Het nieuwe auditen

Het nieuwe auditen

Covid-19 heeft ook voor ons interne auditors, best een grote impact gehad. Niet zozeer dat wij niet meer konden werken, maar wel dat wij dit anders moesten gaan doen. De afgelopen periode heeft ons geleerd dat veranderingen niet alleen negatief zijn. We verwachten dat de post-Corona periode daarom voornamelijk anders zal zijn dan ervoor. Dit artikel geeft onze visie op de belangrijkste verschuivingen die wij verwachten.

Auditen voor Covid-19

Vóór de pandemie hadden onze auditwerkzaamheden een vaste basis: echt contact met u! Dit bracht meerdere voordelen met zich mee, zoals het opbouwen van een échte connectie. De persoonlijke kant van de relatie zorgde voor een vertrouwensband. Daarnaast konden we bij bezoek meerdere medewerkers spreken en verbanden eenvoudiger leggen. Niet alles was even efficiënt en effectief. Zo spendeerden we gemiddeld een werkdag aan reistijd per week en de ‘koffiemomentjes’ waren niet altijd even productief, maar wel informatief. Zonder een goede band met elkaar kom je nergens.

Auditen tijdens Covid-19

Gedurende het eerste kwartaal van 2020 hebben we, net als al onze klanten, een verplaatsing van de werkzaamheden meegemaakt, met gevolgen voor de wijze waarop de borging van beheerste bedrijfsvoering wordt bewerkstelligd. Medewerkers van klanten, maar ook onze eigen mensen, gingen thuiswerken en organisaties waren fysiek niet meer toegankelijk. De eerste tekenen van veranderingen van het interne beheersingssysteem lieten zich zien. Zo zagen wij de impact van het ontbreken van reguliere ad hoc afstemmingen, ‘sociale controle’ en informele checks. Ook was er soms improvisatie of het oprekken van bevoegdheden nodig, zoals het (tijdelijk) openen van bepaalde toegang binnen geautomatiseerde systemen. Dit ging soms gepaard met het (tijdelijk) omzeilen of simpelweg niet uitvoeren van bepaalde (handmatige) checks. Ook het verminderde contact tussen medewerkers onderling en met managers had gevolgen.

Dit had ook consequenties voor de insteek van onze werkzaamheden. Gelukkig bleef het belangrijkste element staan: wij kennen onze klanten. Dat gaf perspectief aan eventuele constateringen: we konden deze beter plaatsen in het licht van de klant. Desalniettemin ging hiermee gepaard dat het contact met onze klanten via email en digitale gesprekken gerichter was, wat het klimaat voor gezonde discussies alsook het sociale element beperkte. Daarbij moesten wij actiever de informatie halen, iets wat tijdens de fysieke samenkomsten een natuurlijkere uitwisseling kende. Het afstemmen van de audits kende meerdere rondes. Ook zagen we in het begin dat audits werden uitgesteld. Bij het opvragen van informatie, bleef deze langer uit.

Ik noemde het al eerder: ‘echt contact’ met de klant wordt gemist. Dat wil niet zeggen dat we nu geen contact hebben, integendeel: het contact is er wel degelijk en dit is veel directer. Dat maakt het effectiever en efficiënter wanneer het komt op informatie-uitwisseling.
Maar het gaat uiteindelijk ook om een goede, prettige en tegelijk professionele relatie met onze klant.

Hoe ziet het auditen er op korte termijn in 2021 uit?

Aan onze audit jaarplannen liggen risicoanalyses ten grondslag. In 2021 hebben we met u beoordeeld of deze risicoanalyse nog steeds adequaat was of dat er wellicht meer toegevoegde waarde kon worden gerealiseerd door de prioritering aan te passen.

Hierbij hielden wij expliciete rekening met het volgende:

  • Risicomatrices/-registers van organisaties waren potentieel verouderd (onderwerpen, impact, risicowaardering, etc.)

  • Het aanbrengen van onderscheid in structurele en tijdelijke situaties: ook korte termijn risico’s dienen bewust te zijn genomen én ligt hier adequate motivatie aan ten grondslag?

  • Het auditjaarplan en de kaders van de hierin opgenomen auditonderwerpen zijn niet statisch: wij blijven de opportuniteit en toegevoegde waarde van onze onderzoeken toetsen (agile benadering: korte termijn prioritering)

Om bovenstaande punten te bewerkstelligen, hielden wij nauwer contact met:

  • ‘tweede lijn’ functionarissen, zoals de compliance officer en risicomanager

  • leden van de audit- en risicocomissies bestuurders en leidinggevenden - niet alleen voor het betreffende auditonderwerp zelf, maar in bredere kring om de samenhang met elders voorkomende/opbloeiende risico’s te kunnen plaatsen.

Hoe ziet het auditen er op lange termijn in 2021 uit?

Wij verwachten dat sommige (tijdelijke) veranderingen als gevolg van Corona bij diverse organisaties ook structurele impact hebben. Daarbij denken we bijvoorbeeld aan:

  • Operationele processen

  • Gedrag en cultuur

  • Informatiebeveiliging en IT processen

Om ervoor te zorgen dat onze werkzaamheden van toegevoegde waarde zijn, brengen wij binnen deze categorieën nadere focus op elementen zoals hieronder nader uitgewerkt:

Operationele risico’s

Kernvragen die meer prioriteit in onze audits verkrijgen:

  • Zijn kern beheersmaatregelen nog intact en doeltreffend? Uit welke analyses blijkt dat? Welke benodigde verbeteringen zijn geïdentificeerd en hoe realistisch is het behalen hiervan?

  • Moeten aanvullende maatregelen worden overwogen om veranderingen in de processen als gevolg van de Corona periode adequaat te kunnen dekken? Zijn hiertoe adequate evaluaties uitgevoerd?

  • Welke aanvullende risico’s zijn opgekomen door:

    1. Wegvallen ad hoc afstemmingsmomenten en informele checks?

    2. Wegvallen fysiek managementtoezicht en ‘sociale controle’?

    3. Tijdelijke (on)bewuste omzeiling van bestaande (systeem afgedwongen) functiescheidingen, checks, goedkeuringsmomenten?

  • Passen de hieruit volgende risico’s binnen het risicoprofiel van de organisatie en welke maatregelen zijn gedefinieerd/worden getroffen om deze risico’s tot een acceptabel niveau te brengen?

  • Is de huidige managementinformatie zodanig kwalitatief dat dit als adequate basis voor doeltreffende besluitvorming dient?

Gedrag en Cultuur

Kernvragen die meer prioriteit in onze audits verkrijgen:

  • Deel medewerkers werkt meer (deels) thuis:

    1. Hoe wordt het contact met deze medewerkers onderhouden?

    2. Welke activiteiten worden er door hen uitgevoerd (en voor hoe lang)?

    3. Hoe ervaren de medewerkers nieuwe (thuis)werken?

    4. Worden de beoogde doelstellingen adequaat en beheerst behaald?

    5. Moeten er additionele beheersmaatregelen worden geïmplementeerd?

  • Verandering in cultuur en gedrag en hieruit volgende ‘connectie’ met eigen organisatie: verwachtingen van management en medewerkers kunnen hierdoor mogelijk minder tot niet goed op elkaar aansluiten.

  • Een deel van de medewerkers kan minder goed een algeheel beeld schetsen van de samenhangende elementen in de bedrijfsvoering; dit vereist het in gesprek gaan met meerdere medewerkers om een compleet inzicht te verkrijgen.

Informatiebeveiliging en ICT

Vertrouwelijke bedrijfsinformatie blijft mogelijk niet langer meer per definitie binnen de muren van het kantoor. De beheerder van de IT systemen heeft waarschijnlijk aanpassingen doorgevoerd of de infrastructuur aangepast om thuiswerken beter te faciliteren. Kernvragen die meer prioriteit in onze audits verkrijgen:

  • Is het beleid ten aanzien van informatiebeveiliging aangepast op de nieuwe situatie?

  • Is er voldoende capaciteit op het gebied van informatiebeveiliging om de doelstellingen te behalen binnen de gestelde risicobereidheid?

  • Zijn nieuwe scenario’s toegevoegd aan de risicoanalyse, is de organisatie hierop voorbereid en wordt dit ook getoetst?

  • Zijn alle toegangspunten van de IT-organisatie geïdentificeerd en adequaat beveiligd?

  • Bieden deze maatregelen voldoende continuïteit?Hoe staat het met het risicobewustzijn en beseffen medewerkers hun verantwoordelijkheid? (Eventueel: wordt dit ook getoetst?) -

Alles verandert altijd

Dat organisaties, bedrijfsprocessen en risico’s veranderen is van alle tijden. Daarom kennen onze audit jaarplannen meestal ook een cyclus van drie jaar en beoordelen we tussentijds de actualiteit. Er verandert altijd meer dan je denkt in zo’n periode. De veranderingen als gevolg van Covid-19 zijn evenwel bijzonder snel gekomen en sommige daarvan zullen ook een structureel karakter hebben.

Als auditors kijken we daarbij vooral naar de impact op de bedrijfsrisico’s en hierboven hebben we geïllustreerd welke vragen we ons daarbij stellen. Wij laten ons ook graag inspireren door de risico’s die u waarneemt. Deze overwegingen nemen we mee als we met u in gesprek gaan over de prioritering van de geplande en toekomstige audits. Mocht u daarover eerder met ons in gesprek willen, kunt u mij of uw audit manager altijd bellen!

Meer artikelen

De Vereende is een opmerkelijke partij in de markt. Enerzijds is De Vereende een verzekeraar voor bijzondere risico's en anderzijds voert zij werkzaamheden uit voor het Waarborgfonds, het Nederlands Bureau en Pools. 
Ruim 20 jaar was Henk van Ee ICT manager binnen zorgverzekeraar De Friesland, later Achmea. In die tijd heeft hij de opkomst meegemaakt van de CISO. Lees hier zijn verhaal.
Sinds 25 mei 2018 geldt in de gehele EU dezelfde privacywetgeving : de Algemene Verordening Gegevensbescherming (AVG). Hoe hebben organisaties deze wet geïmplementeerd, zijn de processen goed ingericht en bovenal... zijn de persoo...
Deze website maakt gebruik van cookies

InAudit maakt gebruik van cookies om de website te verbeteren en je voorkeuren te onthouden. De noodzakelijke en statistiek-cookies verzamelen geen persoonsgegevens en helpen ons de website te verbeteren. Ga je voor een optimaal werkende website inclusief embedded content druk dan op Accepteren.

Noodzakelijk
Voorkeuren
Statistieken

Lees meer over onze cookies in onze Privacy Policy.