8 Appendices
8.12 Appendix XII: Interview #10 159
Ik doe een onderzoek naar audit planning. Aan de hand van de expertise van een aantal interne auditors en mensen die werken aan een audit tool genaamd TeamMate, denk ik antwoorden te vinden op mijn onderzoeksvraag. Ik heb eerst wat introductievragen. Wat kan je me vertellen over jouw rol in the organisatie?
Ik ben verantwoordelijk voor internal audit en voor risico management en de functie van compliance officer.
En hoe lang zit je al in deze rol?
Internal audit 7 jaar. Risico management ongeveer 4 jaar. Compliance officer 1 jaar.
Is dit allemaal in de zelfde organisatie?
Dit is allemaal binnen USG people. Daarvoor heb ik 7 jaar gewerkt bij KPN, waarvan 4 jaar audit en 3 jaar in de business. En daarvoor heb ik auditing consultancy werk gedaan bij KPMG. Daarvoor bij justitie en daarvoor heb ik geen audit werkzaamheden gedaan of consultancy werk, maar heb ik bij Vluchtelingenwerk gewerkt en daarvoor als market maker op de optiebeurs.
Dat klinkt als een brede ervaring binnen internal audit. In je audit ervaring heb je wel eens planning programma’s gebruikt zoals TeamMate?
Ja, ik heb dat soort programma’s wel gebruikt. Dat is nuttig als je met grotere aantallen auditors werkt. En als je niet zo’n grote groep hebt, dan draagt dat wel iets bij, maar niet heel veel.
Dus het is meer een houvast en niet zo zeer een leidend iets dat je door het proces heen helpt?
Ja.
Wat zie je als het hoofddoel van een internal audit?
Het bieden van extra zekerheid aan de raad van bestuur.
Dat ze niet ’s nachts wakker liggen.
Of wel, dat ligt eraan wat je ze gaat vertellen natuurlijk. De raad van bestuur wordt geïnformeerd door de eerste lijn en de tweede lijn, en die informatie kan verkeerd zijn of onvolledig. Door het uitvoeren van een audit, door een objectieve onafhankelijke partij vanuit de derde lijn, krijgt de raad van bestuur een onafhankelijk beeld van bepaalde situaties. En dat vind ik een toegevoegde waarde van internal audit. Het biedt een extra zekerheid aan de raad van bestuur of aan de audit commissie, omdat ze onafhankelijk onderzoek doen.
Hoe geven ze dan die extra zekerheid?
Je doet een onderzoek, t bijvoorbeeld naar systeembeveiliging. De staff (1ste en 2de lijn) is
verantwoordelijk dat dat het allemaal goed geregeld is. En die zeggen tegen de raad van bestuur het ziet er allemaal mooi uit. Maar dat kan die staff well zeggen, want die keurt zijn eigen vlees als het ware. De internal audit afdeling kijkt dan in welke mate de opzet van het IT
160 beveiligingsbeleid en de uitvoering daarvan ook goed is. En daarmee geven ze de raad van bestuur extra zekerheid dat het beveiligingsbeleid goed is opgezet en goed wordt uitgevoerd en nageleefd. Dus in die zin geeft een internal audit een extra zekerheid aan de raad van bestuur over het onderwerp dat je onderzoekt.
Hoe ziet volgens jou het audit proces er uit?
Globaal bepalen van doel en scope. Vooronderzoek om doel en scope verder af te bakenen. Informatie verzamelen. Dan veldwerk, daadwerkelijk je onderzoek doen. Het concept rapport is de eindstap van het veldwerk. In de rapportagefase ga je de audit finaliseren: afstemmen wat er gebeurd naar aanleiding van je bevindingen en je conclusies. Als laatste stap in deze fase breng je het rapport uit. Dan is het evalueren met de auditee en de opdrachtgever. En daarna een interne evaluatie en dan afsluiten van de audit. In grote lijnen.
In het audit proces dat je net beschrijft. Wat denk je dat een essentiële stap is?
Elke stap is essentieel. Voor de kwaliteit van je uiteindelijke rapportage en het effect van je rapportage. Vaak is het begin het meest belangrijk dat je zeker weet dat je de goede dingen gaat doen. Dus als je doel en scope niet goed is, onderzoek je het verkeerde. Translation: Often the beginning the most important that you are sure you are going to do the right things. So if your goal and scope is not good, you research the wrong things. Dan kan je nog zo’n mooi rapport maken, maar als het over het verkeerde onderwerp gaat of verkeerde diepgang, dan heeft het minder effect dan het had kunnen hebben.
En hoe zorg je er dan voor dat je naar het juiste kijkt?
Door echt goed met je opdrachtgever en de auditee en je ervaring, heel goed praten met je opdrachtgever wat hij wenst. Samen met de auditee de opdrachtomgeving heel goed te bekijken wat hij er van vindt. En met je jarenlange ervaring en kennis een keuze te maken en dat voorstellen aan je opdrachtgever om de opdracht zo in te richten.
En wordt het Coso framework daarin gebruikt?
Nou, nee. Het Coso framework, je kan dan de terminologie uit die kubus gebruiken, maar vaak is het makkelijker om daar eigen woorden te gebruiken. Dat hangt af van de beleving van de mensen. Je kan wel bij de afdeling marketing het woord control environment noemen en de focus punten, maar dan moet ik eerst gaan uitleggen wat Coso bedoelt met focus punten. Het liefst gebruik ik wel de informatie uit Coso, maar gaan we het niet zo expliciet benoemen, want dan wordt het onduidelijk voor de mensen die daar geen kaas van gegeten hebben.
Een van de aspecten uit het Coso framework is risk assessment. Zou je wel een soort van risk assessment gebruiken.
Ja, er zijn twee dingen: 1 risk assessment voor het vaststellen van je jaarplan, waarin de audits staan die je dat jaar gaat uitvoeren. Daarna heb je bij het plannen van een individuele audit dat je gaat kijken naar wat zijn de risico’s waar we naar gaan kijken binnen het doel en scope van deze audit. Dat je dan je referentiemodel maakt.
Referentiemodel is voor mij nog een nieuwe term.
Als auditor ga je er iets van vinden. Maar om ergens iets van te vinden, moet je een norm hebben. Een maatstaf en een norm. Anders kan je wel je persoonlijke mening geven, maar dat is geen audit. Dus als je het theoretisch netjes doet, zorg je dat je een maatstaf en een norm hebt op basis waarvan je dan kan zeggen het voldoet aan de norm of niet. Door alle normen goed uit te werken en in een model te voegen vorm je een referentiemodel. Het model waaraan je refereert.
Duidelijk, dank je wel. Hoe werkt de risk assessment voor je jaarplanning?
Vragen aan mensen in de business wat zij belangrijke risico’s vinden. Vragen aan de raad van bestuur wat zij belangrijke risico’s vinden. En binnen de audit afdeling bespreken wat de belangrijke risico’s zijn. En de ervaringen van het verleden en de uitkomsten van audits. Die gooi je allemaal in een hoge hoed en daar maak je een prioriteitenlijst van. Die prioriteitenlijst leggen we voor aan de raad van bestuur. Die zegt dan dit vinden we een goede risico analyse of dit en dit willen we anders. En op basis van die risico analyse maken we een audit planning. Die wordt dan ook goed gekeurd door de raad van bestuur. En vervolgens leggen we de risico analyse plus het audit jaarplan voor aan de audit commissie en die keurt het dan goed.
Dan ga ik ervan uit dat bij die risico analyse dat de hoogste risico’s dat je die het meest naar voren laat komen als de hoogste prioriteit om te gaan onderzoeken.
Ja, als internal audit afdeling willen we de belangrijkste risico’s tackelen. Soms is het zo dat de raad van bestuur of de audit commissie prioriteiten anders leggen voor redenen die vanuit hun perspectief van belang zijn.
Dan krijg je de goedkeuring voor wat je dat jaar gaat auditen. En dan ga je in overleg met de entiteiten die je gaat auditen?
Ja, die informeren we dan dat we de audit gaan uitvoeren. Als het goed is dan is het audit plan in oktober goedgekeurd en als het wat langer duurt in december. Standaard kondigen we dan aan al die entiteiten aan dat we komen auditen. En een aantal weken voordat we er naartoe gaan nemen we contact op voor een planning van dan en dan komen we langs. Dan hebben we een gesprek met de auditee en dat kan fysiek zijn of telefonisch. Dit en dit gaan we doen. Hoe kijk je er tegenaan? Wat is voor jou belangrijk? Wat moeten we in die audit voor jou meenemen, zodat het interessant voor jou wordt? En dan maken we de detailplanning en dan gaan we aan de slag.
162 Ja, in het vooronderzoek moet je kijken van wat zijn de belangrijkste risico’s van het audit object. Zodat je daaraan je referentiemodel opbouwt, zodat je dat goed kan toetsen.
Dan kom je uiteindelijk op de audit zelf aan?
Ja, dit hoort wel allemaal bij een audit, maar dan ga je wat ze noemen het veldwerk doen. Dan ga je op locatie onderzoek verrichten. Met mensen praten, data analyseren, rapporten lezen op basis van wat je in dat referentiemodel hebt vastgelegd wat je zou moeten gaan onderzoeken.
Dit is een duidelijk verhaal over het audit proces. Een groot deel komt overeen wat ik eerder heb gehoord en er zijn een aantal punten die het audit proces mij wat scherper stellen. Daar ben ik erg blij mee. Dan een ander onderdeel waar mijn onderzoek over gaat zijn ERP systemen. Ik neem aan dat je bekend bent met ERP systemen?
Ja, wat bedoel je met ERP systemen, want er zijn veel gedachtes over?
Met een ERP systeem is eigenlijk dat zo veel mogelijk onderdelen van een proces geïntegreerd zijn in 1 systeem en dus gebruik maken van 1 centrale database. Wat daar dan verder typisch van is, is dat de data maar op 1 punt in het systeem wordt gebracht. En dat daarbij ook de data wordt ingebracht door verschillende afdelingen op verschillende locaties en dat de communicatie dus ook steeds meer plaatsvindt via het systeem. Er tegenover staat het geheel niet geïntegreerde systemen, dan krijg je dat als er iets ontvangen wordt in het warehouse, dan gaat er een briefje naar accounting en dan toetst accounting dezelfde informatie nog een keer in, maar dan in het accounting systeem. Daar gaat het andere deel van mijn onderzoek over. Eigenlijk de omslag tussen niet ERP systemen en ERP systemen. In hoeverre dat impact heeft op de risk assessment of de audit planning zelf. Heb je daar in eerste instantie al een idee over?
In mijn praktijk heeft dat geen invloed. Translation: It does not have an impact in my experience.
Dus het heeft geen invloed op de risk assessment?
Wij werken in Nederland bijvoorbeeld met SAP. En theoretisch zou het kunnen zijn dat als je met zo’n systeem werkt dat het risico dan minder is. Alleen ligt het er aan hoe je de risico analyse doet. Wij kijken meer wat zijn de belangrijkste risico’s en dan kan het zo zijn dat als je een goed IT systeem hebt, dat het risico wat minder is. Maar dat is maar 1 van de factoren. Translation: And theoretically could it be that if you work with such a system the risk is less. It is only how you do with the risk analysis. We look more at what the main risks are and then it may be that if you have a good IT system, that the risk will be less. But that is only one of the factors. En bij ons is het IT landschap dusdanig verspreid dat het impact van ERP niet heel groot is. Dus voor ons speelt dat niet een belangrijke rol.
Dan wil ik graag een paar dingen bij je voorleggen om te zien wat jouw gedachtegang daarbij is. Ten eerste op de jaarlijkse risk assessment en de jaarlijkse audit planning, zie je daar een impact?
Van ERP systemen? Als je een ERP systeem hebt, dan vormt dat een groot onderdeel van je organisatie en je risico. Dus dat is een onderdeel dat je gaat bekijken. Translation: If you have an ERP system, then that’s a big part of your organization and risk. So that’s the part that you will be looking at. Afhankelijk van het risico dat je ziet aan het systeem aan de ene kant. Aan de andere kant, als het ERP systeem goed werkt, dan kan het zo zijn dat je zegt we hoeven er minder naar te kijken. Translation: if your ERP system functions well, then it might be that we have to review it less.
Wat ik me voorstel is dat als een systeem werkt en er wordt niet aan gesleuteld, dan blijft het goed werken. Dus dan hoef je alleen nog maar een paar samples te testen om te zien dat het nog steeds zo werkt. Dan zou het impact groot kunnen zijn, maar omdat je ervaring erin hebt, wordt in het systeem je risico beperkt.
Ja, zeker theoretisch klopt dat.
Daarentegen als je op gedetailleerd niveau, op auditee niveau, gaat kijken, zijn er misschien een paar punten dat het wel impact kan hebben op je audit planning. Bijvoorbeeld dat de data in het systeem worden gezet door non financials, maar rolt hun data entry wel op in de financial statement. Zie je dat als een risico richting de audit planning?
Ja en nee. De veronderstelling was dat je systeem goed was en dat je maar een paar testjes moet doen, want dan is het goed. Dus dan heeft het er geen effect op. Als je wilt weten of het ERP systeem betrouwbaar is, de basisregistraties betrouwbaar zijn, dan zal je daar onderzoek naar moeten doen. En wat is de opzet van de inrichting op operationeel niveau. Dus iemand die inkopen registreert moet keurig conform de AO/IC regels dat doen en er moet controle zijn op de invoer of een 4 ogen principe in welke vorm dan ook om te kijken of dat gebeurd. Je zal toch periodiek als internal audit afdeling moeten kijken of netjes de opzet, het bestaat en werking functioneert. Want als de registratie niet goed is van de basisgegevens in je ERP systeem, dan kan je nooit steunen op de informatie die eruit komt. Dus het blijft altijd een aspect van onderzoek. Vandaar dat ik zei dat in theorie is dat zo, maar je moet kijken in praktijk hoe dat gaat. Alleen al bijvoorbeeld de rechten die aan mensen worden gegeven die toegang hebben tot het systeem. Theoretisch kan je dat met toegangstabellen allemaal organiseren, maar in welke mate wordt er bij het toekennen van rechten strikt de regel gevolgd? Een manager moet autoriseren, maar let hij daar wel voldoende op dat hij de juiste mensen de juiste rechten geeft en niet te veel of de verkeerde. Dat zijn een aantal aspecten die wij als auditor er wat van zouden moeten vinden. Translation: For example the rights that are given to people who have access to the system. Theoretically you can organize it all through access tables, but to what extent are granting rights strictly followed? A manager should authorize, but does he pay enough attention to give the right
164 people the appropriate rights and not too much or the wrong ones. Those are some aspects which we should find some of it as an auditor.
Dan komt de nadruk op de segregation of duties?
Dat is een belangrijk onderwerp.
Denk je dat er dan ook een toename is in het onderzoek waar de data entry plaatsvindt? Of dat de samples groter worden?
Dat ligt er een beetje aan. Naarmate het systeem groter is en belangrijker, naarmate er meer data wordt ingevoerd, zal je steekproef groter worden, omdat de populatie groter is. Als er minder frequent en minder aantallen in te voeren is, dan hoef je minder grote steekproeven te nemen. Als je dagelijks honderden registraties hebt, dan zal je steekproef ook groter moeten zijn. Dat is gewoon een kwestie van statistiek. Afhankelijk van de omvang, frequentie en van het risico. Die drie dingen spelen dan een rol.
Als ik daar tegenover stel dat als je geen ERP systeem hebt, dan heb je verschillende databases en doordat je de verschillende databases kan vergelijken, heb je ook een controle methode.
Je kan dingen met elkaar vergelijken, maar de vraag is dan wat dan je norm is. Welke database wordt dan als goed gezien?
Eens, maar als je afwijkingen ziet, dan kan de controller van die entiteit daar induiken. Terwijl als je een ERP systeem gebruikt, met 1 database, dan heb je die controlemethode niet.
Eens.
Zie je dat als een impact op je risico analyse?
Dan vergelijk je ERP omgevingen met niet ERP omgevingen. Je doet de risico analyse op je object van onderzoek. Dus als een ERP systeem mijn object van onderzoek is, dan heb ik 1 database en dan moet ik zeker weten dat de invoer goed is. Als mijn subject van onderzoek 2 databases zijn, dan moet ik nog steeds zorgen dat die invoer goed is. Ik moet zeker weten dat wat er in die databases staan, dat dat klopt. Dus ik moet toch elke database bekijken of die klopt. Tenminste dat de invoer goed is. Want als die niet goed is, dan heb ik er zo weinig aan.
Begrijp ik het dan goed dat je dan twee databases hebt, waarvan je de data input moet controleren en daardoor eigenlijk twee samples krijgt van de input die je moet controleren?
Wacht even, want we raken in een spraakverwarring. Je hebt twee databases en deels staat daar dezelfde informatie in. Deels zou daar dezelfde informatie moeten instaan. En wat is nou precies de vraag?
Als je twee verschillende databases hebt, dan heb je ook een controlemethode, doordat je de twee databases met elkaar kan vergelijken. Dan kan je data input controleren. Terwijl als je een
ERP systeem hebt, de data entry op 1 punt gebeurd en dat je eigenlijk geen controlemethode hebt om te controleren of de data er goed in komt.
Maar de ene database staat op getal 8 en de andere staat op getal 9, welke is goed?
Dan weet je in ieder geval dat ze niet gelijk zijn. Dan weet je dat je daarop kan concentreren om