Wat is een risicobeheersingsaudit?
Risicobeheer is het proces dat een bedrijf doorloopt om risico's te identificeren, beoordelen en prioriteren. Tijdens een audit van het risicobeheer zal het bedrijf een interne of externe persoon in dienst nemen om de stappen van het risicobeheer te evalueren die een bedrijf heeft genomen. Accountants zullen specifieke risicobeheersplannen evalueren om ervoor te zorgen dat ze relevant, tijdig en effectief zijn. Bedrijven zullen audits gebruiken als onderdeel van het risicobeheerproces om ervoor te zorgen dat het plan of de procedures niet verouderd raken als het niet vaak wordt gebruikt.
Door de risicobeheerfunctie te scheiden van de risicobeheerscontrole, kan een bedrijf een tweede paar ogen hebben om risicobeheersplannen te herzien. Dit zorgt ook voor een natuurlijke functiescheiding binnen het bedrijf. Het scheiden van taken zorgt ervoor dat één medewerker niet teveel verantwoordelijkheid of controle heeft over een interne bedrijfsfunctie. Een ander voordeel van deze scheiding is dat meerdere werknemers kennis hebben van het risicobeheersplan van een bedrijf. Dit zorgt ervoor dat de afwezigheid van één medewerker geen risico vormt op zichzelf of binnen de organisatie.
Het gebruik van een externe auditor voor de risicobeheersingsaudit kan dit proces verder verbeteren om ervoor te zorgen dat de onderneming een adequaat plan voor risicobeheer heeft opgesteld. Bedrijven in sommige bedrijfstakken kunnen ook profiteren van de kennis van een externe auditor van een bedrijfstak en het vermogen om suggesties te geven voor het herzien van het risicobeheerplan. Bedrijven die certificering van een extern bureau nodig hebben, zullen ook profiteren van een externe audit van het risicobeheer. Bedrijven die bijvoorbeeld geld van banken of geldschieters zoeken, moeten mogelijk een verklaring van de auditor overleggen waarin het plan van de onderneming voor het beheren en vermijden van risico's wordt beschreven.
Het auditproces voor risicobeheer zal doorgaans een paar basisstappen volgen, hoewel audits meestal voor elke onderneming afzonderlijk zijn. De audit begint met een vergadering om de reikwijdte van de audit te bespreken en te bepalen welke risico's volgens het managementteam van de onderneming het gevaarlijkst zijn voor de onderneming. Na deze eerste vergadering zullen auditors een schriftelijk plan opstellen voor het selecteren van een steekproef en de testmethoden om te bepalen hoe effectief het risicobeheersplan van de onderneming lijkt te zijn in vergelijking met de mogelijkheid van elk risico.
Het uitvoeren van een audit is meestal geen frequent proces. Audits zijn zowel langdurig als duur, wat twee belangrijke nadelen voor dit proces zijn. De meeste bedrijven voeren intern een informele beoordeling van hun risicobeheerplan uit. Formele audits vertegenwoordigen een jaarlijkse of halfjaarlijkse gebeurtenis waardoor het bedrijf een grondige beoordeling kan ondergaan. Meestal staat deze audit los van de financiële audit van de onderneming, omdat de procedures voor elk type audit verschillen.