Aan de slag met auditing soft controls

13-06-2018

Muel Kaptein nam de zaal tijdens zijn sessie op het IIA Congres 2018 mee naar de basis van auditing soft controls. De conclusie is dat we eigenlijk al best veel weten, maar dat we hier in de praktijk toch niet altijd naar handelen. Tijd voor wat concrete handvatten, zodat niets ons auditors er van weerhoudt om meters te maken met het auditen van soft controls. 

Muel Kaptein schetst voor de aanwezigen eerst de context van soft controls. Wat bedoelen we met soft controls? Dan hebben we het onder andere over termen als sociaal, integriteit, people, informal, human. Waarom richten we ons op soft controls? Omdat het onder andere de medewerkersbetrokkenheid vergroot en bijdraagt aan innovatie. Daarnaast haalt Kaptein nog de Corporate Governance Code aan en de Monitoring Commissie Accountant waarin veel aandacht is voor soft controls. 

Na de theoretische context komen de praktische handvatten aan bod. Met out-of-the box voorbeelden inspireert Kaptein het publiek snel zelf aan de slag te gaan.

  1. Autorisatiematrix - Een organisatie volledig afhankelijk van het IT-systeem waande zich zeker. Wat uit de systemen kwam, dat was het. Totdat de IT-auditor een soft controls audit deed en op basis van interviews een autorisatiematrix maakte om in kaart te brengen wie welke rechten had. Wat bleek? Er was een wildgroei aan autorisaties. De business vond dat IT verantwoordelijk was en IT vond dat de business verantwoordelijk was. 
  2. Cafetariaplan - Hoe meet je of medewerkers echt zo bewust, verantwoordelijk en vertrouwelijk met informatie omgaan als dat ze zelf denken? Toets ze zonder dat ze het door hebben. Er werd een winactie opgezet door een horecabedrijf dat zich naast de organisatie zou vestigen. De medewerkers hoefden alleen maar de vragen op de usb-stick in te vullen. Een groot aantal deed dit en daarmee kon de auditor laten zie dat medewerkers ondanks alle goede bedoelingen een potentieel kwaadaardige usb-stick op het werk in de pc hadden gedaan. 
  3. De lift - Waar wordt het meest (vertrouwelijke) informatie gedeeld? In de wandelgangen? Een auditor bij een andere organisatie richtte hier zijn onderzoek op en ging honderd keer in de lift op en neer om zo door een soft control bril te kijken hoe vaak er vertrouwelijke informatie wordt gedeeld. 
  4. De fotograaf - Laat met foto’s zien dat bepaalde zaken niet zo veilig zijn als dat we denken. Zo laten sporen in het gras zien dat men om de slagboom heenrijdt en zie je op een foto dat op een overvol bureau allerlei informatie voor het grijpen ligt. Door het visueel te maken, vergroot het bewustzijn. 
  5. Omdenken - Een vestiging van waaruit veel meer incidentmeldingen kwamen dan uit andere vestigingen moest worden onderzocht. De auditor pakte het anders aan dan verwacht en ging juist na waarom er bij de andere vestigingen minder meldingen waren. Wat bleek: zij rapporteerden niet alles en zodoende moest het bestuur de focus verleggen naar al die andere vestigingen.  
  6. De transparantie index - Corruptie is een groot risico en met een enquête wist de auditor in kaart te brengen waar de grootste corruptierisico’s en de laagste soft controls zich voordeden. Deze inzichtelijkheid is voor een Raad van Bestuur erg interessant. 
  7. De Middenlaag – Een organisatie had het gevoel dat een bepaalde strategie niet zou gaan landen bij de medewerkers. De auditor werd er op gezet. Met een enquête en interviews ging de auditor na hoe groot de mate van betrokkenheid was. Het bleek dat het middenmanagement zich vooral niet betrokken voelde bij het totstandkomen van de strategie. Het advies was om dan ook zo snel mogelijk die laag te gaan betrekken. 

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 105F
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie