Het COSO-model als basis voor het jaarplan van internal audit-functies
Het nieuwe jaar staat weer voor de deur, en dat betekent dat internal audit-functies al druk bezig zijn met het opstellen van hun jaarplan voor 2026. Een nieuwe whitepaper van ARC People biedt internal auditors handvatten en tips voor het opstellen van een compleet en toekomstbestendig plan.
Door de grote turbulentie in de wereld, toenemende risico’s en een snel veranderende omgeving wordt de internal audit-functie een steeds belangrijkere stakeholder voor bestuurders op C-niveau.
De kerntaak van de internal audit-functie is het onafhankelijk en objectief beoordelen en verbeteren van de effectiviteit van governance, risicomanagement en interne beheersing binnen een organisatie. Door inzicht te geven in risico’s en de kwaliteit van beheersmaatregelen, draagt internal audit bij aan de betrouwbaarheid van processen, informatie en rapportages, het verminderen van risico’s en het tijdig signaleren van fraude en non-compliance.
Door de veranderende omgeving krijgt internal audit te maken met hogere verwachtingen. Niet alleen moet de functie terugkijken en inzicht bieden, maar ook vooruitkijken. Met andere woorden: vooruitzien, meebewegen met nieuwe risico’s en het bestuur helpen navigeren door veranderingen. Dit vooruitkijkende perspectief moet centraal staan in het internal audit-jaarplan.
Het COSO-model
Maar hoe doe je dat? Binnen ARC People, een bureau gespecialiseerd in audit, risk en compliance, hebben ze hier goed over nagedacht. Het team heeft een eigen methodiek ontwikkeld. “Wij pleiten ervoor om bij het opstellen van een auditjaarplan dat passend is voor de uitdagingen van organisaties in de VUCA-wereld, een aanpak te gebruiken die is gebaseerd op het COSO-model”, zegt Marc van Heese, partner bij ARC People.
Het COSO-model richt zich op vier categorieën van doelstellingen waarop risico’s van invloed kunnen zijn. Naast strategische en operationele doelstellingen ligt de focus ook op doelstellingen met betrekking tot de informatievoorziening en doelen gericht op de naleving van wet- en regelgeving en richtlijnen.
In de whitepaper lopen de auteurs langs deze vier pijlers en schetsen hoe ze in de praktijk kunnen worden toegepast. Ook deelt ARC People hoe internal audit-functies deze aanpak kunnen gebruiken om hun rol te verschuiven van uitvoerder naar adviseur.
“Het bewust inzetten van advies is een belangrijke verschuiving in de wens van internal audit om als een trusted advisor te opereren”, zegt Van Heese. “Bij advies kun je denken aan verschillende vormen van dienstverlening. Bijvoorbeeld een quality assurance-rol, het helpen inrichten van process mining of continuous monitoring, of het uitvoeren van nulmetingen en maturity assessments.”
Eerder maakte het IIA, de beroepsvereniging voor internal auditors in Nederland, bekend dat het in de komende jaren een verschuiving richting meer advies verwacht. Deze verschuiving maakt deel uit van de visie van de vereniging op de toekomst van het vak.
