Inspiratiesessie internal auditing ams

  • View
    184

  • Download
    0

Embed Size (px)

DESCRIPTION

Een presentatie die gebruikt werd tijdens de inspiratiesessie voor de masterclass internal auditing van de Antwerp Management School.

Text of Inspiratiesessie internal auditing ams

  • 1. Inspiratie sessie | master class internal auditing Woensdag 25 juni 2014 | 19u00 - 20u00Ben Broeckx | Executive Professor Internal Auditing

2. De volgende presentatie is een verkorte, beperkt aangepaste versie van de presentatie die ik op 25 juni 2014 laatstleden op de Antwerp Management School als inspiratiesessie voor de masterclass internal auditing gaf. De concrete voorbeelden werden verwijderd, terwijl er een paar verduidelijkende correcties werden toegevoegd of doorgevoerd. ! Mocht u interesse hebben in het volgen van de masterclass, aarzel niet om contact op te nemen met Jelmer De Vos, onze learning & development manager, op het email adres: jelmer.devos@ams.ac.be ! Geniet van de presentatie, vriendelijke groeten, Ben 3. Wie is de interne auditor? Rol n toegevoegde waarde van de interne auditor binnen het drie verdedigingslijnen model 4. Vooraleer we beginnen Wie ben ik? 5. Wie ben ik? Ben Broeckx 44 jaar oud, vader van 2 kinderen, echtgenoot van 1 vrouw Hoofd interne audit van BTC, het Belgisch Agentschap voor Ontwikkelingssamenwerking Executive Professor internal auditing op AMS, academic director masterclass internal auditing en overheidsauditor Ervaring 1996 - Eerste interne audits (Hilton, Sheraton, Nielsen, International Paper ) 1997 - Eerste interne audit voor de Vlaamse overheid (voor IAVA) 1999 - CIA 1999 - 2011: Opzet, vorming en beheer van diverse interne audit afdelingen van Belgische en Europese entiteiten 1995 - 2011: Extern (Andersen, Deloitte, KPMG) en sinds 2011 overheid zelf 6. Wat zijn de rollen en verantwoordelijkheden van een interne auditor? 7. Denitie interne audit Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organisation's operations. It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. BRON: IIA Onderwerp module 3 JP Garitte 8. Een korte analyse Zowel zekerheidsverstrekkend als adviesverlenend Doel: toegevoegde waarde door verbetering van de werking van een organisatie Door: op een systematische manier de doeltreffendheid van interne controle, risicobeheer en governance te beoordelen en te verbeteren 9. Dat is de huidige denitie van interne audit ! Mijn positie: Interne audit gaat door een identiteitscrisis 10. Een vraag voor de groep: Wat is de toegevoegde waarde van interne audit? 11. Toegevoegde waarde: een uitdaging voor interne audit Hoe meten we toegevoegde waarde? Nu: value for money Value for money: mode trend maar ook relevante vraag van de stakeholders van interne audit Wat doen jullie (interne audit) nu in feite voor mij (geauditeerde, lid auditcomit, management, lid raad van bestuur) als gebruiker van je diensten (assurance of zekerheidsverstrekking, consulting of adviesverlening)? Korte termijn n lange termijn Onderwerp module 5 JP Garitte & B Broeckx 12. De hamvraag Wat levert het onsop? 13. Kapers op de kust? 14. Knabbelen andere rollen aan de reikwijdte van de interne auditor? Externe auditor niet zekerheidsverstrekkend werk, co-sourcing, outsourcing, posities rond kwaliteit van interne controles Interne controle verantwoordelijke invoeren van aan de eigenheid van de organisatie aangepast interne controle raamwerken Risico manager of Chief Risk Ocer invoeren van specieke raamwerken (COSO-ERM, ISO 31000 edm) rond risico Kwaliteit(scontrole)-verantwoordelijke Diverse kwaliteitsystemen richten zich meer en meer op risico en compliance Onderwerp module 2 F Keulemans Onderwerp module 1 B Broeckx Onderwerp module 2 F Keulemans Onderwerp module 1 B Broeckx 15. Het lijkt alsof andere actoren de rol van interne auditoren hebben overgenomen 16. maar in feite is dat niet zo 17. De nieuwe rollen en verantwoordelijkheden creren net essentile voorwaarden om interne audit zijn werk te laten doen n assisteren bij dit werk 18. Ze vormen geen aantasting van de toegevoegde waarde van interne audit. Ze dragen ertoe bij. 19. Duiding via het referentiemodel van het IIA: de drie verdedigingslijnen ! The three lines of defence in effective risk management and control ( IIA, januari 2013) 20. De 3 verdedigingslijnen bron: IIA Position Paper, IIA Although neither governing bodies nor senior management are considered to be among the three lines in this model, no discussion of risk management systems could be complete without rst considering the essential roles of Externalaudit Regulator Governing Body / Board / Audit CommitteeGoverning Body / Board / Audit Committee The Three Lines of Defense Model Senior ManagementSenior Management 3rd Line of Defense3rd Line of Defense InternalInternal AuditAudit 1st Line of Defense1st Line of Defense ManagementManagement ControlsControls InternalInternal ControlControl MeasuresMeasures 2nd Line of Defense2nd Line of Defense Financial ControlFinancial Control SecuritySecurity Risk ManagementRisk Management QualityQuality InspectionInspection ComplianceCompliance Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41 Onderwerp module 1 B Broeckx 21. De eerste lijn is verantwoordelijk voor de interne controle en het risicobeheer De eerste lijn, het management team en haar medewerkers, voert de activiteiten en de ermee verbonden interne controles/risicobeheer uit Zij maken de keuzes (rond blootstelling edm), kiezen de maatregelen en geven aan wat het (beoogde en rele) eect van deze maatregelen is ! Het management en haar team is verantwoordelijk voor de interne controles (en het risicobeheer) 22. De tweede lijn ontwikkelt de tools om dit mogelijk te maken, monitort het gebruik en rapporteert De tweede lijn is een ondersteunende lijn voor de eerste lijn. Ze ontwikkelen de tools die door het management en haar team worden toegepast Ze zien ook toe op het correcte gebruik van deze tools en rapporteren hierover naar het management en de raad van bestuur Ze maken het mogelijk (enabling) dat management en haar team op dit terrein hun werk kunnen doen ! Gezien de complexiteit van de organisaties zijn die vaak zeer gespecialiseerde, ondersteunende functies 23. De derde lijn verstrekt op een onafhankelijke manier een redelijke zekerheid over de doeltreffendheid Via haar gestandaardiseerde manier van werken analyseert interne audit het functioneren van deze systemen op diverse vlakken Werken de interne controles, werkt het systeem van risicobeheer Zekerheidsverstrekking, maar een redelijke zekerheid Beperkingen van mensen en middelen Op basis van een eigen risicoanalyse (meta analyse) ! Interne audit verstrekt een redelijke zekerheid aan senior management en de raad van bestuur rond de werking van de IC en RM systemen en het overkoepelend geheel van beheer (governance) Onderwerp van alle modules 24. Interactie in het model bron: Leon Bloom ( ERM) Three lines of defense issues and challenges Governance interaction and information flow ENABLE VALIDATION & ASSURANCE REPORTING Internal Audit Validation of controls Objective review of risk management process Assurance to senior executive management and Board on assertions of risk exposure Risk Management Policies, governance and information flow Risk assessment methods Measurement, aggregation rules and tools Monitor risk exposure status and report to Board ASSURE Board of Directors & Senior Executive Management REPORT ASSERT Assertions on status of risk exposure Business Unit Management and Staff Risk identification and assessments Actions to exploit, reduce, transfer, or avoid risk Provide assertions on risk exposure for each business unit or functional area within NFS 3rd line2nd line 1st line 14Risk governance - Evolving beyond the traditional 3 lines of defense model 25. Interne audit heeft een unieke rol in (risk) governance, waardoor ze actief bijdraagt tot het functioneren van haar organisatie 26. Illustratie: Hoe realiseer je als kleine(re) interne audit in een complexe omgeving je toegevoegde waarde? 27. Grote organisaties hebben het gemakkelijk Grote organisaties = grote interne audit afdelingen Pipeline of talent - Richard Chambers, voorzitter van het IIA Interne audit is een kweekvijver van talent Medewerkers lopen warm in interne audit Toekomstige werkrelatie met interne audit wordt gecementeerd ! Toegevoegde waarde van interne audit is vaak eenvoudiger aan te tonen in organisaties die reeds doordrongen zijn van de interne audit geest 28. Welke factoren benvloeden de grootte van de interne audit? Grootte van organisatie correleert vaak met grootte van interne audit afdeling Factoren met minder invloed (GAIN 2008): complexiteit van de sector aard en reikwijdte van de activiteiten binnen de sector Dus wat als je een kleinere organisatie bent in een complexe sector? 29. Kleine(re) audit organisaties hebben het vaak moeilijker om hun toegevoegde waarde te bewijzen De meeste interne audit organisaties zijn klein(er) Dus: Kweekvijver is een weinig realistisch model Met als logisch gevolg: geauditeerden hebben vaak geen audit referentiekader Terwijl daarnaast veel organisaties hebben steeds meer en meer complexe producten, oplossingen, verantwoordelijkheden 30. De interne audit uitdaging Sterke correlatie tussen: de complexiteit van activiteiten de risicos waaraan een organisatie is blootgesteld Onder reikwijdte van een audit departement van beperkt aantal voltijds equivalenten 31. Vechtend voor onze share of voice Interne audit moet vechten voor zijn share of voice ! Het aantonen van een toegevoegde waarde van het werk van een interne auditor in een complexe(re) (overheids)omgeving is niet zo eenvoudig 32. Het antwoord: De roterende gast auditor als weg naar een tastbare toegevoegde waarde 33. De roterende gast auditor We draaien het audit bestafngsmodel van Chambers 180 om We activeren de 2de lijn v