Internal Audit Conferentie - KPMG€¦ · TOEGEVOEGDE WAARDE VAN INTERNAL AUDIT METEN Heeft IA...

Internal Audit Conferentiedrs Huck Chuah RA RO

2© 2019 KPMG Advisory NV member firm of KPMG International, a Swiss cooperative. All rights reserved.

KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative.

Internal Audit Conferentie “Back to the Future”



4© 2019 KPMG Advisory N.V., registered with the trade register in the Netherlands under number 33263682, is a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Back to the future IA Survey 2019


01 Demographics of the participants

Industrial

14%%

Finance

23%%

Services

8%%

Government

37%%

Others

18%%Public listed

23%

Other

corporates

31%

Public /

Non-profit

46%

Of participants belong to the Non-Profit & Government sector

Head of IA

34%

Internal

Auditor

46%

Other

20%


65% of respondents

feel that Culture, behaviour and soft controls pose the greatest challenge for their company out of which

45% belong to

NPO/Government sector

Agility is increasingly becoming important for

organizations as 71%people consider it important within the IAF

63% use

Data Analyticsduring their Internal Audits

58% of IAFs include soft controls in

their annual audit plans and/or audit

methodology while 28% plan to do so

in their near future

26% IAFs consider

ineffective use of technologies on innovation in audits as their biggest challenge

89% IAFs

believe they have credibility within their organizations

89% IAF have an audit

methodology in line with Internal Audit Standards

60% IAFs tend to

agree that they continuously find new innovative ways to communicate audit results

02 Key survey findings



TOEGEVOEGDE WAARDE VAN INTERNAL AUDIT METEN

Heeft IA toegang tot hoogste leiding?

Is er voldoende ruggenspraak voor de IA?

Waar staat IA in het 3LOD model?Heeft IA voldoende budget en

middelen?

POSITIONERING

Is er een adequaat IA personeelsbeleid?

Heeft IA toegang tot specialisten?

Heeft IA senior en ervaren capaciteiten?

Begrijpt IA de 1e en 2e lijns-activiteiten?

Is IA voldoende getraind en opgeleid?

Is IA een onderdeel van de MD traject?

PROFESSIONALS

Gebruikt IA tools en technologie?

Hoe wordt de toegevoegde waarde van IA gepercipieerd?

Hoe volwassen is control in de organisatie?

Worden IA bevindingen tijdig opgevolgd?

Is IA aangesloten opnieuwe business risico’s?

Hoe ziet het IA meerjarenplan eruit?

PROCES

Is er voldoende feedback en lerend vermogen?

Wat is bestaansrecht van IA?



Assessment

DimensieNummer Standaard

Processen

1321 Use of “Conforms with the [Standards]”

1322 Disclosure of Nonconformance

2010 Planning

2040 Policies and Procedures

2060 Reporting to Senior Management and the Board

2200 Engagement Planning

2201 Planning Considerations

2210 Engagement Objectives

2220 Engagement Scope

2230 Engagement Resource Allocation

2240 Engagement Work Program

2300 Performing the Engagement

2310 Identifying Information

2320 Analysis and Evaluation

2330 Documenting Information

2340 Engagement Supervision

2400 Communicating Results

2410 Criteria for Communicating

2420 Quality of Communications

2421 Errors and Omissions

2430 Use of “Conducted in Conformance with the [Standards]”

2431 Engagement Disclosure of Nonconformance

2440 Disseminating Results

2450 Overall Opinions

2500 Monitoring Progress

2600 Communicating the Acceptance of Risks

Assessment

DimensieNummer Standaard

Positionering

1000 Purpose, Authority, and Responsibility

1010Recognition of the Definition of Internal Auditing [in the Internal Audit

Charter]

1100 Independence and Objectivity

1110 Organizational Independence

1111 Direct Interaction with the Board

1112 Chief Audit Executive Roles Beyond Internal Auditing

1120 Individual Objectivity

1130 Impairments to Independence or Objectivity

2000 Managing the Internal Audit Activity

2020 Communication and Approval

2050 Coordination

2100 Nature of Work

2110 Governance

2120 Risk Management

2130 Control

Professionals

1200 Proficiency and Due Professional Care

1210 Proficiency

1220 Due Professional Care

1230 Continuing Professional Development

1300 Quality Assurance and Improvement Program (QAIP)

2030 Resource Management

2070 External Service Provider and Organizational Responsibility [… for IA]

Processen

1310 Requirements of the Quality Assurance and Improvement Program

1311 Internal Assessments

1312 External Assessments

1320 Reporting on the Quality Assurance and Improvement Program



BEST

PRACTICES

DIVERSITEIT EN

INCLUSIVITEIT

Agility

INNOVATIEVE TOOLS

IA tools

Data & Analytics

MULTIDISCIPLINAIR /

EXPERTISE

Foresight & Insight

THEMA’s bij een Future proof Internal Audit

13

Agility van de IAF



Proces6. Evaluatie

en herijking

1. Strategische

risicoanalyse

2. Opstellen

Interne Audit

Plan

3. Uitvoering

Interne Audit

4. Rapportage

5. Opvolgingbevindingen

& issue tracking

Coördinatie en

afstemming





2. Dynamische Risicoanalyse – Audit planning

12

6:6

3:9



3. Uitvoering audit – referentiemodel RPA / Robotics



3. Uitvoering audit - referentiemodelKPMG REFERENTIE MODEL

Land Nederland

Business Unit XYZ

Proces […]

Datum […]

Achtergrond en scope van de audit

[…] […] Akkoord / Niet akkoord

Kritische Succes Factoren (KSF) gekoppeld aan doelstellingen (alleen 2 meest belangrijkste)

1. […]

2. […]

Details

Nr. Processtap Doel

(link met KSF)

Risico Risico

categorie▼

—Strategisch

—Compliance

—Operationeel

—Informatie

Soft Control

Activiteit▼

(cultuur en

gedrag):• Voorbeeldgedrag

• Transparantie

• Uitvoerbaarheid

• Bespreekbaarheid

• Aanspreekbaarhei

d

• Betrokkenheid

• Handhaving

Type Control▼

—Preventief

—Detectief

—Responsief

Root Cause Analyse

▼

Verantwoord

elijk persoon

▼

# Stap 1 ▼ ▼ ▼ ▼

… … ▼ ▼ ▼ ▼

Management doelstellingen

1. […]

2. […]



3. Uitvoering audit – referentiemodel soft controls# Processtap Doel Risico Risico

H/M/L

Verwachte beheersmaatregel

(SOLL)

Type

control

Verwachte ondersteunende soft control

(instrumenten)

Beoordeling

opzet H/M/L

1,1 Autoriseren

inkooporder

Autorisatie van de

inkooporder conform

de richtlijnen en

procedures

Ongeautoriseerde

inkooporders worden

ten onrechte

verwerkt

Autorisatie limieten bestaan

(in het systeem) waardoor

het juiste personeel PO's

kan goedkeuren binnen

gestelde limieten.

Preventief Helderheid:

Een procesbeschrijving

Richtlijnen en procedures

Bevoegdheidsmatrix

KPI sheets (stimuleren de KPI’s in opzet

gewenst gedrag?)

Voorbeeldgedrag:

Communicatie vanuit management.

Uitvoerbaarheid:

Trainingen

Planning

Voldoende capaciteit

Betrokkenheid:

Informele en formele team momenten

Bewerken en validatie

checks bestaan (in het

systeem) om key data

velden voor PO's te

verifiëren (bijv. order

nummer, leveranciers,

product/service, bedrag in

munteenheid en btw)

Detectief Transparantie:

Zichtbaar wanneer een PO ten onrechte

wordt geautoriseerd.

Incidentenlijst en/of uitzonderingslijst wordt

bijgehouden.

Bespreekbaarheid:

Ruimte voor bespreken dilemma's bij

uitvoering control.

Opvolgen excepties boven

> EUR 1.000,-

Repressief Aanspreekbaarheid:

Feedback momenten.

De leidinggevende is aanwezig bij de

feedback momenten.

Handhaving:

Consequenties bij ten onrechte

geautoriseerde PO's cq. waardering voor

goed uitvoeren control



3. Uitvoering audit – referentiemodel algoritmes

Business

Governance

Output dataAlgorithm platformInput

data

Algorithm (logic)

IT Infrastructure

Internal Control

IT, privacy, cyber, data governance, …

Corporate values & ethics, compliance (GDPR), security standards, quality

standards

Wat moet het algoritme doen? (Design)

Doet het algoritme wat er moet gebeuren?

(Implementation)

Is het algoritme compliant? (Design)

Blijft het algoritme doen wat het moet doen?

(Operation)

Process



3. Uitvoering audit - Agile vs Waterval

Planning

Voorbereiding

Veldwerk

Rapportage

Evaluatie

Opvolging

AGILE

Release HerhalenDefiniëren

Waterval

Iteraties



3. Uitvoering audit - de traditionele IAF vs Agile

Voorbereiding

Planning

Veldwerk

Evaluatie

Rapport

Opvolging/ auditee

IA Executive / MD

IA Director

IA Manager

IA Management

Audit Manager & Auditee

IA Team

Product Owner

IA Scrum Master

Audit TeamAuditee

Interne stakeholder (Committee)

Agile IA teamstructuurTraditionele IA teamstructuur

VoorbereidingPlanning

Sprint

Veldwerk

SprintRapport

Hiërarchisch en gestructureerd Interactief en iteratief



3. Uitvoering audit - Voorbeeld Agile audituitvoering

Planning & Vooronderzoek

• Verkrijg feedback en inzichten van stakeholders over de audit scope

• Prioriteer audits op zowel belang en urgentie als “readiness”

• Definieer vooraf meerwaarde / doel van de audit

• Definieer en prioriteer key risico’s

Audit uitvoering

• Time boxed interval om bepaalde sprint tasks te bereiken:

o Lijncontrole & proces documentatie,

o Referentiemodel,

o Test working papers

• Dagelijkse discussie (Stand-Up) in het IA team om voortgang,

barrières, nieuwe inzichten sinds gisteren, etc. te bespreken

Close Out

• Formeel afronden van sprint activiteiten & taken

• Verschaf inzicht middels Sprint Demo’s (bijv. gallery walks) –

beknopt/visueel inzicht in de huidige status van

risicobeheersing en observaties t.b.v. toets op feitelijke

juistheid en opstellen van gedragen acties

• Definitieve uitkomsten – bevat een oordeel, inzichten en acties

1 – Definition of Ready (“DoR”) – Een item op de Audit Portfolio Backlog is “DoR” wanneer de auditable entity eigenaar (audit manager) en stakeholders het eens zijn over wat er ge-audit zal worden; over wat de audit moet bereiken en verwachtte meerwaarde; en de vereisten voor de auditee. Als voldaan wordt aan de “DoR” dan kan het scrum team (XFT) beginnen. Dit voorkomt “waste” gedurende de audit zelf.

2 – Definition of Done (“DoD”) - Een “DoD” definieert wat er in een bepaalde sprint moet worden bereikt. Denk hierbij aan het niveau van assurance; een lijst van geïdentificeerde bevindingen en aanbevelingen; of een auditrapport. Een “DoD” helpt om aan te geven wanneer een sprint is afgerond vanuit het perspectief van de audit product owner.

Stakeholders

Product Owner

IA team

Hoe te scopen?

Pre-planning, Planning & Scoping discussies

Audit

Scope

Definition

of

Ready1

Sprint

Planning

Sprint

taken

• ---

• ---

• ---

2 tot 3 weken sprint

Definition

of Done 2

IA team & Auditees

Audit Scrum Master

Sprint

uitkomsten

• ---

• ---

Definitieve

uitkomsten

• ---

• ---

Sprint Closing – met IA team en Auditees

Audit Product OwnersIA Leadership

& Portfolio Owner

Finalize Audit Plan

and Hours

Confirm Audit

Executive Portfolio

Distinct Portfolio w/ Demand

Finalize Audit

Related (BTLs)


Review owning

team hours for

each portfolio

Review supporting

team hours for

each portfolio


For remaining 10%

of hours, assign

HC to Tiger Team

For 90% of hours,

determine

portfolios full &

partial FTE needs

Tiger Team

Fu

ll

Partial

1

2

Allocate HC and

resource to

Portfolio

Pod

4

3

Create Pods based

on work (hours,

area)

6

Assign resources

to pod (owning &

supporting)

Assign resources

to Tiger Team

5 7

Po

rtfo

lioP

od

7

Audit Portfolio

Backlog &

Resources

VRAGEN?

Date post:	20-Jul-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Internal Audit Conferentie - KPMG€¦ · TOEGEVOEGDE WAARDE VAN INTERNAL AUDIT METEN Heeft IA...

Documents