Welkom

Kwaliteitskring Twente

Inleiding Risk Based Auditing

In de praktijk

Rob de Leur

Namens ORBEDO

Programma op Hoofdlijnen

• Theoretisch kader• Interne audits (ISO19011)

• Risicomanagement (ISO31000)

• Enquête resultaten

• Risk Based Auditing – de praktijk –

• Workshop – zelf ervaren -

Theoretisch kaderISO19011 - 2011 (I)

ISO19011 is dé internationale norm voor het auditen van managementsystemen.

De meest opvallende wijzigingen• Nu van toepassing is op het auditen van alle typen managementsystemen, zoals

die voor arbomanagement, voedselveiligheid en informatiebeveiliging• Meer nadruk op het auditprogramma (betere aansluiting van auditing op de

risico’s en prioriteiten van de organisatie en het vergroten van de betrokkenheid van de top)

• Focus van audits op die activiteiten en onderdelen van de organisatie waar risico's spelen

• Nieuw als methode: auditen op afstand (‘remote auditing')• Meer aandacht voor het vertrouwelijkheid - het correct omgaan met gevoelige of

vertrouwelijke informatie bij de uitvoering van audits (nieuw principe)

Theoretisch kaderISO19011 - 2011 (II)

Theoretisch kaderRisicomanagement (I)

Theoretisch kaderRisicomanagement (II)

Theoretisch kaderRisicomanagement (III)

Enquête resultaten (I)

Anonieme enquête onder 50 gecertificeerde organisaties (management en interne auditoren)

1. Is er in de organisatie draagvlak voor de interne audit?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig

2. Zijn de interne auditoren ‘up to the job’?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig

3. Zijn de interne audits voldoende gericht op risico’s?Management 12% ja 24% redelijk 64 % te weinig

Interne auditoren 8 % ja 32 % redelijk 60 % te weinig4. Is er voldoende tijd om een interne audit goed voor te bereiden?

Management 62% ja 22% redelijk 16 % te weinigInterne auditoren 6 % ja 36 % redelijk 58 % te weinig

5. Wordt er tijdens de interviews voldoende doorgevraagd?Management 18% ja 28 % redelijk 54 % te weinigInterne auditoren 66 % ja 17 % redelijk 17 % te weinig

6. Geeft het resultaat van een interne audit voldoende mogelijkheden om echt te verbeteren?Management 16% ja 38 % redelijk 46 % te weinigInterne auditoren 21 % ja 26 % redelijk 53 % te weinig

Enquête resultaten (II)

Losse opmerkingen gegeven bij enquête

• 'Het moet van ISO en daarom doen we het, maar het kost wel tijd'.• Onvoldoende draagvlak om van interne audits een effectief managementtool te maken. • De interne audit is het kindje van de kwaliteitsmanager • Het houden van een interne audit vele malen moeilijker is dan het houden van een externe

audit. • Kwaliteitsmanagers willen vaak meer interne audits houden, dan strikt noodzakelijk is. • De leiding daarentegen vindt al snel dat er te vaak beslag gelegd wordt op kostbare tijd en is

daarom geneigd het aantal te houden interne audits te minimaliseren. • Te vaak gaan auditoren onvoorbereid een interne audit ingaan (idem: externe auditoren)• Zolang er geen voldoende ervaring is, wordt een interne audit zowel door de auditor als de auditee ervaren als een examen. • Rapportages te vaak gericht op correctief niveau, terwijl hiermee de interne audit a.h.w.

verkocht kan worden (managementinformatie)

Risk Based Auditing

De praktijk

Samenhang componenten

Geen adequate hulpver-lening kunnen bieden tijdens evenement

GebeurtenisOorzaken MaatregelenGevolgenMaatregelen

Teveel bezoekers

tegelijk toelaten

Te weinig veiligheids-

voorzie-ningen

getroffen

Negeren van eerder gesignaleer

de incidenten

Ontstaan van

incidenten

Claims van slachtoffers

Imagoschade

Duidelijke afspraken

maken

Veiligheidsprocedures opstellen

en uitvoeren

Evaluatie uitvoeren &

aanbeve-lingen laten

doen

BeleggingsplanVoorzieningen

treffen

Verzekeren

Verbeteringen kenbaar

maken. Juiste communicatie

Risk BasedAuditing

Identificatie

Classificatie

Risicoidentificatie

RisicoImpact

Proces A

Contrac

t

Prijslijs

tTest

Gebeurtenis (afwijking)

Oorzaak(proces)

Gevolgen(risico’s)

• Proces A• Proces BHoog

• Proces C•

Gemiddeld

• Proces D• Proces ELaag

Risicogebieden Proces A-B-C-D(Imago,veiligheid, juridisch…)

Basisprincipes

ORBEDO ©

Integratie Risicomanagement& Interne audit

• Proces risicoprofielen toekennen

Audit planning

Procesrisicoprofielen (I)

Welke processen kunnen in potentie de organisatie de meeste schade toebrengen?

1. Processen identificeren • Scope• Soort• Niveau

2. Methode kiezen• Wegingsfactoren

Proces risicoprofielen (II)

Proces identificeren

Scope•Organisatiebreed• Organisatorische eenheid•Produkt•………..

Soort•Management, ondersteunend en primair•Klantgerelateerd•……………..

Niveau•Hoofdproces• Subproces•Werkinstructie•……………

Proces risicoprofielen (III)

Methode kiezen

Risicogebieden

•Grofmazig• Stabiel

Succesfactoren

•Verfijnder•Afhankelijk van niveau vrij stabiel

Doelstellingen

•Toegesneden• Aan verandering onderhevig

Risico-analyse

•Detail•Aan verandering onderhevig

Methode bepaalt deelnemers

Proces risicoprofielen (IV)

Doelstellingen20 % meer personeel10% minder uitval2 nieuwe produkten

Risico-analyseImpact analyseDreigingen analyse

Methodenmet voorbeelden

Proces Risicoprofielen (IV)

Wegingsfactoren voorbeelden1. Imago (risicogebied)

Hoog: kans op landelijke negatieve publiciteitGemiddeld: Kans op regionale negatieve publiciteitLaag: Kans op lokale negatieve publiciteit

2. 10 % minder uitval (doelstelling)Hoog: Heeft grote impact op de realisatieGemiddeld: Heeft invloed op de realisatieLaag: Heeft nauwelijks invloed op de realisatie

3. Betrouwbaarheid (succesfactoren)Hoog: Bepaalt in grote mate de succesfactorGemiddeld: Bepaalt in enige mate de succesfactorLaag: Bepaalt nauwelijks de succesfactor

4. Impact analyse (risico-analyse)Hoog: De impact is zeer grootGemiddeld: De impact is aanzienlijk Laag: De impact is laag

Proces Risicoprofielen (V)

Beleid maken t.a.v. risicoprofilering

Bv. Vanaf 3 * H bij score: Hoog risicovolTot 4 * L bij score: Laag risicovol

Resultaat1. Geïdentificeerde en gesorteerde processen

• Ondersteunende processen:• Aanname personeel• Functioneringsgesprekken• Archivering• …………………

2. Processen voorzien van risicoprofiel• Hoog risicovolle processen• Gemiddeld risicovolle processen• Laag risicovolle processen• ………………..

Personeel toewijzing Materiaal

Kwaliteit

Beschikbaarheid

Financiën

Werving & SelectieInhuur Auditscope

Risico identificatie

Kwaliteit

van…...

Offerte

Ontwerp

Testen

Oplevering

AO / Risico identificatie

Rapportage

• Geconstateerde gebeurtenis

• Achterliggende oorzaken (processen)

• Gevolgen• Risico’s concreet benoemen

• Risiconiveau aangeven (optioneel)

Van correctief naar corrigerend

Van gegevens naar managementinformatie

Succesfactoren

• Draagvlak en betrokkenheid vanuit leiding• Gekwalificeerde interne auditoren• AO ingericht o.b.v. risicomanagement• Voldoende tijd voor de voorbereiding• Adequate communicatie• Adequate opvolging

Zelf ervaren

• Groepen vormen• Processen classificeren• Risico identificatie• Plenaire recapitulatie