Risicogestuurd auditen brengt ons meer

Vergelijkbare documenten
Omdenken door te focussen op risico s en kansen RISICOGESTUURD AUDITEN BRENGT ONS MEER

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

CERTIFICERING NEN 7510

Terug naar de bedoeling met ISO 9001:2015

Interne audits effectiever inzetten

Assetmanagement. Resultaten maturityscan. 14 januari 2015

ISO 14001:2015 Readiness Review

ZONDER RISICO S GEEN TOEKOMST. Workshop Koninklijke NEN Edwin Martherus MSc Amersfoort 15 mei 2018

Asset Management gemeente SWF in het kort. Aanleiding Risico Gestuurd Asset Management. Aanpak Risico Gestuurd Asset Management

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

Risicogebaseerd denken De PDCA-cyclus De procesbenadering... 50

ISO55000: Harde norm voor assetmanagement in de context van organisatiecultuur AMC Seminar 2014

HOOFDSTUK 1. INLEIDING Introductie Naar een visie op kwaliteits-, veiligheids- en milieumanagement...

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014

INLEIDING GEORISICOSCAN 2.0 VOOR TE TOETSEN PROJECTEN

ISO 9001: Business in Control 2.0

De nieuwe ISO norm 2015 Wat nu?!

ISO Asset Management

ISO norm voor milieumanagement

De nieuwe ISO-normen: meer dan KAM-management alleen!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Meer rendement uit Interne Audits

Veranderingen ISO 9001

Kennis is de norm. KAM Opleidingen. ISO trainingen. Telefoon:

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Kennis is de norm. KAM Opleidingen. OHSAS trainingen. Telefoon:

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Interne audits, het rendement

CHECKLIST STANDAARDPLAN INTERNE AUDIT

ISO norm voor Business Continuity Management

Procedure # 02 Audits

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

Kennis is de norm. KAM Opleidingen. ISO 9001 trainingen. Telefoon:

ISO Post-editing of machine translation output certificering

Intro ISO. Finance. Wie zijn wij? Producten. Programma

Elke waarneming wordt op een auditformulier (FRM ) vastgelegd.

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

ISO norm gericht op medische hulpmiddelen

De nieuwe ISO-45001, een introductie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Hoezo dé nieuwe ISO-normen?

De ISO High Level Structure (HLS) en de nieuwe ISO 22000

MAATWERK OPLEIDINGEN 10 basisopleidingen 19 Modules Kies & Mix

1 Wat zijn interne audits?

De effectieve directie

Risicogebaseerd denken De PDCA-cyclus De procesbenadering... 34

ISO kwaliteitsmanagement voor vertaaldiensten

Risicogebaseerd denken De PDCA-cyclus De procesbenadering... 42

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

CO 2 Managementplan. Ruigrok Nederland. Autorisatiedatum: Versie: 1.1. Handtekening autoriserend verantwoordelijke manager:

Wel of niet certificatie? K. de Jongh

ISO Informatiebeveiliging

VIA/001C. MANAGEMENTSYSTEEM Uw gedocumenteerde managementsysteem is geen Wetboek van Bedrijfsstrafrecht VIA/003C. Strategische aspecten VIA/004

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ISO norm voor Zorg en Welzijn

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

KAM Consultants- workshops

ISO norm voor kwaliteitsmanagement

CO 2 Managementplan. Den Breejen. Auteur Martin van Andel Autorisatiedatum Versie 2.0

Welkom bij de systeem demonstratie van Interne Audits

II. VOORSTELLEN VOOR HERZIENING

ISO ARBO-Management

1 Audits van de Toekomst; een stap dichterbij

Energiemanagement actieplan. Baggerbedrijf West Friesland

ISO 7510 Informatiebeveiliging in de zorg

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

Leiderschap in de nieuwe ISO 9001 / HKZ norm. Door: Bartel Debbaut & Marly Dekkers

De nieuwe compliance norm ISO en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

TRAININGEN INTERNE AUDITS

TRAININGEN INTERNE AUDITS. Een succesvol auditsysteem begint bij Q-Academy!

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9001:2015 ReadinessReview

LEAN ISO Mede mogelijk gemaakt door ISO 9001:2015

In control met Compliance Management

De nieuwe ISO-normen: evolutie of revolutie?

Hierbij informeren wij u graag over de introductie van de onlangs uitgebrachte 2015 versies van de NEN-EN-ISO 9001 en NEN-EN-ISO normen.

CSIA Best Practices and Benchmarks

NORMEN KWALITEITSLABEL SOCIAAL WERK

ISO Zorg en Welzijn ISO-9001/EN-15224

Internal Audit Charter

Business Continuity Management conform ISO 22301

BENT U ER KLAAR VOOR?

HKZ norm voor harmonisatie Kwaliteitsbeoordeling in de Zorgsector

NTA 8120 certificaat voor veilig netbeheer

Zelfevaluatie Kwaliteitslabel Sociaal Werk

CO2 managementplan. GWW Houtimport. Auteur: Bianca van den Berg, Margriet de Jong. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

Kwaliteit en veiligheid binnen uw organisatie: NCK tekent er voor!

Duurzaam (kosten)effectief uitbesteden

Inhoudsopgave. Energiemanagement programma I GMB 2

ISO Crises! What Crises?

Generieke systeemeisen

Ons aanbod ISO 9001 trainingen

Beschrijving van de generieke norm: ISO 9001:2015. Grafimedia en Creatieve Industrie. Versie: augustus 2016

ISO 9001 en de veranderende rol van de kwaliteitsmanager

Transcriptie:

Risicogestuurd auditen brengt ons meer Omdenken door te focussen op risico s en kansen In- en externe audits dienen ingestoken te worden vanuit het kansen- en risicodenken. Hier kan, gezien het risicodenken binnen de nieuwe ISO-normen voor managementsystemen, toch niet meer aan ontkomen worden? Hoogste tijd voor het kansen- en risicogestuurd plannen en uitvoeren van audits. Het expliciet focussen op risico s en kansen vraagt om een andere denkwijze, een andere werkwijze en andere competenties. Bent u al overtuigd dat kansen- en risicogestuurd auditen ons veel meer brengt en oplevert? Edwin Martherus, Coach, consultant & trainer Voeren we audits uit omdat het nu eenmaal moet van bijvoorbeeld ISO of omdat we er zelf iets aan hebben? Audits zijn een essentieel onderdeel van managementsystemen en uiteindelijk ook van goed bestuur ( governance ). De functie van auditen is het management voorzien van relevante en betekenisvolle informatie over de doeltreffendheid van managementsystemen en de prestaties van onderling met elkaar samenhangende bedrijfsprocessen. Die systemen hebben als doel de organisatie te ondersteunen in het beheersen van risico s en het benutten van kansen om uiteindelijk duurzaam succesvol te zijn. Hoogste tijd dus om de veelal compliance gestuurde audits achter ons te laten en voortaan kansen & risicogestuurd te auditen. Legenda risico s 1. Slechte bereikbaarheid 2. Te duur inkopen 3. Uitval klantensysteem 4. Contaminatie product 5. Storing productieproces 6. Onveilig product 7. Uitval kritische leverancier 8. Verlies klantgegevens 9, Foutief onderhoud 10. Incompetent personeel De effectiviteit van managementsystemen wordt bepaald door de mate waarin vastgestelde risico s en kansen binnen de bedrijfsprocessen geïntegreerd worden aangepakt. Door het programmeren, voorbereiden en uitvoeren van audits expliciet te baseren op de top-risico s (en kansen) voor de organisatie wordt de focus gelegd op zaken die echt relevant zijn voor alle interne en externe stakeholders. Een voorbeeld van een organisatiebreed risicoprofiel staat ter illustratie weergegeven in figuur 1. Het doel van een auditprogramma is om vanuit het kansenen risicodenken meer zekerheid te verkrijgen over de doeltreffendheid van aanwezige managementsystemen. Of om meer inzicht te krijgen in de mate waarop de organisatie en onderlinge samenhangende interne en uitbestede processen beheerst zijn. Op basis van verkregen inzichten en resultaten dient het management weer te acteren en bij te sturen. Uiteindelijk geven risicogestuurde audits antwoord op de (impliciete) managementvraag of de organisatie in-control is over de in- en externe risico s en kansen die mede samenhangen met de veranderende in- en externe context van de organisatie en de belangen van kritische stakeholders. Het insteken van audits vanuit bedrijfsdoelen en risico s & kansen, in plaats vanuit voorgeschreven (beheers-) maatregelen of acties, vraagt om een andere manier van denken ook wel aangeduid als omdenken. Figuur 1 - Een voorbeeld van een organisatiebreed risicoprofiel 22

Het levert meer op Wat brengt het ons om kansen- en risicogestuurd te auditen en wat levert het op? Naast dat het veel leuker is voor auditor en auditee zit de meerwaarde in: Meer begrip en draagvlak; door de auditfunctie te positioneren als een instrument van en voor het management. Het beter onderbouwen van auditdoel, scope en resultaat; door de risico s en kansen van de organisatie, processen en/of middelen expliciet te maken en centraal te stellen. Een duidelijke relatie en communicatie tussen betrokkenen; door de taal van de business te spreken en door beter in te leven in de belangen en behoeften van stakeholders. Efficiëntere en effectievere uitvoering van audits door meer te focussen op echt belangrijke zaken. Het bevorderen van de transitie naar de nieuwe managementsystemen door te starten met kansen- en risicogestuurde audits. Hogere kwaliteit van de opvolging van de audit en verbetermaatregelen door focus op het beter beheersen van toprisico s & kansen. Een lean integraal managementsysteem en reductie van de cost of control. We gaan omdenken en risicogestuurd denken Audits worden in principe gepland en vastgelegd in een (jaarlijks) auditprogramma. Het vaststellen van een risicogestuurd auditprogramma wordt gebaseerd op de toprisico s en kansen van de organisatie (zie figuur 1). Organisatiebrede toprisico s moeten in het kader van de nieuwe ISO-normen voor managementsystemen topdown beoordeeld worden. Deze worden gebaseerd op kritische veranderingen en ontwikkelingen in de organisatiecontext risicogestuurd auditprogramma (zoals de Brexit) en/of veranderende behoeften of verwachtingen van stakeholders. Organisatiebrede risico s kunnen ook gebaseerd zijn op een evaluatie van de prestaties van het managementsysteem, de daartoe behorende kritische processen, de (non) conformiteit van producten en diensten en de klanttevredenheid. Figuur 2 - Een risicogestuurd auditprogramma Een vastgesteld organisatiebreed risicoprofiel (figuur 1) is de start van het vaststellen, uitvoeren, monitoren en bijstellen van het risicogestuurde auditprogramma (zie figuur 2). KAMNieuwsbrief 3 / 2016 23

Naast het auditprogramma wordt ook het auditproces (kansen- en) risicogestuurd ingestoken. In figuur 3 staat het V-7 auditprocesmodel geschetst. De zeven auditprocesstappen worden hieronder toegelicht. Figuur 3 - Risicogestuurd V-7 auditprocesmodel Bedrijfsdoel Organisatie risico Auditdoel Klanttevredenheid Slechte Zekerheid verschaffen over de beheersing (ambitie 8-score) bereikbaarheid van de operationele risico s m.b.t. een (01) kwalitatief goede bereikbaarheid van het bedrijf voor klanten (fysiek, telefoon, email, website e.d.) Producten Onveilig Het geven van inzicht in de kwaliteit voldoen aan product van de beheersing van de operationele klanteisen (06) risico s m.b.t. het leveren van een (norm 98%) onveilig product aan klanten Garanderen continuïteit Uitval kritische Inzicht verschaffen over de doeltreffendprocesico s productie- leverancier (07) heid van de beheersing van de leveringsri- door kritische (norm 99%) leveranciers die de continuïteit in gevaar kunnen brengen Competent en Incompetent Zekerheid verschaffen over de effectiviteit gemotiveerd personeel (10) van het beheersen van de operationele personeel risico s m.b.t. het in de toekomst niet beschikken over voldoende medewerkers met de juiste competenties Financieel Te duur Inzicht geven in de beheersing van de rendement inkopen (02) risico s m.b.t. het efficiënt inkopen van (doel 15%) producten en/of diensten Figuur 4 - Risicogestuurd auditprogramma (voorbeeld) Auditteam AM RM LM DM SVE KVE NM KH MVP AVP 1. Initiëren audit De start van een risicogestuurde audit is het kansen- en risicogestuurde auditprogramma. Bij de start van een risicogestuurde audit wordt het van de bedrijfsdoelen en daarmee verbonden toprisico s (& kansen) afgeleide auditdoel definitief vastgesteld. Daarnaast wordt het auditteam vastgesteld (figuur 4). Verder worden de te adresseren auditobjecten (processen, activiteiten en/of middelen) vastgesteld, de auditees (kansen- of risicoverantwoordelijken) bepaald en een tijds- en capaciteitsplanning vastgesteld. Verder wordt een inschatting gemaakt van de verwachte tijdsbesteding. Desgewenst wordt een en ander uitgelegd door het auditteam in een kick-off meeting met alle betrokken auditees. 2. Off-site verzamelen en beoordelen informatie Deze stap bestaat uit het bepalen van in- en externe informatiebronnen alsmede het verzamelen en analyseren van relevante informatie met betrekking tot de operationele context van de audit zoals: betrokken processen, activiteiten en/of middelen), aan het auditdoel te adresseren operationele risico s (en kansen), de bijbehorende (voorgeschreven) kritische beheersmaatregelen ( key controls ) en geplande verbeteracties. Daarnaast wordt relevante informatie verzameld over relevante prestaties, afwijkingen en dergelijke. 3. Voorbereiden on-site audit Op basis van de verzamelde en beoordeelde risico-informatie worden de potentieel kritische operationele risico s of kansen binnen de geadresseerde processen, activiteiten en/ of middelen (auditobjecten) initieel vastgesteld en vastgelegd in het kansen- en risicogestuurde werkplan (zie figuur 5). Deze risico s en bijbehorende (voorgeschreven) kritische beheersmaatregelen of verbeteracties worden voorbesproken met de auditee(s) om een en ander beter te begrijpen en aan te vullen. Vervolgens worden de bijbehorende opgezette kritische risicobeheersmaatregelen of verbeteracties geïdentificeerd en afgestemd met de auditee(s). Deze onderling met elkaar samenhangende (voorgeschreven) beheersmaatregelen 24

Audit-doel Zekerheid verschaffen (preventief, over correctief de beheersing en monitoring) van de operationele vormen de audittoetsingscriteria risico s goede bereikbaarheid of het auditnormenkader. van het bedrijf De voor bekende klanten m.b.t. een kwalitatief Audit-object: Operationele risico s (gesloten) Verwachte PDCA-cyclus kritische is een belangrijk beheers-auditcriteriumaatregelen Auditee voor (of kansen): van de opzet van de beheersing van kansen het beoordelen Facilitaire zaken 1. Overstroming of risico s. 1. Onderhoudsprogramma terrein bedrijfsterrein 4. On-site 2. uitvoeren Procedure inspectie audit riolering MVD Het uitvoeren 3. Bedrijfscontinuïteitsplan van risicogestuurde audits behelst het Klantenservice 2. Lange telefonische verzamelen 1. van Eis auditbewijsmateriaal 24-uurs afhandeling door emailhet afnemen EMA van wachttijd diepte-interviews 2. Resources met de planning geselecteerde centraleauditees. Daarnaast YH 3. Trage reactie kunnen op aanvullende 3. Werkinstructie beoordelingen afhandeling worden email gedaan om de email prestaties 4. of Klachten innovaties procedure van de processen in de praktijk te toetsen. 5. De Monitoren beoordeling wacht- van de & reactietijden geïntegreerde risicobeheersing Externe webhost 1. gebeurt SLA webhost aan de bedrijf hand van het risicogestuurde THM 4. Ontoegankelijke website auditwerkplan 2. Klachten met het procedure daarin vastgestelde auditnormen- YH kader. Hierbij 3. Monitoren wordt gekeken beschikbaarheid naar zowel de siteopzet ( tell me ), het bestaan ( show me ) als de werking ( prove me ). Op Marketing & 5. Openingstijden basis hiervan 1. Klantentevredenheidsonderzoek worden auditbevindingen met betrekking GS Sales sluiten niet aan tot op de doeltreffendheid 2. Onderzoek van klantbehoefte de (kansen &) risicobeheersing klantbehoefte vastgesteld. 3. Instructie monitoren klantenbezoek 5. Analyseren 4. Vermelding auditverbindingen tijden website e.d. Figuur 5 - Voorbeeld van auditwerkplan De risicogestuurde auditbevindingen worden gebaseerd op een evaluatie van de geïntegreerde opzet, bestaan en werking van de kansen of risicobeheersing. Op basis van deze meer traditionele auditbevindingen worden de operationele (rest)risico s (& kansen) geëvalueerd en vastgelegd in het auditwerkplan. Vervolgens wordt geconcludeerd in welke mate de geadresseerde operationele (rest)risico s of kansen geïntegreerd worden gemanaged binnen de onderling met elkaar samenhangende processen. 6. Rapporteren auditresultaat De risicogestuurde audit wordt afgesloten met een kernachtige auditrapportage (zie het voorbeeld van figuur 6) en bestaat ten minste uit de volgende punten: 1. Doel audit; auditopdracht gebaseerd op het organisatiebrede toprisico of kans, en de hier achterliggende impliciete vraag die het management beantwoord wil zien door de audit; 2. Conclusie audit; het trekken van conclusies op basis van het auditresultaat (risicoprofiel en onderliggende auditbevindingen) en het daarmee beantwoorden van de impliciete auditvraag van het management; 3. Operationeel risicoprofiel; het auditresultaat bestaande uit vastgestelde en geëvalueerde operationele top(rest)risico s of kansen, rekening houdende met de in punt 4 beoordeelde kwaliteit van de huidige (kansen &) risicobeheersing; 4. Auditbevindingen; beoordeling van de beoordeelde actuele opzet, het bestaan en de werking van de huidige kansen of risicobeheersing aan de hand van vastgestelde auditcriteria; 5. Follow-up; noodzakelijke acties van auditees om de beheersing van onacceptabele (rest)risico s of uitgelezen kansen verder te behandelen; 6. Verantwoording; informatie over auditees, auditoren, datum en accordering. 7. Beëindigen audit Het kansen- of risicogestuurde auditrapport (zie figuur 6) wordt ter completering en afsluiting besproken met de auditee(s). Tevens worden afspraken gemaakt over de opvolging van de audit. Indien gewenst wordt het risicogestuurde auditrapport gepresenteerd in een afsluitende meeting met alle betrokkenen. Kennis & competenties auditoren uitgedaagd Het risicogestuurd auditen vraagt om andere kennis en competenties van auditor en auditteam zoals: Meer kennis van de organisatie, de bedrijfsprocessen en de branche. Zelfinzicht en persoonlijke effectiviteit van de auditor. Voldoende zelfvertrouwen en communicatievaardigheden om als auditor een gelijkwaardige partij te zijn voor directie en management. Betere communicatie en samenwerking binnen het auditteam en met de auditees. Meer inzicht en kennis van financieel management, bedrijfskunde, procesmanagement en dergelijke. Kennis en vaardigheden op het gebied van risicodenken, risicomanagement, performancemanagement en risicogestuurd auditen. Oproep aan het veld Ik nodig u uit om na te denken over de voor- en nadelen van het omschakelen naar kansen- en risicogestuurd auditen. Volgens mij is het de hoogste tijd dat management en auditoren stappen gaan maken richting risicogestuurd auditen. Dit begint al met het in eigen woorden uitleggen aan collega s wat het is en opbrengt. KAMNieuwsbrief 3 / 2016 25

1. Auditdoel: Zekerheid verschaffen over de beheersing van de operationele risico s m.b.t. een kwalitatief goede bereikbaarheid van het bedrijf voor klanten. bij de ontwikkeling van hun werkwijzen en normen (zoals ISO/IEC 17021). 2. Conclusie audit: De bereikbaarheid van het bedrijf wordt als redelijk beoordeeld. Beter beheerst moet worden de te lange telefonische wachttijden alsmede de trage reactietijd op ontvangen mails van klanten. Overstroming, website en openingstijden vormen geen risico voor de bereikbaarheid o.b.v. verkregen informatie en huidige inzichten. Meer informatie Voor meer informatie kunt u contact opnemen met Edwin Martherus, telefoon 06-23369331, e-mail info@martherus.eu. 3. Auditresultaat: Operationeel risicoprofiel bereikbaarheid bedrijf. Beoordeelde operationele (rest)risico s: - Overstroming bedrijfsterrein - Lange telefonische wachttijd - Trage reactie op email - Ontoegankelijke website - Openingstijden sluiten niet aan op klantbehoefte 4. Auditbevindingen: Behalen eis van binnen 24 uur reageren en max. 3 min. telefonische wachtrij is een kritische tekortkoming. Instructie hierover is niet bekend en de resourceplanning van de telefooncentrale schiet ernstig tekort. De klachten over de slechte bereikbaarheid hierdoor zijn redelijk tot groot. Figuur 6 - Voorbeeld van auditrapportage Ter afsluiting nodig ik betrokkenen bij de herziening van de ISO 19011 Richtlijnen voor het uitvoeren van audits van managementsystemen uit om bovenstaand gedachtegoed hier echt in mee te nemen. Tevens roep ik inspecties, certificerende instellingen en de RvA op om dit ook te doen Edwin (1966) is consultant & trainer op het gebied van de nieuwe ISO-normen voor managementsystemen, strategisch & operationeel risicomanagement en risicogestuurd & operationeel auditen. Daarnaast coacht hij onder andere KAM-managers, auditmanagers, auditprofessionals en auditteams. Voor Koninklijke NEN verzorgt Edwin al sinds jaren diverse (in-company) opleidingen, trainingen en workshops op het gebied van risicogestuurd auditen, risicomanagement etc. Tevens publiceert hij regelmatig artikelen en is hij een graag geziene spreker op congressen en seminars. Ing. Edwin Martherus MSc. 26

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback