Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019...

18
Agile Internal Audit White paper over Agile werken voor Internal Auditfuncties Deel II: Concrete Agile handvatten voor de inrichting van Internal Auditfuncties en uitvoering van audits Juni 2020

Transcript of Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019...

Page 1: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 1

© 2020 KPMG Advisory N.V.

Agile Internal AuditWhite paper over Agile werken voor Internal Auditfuncties

Deel II: Concrete Agile handvatten voor de inrichting van Internal Auditfuncties en uitvoering van audits

Juni 2020

Page 2: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

2 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Agile Internal Audit

Page 3: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 3

© 2020 KPMG Advisory N.V.

KPMG heeft in 2019 internationaal onderzoek uitgevoerd1 onder meer dan 120 organisaties naar de toepassing van Agile principes binnen de verschillende afdelingen. Tachtig procent van de organisaties is in de afgelopen drie jaar gestart met ‘wendbaarder’ werken en de resterende twintig procent doet dit al langer. Hieruit blijkt dat organisaties, en dus ook IAF’s, steeds meer Agile werken.

Op basis van onze (internationale) klantkennis en ervaring met Agile auditing maken wij de theoretische kennis uit deel 1 graag concreter in deze tweede white paper.

Uitdagend, waardevol en innovatief…

Deel 1De eerste publicatie (januari 2019) had als doel om inzicht te bieden in de toegevoegde waarde van de Agile methodiek en principes voor een IAF.

Deel 2Deze publicatie biedt concrete handvatten voor een IAF. We besteden onder meer aandacht aan hoe de IAF de uitgangspunten van Agile kan toepassen in de inrichting van de IAF en tijdens de uitvoering van de audits. Daarnaast delen een aantal koplopers op het gebied van Agile auditen hun belangrijkste lessen en ervaringen op dit gebied.

… zijn kernwoorden waarmee Agile Internal Auditfuncties (IAF’s) worden beschreven door hun stakeholders. “Het (red. Agile) gaat om het tonen van lef”, aldus een van de Nederlandse grootbanken die al ver gevorderd is met het toepassen van deze vernieuwende manier van werken.

— Mindset en de Agile toepassing in Nederland— Impact van Agile werken op de IAF— Impact van Agile op de inrichting van de IAF— Casus 1— Uitvoering van Agile Internal Audit — Casus 2— Uitdagingen van Agile Internal Audit— Traditionele tegenover Agile auditaanpak— Casus 3

Deel 2Deel 1— Oorsprong van Agile — Traditioneel Waterval vs Agile— Agile en Internal Audit — Belangrijkste Agile concepten — Agile en het IPPF — Agile Internal Audit Volwassenheidsmodel

Agile Internal Audit I 3

1 Het volledige onderzoek is hier te vinden

Page 4: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

4 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Mindset en de Agile toepassing in Nederland

Mindset van de IAF Agile werken biedt ondersteuning aan een IAF om tijdig en effectief te reageren op de interne en externe ont-wikkelingen. Ook in crisistijden (denk bijvoorbeeld aan de huidige COVID-19-crisis) blijkt de Agile mindset waardevol te zijn. Agile werken biedt IAF’s flexibiliteit om de audits te herprioriteren en deze vervolgens uit te voeren in een veranderde en/of verstoorde omgeving. Hierbij is te denken aan de volgende beperkingen: het risicolandschap dat volledig verandert naar onderwerpen zoals business continuity management, business resilience of het veld- werk dat anders ingericht moet worden, omdat de fysieke toegang tot locaties voor een periode niet meer mogelijk is.

Een IAF kan de Agile principes op haar eigen manier toepas-sen. Het is immers geen ‘one size fits all’ benadering. De IAF dient zich continu af te vragen hoe de Agile principes effectief toegepast kunnen worden binnen het team en de organisatie?

Agile werken heeft het grootste effect bij IAF’s waarbij: — een audit in een kortere periode afgerond moet worden

om aan de verwachtingen van de stakeholders te voldoen of het auditjaarplan flexibeler wordt uitgevoerd op basis van een recente en veranderende risicoanalyse;

— de verwachtingen en relatie met de stakeholders verbeterd worden door meer contact- en afstemmings- momenten te creëren en binnen het auditteam de betrokkenheid van de teamleden te verhogen.

Stand van zakenUit KPMG-onderzoek blijkt dat Agile werken bij 71% van de organisaties steeds belangrijker wordt en dat meer dan 60% van de bedrijven Agile werken als een strategische prioriteit heeft geformuleerd voor de verschillende afdelingen.

Agile werken wordt steeds belangrijker binnende organisatie aldus 71% van de respondenten

Binnen organisaties blijkt tussen de afdelingen veel verschil te zitten in de mate waarin zij op een Agile manier werken. 90% van de IT-teams geeft aan Agile te werken, terwijl dit bij andere afdelingen vaak rond de 30% ligt. Dit biedt mogelijkheden om binnen de organisatie kennis uit te wisselen tussen de afdelingen en om van elkaar te leren. Door groeiende interesse voor Agile en het belang van Agile werken neemt dit alleen maar toe.

In 2019 heeft KPMG Nederland drie rondetafelbijeenkomsten gefaciliteerd over Agile auditen. Deze bijeenkomsten stonden in het teken van het delen van best practices en uitdagingen rondom dit thema. Daarnaast stond ‘het hebben van een open gesprek over het toepassen van Agile principes in de audits’ centraal.

De key takeaways uit deze bijeenkomsten zijn:— Korte doorloopcycli en blijven evalueren zijn essentieel in het toepassen van de werkwijze.— Voor een frequentere interactie met de auditee heb

je als IAF ook lef nodig.— Hoewel de uitvoering verschilt blijft een audit een audit,

oftewel het is van belang om aandacht te blijven besteden aan formele vastlegging en de IIA Standaarden.

— Schakel deskundigen in die de vertaalslag kunnen maken tussen Agile principes en internal audit.

Daarnaast bleek dat het volwassenheidsniveau voor het werken volgens Agile principes varieert tussen de IAF’s en dat er momenteel weinig publicaties zijn over het toepassen van Agile principes binnen IAF’s.

Bron: Survey-onderzoek onder 120 organisaties wereldwijd (KPMG, 2019)

Page 5: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 5

© 2020 KPMG Advisory N.V.

Impact van Agile werken op de IAFAgile auditen heeft significante invloed op de inrichting en de structuur van een IAF. In deze white paper worden de effecten van Agile auditen toegelicht op basis van de Positionering, Professionals en Processen van een IAF.

Ten opzichte van de ‘traditionele’ structuur (hiërarchisch en gestructureerd) dient de inrichting van de IAF het toe te laten om Agile te werken. Op de volgende pagina beschrijven wij de verschillen tussen de ‘traditionele’ en de ‘Agile’ structuur aan de hand van de elementen positionering en de professionals van de IAF. De effecten voor het proces komen in de sectie ‘Uitvoering van eenAgile Internal Audit’ nader aan bod.

Is de IAF strategisch gepositioneerd om bij te dragen aan de prestatie en doelstellingen van de organisatie?

Heeft de IAF de juiste competenties en vaardig-heden om haar rol te kunnen vervullen en Agile audit uit te voeren?

Zijn de processen van de IAF zo ingericht dat zij Agile werken mogelijk maken?

Positionering

Missie, visie en doelstellingen

Producten en diensten

KPI’s en prestaties

Professionals

Competenties en vaardigheden

Gedrag en cultuur

Afdelings- en teamsamenstelling

Processen

Planning & vooronderzoek

Audituitvoering

Afronding en evaluatie

Agile Internal Audit I 5

Page 6: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

6 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Positionering

— Missie, visie en doelstellingen: Van oudsher zijn IAF’s betrokken bij het geven van assurance achteraf over de verschillende processen en auditobjecten in de organisatie. Een Agile IAF heeft als doelstelling om naast het bieden van assurance, ook doorlopend advies en inzicht op kortcyclische basis te bieden. Deze Agile IAF kan flexibeler en sneller inspelen op de veranderde behoeften van de organisatie en krijgt meer ruimte om ook als adviseur en sparringpartner op te treden.

— Producten en diensten: Naast het uitvoeren van ‘fullscope’ audits die zien op volledige processen, heefteen Agile IAF een breder productenportfolio, zoals audits met kortere doorlooptijd en quickscans. Hiermee kan de IAF haar producten en dienstverlening aanpassen aan de veranderde behoefte van de stakeholders van de IAF.

— KPI’s en prestaties: Traditioneel wordt een IAF onder meer beoordeeld op de productiviteit, het percentage van het auditjaarplan voltooid is of de uitkomsten van de (externe) kwaliteitstoetsing. Bij een Agile IAF verschuiven deze KPI’s richting klanttevredenheid, aantal interactiemomenten met de auditee en de doorlooptijd van de audits.

Impact van Agile op de inrichting van de IAF

Professionals

— Competenties en vaardigheden: Binnen een Agile IAF wordt het auditteam meer dan ooit samengesteld op basis van de benodigde competenties en ervaring met Agile om de diverse sprints en werkzaamheden uit te kunnen voeren. Hierbij speelt een multidisciplinair auditteam een belangrijke rol waarbinnen teamleden (basis)kennis hebben van het toepassen van de Agile principes. De teamindeling hangt af van het auditobject, terwijl in de traditionele aanpak audits vaak in vaste teams worden uitgevoerd.

— Gedrag en cultuur: De Agile methode vraagt van auditors niet alleen dat zij een andere manier van werken aan-leren. De methode vraagt auditors ook om hun mindset bij te stellen. Dit gaat helpen om naast assurance ook iteratief advies en inzichten te kunnen bieden, om snel in te kunnen spelen op de behoeften van de organisatie. Door transparantie in de communicatie over de tussen-tijdse (sprint)resultaten komen het IA-team en de auditee in gesprek. Deze frequente communicatie tijdens het uit-voeren van een Agile audit draagt bij aan de toegevoegde waarde voor de organisatie.

— Afdeling- en teamsamenstelling: In tegenstelling tot een traditionele hiërarchische structuur met een hoofd Internal Audit, auditmanagers en (senior) auditors heeft een Agile IAF een minder vaste hiërarchie. De taakverdeling is sterk afhankelijk van de uit te voeren werkzaamheden en de kennis en ervaring van de auditor met Agile werken. De Scrum Master zorgt ervoor dat het team gefocust blijft, voortgang maakt en de gestelde deadlines haalt op een Agile wijze. De Product Owner die tevens deel uitmaakt van een Agile IAF-team en vaak het hoofd IA is, verantwoordelijk voor de uitvoering en het resultaat van de audit.

Page 7: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 7

© 2020 KPMG Advisory N.V.

Inrichting Agile Internal Audit bij Bank X

© 2019 KPMG Advisory N.V.© 2020 KPMG Advisory N.V.

CASUS

Vanuit de theoretische kant dient goed geanalyseerd te worden waar huidige verbeterpunten zitten en hoe deze organisatorisch op te lossen zijn met Agile werken. Verder zijn er ook praktische uitdagingen, zoals de omvang en beschikbare expertise van de resources van de IAF. Het uitgangspunt van Agile is dat zelfstandige multidisciplinaire teams worden gecreëerd, waarin alle benodigde kennis aanwezig is (bijvoorbeeld: IT, credit risk management, compliance) voor de audits, die naast de Scrum Master rol in de teams additioneel worden ondersteund door Agile coaches.

Begin met belangrijke elementen uit de Agile approach en niet met een ‘big bang’ met volledige implementatie.

Inrichting van de Agile IAF

Wat zijn de tips voor organisaties die Agile werken binnen de IAF gaan introduceren?

Agile Internal Audit I 7

De IAF van Bank X heeft enkele key Agile principes en instrumenten in de dagelijkse uitvoering en beheersing van de audits geïmplementeerd. Dagelijks zijn er ‘stand-ups’ in de auditteams om op dagbasis op totaalniveau te bekijken of de uitvoering nog op koers ligt, of er knelpunten zijn en of de juiste prioritering wordt gegeven. Ook geeft dit gelegenheid tot het wederzijds geven van feedback.

Verder is er om de twee weken een ‘market place’ waarbij de sprints voor de komende twee weken worden door-genomen met alle teams van de afdeling. Hierin wordt ook de voortgang van het gehele auditplan besproken en denken de medewerkers mee over hoe knelpunten in de planning opgelost kunnen worden. Ook komen hier de afhankelijk-heden tussen audits aan de orde en wordt gekeken naar de volgende (geplande) audits. De afgeronde audits worden als successen gevierd met het team.

De beheersing van de geplande en lopende audits vindt plaats door een combinatie van Agile onderdelen en projectmanagementaspecten, waarbij per audit afspraken zijn over budget, doorlooptijden en producten. De fases worden uitgevoerd als Sprints ondersteund met Scrum-boards, Daily stand-ups en terugkoppelingen en evaluaties met de business (retrospectives). De Scrum Master verdeelt de werkzaamheden over de teamleden.

Wat zijn de lessons learned/uitdagingen?

Het is belangrijk om inzicht te hebben in waarom de IAF Agile zou moeten werken en in welke veranderingen bereikt moeten worden. Als eenmaal is besloten om Agile toe te passen, dan zijn de drive, toewijding en feedback-cultuur van de auditors kritieke succesfactoren. De uitdaging is om iedereen mee te krijgen en de toegevoegde waarde in te zien van deze aanpak.

Page 8: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

8 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Uitvoering van een Agile Audit Planning & vooronderzoek (1/2)

In alle fasen van een Agile audit is de Scrum Master facilitator van een goedlopend Agile proces. Het IA-team kan al zijn vragen over het toepassen van Agile principes neerleggen bij de Scrum Master. Tegelijkertijd zorgt de Scrum Master ervoor dat het team in staat is om de werkzaamheden succesvol uit te voeren. Dit houdt in dat de Scrum Master geen onderdeel hoeft te zijn van de IAF; deze kan ook werkzaam zijn in een andere functie in de organisatie.

De Scrum Master is niet verantwoordelijk voor de uitvoering en het auditresultaat, deze verantwoordelijkheid ligt bij de Product Owner. Het Hoofd IA neemt de rol van Product Owner op zich. Afhankelijk van de volwassenheid van de Agile organisatie, de kennis van de Agile methode van de Product Owner, de complexiteit en de omvang van de audit zou de Product Owner ook als Scrum Master kunnen optreden. In dit geval heeft de Product Owner verschillende rollen waarbij hij wel verantwoordelijk is voor de inhoudelijke uitvoering van de audit en voor het auditresultaat.

De uitvoering van een Agile audit is op de volgende pagina visueel weergegeven. Vanuit de audit backlog1 wordt het auditonderwerp bepaald dat vervolgens wordt opgesplitst in meerdere sprints. Deze sprintuitkomsten dienen vervolgens gebruikt als input voor het auditproduct.

Het Agile auditproces kent de volgende drie hoofdfasen:

1. Planning en vooronderzoek

2. Audituitvoering

3. Afronding en evaluatie

¹ Een overzicht met veelgebruikte termen en definities op het gebied van Agile auditen is te vinden in deel 1 van deze serie

Page 9: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

© 2020 KPMG Advisory N.V.

Agile Internal Audit I 9

Planning & Vooronderzoek

— Bepalen van audit object onder verantwoordelijkheid van de Product Owner op basis van audit backlog, stakeholder input en key elementen

— Planning en vooronderzoek om de relevante aspecten mee te nemen in de audit

— Vooraf definiëren van meer- waarde/doel van de audit in de Definition of Ready

Audituitvoering

— Verdeling van uit te voeren werkzaamheden op basis van verschillende sprints welke worden uitgevoerd. Afhankelijk van sprint uitkomsten (Definition of Done) bepalen wat de vervolgstappen van de audit zijn

— Stand-ups met auditee om voortgang en nieuwe inzichten te bespreken

Afronding en evaluatie

— Formeel afronden van sprint activiteiten & taken middels Audit Product welke wordt gedeeld met auditee en stakeholders

— Audit Product bevat doelstelling, reikwijdte, conclusie, aan- bevelingen en actieplannen

Product Owner, IA-team en Auditees

Product Owner, IA-team en Auditees

Sprintafronding - met IA-team en Auditees

AuditProduct

Definition of Done

2 tot 5 dagensprints

Auditobject

Planning &vooronder-zoekScope

Sprint-uitkomsten

Sprint 2AanpassensprintplanningAfronding

Sprint-planning

Sprint 1Sprint 2Sprint 3Etc.

Definition of Ready

Stakeholders Scrum Master

Keyelementen

Timing vorige auditResultaten vorige auditEtc.

Auditbacklog

Page 10: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

10 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Uitvoering van een Agile Audit Planning & vooronderzoek (2/2)Planning en vooronderzoekHet uitvoeren van een Agile Internal Audit begint vanuit het Audit Universe, oftewel bij het overzicht van alle mogelijke auditonderwerpen. in de organisatie Vanuit dit Audit Universe wordt bepaald wat er daadwerkelijk geaudit gaat worden door de uitvoering van verschillende sprints.

Vanuit het Audit Universe wordt de audit backlog, met daarin de relevante audit-objecten, bepaald. Dit begint bij de (traditionele) strategische risico-analyse. Dynamische Risk Assessment kan helpen om de belangrijkste risico’s te identificeren, te verbinden en te visualiseren in vier dimensies (kans, impact, snelheid, interconnectiviteit)¹. Hiermee wordt in kaart gebracht welke risico’s de organisatie loopt en wat een mogelijk auditobject wordt. De output van deze risicoanalyse is de audit backlog met daarin alle auditobjecten die in de komende periode voor een audit in aanmerking komen. Hierbij wordt ook rekening gehouden met key elementen zoals de datum van de laatste audit op het object (met het oog op de periodieke afdekking van het Audit Universe) en de resultaten van deze audit.

In tegenstelling tot een statisch internal audit-jaarplan (of meerjarenplan) worden de items op de audit backlog op periodieke basis (bijvoorbeeld elk kwartaal) met de stakeholders (o.a. het bestuur en het Audit Commissie geëvalueerd, afgestemd en waar nodig aangepast.

De Product Owner maakt de planning van de daadwerkelijke audits op het auditobject. Deze rangschikt de audit backlog op basis van vooraf opgestelde criteria en het object met de hoogste score wordt geselecteerd als auditobject. Hiermee bepaalt het IA-team WAT er geaudit wordt.

¹ Lees meer over het toepassen van Dynamic Risk Assessment in deze publicatie

Het IA -team, de Product Owner en de auditee maken afspraken over dit auditobject. Deze afspraken betreffen minimaal het doel van de audit, de verwachte meerwaarde hiervan en de vereisten vanuit de auditee. Deze set van afspraken vormen tezamen de Definition of Ready (DoR). De DoR helpt om het doel van de audit aan de hand van een hypothese te formuleren. Een voorbeeld van een dergelijke hypothese is: ‘Het proces X is effectief of ‘De principes van thema Y worden nageleefd binnen de organisatie’.

Na de overeenstemming over de DoR kan het auditteam beginnen met het bepalen van de sprintplanning. Het audit-object is onder te verdelen in verschillende sprints. Een Definition of Done (DoD) beschrijft de criteria waar de resultaten van een sprint aan moeten voldoen. Hierbij kan worden gedacht aan de testresultaten in de vorm van een lijst met bevindingen of een niveau van zekerheid over de werking van de controls. Wanneer de DoD is behaald, is de sprint afgerond.

Er zijn verschillende manieren om het auditobject onder te verdelen in sprints. Dit wordt nader toegelicht in de volgende secties.

Audit Universum

Audit Backlog

Auditobject

Sprint 1 Sprint 2 Sprint 3

10 | Agile Internal Audit

Page 11: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 11

© 2020 KPMG Advisory N.V.

Uitvoering van een Agile Audit Audituitvoering (1/2)Na het bepalen van het WAT (in de vorm van het auditobject) en het overeenkomen van de afspraken in de DoR, vestigt het team aandacht op het HOE van de audit. De uitvoering van een Agile audit vindt plaats in twee stappen, (1) het bepalen van de sprintplanning en (2) het daadwerkelijk uitvoeren van de sprints tot is voldaan aan het doel van de audit.

1. Sprintplanning opstellenHet doel van de audit geeft richting aan de sprintplanning.Hieronder worden twee voorbeelden gegeven vanmanieren waarop een dergelijke planning opgesteldkan worden. Het is raadzaam om als IAF samen met destakeholders en de auditee continu op zoek te gaan naarde ‘perfect fit’ om de methode te bepalen die past bij hetauditobject en de DoR.

Voorbeeld a - Risicogebaseerde aanpakEen eerste methode is om een aanpak te kiezen gebaseerdop de risico’s in het auditobject. Controls gericht op hetmitigeren van de grootste risico’s in het proces vormensprint 1, controls gericht op een medium risico sprint 2 ende resterende risico’s worden meegenomen in sprint 3.Op deze wijze wordt eerst aandacht besteed aan debelangrijkste controls en elementen in het auditobject.

Voorbeeld b - Topicgebaseerde aanpakEen tweede methode is om het auditobject te verdelen inverschillende topics die van invloed zijn op het object.Hierbij kan worden gedacht aan wet- en regelgeving, IT,governance, etc. Controls die betrekking hebben op dezetopics vormen in dit geval samen een sprint. Deze aanpakheeft als voordeel dat helder is welke kennis en expertisebenodigd is voor de uitvoering van de individuele sprint.Bijvoorbeeld op het gebied van IT kan de specifieke kennisvan een IT-auditor nodig zijn.

Potentiële controls binnen audit object

Control 1

Control 2

Control 3

Control 4

Control 5

Control 6

Hoog

Gemiddeld

Gemiddeld

Laag

Hoog

Hoog

Control Risico score

Voorlopige sprint planning

Control 1

Control 5

Control 6

Control 2

Control 3

Control 4

Sprint 1: Hoog risico controls

Sprint 2: Gemiddeld risico controls

Sprint 3: Laag risico controls

Page 12: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

12 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Uitvoering van een Agile Audit Audituitvoering (2/2)2. Sprints uitvoerenOp basis van de sprintplanning voert het IA-team sprints uit.Na afronding van elke sprint vindt een evaluatie plaats van deresultaten om te bepalen in hoeverre aan het doel van de auditis voldaan. De centrale vraag hierbij is of met de uitgevoerdesprint voldoende bewijs is verzameld om de hypothese tebeantwoorden. In de evaluatie na de sprints wordt bepaaldwat de vervolgstappen zijn voor de audit. Hierin kan hetvolgende onderscheid worden gemaakt:

a. Verder te gaan met de volgende sprint conformde sprintplanningDit zal worden gedaan indien er nog niet volledig aan hetdoel van de audit is voldaan en het niet nodig is om dewerkzaamheden in de sprints aan te passen.

b. Bijstellen van de sprintplanningIndien nog niet volledig aan het doel van de audit isvoldaan, kan het nodig zijn om door de verkregen inzichtenin de eerdere sprints de sprintplanning aan te passen.Zo kan er worden besloten om werkzaamheden uit eenlatere sprint eerder uit te voeren om zo op een efficiënteen effectieve wijze de audit te voltooien.

c. Werkzaamheden afronden en rapporterenIndien voldoende bewijs is verzameld met de uitgevoerdewerkzaamheden in de sprint, kan worden gestopt metde uitvoering van de audit en kan de audit beëindigd engeëvalueerd worden. Deze fase wordt verder toegelichtop pagina 13. Het verder volgen van de sprintplanning zalgeen / weinig waarde toevoegen. Daarom is het dan beterom te rapporteren en verder te gaan met het volgendeauditobject vanuit de audit backlog.

Het IA-team bespreekt in een retrospective ook de voortgang van de audit in periodieke stand-ups samen met de auditee. De frequentie van deze stand-ups is afhankelijk van de doorlooptijd van de audit en de behoeftes van het IA-team.

Binnen deze stand-ups wordt een sprint demo gehouden om de uitgevoerde sprintwerkzaamheden sinds die vorige stand-up en de resultaten hiervan te bespreken met de betrokkenen. Daarnaast worden in de stand-up de planning en mogelijke obstakels en risico’s van de audit doorgesproken.

© 2020 KPMG Advisory N.V.

Sprint 1 Test werkzaamheden

Evaluatie sprint werkzaamheden

Potentiële vervolgstappen

Control 1 EffectiefControl 5 Niet effectief Control 6 Niet effectief

— Control 5 werkt niet zoals verwacht.

— Aanvullende werkzaamheden nodig voor control 6

— Voer een volgende sprint uit rekening houdend met de resultaten.

— Bijstellen van de sprint planning.

— Stoppen met de audit.

Bespreking uitkomsten van de sprint met

de auditee

Page 13: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 13

© 2020 KPMG Advisory N.V.

Uitvoering van een Agile Audit Afronding en evaluatieNadat voldoende bewijs is verzameld om het doel van de audit te behalen, wordt begonnen met de afronding en evaluatie-fase van de Agile auditmethodiek. Hierin wordt het audit-product opgesteld dat de resultaten van de audit bevat. De uitkomsten van de sprints vormen gezamenlijk input voor het auditproduct. Dit auditproduct wordt gedeeld met de auditee en de stakeholders en kan in diverse vormen worden gecommuniceerd. De IIA Standaarden schrijven namelijk niet expliciet voor dat de IAF schriftelijk volgens vaste formats moet rapporteren. Het bespreken van het auditproduct in een sprint demo kan ook input opleveren voor de audit backlog.

Het IA-team kan gewoon rapporteren in de vorm van een traditionele rapportage. Een ander voorbeeld van een audit-product uit de praktijk is een ‘Gallery walk’. Een ‘Gallery walk’ houdt in dat de audituitkomsten worden gepresenteerd aan de stakeholders in een gezamenlijke meeting en op een brown paper worden vastgelegd. Op deze manier krijgt het auditteam de gelegenheid om de observaties nader te duiden en vervolgacties voor te stellen en de auditee en stakeholders worden in de gelegenheid gesteld om de uitkomsten te bespreken. Door de uitkomsten te presenteren, ontstaat een dialoog tussen het auditteam en de auditee. In deze vorm geeft de rapportage door middel van visuele communicatie de boodschap extra kracht. Deze resultaten dienen conform de IIA Standaarden te allen tijde de doelstellingen en reik-wijdte van de auditconclusies (en eventueel aanbevelingen en de actieplannen) te bevatten.

Na de oplevering van het auditproduct wordt het volgende auditobject bepaald en wordt de audit weer op een Agile manier uitgevoerd. De follow-up van de implementatie van de vervolgacties wordt als item opgenomen in de audit backlog.

Do: Ga continu terug naar het doel van de audit om te bepalen of de testresultaten voldoende bewijs leveren om het doel te behalen

Don’t: Voer in één keer een audit uit op een volledige functie of volledig proces met alle controls in scope

Do: Focus op het resultaat: voltooi een sprint en (her)overweeg de vervolgstappen (zijn alle stappen relevant?)

Don’t: Focus op het auditproces: voltooi de volledige testprocedures in plaats van het starten met de rapportage.

Do: Werk volgens een flexibele planning: prioriteer continu auditgebieden, problemen en risico’s samen met de stakeholders.

Don’t: Werk volgens een vaste gedetailleerde planning voor een lange periode zonder deze bij te werken.

Do: Lever regelmatig updates over de voortgang van de audit en stel de audit bij indien nodig.

Don’t: Plan geen afstemmingsmomenten tussen het IA-team en de auditee in om de voortgang te bespreken en af te stemmen en waar nodig bij te stellen.

Do’s and Don’ts bij Agile Internal Audit

Page 14: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

14 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Agile auditen bij Bank Y

CASUS

© 2020 KPMG Advisory N.V.

14 | Agile Internal Audit

Wat doet Group Audit van Bank Y met ‘Agile’?

¹ Dev staat voor Development en Ops voor Operations. DevOps kent twee kernprincipes: Continuous Integration en Continuous Delivery. DevOps verschilt wezenlijk van Agile principes, maar maakt Agile tegelijkertijd af, waar Agile om begonnen is: technologische en procesmatige integratie tussen ontwikkeling en beheer. Mocht u hier meer over willen weten, verwijzen we u graag naar dit artikel

Het is belangrijk om een breed draagvlak te creëren bij auditors en bij de business voor deze nieuwe werkwijze. Laat enthousiaste auditors (‘voorlopers’) experimenteren in ‘Agile en audit’ en deel actief de successen. Tevens is steun vanuit het MT essentieel.

Wat zijn tips voor een IAF die Agile werken gaat introduceren?

Group Audit is sinds 2017 actief betrokken bij Agile initiatieven van Bank Y. Wij onderzoeken Agile teams en processen, werken hierin proactief samen met ‘de business’ en experi-menteren met het uitvoeren van audits op een Agile manier.

Agile auditaanpak verankerd in onze auditmethodologieBij audits die we op een Agile wijze uitvoeren werken we in ‘sprints’, korte auditperiodes, die leiden tot tussenresultaten vastgelegd in een Agile rapporttemplate, zodat management al verbeteracties kan opstarten. Na afronding van de audit, en dus diverse sprints later, volgt een auditrapport met de resterende bevindingen.

Cultuur en gedragWe organiseren regelmatig IT ‘kennislunches’, waarin we kennis en ervaringen rond Agile uitwisselen tussen auditors, en met het bedrijf. De uitkomsten verwerken we ook in auditwerkprogramma’s. Op dit moment werken cultuur- en gedragsexperts samen met auditors aan de werkprogramma’s voor Agile teamprocessen en DevOps¹.

Demo’s in Group AuditRondom bankbrede auditthema’s zijn ‘cirkels’ geïnitieerd. Hierbinnen worden elke zes weken ‘sprintdemo’s’ gegeven aan het Management Team van Group Audit. Auditors delen dan hun successen, planning en prioriteiten voor de komende sprintperiode. Van elkaar leren staat hierbij voorop.

Retrospectieve!De belangrijkste les is dat een transformatie naar Agile een cultuurverandering betekent, die tijd kost en stapsgewijs verloopt. Het begrip Agile kan voor iedereen wat anders betekenen. Het is een uitdaging om ‘Agile’ steeds weer op heldere wijze over te brengen en zo iedereen mee te krijgen in deze Agile cultuurverandering.

Page 15: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 15

© 2020 KPMG Advisory N.V.

Uitdagingen van Agile Internal Audit Verandering gaat vaak gepaard met ongemak. Ongemak waar we ons tegen keren omdat we dit willen vermijden. Uit de praktijk blijkt dat er verschillende uitdagingen zijn bij het Agile werken. Het toepassen van Agile auditing vraagt, zoals eerder benoemd, om een andere inrichting van de IAF, maar ook om het op een andere manier uitvoeren van de werkzaamheden.

1. Uitdagingen bij de inrichting van een IAF

Bij de inrichting lopen de IAF’s tegen diverse uitdagingen aan. Deze uitdagingen hebben voornamelijk betrekking op de mindset en ervaring van het auditteam. Om het toepassenvan Agile werken tot een succes te maken, zijn het ‘willen’ en het ‘kunnen’ twee belangrijke condities.

De uitdagingen ten aanzien van het ‘willen’ kunnen worden opgelost door de noodzaak te benadrukken bij de interne auditors. Dit kan worden gedaan door het team vroegtijdig kennis te laten maken met Agile principes en het delen van Agile best practices. Hierbij is ook de steun van het manage-ment belangrijk om deze veranderingen te bewerkstelligen.Het ‘kunnen’ is een belangrijke uitdaging, omdat kennis en ervaring met Agile werken (veelal) ontbreekt. Deze uitdaging kan beperkt worden door een (ervaren) Scrum Master in te zetten om het IA-team intensief en vroegtijdig te begeleiden. Daarnaast is het van belang dat het uitvoeren van Agile audits wordt gefaciliteerd, bijvoorbeeld middels trainingen of door het inzetten van ervaren Agile guest auditors.

2. Uitdagingen in de uitvoeringsfase

Uit de praktijk blijkt dat de meeste IAF’s grote uitdagingen ervaren in de uitvoering van een Agile audit.

Een van deze uitdagingen heeft betrekking op de documen-tatiestandaarden. In de IA-wereld heerst soms, ten onrechte, de aanname dat documenteren bij Agile werken overbodig is. Een IAF dient de resultaten van de audit te onderbouwen door deze voldoende te documenteren, zoals vastgelegd in de IIA Standaarden. Agile werken vraagt een interne auditor om kritisch te kijken naar de relevantie en noodzaak van de vast te leggen documentatie. Denk hierbij bijvoorbeeld aan alleen het vastleggen van de bevindingen en het niet vastleggen van testwerkzaamheden welke niet bijdragen aan de uiteindelijke audituitkomsten.

De tweede uitdaging heeft betrekking op een flexibele planning (audit backlog). Doordat de auditee en het IA-team tijd nodig hebben om zich voor te bereiden voor een audit, is het wijzigen van de planning niet altijd handig. Een flexibele planning vraagt om veel en duidelijke interactie tussen de stakeholders, een auditee en het IA-team om verrassingen te voorkomen.

Page 16: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

16 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Traditionele tegenover Agile auditaanpakDe kenmerken van de verschuiving van de traditionele naar de Agile auditmethode kunnen als volgt worden beschreven:

Zelfstandig opererende auditteams ingericht naar de structuur van de organisatie. Deze teams zijn veelal vast en kennen een hiërarchische structuur. De auditteams worden aangestuurd door senior auditors of audit-managers.

Vastgesteld jaarplan en planning voor een lange periode (jaar of meerjarenplan) die niet of nauwelijks wordt bijgewerkt op basis van relevante ontwikkelingen.

Focus op het (waterval-) proces van de audit. De auditstappen dienen te worden voltooid voordat er verder wordt gegaan met de volgende stap en audit. Tussen het auditteam en de auditees zijn weining tussentijdse afstemmingsmomenten.

Auditproducten bestaan uit audits waarin naar volledige processen of onderwerpen wordt gekeken met relatief lange doorlooptijden. De focus hierbij ligt voornamelijk op het geven van assurance. Een audit moet conform planning uitgevoerd worden.

Vast schriftelijk rapportageformat.

Samenwerking tussen multidisciplinaire teams, aangevuld met Agile experts per sprint zodat alle benodigde kennis voor de uitvoering van de sprints aanwezig is. Deze teams worden per sprint bepaald waarbij de taakverdeling afhankelijk is van de uit te voeren werkzaamheden (in plaats van het functieniveau).

Flexibele planning met reguliere (bijvoorbeeld elk kwartaal) afstemmingsmomenten met de Raad van Bestuur of Audit Commissie. De risicoanalyse wordt frequenter uitgevoerd resulterend in een agile auditplan.

Focus op het resultaat van de audit. Frequente stand-ups om samen te bespreken waar iedereen mee bezig is en of er hulpvragen zijn. Met de auditee is er veel iteratief contact en er zijn meer afstemmingsmomenten.

De audits inclusief de sprints hebben in het algemeen een kortere doorlooptijd. De Agile IAF heeft een belangrijke sparringspartner- en adviesrol. Indien de doelstelling van de audit eerder wordt behaald, wordt er direct gerapporteerd. Dit geldt ook wanneer de audit geen toegevoegde waarde (meer) oplevert; er wordt dan sneller gestopt met de audit.

Naast full-scope audits heeft de IAF ook andere audit-producten zoals quickscans. Er is een flexibele vorm van rapporteren waarbij in ieder geval doelstellingen en reikwijdte van de audit, conclusies, aanbevelingen en actieplannen worden gerapporteerd.

AgileTraditioneel

Page 17: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

Agile Internal Audit I 17

© 2020 KPMG Advisory N.V.

• Agi-Fall bij Uitvaartverzekaar

CASUS

Agile Internal Audit I 17

© 2020 KPMG Advisory N.V.

Agi-Fall bij Internal Audit Uitvaartverzekaar

— Per sprint geven we onze observaties terug aan de betrokkenen tijdens een sprint demo. Bij deze demo worden de bevindingen, risico-inschatting en acties afgesproken en de prioriteiten voor de volgende sprint.

— We werken vaak met meerdere stakeholders in plaats van met één opdrachtgever en hebben het gesprek met

alle stakeholders samen, zodat een onderlinge discussie ontstaat. We proberen zo veel mogelijk aan te sluiten bij MT-vergaderingen en stuurgroepmeetings.

— Durf een periode uit te trekken om in de volle breedte te experimenteren. Wij hebben een half jaar genomen om als team alle facetten van Agile toe te passen en te ervaren wat voor ons team wel en niet werkt. Het vergt echt een andere mindset.

— Ja, dossiervorming en vaktechniek blijven belangrijk, maar durf dit (even) los te laten. Redeneer eerst even niet vanuit standaarden, maar redeneer vanuit toege-voegde waarde voor de klant. Bepaal dan eventuele mijlpalen en vaktechniek volgt daar vanzelf uit. We richten nu ons dossier in zodat het ons ondersteunt in onze aanpak én voldoet aan vaktechnische eisen.

De aanpak helpt ons om elke audit bijzonder te maken. We experimenteren met verschillende werkvormen en gebruiken veel visuals. Ons oordeel staat niet meer centraal, maar wel de verandering die nodig is. Bevindingen worden eerder opgepakt en we hebben meer enthousiaste collega’s.

Onze audits richten zich op wat er nodig is om de Uitvaart-verzekaar beter te maken. Internal Audit richt zich meer op wat nodig is voor verandering en niet op het maken van afspraken vooraf over wat we gaan doen. In plaats daarvan stemmen we zeer frequent af waar tijdens de audit al verbetering mogelijk is en waar onze aandacht nog meer naar uit kan gaan. Dit vergt vertrouwen en lef.

Dit kan ook inhouden dat we besluiten om eerder te stop-pen zodra bereikt is wat het management nodig heeft. Onze aanpak is een combinatie van Agile en Waterfall: onze aanpak is Agi-Fall. Het belangrijkste is dat je frequente en korte feedbackloops hebt met de stakeholders en niet alleen bij de rapportbespreking. Bij deze terugkoppeling vindt afstemming plaats over onze uitkomsten en het geeft richting aan wat nodig is. We zien dat tijdens de audits de bevindingen van eerdere sprints al zijn opgepakt.

Belangrijke ervaringen hierbij zijn:

— Ons auditplan is gericht op risicothema’s; prioritering van onze onderzoeken doen we samen met de belangrijkste stakeholders.

— Zet verschillende auditproducten in binnen de audit. Soms is assurance gewenst, maar vaak is inzicht al voldoende. Internal Audit kan veel meer dan men denkt.

— Formuleer de vraagstellingen vanuit het gezichtspunt van en samen met de auditee. Zo is vooraf duidelijk dat de verantwoordelijke ook iets met de uitkomsten gaat doen. Durf hierbij in producten te experimenteren, je staat immers voor dezelfde zaak!

Page 18: Agile Internal AuditAgile Internal Audit I 3 2020 KPMG Advisory N.V. KPMG heeft in 2019 internationaal onderzoek uitgevoerd 1 onder meer dan 120 organisaties naar de toepassing van

18 | Agile Internal Audit

© 2020 KPMG Advisory N.V.

Tot slot, waarom Agile Internal Audit voor IAF’s?

Contact

Focus op continue prioritering van aandachtsgebieden en daardoor bieden van relevant inzicht

Verhoogde auditkwaliteit

Kortere auditcycli en sneller opleveren van (deel)product

Meer interactie tussen auditteam en auditee

Huck ChuahInternal Audit ServicesPartnerT: +31 6 463 660 13E: [email protected]

Svetlana Vrubleuskaya Internal Audit ServicesSenior ConsultantT: +31 6 228 083 03 E: [email protected]

De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie.

@ 2020 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.

Jacco PolsInternal Audit ServicesSenior Consultant T: +31 6 138 670 72E: [email protected]