In deze vijfdelige blogserie leggen we het volledige auditproces in Visionplanner stap voor stap uit. De vorige blog ging over de voorbereidingsfase van het auditproces. Nu zetten we de volgende stap: de risicoanalyse op organisatieniveau. Dit is de fase waarin je de organisatie doorlicht om risico’s te identificeren en de organisatiebrede beheersmaatregelen in kaart te brengen. Door deze risico’s op tijd te herkennen en analyseren, voer je de controle efficiënt en doelgericht uit.
Een volledige risicoanalyse vraagt om verschillende invalshoeken. Je kijkt naar:
Voor elk perspectief biedt Visionplanner Audit een dossierformulier. In dit formulier zijn alle verplichte onderwerpen opgenomen, zodat je compliant blijft met de controlestandaarden en geen belangrijke zaken over het hoofd ziet.
Heb je een perspectief volledig in kaart gebracht? Dan kun je van daaruit de organisatiebrede risico’s en beheersmaatregelen destilleren. Dit doe je één voor één per perspectief. Je geeft voor de risico’s aan op welke posten ze betrekking hebben. In Visionplanner koppel je eenvoudig risico’s aan specifieke posten door ze vanuit het postenpaneel naar het juiste risico te slepen.
Vervolgens bepaal je per risico of deze moet worden gecontroleerd op juistheid, volledigheid, bestaan, waardering, rechten en verplichtingen en/of presentatie en classificatie. Het kennispaneel in Visionplanner ondersteunt je tijdens het hele proces met aandachtspunten en handige voorbeeldteksten die je direct naar je dossier sleept. Zo werk je snel en consistent.
Wat Visionplanner Audit zo krachtig maakt, is dat de risico’s en beheersmaatregelen die je in deze fase vastlegt automatisch worden meegenomen in de volgende fases van het auditproces. Zo blijft de rode draad, het verhaal van de audit, altijd duidelijk te volgen.
Zodra je alle relevante perspectieven hebt geanalyseerd, vat je de risico-inschatting op organisatieniveau samen. Je legt in het dossier per organisatiebrede beheersmaatregel vast welk effect deze heeft op de controle. Ook beschrijf je de aanpak van de controle op de IT-omgeving: bij een kleine organisatie zonder complexe IT-omgeving kan het controleteam dit waarschijnlijk zelf, bij een complexere omgeving kun je een IT-auditor inschakelen.
Voor de significante risico’s beschrijf je de controleaanpak en benoem je de controleobjecten. Hierbij geef je aan of je de beheersmaatregelen gaat toetsen. Als je aangeeft dat je dit gaat doen, wordt in de risicoanalyse op procesniveau een sectie toegevoegd waarin je de bevindingen moet vastleggen. Toets je de interne beheersmaatregelen niet? Dan blijft de inschatting van het inherent risico zoals het was en wordt deze niet verlaagd. Dit betekent dat je bij de gegevensgerichte controle meer werkzaamheden moet verrichten. Voor deze werkzaamheden biedt het kennispaneel wederom handige voorbeelden die je naar je dossier kunt slepen.
Met de risicoanalyse op organisatieniveau leg je de basis voor de volgende stap in het auditproces: de risicoanalyse op procesniveau. Hierover vertellen we je meer in ons volgende blog. Je ontdekt dan hoe je per bedrijfsproces risico’s identificeert en vastlegt in Visionplanner Audit.
Deel 1: Het auditproces in Visionplanner uitgelegd: deel 1, de voorbereiding
Deel 2: Het auditproces in Visionplanner uitgelegd: deel 2, risicoanalyse op organisatieniveau
Deel 3: Het auditproces in Visionplanner uitgelegd: deel 3, risicoanalyse op procesniveau