Hoe maak je een risico gebaseerde auditplanning?

Aan derde organisaties aantonen dat wat je doet als organisatie betrouwbaar is? Of je certificering behalen of behouden? Dan is het zaak dat je regelmatig een audit uitvoert. In dit artikel leggen we je uit hoe je bepaalt hoe vaak per jaar een audit omtrent een bepaald onderwerp plaats dient te vinden. Daarvoor kun je namelijk de methode van risico gebaseerde auditplanning hanteren. Lees snel verder!

Je kunt een audit uitvoeren om bij derde organisaties aan te kunnen tonen dat wat je als organisatie doet betrouwbaar is. Het komt ook regelmatig voor dat een audit uitgevoerd dient te worden vanwege een certificering die behaald is of nog behaald moet worden. Wanneer je organisatie meedoet aan bijvoorbeeld een aanbesteding, dan is het kunnen overleggen van bepaalde certificeringen vaak een harde eis. Met betrekking tot certificeringen zijn audits essentieel. Ze dienen namelijk als bewijslast waarmee wordt aangetoond dat de organisatie of een proces van de organisatie aan de eisen van de certificering voldoet. Tijdens de audit wordt namelijk beoordeeld in welke mate dit het geval is.

Wat test je nu met een audit? Je controleert of de processen binnen je organisatie nog conform de eisen van de norm zijn. Je bekijkt dus of de realiteit nog overeenkomt met de gewenste gang van zaken. Tijdens de audit vergaar je informatie waarop je eventuele verbeteringen door kunt voeren. De audit laat daarnaast zien of er maatregelen moeten worden getroffen, en zo ja welke, om de vereiste kwaliteit te kunnen waarborgen. Hoe vaak je bepaalde processen moet auditen, hangt van het risico dat de processen met zich meedragen. Tijdens een audit kunnen zowel de primaire processen, de managementprocessen alsmede de ondersteunende processen aan bod komen.

Met een risico gebaseerde auditplanning beoordeel je hoe vaak er in een jaar een interne audit omtrent een bepaald onderwerp plaats dient te vinden binnen je organisatie. Dit kan betrekking hebben op alle processen binnen je organisatie.

Bij de risico gebaseerde auditplanning start je door per onderwerp te bepalen wat de dynamiek daarvan is. Dus daarmee wordt bedoeld dat je gaat bekijken hoe ‘veranderlijk’ dat onderwerp of proces is binnen je organisatie. Aan die veranderlijkheid hang je een score. De scores kun je onderverdelen in bijvoorbeeld:

Vervolgens ga je bekijken wat het risico van dat onderwerp of proces is. Je kijkt dan naar de impact ervan op het bedrijfsresultaat en/of het directe risico voor de klant, of andere stakeholders, als het mis gaat in het betreffende proces. Ook daaraan koppel je weer een score. Wanneer je aan de dynamiek en het risico een score hebt gehangen, kun je de impact berekenen. Dat doe je door de dynamiek score X de risico score te doen. Hier komt een eindscore uit waarmee je kunt bepalen hoe vaak je een onderwerp binnen je organisatie dient te auditen.

Wanneer een bepaald proces een groot risico vormt voor je organisatie en daardoor veel impact heeft, is het zaak om dit proces vaker te auditen. Zo ben je er zeker van dat je hier voldoende aandacht aan besteedt en dat geen enkel element uit het proces je ontgaat. Wanneer een proces een lager risico met zich meebrengt en dus minder impact heeft op je organisatie, kun je ervoor kiezen om dit minder vaak te auditen. Daardoor kun je juist focus leggen op processen met grotere impact.

Wil je meer weten of leren over risico gebaseerd auditen of daaraan gerelateerde zaken? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!