Garantie over interne controles tonen

De primaire functie van een audit is garantie te bieden over de effectiviteit van risicobeheer en de kracht van de controleomgeving in een organisatie. Door onderdelen van het auditprogramma te centraliseren en automatiseren kan Audit intern controlebeheer vereenvoudigen en samenwerking in de organisatie bevorderen. In dit artikel wordt besproken hoe controles kunnen worden getest met de Projecten-app.

Dit artikel beschrijft hoe controles moeten worden getest met een projectsjabloon Intern controleraamwerk voor anti-omkoping en -corruptie, wat handig is voor kleine tot middelgrote auditfuncties en -teams. De in dit artikel beschreven workflow is geschikt voor complexere typen audits waarbij beschrijvingen worden gedefinieerd, stapsgewijze beschrijvingen worden uitgevoerd om controle-ontwerp te verifiëren en tests worden uitgevoerd om de werkingseffectiviteit van controles te verifiëren. Dit is een aanpak, maar met andere projectsjablonen kunt u dezelfde of vergelijkbare doelen bereiken.

Wat betekent het testen van controles?

Het testen van controles bestaat uit het volgende:

  • Sleutelcontroles en niet-sleutelcontroles bepalen
  • Identificeren welke controles worden getest
  • Elke sleutelcontrole evalueren op basis van het ontwerp en de operationele effectiviteit

Als testen aangeven dat een controle niet werkt zoals verwacht of bedoeld, noteert Audit een uitzondering en wordt samen met het bedrijf een correctieplan beheerd.

Waar kan ik controles testen?

U kunt controles testen met de Projecten-app.

Het grote geheel

  • Projecten worden gebruikt om doelen, risico's en controles te documenteren, het ontwerp en de effectiviteit van controles te testen en problemen vast te leggen.
  • Beoordelingen worden gebruikt om de evaluaties van het ontwerp en de operationele effectiviteit van controles te documenteren.

Uiteindelijk kunnen de testresultaten in een project worden samengevoegd in de garantiescore van uw organisatie. Hiermee krijgt u een realtime beeld van hoe goed uw organisatie risico mitigeert.

Stappen

Klaar voor een rondleiding?

Laten we deze functies eens wat meer in context bekijken.

1. Uw project instellen

De eerste stap is inzicht te krijgen in de beste methode om gegevens in het systeem in te stellen zodat u goed kunt rapporteren. U kunt projecten maken om doelen, risico's en controles te definiëren, het ontwerp en de operationele effectiviteit van controles te evalueren en informatie samen te stellen voor rapportagedoelen. Projecten kunnen helemaal vanaf nul worden gemaakt, via een sjabloon of via een bestaand project.

Tip

De Projecten-app biedt verschillende risico- en controlebibliotheken (projectsjablonen) die vooraf ingevulde inhoud voor specifieke workflows bevatten. Er zijn verschillende projectsjablonen die normaal gesproken worden gebruikt om audits een goede start te geven en herbruikbare sjablonen te maken. Deze zijn onder andere:

  • Interne auditsjablonen (operationele sjablonen)
  • SOC-/SSAE 16-/ISAE 3402-auditsjablonen
  • Interne auditsjablonen (financieel en interne controle)
  • de Sarbanes-Oxley-auditsjabloon (SOX-sjabloon) (COSO 2013 Framework)

Een project instellen

U kunt kiezen tussen twee verschillende typen projectworkflows, afhankelijk van of de audits operationeel of uitgebreider zijn (zoals SOX- of ICFR-beoordelingen). Nadat u een project hebt ingesteld, dwingt Projecten een eenvoudige workflow af in de audit. Hiermee kunt u relevante auditprocedures identificeren en problemen beheren.

Tip

Raamwerken zijn handig voor het terugbrengen van handmatige inspanningen die komen kijken bij het instellen van projecten. Ze kunnen worden gebruikt om informatie centraal te beheren in ontwikkelende regelgevings- en bedrijfsomgevingen.

Voorbeeld

Scenario

U bent een nalevingsprofessional en bent verantwoordelijk voor het uitvoeren van een interne controleaudit voor anti-omkoping en -corruptie.

Proces

Help-onderwerpen

Als beginpunt voor het uitbouwen van uw project maakt u een project met het projectsjabloon Intern controleraamwerk voor anti-omkoping en -corruptie.

Schakel in het project de instelling Garantie in om ervoor te zorgen dat testresultaten automatisch worden geaggregeerd voor rapportagedoelen en stel het aantal testrondes in op Eén.

Resultaat

Het project wordt ingevuld met een reeks doelen die elk risico's en controles bevatten.

Doelen documenteren

Doelen vormen de basis van een project, en zijn ook de organisatiecontainers voor het werk dat in een project wordt gedaan. Elk doel vermeldt het onderwerp dat wordt onderzocht en hoe prestaties worden beoordeeld. Doelen kunnen worden gedefinieerd zodat het werk kan worden onderverdeeld in beheersbare taken die leden van het auditteam kunnen voltooien.

Voorbeeld

Scenario

Een deel van de anti-omkopingsinspanningen van uw organisatie omvatten beleidsregels voor Reizen en entertainment (TNE) die als onderdeel van de audit moeten worden getest. U moet een TNE-doel toevoegen aan het project om het gebied te definiëren dat wordt onderzocht.

Proces

Help-onderwerp Doelen definiëren

Het doel wordt als volgt gedefinieerd:

  • Titel Reizen en entertainment
  • Beschrijving Zorg voor de juiste voorkomende en detecterende controles tegen anti-omkopings- en anti-corruptierisico rondom het onkostenproces voor reizen en entertainment (inclusief aankoopkaart).
  • Referentie TNE
  • Divisie/Afdeling Financiën
  • Toegewezen gebruiker uwNaam

Resultaat

Het doel is gedefinieerd.

Documentbeschrijvingen

Beschrijvingen bieden een manier om inzicht te krijgen in hoe de interne controles van uw organisatie passen in een bedrijfsproces. Veel organisaties vertrouwen op stroomdiagrammen als primaire methode om de gedetailleerde workflow in een bepaald gebied te visualiseren en tonen. Alle audio- of visuele inhoud kan worden bijgevoegd ter ondersteuning van beschrijvingsdocumentatie en u kunt controles koppelen ter referentie.

Voorbeeld

Scenario

U moet een beschrijving opstellen die betrekking heeft op het TNE-doel.

In de beschrijving wilt u het bedrijfsproces definiëren en een overzicht van de risico's en sleutelcontroles met betrekking tot het proces bijvoegen. Wanneer u meer informatie verzamelt, wilt u de beschrijving overeenkomstig bijwerken.

Proces

Help-onderwerp Beschrijvingen definiëren

U gaat naar het tabblad Beschrijvingen in het project en voegt een nieuwe beschrijving met de titel TNE-procesbeschrijving toe.

U definieert de beschrijving als volgt:

Procesoverzicht: beleidsregels voor reizen en entertainment omvatten reisonkosten die zijn gemaakt tijdens officiële zakenreizen en omvatten transport, overnachtingen, maaltijden en andere overige uitgaven. Deze uitgaven moeten redelijk en vereist zijn voor de bedrijfsvoering en er direct aan toe te kennen zijn.

Ten slotte voegt u een Worddocument met een overzicht van risico's en sleutelcontroles met betrekking tot het TNE-proces bij.

Resultaat

Het eerste gedeelte van de beschrijving wordt opgesteld en het Worddocument wordt toegevoegd als een ondersteunende bijlage.

Risico's en controles documenteren

Het documenteren van risico's en controles leidt tot de productie van een risicocontrolematrix (RCM). Een RCM is een combinatie van geïdentificeerde risico's en overeenkomende controles (de maatregelen of acties voor het mitigeren van het risico).

Opmerking

Afhankelijk van de organisatie en het formaat van de auditfunctie, is het beoordelen van het inherente en restrisico mogelijk de verantwoordelijkheid van verschillende teams. Grotere organisaties maken over het algemeen gebruik van operationele risicobeoordelingen of nalevingsrisicobeoordelingen ter ondersteuning van het auditwerk.

Tip

Zodra risico's en controles worden gedocumenteerd kunnen proceseigenaren een planning instellen in Projecten om ervoor te zorgen dat controleactiviteiten consistent worden uitgevoerd.

Voorbeeld

Scenario

Uw organisatie heeft een gedegen en verfijnd risicobeoordelingsproces en evalueert risico's in twee dimensies (Impact en Waarschijnlijkheid) aan de hand van een schaal met 3 punten.

U moet de inherente risicoscore evalueren om het onbewerkte risico te bepalen waar de organisatie mee te maken krijgt als er geen controles of andere mitigerende factoren zijn ingesteld. Ook moet u een effectiviteitsscore toekennen aan uw sleutelcontroles, zodat tijdens het uitvoeren van testen op een later tijdstip alle mislukte controles een restrisicoscore bieden.

Proces

Help-onderwerpen

Eerst uploadt u risico's en controles in bulk en wijst u aan elk risico een waardering toe op basis van waarschijnlijkheid en impact.

Vervolgens koppelt u de risico's en controles en wijst u aan elke controle een effectiviteitsscore toe om het belang van de controle weer te geven als garantie moet worden gerapporteerd.

Resultaat

De inherente risicobeoordeling is voltooid en de risico's en controles zijn gedocumenteerd:

2. Controleconcept en -effectiviteit evalueren

Veel Audit-functies richten zich tot het bedrijf om enkele verantwoordelijkheden van het evalueren van controleconcept en -effectiviteit op zich te nemen. Eenvoudige taken zoals het bijwerken van een stapsgewijze beschrijving van de controle en het documenteren van teststappen voor controle-effectiviteit zijn toegankelijk voor de eigenaren zelf. Zo heeft het bedrijf de volledige verantwoordelijkheid voor het beoordelen van die controles.

Controleconcept evalueren

Audit kan met controle-eigenaren samenwerken om het concept van een controle te evalueren aan de hand van attestatie en/of bijvoeging van bewijs, actieplannen te definiëren om ontbrekende controles te implementeren, of uit te leggen waarom een controle niet nodig is.

Tip

Eerstelijnspersoneel in een organisatie kan de Missiecontrole-app gebruiken om de controles te beheren waar ze toegang toe hebben, buiten de Projecten-app. Missiecontrole is een app die controle-informatie vanuit Projecten in een vereenvoudigde en gecentraliseerde weergave presenteert.

Voorbeeld

Scenario

U hebt nu het inherente risico beoordeeld en moet nu een stapsgewijze beschrijving uitvoeren om het concept van elke controle te evalueren.

Proces

Help-onderwerp Procedures uitvoeren en controles testen

U gaat door de stapsgewijze beschrijving die is gekoppeld aan elke controle en evalueert het concept van de TNE-controle aan de hand van het proces dat is beschreven in de beschrijving.

U stelt vast dat alle controles goed zijn ontworpen. Wanneer u klaar bent met de evaluatie van de controleconcepten tekent u deze af en stelt u uw manager in als de volgende beoordelaar om uw werk goed te keuren.

Resultaat

De stapsgewijze beschrijving voor elke controle wordt vastgelegd:

Een testplan definiëren

Testplannen geven aan hoe u de controle gaat testen. U kunt testplannen definiëren om de testmethode, de totale grootte van de steekproef (opgesplitst tussen testrondes) en de teststappen die moeten worden uitgevoerd om de controle te testen, op te geven.

Tip

IdeasHub, een catalogus met risicoscenario's en -testen verzameld van Diligent-initiatieven wereldwijd, bieden een reeks ideeën voor analysetesten per proces. Raadpleeg voor meer informatie Diligent Developer Portal.

Voorbeeld

Scenario

U hebt de stapsgewijze beschrijvingen uitgevoerd en u hebt nu beter inzicht in hoe elke controle is ontworpen om risico te mitigeren. Voordat u begint met het testen van de effectiviteit van de controle, moet u een testplan opstellen waarin wordt geïdentificeerd hoe u elke controle gaat testen.

Proces

Help-onderwerp Procedures uitvoeren en controles testen

U begint met het definiëren van een testplan voor de volgende controle:

TNE-04 - Drempel acquisitiekaart: acquisitiekaarten hebben maandelijkse en afzonderlijke limieten. Aankopen die deze limieten overschrijden, moeten worden geweigerd. Het management moet uitzonderingen tijdig beoordelen en corrigeren.

  • Testmethode Observatie
  • Totale grootte steekproef 1
  • Teststappen/testattributen
    1. Benodigde gegevens voor het uitvoeren van testen verkrijgen:
      • Pcard-houdergegevens die maandelijkse en transactielimieten voor elke kaart bevatten
      • Pcard-transactiegegevens voor de periode die wordt beoordeeld
    2. Vergelijk de transactiebedragen in de Pcard-transactiegegevens met de transactielimieten in de Pcard-houdergegevens.
    3. Bereken een subtotaal van de transactiebedragen per maand en kaart en vergelijk dit met de maandelijkse limieten die vermeld staan in de Pcard-houdergegevens.

Resultaat

Het testplan voor TNE-04 is vastgelegd.

Controle-effectiviteit evalueren

Het evalueren van controle-effectiviteit omvat het documenteren van gedetailleerde testresultaten en opgeven of de controle is geslaagd of niet. Wanneer u klaar bent met het evalueren van de effectiviteit van de controle, kunt u delen tekst markeren en koppelen aan bewijs, zoals beleid of procedurehandleidingen, regelgevingen, SLA's/SLS's en contracten.

Tip

Als u controle-effectiviteit niet handmatig wilt scoren, kunt u Beoordelingsfactoren gebruiken om verschillende controlebeoordelingen te automatiseren. U kunt een statistiek die is gemaakt in de Resultaten-app koppelen aan een controlebeoordeling in Projecten om de beoordeling te onderbouwen, en inherente risicoscores automatisch invullen op basis van vooraf gedefinieerde statistiekbereiken.

Voorbeeld

Scenario

U hebt een controleconcept geëvalueerd en een testplan opgesteld dat definieert hoe u TNE-04 gaat testen, en nu moet u de controle-effectiviteit evalueren om het restrisico te bepalen. Dit is de resterende hoeveelheid risico nadat controles zijn ingesteld.

Proces

Help-onderwerp Procedures uitvoeren en controles testen

U gaat naar de testronde die is gekoppeld aan elke controle en test de effectiviteit van elke controle.

U stelt vast dat alle controles effectief werken, behalve de controle TNE-04. Hoewel aan de transactielimieten wordt voldaan en bij het verkooppunt wordt geweigerd, wordt niet voldaan aan de maandelijkse limieten en overschrijden veel kaarten hun maandelijkse limiet aanzienlijk.

Resultaat

De testevaluatie voor elke controle wordt vastgelegd. U kunt nu ook een probleem maken zodat u een probleemcorrectieplan kunt beheren en acties kunt toewijzen aan de verantwoordelijke personen voor de relatie met het acquisitiekaartbedrijf.

3. Garantie tonen

De app Projecten biedt de mogelijkheid om automatisch risicobeoordelingen, testresultaten en problemen in het volledige project te aggregeren in één enkele garantiestatistiek (percentage) die kan worden gebruikt voor rapportagedoelen. Wanneer stapsgewijze beschrijvingen en testen slagen, wordt de garantie hoger.

Tip

Als u van boven naar beneden werkt en de strategische risico's van uw organisatie in de Strategie-app beheert, kunt u garantie tonen door testresultaten samen te voegen van projecten die zijn ingezet om strategische risico's te mitigeren of te beheren.

Voorbeeld

Scenario

De testen voor het doel TNE zijn voltooid en u moet nu een benchmark uitvoeren voor hoe goed de organisatie presteert bij het mitigeren van risico zodat resources goed kunnen worden toegekend.

Proces

Help-onderwerp Aan het werk gaan met risicogarantie

U gaat naar het gebied Voortgang en bekijkt de inherente- en restrisicoscores, en garantiescore voor het doel Reizen en entertainment:

Vervolgens gaat u naar het gebied Resultaten en bekijkt u de algehele garantiescore voor de audit:

Resultaat

U kunt rapporteren over de garantiescore die is gekoppeld aan het doel Reizen en entertainment en de algehele garantiescore die is gekoppeld aan de audit als geheel.

Wat gaat er nu gebeuren?

Voortgang van uw SOX-programma's monitoren

U kunt via Storyboards de voortgang van uw SOX-programma's weergeven en monitoren. Het duurt slechts enkele minuten om de vooraf geconfigureerde SOX Storyboard-toolkit te installeren en uw storyboards te vullen met gegevens. Voor meer informatie raadpleegt u SOX-storyboardtoolkit.