Bepalen van de audit kalender
Prioriteren uit te voeren audit werkzaamheden
Jaarlijks moet de interne audit functie een plan op stellen van de uit te voeren audit werkzaamheden in het komende jaar. Het plan moet gebaseerd zijn op een risicoanalyse van de audit universe. De objecten binnen de audit universe moeten met een voldoende frequentie en diepgang aan de orde komen. De frequentie en diepgang waarmee audits uitgevoerd worden hangt af van het ingeschatte risico dat met deze objecten gepaard gaat.
Audit universe
Het werkterrein van de interne audit functie omvat alle activiteiten en alle onderdelen van de organisatie. Hieronder vallen ook de activiteiten die binnen dochter-maatschappijen of andere verbonden ondernemingen van de organisatie plaatsvinden. Ook activiteiten die de organisatie heeft uitbesteed en die van wezenlijk belang zijn voor de continuïteit van de bedrijfsactiviteiten vallen binnen de scope van de audit universe.
Scope interne audit functie
Binnen de scope van de interne audit functie vallen onder andere:
- Processen (strategisch, tactisch, operationeel)
- Programma’s en projecten
- Systemen en IT infrastructuur
- Governance en inrichting van de organisatie
- Specifieke procedures
- (Naleving van) wet- en regelgeving
Typen audits
Afhankelijk van het audit object kan de interne audit functie verschillende typen audits uitvoeren. Enkele voorbeelden daarvan zijn:
- Operational audits (ook wel proces audits)
- IT-audits (ook wel EDP audits)
- Financial audits
- Forensic audits (ook wel fraudeonderzoek)
- Compliance audits
- Kwaliteitsaudits
Risicogebaseerde audit kalender
Jaarlijks moet de interne audit functie een plan op stellen van de uit te voeren audit werkzaamheden in het komende jaar. Het plan moet gebaseerd zijn op een risicoanalyse van de audit universe. De afbeelding hieronder bevat een illustratief voorbeeld van een risicoanalyse van (een deel van) de audit universe van processen binnen een woningcorporatie. De risico’s binnen de processen zijn daarbij beoordeeld langs een zestal onderwerpen. Het totaal van de risicobeoordeling leidt tot een risicoscore en daarmee tot een bepaalde audit frequentie.
Het is verstandig om in het jaarlijkse audit plan ruimte te houden voor bijzondere onderzoeken of eventuele audits op verzoek, bijvoorbeeld vanuit de Raad van Commissarissen.
Middelen, kennis en kunde
In het audit plan moet de interne audit functie rekening houden met de middelen, kennis en kunde waarover de interne audit functie beschikt. Het kan zijn dat een audit op een bepaald object uit de audit universe dusdanig specifieke kennis vereist, dat een audit daarop niet door de interne audit functie zelf uitgevoerd kan worden. In dat geval moet de interne audit functie – in overleg met bestuur en raad van commissarissen – besluiten om de audit door een derde partij uit te laten voeren.