Garantie over interne controles tonen

De primaire functie van een audit is garantie te bieden over de effectiviteit van risicobeheer en de kracht van de controleomgeving in een organisatie. Door onderdelen van het auditprogramma te centraliseren en automatiseren kan Audit intern controlebeheer vereenvoudigen en samenwerking in de organisatie bevorderen. In dit artikel wordt besproken hoe controles kunnen worden getest met de Projecten-app.

Dit artikel beschrijft hoe controles moeten worden getest met een projectsjabloon Intern controleraamwerk voor anti-omkoping en -corruptie, wat handig is voor kleine tot middelgrote auditfuncties en -teams. De in dit artikel beschreven workflow is geschikt voor complexere typen audits waarbij beschrijvingen worden gedefinieerd, stapsgewijze beschrijvingen worden uitgevoerd om controle-ontwerp te verifiëren en tests worden uitgevoerd om de werkingseffectiviteit van controles te verifiëren. Dit is een aanpak, maar met andere projectsjablonen kunt u dezelfde of vergelijkbare doelen bereiken.

Wat betekent het testen van controles?

Het testen van controles bestaat uit het volgende:

  • Sleutelcontroles en niet-sleutelcontroles bepalen
  • Identificeren welke controles worden getest
  • Elke sleutelcontrole evalueren op basis van het ontwerp en de operationele effectiviteit

Als testen aangeven dat een controle niet werkt zoals verwacht of bedoeld, noteert Audit een uitzondering en wordt samen met het bedrijf een correctieplan beheerd.

Waar kan ik controles testen?

U kunt controles testen met de Projecten-app.

Het grote geheel

  • Projecten worden gebruikt om doelen, risico's en controles te documenteren, het ontwerp en de effectiviteit van controles te testen en problemen vast te leggen.
  • Beoordelingen worden gebruikt om de evaluaties van het ontwerp en de operationele effectiviteit van controles te documenteren.

Uiteindelijk kunnen de testresultaten in een project worden samengevoegd in de garantiescore van uw organisatie. Hiermee krijgt u een realtime beeld van hoe goed uw organisatie risico mitigeert.

Stappen

Klaar voor een rondleiding?

Laten we deze functies eens wat meer in context bekijken.

1. Uw project instellen

De eerste stap is inzicht te krijgen in de beste methode om gegevens in het systeem in te stellen zodat u goed kunt rapporteren. U kunt projecten maken om doelen, risico's en controles te definiëren, het ontwerp en de operationele effectiviteit van controles te evalueren en informatie samen te stellen voor rapportagedoelen. Projecten kunnen helemaal vanaf nul worden gemaakt, via een sjabloon of via een bestaand project.

Tip

De Projecten-app biedt verschillende risico- en controlebibliotheken (projectsjablonen) die vooraf ingevulde inhoud voor specifieke workflows bevatten. Er zijn verschillende projectsjablonen die normaal gesproken worden gebruikt om audits een goede start te geven en herbruikbare sjablonen te maken. Deze zijn onder andere:

  • Interne auditsjablonen (operationele sjablonen)
  • SOC-/SSAE 16-/ISAE 3402-auditsjablonen
  • Interne auditsjablonen (financieel en interne controle)
  • de Sarbanes-Oxley-auditsjabloon (SOX-sjabloon) (COSO 2013 Framework)

Een project instellen

U kunt kiezen tussen twee verschillende typen projectworkflows, afhankelijk van of de audits operationeel of uitgebreider zijn (zoals SOX- of ICFR-beoordelingen). Nadat u een project hebt ingesteld, dwingt Projecten een eenvoudige workflow af in de audit. Hiermee kunt u relevante auditprocedures identificeren en problemen beheren.

Tip

Raamwerken zijn handig voor het terugbrengen van handmatige inspanningen die komen kijken bij het instellen van projecten. Ze kunnen worden gebruikt om informatie centraal te beheren in ontwikkelende regelgevings- en bedrijfsomgevingen.

Doelen documenteren

Doelen vormen de basis van een project, en zijn ook de organisatiecontainers voor het werk dat in een project wordt gedaan. Elk doel vermeldt het onderwerp dat wordt onderzocht en hoe prestaties worden beoordeeld. Doelen kunnen worden gedefinieerd zodat het werk kan worden onderverdeeld in beheersbare taken die leden van het auditteam kunnen voltooien.

Documentbeschrijvingen

Beschrijvingen bieden een manier om inzicht te krijgen in hoe de interne controles van uw organisatie passen in een bedrijfsproces. Veel organisaties vertrouwen op stroomdiagrammen als primaire methode om de gedetailleerde workflow in een bepaald gebied te visualiseren en tonen. Alle audio- of visuele inhoud kan worden bijgevoegd ter ondersteuning van beschrijvingsdocumentatie en u kunt controles koppelen ter referentie.

Risico's en controles documenteren

Het documenteren van risico's en controles leidt tot de productie van een risicocontrolematrix (RCM). Een RCM is een combinatie van geïdentificeerde risico's en overeenkomende controles (de maatregelen of acties voor het mitigeren van het risico).

Opmerking

Afhankelijk van de organisatie en het formaat van de auditfunctie, is het beoordelen van het inherente en restrisico mogelijk de verantwoordelijkheid van verschillende teams. Grotere organisaties maken over het algemeen gebruik van operationele risicobeoordelingen of nalevingsrisicobeoordelingen ter ondersteuning van het auditwerk.

Tip

Zodra risico's en controles worden gedocumenteerd kunnen proceseigenaren een planning instellen in Projecten om ervoor te zorgen dat controleactiviteiten consistent worden uitgevoerd.

2. Controleconcept en -effectiviteit evalueren

Veel Audit-functies richten zich tot het bedrijf om enkele verantwoordelijkheden van het evalueren van controleconcept en -effectiviteit op zich te nemen. Eenvoudige taken zoals het bijwerken van een stapsgewijze beschrijving van de controle en het documenteren van teststappen voor controle-effectiviteit zijn toegankelijk voor de eigenaren zelf. Zo heeft het bedrijf de volledige verantwoordelijkheid voor het beoordelen van die controles.

Controleconcept evalueren

Audit kan met controle-eigenaren samenwerken om het concept van een controle te evalueren aan de hand van attestatie en/of bijvoeging van bewijs, actieplannen te definiëren om ontbrekende controles te implementeren, of uit te leggen waarom een controle niet nodig is.

Tip

Eerstelijnspersoneel in een organisatie kan de Missiecontrole-app gebruiken om de controles te beheren waar ze toegang toe hebben, buiten de Projecten-app. Missiecontrole is een app die controle-informatie vanuit Projecten in een vereenvoudigde en gecentraliseerde weergave presenteert.

Een testplan definiëren

Testplannen geven aan hoe u de controle gaat testen. U kunt testplannen definiëren om de testmethode, de totale grootte van de steekproef (opgesplitst tussen testrondes) en de teststappen die moeten worden uitgevoerd om de controle te testen, op te geven.

Tip

IdeasHub, een catalogus met risicoscenario's en -testen verzameld van Diligent-initiatieven wereldwijd, bieden een reeks ideeën voor analysetesten per proces. Raadpleeg voor meer informatie Diligent Developer Portal.

Controle-effectiviteit evalueren

Het evalueren van controle-effectiviteit omvat het documenteren van gedetailleerde testresultaten en opgeven of de controle is geslaagd of niet. Wanneer u klaar bent met het evalueren van de effectiviteit van de controle, kunt u delen tekst markeren en koppelen aan bewijs, zoals beleid of procedurehandleidingen, regelgevingen, SLA's/SLS's en contracten.

Tip

Als u controle-effectiviteit niet handmatig wilt scoren, kunt u Beoordelingsfactoren gebruiken om verschillende controlebeoordelingen te automatiseren. U kunt een statistiek die is gemaakt in de Resultaten-app koppelen aan een controlebeoordeling in Projecten om de beoordeling te onderbouwen, en inherente risicoscores automatisch invullen op basis van vooraf gedefinieerde statistiekbereiken.

3. Garantie tonen

De app Projecten biedt de mogelijkheid om automatisch risicobeoordelingen, testresultaten en problemen in het volledige project te aggregeren in één enkele garantiestatistiek (percentage) die kan worden gebruikt voor rapportagedoelen. Wanneer stapsgewijze beschrijvingen en testen slagen, wordt de garantie hoger.

Tip

Als u van boven naar beneden werkt en de strategische risico's van uw organisatie in de Strategie-app beheert, kunt u garantie tonen door testresultaten samen te voegen van projecten die zijn ingezet om strategische risico's te mitigeren of te beheren.

Wat gaat er nu gebeuren?

Voortgang van uw SOX-programma's monitoren

U kunt via Storyboards de voortgang van uw SOX-programma's weergeven en monitoren. Het duurt slechts enkele minuten om de vooraf geconfigureerde SOX Storyboard-toolkit te installeren en uw storyboards te vullen met gegevens. Voor meer informatie raadpleegt u SOX-storyboardtoolkit.