De uitdagingen van een kleine IAF Wat is nodig om effectief te worden? 1 9 december 2015
Even voorstellen Michel Vlak 22 jaar ervaring op het gebied van Internal Audit, Governance en Kwaliteitsmanagement Gastdocent, examinator en scriptiebegeleider ESAA, tot voorkort bestuurslid IIA / SVRO en auteur Studierapport Competency Framework for Internal Auditing (IIA) Diverse senior auditfuncties binnen de financiële sector: ABN AMRO (10 jaar) en Robeco Groep (1,5 jaar) Hoofd Internal Auditbij Staalbankiers (4,5 jaar) en Propertize (sinds 2 jaar), beiden kleine IAF (3-4 FTE)
Uitdagingen van een kleine (startende) IAF Positionering en mandaat Stakeholdermanagement Kennis van organisatie, processen en IT Competentie management Erkenning en waardering Meerdere rollen? Auditaanpak en tooling
Positionering en mandaat Hoe kijkt de RvBen RvCtegen de IAF aan? Hoe is de governance ingeregeld? Risk Management: three linesof defense? Hierarchischonder de CEO Functionele lijn naar (voorzitter) Audit & Risk Committee Internal Audit Charter (o.a. scope, producten en mandaat) Heldere rol verdeling t.o.v. overige Risk Functies Profileren als Business Partner
StakeholderManagement Wie zijn belanghebbenden bij het werk van de IAF? Welke verwachtingen hebben deze partijen en attitude? Hoe kan de IAF deze partijen optimaal bedienen? Stakeholderanalyse en inventariseer behoeften/wensen Richt accountmanagement en overlegstructuren in Monitor ontwikkelingen in de organisatie en herijk auditplan Richt samenwerking in met overige Risk Functies è tracht relevant te blijven voor verschillende partijen
Kennis van organisatie, processen en IT Wat zijn de strategische doelstellingen? Wat zijn kernactiviteiten en welke beheerskaders zijn er? Welke beleidskaders en Risk Frameworks zijn er? Hoe is de cultuur en welke niveau van risicobewustzijn? Neem tijd om de organisatie, processen en IT te leren kennen Voer desk research uit en houdt interviews met lijnmanagers Ontwerp een audit universe (visuele weergave processen) Voer risicoanalyse uit i.s.m. RvB en Risk Functies èstart niet te snel met audits, zoek naar maximale relevantie
Competentiemanagement Welke (type) auditor is nodig? Welke competenties (kennis en kunde) is nodig? Hoe kan de auditor effectief in de organisatie staan? Welke competenties moeten worden ontwikkeld? Ervaren/senior auditors nodig om de functie neer te zetten Naast vakkennis vooral (inter)persoonlijke vaardigheden Periodieke accountgesprekken: kennis halen en geven Jaarlijks analyse competenties en opstellen opleidingsplan è Verbinding met auditees is cruciaal om relevant te blijven!
Erkenning en waardering Hoe krijgt de IAF erkenning en waardering? Welke audit aanpak is het meest effectief? Stel je kwetsbaar op, maar wel met steile leercurve Neem auditee mee bij opstellen PvAen Werkprogramma Zorg voor verbinding maar blijf zakelijk (hard op de bal) Blijf in gesprek met de auditee gedurende audits Rapporten moeten bevindingen in juiste context weergeven Houdt rechte rug maar wees niet te star
Meerdere rollen? Assurance provider en/of adviseur? Vasthouden aan enkele rol of flexibele invullling? Collusiegevaar? In kleine organisatie is beperkte kennis van Risk en Control Stel bij adviesvragen vast of er kennis elders in de organisatie is Neem verantwoordelijkheid als het nodig èwees relevant, durf en wees flexibel: de organisatie is gebaat bij een goede beheersing van risico s
Auditaanpak en tooling Welke rol neemt de CAE in meewerkend voorman? Hoe geef ik inhoud aan de vaktechnische standaarden? Welke audit tools moet/kan ik inzetten? Hoe en waarover verantwoord de IAF zich? CAE positioneren als reviewer en challenger Ontwerp eenduidige auditaanpak inclusief handboek (pragmatische vertaling van de IIA standaarden) Beoordeel welke (transactie)informatie beschikbaar is (IT) Stel kwartaalrapportage op met ontwikkelingen in risicobeheersing, uitkomsten audits, opvolging auditactiepunten en verantwoording over ontwikkeling afdeling en realisatie auditplan