Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens...
-
Upload
patricia-smeets -
Category
Documents
-
view
214 -
download
1
Transcript of Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens...
![Page 1: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/1.jpg)
Welkom
Kwaliteitskring Twente
Inleiding Risk Based Auditing
In de praktijk
Rob de Leur
Namens ORBEDO
![Page 2: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/2.jpg)
Programma op Hoofdlijnen
• Theoretisch kader• Interne audits (ISO19011)
• Risicomanagement (ISO31000)
• Enquête resultaten
• Risk Based Auditing – de praktijk –
• Workshop – zelf ervaren -
![Page 3: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/3.jpg)
Theoretisch kaderISO19011 - 2011 (I)
ISO19011 is dé internationale norm voor het auditen van managementsystemen.
De meest opvallende wijzigingen• Nu van toepassing is op het auditen van alle typen managementsystemen, zoals
die voor arbomanagement, voedselveiligheid en informatiebeveiliging• Meer nadruk op het auditprogramma (betere aansluiting van auditing op de
risico’s en prioriteiten van de organisatie en het vergroten van de betrokkenheid van de top)
• Focus van audits op die activiteiten en onderdelen van de organisatie waar risico's spelen
• Nieuw als methode: auditen op afstand (‘remote auditing')• Meer aandacht voor het vertrouwelijkheid - het correct omgaan met gevoelige of
vertrouwelijke informatie bij de uitvoering van audits (nieuw principe)
![Page 4: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/4.jpg)
Theoretisch kaderISO19011 - 2011 (II)
![Page 5: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/5.jpg)
Theoretisch kaderRisicomanagement (I)
![Page 6: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/6.jpg)
Theoretisch kaderRisicomanagement (II)
![Page 7: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/7.jpg)
Theoretisch kaderRisicomanagement (III)
![Page 8: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/8.jpg)
Enquête resultaten (I)
Anonieme enquête onder 50 gecertificeerde organisaties (management en interne auditoren)
1. Is er in de organisatie draagvlak voor de interne audit?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig
2. Zijn de interne auditoren ‘up to the job’?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig
3. Zijn de interne audits voldoende gericht op risico’s?Management 12% ja 24% redelijk 64 % te weinig
Interne auditoren 8 % ja 32 % redelijk 60 % te weinig4. Is er voldoende tijd om een interne audit goed voor te bereiden?
Management 62% ja 22% redelijk 16 % te weinigInterne auditoren 6 % ja 36 % redelijk 58 % te weinig
5. Wordt er tijdens de interviews voldoende doorgevraagd?Management 18% ja 28 % redelijk 54 % te weinigInterne auditoren 66 % ja 17 % redelijk 17 % te weinig
6. Geeft het resultaat van een interne audit voldoende mogelijkheden om echt te verbeteren?Management 16% ja 38 % redelijk 46 % te weinigInterne auditoren 21 % ja 26 % redelijk 53 % te weinig
![Page 9: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/9.jpg)
Enquête resultaten (II)
Losse opmerkingen gegeven bij enquête
• 'Het moet van ISO en daarom doen we het, maar het kost wel tijd'.• Onvoldoende draagvlak om van interne audits een effectief managementtool te maken. • De interne audit is het kindje van de kwaliteitsmanager • Het houden van een interne audit vele malen moeilijker is dan het houden van een externe
audit. • Kwaliteitsmanagers willen vaak meer interne audits houden, dan strikt noodzakelijk is. • De leiding daarentegen vindt al snel dat er te vaak beslag gelegd wordt op kostbare tijd en is
daarom geneigd het aantal te houden interne audits te minimaliseren. • Te vaak gaan auditoren onvoorbereid een interne audit ingaan (idem: externe auditoren)• Zolang er geen voldoende ervaring is, wordt een interne audit zowel door de auditor als de auditee ervaren als een examen. • Rapportages te vaak gericht op correctief niveau, terwijl hiermee de interne audit a.h.w.
verkocht kan worden (managementinformatie)
![Page 10: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/10.jpg)
Risk Based Auditing
De praktijk
![Page 11: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/11.jpg)
Samenhang componenten
Geen adequate hulpver-lening kunnen bieden tijdens evenement
GebeurtenisOorzaken MaatregelenGevolgenMaatregelen
Teveel bezoekers
tegelijk toelaten
Te weinig veiligheids-
voorzie-ningen
getroffen
Negeren van eerder gesignaleer
de incidenten
Ontstaan van
incidenten
Claims van slachtoffers
Imagoschade
Duidelijke afspraken
maken
Veiligheidsprocedures opstellen
en uitvoeren
Evaluatie uitvoeren &
aanbeve-lingen laten
doen
BeleggingsplanVoorzieningen
treffen
Verzekeren
Verbeteringen kenbaar
maken. Juiste communicatie
![Page 12: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/12.jpg)
Risk BasedAuditing
Identificatie
Classificatie
Risicoidentificatie
RisicoImpact
Proces A
Contrac
t
Prijslijs
tTest
Gebeurtenis (afwijking)
Oorzaak(proces)
Gevolgen(risico’s)
• Proces A• Proces BHoog
• Proces C•
Gemiddeld
• Proces D• Proces ELaag
Risicogebieden Proces A-B-C-D(Imago,veiligheid, juridisch…)
Basisprincipes
ORBEDO ©
![Page 13: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/13.jpg)
Integratie Risicomanagement& Interne audit
• Proces risicoprofielen toekennen
Audit planning
![Page 14: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/14.jpg)
Procesrisicoprofielen (I)
Welke processen kunnen in potentie de organisatie de meeste schade toebrengen?
1. Processen identificeren • Scope• Soort• Niveau
2. Methode kiezen• Wegingsfactoren
![Page 15: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/15.jpg)
Proces risicoprofielen (II)
Proces identificeren
Scope•Organisatiebreed• Organisatorische eenheid•Produkt•………..
Soort•Management, ondersteunend en primair•Klantgerelateerd•……………..
Niveau•Hoofdproces• Subproces•Werkinstructie•……………
![Page 16: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/16.jpg)
Proces risicoprofielen (III)
Methode kiezen
Risicogebieden
•Grofmazig• Stabiel
Succesfactoren
•Verfijnder•Afhankelijk van niveau vrij stabiel
Doelstellingen
•Toegesneden• Aan verandering onderhevig
Risico-analyse
•Detail•Aan verandering onderhevig
Methode bepaalt deelnemers
![Page 17: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/17.jpg)
Proces risicoprofielen (IV)
Doelstellingen20 % meer personeel10% minder uitval2 nieuwe produkten
Risico-analyseImpact analyseDreigingen analyse
Methodenmet voorbeelden
![Page 18: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/18.jpg)
Proces Risicoprofielen (IV)
Wegingsfactoren voorbeelden1. Imago (risicogebied)
Hoog: kans op landelijke negatieve publiciteitGemiddeld: Kans op regionale negatieve publiciteitLaag: Kans op lokale negatieve publiciteit
2. 10 % minder uitval (doelstelling)Hoog: Heeft grote impact op de realisatieGemiddeld: Heeft invloed op de realisatieLaag: Heeft nauwelijks invloed op de realisatie
3. Betrouwbaarheid (succesfactoren)Hoog: Bepaalt in grote mate de succesfactorGemiddeld: Bepaalt in enige mate de succesfactorLaag: Bepaalt nauwelijks de succesfactor
4. Impact analyse (risico-analyse)Hoog: De impact is zeer grootGemiddeld: De impact is aanzienlijk Laag: De impact is laag
![Page 19: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/19.jpg)
Proces Risicoprofielen (V)
Beleid maken t.a.v. risicoprofilering
Bv. Vanaf 3 * H bij score: Hoog risicovolTot 4 * L bij score: Laag risicovol
Resultaat1. Geïdentificeerde en gesorteerde processen
• Ondersteunende processen:• Aanname personeel• Functioneringsgesprekken• Archivering• …………………
2. Processen voorzien van risicoprofiel• Hoog risicovolle processen• Gemiddeld risicovolle processen• Laag risicovolle processen• ………………..
![Page 20: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/20.jpg)
Personeel toewijzing Materiaal
Kwaliteit
Beschikbaarheid
Financiën
Werving & SelectieInhuur Auditscope
Risico identificatie
Kwaliteit
van…...
Offerte
Ontwerp
Testen
Oplevering
AO / Risico identificatie
![Page 21: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/21.jpg)
Rapportage
• Geconstateerde gebeurtenis
• Achterliggende oorzaken (processen)
• Gevolgen• Risico’s concreet benoemen
• Risiconiveau aangeven (optioneel)
Van correctief naar corrigerend
Van gegevens naar managementinformatie
![Page 22: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/22.jpg)
Succesfactoren
• Draagvlak en betrokkenheid vanuit leiding• Gekwalificeerde interne auditoren• AO ingericht o.b.v. risicomanagement• Voldoende tijd voor de voorbereiding• Adequate communicatie• Adequate opvolging
![Page 23: Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO.](https://reader035.fdocument.pub/reader035/viewer/2022070315/5551a0ef4979591f3c8b910b/html5/thumbnails/23.jpg)
Zelf ervaren
• Groepen vormen• Processen classificeren• Risico identificatie• Plenaire recapitulatie