804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

More documents

Recommendations

Info

zijn. Objectieve normen zijn gebaseerd op algemeen aanvaarde en geldende theorieën. Subjectieve normen worden bepaald door een persoon of een groep en zijn derhalve niet geheel vrij van persoonlijke beïnvloeding. De normen die tijdens een audit worden gebruikt dienen altijd objectief te zijn. Vervolgens kan er binnen de (objectieve) normen onderscheidt gemaakt worden tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de uitvoering van een audit. Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld (Van Praat en Suerink, 2004). Hierbij kan worden gedacht aan wettelijke normen, richtlijnen en aanbevelingen. Behalve de voorgaande normen kan er ook onderscheid gemaakt worden tussen productnormen en procesnormen. Productnormen zijn de criteria waaraan een product moet voldoen. Procesnormen worden op het niveau gehanteerd van het proces waar een individueel product wordt gerealiseerd. 2.3.4 Audit fases Iedere type audit, of het nu bijvoorbeeld een IT of een operational audit is, kent een aantal fases. Er zijn verschillende modellen waarin deze fases worden uitgewerkt. Een overzichtelijk model is het zes stappenmodel van Driessen en Molenkamp (2004), dat er als volgt uit ziet: Planning Vooronderzoek Figuur 1: Zes stappenmodel van Driessen en Molenkamp Veldwerk Evaluatie Rapportage Follow-up Binnen dit model kunnen de zes stappen volgens hen niet los van elkaar worden gezien. Ze lopen in elkaar over en terugkoppelingen zijn altijd mogelijk als gevolg van bepaalde bevindingen. Alleen ten aanzien van veldwerk en rapportage moet volgens Driessen en Molenkamp voorzichtigheid worden betracht ten aanzien van het hanteren van een dergelijk iteratief proces. Hieronder volgt een beschrijving van de zes stappen zoals zij die definiëren: De planningsfase begint volgens hen met het audit jaarplan. Daarin moet in ieder geval worden aangegeven wat de objecten van onderzoek zullen zijn, wie de auditee is, wat de audit doelstellingen zullen zijn, wanneer de audits moet worden uitgevoerd en welke audit capaciteit zal moeten worden aangewend. Op basis van dit jaarplan wordt vervolgens voor iedere afzonderlijke audit een gedetailleerde audit plan opgesteld, waarin voor die audit wordt uitgewerkt hoe de auditors de audit zullen uitvoeren. Dit audit plan is gebaseerd op het jaarplan, de uitkomsten van desk research en de reeds aanwezige kennis en ervaring met het object van onderzoek. In de vooronderzoekfase verzamelen de auditors informatie over het geldende beleid van de organisatie, de aan het object te stellen eisen en de kaderstellingen zoals regelgeving en systemen. Het gaat hierbij dus om zowel algemene, organisatie gerichte informatie (bijv. organisatieschema en de centrale regels) als om object specifieke informatie (bijv. functie-, product- en systeembeschrijvingen, rapportages, procedures en contracten). Uit de verzamelde gegevens moeten bovendien die maatstaven en maatregelen worden geselecteerd die iets zeggen over de te verwachten kwaliteit van beheersing van het onderzoeksobject, en die de normen vormen voor het management. Normen die de auditor kan gebruiken voor zijn oordeelsvorming. Met behulp van deze verzamelde informatie kan de auditor ook zelf een referentiemodel opstellen, waarin hij de gewenste beheersingssituatie van het onderzoeksobject schetst. Dit model moet wel met het management worden afgestemd voordat het veldwerk begint. Een ander onderdeel van de vooronderzoekfase betreft volgens Driessen en Molenkamp de aankondiging van de audit. Hiermee worden de proceseigenaar, het betrokken management en de medewerkers op de hoogte gesteld van de inhoud en de doorlooptijd van de geplande audit. Voor deze fase moet voldoende tijd worden vrijgemaakt, aangezien de resultaten hiervan (namelijk inzicht in doelstellingen en uitgangspunten en een normenkader) noodzakelijk zijn om de volgende fase, het veldwerk, te kunnen starten. 7
De veldwerkfase bestaat volgens hen uit alle activiteiten gericht op het verzamelen van gegevens. Gegevens die de auditor nodig heeft om bevindingen te kunnen formuleren (een beschrijving van de aangetroffen situatie ten opzichte van de norm) en conclusies en aanbevelingen ter verbetering te kunnen doen. Onderzoeksmiddelen die kunnen worden gebruikt zijn het inwinnen van inlichtingen, het opvragen van bewijsstukken en andere vastleggingen en het doen van eigen waarnemingen. In de rapportagefase wordt eerst een concept<strong>versie</strong> van het audit rapport opgesteld. Deze bevat de bevindingen, de conclusies en de aanbevelingen uit de veldwerkfase. Vervolgens wordt het conceptrapport besproken met de auditees, de proceseigenaar en de opdrachtgever. Tijdens deze bespreking wordt vastgesteld of de bevindingen van de auditors correct en volledig zijn en of de aanbevelingen worden gedragen door het management. Na deze bespreking wordt het <strong>definitieve</strong> audit rapport opgesteld. Dit rapport zal ook een oordeel bevatten over de aangetroffen kwaliteit van beheersing, welke vaak een optelsom is van oordelen over de afzonderlijke bevindingen, en een actieplan voor het management. Tijdens de evaluatiefase wordt de uitgevoerde audit geëvalueerd door de audit afdeling. Bij deze evaluatie gaat het om het proces van de uitgevoerde audit en de feitelijke inhoud van de audit. De input hiervoor kan zowel door de auditors als door de auditees en de proceseigenaar worden geleverd. Het doel van een dergelijke evaluatie is het bevorderen van de kwaliteit van de audit afdeling zelf. Met de follow-up wordt tenslotte nagegaan of het actieplan ook daadwerkelijk is uitgevoerd door het verantwoordelijk management. Deze follow-up kan de vorm hebben van een toetsing per actiepunt of een followup audit waarin meerdere actiepunten worden getoetst. 2.4 De auditor 2.4.1 Beroepsorganisaties De beroepsorganisaties spelen een belangrijke rol bij het scheppen en bewaken van de kaders waarbinnen de auditors opereren. Voor IT auditors is de Nederlandse Orde van Register EDP-Auditors (NOREA) de betrokken beroepsorganisatie. Voor operational auditors is het de Vereniging van Register Operational auditors (VRO) en voor internal (operational) auditors de Nederlandse afdeling van de Institute of Internal Auditors (IIA NL). De Nederlandse sectie van de IIA bestaat sinds 1997 en is de beroepsvereniging voor Internal auditors. Voorwaarden voor lidmaatschap zijn het werkzaam zijn als Internal auditor, ingeschreven zijn in een van de audit registers van VRO, NIVRA, NOREA , NOvAA en IIA en minimaal drie jaar werkervaring hebben in Internal audit. Lidmaatschap van de IIA NL geeft geen recht op een specifieke titel. Als haar hoofdtaken ziet de IIA NL: 1. Het behartigen van de belangen van de leden. Zij wil de kwaliteit van de beroepsuitoefening bevorderen en bewaken, zorgen voor promotie van het beroep en het vakgebied, informatie verschaffen en de Internal auditor op de hoogte houden van de nieuwste ontwikkelingen; 2. Zorgen voor kwaliteitsbewaking. Hiertoe ontwikkelt zij standaarden voor beroepsuitoefening en deskundigheidseisen, verricht zij onderzoek en publiceert zij onderzoeksrapporten en biedt zij vaktechnische ondersteuning ten aanzien van kwaliteitszorg en praktijkvraagstukken; 3. Bevorderen van (permanente) educatie. De IIA NL brengt adviezen uit op het gebied van opleidingen, het verzorgt de aansluiting van de Nederlandse beroepsopleidingen op de Amerikaanse opleiding ter voorbereiding op het examen voor het behalen van de wereldwijd erkende titel 'Certified Internal Auditor' (CIA); 4. Het delen van kennis. Dit doet zij onder andere via het tijdschrift ‘Audit Magazine’, de website en het vakblad ‘The Internal Auditor’ en het organiseren van seminars en trainingen; 5. Profileren van het vak. Het IIA NL wil een positieve beeldvorming over het vak realiseren en bewaken en ziet interne eenduidigheid en consensus als belangrijke factoren voor succes. 8
Page 1 and 2: Een optimaal model van de inrichtin
Page 3 and 4: Management samenvatting Deze script
Page 5 and 6: Binnen onze scriptie vormt de eerst
Page 7: 2.2.3 Interne en externe audits Bin
Page 11 and 12: 3 IT auditing 3.1 Inleiding Zoals e
Page 13 and 14: Ook deze vier categorieën van obje
Page 15 and 16: specifieke Reglementen, Richtlijnen
Page 17 and 18: 4 Operational auditing 4.1 Inleidin
Page 19 and 20: werking) zullen alleen toevallig in
Page 21 and 22: 4.4.2 Eisen aan de operational audi
Page 23 and 24: 5 Het verschil en de overeenkomsten
Page 25 and 26: Onderstaand figuur geeft een weerga
Page 27 and 28: 5.6 De auditor De beroepsorganisati
Page 29 and 30: estuur van zijn organisatie en van
Page 31 and 32: Schematisch zien de resultaten met
Page 33 and 34: afgedekt moeten worden. De regio’
Page 35 and 36: 7 Conclusies en aanbevelingen 7.1 I
Page 37 and 38: 8 Evaluatie Bij het begin van het p
Page 39 and 40: BIJLAGEN A Vragenlijst Organisatie
Page 41 and 42: voor het model van Hubbing. Dit hou
Page 43 and 44: Ook binnen operational audit zijn e
Page 45 and 46: spelen. Er worden momenteel nieuwe

804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?