Control Self Assessment in 6 stappen

Control Self Assessments (CSA’s), een hulpmiddel om via een zelfbeoordeling vast te stellen dat de maatregelen op de goede manier hebben gewerkt, is niet nieuw. Maar de manier hoe wij audit kennis en competenties, normaliter het terrein van de derde lijn, inzetten om de eerste en tweede lijn te helpen om ‘in control’ te geraken is wèl nieuw. In ieder geval nieuw genoeg om de aanpak in een blog te delen.

Bij CSA’s gaat het vaak om door anderen/derden, bijvoorbeeld een toezichthouder of andere bepalende instantie, opgelegde maatregelen. Of een door hogerhand bepaalde verplichting om te voldoen aan een standaard of control framework. Bijvoorbeeld de business vereiste om te voldoen aan ISO27001 (informatiebeveiliging), het Privacy Control Framework van NOREA om te voldoen aan de AVG, etc. CSA’s worden dan ingezet in de 1e en 2e lijn om vast te stellen dat de maatregelen a) in opzet voldoende zijn beschreven (beleid, procedures, werkinstructies) en b) gedurende een relevante periode ook conform de opzet hebben gewerkt.

Duidelijk is dat er bij een self assessment van onafhankelijkheid geen sprake is (in tegenstelling tot het werk dat de internal auditor in de 3e lijn uitvoert) en dat daarbij de nodige uitdagingen zijn op het vlak van het juist inrichten, uitvoeren, vastleggen en beoordelen. Typisch domeinen waar de internal auditor sterk in is.

In een eerdere blog heb ik geschreven over de verwachting van de toezichthouder financiële sector, DNB, dat instellingen “zelf aantonen dat ze hun informatiebeveiliging op orde hebben”. Daarmee doelt DNB erop dat er Control Self Assessments worden uitgevoerd die (weer) worden gevalideerd door de Internal Auditor. Dat is vanuit het perspectief van de “three lines” natuurlijk niet zo vreemd: als de toezichthouder als eerste in de keten van eerste, tweede, derde (en vierde?) lijn gaat vaststellen of de organisatie fatsoenlijke informatiebeveiligingsmaatregelen heeft getroffen, dan gaat er iets mis. Net zo goed dat het verkeerd gaat als de internal auditor als eerste in de keten gaat vaststellen dat de risico’s zijn gemitigeerd. Het management heeft dan zelf geen (onderbouwd) benul of ze ‘in control’ zijn. Een auditrapport verschaft dan wel inzicht in de huidige situatie, maar van assurance is dan geen sprake.

Het simpelweg vragen of de internal auditor een audit wil uitvoeren is niet voldoende; DNB verwacht dat de eerste en tweede lijn eerst zélf aantonen dat ze voldoen. Daarnaast zal een auditrapport, indien de business niet eerst zelf een beoordeling heeft uitgevoerd, vaak bol staan van bevindingen waarmee de organisatie niet verder geholpen wordt. Het is dus zinvol om de expertise van de auditor in te zetten daar waar de meeste behoefte aan is; vaak is die behoefte in eerste instantie niet het leveren van assurance, maar het “helpen in control te geraken”. 

Bij meerdere klanten hebben we een, ondertussen bewezen, stappenplan geïntroduceerd om CSA’s vanuit de derde lijn in te zetten:

Een internal auditor die helpt de organisatie ‘in control’ te krijgen? Is dat niet een gevaar voor de onafhankelijkheid? Moet de internal auditor daar niet ver van blijven? Inderdaad. Maar dat betekent niet dat je als internal auditor niet je kennis en competenties kunt inzetten op het proces waarmee de business ‘in control’ raakt. Zolang je ver weg blijft van het inrichten van de controls, kun je een enorme toegevoegde waarde bieden aan de organisatie. Je kunt ze helpen omdat je ergens goed in bent, terwijl je de verantwoordelijkheid laat waar die hoort; in de eerste en tweede lijn.