CONCEPT PRAKTIJKHANDREIKING AUDIT OPINIES

CONCEPT PRAKTIJKHANDREIKING AUDIT OPINIES 1.

INLEIDING

1.1 Doelstelling van de praktijkhandreiking Deze praktijkhandreiking is bedoeld als hulpmiddel voor interne auditors in Nederland bij het geven van een opinie bij op assurance gerichte operational audits1. In 2007 heeft een werkgroep namens IIA NL een inventariserend onderzoek verricht naar de toepassing van audit opinies in de Nederlandse praktijk. De werkgroep stelde vast dat er in het gebruik van audit opinies een grote variëteit bestaat. De verschillen blijken zowel uit het aantal gehanteerde audit opinies als de inhoud van de gehanteerde definities. Vele auditdiensten hebben naar eigen inzicht een model voor het gebruik van audit opinies opgesteld, andere zijn voornemens dat nog te doen. Deze handreiking kan door auditdiensten gebruikt worden om het eigen model te evalueren of als leidraad bij het formuleren van een nieuw model.

1.2 Aanleiding voor de praktijkhandreiking Een kerntaak van de interne auditor is het als onafhankelijke en objectieve partij verstrekken van assurance aan interne stakeholders over de effectiviteit (en zo mogelijk efficiency) van de opzet en werking van (operationele) risico-beheersingsprocessen binnen een organisatie. Met de versterkte aandacht die corporate governance de afgelopen jaren kreeg zijn ook de verwachtingen van het management en het maatschappelijk verkeer over de assurance die auditors verstrekken op het terrein van de interne beheersing beduidend toegenomen. Onder invloed van onder meer de Sarbanes Oxley regelgeving en de code Tabaksblat is de vraag naar expliciete uitspraken van het management over de mate waarin de business de operationele processen beheerst hoog op de agenda van bestuurders gekomen. De geschetste ontwikkelingen hebben ook gevolgen voor de wijze waarop interne auditors geacht worden hun werkzaamheden in te vullen en over de uitkomsten daarvan te rapporteren. Mede om die reden heeft het oordeel ("de opinie") van de interne auditor over de mate van beheersing van de operationele beheersingsprocessen sterk aan betekenis gewonnen. De werkgroep nam als uitgangspunt dat het belangrijk is dat er binnen een organisatie één consistent systeem van oordeelsvorming gehanteerd wordt dat herkenbaar is voor en gedeeld wordt door de gebruikers (zoals het audit committee, de raad van bestuur, het overige management en de internal auditor zelf). Bij een in 2007 door IIA NL geïnitieerd onderzoek en daaraan gekoppelde Round Table naar de toepassing van oordelen door internal audit functies bleek dat: • veel internal audit functies standaard oordelen hanteren (ongeveer 75%, in bepaalde sectoren zelfs 100%) • er veel variatie is in de uitwerking (van de bewoording) van de standaard oordelen (oa. diversiteit in schalen) • er geen consistentie is bij het gebruik van begrippen (bijvoorbeeld een veel gehanteerd begrip als ‘voldoende’ betekent niet overal hetzelfde) Er was brede support voor het beschikbaar maken van ‘good practices’. Vooral bij beginnende audit functies is er duidelijk vraag naar guidance op dat vlak. De werkgroep heeft ervoor gekozen dit te doen in de vorm van een praktijkhandreiking. Voor dit initiatief was temeer aanleiding omdat er vanuit IIA Inc ten aanzien van dit onderwerp nog geen guidance wordt geboden, alhoewel IIA Inc daar momenteel wel aan werkt..

1

Alle assurance-opdrachten anders dan financial audits (opdrachten tot controle of beoordeling van historische financiële informatie); ook IT audits en compliance audits worden hierbij als operational audits aangemerkt. Het gaat bij de af te geven opinies om zogeheten ‘micro level’ uitspraken op auditniveau, niet om samenvattende (‘macro level’) uitspraken over de mate van interne beheersing.

1

1.3 Doelstelling van de praktijkhandreiking Deze praktijkhandreiking bevat uitgangspunten hoe is om te gaan met de uitkomsten van intern uitgevoerde op assurance gerichte operational audits. De in de "International Standards for the Professional Practice of Internal Auditing" opgenomen standaard geldt daarbij als vertrekpunt: "Final communication of engagement results, where appropriate, contain the internal auditor's overall opinion and or conclusions" (Standard 2410A.1). Wanneer een assurance-opdracht wordt uitgevoerd zal de interne auditor moeten aangeven hoe het traject om tot een (gefundeerde) uitspraak te komen is verlopen. Daartoe is temeer aanleiding omdat (interne) auditors die zijn aangesloten bij beroepsorganisaties als het Koninklijk Nederlands Instituut van Registeraccountants (Nivra) en de Nederlandse Orde van Register EDP Auditors (Norea) gehouden zijn de regels aangaande assuranceopdrachten na te leven: deze regels zijn ontleend aan Standaard 3000 van de International Federation of Accountants (IFAC): "Assurance engagements other than audits or reviews of historical financial information". Zeker in die gevallen waar de interne auditor nauw samenwerkt met externe (EDP-)auditors is het vanuit het oogpunt van transparantie en synergie aan te bevelen daar maximaal op aan te sluiten. IIA Inc heeft in 2005 een paper uitgebracht met als titel "Practical Considerations Regarding Internal Auditing Expressing an Opinion on Internal Control". Daarin worden aandachtspunten genoemd over af te geven oordelen.

1.4

De praktijkhandreiking in vogelvlucht

In deze handreiking zijn achtereenvolgens opgenomen: argumenten voor en tegen het gebruik van audit opinies bij operational audits (2) uitgangspunten bij het geven van audit opinies (3) • evaluatie criteria: wat is het normenkader? • object van onderzoek? • eindverantwoordelijkheid voor interne beheersing: wat is de rolverdeling? kenmerken van audit opinies: (4) • definitie: wat zijn de criteria voor een goede definitie? • vormen: welke verschillende vormen van oordelen zijn er? audit opinies good practice: (5) • definitie eindoordeel en relatie met bevindingen • classificatie van bevindingen

2. ARGUMENTEN VOOR EN TEGEN HET GEBRUIK VAN (STANDAARD) AUDIT OPINIES BIJ OPERATIONAL AUDITS 2.1 Algemeen Audit opinies hebben tot doel het (top) management te voorzien van eenduidige en transparante informatie over de mate waarin het object van onderzoek ‘in control’ is en de bedrijfsdoelstellingen (kunnen) worden behaald. Er zijn grofweg twee verschijningsvormen van audit opinies die de overall conclusie van een uitgevoerde audit weergeven: degene die positive assurance bieden en degene die negative assurance geven. Daarnaast zijn er situaties waarin de auditor geen opinie (oordeel) afgeeft, omdat de verkregen evidence daartoe ontoereikend is. De inhoud van audit opinies is uiteraard toegesneden op de gebruiker ervan, maar zeker daar waar ook andere gebruikers dan de direct betrokkenen de ernst van de uitkomst op haar waarde moeten schatten kan een vorm van standaardisatie behulpzaam zijn bij het interpreteren ervan. Omdat de gebruikers van audit opinies, zoals het audit committee, in toenemende mate (geaggregeerd) de uitkomsten van audits gepresenteerd krijgen neemt de behoefte toe aan (interne) vergelijkbaarheid tussen de afgegeven audit opinies. Of en de mate waarin een bedrijfsonderdeel "in control" staat dan voor de gebruiker van de audit opinie centraal. Zeker tegen de achtergrond van de Sarbanes Oxley regelgeving is de roep om onderlinge vergelijkbaarheid gestegen. Het gebruik van standaardformuleringen kan, met name daar waar relatief veel vergelijkbare audits woren uitgevoerd, daar al aan bijdragen. Van daaruit is het nog een betrekkelijk geringe stap naar het gebruik van standaardscores om aan te geven in welke mate (nog) tekortkomingen zijn gesignaleerd. 2

In de praktijk blijkt ook een grote meerderheid van de interne auditors omwille van de vergelijkbaarheid standaardscores te gebruiken bij het afgeven van een opinie. Voor een goed gebruik van standaardscores bij audit opinies moet vooraf een aantal vragen beantwoord worden. Het gaat daarbij om vragen als: • zijn beoordelingen gebaseerd op meetbare normen? wie bepaalt deze normen? • zijn auditobjecten onderling vergelijkbaar? • zijn interne en/of externe omgevingsfactoren meegenomen? • wordt gewerkt met wegingsfactoren en zijn deze inzichtelijk? • hebben alle beoogde gebruikers / stakeholders eenzelfde kennisniveau? 2.2 Positieve aspecten Standaardisatie kan bijdragen aan een goed gebruik van de IIA-richtlijn en is als zodanig te beschouwen als een volgende stap op weg naar volwassenheid van het vakgebied van internal audit. Standaardisatie van de bij opinies gebruikte bewoordingen komt de transparantie, vergelijkbaarheid en eenduidigheid naar de gebruikers toe ten goede. De volgende specifieke argumenten zijn aan te geven voor het gebruik van (standaard) audit opinies bij operational audits: • Duidelijkheid verschaffen aan de gebruikers Standaardisatie van (de bewoordingen van) het oordeel geeft inzicht in de aard en ernst van bevindingen en hun belang voor het object van onderzoek (criteria/scope). Een consistent begrippenapparaat bevordert de communicatie over de risico- en control status van een organisatie. Ergo: de Chief Audit Executive in plaats van de gebruiker plaatst de uitkomsten van een audit in een organisatiebreed perspectief en ziet op die manier toe op handhaving van de consistentie tussen de binnen de organisatie afgegeven opinies. • Vergelijkbaarheid van oordelen vergroten Standaardisatie vormt een benchmark voor het evalueren van de ‘control effectiveness’ van auditobjecten ten opzichte van elkaar en in de tijd (referentie) en biedt de mogelijkheid om in vogelvlucht (‘snapshot’) audit resultaten herkenbaar weer te geven. Op basis daarvan kunnen prioriteiten gesteld worden ten aanzien van het tot oplossing brengen van de bij de audits opgebrachte bevindingen.

2.3 Aandachtspunten Bij gebruik van standaard opinies binnen de beroepsgroep bestaat er een risico dat onvoldoende recht wordt gedaan aan de specifieke omstandigheden. Het gebruik van standaard opinies is dan eerder een schrikbeeld voor het management dan een geruststelling. Ratingsystemen zijn arbitrair en leiden mogelijk af van de kern: waar het om draait is dat er tussen de auditor en de gebruiker overeenstemming wordt bereikt over de aandachts- en verbeterpunten en de hierbij gehanteerde maatstaf. Het gaat primair om het verbeteren van de controls, maar door gebruik van opinies bij operational audits verschuift de aandacht van de inhoud van de boodschap naar de systematiek van oordeelsvorming. De auditee wordt dan afgeleid van het werkelijke probleem.

3. UITGANGSPUNTEN BIJ HET GEVEN VAN AUDIT OPINIES

3.1

Algemeen

Wanneer bij een uit te voeren operational audit een opinie wordt afgegeven is het belangrijk dat de volgende aspecten daarin een plaats krijgen en zorgvuldig worden afgestemd: • de evaluatiecriteria ("het normenkader of toetsingskader") die bij de oordeelsvorming betrokken zijn • het object van onderzoek en de reikwijdte (scope) die in de audit gehanteerd is • de (eind)verantwoordelijkheid voor de beheersing van de operationele risico's Deze aspecten worden in de navolgende paragrafen kort toegelicht. 3

De interne auditor moet uiteraard acteren in lijn met vigerende gedrags- en beroepsregels en een deugdelijke grondslag (voldoende audit evidence) hebben om tot uitspraken te komen. De af te geven audit opinie moet daarbij afgestemd zijn op het met de opinie beoogde gebruik.

3.2

Evaluatiecriteria

Door helder neer te zetten welke evaluatiecriteria de interne auditor heeft gebruikt wordt de gebruiker in staat gesteld de uitkomsten van de operational audit op waarde te schatten. De evaluatiecriteria dragen er daarnaast aan bij dat de auditor op een consistente en vergelijkbare wijze tot zijn oordeel komt bij soortgelijke audits over verschillende audit domeinen en/of variërend in de tijd. In de praktijk wordt veelvuldig aansluiting gezocht bij het COSO II-ERM raamwerk waarin de interne beheersingsstructuur geschetst is. Uiteraard kunnen ook andere normenkaders (bijvoorbeeld ontleend aan externe en interne regelgeving) waaraan de mate van interne beheersing goed kan worden afgemeten worden gehanteerd. In voorkomende gevallen kunnen de evaluatiecriteria in nauw samenspel met de opdrachtgever als maatwerk worden vastgesteld.

3.3.

Object van onderzoek

Er zal duidelijk beschreven moeten zijn hoe ver het afgegeven oordeel reikt. Er zijn daarbij meerdere dimensies te onderkennen: • De aard van het onderzoek: welke insteek is gekozen ten aanzien van de beheersingsdoelstellingen (zoals bijvoorbeeld compliance, operationele of financial reporting doelstellingen)? Het maakt duidelijk verschil of alleen gekeken is naar de administratief correcte verwerking van transacties of dat daarbij ook de naleving van relevante wetgeving wordt betrokken. Verder is het van belang aan te geven of er een uitspraak moet worden gedaan over opzet en/of bestaan en/of werking van de beheersmaatregelen. • De breedte van het onderzoeksdomein: er moet aangegeven worden welke groepsonderdelen en operationele processen in de audit zijn betrokken. • De bestreken periode: het is van belang aan te geven of de opinie zich uitstrekt over een bepaalde periode (en zo ja hoe lang) of beperkt is tot een bepaald moment in de tijd. In de opinie die ten behoeve van de gebruiker wordt verstrekt moet helder naar voren komen of de uitspraak betrekking heeft op opzet en bestaan van een toereikende interne beheersing of dat de opinie ook betrekking heeft op de werking ervan. Ook kan onder omstandigheden een verdere definitie van de term "interne beheersmaatregelen" vereist zijn. Ten slotte kan bij het formuleren van een oordeel in bepaalde jurisdicties een eigen interpretatie worden gegeven aan bijvoorbeeld begrippen als "material weakness" en/of "significant deficiency". Alleen wanneer het ook nadrukkelijk de intentie is van de auditor zich in die zin over geconstateerde tekortkomingen uit te laten zal hij deze begrippen als zodanig kunnen hanteren.

3.4

Eindverantwoordelijkheid voor interne beheersing

In de audit opinie moet duidelijk naar voren komen wie aanspreekbaar is op de inrichting en handhaving van de interne beheersingsmaatregelen. De interne auditor geeft dan wel een oordeel af over de vraag of opzet en/of bestaan en/of werking van de beheersmaatregelen al dan niet adequaat zijn, maar dat houdt niet in dat hij ook verantwoordelijk is voor de feitelijke interne beheersing. De lijnorganisatie dient daarvoor de passende maatregelen getroffen te hebben.

4. KENMERKEN VAN AUDIT OPINIES

4.1

Kenmerken van een goede definitie

Een audit opinie heeft voor de gebruiker in zijn uitdrukkingskracht toegevoegde waarde als deze beantwoordt aan een aantal criteria. Deze criteria zijn nodig om tot een consistente evaluatie of toetsing van het object van 4

onderzoek te komen. Dergelijke criteria moeten een aantal kenmerken vertonen. In dat kader kunnen kenmerken genoemd worden als: • Begrijpelijkheid: begrijpelijke criteria dragen bij aan het trekken van conclusies die duidelijk en bondig zijn en niet op significant verschillende wijzen kunnen worden geïnterpreteerd. • Neutraliteit: neutrale criteria dragen bij aan het onbevooroordeeld trekken van conclusies. • Mogelijkheden tot differentiatie in de opinie. • Relevantie: relevante criteria dragen bij aan het trekken van conclusies die de besluitvorming van gebruikers ondersteunen. • Volledigheid: belangrijke factoren die de conclusies van de audit kunnen beïnvloeden worden niet achterwege gelaten. • Betrouwbaarheid: betrouwbare criteria bieden de mogelijkheid tot een redelijk consistente evaluatie of toetsing van het object van onderzoek.

4.2

Vormen van audit opinies

4.2.1

Algemeen

Op hoofdlijnen kunnen bij operational audits twee niveaus van assurance geboden worden: ‘positive assurance’ of ‘negative assurance’. De IIA standaarden wijzen in algemene zin op het belang van een goede onderbouwing van de opinie en de zorg voor een goede documentatie. De auditor moet toezien op een daarop afgestemde auditaanpak en testwerkzaamheden. Interne auditdiensten krijgen mede onder invloed van de "In control" discussies doorgaans door het management de vraag voorgelegd "positive assurance" omtrent de interne beheersing door de business te verstrekken. De gebruiker van de oordelen kan daarmee een hoog niveau van betrouwbaarheid toekennen aan de gerapporteerde uitkomsten. Hoe meer gedifferentieerd een ratingsysteem is, hoe verder uitgewerkt de criteria moeten zijn op grond waarvan de opinie tot stand komt. Een "positive assurance" vereist voldoende audit evidence om met een redelijke mate van zekerheid te kunnen verklaren dat de interne beheersing effectief gefunctioneerd heeft of dat zodanige evidence naar voren gekomen is dat vastgesteld kan worden dat deze niet effectief is (daarbij kan een parallel getrokken worden met de. goedkeurende of afkeurende accountantsverklaring). 4.2.2

Positive assurance

In zijn uitwerking kan een positive assurance opdracht leiden tot verschillende uitkomsten: • een "binaire" uitkomst waarbij wordt aangegeven of een (geheel aan) beheersingsmaatregel(en) wel of niet effectief (voldoende of onvoldoende) is • een standaard score systeem waarmee wordt aangegeven in welke mate een (geheel aan) beheersingsmaatregel(en) meer of minder effectief is. Met een dergelijk systeem kan meer differentiatie en nuancering in het oordeel worden aangebracht. Daarbinnen zijn weer diverse varianten denkbaar waarbij woorden, scores, kleuren of smileys gehanteerd worden, zoals: - Woorden: Goed, Voldoende, Onvoldoende, Slecht - Scores: 1, 2, 3, 4, 5 - Tekens: ++, +, -, -- Kleuren: Groen, Geel, Rood - Smileys: ☺   Bij de uitwerking van de te hanteren standaard scores zijn in het bijzonder de kenmerken begrijpelijkheid, neutraliteit en de mogelijkheid tot differentiatie van belang. Het is wenselijk (ook ten behoeve van de communicatie naar de stakeholders toe) te differentiëren. De auditor zal duidelijk moeten maken wat de relatie is tussen de ernst van de bevindingen (ook wel: tekortkomingen) en de audit opinie. Het is daarbij belangrijk dat er een goede definitie bestaat van de verschillende risico niveaus (hoog / gemiddeld / laag en de respectievelijke impact en waarschijnlijkheid). Op die manier is consistentie in de inschaling van bevindingen te realiseren. 5

4.2.3.

Negative assurance (te vergelijken met de beoordelingsverklaring)

De opinie kan ook geformuleerd zijn in negatieve termen ("negative assurance") waarbij de auditor aangeeft niet bekend te zijn met zaken waaruit geconcludeerd kan worden dat de interne beheersing niet effectief is. De auditor neemt daarbij geen verantwoordelijkheid voor de toereikendheid van de audit scope en de procedures om alle relevante tekortkomingen bij de interne beheersing op het spoor te komen. Een dergelijk oordeel geeft de gebruiker minder toegevoegde waarde (namelijk een beperkte mate van zekerheid) dan een "positive assurance" oordeel dat de interne beheersing adequaat is. Met een "negative assurance" oordeel verklaart de auditor dat hij op basis van de uitgevoerde werkzaamheden op dat punt geen knelpunten heeft geconstateerd.

5.

AUDIT OPINIES - GOOD PRACTICE

5.1

Inleiding

Bij de uitwerking van de te hanteren audit opinies is rekening gehouden met de kenmerken die aan criteria zijn toe te kennen als genoemd in paragraaf 3.1. Bij de af te geven scores moet tot uitdrukking komen of er met een redelijke mate van zekerheid assurance gegeven kan worden dat de interne beheersing adequaat is. Er moet dus een uitgewerkte betekenis kunnen worden toegekend aan ieder van deze scores waaruit ondubbelzinnig blijkt of de redelijke mate van zekerheid is bereikt.

5.2

Definitie eindoordeel en relatie met bevindingen

5.2.1

Good Practice: definitie eindoordeel

Op basis van de resultaten van de inventarisatie door de werkgroep in 2007 is een voorbeeld ontwikkeld dat we de kwalificatie ‘good practice’ zouden willen geven. Tevens is daarbij aandacht besteed aan de relatie tussen het eindoordeel en de individuele bevindingen bij de audit. Veel gebruikt is de vierpuntsschaal (bijvoorbeeld bestaande uit Goed, Voldoende, Onvoldoende, Slecht) waarmee niet alleen een balans bestaat tussen positief en negatief getinte uitkomsten, maar ook aangegeven kan worden hoe goed/slecht het gesteld is met het (niet) voldoen aan de gestelde eisen. Uiteraard zijn ook andere schalen mogelijk, zoals een driepuntsschaal en een vijfpuntsschaal. Een bijkomend voordeel van een vierpuntsschaal is dat deze dwingt tot het maken van een keuze: er is anders dan bij de driepunts- en vijfpuntsschaal geen ‘neutraal’ oordeel. Vierpuntsschaal met de volgende definities (eventueel te combineren met kleuren): Goed: Met een redelijke mate van zekerheid kan worden gesteld dat het geheel aan beheersmaatregelen in opzet, bestaan en werking effectief* is. Voldoende: Met een redelijke mate van zekerheid kan worden gesteld dat, ofschoon er van belang zijnde tekortkomingen zijn gesignaleerd, de belangrijkste beheersmaatregelen in opzet, bestaan en werking effectief* zijn. Onvoldoende: Een aantal van de belangrijkste beheersmaatregelen is in opzet, bestaan en/of werking niet effectief**.

Slecht: Het geheel aan beheersmaatregelen is in opzet, bestaan en/of werking niet effectief**.

* Het restrisico overtreft de risk appetite van het management niet. ** Het restrisico overtreft de risk appetite van het management. 6

Maatgevend is hier dat het risico dat bij de getroffen beheersmaatregelen resteert binnen de door het management gestelde risk appetite blijft. Het is daarbij uiteraard lastig de risico's die de organisatie loopt te kwantificeren in bijvoorbeeld financiële termen (zoals een risk footprint), maar daar moet wel zo goed mogelijk een inschatting (professional judgment) van gemaakt worden. Bij het eindoordeel zou ook kunnen worden aangegeven hoe deze zich verhoudt tot het oordeel dat was afgegeven bij de laatst uitgevoerde audit. 5.2.2

Toelichting

Bij de kwalificatie "Goed" heeft de auditor geen tekortkomingen van enig belang geconstateerd, zodat de restrisico's aangaande het auditobject binnen de daarvoor gestelde kaders blijven. Als er tekortkomingen van enige importantie zijn vastgesteld die geen afbreuk doen aan de uitspraak dat de beheersing effectief is kan een score "Voldoende" worden meegegeven. Bij de kwalificaties "Onvoldoende" en "Slecht" heeft de auditor zoveel kennis opgedaan omtrent het audit object (namelijk het niet voldaan zijn aan de eisen gesteld om tot "positive assurance" te komen) dat hij de woorden "redelijke mate van zekerheid" kan missen. Wanneer de werkzaamheden niet zo diepgaand zijn dat uitspraken met een redelijke mate van zekerheid kunnen worden gedaan (maar wel diepgaand genoeg om tot ‘negative assurance’ te komen) kan de volgende tekst gebruikt worden (negative assurance): " Op grond van onze in dit rapport beschreven werkzaamheden is ons niets gebleken op basis waarvan wij zouden moeten concluderen dat de interne beheersingsmaatregelen volgens de criteria XYZ niet in alle van materieel van belang zijnde opzichten effectief zijn”. Met deze tekst is aansluiting gezocht bij de bewoordingen die ook door de International Auditing and Assurance Standards Board van de International Federation of Accountants worden gebruikt. 5.2.3

Good practice: Relatie eindoordeel met geconstateerde tekortkomingen

Tussen het aan de audit te geven eindoordeel en de naar voren gekomen tekortkomingen bestaat een relatie die indicatief als volgt kan worden weergegeven. Tekortkomingen - Significantie Eindoordeel

Zeer hoog

Hoog

Gemiddeld

Laag

Goed

nvt

nvt

nvt

ja

Voldoende

nvt

nvt

ja

ja

Onvoldoende

nvt

ja

ja

ja

Slecht

ja

ja

ja

ja

Afhankelijk van de gebleken tekortkomingen kunnen bepaalde eindoordelen niet afgegeven worden: wanneer bijvoorbeeld minimaal één tekortkoming met significantie “Hoog” geconstateerd wordt, is het in principe alleen nog mogelijk tot een eindoordeel "Onvoldoende" of "Slecht" te komen. Uiteraard moet de interne auditor altijd blijven interpreteren of hij deze tabel onverkort kan toepassen en geldt ook hier het uitgangspunt "Comply or explain". 5.2.4

Good practice: Classificatie van bevindingen

De bevindingen bij een audit vormen de basis voor het eindoordeel. Ook hier is een goede definitie van groot belang. De bevindingen omtrent het al dan niet functioneren van de beheersmaatregelen kunnen dan naar de omvang van het restrisico als volgt geclassificeerd worden:

7

Significantie tekortkoming Zeer hoog Hoog Gemiddeld Laag

Omschrijving

Urgentie oplossing

De beheersmaatregel(en) is/zijn niet aanwezig of effectief, zodat de restrisico's in de beoordeelde processen nog zeer hoog zijn De beheersmaatregel(en) is/zijn niet aanwezig of effectief, zodat de restrisico's in de beoordeelde processen nog hoog zijn De beheersmaatregel(en) is/zijn niet aanwezig of effectief, zodat de restrisico's in de beoordeelde processen nog gemiddeld zijn De beheersmaatregel(en) is/zijn niet aanwezig of effectief, maar de restrisico's in de beoordeelde processen zijn laag

Per direct op te lossen Binnen drie maanden op te lossen Binnen zes maanden op te lossen Termijn nader af te stemmen met management

De classificatie is gebaseerd op de (ernst van de) tekortkomingen die tijdens de audit naar voren gekomen zijn en het restrisico dat hierdoor resteert. Het restrisico is daarbij te zien als het product van kans en impact: Impact/kans Hoog Gemiddeld Laag

Hoog Zeer hoog Hoog Gemiddeld

Gemiddeld Hoog Gemiddeld Laag

Laag Gemiddeld Laag Laag

Bij het bepalen van de impact is rekening te houden met het relatieve (financiële) belang van het audit object ten opzichte van de organisatie als geheel. Wanneer de ernst van de geconstateerde tekortkomingen wordt afgemeten aan het organisatiebelang kan de omvang van het restrisico voor de organisatie als geheel wel eens als beperkt worden aangemerkt. Wanneer het audit object (zoals een dochter of een afdeling) op zijn eigen merites beoordeeld wordt kan de tekortkoming wel materieel en relevant zijn en om snelle maatregelen ter correctie vragen. In voorkomende gevallen is expliciet aan te geven aan welk referentiekader de tekortkomingen getoetst worden.

6.

Ter afsluiting

Het afgeven van audit opinies door interne auditors bij operational audits dient met de nodige zorgvuldigheid te gebeuren. Deze praktijkhandreiking heeft een tweeledig doel: bevorderen consistentie en uniformiteit bij het opzetten en (intern) gebruiken van een stelsel van audit opinies waarborgen van een verantwoorde toepassing van audit opinies. In de dagelijkse praktijk hanteren de meeste interne auditdiensten een stelsel van audit opinies om hun conclusies bij een operational audit te communiceren. Opvallend genoeg zijn er weinig specifieke aanwijzingen en/of hulpmiddelen waarop de interne auditor kan teruggrijpen bij het opstellen van een stelsel van audit opinies. Deze praktijkhandreiking beoogt hierin tegemoet te komen door middel van het aanreiken van een ‘good practice’. Aangezien deze praktijkhandreiking als een eerste aanzet daartoe gezien moet worden verwelkomt IIA Nederland eventueel commentaar op de inhoud ervan.

8