Conclusies

Om als interne audit professional een weloverwogen beslissing te kunnen nemen over het hanteren van een specifieke audit methodologie, is het van belang de term ‘kwaliteit’ te definiëren. De belangrijkste drijfveer om een Traditionele Audit methodologie te wijzigen naar een Agile Audit methodologie zou immers kwaliteit van operationele audit onderzoeken moeten zijn.

Het doel of de functie van een interne audit is om een onafhankelijke, objectieve zekerheid en adviserende rol te vervullen welke is gericht op het toevoegen van waarde en verbeteren van het functioneren van een organisatie. De kwaliteit van een operationele audit in het kader van dit onderzoek is derhalve de mate waarin een audit bijdraagt aan het vervullen van deze functie. Beredenerend vanuit de functie van interne audit, dient het uiteindelijke product van audit onderzoeken relevant en betrouwbaar te zijn. Relevantie van audit onderzoeken bepalen de mate waarin de resultaten een bijdrage leveren aan het verbeteren van de effectiviteit van risico management, controle en bestuur processen van een organisatie. Een belangrijk aspect van relevantie is tijdigheid. Wanneer van primaire processen snelheid, dynamiek en klant centriciteit wordt verlangd, dan kan interne audit hieraan bijdragen door risicogericht sneller te signaleren en resultaten uit onderzoeken te communiceren.

Betrouwbaarheid of deugdelijkheid van onderzoek omvat het aspect van kwaliteit dat de resultaten onafhankelijk tot stand moeten zijn gekomen en voldoende onderbouwd moeten door middel van deugdelijk onderzoek.

Een Agile Audit methodologie zal de relevantie van audit onderzoeken verhogen ten opzichte van een traditionele gefaseerde audit methodologie. Dit komt voornamelijk door het kort cyclisch kunnen leveren van resultaten door middel van een iteratief proces, verbeterde samenwerking binnen teams en verbeterde interactie met de eindgebruiker. Met name audit objecten in dynamische omgevingen zoals bijvoorbeeld project audits kunnen hiervan profiteren.

41 kunnen bij de afloop van elke sprint de meest risicovolle bevindingen gerapporteerd worden terwijl bij de traditionele audit methode bevindingen pas op zijn vroegst na twee maanden gerapporteerd worden. Een bijkomstigheid is dat door het werken met sprints ook effectief gereageerd kan worden op veranderende inzichten ten aanzien van de risico benadering van het object van onderzoek. Bevindingen en informatie verkregen gedurende een audit kan leiden tot nieuwe inzichten ten aanzien bijvoorbeeld de ‘control environment’ waardoor risico inschattingen wijzigen.

Werkprogramma’s kunnen gewijzigd moeten worden doordat controle maatregelen niet effectief blijken en compenserende maatregelen geëvalueerd moeten worden, of doordat ‘root cause’ analyses uitgevoerd moeten worden die initieel niet in de scope van de originele audit behoorden. Het continue kunnen aanpassen van de audit aanpak en de mogelijkheid om verkregen informatie te kunnen gebruiken om de risico analyses te herzien of valideren, wordt bij een Agile Audit

methodologie gefaciliteerd en daardoor wordt door het gehele team continue een op risico gebaseerde benadering toegepast waarbij gedurende de gehele audit de auditor zich afvraagt of werkzaamheden nog steeds de juiste focus op relevantie bevatten. Bij de traditionele audit methodologie worden alle keuzes aan het begin van een audit gemaakt en werkprogramma’s

worden tot in details uitgewerkt. Het aanpassen van risico analyses en het werkprogramma wordt bij de traditionele audit aanpak ervaren als bureaucratisch vanwege documentatie vereisten en

benodigde goedkeuringen en wordt derhalve door (IT) audit professionals liever vermeden. De nadruk op samenwerking binnen teams, de nadruk op het verbeteren van de samenwerking, en de vereiste communicatie tussen teamleden tijdens verschillende Agile Scrum meetings draagt bij aan samenwerking binnen audit teams en tussen verschillende audit disciplines zoals IT, financiële en operationele auditors. Verbeterde samenwerking bevordert de holistische benadering van audit objecten en bevindingen. Het feit dat teamleden gedurende het proces betrokken worden bij beslissingen over aanpak en uitvoering, zorgt ervoor dat meer eigenaarschap wordt ervaren ten aanzien van de audit resultaten. De verhoogde interactie met de auditee bij een Agile Audit methodologie door middel van sprint review meetings, draagt bij aan de juistheid van bevindingen waardoor het draagvlak vanuit de auditee verbeterd. Draagvlak vanuit de auditee draagt bij aan de kwaliteit van opvolging die gegeven wordt aan de geïdentificeerde risico’s en derhalve aan het behalen van bedrijfsdoelstellingen.

Een Agile Audit methodologie zal eveneens bijdragen aan tijdige documentatie van werkzaamheden, tijdige bevestiging van de juistheid van bevindingen door auditees, en tijdige supervisie waardoor de betrouwbaarheid van de bevindingen wordt verhoogd en de deugdelijkheid van het onderzoek is gewaarborgd. Een gedeeltelijke oplevering per sprint en de toepassing van de voorgestelde ‘Definition of Done’ zal waarborgen dat bij de afronding van elke sprint de documentatie is

42 uitgevoerd, gereviewed, bevindingen zijn gecommuniceerd en bevestigd. Uit de praktijk blijkt dat de huidige gefaseerde aanpak en de tijdsdruk waaronder werkzaamheden worden uitgevoerd, er toe leidt dat de documentatie en review van de documentatie niet de hoogste prioriteit heeft en derhalve pas laat in het proces of op het laatste moment plaatsvinden.

Kortom wanneer een Agile Audit methodologie op een juiste manier wordt toegepast dat zal de toegevoegde waarde van audit rapportages verbeteren voor de kwaliteitsaspecten relevantie en betrouwbaarheid.