Verklarende woordenlijst
Auditaspect
Dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving.
Auditbeheersing
Het proces waarbij een auditor beoordeelt of de interne beheersingsmaatregelen (interne controles) van een organisatie effectief zijn ontworpen, ingevoerd en in werking zijn om risico’s te beheersen en de betrouwbaarheid van de (financiële) rapportering, naleving van wet- en regelgeving en de doelmatige en doeltreffende werking van processen te waarborgen.
Auditcharter
Een auditcharter is een formeel document dat de doelstellingen, bevoegdheden en verantwoordelijkheden van de interne auditfunctie binnen een organisatie vastlegt. Het document definieert de reikwijdte van de audit en wordt goedgekeurd door het bestuursorgaan en/of de auditcommissie, en het management.
Auditcontext
De gehele omgeving en omstandigheden waarin een auditopdracht plaatsvindt en die van invloed zijn op de planning, uitvoering en rapportage van de audit.
Auditdiscipline
De mate waarin een organisatie, afdeling of individu zich houdt aan de vastgestelde regels, procedures, normen en interne controlemechanismen.
Auditdocumenten
Alle documenten, werkpapieren, memoranda, analyses, correspondentie, elektronische bestanden en andere gegevens die de externe of interne auditor tijdens een audit verzamelt, opstelt of ontvangt en die het bewijs vormen voor de uitgevoerde controlewerkzaamheden, de verkregen controle-informatie en de daaruit getrokken conclusies.
Audit doelstellingen
Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Het wordt geformuleerd volgens het vaste stramien:
“Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat de [scope], teneinde [opdrachtgever] in staat te stellen [relevantie].”
Audithandboek
De vastlegging door het hoofd van de internal auditfunctie van de methodologieën (beleid, processen en procedures) om internal auditors binnen de internal auditfunctie te begeleiden en aan te sturen
Auditmandaat
De autoriteit, rol en verantwoordelijkheden van de internal auditfunctie, die kunnen worden verleend door het bestuur en/of krachtens wet- en/of regelgeving.
Auditobject
Een auditobject is het (deel)object waarop het deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn.
Auditontwerp
In het auditontwerp worden de resultaten samengevoegd tot één integraal document. Het auditontwerp bestaat uit de volgende onderdelen: aanleiding & kennisbehoefte (auditobject, problematiek, krachtenveld, kennisbehoefte), scope & afbakening, auditdoelstelling, auditplanning en bijlage (referentiemodel en testplan).
Auditplanning
De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren.
Ook wordt er een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het aantal uren in deze individuele urenplanning moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning.
Auditproces
Het gestructureerde en systematische proces waarmee een onafhankelijke auditor bewijs verzamelt en evalueert om een gefundeerde conclusie te trekken over de juistheid, volledigheid en betrouwbaarheid van informatie, systemen en processen van een organisatie.
Auditrapport
Een auditrapport is een officieel, schriftelijk document dat wordt opgesteld door een auditor (intern of extern) na afloop van een audit. Het bevat de bevindingen, conclusies en aanbevelingen van de auditor met betrekking tot het gecontroleerde onderwerp.
Auditteam
Het auditteam is het volledige team van interne en/of externe auditors en specialisten dat onder leiding van een verantwoordelijke partner een controleopdracht (financiële audit, interne audit, IT-audit, etc.) plant, uitvoert en afrondt.
Auditresultaten
Auditresultaten zijn de officiële uitkomsten, conclusies en vaststellingen die voortkomen uit een uitgevoerde audit. Dit omvat meestal bevindingen, conclusies, aanbevelingen en classificatie van bevindingen. Het geheel wat de auditor officieel vaststelt en rapporteert na afloop van de audit, inclusief oordelen, tekortkomingen en verbeterpunten.
Audit-risico formule
De audit risk (audit risico) is het risico dat de auditor een onjuist oordeel geeft over de jaarrekening, terwijl deze materieel onjuist is. Met andere woorden: het risico dat de auditor ten onrechte een goedkeurende verklaring afgeeft bij een jaarrekening die eigenlijk grote fouten bevat.
Auditisico (AR) = Inherente risico (IR) × Internebeheersingsrisico (CR) × Opsporingsrisico (DR)
Beheersaspecten
In de auditwereld (met name in de Nederlandse internal-audit- en governance-context, zoals COSO, Three Lines Model en IPPF) wordt het begrip beheersaspecten (ook wel beheersmaatregelen of control aspects) gebruikt als de verschillende categorieën of typen van interne beheersing die samen het interne beheersingsysteem vormen.
Beheers- doelstellingen
Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als:
“Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].”
Beheersfunctie
De beheersfunctie is een functie binnen een organisatie die verantwoordelijk is voor het ontwerpen en toetsen van interne controles om de doelstellingen van de organisatie te helpen bereiken.
Beheersinformatie
Beheersinformatie is de informatie die een organisatie gebruikt om haar activiteiten en processen te managen en te controleren. Het omvat informatie over de inrichting, aansturing en effectiviteit van systemen voor informatie, communicatie en controle binnen de organisatie.
Beheersing
Een “beheersing” in de context van een audit verwijst naar de interne controlemaatregelen van een organisatie, die ervoor zorgen dat deze haar doelen behaalt binnen gestelde kaders en regels
Beheersings-maatregelen
Beheersingsmaatregelen zijn maatregelen die een organisatie neemt om risico’s te beheersen en doelstellingen te behalen. Tijdens een audit worden deze maatregelen getoetst om te controleren of het systeem werkt zoals bedoeld en of de organisatie voldoet aan de gestelde normen, wet- en regelgeving. Een audit beoordeelt dus of de dagelijkse praktijk overeenkomt met de opgestelde procedures en of de maatregelen effectief zijn.
We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw: “[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging]”.
Beheerskaders
Een beheerskader is een vastgestelde set regels, normen en procedures waartegen een audit wordt getoetst. Het is de basis voor het systematische en onafhankelijke onderzoek dat een auditor uitvoert om te bepalen of de werkelijkheid overeenkomt met wat is afgesproken en gedocumenteerd.
Beheersmethoden
Beheersmethoden zijn de concrete technieken, procedures, maatregelen en instrumenten die een organisatie inzet om risico’s te beheersen en te zorgen dat de doelstellingen op het gebied van betrouwbare financiële rapportering, effectiviteit en efficiëntie van de operaties, en naleving van wet- en regelgeving (de drie COSO-doelstellingen) worden bereikt.
Bestuurlijke informatie-verzorging
Bestuurlijke informatieverzorging is het stelsel van organisatorische en technische maatregelen en procedures dat erop is gericht om te bewerkstelligen dat de bestuurlijke informatievoorziening (de informatie die het bestuur/bestuurders nodig hebben om de organisatie te kunnen besturen) betrouwbaar, tijdig, volledig en relevant is.
Bronnenmatrix
De bronnenmatrix is het instrument waarmee de auditor aantoont dat hij/zij voor elke relevante bewering voldoende en geschikte controle-informatie heeft verzameld via passende bronnen en werkzaamheden. Het is een kernstuk van de audit aanpak en dossieropbouw.
Capaciteits-planning
Capaciteitsplanning is het proces van het bepalen, voorspellen en beheren van de benodigde middelen (zoals infrastructuur, personeel, systemen, opslag, netwerkbandbreedte en verwerkingscapaciteit) om te waarborgen dat de huidige en toekomstige bedrijfsbehoeften op een kosteneffectieve en tijdige wijze kunnen worden ondersteund, met behoud van de vereiste prestaties, beschikbaarheid en kwaliteit van de dienstverlening.
Classificatie beheers-maatregelen
Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces. Dit kan zijn: Preventief (voorkomt dat een fout of incident optreedt), Defectief (signaleert dat er iets fout is gegaan) of Correctief (corrigeert fouten of herstelt de situatie).
Controlmodellen
Een control model in de audit is een gestructureerd raamwerk dat de interne beheersing van een organisatie meetbaar en effectief maakt. Het beschrijft de processen en maatregelen (controls) die een organisatie gebruikt om haar doelen te bereiken, zoals het voldoen aan wet- en regelgeving. Bekende modellen zijn onder andere het COSO-model en het Three Lines Model, dat verantwoordelijkheden verdeelt binnen de organisatie om risico’s te beheersen.
Dossiervorming
Dossiervorming is het systematisch verzamelen, ordenen en documenteren van alle bewijzen, werkpapieren, analyses, correspondentie, planningstukken, controleprogramma’s en conclusies die de auditor tijdens de controlewerkzaamheden heeft verkregen en opgesteld, met als doel het verschaffen van voldoende en geschikte controle-informatie om onafhankelijke toetsing mogelijk te maken.
Evaluatieformulier
Een gestructureerd document of digitale template dat door de auditor wordt gebruikt om op een objectieve, traceerbare en gestandaardiseerde manier bevindingen, observaties, conformiteit en non-conformiteiten vast te leggen tijdens of onmiddellijk na de uitvoering van een auditactiviteit (bijv. een interview, documentenreview, procesobservatie of locatiebezoek).
Gegevens- verwerking
Gegevensverwerking (of “verwerking van persoonsgegevens”) is: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés.
Gegevens-verzameling
Het systematisch verzamelen van informatie en gegevens (zowel kwantitatief als kwalitatief) uit interne en externe bronnen van de geaudite organisatie, met als doel voldoende en geschikte bewijslast te verkrijgen om een oordeel te kunnen vormen over de getrouwheid van de jaarrekening of andere gerapporteerde informatie.
GIAS
Global Internal Audit Standards. Dit zijn de nieuwe, wereldwijde beroepsstandaarden van het Institute of Internal Auditors (IIA) die de kwaliteit van de interne auditfunctie waarborgen door middel van principes en richtlijnen. De GIAS vervangen de vorige standaarden (IPPF) en leggen meer nadruk op toegevoegde waarde, strategische afstemming, kwaliteit als combinatie van conformiteit en prestatie, en een systeem van interne kwaliteitsbeoordelingen.
Governance
Audit van governance is een controle van een organisatie om te beoordelen of de bestuurspraktijken (governance) voldoen aan de normen, wetten en interne beleidslijnen. Het doel is het waarborgen van transparantie, verantwoording en ethisch gedrag door te controleren op naleving en effectieve interne controles, en zo discrepanties of tekortkomingen te identificeren.
Hard controls
Een hard controls audit (ook wel “audit op harde beheersingsmaatregelen” genoemd) is een auditbenadering waarbij de auditor zich primair richt op objectieve, verifieerbare en meestal geautomatiseerde beheersingsmaatregelen (controls) binnen een organisatie.
Informatie-beheersing
Informatiebeheersing is het geheel van processen, organisatorische maatregelen, procedures en technische voorzieningen dat erop is gericht om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie gedurende de gehele levenscyclus te waarborgen, op een wijze die in verhouding staat tot het risico en de waarde van die informatie voor de organisatie.
Inrichtingsproces
Het inrichtingsproces omvat alle activiteiten en controls die ervoor zorgen dat een IT-systeem of controlemaatregel op een juiste en volledige wijze wordt ontworpen, gebouwd, getest en in productie genomen, zodat deze vanaf het moment van ingebruikname effectief functioneert conform de gestelde eisen.
Internal accounting
Internal accounting is het geheel van boekhoudkundige processen en systemen dat een organisatie intern gebruikt om financiële en niet-financiële informatie te verzamelen, te verwerken en te rapporteren, met als hoofddoel het ondersteunen van het interne management bij het nemen van beslissingen, planning, controle en sturing van de onderneming.
Internal Auditing
Internal auditing is het controleren/ toetsen van een organisatie. Dit omvat het uitvoeren van een onderzoek naar een proces/organisatie. Het doel is het verschaffen van (additionele) zekerheid aan de opdrachtgever (auditée) of derden (maatschappelijk verkeer). Een procesaudit richt zich op het onderzoek naar de opzet, bestaan en werking van beheersmaatregelen. De uitkomsten van een audit worden in een rapport vastgelegd.
KAD+
Een KAD+ audit is een audit van het management control system met als doel de effectiviteit van het systeem te beoordelen om organisatiedoelen te bereiken. Het model onderzoekt de vormgeving en de werking van het managementsysteem door te toetsen of het voldoende waarborgen biedt voor het behalen van doelstellingen.
Kostenbeheersing
Kostenbeheersing is het geheel van processen, procedures, systemen en maatregelen dat een organisatie heeft ingericht om ervoor te zorgen dat de gemaakte kosten in lijn zijn met de vastgestelde begroting, doelstellingen en strategische plannen, en om onnodige, ongeoorloofde of inefficiënte kosten te voorkomen, te detecteren en te corrigeren.
Kritische succesfactor (KSF)
Het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken. Het zijn de elementen van de bedrijfsvoering die grote impact behoren te hebben op de wijze waarop het sturen, inrichten en beheersen van de organisatie zijn ingericht. Elke KSF moet worden geformuleerd in één of meer kritieke prestatie-indicatoren. Dit zijn toetsbare maatstaven met bijbehorende normen.
Kwaliteits-beheersing
Kwaliteitsbeheersing in de huidige auditcontext verwijst vooral naar de maatregelen op opdrachtniveau (ISA 220) die ervoor zorgen dat de audit voldoet aan de standaarden en dat het uitgebrachte oordeel gepast is. Het vroegere “SKB-dossier” (systeem van kwaliteitsbeheersing) heet nu het kwaliteitsmanagementsysteem van de accountantsorganisatie (ISQM 1).
Kwaliteitscriteria
bij interne/externe audits worden kwaliteitscriteria gebruikt om te beoordelen of een audit van voldoende hoge kwaliteit is, zoals tijdigheid, klantgerichtheid en leverbetrouwbaarheid. Een goede audit voldoet aan de audit-standaarden, is risicogericht, heeft voldoende betrokkenheid van de partner, is goed gedocumenteerd en toont aan dat de auditor professioneel-kritisch is geweest.
Maatstaf
De wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid.
Management accounting
Management accounting is het proces van het identificeren, meten, accumuleren, analyseren, voorbereiden, interpreteren en communiceren van financiële en niet-financiële informatie die door het management wordt gebruikt om te plannen, evalueren en controleren binnen een organisatie, en om de juiste toepassing en verantwoording van middelen te waarborgen.
Managementcyclus
De gestructureerde, terugkerende reeks van processen en activiteiten die een organisatie gebruikt om haar doelstellingen te plannen, uit te voeren, te controleren en te verbeteren. In auditcontext wordt de managementcyclus meestal opgevat als de PDCA-cyclus (Plan-Do-Check-Act), zoals gedefinieerd door Deming en overgenomen in vrijwel alle managementsysteemnormen (ISO 9001, ISO 14001, ISO 27001, ISO 45001, etc.).
Norm
De streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen.
Oordeelvorming
Oordeelvorming is het weloverwogen, op kennis en ervaring gebaseerde oordeel van de auditor bij het nemen van beslissingen waar de standaarden geen zwart-wit regel geven.
Opdrachtgever
De opdrachtgever is de partij die de auditor contractueel aanstelt en met wie de opdrachtvoorwaarden worden overeengekomen.
Organisatie- beheersing
Organisatiebeheersing is de basis (de “fundering”) van het interne beheersingssysteem en omvat de cultuur, structuur, beleid en menselijke factoren die het gedrag binnen de organisatie sturen en de effectiviteit van alle overige beheersmaatregelen bepalen.
Organisatie- psychologie
Organisatiepsychologie is de wetenschappelijke studie en toepassing van psychologische principes, theorieën en methoden op het gedrag van mensen in werksituaties en organisaties, met als doel het verbeteren van zowel het welzijn en de effectiviteit van individuen als de prestaties en gezondheid van de organisatie als geheel.
PDCA Cyclus
De PDCA-cyclus is het basisprincipe van procesbeheersing en continu verbeteren binnen managementsystemen. Audits (intern en extern) toetsen in feite of een organisatie alle vier de stappen effectief toepast en of de cyclus daadwerkelijk draait (dus niet alleen Plan en Do, maar ook Check en Act).
Performancetoets
Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving? een performancetoets richt zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald.
Referentiemodel
Het referentiemodel beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises. Het referentiemodel bestaat bij een systeemtoets uit de volgende zes elementen:
Risico's
Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen. Een risico wordt altijd opgebouwd uit drie elementen: Gebeurtenis (wat kan er misgaan?), Oorzaak (waardoor kan dit misgaan?) en Gevolg (wat is de impact als het misgaat?). Doorgaans betreft dit het niet behalen van de beheersdoelstelling.
Formuleer risico’s als volgt: “Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].”
Risicobeheersing
Risicobeheersing is het geheel van gecoördineerde activiteiten om risico’s te sturen en te beheersen. Dit omvat het selecteren en implementeren van één of meer opties voor het wijzigen van risico’s (bijvoorbeeld vermijden, accepteren, verminderen/mitigeren, delen/overdragen of benutten van kansen).
Risico classificatie
Risico’s worden geclassificeerd op basis van kans en impact. Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk. Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen. Meestal gebruikt men een vijfpuntsschaal voor zowel kans als impact (tussen 1 en 25).
Soft controls
Een soft controls audit is een onderzoek naar de effectiviteit en werking van de soft controls binnen een organisatie, met als doel te beoordelen in hoeverre deze bijdragen aan goed bestuur, risicobeheersing, compliance en het realiseren van organisatiedoelen.
SPROA systematiek
De SPROA-systematiek is een gestructureerde methode voor probleemanalyse en adviesopstelling. De afkorting staat voor: Situatie-Probleem-Risico-Oorzaak-Advies. Deze aanpak helpt om problemen helder te beschrijven, oorzaken bloot te leggen en concrete aanbevelingen te formuleren, zodat adviezen overtuigender en effectiever zijn. Het model voorkomt dat oplossingen te oppervlakkig blijven en richt zich op de kern van het issue.
Systeemtoets
Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen
dat doelstellingen structureel worden gerealiseerd. Dat verschilt met een performancetoets. Een systeemtoets analyseert de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen.
Testplan
Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt. Er zijn drie verschillende methoden om dit te onderzoeken: observatie, inhoudsanalyse (documenten, registraties), ondervraging van personen (groepsinterviews en/of enquêtes).
Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd.
Three Lines Model
Het Three Lines of Defense-model structureert de verantwoordelijkheden voor risicobeheer en interne beheersing in drie lagen: operationeel management (1e lijn), risicomanagement- en compliancefuncties (2e lijn) en onafhankelijke interne audit (3e lijn), waarbij interne audit onafhankelijke assurance geeft over de effectiviteit van de eerste 2 lijnen.
Tight en loose control
De mate van strakheid van de beheersing die het bestuur noodzakelijk acht om de doelstellingen van de organisatie te bereiken. Het betreft de speelruimte voor het lijnmanagement om zelfstandig te kunnen handelen.
Voortgangs- bewaking
Voortgangsbewaking is het gestructureerde proces van periodieke meting en evaluatie van de gerealiseerde prestaties ten opzichte van geplande doelstellingen en mijlpalen, met als doel het tijdig signaleren en corrigeren van afwijkingen.