Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits

De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken dat traditionele auditmethoden steeds vaker tekortschieten. Auditteams moeten niet alleen controleren, maar ook richting geven en direct waarde toevoegen aan de organisatie. Auditmethodiek 2.0 is ontwikkeld om precies dat te doen: een gestructureerde, AI-ondersteunde aanpak die audits relevant, deugdelijk en doelmatig maakt en daarmee direct bijdraagt aan effectieve risicobeheersing en doelrealisatie.

Auditmethodiek 2.0

Ferocia heeft Auditmethodiek 2.0 ontwikkeld om auditors en auditmanagers te helpen voldoen aan de snel stijgende eisen van het vak. Organisaties verwachten tegenwoordig snelle, bruikbare inzichten die direct bijdragen aan effectieve risicobeheersing en doelrealisatie. In de praktijk gaat dit nog vaak mis: voorbereidingen duren te lang of blijven te oppervlakkig, het taalgebruik tussen audit en organisatie sluit niet aan, bevindingen in rapportages worden niet herkend of erkend en actielijsten groeien zonder zichtbaar resultaat.

Auditmethodiek 2.0 biedt hiervoor een gestructureerde, praktijkgerichte oplossing. De methodiek doorloopt drie fasen: voorbereiding, veldwerk en rapportage, en vertaalt elke stap naar concrete werkwijzen, ondersteund door speciaal ontwikkelde AI-agents die snelheid en kwaliteit verhogen. De methodiek sluit naadloos aan op de Global Internal Audit Standards (GIAS), zet de opdrachtgever centraal zonder concessies aan onafhankelijkheid en zorgt voor rapportages waar de organisatie daadwerkelijk verder mee kan.

Auditmethodiek 2.0 is ontwikkeld voor auditors en auditmanagers die efficiënt relevante en kwalitatief hoogwaardige audits willen uitvoeren. Met deze methodiek krijgen zij een bewezen aanpak in handen die inspeelt op de informatiebehoefte van de organisatie en verbeteringen versnelt.

Kwaliteitseisen voor audits

Een goede internal audit voldoet aan drie fundamentele kwaliteitseisen: relevantie, deugdelijkheid en doelmatigheid. Deze eisen vormen samen de basis voor audits die daadwerkelijk bijdragen aan effectieve risicobeheersing en doelrealisatie.

Relevantie

De audit sluit aan op de kennisbehoefte van de opdrachtgever. Alleen wanneer de audit goed is afgestemd op de vragen en zorgen van de opdrachtgever, levert de audit bruikbare inzichten op.

Relevantie begint bij een grondige verkenning van de informatiebehoefte van de opdrachtgever: wat moet deze audit opleveren en waarom is dat nu van belang?

Deugdelijkheid

De audit is methodologisch goed onderbouwd. Dat betekent dat de uitkomsten zijn gebaseerd op meerdere bronnen en dat de gevolgde werkwijze transparant en herleidbaar is.

Een deugdelijke audit gebruikt een logisch opgebouwd referentiemodel, een goed doordacht testplan en past triangulatie toe bij de gegevensverzameling. Hierdoor ontstaan conclusies die overtuigend zijn.

Doelmatigheid

De audit wordt uitgevoerd met een efficiënte inzet van tijd en middelen. Er is een goede verhouding tussen de scope en diepgang van de audit enerzijds en de capaciteit en doorlooptijd anderzijds.

Doelmatigheid vraagt om scherpe keuzes: niet alles hoeft onderzocht te worden. De audit moet snel tot de kern komen, zonder overbodige inspanning of vertraging.

Auditmethodiek 2.0 is ontwikkeld om gericht invulling te geven aan deze kwaliteitseisen.

De drie fasen van een audit

Een effectieve audit doorloopt drie opeenvolgende fasen: voorbereiding, veldwerk en rapportage.

In de voorbereidingsfase wordt de basis gelegd voor een succesvolle uitvoering. De auditor voert een vooronderzoek uit, inventariseert de kennisbehoefte van de opdrachtgever, stelt de scope en afbakening vast, formuleert de auditdoelstelling en stelt een referentiemodel, testplan en auditplanning op. Dit mondt uit in een door de opdrachtgever goedgekeurd auditontwerp. Zo wordt geborgd dat de audit relevant is en op een deugdelijke en doelmatige manier wordt uitgevoerd.

De veldwerkfase draait om het systematisch verzamelen en analyseren van gegevens. De auditor past de in het testplan vastgelegde onderzoeksmethoden toe, zoals interviews, documentanalyses en observaties. De verzamelde gegevens worden vastgelegd in een datamatrix, die de basis vormt voor onderbouwde conclusies.

In de rapportagefase worden de bevindingen vertaald naar heldere conclusies en, waar nodig, verbeteracties. Door bevindingen te bespreken met de opdrachtgever en eventueel de proceseigenaar, en samen oorzaken en verbeteracties te formuleren, ontstaat draagvlak voor opvolging. Binnen Auditmethodiek 2.0 wordt deze fase versterkt door het gebruik van de SPROA-systematiek en het faciliteren van workshops gericht op het achterhalen van oorzaken, zodat verbeteracties structureel effect hebben.

Fase 1: Voorbereiding

De voorbereidingsfase van Auditmethodiek 2.0 bestaat uit acht opeenvolgende stappen die samen waarborgen dat audits relevant, deugdelijk en doelmatig worden uitgevoerd.

Stap 1. Uitvoeren vooronderzoek

Het vooronderzoek vormt het startpunt van de audit en heeft als doel om in korte tijd een helder beeld te krijgen van het auditobject, de mogelijke problematiek en het krachtenveld. Dit vormt de basis voor een goed gefundeerde scope en afbakening.

De auditor beantwoordt daarbij drie clusters van vragen:

Auditobject

• Wat is de aard en functie van het auditobject?

• Uit welke deelobjecten bestaat het auditobject?

• Welke aspecten zijn van belang?

• Welke functionarissen spelen een rol?

• Welke (wettelijke en interne) kaders zijn van toepassing?

Problematiek

• Welke (mogelijke) problemen spelen er?

• Wat zijn de achtergronden of oorzaken van deze problemen?

• Welke bijdrage moet de audit leveren?

Krachtenveld

• Welke interne en externe factoren hebben invloed op de audit?

• Welke belangen, verwachtingen en gevoeligheden spelen er bij stakeholders?

De auditor combineert in deze stap twee methoden om bovenstaande vragen te beantwoorden:

• Documentstudie, zoals beleidsstukken, procesbeschrijvingen, werkinstructies, rapportages, risicoregisters en relevante wet- en regelgeving.

• Interviews met sleutelpersonen, zoals proceseigenaren, teamleiders, en coördinatoren.

AI kan in deze stap ondersteunen bij het snel in beeld brengen van mogelijke objectkenmerken, problemen en belanghebbenden. Met Ferocia’s AI-client kan dit op drie niveaus: door alleen het auditobject in te voeren, de branche te vermelden voor gerichtere output, of interne documenten toe te voegen. Hoe meer informatie u deelt, hoe specifieker de output, maar ook hoe meer (en mogelijk gevoeligere) gegevens u prijsgeeft.

Stap 2. Inventariseren kennisbehoefte

De tweede stap in de voorbereidingsfase is het inventariseren van de kennisbehoefte bij de opdrachtgever. Door middel van een interview met de opdrachtgever en eventueel de proceseigenaar wil de auditor achterhalen wat het doel is van het auditobject, wat eventuele problematiek is waar tijdens de audit rekening mee moet worden gehouden en welke inzichten de opdrachtgever verwacht.

Om dit scherp te krijgen, beantwoordt de auditor samen met de opdrachtgever drie clusters van vragen:

Auditobject

• Wat is volgens de opdrachtgever het doel van het auditobject?

• Welke aspecten zijn volgens de opdrachtgever van belang?

Problematiek

• Welke incidenten hebben zich voorgedaan?

• Welke (mogelijke) problemen ziet de opdrachtgever?

• Waar maakt de opdrachtgever zich zorgen over?

Verwachte inzichten

• Welke specifieke vragen moet de audit volgens de opdrachtgever beantwoorden?

• Wat gaat de opdrachtgever met deze inzichten doen?

Bij het bepalen van de kennisbehoefte is het relevant om onderscheid te maken tussen twee typen audits, de systeemtoets en de performancetoets.

• Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen dat doelstellingen structureel worden gerealiseerd.

• Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving?

Systeemtoets vs. performancetoets

De kennisbehoefte kan afkomstig zijn van een intern gerichte opdrachtgever, zoals de raad van bestuur, directie of management, of van een extern gerichte opdrachtgever, zoals de raad van commissarissen of de externe accountant. Intern gerichte opdrachtgevers kiezen vaker voor systeemtoetsen, omdat deze inzicht geven in de kwaliteit van de beheersing en daarmee concrete handvatten bieden om processen en risicobeheersing verder te verbeteren. Extern gerichte opdrachtgevers hebben doorgaans meer behoefte aan performancetoetsen, zodat zij de resultaten kunnen vergelijken met andere organisaties of met de uitkomsten van eerdere audits.

Soorten kennisbehoefte

Overigens is de praktijk minder zwart-wit dan hierboven geschetst. Zo stellen sommige regels (zoals NEN-normen) ook eisen aan het systeem en toetst de externe accountant, voorafgaand aan de controle van de jaarrekening, het totstandkomingsproces van de jaarrekening, om zodoende inzicht te krijgen in de risico’s.

Stap 3. Vaststellen scope en afbakening

Het vaststellen van de scope en afbakening is een belangrijke stap in de voorbereidingsfase van de audit en is gebaseerd op de uitkomsten van het vooronderzoek en het gesprek met de opdrachtgever. Het bepaalt waar het onderzoek zich op richt en welke onderdelen bewust buiten beschouwing blijven. Een heldere scope verhoogt de kans dat de audit aansluit op de kennisbehoefte van de opdrachtgever, zorgt voor focus en voorkomt onnodig werk.

Scope

De scope beschrijft welk auditobject en welke aspecten binnen de reikwijdte van de audit vallen en waarom.

• Auditobject: dit is waar je naar kijkt. Een auditobject kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn.

• Aspect: dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving.

  Scope

Afbakening

De afbakening beschrijft welke gerelateerde auditobjecten en aspecten buiten de audit vallen en waarom. Dit kan bijvoorbeeld zijn omdat ze niet relevant zijn voor de actuele kennisbehoefte, omzet ze recent al onderzocht zijn, of omdat er onvoldoende middelen beschikbaar zijn om ze te onderzoeken. Het expliciet vaststellen van de afbakening is minstens zo belangrijk als het vaststellen van de scope: het voorkomt onduidelijkheid en teleurstelling bij de opdrachtgever wanneer onderwerpen achteraf buiten beschouwing blijken te zijn gebleven.

Stap 4. Formuleren auditdoelstelling

De vierde stap in de voorbereidingsfase is het formuleren van de auditdoelstelling. Deze stap volgt logisch op het vaststellen van de scope en afbakening, omdat de doelstelling direct gebaseerd is op het gekozen auditobject, aspecten en het beoogde gebruik van de resultaten door de opdrachtgever.

Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Zo wordt voorkomen dat het onderzoek te breed of te smal wordt uitgevoerd of dat de opdrachtgever niet verder kan met de uitkomsten.

De auditdoelstelling bestaat uit vier onderdelen:

• Het auditobject, inclusief eventuele deelobjecten.

• De aspecten die binnen de scope vallen (bijvoorbeeld tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving).

• De opdrachtgever, die de resultaten van de audit ontvangt en ermee aan de slag gaat.

• De relevantie (wat de opdrachtgever met de resultaten van de audit wil bereiken, bijvoorbeeld het onderbouwd kunnen besluiten of een proces geoptimaliseerd of uitbesteed moet worden).

De auditdoelstelling wordt geformuleerd volgens het vaste stramien:

“Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat [aspecten], teneinde [opdrachtgever] in staat te stellen [relevantie].”

Voorbeeld

Het doel van de audit is vaststellen in hoeverre het campagnebeheerproces waarborgt dat marketingcampagnes effectief, doelgroeppgericht en conform wet- en regelgeving worden uitgevoerd, teneinde de marketingmanager in staat te stellen de interne beheersing te verbeteren.

Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van een heldere auditdoelstelling heeft Ferocia een AI-agent ontwikkeld. Door het auditobject, de aspecten die binnen de scope vallen en de opdrachtgever in te voeren, genereert de AI-agent direct een zorgvuldig geformuleerde doelstelling die voldoet aan de vereiste opbouw.

Stap 5. Opstellen referentiemodel

De auditdoelstelling vormt het uitgangspunt voor het opstellen van het referentiemodel. Dit model beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises.

Het referentiemodel wordt niet achter het bureau opgesteld, maar in nauwe samenwerking met de opdrachtgever en/of de proceseigenaar. De eerste lijn is immers verantwoordelijk voor de kwaliteit van de risicobeheersing die moet waarborgen dat doelstellingen gerealiseerd worden. Co-creatie vergroot de kans dat de eerste lijn het referentiemodel herkent, erkent en er daadwerkelijk mee aan de slag gaat.

Het referentiemodel bestaat bij een systeemtoets uit zes elementen:

• Auditobjecten

• Beheersdoelstellingen

• Risico’s

• Classificatie risico’s

• Beheersmaatregelen

• Classificatie beheersmaatregelen

Auditobjecten

Een auditobject is het (deel)object waarop dit deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn.

Beheersdoelstellingen

Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als:

“Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].”

Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van heldere beheersdoelstellingen heeft Ferocia een AI-agent ontwikkeld. Door de aspecten uit de auditdoelstelling een voor een in te voeren, genereert de AI-agent direct per aspect een zorgvuldig geformuleerde beheersdoelstelling die voldoet aan de vereiste opbouw.

Risico’s

Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen.

Een risico wordt altijd opgebouwd uit drie elementen:

• Gebeurtenis: wat kan er misgaan?

• Oorzaak: waardoor kan dit misgaan?

• Gevolg: wat is de impact als het misgaat? Doorgaans betreft dit het niet behalen van de beheersdoelstelling.

Formuleer risico’s als volgt:

“Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].”

Classificatie risico’s

Risico’s worden geclassificeerd op basis van kans en impact.

• Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk.

• Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen.

Er wordt gewerkt met een vijfpuntsschaal voor zowel kans als impact. Door kans en impact met elkaar te vermenigvuldigen, ontstaat een risicoscore tussen 1 en 25. Hoe hoger de score, hoe groter de prioriteit om het risico te beheersen.

Beheersmaatregelen

Per risico worden een of meer beheersmaatregelen vastgesteld. Deze maatregelen zijn erop gericht het risico te mitigeren door óf de kans op het optreden van de oorzaak te verkleinen, óf de impact van het gevolg te beperken. Daarmee vergroten beheersmaatregelen de waarschijnlijkheid dat de beheersdoelstellingen daadwerkelijk worden gerealiseerd. Ze vormen de kern van effectieve risicobeheersing.

We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw:

“[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging].”

Classificatie van beheersmaatregelen

Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces:

• Preventief: voorkomt dat een fout of incident optreedt.

• Detectief: signaleert dat er iets fout is gegaan.

• Correctief: corrigeert fouten of herstelt de situatie.

Referentiemodel bij een systeemtoets

Voorbeeld

• Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers

• Beheersdoelstelling: Beheersmaatregelen bieden een redelijke mate van zekerheid dat alle facturen tijdig worden verwerkt.

• Risico: Er bestaat een risico dat er onvoldoende capaciteit is om de facturen van ingehuurde ZZP’ers tijdig af te handelen als gevolg van inadequate personeelsplanning, wat kan leiden tot te late betalingen.

• Classificatie risico: 9/25 (kans: 3/5, impact: 3/5)

• Beheersmaatregel: De teamleider stelt maandelijks een personeelsplanning op aan de hand van de verwachte hoeveelheid facturen en de verlofplanning en legt deze als zodanig vast in het planningssysteem.

• Classificatie beheersmaatregel: Preventief

Het referentiemodel bij een performancetoets is eenvoudiger van opzet dan bij een systeemtoets. Waar een systeemtoets de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen analyseert, richt een performancetoets zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald.

Bij het formuleren van de norm doorloopt de auditor een aantal denkstappen. Deze stappen helpen om scherp te krijgen wat er écht toe doet en hoe dit meetbaar kan worden gemaakt. Het gaat hier niet om losse onderdelen die in het referentiemodel worden opgenomen, maar om een denkkader waarmee de auditor tot een heldere en toetsbare norm komt.

De denkstappen zijn:

• Kritische succesfactor (KSF): het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken.

• Maatstaf: de wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid.

• Norm: de streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen.

Voorbeeld

• Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers

• Kritische succesfactor: Tijdigheid

• Maatstaf: Aantal dagen

• Norm: 99% binnen 30 dagen

Referentiemodel bij een performancetoets

Hoewel systeemtoetsen en performancetoetsen verschillende invalshoeken hebben, kunnen zij binnen één referentiemodel worden gecombineerd. Een gecombineerde opzet biedt zowel inzicht in de kwaliteit van de interne beheersing (systeemtoets) als in de mate waarin doelstellingen daadwerkelijk worden gerealiseerd (performancetoets).

Ook in deze stap kan AI waardevolle ondersteuning bieden. Ferocia heeft een AI-agent ontwikkeld die op basis van het auditobject en de beheersdoelstelling, suggesties doet voor risico’s en bijbehorende beheersmaatregelen, inclusief hun classificatie. Hoe specifieker de context wordt ingevoerd (bijvoorbeeld branche, interne werkinstructies of relevante wet- en regelgeving), hoe beter de uitvoer aansluit op de praktijk van de organisatie. Standaard identificeert de AI-agent per beheersdoelstelling tien risico’s, elk voorzien van drie beheersmaatregelen inclusief classificatie.

Stap 6. Opstellen testplan

Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt.

Er zijn drie verschillende methoden om dit te onderzoeken:

• Observatie

• Inhoudsanalyse

  • Documenten

  • Registraties (integraal of steekproef)

• Ondervraging van personen

  • (Groeps)interviews (topic based)

  • Enquêtes

De keuze voor de onderzoeksmethode hangt af van wat je op basis van de omschrijving van de beheersmaatregel wilt vaststellen. Vaak is al direct te herleiden welke methode het meest voor de hand ligt en de grootste betrouwbaarheid biedt.

Voorbeeld

Als uit de beheersmaatregel blijkt dat functie X een bepaalde handeling moet uitvoeren en deze moet vastleggen in systeem Y, dan is het logisch om functie X te interviewen en in systeem Y te controleren of de vastlegging daadwerkelijk plaatsvindt. Indien mogelijk kan ook observatie worden toegepast om het proces rechtstreeks waar te nemen.

Tests bij systeemtoetsen worden als volgt geformuleerd:

“Stel vast door middel van [methode(n) voor gegevensverzameling] dat [te toetsen beheersmaatregel] bestaat en werkt.”

Tests bij performancetoetsen worden als volgt geformuleerd:

“Stel vast door middel van [methode(n) voor gegevensverzameling] in hoeverre [norm].”

De betrouwbaarheid van de audit wordt verhoogd door zoveel mogelijk gebruik te maken van triangulatie: het combineren van verschillende onderzoeksmethoden, bronnen en/of onderzoekers bij het beoordelen van een beheersmaatregel. Triangulatie zorgt ervoor dat bevindingen worden bevestigd vanuit meerdere invalshoeken, wat de kans op een vertekend beeld verkleint.

Tijdens deze stap wordt ook een bronnenmatrix opgesteld. Een bronnenmatrix geeft in één overzicht weer welke bronnen worden gebruikt om iedere beheersmaatregel te testen. Hieruit blijkt dus ook gelijk of triangulatie is toegepast.

Bronnenmatrix

 Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd.

Testplan

AI kan je helpen bij het opstellen van het testplan. Ferocia heeft een AI-agent ontwikkeld die, op basis van het referentiemodel, automatisch een eerste opzet van het testplan genereert.

Stap 7. Opstellen auditplanning

De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren.

Voorbeeld auditplanning

Ook wordt een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het totaal aantal uren in deze individuele urenplanningen moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning.

Voorbeeld urenplanning per auditor

Stap 8. Samenstellen auditontwerp

In deze laatste stap worden de resultaten van alle voorgaande fasen samengevoegd tot één integraal document: het auditontwerp. Het auditontwerp bestaat uit:

• Aanleiding en kennisbehoefte

  • Auditobject

  • Problematiek

  • Krachtenveld

  • Kennisbehoefte

• Scope en afbakening

• Auditdoelstelling

• Auditplanning

• Bijlage: Referentiemodel en testplan

Let op! Stem het auditontwerp altijd af met de opdrachtgever. Pas na akkoord kan het veldwerk van start gaan.

Fase 2: Veldwerk

In de tweede fase wordt het testplan uitgevoerd. Dit houdt in dat documentanalyses en steekproeven van registraties worden uitgevoerd, en dat de geplande observaties, interviews en enquêtes plaatsvinden.

Stap 1. Verzamelen van gegevens

De verzamelde gegevens/data worden vastgelegd in een datamatrix. Deze matrix is gebaseerd op de bronnenmatrix. Waar in de bronnenmatrix kruisjes aangeven welke bronnen per beheersmaatregel worden geraadpleegd, bevat de datamatrix per bron de verzamelde gegevens die als basis dienen voor de analyse.

Datamatrix

Stap 2. Analyseren van gegevens

Om de verzamelde gegevens te kunnen analyseren, worden ze geclassificeerd volgens een scoresysteem. Veelal wordt hiervoor een vierpuntsschaal gehanteerd:

·      (--) De beheersmaatregel bestaat niet

·      (-) De beheersmaatregel werkt niet altijd

·      (+) De beheersmaatregel werkt vrijwel altijd

·      (++) De beheersmaatregel werkt altijd

Datamatrix met scores

Het is aan te raden om deze scores samen met een collega-auditor vast te stellen. Iedere auditor beoordeelt eerst zelfstandig de beheersmaatregelen, waarna de verschillen in scores gezamenlijk worden besproken. Op deze manier wordt consensus bereikt en de objectiviteit vergroot.

Op basis van de modus (meest voorkomende waarde) of mediaan (middelste waarde) wordt vervolgens het testresultaat per beheersmaatregel bepaald. Soms is dit niet goed mogelijk, omdat de scores van de verschillende bronnen te veel van elkaar afwijken. In dat geval is uitbreiding noodzakelijk. Indien dit niet mogelijk is, is het beter om niet te oordelen.

Eventueel kan er nog een wegingsfactor toegepast worden, als men bijvoorbeeld van mening is dat het antwoord van de directeur zwaarder of juist minder zwaar weegt dan het antwoord van de teamleider.

Datamatrix met testresultaat

Let op! Het samenvoegen (oprollen) van de testresultaten per beheersmaatregel tot een of meer conclusies is aan het professionele oordeel van de auditor.

De datamatrix vormt de brug tussen de test enerzijds en het testresultaat anderzijds in het testplan. Het is niet alleen een praktisch hulpmiddel om objectief te bepalen of een beheersmaatregel bestaat en werkt, maar ook een krachtig communicatiemiddel richting de opdrachtgever. Met de datamatrix kan de auditor helder onderbouwen waar bevindingen op zijn gebaseerd. Hierdoor wordt de auditrapportage volledig reproduceerbaar en ontstaat er automatisch een duidelijke audittrail.

Testplan en datamatrix

Fase 3: Rapportage

In de derde fase staat de rapportage centraal. Deze fase bestaat uit drie hoofdstappen: het opstellen en delen van het conceptrapport, het faciliteren van een workshop om oorzaken en verbeteracties vast te stellen, en het opstellen en delen van het definitieve rapport. Aansluitend volgt de monitoring van de afgesproken verbeteracties.

Stap 1. Opstellen conceptrapport

Het conceptrapport bevat:

• Aanleiding en kennisbehoefte

• Scope en afbakening

• Auditdoelstelling

• Conclusies

• Bijlage 1: Referentiemodel

• Bijlage 2: Nota van bevindingen

De eerste drie onderdelen en het referentiemodel kunnen grotendeels ongewijzigd uit het auditontwerp worden overgenomen. De conclusies worden gebaseerd op de testresultaten. Daarnaast wordt een nota van bevindingen opgesteld volgens de SPROA-methodiek: een gestructureerd analysekader waarmee problemen helder worden beschreven en de basis wordt gelegd voor structurele oplossingen.

In het conceptrapport worden per niet-werkende beheersmaatregel de eerste drie onderdelen van SPROA opgenomen:

• Situatie (S): Feitelijke bevindingen van de auditor zoals deze blijken uit de datamatrix en zijn vastgelegd in de testresultaten.

• Probleem (P): De constatering of er daadwerkelijk sprake is van een probleem ten aanzien van de beheersing (systeemtoets) of doelrealisatie (performancetoets), bedoeld om urgentie te creëren bij de opdrachtgever.

• Risico (R): De mogelijke gevolgen als het probleem zich voordoet (overeenkomstig het risico in het referentiemodel).

De O (Oorzaak) en A (Actie) volgen pas in het definitieve rapport.

Voorbeeld nota van bevindingen (SPR)

Het conceptrapport wordt gedeeld binnen de vooraf afgesproken kring, in ieder geval met de opdrachtgever.

Stap 2. Organiseren workshop

In de tweede stap organiseert de auditor een workshop met betrokken managers en medewerkers uit de eerste lijn. Tijdens deze sessie worden:

• de achterliggende oorzaken van ineffectieve beheersmaatregelen onderzocht;

• concrete, SMART-geformuleerde verbeteracties opgesteld (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden); en

• voor elke actie een verantwoordelijke eigenaar en deadline vastgesteld.

Door de verantwoordelijkheid voor de analyse en oplossingsvorming bij de eerste lijn zelf te beleggen, ontstaat meer draagvlak en eigenaarschap voor de uitvoering van de verbetermaatregelen.

Stap 3. Opstellen definitief rapport

In de derde stap wordt het conceptrapport aangevuld met de resultaten uit de workshop. Hiermee wordt de nota van bevindingen compleet gemaakt volgens de SPROA-methodiek, door de laatste twee onderdelen toe te voegen:

• Oorzaak (O): De achterliggende redenen van het probleem, zoals vastgesteld tijdens de workshop. Door de oorzaken weg te nemen, wordt een structurele oplossing mogelijk.

• Actie (A): De overeengekomen SMART-geformuleerde verbeteracties, inclusief de verantwoordelijke eigenaar en de afgesproken deadline.

Het definitieve rapport wordt gedeeld binnen de vooraf afgesproken kring, met de opdrachtgever en andere relevante stakeholders, zodat de verbeteracties formeel zijn vastgelegd en de uitvoering kan starten.

Voorbeeld nota van bevindingen (SPROA)

Stap 4. Monitoring

Na afronding van het definitieve rapport start de monitoringsfase. Het doel van monitoring is vaststellen of de overeengekomen verbeteracties daadwerkelijk zijn uitgevoerd en of de beoogde effecten zijn bereikt. Het gaat hierbij dus niet om het meten van inspanningen, maar om het beoordelen van effectiviteit: zijn de beheersmaatregelen nu wel in staat om het risico te mitigeren?

De eerste lijn is primair verantwoordelijk voor deze monitoring. Zij leggen periodiek vast welke verbeteracties zijn afgerond en tonen aan of de beheersmaatregelen naar verwachting blijvend zullen werken. Dit noemen we ook wel first line monitoring. Indien uit de monitoring blijkt dat een maatregel nog steeds ineffectief is, wordt direct een nieuwe oorzaakanalyse uitgevoerd en worden aanvullende verbeteracties geformuleerd.

De tweede lijn kan de voortgang steekproefsgewijs toetsen. De rol van de auditor (derde lijn) is het beoordelen van de kwaliteit van de eerste- en tweedelijnsmonitoring. Zo wordt gewaarborgd dat het risicobeheer structureel op orde blijft en iedere lijn haar eigen verantwoordelijkheid behoudt.

Conclusie

Auditmethodiek 2.0 biedt auditors een gestructureerde, praktijkgerichte aanpak waarmee audits niet alleen voldoen aan de hoogste kwaliteitseisen, maar ook aantoonbaar bijdragen aan doelrealisatie, effectieve sturing en robuuste risicobeheersing.

Door de audit op te bouwen in drie fasen: voorbereiding, veldwerk en rapportage – en elke stap te ondersteunen met concrete werkwijzen, AI-tools en herkenbaar taalgebruik, wordt de kans vergroot dat de opdrachtgever de uitkomsten herkent, erkent en benut. Een belangrijk fundament hierbij is het referentiemodel, dat in co-creatie met de eerste lijn wordt opgesteld. Dit zorgt voor een gemeenschappelijk begrippenkader, verhoogt de objectiviteit en beperkt discussies over bevindingen, omdat vooraf overeenstemming is bereikt over de normen waaraan wordt getoetst.

De inzet van de SPROA-methodiek in de rapportagefase en het faciliteren van workshops met de eerste lijn vergroten het draagvlak en leiden tot structurele verbeteringen. Door de monitoring bij de eerste lijn te beleggen en internal audit een toetsende rol te geven, verschuift de focus van inspanningscontrole naar effectmeting. Zo blijft het risicobeheer structureel geborgd, terwijl internal audit haar onafhankelijke rol behoudt en maximaal meerwaarde levert.

Kortom: auditors die kiezen voor Auditmethodiek 2.0 zetten een belangrijke stap naar relevantere en impactvollere audits.

Bronnen

• Bos, P. W., Korte, R. W., & Otten, J. (2017). Management control auditing: bijdragen aan doelrealisatie en verbetering. Auditing.nl.

• Driessen, A., & Molenkamp, A. (2012). Internal auditing: een managementkundige benadering. Vakmedianet.

• Hartog, P.A, Molenkamp A. & Otten J.H.M. (1992). Kwaliteit van administratieve dienstverlening: managen is integreren. Kluwer.