Herkent u deze situatie?
U heeft de opdracht om een audit uit te voeren op het risicomanagement systeem binnen uw organisatie. Echter, hoe voert u een kwalitatief hoogwaardige audit op een risicomanagement systeem uit? Welke processtappen zijn er te onderscheiden? Naar welke aspecten kijk je wel en welke aspecten laat je buiten beschouwing? Welk referentiekader gebruik je hierbij?Wij kregen de volgende vraag
Een organisatie heeft sinds twee jaar een risicomanagement systeem geimplementeerd. De interne audit afdeling heeft de opdracht gekregen om het risicomanagement systeem te auditen. Men had echter grote moeite om deze audit op een systematische wijze uit te voeren.
ACS werd ingeschakeld om ondersteuning te bieden bij de uitvoering van deze opdracht.
Wij hebben die vraag als volgt aangepakt
Op de eerste plaats zijn we met de opdrachtgever om tafel gegaan om het onderzoeksobject af te bakenen. De beoordeling kan namelijk betrekking hebben op de opzet, de implementatie of de uitvoering van een risicomanagement systeem. Al snel bleek dat het gewenste onderzoeksobject van de audit de opzet van het risicomanagement systeem betrof.
Vervolgens is een aantal kritieke processtappen bij het opzetten van een risicomanagement systeem aan een kritische beschouwing onderworpen. Enkele van deze kritieke processtappen die in de audit onderzocht werden:
- of er sprake was van een koppeling van een expliciete risicohouding aan de verschillende strategische doelstellingen;
- met het model van Simons (1999) als referentiekader, is onderzocht of er kritieke gebeurtenissen geïdentificeerd zijn die een bedreiging kunnen vormen voor het realiseren van strategische doelstellingen;
- of er sprake is van een helder opgestelde risico-analyse, waarbij onderscheid is gemaakt tussen risico’s en rest-risico’s;
- de kwaliteit van de beheersing van risico’s.
Het heeft dit resultaat opgeleverd
Door het bieden van een systematische aanpak en intensieve begeleiding zijn we in gezamenlijkheid erin geslaagd om een kwalitatief hoogstaande audit uit te voeren op de opzet van het risicomanagement systeem van deze organisatie.
Met behulp van een aantal door ons geleverde concrete handvatten heeft de interne audit dienst een goede basis waarop men audits van een dergelijke complexiteit in de toekomst zelf uit kan voeren.
Op de eerste plaats zijn we met de opdrachtgever om tafel gegaan om het onderzoeksobject af te bakenen. De beoordeling kan namelijk betrekking hebben op de opzet, de implementatie of de uitvoering van een risicomanagement systeem. Al snel bleek dat het gewenste onderzoeksobject van de audit de opzet van het risicomanagement systeem betrof.
Vervolgens is een aantal kritieke processtappen bij het opzetten van een risicomanagement systeem aan een kritische beschouwing onderworpen. Enkele van deze kritieke processtappen die in de audit onderzocht werden:
Door het bieden van een systematische aanpak en intensieve begeleiding zijn we in gezamenlijkheid erin geslaagd om een kwalitatief hoogstaande audit uit te voeren op de opzet van het risicomanagement systeem van deze organisatie.
Met behulp van een aantal door ons geleverde concrete handvatten heeft de interne audit dienst een goede basis waarop men audits van een dergelijke complexiteit in de toekomst zelf uit kan voeren.