Internal Audit Conferentiedrs Huck Chuah RA RO
2© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
Internal Audit Conferentie “Back to the Future”
3© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
4© 2019 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.
Back to the future IA Survey 2019
5© 2019 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.
01 Demographics of the participants
Industrial
14%%
Finance
23%%
Services
8%%
Government
37%%
Others
18%%Public listed
23%
Other
corporates
31%
Public /
Non-profit
46%
Of participants belong to the Non-Profit & Government sector
Head of IA
34%
Internal
Auditor
46%
Other
20%
6© 2019 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.
65% of respondents
feel that Culture, behaviour and soft controls pose the greatest challenge for their company out of which
45% belong to
NPO/Government sector
Agility is increasingly becoming important for
organizations as 71%people consider it important within the IAF
63% use
Data Analyticsduring their Internal Audits
58% of IAFs include soft controls in
their annual audit plans and/or audit
methodology while 28% plan to do so
in their near future
26% IAFs consider
ineffective use of technologies on innovation in audits as their biggest challenge
89% IAFs
believe they have credibility within their organizations
89% IAF have an audit
methodology in line with Internal Audit Standards
60% IAFs tend to
agree that they continuously find new innovative ways to communicate audit results
02 Key survey findings
7© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
TOEGEVOEGDE WAARDE VAN INTERNAL AUDIT METEN
Heeft IA toegang tot hoogste leiding?
Is er voldoende ruggenspraak voor de IA?
Waar staat IA in het 3LOD model?Heeft IA voldoende budget en
middelen?
POSITIONERING
Is er een adequaat IA personeelsbeleid?
Heeft IA toegang tot specialisten?
Heeft IA senior en ervaren capaciteiten?
Begrijpt IA de 1e en 2e lijns-activiteiten?
Is IA voldoende getraind en opgeleid?
Is IA een onderdeel van de MD traject?
PROFESSIONALS
Gebruikt IA tools en technologie?
Hoe wordt de toegevoegde waarde van IA gepercipieerd?
Hoe volwassen is control in de organisatie?
Worden IA bevindingen tijdig opgevolgd?
Is IA aangesloten opnieuwe business risico’s?
Hoe ziet het IA meerjarenplan eruit?
PROCES
Is er voldoende feedback en lerend vermogen?
Wat is bestaansrecht van IA?
8© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
Assessment
DimensieNummer Standaard
Processen
1321 Use of “Conforms with the [Standards]”
1322 Disclosure of Nonconformance
2010 Planning
2040 Policies and Procedures
2060 Reporting to Senior Management and the Board
2200 Engagement Planning
2201 Planning Considerations
2210 Engagement Objectives
2220 Engagement Scope
2230 Engagement Resource Allocation
2240 Engagement Work Program
2300 Performing the Engagement
2310 Identifying Information
2320 Analysis and Evaluation
2330 Documenting Information
2340 Engagement Supervision
2400 Communicating Results
2410 Criteria for Communicating
2420 Quality of Communications
2421 Errors and Omissions
2430 Use of “Conducted in Conformance with the [Standards]”
2431 Engagement Disclosure of Nonconformance
2440 Disseminating Results
2450 Overall Opinions
2500 Monitoring Progress
2600 Communicating the Acceptance of Risks
Assessment
DimensieNummer Standaard
Positionering
1000 Purpose, Authority, and Responsibility
1010Recognition of the Definition of Internal Auditing [in the Internal Audit
Charter]
1100 Independence and Objectivity
1110 Organizational Independence
1111 Direct Interaction with the Board
1112 Chief Audit Executive Roles Beyond Internal Auditing
1120 Individual Objectivity
1130 Impairments to Independence or Objectivity
2000 Managing the Internal Audit Activity
2020 Communication and Approval
2050 Coordination
2100 Nature of Work
2110 Governance
2120 Risk Management
2130 Control
Professionals
1200 Proficiency and Due Professional Care
1210 Proficiency
1220 Due Professional Care
1230 Continuing Professional Development
1300 Quality Assurance and Improvement Program (QAIP)
2030 Resource Management
2070 External Service Provider and Organizational Responsibility [… for IA]
Processen
1310 Requirements of the Quality Assurance and Improvement Program
1311 Internal Assessments
1312 External Assessments
1320 Reporting on the Quality Assurance and Improvement Program
9© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
BEST
PRACTICES
DIVERSITEIT EN
INCLUSIVITEIT
Agility
INNOVATIEVE TOOLS
IA tools
Data & Analytics
MULTIDISCIPLINAIR /
EXPERTISE
Foresight & Insight
THEMA’s bij een Future proof Internal Audit
13
Agility van de IAF
11© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
Proces6. Evaluatie
en herijking
1. Strategische
risicoanalyse
2. Opstellen
Interne Audit
Plan
3. Uitvoering
Interne Audit
4. Rapportage
5. Opvolgingbevindingen
& issue tracking
Coördinatie en
afstemming
12© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
13© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
2. Dynamische Risicoanalyse – Audit planning
12
6:6
3:9
14© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit – referentiemodel RPA / Robotics
15© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit - referentiemodelKPMG REFERENTIE MODEL
Land Nederland
Business Unit XYZ
Proces […]
Datum […]
Achtergrond en scope van de audit
[…] […] Akkoord / Niet akkoord
Kritische Succes Factoren (KSF) gekoppeld aan doelstellingen (alleen 2 meest belangrijkste)
1. […]
2. […]
Details
Nr. Processtap Doel
(link met KSF)
Risico Risico
categorie▼
—Strategisch
—Compliance
—Operationeel
—Informatie
Soft Control
Activiteit▼
(cultuur en
gedrag):• Voorbeeldgedrag
• Transparantie
• Uitvoerbaarheid
• Bespreekbaarheid
• Aanspreekbaarhei
d
• Betrokkenheid
• Handhaving
Type Control▼
—Preventief
—Detectief
—Responsief
Root Cause Analyse
▼
Verantwoord
elijk persoon
▼
# Stap 1 ▼ ▼ ▼ ▼
… … ▼ ▼ ▼ ▼
Management doelstellingen
1. […]
2. […]
16© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit – referentiemodel soft controls# Processtap Doel Risico Risico
H/M/L
Verwachte beheersmaatregel
(SOLL)
Type
control
Verwachte ondersteunende soft control
(instrumenten)
Beoordeling
opzet H/M/L
1,1 Autoriseren
inkooporder
Autorisatie van de
inkooporder conform
de richtlijnen en
procedures
Ongeautoriseerde
inkooporders worden
ten onrechte
verwerkt
Autorisatie limieten bestaan
(in het systeem) waardoor
het juiste personeel PO's
kan goedkeuren binnen
gestelde limieten.
Preventief Helderheid:
Een procesbeschrijving
Richtlijnen en procedures
Bevoegdheidsmatrix
KPI sheets (stimuleren de KPI’s in opzet
gewenst gedrag?)
Voorbeeldgedrag:
Communicatie vanuit management.
Uitvoerbaarheid:
Trainingen
Planning
Voldoende capaciteit
Betrokkenheid:
Informele en formele team momenten
Bewerken en validatie
checks bestaan (in het
systeem) om key data
velden voor PO's te
verifiëren (bijv. order
nummer, leveranciers,
product/service, bedrag in
munteenheid en btw)
Detectief Transparantie:
Zichtbaar wanneer een PO ten onrechte
wordt geautoriseerd.
Incidentenlijst en/of uitzonderingslijst wordt
bijgehouden.
Bespreekbaarheid:
Ruimte voor bespreken dilemma's bij
uitvoering control.
Opvolgen excepties boven
> EUR 1.000,-
Repressief Aanspreekbaarheid:
Feedback momenten.
De leidinggevende is aanwezig bij de
feedback momenten.
Handhaving:
Consequenties bij ten onrechte
geautoriseerde PO's cq. waardering voor
goed uitvoeren control
17© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit – referentiemodel algoritmes
Business
Governance
Output dataAlgorithm platformInput
data
Algorithm (logic)
IT Infrastructure
Internal Control
IT, privacy, cyber, data governance, …
Corporate values & ethics, compliance (GDPR), security standards, quality
standards
Wat moet het algoritme doen? (Design)
Doet het algoritme wat er moet gebeuren?
(Implementation)
Is het algoritme compliant? (Design)
Blijft het algoritme doen wat het moet doen?
(Operation)
Process
18© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit - Agile vs Waterval
Planning
Voorbereiding
Veldwerk
Rapportage
Evaluatie
Opvolging
AGILE
Release HerhalenDefiniëren
Waterval
Iteraties
19© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit - de traditionele IAF vs Agile
Voorbereiding
Planning
Veldwerk
Evaluatie
Rapport
Opvolging/ auditee
IA Executive / MD
IA Director
IA Manager
IA Management
Audit Manager & Auditee
IA Team
Product Owner
IA Scrum Master
Audit TeamAuditee
Interne stakeholder (Committee)
Agile IA teamstructuurTraditionele IA teamstructuur
VoorbereidingPlanning
Sprint
Veldwerk
SprintRapport
Hiërarchisch en gestructureerd Interactief en iteratief
20© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.
KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.
3. Uitvoering audit - Voorbeeld Agile audituitvoering
Planning & Vooronderzoek
• Verkrijg feedback en inzichten van stakeholders over de audit scope
• Prioriteer audits op zowel belang en urgentie als “readiness”
• Definieer vooraf meerwaarde / doel van de audit
• Definieer en prioriteer key risico’s
Audit uitvoering
• Time boxed interval om bepaalde sprint tasks te bereiken:
o Lijncontrole & proces documentatie,
o Referentiemodel,
o Test working papers
• Dagelijkse discussie (Stand-Up) in het IA team om voortgang,
barrières, nieuwe inzichten sinds gisteren, etc. te bespreken
Close Out
• Formeel afronden van sprint activiteiten & taken
• Verschaf inzicht middels Sprint Demo’s (bijv. gallery walks) –
beknopt/visueel inzicht in de huidige status van
risicobeheersing en observaties t.b.v. toets op feitelijke
juistheid en opstellen van gedragen acties
• Definitieve uitkomsten – bevat een oordeel, inzichten en acties
1 – Definition of Ready (“DoR”) – Een item op de Audit Portfolio Backlog is “DoR” wanneer de auditable entity eigenaar (audit manager) en stakeholders het eens zijn over wat er ge-audit zal worden; over wat de audit moet bereiken en verwachtte meerwaarde; en de vereisten voor de auditee. Als voldaan wordt aan de “DoR” dan kan het scrum team (XFT) beginnen. Dit voorkomt “waste” gedurende de audit zelf.
2 – Definition of Done (“DoD”) - Een “DoD” definieert wat er in een bepaalde sprint moet worden bereikt. Denk hierbij aan het niveau van assurance; een lijst van geïdentificeerde bevindingen en aanbevelingen; of een auditrapport. Een “DoD” helpt om aan te geven wanneer een sprint is afgerond vanuit het perspectief van de audit product owner.
Stakeholders
Product Owner
IA team
Hoe te scopen?
Pre-planning, Planning & Scoping discussies
Audit
Scope
Definition
of
Ready1
Sprint
Planning
Sprint
taken
• ---
• ---
• ---
2 tot 3 weken sprint
Definition
of Done 2
IA team & Auditees
Audit Scrum Master
Sprint
uitkomsten
• ---
• ---
Definitieve
uitkomsten
• ---
• ---
Sprint Closing – met IA team en Auditees
Audit Product OwnersIA Leadership
& Portfolio Owner
Finalize Audit Plan
and Hours
Confirm Audit
Executive Portfolio
Distinct Portfolio w/ Demand
Finalize Audit
Related (BTLs)
Distinct Portfolio w/ Demand
Review owning
team hours for
each portfolio
Review supporting
team hours for
each portfolio
Distinct Portfolio w/ Demand
For remaining 10%
of hours, assign
HC to Tiger Team
For 90% of hours,
determine
portfolios full &
partial FTE needs
Tiger Team
Fu
ll
Partial
1
2
Allocate HC and
resource to
Portfolio
Pod
4
3
Create Pods based
on work (hours,
area)
6
Assign resources
to pod (owning &
supporting)
Assign resources
to Tiger Team
5 7
Po
rtfo
lioP
od
7
Audit Portfolio
Backlog &
Resources
VRAGEN?