieve conflicten 5 Vertrouwen 4

5 WHAT: Risicogestuurde audit(rapportage) Tot slot: Toets quiz A Risicogestuurd auditvraag of -doel IN CONTROL OVER RISICO ( S) ORGANISATIE/ PROCES? Wat zou voor uw directie de MINST belangrijke beweegreden moeten zijn om interne audits uit te voeren? Omdat? Auditconclusie Actueel onderbouwd risicoprofiel Bevindingen conformiteit eisen beheersing risico s WEL Laag LAAG Geen aantoonbare tekortkomingen en verbeteringen DEELS MIDDEN Midden Minor aantoonbare tekortkomingen en verbeteringen NIET HOOG Hoog Major aantoonbare tekortkomingen en verbeteringen Waardoor? 1 Aankomende externe audit 2 Compliance met normen/eisen 3 Verbeteren effectiviteit bedrijfsdoelen & resultaat 4 Verbeteren efficiëntie bedrijfsprocessen Tot slot: Toets quiz B Wat zou voor uw directie de MEEST belangrijke beweegreden moeten zijn om interne audits uit te voeren? 1 Aankomende externe audit 2 Compliance met normen/eisen 3 Verbeteren effectiviteit bedrijfsdoelen & resultaat 4 Verbeteren efficiëntie bedrijfsprocessen Tot slot: Call to action Start vandaag nog met omdenken om auditing met elkaar de nieuwe richting op te bewegen. En denk na welk gedrag hier (aantoonbaar) bij hoort en wat voor support benodigd is? 5

6 6