Het audituniversum

Het opbouwen van  het audit universum voor een middelgrote organisatie is een gestructureerd proces. Het vormt de basis voor risicogebaseerde interne audits, volgens standaarden van het Institute of Internal Auditors (IIA). Voor een middelgrote organisatie (bijv. 50-500 medewerkers, meerdere afdelingen, beperkte complexiteit) houd je het praktisch en overzichtelijk, zonder overbodige details. Hieronder een stap-voor-stap handleiding, gebaseerd op best practices (o.a. van IIA, Gartner en praktijkgidsen).

Stap 1: Begrijp de organisatie en verzamel basisinformatie

• Bestudeer de organisatiestructuur: organigram, strategische plannen, jaarverslagen, risicoregister (als aanwezig), beleid en procedures.
• Praat met key stakeholders: directie, management, risk managers en afdelingshoofden. Vraag naar kernprocessen, doelen, risico’s en veranderingen.
• Identificeer bronnen: financieel rapport, IT-systemen, compliance-eisen, externe regelgeving (bijv. AVG/GDPR, financiële wetgeving).
• Tip voor middelgroot: Begin met een workshop van 1-2 dagen met het managementteam om input te verzamelen.

Stap 2: Identificeer auditable entities (auditbare eenheden)

• Maak een inventaris van alles wat potentieel geaudit kan worden. Categoriseer ze overzichtelijk, bijv.:
  • Bedrijfsprocessen: Inkoop, verkoop, productie, HR, financiën (debiteuren/crediteuren), IT-beheer.
  • Afdelingen/entiteiten: Vestigingen, dochterondernemingen (als van toepassing), supportfuncties (faciliteiten, marketing).
  • Systemen en projecten: ERP-systeem, cybersecurity, grote projecten of uitbestedingen (outsourcing).
  • Compliance-gebieden: Risicobeheer, governance, duurzaamheid, kwaliteit.
• Voor een middelgrote organisatie: Richt op 20-50 entities (niet honderden). Gebruik een Excel-sheet of eenvoudige tool om een lijst te maken.
• Vermijd overlap: Combineer gerelateerde items (bijv. “Financiële processen” in plaats van aparte debiteuren en crediteuren).

Stap 3: Structureer het audit universe

• Organiseer in een framework, bijv.:
  • Per functie (financiën, operations, IT).
  • Per risicocategorie (financieel, operationeel, compliance, strategisch).
  • Of als matrix: Entities vs. risico’s (bijv. financiële rapportage, IT-veiligheid).
• Maak het dynamisch: Het is geen statische lijst, maar update jaarlijks of bij veranderingen (bijv. nieuwe wetgeving of acquisities).

Stap 4: Voer een risicoassessment uit

• Beoordeel elke entiteit op risico’s: Gebruik een eenvoudige score (bijv. 1-5) op kans en impact.
  • Factoren: Materiaal belang (financieel), complexiteit, veranderingen, vorige auditbevindingen, externe risico’s.
• Prioriteer: Hoog-risico entities vaker auditen (bijv. elke 1-2 jaar), laag-risico elke 3-5 jaar.
• Tip: Betrek management voor input, zodat het plan gedragen wordt.

Stap 5: Valideer en check op gaps

• Controleer op volledigheid: Zijn alle risico’s gedekt? Gebruik een checklist (bijv. vergelijken met IIA-voorbeelden of branche-standaarden).
• Vraag feedback: Presenteer de draft aan directie en auditcommissie (indien aanwezig).
• Documenteer: Houd bij hoe je tot het audituniversum bent gekomen (voor accountability).

Stap 6: Integreer in het auditplan

• Gebruik het audituniversum als basis voor het jaarlijkse auditplan: Selecteer audits op basis van risico en beschikbare resources (bijv. 1-2 auditors in een middelgrote organisatie).
• Plan frequentie: Zorg voor een volledige dekking over 3-5 jaar (d.m.v. rotatie).