executive master of internal auditing - iia.nl kleine iad iia standaarden.pdf · van het...

Drs. Y.F.Stuijt

Executive Master of Internal Auditing

Kleine interne audit afdelingen en de

IIA-standaarden.

Auteur: Drs. Y.F. Stuijt

Plaats: Amsterdam, 29 januari 2010

Naam begeleider: M.D. Jongejan RA, RO, EMIA

Kleine interne audit afdelingen en de IIA-standaarden

Drs. Y.F.Stuijt 2 van 54

Inhoudsopgave Voorwoord .............................................................................................................................................................. 3

Samenvatting ........................................................................................................................................................... 4

Hoofdstuk 1. Inleiding ............................................................................................................................................ 7

1.1. Aanleiding voor het onderzoek ................................................................................................................... 7

1.2. Doelstelling en probleemstelling ................................................................................................................. 7

1.3. Het onderzoeksmodel en -methode ............................................................................................................ 8

1.4. Leeswijzer ................................................................................................................................................. 10

Hoofdstuk 2. Wat houden de IIA-standaarden in? ................................................................................................ 11

2.1. De inhoud en werking van de IIA-standaarden ......................................................................................... 11

2.2. Het proces van kwaliteitsbeheersing ......................................................................................................... 13

Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen ........................................................................ 14

Stap 2: Het implementeren van kwaliteitsmaatregelen ................................................................................ 14

Stap 3: Het proces van zelfevaluatie ............................................................................................................ 15

Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen .................................................................. 17

2.3. Samenvatting en conclusie ........................................................................................................................ 18

Hoofdstuk 3. De praktische problemen ................................................................................................................. 19

3.1. Probleeminventarisatie .............................................................................................................................. 19

3.2. Probleemanalyse ........................................................................................................................................ 21

3.2.1 Indeling van de problemen in het proces ........................................................................................... 21

3.2.2. Prestatiekloof ..................................................................................................................................... 22


Hoofdstuk 4. Een pragmatische aanpak ................................................................................................................ 27

4.1. Bevindingen .............................................................................................................................................. 27

4.2. Verbeteracties ............................................................................................................................................ 28


Hoofdstuk 5. Het projectplan ................................................................................................................................ 32

5.1. Het bundelen van de activiteiten ............................................................................................................... 32

5.2. Een verbetertraject ..................................................................................................................................... 38

5.3. Een rapportage-instrument ........................................................................................................................ 40


Hoofdstuk 6. Conclusie ......................................................................................................................................... 42

6.1. Conclusies aanvullende onderzoeksvragen ............................................................................................... 42

6.2. Beantwoording van de centrale vraagstelling ............................................................................................ 43

6.3. Stellingen ................................................................................................................................................... 44

6.4. Aanbevelingen ........................................................................................................................................... 44

Dankwoord ............................................................................................................................................................ 44

Bijlage I Path to Quality Model .................................................................................................................... 45

Bijlage II Interviewvragen.............................................................................................................................. 48

Bijlage III AO/IC-beschrijving ........................................................................................................................ 48

Bijlage IV QSAT Rapportage Tool .................................................................................................................. 52

Bijlage V Modellen, Schema’s & Tabellen .................................................................................................... 52

Bijlage VI Gebruikte afkortingen .................................................................................................................... 53

Bijlage VII Literatuurlijst ................................................................................................................................ 53



Voorwoord ‘Kleine interne audit afdelingen en de IIA-standaarden’ luidt de titel van mijn referaat. Het onderwerp bleek

ingewikkelder dan de titel doet vermoeden.

In de eerste plaats is het onderwerp ingewikkeld omdat de interne audit afdeling vele verschijningsvormen kent

en daardoor niet eenduidig te definiëren is. De omvang van de interne audit afdeling is een relatief begrip.

Afhankelijk van de dimensies en de complexiteit van een gegeven organisatie kan een keuze gemaakt worden

waar de toetsende functie belegd wordt. Bij een kleine organisatie past een besturingsstructuur die weinig

specialisatie kent en kan de toetsende functie bij de controller belegd worden. Zo kan ook de omvang van de

audit afdeling per land verschillen. Amerikaans onderzoek definieert een omvang tussen 1 en 10 full time

equivalent (FTE) als klein (O’Regan, 2003), terwijl in Nederland ongeveer 80% van het ledenbestand van het

IIA in deze categorie valt. Ten slotte kan een afdeling met twee auditoren klein genoemd worden, terwijl de

afdeling door het uitbesteden van audits een omvangrijk audit gebied beslaat.

In de tweede plaats is het onderwerp ingewikkeld omdat de oordeelsvorming met betrekking tot het naleven van

de standaarden niet eenduidig is. Het IIA heeft regels opgesteld voor het vormen van een oordeel die speelruimte

bieden. Als er geen heldere beoordelingsregels zijn vastgelegd hoe kan de interne audit afdeling zelf dan

beoordelen of haar eigen stelsel van interne kwaliteitsmaatregelen voldoet aan de standaarden? Hoe komt een

hoofd van een kleine audit afdeling tot een objectieve beoordeling of de interne kwaliteitsbeheersing binnen zijn

of haar afdeling voldoende is? Ook de juridische basis voor de kwaliteitstoets lijkt verwarrend voor wat betreft

het niet helder beleggen van de verantwoordelijkheden ten aanzien van de kwaliteitstoets. Hierdoor wordt de

handhaving van de kwaliteitseisen bemoeilijkt. Het IIA selecteert voor haar toetsing een audit afdeling op basis

van het lidmaatschap van de internal auditor (individu). Het onderwerp van toetsing echter is de audit afdeling

(organisatie eenheid) terwijl de omgeving (directie) waar de audit afdeling zich bevindt haar goedkeuring en

medewerking dient te verlenen. Wordt er geen goedkeuring of medewerking verleend door het bedrijf

(organisatie) of vindt er zelfs verhindering plaats, dan vindt er geen toetsing plaats. Bedrijven die niet

meewerken, krijgen gewoonweg geen vermelding op de lijst van getoetste bedrijven op de website van het IIA

NL. Ook is onduidelijk of de naam van het bedrijf, waarvan een afdeling wel meewerkt en gecertificeerd wordt

maar waarvan de verantwoordelijke auditor vertrekt, op de lijst blijft staan. Door de vele actoren zoals het

individu van de auditor, de organisatie eenheid, de directie of de gehele organisatie is het niet altijd duidelijk wie

verantwoordelijk is voor het naleven van de standaarden. Er bestaan echter geen sancties.

Het was achteraf gezien geen eenvoudige opgave om de problematiek diepgaand aan de orde te stellen. Toch ben

ik blij dat ik het heb gedaan, gezien het resultaat van mijn onderzoek. Het resultaat voor mij was het blootleggen

van de uitgangspunten voor een professionaliseringsslag. Deze uitgangspunten zijn ten eerste dat de individuele

auditor zelf verantwoordelijk is voor kwalitatief goed auditwerk en dat bij de externe IIA toetsing de afdeling

gecertificeerd wordt en niet de verantwoordelijke auditor. Het tweede uitgangspunt bestaat uit een minimaal

kwaliteitsniveau met een minimale set aan bewijsstukken om aan de minimale eisen aan kwaliteit te voldoen.

Ten derde dat de noodzaak om minimaal of ‘kaal’ te werken groter is voor een éénpitter of voor een groepje van

enkele auditoren die zich organiseren binnen een kleine audit afdeling, dan voor een grotere audit afdeling. Deze

uitgangspunten gaven mij voldoende vertrouwen om dit onderzoek uit te voeren. Ik ben hierdoor een auditor

geworden die zelfverzekerder is, achter zichzelf kan staan en meer oog heeft voor de toegevoegde waarde van

kwaliteitsbeheersing, juist binnen een kleine interne audit afdeling. Verder heb ik getracht om niet in procedures

te blijven steken maar voor de praktische problemen ook praktische oplossingen te zoeken. Het is daardoor een

projectplan geworden voor diegene die een start wil maken met het verbeteren van kwaliteit in zijn of haar kleine

audit afdeling. Succes!

Amsterdam, januari 2010



Samenvatting Dit referaat gaat over de kleine interne audit afdelingen en de IIA-kwaliteitsstandaarden. In Nederland werkt de

meerderheid van de auditoren (± 80%) in een kleine interne audit afdeling. Hoewel deze audit afdelingen klein in

omvang (1-10 auditoren) zijn, is het standpunt van de beroepsvereniging IIA dat (ongeacht de omvang van de

afdeling) hun standaarden het minimum niveau aangeven waar het interne stelsel van kwaliteitsbeheersing aan

dient te voldoen.

Aanleiding voor dit onderzoek zijn de vragen en onzekerheden van auditoren die werkzaam zijn in deze kleine

interne audit afdelingen. Met de beperkte menskracht en middelen weten zij niet hoe dit stelsel van

kwaliteitsbeheersing in te richten en de problemen op te lossen die zich daarbij voordoen. De vraag rees dan ook

of het niet te lastig is voor een kleine audit afdeling om te voldoen aan de IIA-kwaliteitsstandaarden.

Het doel van dit onderzoek is ten eerste om de problemen in kaart te brengen en vervolgens te onderzoeken

welke oplossingen (in de vorm van een projectplan) daarvoor geboden kunnen worden. Om dit doel te bereiken

wordt onderzocht: 1. Wat de standaarden voor kwaliteitsbeheersing voor iedere audit praktijk inhouden, 2. Wat

de werking van de standaarden is en 3. Hoe kleine interne audit afdelingen om kunnen gaan met de standaarden.

1. De standaarden voor kwaliteitsbeheersing voor iedere audit praktijk betreffen de volgende onderwerpen:

Standaard 1000: de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling,

Standaard 1100: de onafhankelijkheid van de afdeling en objectiviteit van auditoren,

Standaard 1200: de professionaliteit en deskundigheid in het uitvoeren van audits,

Standaard 1300: een kwaliteitsprogramma,

Standaard 2000: het effectief managen van de audit afdeling,

Standaard 2100: de rapportage over de activiteiten van de audit afdeling,

Standaard 2200: het uitvoeren van audits,

Standaard 2300: de informatie die nodig is om de doelstelling van de audit te behalen,

Standaard 2400: de communicatie van de resultaten van audits,

Standaard 2500: een monitoringssysteem voor ‘follow up’ acties,

Standaard 2600: de risicoacceptatie bij het management.

2. De werking van de standaarden bestaat uit een 1000-serie waar de procedures voorgeschreven zijn ten aanzien

van de opzet van de maatregelen voor het interne stelsel van kwaliteitsbeheersing. De 2000-serie schrijft

procedures voor ten aanzien van de werking van de maatregelen. De opzet en werking van de maatregelen

dienen op één lijn met elkaar te liggen en terug te vinden zijn in de vastleggingen binnen de audit afdeling.

3. Hoewel de standaarden geen specifieke aandacht geven aan kleine audit afdelingen worden in de praktische

adviezen (PA’s) die bij de standaarden door het IIA gegeven worden, op drie plaatsen wel naar de kleine audit

afdeling verwezen, namelijk:

1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke

validatie (PA 1300-1),

2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine

afdeling kan lastig zijn (PA 1312-2),

3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040).

De bovenstaande uitgangspunten leveren het kader om vervolgens te onderzoeken wat de problemen zijn voor de

kleine audit afdeling met de naleving van de IIA-standaarden. Daarvoor wordt onderzocht: 1. Hoe het proces van

kwaliteitsbeheersing eruit ziet 2. Wat de belangrijkste problemen en oorzaken zijn die kleine audit afdelingen



hebben met de standaarden en 3. Hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing en

hoe de prestatie van dit proces verbeterd kan worden.

1.De IIA-standaarden leggen de basis voor het proces van kwaliteitsbeheersing. Het proces bestaat uit vier

processtappen, namelijk het opzetten, het implementeren, het zelfevalueren en het bijsturen van het stelsel van

kwaliteitsmaatregelen.

2. De problemen die kleine audit afdelingen ten opzichte van grote audit afdelingen hebben:

1. er bestaat vaak een verschil in opvatting tussen de directie en de definitie van internal auditing over

doelstelling, rapportagelijn en prioriteit in het uitvoeren van de werkzaamheden. Dit verschil heeft een

grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in onvoldoende professionalisering

van de kleine audit afdeling,

2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben

een grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in teveel schommelingen die

niet opgevangen kunnen worden,

3. er worden andere eisen aan het personeel gesteld in kleine audit afdelingen dan in grotere afdelingen en

de ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals

inhuur of ondersteunende systemen. De oorzaak ligt in het ontbreken van een functieprofiel voor de

auditor in de kleine audit afdeling en onvoldoende gebruik van alternatieven,

4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het

kwaliteitsbeheersingsproces en geen monitoring van de effectiviteit van het proces. De oorzaak hiervan

ligt in onvoldoende professionalisering van de kleine audit afdeling,

5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is. De oorzaak

hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling,

6. audit stappen worden ingekort en het ontbreekt vaak aan stuurinformatie vanuit de

evaluatiewerkzaamheden. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine

audit afdeling,

7. bij éénpitters ontbreekt het aan de surveillance, en de kwaliteit en ontwikkeling kunnen niet worden

gegarandeerd. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling.

8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde naar de

organisatie toe dan grotere afdelingen. De oorzaak hiervan ligt in onvoldoende professionalisering van

de kleine audit afdeling,

9. de organisatie of de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij

grotere audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor. De oorzaak hiervan ligt

in onvoldoende professionalisering van de kleine audit afdeling.

De oorzaken van genoemde problemen leveren beperkingen op voor de kleine audit afdeling in haar streven om

te voldoen aan de standaarden.

3. Vervolgens is gekeken hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing. De

conclusie is dat meeste problemen zich voordoen bij het opzetten van het stelsel van kwaliteitsbeheersing. Dit

heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. In dit proces van

kwaliteitsbeheersing kan de prestatie verbeteren in de eerste processtap. Het gaat hier om het opzetten van

maatregelen met betrekking tot de eigenschappen die een organisatie en individuen moeten bezitten om

kwalitatief goede audit diensten te leveren.

De volgende fase in het onderzoek betrof het ontwikkelen van verbeteracties om de beperkingen van de kleine

audit afdeling te mitigeren of op te heffen. Hiervoor worden: 1 Uitgangspunten geïdentificeerd om acties te



benoemen, 2 de doelen vastgesteld waarvoor de acties dienen en 3 een projectmatige aanpak ontwikkeld waarbij

de verbeteracties gebundeld worden in drie verbeterprojecten.

1. De uitgangspunten voor het genereren van verbeteracties zijn:

1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie,

2. de kleine audit afdeling mag zich informeel organiseren,

3. de standaarden zijn de minimale ‘baseline’ voor het handelen van de individuele auditor,

4. de minimale set van werkzaamheden uitvoeren in het kader van kwaliteitsbeheersing,

5. een beter gebruik van het proces van kwaliteitsbeheersing met de vier processtappen, namelijk: het

opzetten, implementeren, evalueren en bijsturen van het stelsel van kwaliteitmaatregelen,

6. de IIA-ontwikkelstadia naar volwassenheid op het gebied van kwaliteit beter inzetten,

7. de IIA-beschrijving van het proces van zelfevaluatie beter gebruiken, en

8. de IIA-classificatie om de mate van het naleven van de standaarden te bepalen beter inzetten,

9. de uitwerking van de standaarden bij de kleine audit afdeling pragmatischer toepassen, want de kleine

audit afdeling dient haar beperkingen ‘actief’ en ‘zichtbaar’ te mitigeren.

2. De verbeteracties die ontwikkeld zijn om de beperkingen van de kleine audit afdeling te mitigeren of op te

heffen zijn gericht op:

1. de positie versterken van de kleine audit afdeling binnen de organisatie,

2. de beschrijving verbeteren van de audit afdeling met onder andere: een beschrijving van het totale

proces van kwaliteitsbeheersing, de afzonderlijke processtappen, de procedures en een AO/IC-

beschrijving van het proces van kwaliteitsbeheersing,

3. het beter toepassen van de vier ‘Best Practices’ om schommelingen op te vangen in budget, activiteiten,

menskracht en kwaliteitsprogramma door het maken van een begroting, een ‘risk based’ audit plan, een

analyse voor sourcing alternatieven en een kwaliteitsprogramma,

4. het beter inventariseren van voldoende informatiebehoeften voor een zelfevaluatie in hoeverre men aan

de standaarden voldoet,

5. een beter profiel opstellen van de auditor die geschikt is om in een kleine audit afdeling te werken.

3. De verbeteracties zijn gebundeld in drie verbeterprojecten in verband met de borging van de maatregelen.

Voert men deze als projecten uit, dan bereikt men het gewenste niveau van professionalisering om te voldoen

aan de standaarden en het optimaal inzetten van mensen en middelen. De verbeterprojecten zijn:

1. (her)inrichting van het proces van kwaliteitsbeheersing,

Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een

randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete kwaliteitsverbetering

maar vormt het fundament voor de kwaliteitsbeheersing,

2. het toepassen van beleid en procedures,

Dit project leidt tot het zo efficiënt mogelijk inzetten van middelen en menskracht en tot snellere doorlooptijden

van audits, peer beoordelingen en zelfbeoordelingen. Dit project leidt tot kwaliteits- en prestatieverbetering,

3. het verzamelen van informatie voor het management.

Dit project leidt tot het inzichtelijk maken, beheersen, evalueren en bijsturen van het gehele proces van

kwaliteitsbeheersing en het verminderen van de bureaucratie. Dit project leidt tot kwaliteit- en

prestatieverbetering.

De slotconclusie in dit onderzoek is dat er een professionaliseringsslag nodig is bij de kleine interne audit

afdelingen. Dit kan door het doorlopen van een verbetertraject dat leidt naar: 1 de naleving van de standaarden

en 2 het optimaal inzetten van mensen en middelen. Het is een lastige maar zeker geen onoverkomelijke klus

voor iedere auditor om zich volwaardig te wijden aan kwaliteit.



Hoofdstuk 1. Inleiding

1.1. Aanleiding voor het onderzoek Het ‘Institute of Internal Auditors’ (hierna: IIA) heeft een kwaliteitstoets voor de Interne Audit afdeling

ontwikkeld. Alle interne audit afdelingen waar interne auditors vallend onder het IIA-reglement werkzaam zijn,

zullen eenmaal in de vijf jaar aan toetsing onderworpen worden. Doel van een kwaliteitstoets is om een uitspraak

te doen over de mate waarin het interne stelsel van kwaliteitsbeheersing (in opzet en werking) voldoet aan de

algemeen aanvaarde normen voor de beroepsuitoefening. Deze normen heeft het IIA neergelegd in de

‘International Standards for the Professional Practice of Internal Auditing’ en de ‘Code of Ethics’ (hierna: IPPF).

Er kunnen ook normen door het lokale bestuur – de leden gehoord – vastgelegd worden in aanvullende

voorschriften en richtlijnen (IIA NL, 2004).

Binnen de interne audit afdeling variëren de werkzaamheden van risicomanagement en fraudeonderzoek tot

operational efficiency analyse, IT- en governance auditing en reviewing compliance met de relevante weten

regelgeving (O’Regan, 2002). Als basis voor het borgen van kwaliteit in haar reguliere werkzaamheden dient de

audit afdeling maatregelen te nemen om de kwaliteit te beheersen. De maatregelen kunnen onder andere zijn: het

vastleggen van de doelstelling en verantwoordelijkheden van de audit afdeling in een Audit Charter, het opzetten

van een kwaliteitsprogramma, het opstellen van eisen voor het uitvoeren van audits en de rapportage van de

activiteiten van de audit afdeling.

Aanleiding voor dit onderzoek vormen de vragen en onzekerheden van auditoren werkzaam in kleine audit

afdelingen over hoe zij dit interne stelsel van kwaliteitsbeheersing kunnen inrichten en managen. Veel kleine

audit afdelingen hebben namelijk maar één tot enkele auditoren met een beperkt budget en daardoor

ogenschijnlijk moeite om te voldoen aan de IIA-standaarden. Dit is opmerkelijk omdat het managen van een

kleine audit afdeling een uitdaging vormt voor iemand met een brede achtergrond, die tussen verschillende

niveaus kan schakelen. Omdat een kleine audit afdeling niet veel tijd kwijt is aan bureaucratie, heeft deze meer

vloeiende en flexibele structuren en plattere rapportagelijnen dan een grotere afdeling. Ook zitten de individuele

auditors dichter bij het senior management. De geringe omvang maakt de slagkracht en flexibiliteit groter in een

‘lean’ gemanagede kleine audit afdeling in vergelijking met grotere afdelingen. Een kleine audit afdeling kan

zichzelf ‘leaner’ managen dan een grotere afdeling, hoewel zij dezelfde verantwoordelijkheden hebben (Stanek,

2008). Waarom is het dan te lastig voor een kleine afdeling om te voldoen aan de IIA-kwaliteitsnormen?

1.2. Doelstelling en probleemstelling Doel van dit onderzoek is deze aanname te bevestigen of te weerleggen en indien mogelijk een projectplan te

schrijven waarin aangegeven wordt welke maatregelen genomen moeten worden om aan de IIA-standaarden te

voldoen. Voor de praktische problemen die een kleine audit afdeling hierbij tegen kan komen worden

oplossingen geboden. Het doel van dit onderzoek wordt bereikt door de volgende probleemstelling te

formuleren:

Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke

oplossingen kunnen daarvoor geboden worden?

Om antwoord te geven op de probleemstelling zijn de volgende deelvragen geformuleerd:

1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen daar planmatig mee omgaan?

2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de

IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van kwaliteitsbeheersing?

3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te

mitigeren of op te heffen?

4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen?



Om het onderzoek af te bakenen worden:

1. kleine interne audit afdelingen waar interne auditors, vallend onder het IIA-reglement, werkzaam zijn als

uitgangspunt genomen,

2. kleine interne audit afdelingen die al een paar jaar bestaan als uitgangspunt genomen, dus geen startende

audit afdelingen,

3. specifiek de problemen van kleine audit afdelingen rond de IIA-standaarden bestudeerd,

4. geen pogingen gedaan om tot een definitie te komen wat een kleine audit afdeling is. De focus ligt op het

ondersteunen van de interne auditor die werkzaam is in een kleine audit afdeling.

Begripsbepaling. In dit onderzoek versta ik onder:

1. Internal Auditing: een onafhankelijke, objectieve activiteit die aanvullende zekerheid verschaft en adviseert.

De activiteit is ontworpen om waarde toe te voegen en de bedrijfsvoering van een organisatie te verbeteren.

Internal Auditing helpt een organisatie om haar doelen te bereiken door een systematische, gedisciplineerde

benadering, om de effectiviteit te evalueren en het verbeteren van risicomanagement, interne controle en de

governance processen (IPPF, 2009).

2. Het normenkader: de IIA-standaarden en de ‘Code of Ethics’ vormen onder andere het normenkader,

waaraan de kwaliteit van het interne stelsel van beheersingsmaatregelen van de audit afdeling wordt getoetst

(IPPF, 2009).

1.3. Het onderzoeksmodel en -methode Dit referaat richt zich op het naleven van de IIA-standaarden door de kleine interne audit afdeling. Het

onderzoek bestaat uit literatuur- (SOLL) en praktijkonderzoek (IST). De literatuur levert een gewenste situatie

op met een beschrijving van het IIA-standpunt, de IIA-standaarden, het proces van kwaliteitsbeheersing en geeft

aan welke maatregelen genomen moeten worden. Vervolgens worden criteria beschreven waaraan een audit

afdeling getoetst wordt (a). In het praktijkgedeelte wordt in het bijzonder naar de kleine audit afdeling gekeken

en worden problemen geanalyseerd die de afdeling ondervindt, al dan niet veroorzaakt door haar beperkte

middelen en menskracht (b). Bij de probleemanalyse wordt het proces van kwaliteitsbeheersing gemodelleerd en

wordt vervolgens dit model gebruikt om de problemen te ‘mappen’ en op te lossen door procesverbeteringen.

Om het proces te onderzoeken en te verbeteren wordt gebruik gemaakt van de BPI-methode die verder in deze

paragraaf en in dit referaat toegelicht wordt. Met deze methode kunnen verbeteracties benoemd worden om de

efficiency en effectiviteit van de kleine audit afdeling te verhogen, waardoor zij optimaal met haar beperkte

middelen en menskracht om kan gaan (c). Het resultaat van het onderzoek is een projectplan (d) om grip te

krijgen op de eisen die de IIA-beroepsvereniging aan de individuele auditor stelt.



Model 1: het onderzoeksmodel

De methode om het proces van kwaliteitsbeheersing te verbeteren is BPI. BPI staat voor Business Performance

Improvement. BPI is ontwikkeld uit het originele BPR (Business Proces Redesign) van Hammer en Champy

(1993) en is doorontwikkeld in de periode 1996-1998 (Wikipedia). Bij organisatieontwikkeling is BPI hét

concept voor organisatieverandering waarbij het management een verandertraject opzet. Bij het toepassen van

deze methode worden eerst de problemen met betrekking tot de performance van een specifiek proces of

procedure in kaart gebracht. Naar aanleiding van een probleemanalyse worden ideeën gegenereerd voor

verbetering, waarna het proces of de procedure wordt aangepast. Het doel is om de efficiency en de effectiviteit

van het proces of van de procedure te verbeteren. De methode kan ook de doeltreffendheid van de organisatie

verbeteren als er organisatiedoelen zijn gesteld, zoals het voldoen aan kwaliteitseisen.

De methode kort toegelicht:

1. het uitvoeren van BPI is een project; dat wil zeggen dat alle principes van projectmanagement van

toepassing zijn,

2. de eerste stap in BPI is het bepalen welke resultaten waarde toevoegen aan de doelstelling van de

organisatie en hoe het betreffende proces afgestemd kan worden om deze resultaten te bereiken (‘TO

BE’),

3. de tweede stap in BPI is het beschrijven van de huidige situatie (‘AS-IS’) en het ‘mappen’ van de

problemen op het proces,

4. als we weten waar de problemen zich voordoen en wat de oorzaken zijn, dienen de medewerkers en de

activiteiten gereorganiseerd te worden om de nieuwe doelstellingen te behalen.

Adviezen bij gebruik van BPI:

1. start met een klein proces dat in korte tijd voltooid kan worden,

2. maak een duidelijke tijdsplanning,

3. zorg voor voldoende bemensing van het project en richt je op resultaat op de korte termijn,

4. betrek management en belanghebbenden erbij; anders zal zelfs een beperkte implementatie falen,

Bovenstaand BPI kader wordt gebruikt om een aanpak in de vorm van een projectplan te schrijven.

Bij iedere stap in het toepassen van de BPI-methode wordt uitleg gegeven. Met BPI-instrumenten worden de

problemen in het onderhanden proces onderzocht en worden verbeteringen gegenereerd (deze uitleg is steeds

in een blauw kader geplaatst).



1.4. Leeswijzer Om tot een antwoord op de probleemstelling te komen, is dit referaat als volgt ingedeeld. Het conceptuele kader

uit het onderzoeksvoorstel dient als inleiding van het referaat. De vier deelvragen uit de centrale

probleemstelling (par.1.2.) leveren ieder één hoofdstuk in het referaat op. De antwoorden op iedere deelvraag

vormen gezamenlijk het antwoord op de centrale onderzoeksvraag in het laatste hoofdstuk van dit referaat.

De opbouw van het referaat is als volgt:

• Hoofdstuk 1 vormt de inleiding. Hierin wordt ingegaan op de aanleiding van dit onderzoek, de

probleemstelling, en hoe deze beantwoord gaat worden.

• In hoofdstuk 2 “Wat houden de IIA-standaarden in?” worden de standaarden, het IIA-groeipad naar

kwaliteit, de kwaliteitsmaatregelen en de criteria ter naleving van de standaarden beschreven. Het

resultaat is een samenvatting wat de standaarden inhouden en de eerste aanzet tot een aanpak.

• Hoofdstuk 3 handelt over de praktische problemen voor de kleine audit afdeling. Het hoofdstuk levert

een inventarisatie op van de problemen in het gehele proces van kwaliteitsbeheersing en in de

afzonderlijke processtappen. Tevens wordt de kloof tussen de huidige en wenselijke prestatie

beschreven.

• In Hoofdstuk 4 worden verbeteracties voor de problemen uitgewerkt. Resultaat zijn vier bevindingen

waaruit aanbevelingen gegenereerd worden voor verbeteracties.

• Hoofdstuk 5 bundelt de noodzakelijke activiteiten in verbeterprojecten die vervolgens in een traject

geplaatst worden om de beperkte middelen en menskracht optimaal te benutten.

Resultaat is een projectmatige aanpak om aan de slag te gaan. Door de status van de ontwikkelingen in het eigen

interne stelsel van kwaliteitsbeheersing bij te houden, ontstaat een meerjarig zelfevaluatie-instrument. Dit

instrument kan als rapportage tool worden gebruikt naar de interne beoordelaar en in later stadium naar de

externe IIA-toetser.

Na het dankwoord volgt nog een aantal bijlagen, waaronder de volledige tekst van IIA Path to Quality Model

(bijlage I), Interviewvragen (bijlage II), een AO/IC beschrijving (Bijlage III), het QSAT rapportage tool (bijlage

IV), de verwijzingen naar modellen, schema’s en tabellen (bijlage V), een lijst met gebruikte afkortingen (bijlage

VI) en een literatuurlijst (Bijlage VII).

Aan het eind van ieder hoofdstuk worden een samenvatting en een conclusie gegeven, die antwoord geven op

de geformuleerde deelvraag (deze zijn in een geel kader geplaatst).



Hoofdstuk 2. Wat houden de IIA-standaarden in?

Dit hoofdstuk gaat over wat de IIA-standaarden inhouden en hoe kleine audit afdelingen planmatig met deze

standaarden om kunnen gaan. Paragraaf 2.1 geeft een korte ontwikkelingsgeschiedenis van de herkomst van de

IIA-standaarden en een beknopt overzicht ervan. Vervolgens wordt gekeken naar de verwijzingen binnen de IIA-

standaarden naar de kleine audit afdeling. De paragraaf sluit af met het IIA-standpunt inzake de naleving van de

standaarden door de kleine audit afdeling. Paragraaf 2.2 geeft een beschrijving van het proces voor het beheersen

van kwaliteit. De procesbeschrijving vormt een kapstok om de problemen te duiden en naar oplossingen toe te

werken. In paragraaf 2.3 wordt beschreven hoe het hoofd van een audit afdeling de kwaliteitsmaatregelen kan

implementeren en in paragraaf 2.4 worden de toetsingscriteria per standaard beschreven, waarmee het stelsel van

kwaliteitsbeheersing van een interne audit afdeling getoetst kan worden. Paragraaf 2.5 geeft de IIA-classificatie

in het eindoordeel of een afdeling voldoet of niet. Paragraaf 2.6 sluit af met een samenvatting en conclusie.

2.1. De inhoud en werking van de IIA-standaarden Wie is de bewaker van de bewakers? Sawyer haalt de mijmering van Juvenal uit de eerste eeuw na Christus aan,

om aan te geven dat enkele incompetente auditoren een schaduw kunnen werpen op de gehele beroepsgroep. Om

overheidsbeleid te voorkomen, gingen de internal auditors aan zelfevaluatie doen of ze organiseerden externe

evaluaties, met boetes voor diegenen die niet aan de eisen voldeden. In de jaren ‘80 van de vorige eeuw volgde

het IIA andere organisaties in het ontwikkelen van middelen voor objectieve beoordeling van internal audit

afdelingen. Deze werden als de ‘Standards for the Professional Practice of Internal Auditing’ (hierna: IPPF) voor

het eerst in 1987 gepubliceerd (Sawyer, 2005). Vanaf 1 januari 2003 stelde de Amerikaanse moederorganisatie

(IIA Inc.) een externe kwaliteitstoetsing voor interne auditors verplicht. In Nederland worden sinds 1 januari

2005 alle interne audit diensten, waar interne auditors vallend onder het IIA-reglement werkzaam zijn, eenmaal

in de vijf jaar aan toetsing onderworpen (IIA NL, 2004). Het IIA definieert de kwaliteitstoets als het beoordelen

of de kwaliteit van de interne beheersing bij de audit afdeling conform de standaarden van het IIA is (IIA, Path

to Quality).

Het stelsel voor interne kwaliteitsbeheersing voor de audit praktijk bestaat uit drie soorten standaarden;

1. de Attribute Standards: deze standaarden adresseren de eigenschappen van organisaties en individuen die

interne audit diensten uitvoeren,

2. de Performance Standards: deze standaarden beschrijven de aard van de interne audit diensten en leveren

kwaliteitscriteria waaraan de prestatie van deze diensten gemeten kunnen worden,

3. de Implementation Standards: deze zijn van toepassing op specifieke diensten, bijvoorbeeld een compliance

audit, een fraudeonderzoek, of een controle self assessment project.

Door de tijd heen zijn deze auditingstandaarden uitgegroeid naar procedures (Sawyer, 2005). De 1000-serie

schrijft de procedures voor ten aanzien van de opzet van de maatregelen voor het interne stelsel van

kwaliteitsbeheersing, de 2000-serie schrijft ze voor ten aanzien van de werking van de maatregelen. De 1000- en

2000-standaardseries worden weer onderverdeeld in substandaarden, bijvoorbeeld de 1010: erkenning van de

definitie van Internal Auditing. De substandaard bevat een meer specifieke uitleg omtrent een onderdeel van de

overall standaard. De Implementation standard wordt onder de betreffende standaard of substandaard vermeldt,

bijvoorbeeld de 1000.A1: de aard van de assurance diensten dient gedefinieerd te zijn in het Audit Charter. De

IIA-standaarden uit 2005 zijn aangevuld met ‘Practice Advisories’ die uitleggen hoe de standaarden

geïnterpreteerd worden door het IIA. Bij de vernieuwde versie van de standaarden in 2009 zijn de 83 ‘Practice

Advisories’ teruggebracht naar 42, door omzetting naar ‘Mandatory Interpretations’. Dit zijn verplichte

interpretaties die termen en uitdrukkingen (zoals bv. het Quality Assurance and Improvement Program - QAIP)

in een standaard verhelderen (Baker, 2009). Hieronder volgt een beknopte beschrijving van de IIA-standaarden

(Voor de complete tekst: zie IPPF, 2009).



Nr. Attribute Standards Beknopte omschrijving

1000 Purpose, Authority, and

Responsibility

Het doel, de autoriteit en de verantwoordelijkheden van de interne audit

functie dienen formeel vastgelegd te zijn in een charter en dienen samen te

hangen met de standaarden en goedgekeurd te worden door de directie.

1100 Independence and

Objectivity

De interne audit afdeling dient onafhankelijk te zijn, en interne auditoren

dienen objectief te zijn in het uitvoeren van hun werk.

1200

Proficiency and Due

Professional Care

Opdrachten dienen deskundig en met professionele zorg uitgevoerd te

worden.

1300

Quality Assurance and

Improvement Program

Het hoofd van de interne audit afdeling dient een kwaliteitsborging- en

verbeterprogramma te ontwikkelen en te onderhouden dat alle aspecten van

de interne audit afdeling afdekt en continu haar voortgang volgt. Dit

programma bevat periodieke interne en externe kwaliteitsbeoordelingen en

continue interne voortgangsmonitoring. Elk onderdeel van het programma

dient ontworpen te zijn om de afdeling te helpen waarde toe te voegen en

de bedrijfsoperatie te verbeteren en zekerheid te verschaffen dat de interne

audit afdeling de standaarden en de Code of Ethics naleeft.

Nr. Performance Standards

2000

Managing the Internal

Audit Activity

Het hoofd van de interne audit afdeling dient de interne audit afdeling

effectief te managen om haar waardetoevoeging aan de organisatie te

verzekeren.

2100

Nature of Work Het hoofd van de interne audit afdeling dient periodiek aan de directie en

het senior management te rapporteren over de interne audit activiteiten, de

doelstelling, de autoriteit, de verantwoordelijkheden, en de prestaties in

overeenstemming met het auditplan. Rapportage dient gevraagd en

ongevraagd de volgende zaken te bevatten: blootstelling aan significante

risico’s, controleonderwerpen, corporate governance en andere zaken

waarvan de directie of het senior management op de hoogte behoren te

zijn.

2200

Engagement Planning Interne auditors dienen voor iedere opdracht een plan te ontwikkelen en

vast te leggen, inclusief reikwijdte, doelstellingen, tijdsplanning en

bemensing.

2300

Performing the

Engagement

Interne auditors dienen voldoende informatie te identificeren, analyseren,

evalueren, en vast te leggen om de doelstellingen van de opdracht te

bereiken.

2400

Communicating Results Interne auditors dienen de resultaten van de opdracht te communiceren.

2500

Monitoring Progress Het hoofd van de interne audit afdeling dient een systeem te installeren

voor het volgen van de resultaten (follow-up) die aan het management zijn

gecommuniceerd.

2600

Resolution of

Management’s

Acceptance of Risks

Wanneer het hoofd van de interne audit afdeling gelooft dat het senior

management een niveau van restrisico heeft geaccepteerd dat misschien

niet acceptabel is voor de organisatie, dan dient hij/zij dit te overleggen

met het senior management en eventueel naar de directie te escaleren.

Tabel 1: beknopte omschrijving van de IIA-standaarden.

De standaarden geven geen specifieke aandacht aan kleine audit afdelingen, maar in de praktische adviezen

(PA’s) wordt op drie plaatsen wel naar de kleine audit afdeling verwezen:

1. PA 1300-1: het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met

onafhankelijke beoordeling of zij voldoet aan de algemeen aanvaarde normen van de

beroepsuitoefening; deze vorm van toetsing noemt men de Self Assessment with Independent

Validation (SAIV),

2. PA 1312-2: een externe toetsing door een gekwalificeerde, onafhankelijke beoordelaar of team bij een

kleine afdeling kan lastig zijn.



3. PA 2040: een kleine audit afdeling mag informeel georganiseerd worden en formele administratieve en

technische procedure handboeken zijn niet nodig.

Het standpunt van de Amerikaanse moederorganisatie IIA Inc. is dat zij geen onderscheid maakt naar omvang

van de afdeling maar zich richt op het individu van de interne auditor. In het artikel ‘A renewed framework’

benadrukt Davies, dat “The IPPF sets the minimum baseline for all internal auditors globally – there’s no excuse

for nonconformance. In my mind, anything else is ‘holding up’ or misrepresentation” (Baker, 2009). Amerikaans

onderzoek richt zich ook op de individuele auditor. “Ondanks de beperkingen in menskracht en middelen kunnen

auditoren in kleine audit afdelingen zich volwaardig wijden aan kwaliteit”. (Armanas, 2007).

In Nederland vindt Tilman, voorzitter van het ‘College voor Kwaliteitstoetsing IIA NL’ dat, ongeacht de omvang

van de afdelingen, de kern van de werkzaamheden (bv. valideren van het self assessment proces, de

dossieronderzoeken, de hoor- en wederhoor procedure en het opstellen van de rapportage met detail-

bevindingen) uitgevoerd moet worden (Tilman, 2007).

Bovenstaande bronverwijzingen naar de kleine audit afdeling in de IIA-standaarden en standpunten worden

gebruikt als uitgangspunten bij het werken aan de kwaliteit van de kleine audit afdeling. De uitgangspunten

samengevat betreffen:


validatie,

2. een kleine audit afdeling mag informeel georganiseerd worden,

3. de standaarden vormen een minimale baseline voor het handelen van de individuele auditor,

4. het gaat om een minimale set van werkzaamheden die uitgevoerd moeten worden in het kader van

kwaliteitstoetsing door de audit afdeling,

5. bij externe toetsing wordt de audit afdeling gecertificeerd en niet de verantwoordelijke auditor.

2.2. Het proces van kwaliteitsbeheersing Nu duidelijk is wat de standaarden inhouden en hoe zij werken, behandelen we het proces van

kwaliteitsbeheersing. Als we weten hoe het proces van kwaliteitsbeheersing eruit ziet kunnen we de problemen

bespreken die zich hierin voordoen en kunnen we ideeën genereren hoe de prestatie van dit proces verbeterd kan

worden. In de literatuur is geen procesbeschrijving van kwaliteitsbeheersing bij een audit afdeling gevonden.

Daarom volgt hier een eigen beschrijving en modellering van de gewenste situatie:

De IIA-standaarden zijn de basis voor het stelsel van kwaliteitsbeheersing bij de audit afdeling. De stappen zijn:

1. het hoofd van de audit afdeling neemt kennis van de standaarden, adopteert de kwaliteitsdefinitie en

maakt plannen voor het nemen van maatregelen, zoals het opzetten van een kwaliteitsprogramma,

2. met behulp van het Path to Quality Model van het IIA implementeert het hoofd van de audit afdeling de

maatregelen die samen het stelsel van kwaliteitsbeheersing vormen,

3. het hoofd van de audit afdeling voert een zelfevaluatie uit aan de hand van de beschrijving van het IIA-

zelfevaluatieproces dat in hoofdlijnen overeenkomt met het externe evaluatieproces en de belangrijkste

De eerste stap in de BPI-methode is het maken van een procesbeschrijving. Dit is een zinvol BPI-instrument

omdat het ten eerste de kennisoverdracht en de discussie over het gewenste procesverloop mogelijk maakt;

ten tweede biedt het een handvat voor procesverbetering. Het gewenste procesverloop wordt de ‘TO BE’ -

procesbeschrijving genoemd.



IIA-kwaliteitscriteria. Een rapportage van deze evaluatie wordt door een interne toetser beoordeeld.

Beide beoordelingen worden met de directie en het management gedeeld,

4. een lijst met verbeteracties wordt opgesteld en uitgevoerd door het hoofd van de audit afdeling.

Dit proces is van toepassing op iedere auditor die onder het IIA-reglement valt, ongeacht de omvang van de audit

afdeling.

Model 2: het gewenste proces van kwaliteitsbeheersing

Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen Tijdens het literatuuronderzoek heb ik geen materiaal gevonden voor de eerste processtap: het opzetten van het

stelsel van kwaliteitsbeheersing. Hieruit vloeit de conclusie voort dat in het verbetertraject extra aandacht uit

dient te gaan naar het beschrijven van procedures om het stelsel van kwaliteitsmaatregelen op te zetten.

Stap 2: Het implementeren van kwaliteitsmaatregelen De tweede stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het implementeren van

maatregelen van kwaliteitsbeheersing. Wat moet een auditor, werkzaam in een audit afdeling doen om de

gewenste kwaliteit te bereiken? Het IIA definieert kwaliteit als de karakteristiek van het toevoegen van waarde

door het overtreffen van de verwachtingen van de belanghebbenden. Het meest kritische aspect in het bereiken

van interne audit kwaliteit is het zich verzekeren dat:

1. waarde wordt toegevoegd in alle aandachtsgebieden van de audit afdeling,

2. de audit afdeling waarde toevoegt aan de organisatie, en

3. de auditor de vaardigheden en de deskundigheid in huis heeft binnen de aandachtsgebieden:

risicomanagement, interne beheersing en de governance processen (IIA Path to Quality).

Deze kwaliteitseis is hetzelfde voor iedere auditor, ongeacht de omvang van de interne audit afdeling. Audit

afdelingen kunnen namelijk verschillen in omvang en complexiteit. Ook kan het budget variëren, evenals het

niveau in kennis en ervaring van de auditors.

Het gewenste niveau is niet van vandaag op morgen bereikt en het IIA heeft daarom vijf volwassenheidsniveaus

ontwikkeld om van het ene niveau naar het andere niveau te groeien. De niveaus zijn: beginnend, opkomend,

voldoet, hefboomwerkend en innovatief. Voor ieder niveau zijn maatregelen gedefinieerd die in bijlage I zijn

opgenomen.



Model 3: het “IIA Path to Quality Model”

Niveau 1 Beginnend: kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborgings- en

verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet

geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en

het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan

brengen voor een organisatie.

Niveau 2 Opkomend: kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue

zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert, met toezicht op naleving met de standaarden.

Niveau 3 Voldoet: de interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar

zelfevaluatieproces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling

vormt de belangrijkste mijlpaal naar accreditatie.

Niveau 4 Hefboomwerking: Het kwaliteitsborgings- en verbeterprogramma (QAIP) is goed gedefinieerd binnen

de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, de Code of

Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets.

Niveau 5 Innovatief: kenmerkt zich door het bestaan van een actief en volledig geïntegreerd

‘kwaliteitsborgings- en verbeterprogramma’ (QAIP) binnen de dagelijkse gang van zaken van de interne audit

afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een

strikt continu opleidingsprogramma.

De volledige tekst van de presentatie ‘IIA Path to Quality’ is als bijlage I opgenomen.

Stap 3: Het proces van zelfevaluatie De derde stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het zelfevalueren van het interne

stelsel van kwaliteitsmaatregelen. Het externe kwaliteitstoetsingsproces dient als kapstok voor ieder

kwaliteitsprogramma van een interne audit afdeling (Hoofdstuk 2, QA Manual). De belangrijkste criteria voor de

evaluatie van de naleving van de standaarden, de zogenaamde Key Conformance Indicators (KCI’s) zijn:

1. er is een goedgekeurd Audit Charter,



2. het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau,

3. auditors zijn goed opgeleid,

4. er is een effectief kwaliteitsprogramma,

5. er is een risk based audit plan,

6. iedere audit omvat een beoordeling van de risicobeheersing -en controlesystemen,

7. iedere audit omvat een risicobeoordeling, een werkprogramma etc.

8. werkdocumenten omvatten alle relevante informatie over de te bereiken doelstellingen,

9. er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie

is opgenomen in het audit rapport,

10. er is een follow-up-proces ingesteld om ervoor te zorgen dat het management de aanbevolen acties

daadwerkelijk heeft uitgevoerd. Is dit niet het geval dan dient het management het risico te hebben

aanvaard,

11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voorgelegd

aan de directie voor resolutie.

Voor de volledige tekst wordt verwezen naar Tool 19 in de IIA QA Manual. Tool 19 draagt bij tot het versnellen

van een consequente evaluatie van de naleving met de IIA-standaarden doordat de audit afdeling een

zelfevaluatie uitvoert of een interne/externe kwaliteitsbeoordeling ondergaat. Het instrument is geen checklist

waaruit de conclusie getrokken kan worden dat als aan de elf KCI’s voldaan wordt, de audit afdeling dan IIA-

compliant is. Het is namelijk in eerste instantie aan het hoofd van de audit afdeling en, vervolgens, aan de

interne/ externe beoordelaar om vast te stellen in welke mate de audit afdeling voldoet aan de standaarden. In de

oordeelsvorming is niet alleen het formuleren van een mening door het hoofd van de audit afdeling ten aanzien

van het naleven van de standaarden belangrijk. Er wordt ook gelet op de werkwijzen binnen de interne audit

afdeling die processen en de effectiviteit van de afdeling verbeteren. Deze benadering omarmt de ‘Best

Practices’ van de beroepsgroep en benadrukt het belang van risicomanagement, interne beheersing en

governance processen (Tilman, 2007).

Het externe Quality Assessment (QA) proces bevat twaalf punten:

1. selecteer en train (indien nodig) een QA team,

2. beoordeel de ingevulde zelfevaluatie-vragenlijst van het hoofd van de audit afdeling, en verhelder vragen en

zorgen (Tool 3 Tab A, Quality Assessment Manual),

3. breng een oriënterend bezoek aan de organisatie en verzamel resterende informatie, voeg details toe aan het

werkplan, selecteer en agendeer interviews met de belanghebbenden van de interne audit afdeling en

medewerkers voor een on-site bezoek,

4. gebruik samenvattingen van klanten medewerkervragenlijsten voor hulp bij de on-site interviews en

beoordeling van de documenten,

5. voer het werk ter plaatse uit; dit betekent het beoordelen van:

a. het administratieve beleid en procedures,

b. de overwegingen ten aanzien van bedrijfsrisico’s, governance en de audit prioriteiten in audit

planning,

c. de werkdocumenten en rapporten,

d. de geselecteerde audits en adviesprojecten,

e. het aantal en de vaardigheden van de medewerkers en hun continue professionele opleiding,

f. een adequate dekking van het IT-audit gebied.

6. interview geselecteerde leden van de directie (het Audit Committee), het dagelijks management, het

uitvoerend management en de interne audit medewerkers, met de focus op organisatierisico’s en

doelstellingen. Interview de geselecteerde leden tevens of de effectiviteit van de interne audit afdeling op

peil is en toegevoegde waarde heeft,



7. overweeg andere monitoring functies, in overeenstemming met de interne audit functie, die daar niet zijn

ondergebracht, zoals evaluatie, onderzoek, kwaliteitsmanagement, en procesverbetering. Bestudeer en

beoordeel de coördinatie van de interne audit afdeling met het werk van professionals binnen deze functies,

8. evalueer de naleving van de interne audit afdeling met de IIA-standaarden,

9. bestudeer de kwaliteits- en procesverbeteracties die momenteel lopen en gepland zijn voor de nabije

toekomst. Overweeg ook de ‘Best Practices’ die gangbaar zijn in de omgeving van de organisatie,

10. lever een samenvatting van kwesties en aanbevelingen en houd een laatste bijeenkomst met het hoofd van de

interne audit afdeling en /of andere aanvragers van de kwaliteitstoets,

11. schrijf een rapport, verkrijg de opmerkingen en reactie op de aanbevelingen van de klant en publiceer het

eindrapport,

12. houd een follow-up executive vergadering (optioneel).

Bovenstaande punten kunnen aangepast worden of andere kunnen toegevoegd worden op verzoek van de interne

audit afdeling of de organisatie waar zij onderdeel van uitmaakt.

In overeenstemming met de standaarden kan de interne audit afdeling een proces adopteren om de effectiviteit

van het kwaliteitsprogramma te monitoren en te beoordelen. De hoofdlijnen van het eigen proces van

zelfevaluatie komen overeen met die van het externe evaluatieproces (Hoofdstuk 3 QA Manual). De

belangrijkste kenmerken van de Self Assessment with Independant Validation (SAIV) zijn:

1. het zelfevaluatieproces vindt plaats onder leiding van het hoofd van de audit afdeling en dient gevalideerd te

worden door een onafhankelijke beoordelaar met kwalificaties die overeenkomen met die van een externe

beoordelaar,

2. de zelfevaluatie dient adequaat gedocumenteerd te worden en dient conclusies te bevatten over de mate van

naleving van de standaarden, van het Audit Charter en van andere relevante criteria, alsook aanbevelingen

voor verbetering en plannen voor invoering van de verbeteringen (zie Tool 2A, QA Manual),

3. een rapport dient opgemaakt en verstuurd te worden aan de directie en het senior management nadat de

onafhankelijke beoordelaar het beoordeeld heeft,

4. deze beoordelaar interviewt de voorzitter van het Audit Committee en voert beperkte testen uit om de

resultaten te valideren,

5. de beoordelaar spreekt zijn mening uit over de adequaatheid van het zelfevaluatieproces en het geïndiceerde

niveau van naleving van de standaarden. Dit commentaar wordt toegevoegd aan het rapport van het hoofd

van de audit afdeling en gestuurd aan de directie en het senior management.

Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen Aangeraden wordt om in het proces van zelfevaluatie de classificatie van de externe toetsing aan te houden. De

werkwijze van de externe toetser bestaat uit het valideren van het aangeleverde materiaal, het toetsen van de

opzet en werking van de genomen maatregelen ter plaatse, en het praten met belanghebbenden, zoals de

voorzitter van de Raad van Bestuur, de leden van het Audit Committee, de divisiedirecteuren en de externe

accountant. In de Nederlandse KTIA-Handleiding (2007) voor kwaliteitstoetsing luidt de classificatie van het

eindoordeel als volgt:

1. voldoende (V); het interne stelsel van kwaliteitsbeheersing voldoet in opzet en werking aan de in Nederland

algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement

Kwaliteitstoetsing,

2. voldoet maar voor verbetering vatbaar (VVVV); het interne stelsel van kwaliteitsbeheersing voldoet in opzet

en werking aan de in Nederland algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in

artikel 2 van het Reglement Kwaliteitstoetsing, maar er wordt geadviseerd verbetering(en) aan te brengen,

3. voldoet niet (VN); het interne stelsel van kwaliteitsbeheersing voldoet niet aan de in Nederland algemeen

aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement

Kwaliteitstoetsing. Er dient een verbeterplan te worden opgesteld en uitgevoerd (Reglement: art. 13 lid 3).



2.3. Samenvatting en conclusie

Antwoord op deelvraag 1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met

deze standaarden omgaan?

Samenvattend gingen internal auditors aan zelfevaluatie doen of organiseerden externe evaluaties om

overheidsbeleid te voorkomen. Daarvoor zijn drie soorten standaarden vastgelegd om de normen voor de kwaliteit

van de interne beheersing bij iedere audit afdeling aan te geven;

1. de Attribute Standards: betreffen de eigenschappen van organisaties en individuen die interne audit diensten

uitvoeren,

2. de Performance Standards: beschrijven de aard van de interne audit services en leveren kwaliteitscriteria

waaraan de prestatie van deze diensten gemeten kunnen worden,

3. de Implementation Standards,

De 1000-serie schrijft de opzet van de maatregelen voor, de 2000-serie schrijft de werking van de maatregelen voor.

De opzet en werking van de maatregelen dienen op één lijn te zijn. De standaarden betreffen de volgende

onderwerpen:

1000 de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling,

1100 de onafhankelijkheid van de afdeling en objectiviteit van auditoren,

1200 de professionaliteit en deskundigheid in het uitvoeren van audits,

1300 een kwaliteitsprogramma,

2000 het effectief managen van de audit afdeling,

2100 de rapportage over de activiteiten van de audit afdeling,

2200 het uitvoeren van audits,

2300 de informatie die nodig is om de doelstelling van de audit te behalen,

2400 de communicatie van de resultaten van audits,

2500 een monitoringssysteem voor follow up acties,

2600 de risicoacceptatie bij het management.

De conclusie is dat de standaarden zelf geen specifieke aandacht aan kleine audit afdelingen besteden. Echter, in de

praktische adviezen (PA’s) die bij de standaarden door het IIA gegeven worden op drie plaatsen naar de kleine audit

afdeling verwezen, namelijk:



2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine afdeling

kan lastig zijn (PA 1312-2),


Meer ingrediënten bij diepergaand onderzoek zijn:

4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op.

5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van

kwaliteitsbeheersing,

6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden voldoet,

7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk; het opzetten, implementeren,

evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen,

8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van

zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar,

9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan te

brengen.

Deze ingrediënten bieden houvast bij verder onderzoek naar de problemen voor de kleine audit afdeling om te

voldoen aan de standaarden.



Hoofdstuk 3. De praktische problemen Hoofdstuk 3 beantwoordt de vraag welke praktische problemen kleine audit afdelingen ondervinden in hun

streven om aan de eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces

van kwaliteitsbeheersing. Paragraaf 3.1 geeft een opsomming van knelpunten of problemen die de kleine audit

afdeling ondervindt bij het naleven van de standaarden. Paragraaf 3.2 geeft een probleemanalyse waarbij eerst

een mapping gemaakt wordt van problemen op het kwaliteitsbeheersingsproces (par.3.2.1.) en voor de

processtappen afzonderlijk. Vervolgens wordt de kloof tussen de huidige en gewenste prestatie bepaald.

Paragraaf 3.3 sluit af met een samenvatting en een conclusie.

3.1. Probleeminventarisatie

De opsomming in dit hoofdstuk is tot stand gekomen door middel van de volgende bronnen:

1. de nieuwe standaarden uit 2009 (IPPF, 2009),

2. diverse literatuur; zoals Armanas 2007 (zie literatuurlijst in bijlage VII),

3. interviews met betrokkenen, zoals de voorzitter van het College voor Kwaliteitstoetsing, en hoofden van

kleine audit afdelingen van Kender Thijssen, de Staatsloterij, de Nederlandsche Waterschapsbank en

Insinger de Beaufort. In bijlage II zijn de interviewvragen opgenomen,

4. een werkdocument van een lokale IIA NL PAS (Professional Audit Solisten)-werkgroep die zowel uit

bestuursleden van het IIA als uit hoofden van kleine audit afdelingen (PAS, 2008) bestaat, en tenslotte

5. eigen inzicht verkregen toen ik werkzaam was als auditor in twee kleine audit afdelingen.

Om reden van privacy zijn de resultaten afkomstig uit de interviews en uit mijn eigen ervaring vertrouwelijk

behandeld en anoniem verwerkt. Hieronder volgt een inventarisatie van de gevonden problemen met

bronverwijzing. Deze heeft niet de pretentie volledig te zijn noch dat alle problemen alleen voor kleine audit

afdelingen gelden.

Algemeen Probleem Bron

1 De kosten/tijd. Kleine afdelingen hebben vaak kleine budgetten. Daardoor hebben de

auditors het te druk met het realiseren van het audit jaarplan. Het

aantrekken van extra budget voor vaktechniek en het uitvoeren van een

externe kwaliteitstoetsing is moeilijk.

Armanas,

2007, p.57.

Interview.

2 Weerstand tegen

verandering. Ervaren auditoren achten hun methoden bewezen. Zij zijn terughoudend

om te veranderen, alleen maar omdat een aantal standaarden hen

voorschrijven dat dit nodig is.

Armanas,

2007, p.57.

Auteur.

3 Gebrek aan bestraffende

maatregelen/sancties. De standaarden geven een indicatie dat iedere audit afdeling iedere vijf

jaar getoetst moet worden; er is echter geen boete gedefinieerd als men

deze niet naleeft.

IPPF, 2009.

Armanas,

2007, p.57.

4 Gebrek aan capaciteit.

Percepties van

ontoereikendheid van het

afdekken van het gebied

dat onder de activiteiten

van de audit afdeling valt.

Het aantal audits, de vaardigheid om technische audits uit te voeren, en

het niveau van procedurele detaillering alsook het leveren van

ondersteunende diensten zouden hetzelfde zijn als bij grotere afdelingen.

Men vraagt zich af of hetzelfde bereik verwacht wordt van kleine audit

afdelingen.

Armanas,

2007, p.57.

O’Regan,

2002, p2/3.

Auteur.

5 Gebrek aan een omgeving

die bevorderlijk is voor

wederzijdse

geruststelling, inspiratie

en leren.

Auditoren in kleine audit afdelingen werken (zeker als éénpitter) in een

isolement, zonder het voordeel van het uitwisselen van ideeën zoals in

grotere audit afdelingen. Een verbetercultuur ontbreekt vaak.

O’Regan,

2002, p4.

Armanas,

2007.

In lijn met de BPI-methode is in het vorige hoofdstuk het proces voor kwaliteitsbeheersing bij de kleine audit

afdeling beschreven (‘TO – BE’ procesbeschrijving in par. 2.2.). Vervolgens is het noodzakelijk om de

problemen en/of knelpunten in het ‘AS-IS’proces in kaart te brengen. Dit wordt gedaan in termen van logica

van het procesverloop, prestaties van het proces, ondersteunende systemen en uitvoerende organisatie–

eenheden. Hieruit kunnen procesverbeteringen worden aanbevolen.



Nr. Attribute Standards Probleem

1000 Purpose, Authority,

and Responsibility

Er zijn veel veranderingen bij een kleine interne audit afdeling

waardoor het Audit Charter elk jaar bijgewerkt moet worden met de

richting die de interne audit afdeling opgaat in de volgende drie jaar.

PAS, 2008.

Auteur.

1100 Independence and

Objectivity

De onafhankelijkheid blijkt niet uit de hiërarchische positie. De

standaarden schrijven voor dat de interne audit afdeling direct toegang

heeft tot het senior management en de directie. De kleine audit

afdeling rapporteert niet altijd aan de CEO maar aan de CFO of

controller. De organisatie werkt soms niet mee aan een duale

rapportagelijn waaronder één functionele en één escalatielijn.

PAS, 2008.

Interview.

Auteur.

1130 Impairment to

Independence or

Objectivity

Naast het uitvoeren van audits verricht de kleine audit afdeling ook

werkzaamheden met betrekking tot beleidsvorming en het opstellen

van procedures voor andere bedrijfsonderdelen, het implementeren

van risicomanagement en compliance activiteiten in de organisatie. Er

is onvoldoende prioriteitstelling.

PAS, 2008.

Interview.

Auteur.

Rondetafel

PAS,

dec.2008.

1200

Proficiency and Due

Professional Care

Kleine audit afdelingen hebben moeite om aan personeel te komen en

kunnen zich niet veroorloven de verkeerde medewerkers aan te nemen

die bijvoorbeeld geen zelfstarter zijn, teveel op compliance gericht of

teveel specialist zijn.

Stanek

2008.

1210 Proficiency:

1210.A1 Outsourcing

1210.A3 IT Knowledge

Kleine audit afdelingen hebben veelal geen analyse gemaakt van de

outsourcing alternatieven.

Kleine audit afdelingen maken veelal geen gebruik van computer

assisted audit tools en data-analysetechnieken.

PAS, 2008

IIA Paper

Outsourcin

g, 2009.

Auteur.

1220.A3

Riskmanagement

Kleine interne audit afdelingen kunnen niet garanderen dat alle

significante risico’s geïdentificeerd worden.

PAS, 2008.

Auteur.

1300

Quality Assurance and

Improvement Program

Kleine audit afdelingen hebben veelal geen vastgelegd en

gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking

vindt veelal informeel plaats. De rapportage van de interne toetsing

ontbreekt.

PAS, 2008.

Auteur.

Tilman,

2007.

Nr. Performance

Standards

2000

Managing the Internal

Audit Activity

Kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit

plan en opereren veelal op basis van behoefte van management,

rekening houdend met de beschikbare capaciteit. Vaak ontstaat

gedurende het jaar een capaciteitsprobleem. De personele wisseling

heeft direct invloed op de realisatie van het audit jaarplan.

PAS, 2008.

Auteur.

2040 Policies and

Procedures

Kleine audit afdelingen proberen vaak op grote afdelingen te lijken.

Ze hebben teveel handleidingen en formulieren, teveel vergaderingen,

teveel beoordelingen en ze schrijven teveel rapporten.

Stanek,

2008.

Interview.

2100 Nature of Work Geen.

2200 Engagement Planning Geen.

2300

Performing the

Engagement

2320 Analysis and

Evaluation

Kleine afdelingen hebben vaak geen beleid betreffende bewaking,

handhaving en interne/externe verspreiding van opdrachtdossiers en

het ontbreekt aan inputmateriaal voor het uitvoeren van een

zelfevaluatie. Kleine interne audit afdelingen korten de ‘audit stappen’

in en voeren de evaluatie niet uit.

PAS, 2008.

Stanek,

2008. Auteur.

2340: Engagement

Supervision

Een éénpitter heeft geen surveillance betreffende de te bereiken

doelen, kwaliteitsverzekering en de eigen professionele ontwikkeling.

PAS, 2008.

Auteur.

2400

Communicating

Results

Kleine afdelingen promoten slecht wat hun toegevoegde waarde is

voor de organisatie.

Stanek

2008.

2500 Monitoring Progress Geen.

2600 Resolution of Management’s Acceptance of Risks

Geen.

Tabel 2: problemen van de kleine audit afdeling met de standaarden.



3.2. Probleemanalyse De probleemanalyse bestaat uit twee onderdelen. Eerst worden in subparagraaf 3.2.1 de geconstateerde

problemen ingedeeld in het proces van kwaliteitsbeheersing. Vervolgens wordt in subparagraaf 3.2.2 de

prestatiekloof zichtbaar gemaakt tussen de huidige en de gewenste prestatie. Tot slot worden de problemen die

specifiek zijn voor de kleine audit afdeling gefilterd uit de totale lijst aan problemen in subparagraaf 3.2.3. De

informatie verkregen door interviews is hier anoniem verwerkt. De selectiecriteria van geïnterviewden zijn onder

andere: omvang van de afdeling ligt tussen de 1-5 FTE, de genoten opleiding betreft RA, RO, RE, en de afdeling

was getoetst door het IIA Nederland. Deze werkwijze maakt het onderzoek betrouwbaarder.

3.2.1 Indeling van de problemen in het proces

De problemen worden ingedeeld naar het hele proces en naar de afzonderlijke processtappen.

Problemen ten aanzien van het gehele proces van kwaliteitsbeheersing:

1. de kleine audit afdeling heeft veelal een klein budget dat schommelingen in de vraag naar audit diensten

en het aanbod van auditors die de audit diensten leveren, slecht opvangt,

2. de kleine audit afdeling heeft veelal geen beschrijving van het kwaliteitsbeheersingproces (p.2.2.) en/of

een vastgelegd en gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking vindt veelal

informeel plaats. Hierdoor ontbreekt het aan een beleidskader dat nodig is voor het uitvoeren van een

zelfevaluatie door het hoofd van de kleine audit afdeling,

3. de kleine interne audit afdeling kan vaak geen of onvoldoende redenen aangeven wat de oorzaak is

waarom zij voldoet, gedeeltelijk voldoet of niet voldoet aan de Definitie van Internal Auditing, de

‘Code of Ethics’ en de Standaarden. Hierdoor kan zij geen verbeteracties vaststellen en uitvoeren,

4. de prestatie van de afdeling wordt niet zichtbaar gemaakt, waardoor zij wellicht wel aan een

kwaliteitsstandaard voldoet maar (doordat een bewijs of vastlegging ontbreekt) toch een onvoldoende

voor die standaard krijgt,

5. een kleine audit afdeling mist de omvang van een organisatie eenheid/sectie die zorg draagt voor

vaktechniek waar ‘Best Practices’ uitgewerkt kunnen worden,

6. het ontbreekt vaak aan een verbetercultuur en plichtsbesef bij het hoofd van de audit afdeling om

verantwoording af te leggen over het stelsel van kwaliteitsbeheersing binnen de afdeling.

De problemen per processtap:

Processtap 1: Opzetten van een stelsel van kwaliteitsbeheersing

1. het Audit Charter is vaak niet volledig,

2. kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit plan,

3. de onafhankelijkheid blijkt niet uit de hiërarchische positionering. De standaarden schrijven voor dat de

interne audit afdeling direct toegang heeft tot senior management en de directie. De kleine audit

afdeling rapporteert niet altijd aan de CEO maar aan de CFO of controller. De organisatie werkt soms

niet mee aan een duale (escalatie) rapportagelijn,

4. de kleine audit afdeling verricht naast het uitvoeren van audits vaak ook werkzaamheden met

betrekking tot beleidsvorming en het opstellen van procedures, het implementeren van

risicomanagement en compliance activiteiten in de organisatie.

5. kleine audit afdelingen hebben moeite om aan het juiste personeel te komen,

Met behulp van de BPI-methodologie worden de bovenstaande problemen ‘gemapped’ op het proces van

kwaliteitsbeheersing uit paragraaf 2.2. Hierdoor wordt het duidelijk waar de problemen zich voordoen en of

er een prestatiekloof bestaat tussen de huidige en gewenste resultaten.



6. kleine audit afdelingen hebben veelal geen analyse gemaakt van de outsourcing alternatieven en maken

veelal geen gebruik van computer assisted audit tools en data-analysetechnieken,

7. kleine interne audit afdelingen hebben vaak geen beleid over bewaking, handhaving en interne/externe

verspreiding van opdrachtdossiers.

Processtap 2: Implementeren van een stelsel van kwaliteitsbeheersing

1. kleine interne audit afdelingen kunnen niet garanderen dat alle significante risico’s geïdentificeerd

worden,

2. kleine audit afdelingen proberen vaak op grote afdelingen te lijken. Ze hebben teveel handleidingen en

formulieren, teveel vergaderingen, teveel beoordelingen en schrijven teveel rapporten,

3. kleine audit afdelingen opereren veelal ad hoc, op basis van behoefte van management, rekening

houdend met de beschikbare capaciteit. Vaak ontstaat gedurende het jaar een capaciteitsprobleem;

personele wisselingen hebben direct invloed op de realisatie van het audit jaarplan,

4. kleine interne audit afdelingen korten de ‘audit stappen’ in en voeren de evaluatiefase niet uit.

Processtap 3: Zelfevalueren van een stelsel van kwaliteitsbeheersing

1. een éénpitter heeft geen surveillance betreffende de te bereiken doelen, kwaliteitsverzekering en het

beoordelen van de eigen professionele ontwikkeling,

2. kleine audit afdelingen evalueren het stelsel van kwaliteitsbeheersing onvoldoende.

Processtap 4: Bijsturen van een stelsel van kwaliteitsbeheersing

1. er vinden veel veranderingen plaats bij een kleine interne audit afdeling maar het Audit Charter wordt

niet elk jaar bijgewerkt. Vaak ontbreekt de richting die de interne audit afdeling opgaat in de volgende

drie jaar.

2. het ontbreekt vaak aan input materiaal voor het genereren van management informatie om bij te sturen.

Opmerkelijk is dat bij deze ‘mapping’ de meeste problemen zich vooral voordoen bij de eerste stap in het proces;

het opzetten van het stelsel van kwaliteitsbeheersing. Of zoals een respondent in een interview het zegt: “Het

grootste probleem is de tijd die je kwijt bent aan de professionaliseringsslag”. Het nalaten van het opzetten van

de maatregelen heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. Een

verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van

het proces van kwaliteitsbeheersing.

3.2.2. Prestatiekloof

Zoals uit hoofdstuk 2 bleek, dient het resultaat van de inspanningen van de audit afdeling een stelsel van

kwaliteitsbeheersing te zijn dat voldoet aan de IIA-standaarden, waarbij zelfevaluatie en de criteria de

aangeboden IIA-hulpmiddelen zijn om het gewenste resultaat te bereiken. Zoals in Stap 3 van par. 2.2 is

beschreven, wordt Tool 19 in het zelfevaluatieproces als onderdeel van de planning gebruikt om een algemene

beoordeling te maken van de naleving van de standaarden. Hierin worden Key Conformance Criteria en een

lange lijst met voorbeelden van bewijs als begeleiding gegeven. Ieder Key Conformance Criteria (KCI’s) dat niet

behaald wordt levert een waardering ‘Voldoet Niet’ op of op zijn minst ‘Voldoet maar is Voor Verbetering

Vatbaar’. Deze KCI’s worden als norm gehanteerd in de volgende beschrijving van de prestatiekloof tussen het

huidige en het gewenste resultaat van het proces van kwaliteitsbeheersing. Hieronder volgt een overzicht van een

prestatiekloof op algemeen niveau en per standaard.

Algemeen Probleem Norm

1 De kosten/tijd. Kleine afdelingen hebben vaak kleine

budgetten. Daardoor hebben de auditors

KCI van standaard 1100: Er zijn geen

beperkingen aan de omvang, de middelen

De eerste stap is het beschrijven van het gewenste proces (zie: p.13). De tweede stap in de Spelmethode is

het beschrijven van de huidige situatie (‘AS – IS’ procesbeschrijving). Vervolgens wordt de kloof

beschreven tussen het huidige en het gewenste resultaat. Tot slot worden de specifieke problemen die alleen

opgaan voor het onderzoeksobject gefilterd uit de totale lijst aan problemen.



het te druk met het realiseren van het

audit jaarplan. Het aantrekken van extra

budget voor het uitvoeren van een externe

kwaliteitstoetsing is moeilijk.

waaronder de beschikbare tijd, geld en mensen,

en de toegang van de interne audit activiteiten.

2 Weerstand tegen

verandering. Ervaren auditoren achten hun methoden

bewezen. Zij zijn terughoudend om te

veranderen, alleen omdat een aantal

standaarden hen voorschrijven dat dit nodig

is.

Niet specifiek voor een kleine audit afdeling. KCI

van standaard 1200 Auditors krijgen een

specifieke opleiding op basis van het collectieve

opleidingsplan met analyse van behoefte aan

personeel.

3 Gebrek aan

bestraffende

maatregelen.

De standaarden geven een indicatie dat

iedere audit afdeling iedere vijf jaar getoetst

moet worden, er is echter geen boete

gedefinieerd als men deze niet naleeft.

Niet specifiek voor een kleine audit afdeling. De

gediplomeerde verantwoordelijke internal auditor

valt onder het IIA-reglement art 2: .. zorgt dat de

interne audit functie beschikt over een stelsel van

kwaliteitsbeheersing dat voldoet aan in Nederland

algemeen aanvaarde normen voor de

beroepsuitoefening.

4 Gebrek aan

capaciteit.

Percepties van

ontoereikendheid

van het afdekken

van het gebied

dat onder de

activiteiten van

de audit afdeling

valt.

Het aantal audits, de vaardigheid om

technische audits uit te voeren, en het

niveau van procedurele detaillering alsook

het leveren van ondersteunende diensten

zouden vergeleken worden met grotere

afdelingen. Men vraagt zich af of hetzelfde

bereik verwacht wordt van kleine audit

afdelingen? Er is geen ruimte voor

vaktechniek.

Niet specifiek voor een kleine audit afdeling. KCI

van standaard 1100: Er zijn geen beperkingen

aan de omvang, de middelen, en de toegang

van de interne audit activiteiten.

5 Gebrek aan een

omgeving die

bevorderlijk is

voor wederzijdse

geruststelling,

inspiratie en

leren.

Auditoren in kleine audit afdelingen werken

(zeker als éénpitter) in een isolement,

zonder het voordeel van het uitwisselen van

ideeën zoals in grotere audit afdelingen. Er

wordt niet of nauwelijks aan werkgroepen

deelgenomen waardoor een verbetercultuur

vaak ontbreekt.

KCI van standaard 1200: Prestaties van het

personeel worden beoordeeld op een regelmatige

basis en de gebruikte criteria zijn voldoende en

geschikt voor de behoeften van de afdeling.

Nr. Attribute Standards Probleem Norm/Standaard/PA/KCI

1000 Purpose,

Authority, and

Responsibility

Veel veranderingen bij een kleine interne

audit afdeling waardoor het Audit

Charter elk jaar een update nodig heeft

van de richting die de interne audit

afdeling opgaat in de volgende drie jaar.

De directie heeft een doelstelling met

internal audit die niet overeenkomt met

de doelstelling in de definitie van het

IIA.

Er is een Audit Charter (handvest) met doel,

autoriteit en verantwoordelijkheden van de

interne audit afdeling.

Het Audit Charter is goedgekeurd door de

directie.

1100 Independence

and Objectivity

De onafhankelijkheid blijkt niet uit de

hiërarchische positie. De standaarden

schrijven voor dat de interne audit

afdeling direct toegang heeft tot senior

management en de directie. De kleine

audit afdeling rapporteert niet altijd aan

de CEO maar aan de CFO of controller.

De organisatie werkt soms niet mee aan

een duale rapportagelijn (incl. escalatie).

Het hoofd van de audit afdeling rapporteert tot

een niveau in de organisatie dat toereikend is om

zijn of haar taken te kunnen vervullen.

Elke rapportagerelatie (administratief, escalatie of

totaal) aan het management doet geen afbreuk aan

de verantwoordelijkheid van de Chief Audit

Executive (CAE) aan de raad.

Er zijn geen beperkingen aan de omvang, de

middelen, en de toegang van de interne audit

activiteiten.

1130

Impairment to

Independence or

Objectivity

De kleine audit afdeling verricht naast

het uitvoeren van audits vaak ook

vorming van beleid en procedures, het

implementeren van risicomanagement en

compliance activiteiten in de organisatie.

Auditors zijn zich ervan bewust om echte of

vermoedelijke belangenconflicten te

rapporteren zodra de conflicten zich voordoen.

De opdrachten van auditoren houden rekening

met vroegere werkzaamheden.

1200

Proficiency and

Due

Professional

Kleine audit afdelingen hebben moeite

om aan personeel te komen en kunnen

zich niet veroorloven de verkeerde

medewerkers aan te nemen die

Auditors krijgen een specifieke opleiding op basis

van het collectieve opleidingsplan met analyse

van personeelbehoeften.

Prestaties van het personeel worden beoordeeld



Care bijvoorbeeld geen zelfstarter, teveel op

compliance gericht of teveel specialist

zijn.

op een regelmatige basis en de gebruikte criteria

zijn voldoende en geschikt voor de behoeften van

de afdeling.

1210 Proficiency:

1210.A1

Outsourcing

1210.A3 IT

Knowledge

Kleine audit afdelingen hebben veelal

geen analyse gemaakt van de

outsourcing alternatieven.

Kleine audit afdelingen maken veelal

geen gebruik van computer assisted audit

tools en data-analysetechnieken.

Wanneer vaardigheden ontbreken, zal het hoofd

hulp inroepen.

Auditors hebben een fraudeopleiding of

bekwaamheid in de identificatie van fraude-

indicatoren. Auditors hebben een opleiding van

IT-concepten en computer aided audit tools.

1220.A3

Riskmngt.

Kleine interne audit afdelingen kunnen

niet garanderen dat alle significante

risico’s geïdentificeerd worden.

Wanneer vaardigheden ontbreken, roept de CAE

(Chief Audit Executive) bijstand in of geeft de

opdracht terug.

1300

Quality

Assurance and

Improvement

Program

Kleine audit afdelingen hebben veelal

geen vastgelegd en gedocumenteerd

kwaliteitsprogramma (QAIP).

Kwaliteitsbewaking vindt veelal

informeel plaats. De rapportage van de

interne toetsing ontbreekt.

De interne audit activiteit heeft een proces te

bewaken en de algemene effectiviteit van het

programma en de kwaliteit te beoordelen.

Nr. Performance Standards

2000

Managing the

Internal Audit

Activity

Kleine interne audit afdelingen hebben

veelal geen ‘risk based’ audit plan en

opereren veelal op basis van behoefte

van management, rekening houdend met

de beschikbare capaciteit. Vaak ontstaat

gedurende het jaar een

capaciteitsprobleem. De personele

wisseling heeft direct invloed op de

realisatie van het audit jaarplan.

De CAE heeft op risico's gebaseerde plannen

vastgesteld in overleg met de directie en het

senior management. Waar het van toepassing is

zijn consulting opdrachten in het jaarlijkse

auditplan opgenomen.

2040 Policies and

Procedures

Kleine audit afdelingen proberen vaak op

grote afdelingen te lijken. Ze hebben

teveel handleidingen en formulieren,

teveel vergaderingen, teveel

beoordelingen en ze schrijven teveel

rapporten.

PA 2040 (zie p.11) een kleine audit afdeling

mag informeel georganiseerd worden en

formele administratieve en technische

procedure handboeken zijn niet nodig.

2100 Nature of Work Geen. N.v.t.

2200 Engagement

Planning

Geen. N.v.t.

2300

Performing the

Engagement

2320 Analysis

and Evaluation

Kleine interne audit afdelingen korten

audit stappen en evaluatie in. Zij hebben

vaak geen beleid over bewaking,

handhaving en interne/externe

verspreiding van opdrachtdossiers en het

ontbreekt aan input materiaal voor het

uitvoeren van een zelfevaluatie.

Werkdocumenten omvatten alle relevante

informatie om de doelstellingen te bereiken.

2340:

Engagement

Supervision

Een éénpitter heeft geen surveillance

betreffende de te bereiken doelen,

kwaliteitsverzekering en de eigen

professionele ontwikkeling.

Er is bewijs dat opdrachten onder juiste

supervisie uitgevoerd worden, de kwaliteit

gegarandeerd is en het personeel zich

ontwikkelt.

2400

Communicating

Results

Kleine afdelingen promoten slecht wat

hun toegevoegde waarde is voor de

organisatie.

Er is bewijs van passende, tijdige communicatie

met het management. Een algemene opinie of

conclusie is opgenomen in het auditrapport.

Communicatie buiten de organisatie is beperkt in

verspreiding en in het gebruik van de resultaten.

Er zijn aanwijzingen van vooruitgang en

resultaten op adviesopdrachten die redelijk zijn

voor de betrokken managers.

2500 Monitoring progress Geen. N.v.t.

2600 Resolution of Management’s Acceptance of Risks Geen. N.v.t.

Tabel 3: prestatiekloof tussen de huidige en de gewenste resultaten



Uit bovenstaande tabel blijkt dat er bij meerdere standaarden een prestatiekloof bestaat tussen de huidige en de

gewenste resultaten. Ook blijken van de algemene problemen er maar twee specifiek voor de kleine audit

afdeling te gelden, namelijk het budgetprobleem en de surveillance van de éénpitter. Een korte opsomming van

de problemen met de grootste prestatiekloof die specifiek voor de kleine audit afdeling gelden:

1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren

van de werkzaamheden tussen directie en de definitie van internal auditing die een grotere impact

hebben bij kleine dan bij grotere afdelingen,

2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben

een grotere impact bij kleine dan bij grotere afdelingen,

3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en

de ontbrekende kennis of vaardigheden worden niet opgevangen door alternatieven zoals insourcing of

ondersteunende systemen,

4. kleine audit afdelingen hebben veelal geen vastgelegde bewaking van het kwaliteitsbeheersingsproces

en geen monitoring van de effectiviteit van het proces,

5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is.

6. audit stappen worden ingekort en het ontbreekt aan stuurinformatie vanuit evaluatiewerkzaamheden.

7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd,

8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de

organisatie dan grotere afdelingen.

Tot slot van deze paragraaf enkele opmerkingen die voort zijn gekomen uit de interviews met enkele hoofden

van getoetste kleine audit afdelingen. De genoemde problemen liggen bijna allemaal binnen de invloedssfeer van

de verantwoordelijke auditor. Er zijn echter twee uitzonderingen genoteerd, namelijk de onafhankelijkheid en de

tijdsdruk.

Uitzondering op de regel dat de auditor de problemen kan beïnvloeden is de onafhankelijkheid van de

verantwoordelijke auditor welke in hoge mate wordt bepaald door de organisatie waarin deze opereert. Of zoals

een respondent in een interview het zegt: “De directie heeft mij in dienst genomen om de efficiency van de

organisatie te beoordelen en vond het niet nodig alles vast te leggen. De directie wilde vooral dat de vraag “zijn

we in control?” beantwoord zien”, en: “De directie vond de kosten van de externe toetsing niet in verhouding

staan tot het beschikbare budget”.

De tweede uitzondering op deze regel is tot slot de tijdsdruk bij het uitvoeren van audits. Zoals een respondent

zegt: “De achillespees van kleine audit afdelingen zijn de werkprogramma’s, de vastleggingen, de bepaling van

de ‘sample size’ en de strakke procedure voor de opvolging van de audit bevindingen”. Onder tijdsdruk wordt er

vaak geen ‘audit trail’ gelegd tussen rapport en dossier.




Antwoord op deelvraag 2. Welke praktische problemen kleine audit afdelingen ondervinden in hun streven om aan de

eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces van

kwaliteitsbeheersing?

Resultaat van dit hoofdstuk is een opsomming per standaard van de praktische problemen die kleine audit afdelingen

ondervinden bij het naleven van de standaarden. De problemen worden vanuit verschillende invalshoeken

onderzocht, namelijk in termen van logica van het procesverloop en de prestatiekloof tussen het huidige en het

gewenste resultaat van het proces. Informatie uit interviews wordt gebruikt om het onderzoek betrouwbaarder te

maken. De opsomming van problemen:

1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren van

de werkzaamheden tussen directie en de definitie van internal auditing. Dit verschil heeft een grotere impact

bij kleine dan bij grotere afdelingen,

2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben een

grotere impact bij kleine dan bij grotere afdelingen,

3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en de

ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals

insourcing of ondersteunende systemen,

4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het kwaliteits-

beheersingsproces en geen monitoring van de effectiviteit van het proces,

5. de kleine audit afdeling is vaak informeel georganiseerd, waardoor er weinig vastgelegd is,

6. audit stappen worden onder tijdsdruk ingekort en daardoor ontbreekt het vaak aan stuurinformatie en audit

trail vanuit de evaluatiewerkzaamheden,

7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd.

8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de

organisatie, dan grotere afdelingen,

9. de organisatie en de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij grotere

audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor.

Verder is geconstateerd dat de meeste problemen zich vooral voordoen bij de eerste stap in het proces, namelijk het

opzetten van het stelsel van kwaliteitsbeheersing. Het betreft de professionaliseringsslag naar het gewenste

kwaliteitsniveau en de borging ervan op het moment dat men voldoet aan de standaarden. Het nalaten van een

professionaliseringsslag heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt.

Een verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van

het gehele proces van kwaliteitsbeheersing.

Deze problemen en constateringen worden meegenomen bij het verdere onderzoek naar de oplossingen die geboden

kunnen worden voor de gevonden problemen, en het schrijven van het projectplan.



Hoofdstuk 4. Een pragmatische aanpak Dit hoofdstuk beantwoordt de vraag welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de

kleine audit afdeling te mitigeren of op te heffen. In paragraaf 4.1. worden de bevindingen ten aanzien van de

beperkingen beschreven aan de hand van de probleemanalyse uit het vorige hoofdstuk. In paragraaf 4.2. worden

vanuit deze bevindingen verbeteracties gegenereerd en worden de acties tot enkele verbeterprojecten gebundeld.

Paragraaf 4.3 sluit af met een samenvatting en een conclusie.

4.1. Bevindingen

Om tot bevindingen te komen is het belangrijk dat in het vorige hoofdstuk duidelijk is geworden wat precies de

problemen ten aanzien van de beperkingen in middelen en menskracht zijn, wat de risico’s van het niet naleven

van de standaarden zijn (waarom het een probleem is), wat de oorzaak van de problemen specifiek bij de kleine

audit afdeling zijn (wat of wie kan invloed uitoefenen om verandering te brengen). Met deze bevindingen kan

naar verbeteringen gezocht worden en kunnen aanbevelingen gedaan worden.

Bevinding 1. Onvoldoende professionalisering van de kleine audit afdeling

Uit de analyse blijkt dat auditoren werkzaam in een kleine audit afdeling, vaker dan in een grotere afdeling, geen

helder beeld hebben van de doelstelling die de organisatie met de interne audit afdeling heeft. De eigenschappen

die een audit afdeling en auditoren moeten hebben om kwalitatief goede audit diensten te leveren (Attribute

Standards) zijn onvoldoende geborgd. Er wordt te weinig aandacht besteed aan het opzetten van maatregelen

voor kwaliteitsbeheersing en de onafhankelijkheidseis komt in het geding als de directie de kleine audit functie

alleen gebruikt om haar ‘in control’-verklaring op te bouwen. Er is dan sprake van objectieve verhindering,

waardoor de audit functie niet toekomt aan het eigenlijke werk zoals in de IIA-definitie van internal auditing

verwoord is. Het risico van objectieve verhindering in het opbouwen van een kwaliteitsbeheersingsproces is dat

er geen professionalisering en borging van het proces binnen de audit functie plaatsvindt, dat de procesgang met

de PLAN, DO, CHECK, ACT-cycle verstoord is en het gevolg is dat de prestatie onvoldoende is om te voldoen

aan de normen van de beroepsgroep. De oorzaak ligt in een beperking in de positionering van de kleine audit

afdeling door middel van het definiëren van haar doel, autoriteit, verantwoordelijkheden en rapportagelijn in het

Audit Charter en het ontbreken van een projectaanpak voor de professionaliseringsslag ter ondersteuning van het

hoofd van de kleine audit afdeling.

Bevinding 2. Teveel schommelingen in budget, activiteiten, menskracht en kwaliteitsprogramma

Uit de analyse blijkt dat de kosten van de afdeling moeilijk te managen zijn in verhouding tot grotere afdelingen.

Vaak zijn de activiteiten van de afdeling moeilijk te begroten omdat niet helder is hoeveel tijd en geld nodig is.

Tevens hebben personele wisselingen een grotere impact op een kleine afdeling in vergelijking met een grotere

afdeling. Het risico is dat binnen de kleine afdeling de kerntaak (uitvoeren van de audits in het auditjaarplan) en

de ad hoc verzoeken prioriteit krijgen boven het werken aan het beheersen van kwaliteit. De oorzaak ligt in het

beperkte gebruik van alternatieve middelen om geld en menskracht zo optimaal (efficiënt/effectief) mogelijk in

te zetten; dit betreft de manieren om de schommelingen in het budget, de activiteiten, menskracht en

kwaliteitsprogramma (de processtap: opzetten van stelsel van kwaliteitsmaatregelen) op te vangen.

De tweede stap in de BPI-methode (‘AS IS’) eindigt met een probleemanalyse waaruit vervolgens

bevindingen opgesteld kunnen worden. Uit de bevindingen blijkt ‘waarom’ het een probleem is en ‘van wie’

het probleem is. Daaruit worden vervolgens verbeteracties gegenereerd die tot enkele verbeterprojecten

gebundeld worden.



Bevinding 3 Onvoldoende informatie voor het maken van een zelfevaluatie

Uit de analyse blijkt dat informatie voor het maken van een zelfevaluatie ontbreekt. De informatiebronnen, waar

de belangrijkste indicators voor het naleven van de standaarden te vinden zijn, ontbreken. Het risico is dat de

motivatie, die het hoofd van de audit afdeling verplicht is te schrijven voordat er een toetsing plaatsvindt,

onvoldoende is, omdat:

1. de opzet en werking van de maatregelen voor kwaliteitsbeheersing vaak niet op één lijn gebracht worden

met elkaar,

2. er weinig wordt nagedacht over kwaliteitsbeheersing en/of men dat niet zichtbaar maakt,

3. wanneer er niet voldaan kan worden aan de standaarden en een alternatief gemotiveerd wordt, dat dan niet

bewezen kan worden,

4. er geen afweging gemaakt kan worden wanneer bijvoorbeeld substandaarden ‘partly conform’ en de hele

standaard dan toch ‘conform’ scoort.

De oorzaak voor het onvoldoende verkrijgen van informatie voor zelfevaluatie ligt in:

1. het niet of informeel evalueren van uitgevoerde auditprojecten,

2. het niet of nauwelijks deelnemen aan lokale IIA-werkgroepen, waardoor van andere

kleine audit afdelingen onvoldoende geleerd kan worden,

3. het ontbreken van een inventarisatie van de informatiebehoefte van het hoofd van de

kleine audit afdeling.

Het gevolg is dat:

a. de oordeelsvorming niet met feiten en bronverwijzingen onderbouwd kan worden,

b. te lang gewacht wordt om de selectiecriteria te definiëren waaraan een interne toetser of een

‘peer reviewer’ dient te voldoen om het interne evaluatieproces te beoordelen,

a. kwaliteitscontroles op audit documentatie niet uitgevoerd kunnen worden,

b. de audits niet geëvalueerd worden waardoor geen verbeteracties opgezet kunnen worden.

Hierdoor krijgt het hoofd onvoldoende feedback en input om een zelfevaluatie te maken.

Bevinding 4 Ontbreken van een geschikt functieprofiel

Uit de analyse blijkt dat niet iedere auditor geschikt is om in een kleine audit afdeling te werken. Werken in een

kleine audit afdeling vormt een uitdaging voor iemand met een brede achtergrond, die tussen verschillende

niveaus kan schakelen. Zonder al te veel tijd kwijt te zijn aan bureaucratie schakelt een auditor in een kleine

afdeling tussen meer vloeiende en flexibele structuren en plattere rapportagelijnen. Ook zitten de individuele

auditors dichter bij het senior management. Het risico is dat een auditor die de ervaring of expertise mist niet kan

bijdragen aan een efficiënte procesgang van kwaliteitsbeheersing. Het gevolg is dat een verbetercultuur

ontbreekt en niet aan de eisen voldaan wordt. De oorzaak is een beperkte slagkracht door het ontbreken van een

op maat gesneden functieprofiel van de auditor met succesvolle personeelskenmerken voor de kleine audit

afdeling zoals: allrounder, zelfstarter, schakelt gemakkelijk tussen verschillende organisatieniveaus, bewust van

de toegevoegde waarde van kwaliteitsbeheersing en veranderingsgezind.

4.2. Verbeteracties

Volgens de Spelmethode dienen nu vanuit de bevindingen ideeën gegenereerd te worden voor het vergroten

van de efficiency (doelmatigheid, met dezelfde middelen meer doen) en de effectiviteit (mate van

doeltreffendheid of de juiste dingen doen) van het proces. Vragen die helpen om tot verbetervoorstellen te

komen: is het totale proces logisch opgebouwd, zijn de processtappen goed ingericht, is de kwaliteit en

ondersteuning van de IT voldoende?



Om tot oplossingen te komen worden verbeteracties gegenereerd voor het vergroten van de efficiency en de

effectiviteit van het totale proces van kwaliteitsbeheersing, en daaruit kan bepaald worden welke

beheersingsmaatregelen genomen moeten worden.

Aanbeveling 1 afstemming van de doelstelling tussen verantwoordelijke auditor en management

Vanuit bevinding 1 komt de aanbeveling om de doelstelling of ambitie die de organisatie met de audit functie

heeft te achterhalen. Vervolgens dient het hoofd van de audit afdeling deze doelstelling of ambitie te aanvaarden.

Als dit is bereikt kan de organisatie van de audit afdeling beschreven worden met onder andere: een beschrijving

van het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en de administratieve organisatie

daarbinnen. Aan deze beschrijving worden de volgende minimale eisen gesteld, ten aanzien van:

1. welke gegevens,

2. door wie vastgelegd worden,

3. in welk bestand,

4. welke interne beheersingsmaatregelen hierin opgenomen zijn,

5. welke kwaliteitscontroles uitgevoerd worden die gericht zijn op de uitkomsten van het proces.

In bijlage III is een voorbeeld van een AO/IC-beschrijving opgenomen waaruit duidelijk wordt ‘wie’

verantwoording ‘waarover’ aflegt. De beheersingsmaatregel hier is het maken van een op maat gesneden AO/IC-

beschrijving voor de specifieke situatie van de kleine audit afdeling.

Aanbeveling 2 ontwikkel alternatieve middelen om de schommelingen op te vangen

Vanuit bevinding 2 komt de aanbeveling om alternatieve middelen te ontwikkelen om het hoofd van de kleine

audit afdeling te ondersteunen. De ‘Best Practices’ dienen om schommelingen op te vangen:

1. in het budget (halfjaarlijks/ kwartaal of rollende begroting). De volgende posten dienen begroot en

goedgekeurd te worden door de directie:

a. de audits in het audit jaarplan,

b. kostenpost ‘ad hoc aanvragen’ opnemen,

c. de audit tools, in te huren bij de externe accountant,

d. procedure ‘extra budget aanvragen’ voor de tekorten in het audit plan,

2. in de activiteiten (‘risk based’ audit plan):

a. strategische risicoanalyse gebruiken voor selecteren van audits en andere onderzoeksobjecten,

b. als er geen risicomanagementsysteem beschikbaar is binnen de organisatie dan dient de kleine interne

audit afdeling de sessies Strategisch Risico Management (SRM) te faciliteren. Het doel is de balans

tussen risico en controle te vinden voor een effectieve en efficiënte inzet van internal audit capaciteit.

3. in menskracht (analyse sourcing-alternatieven):

Capaciteitstekorten kunnen door externe ondersteuning opgevangen worden, op basis van de gemaakt

analyse sourcing-alternatieven. De alternatieven bestaan uit:

a. 100% uitbesteding van interne audit diensten op continue basis,

b. gedeeltelijke uitbesteding door externe medewerkers op continue basis,

c. co-sourcing waardoor externe medewerkers in joint opdrachten participeren met in-house interne

auditoren. De opdrachten kunnen continu of voor een specifieke termijn zijn,

d. subcontracting voor een specifieke opdracht. Management en toezicht liggen bij inhouse-

medewerker (IIA-positioning paper resourcing, 2009).

4. in het kwaliteitsprogramma (‘lean’ of ‘kaal’ programma):

a. meenemen in het Audit Charter:

i. voorin het document een wijzigingentabel opnemen die laat zien in welk jaar welke wijziging

is doorgevoerd zodat in één oogopslag duidelijk wordt welke ontwikkeling de afdeling heeft

doorgemaakt.

ii. de functionele lijn voor rapportage (incl. beoordeling en beloning hoofd van de audit afdeling)

naar de directie,



1. administratieve lijn voor dagelijkse zaken naar Chief Executive Officer (CEO),

2. een onderbroken lijn voor escalatie naar Audit Committee en beschrijven wat de

consequenties/alternatieven zijn bij mogelijke bedreiging van de onafhankelijkheid

(bijvoorbeeld bij het rapporteren in geval van financiële audit aan CEO),

3. een onafhankelijk oordeel van de externe accountant verkrijgen.

iii. op welke gebieden de kleine audit afdeling expliciet niet onafhankelijk is.

b. handboek met zeven procedures voor het maken van: de afdelingsbegroting met een kostenpost voor

kwaliteitsbeheersing, het werven van nieuw personeel, het uitvoeren van audits, het evalueren van het stelsel van

kwaliteitsbeheersing, het monitoren van follow-up acties uit audits, het escaleren bij het in gebreke blijven van

het opvolgen van aanbevelingen en follow-up acties, en het maken van opdrachtafstemming om het

zelfevaluatieproces te laten beoordelen door peers of externen. De beheersingsmaatregelen hier zijn het maken

van een begroting, een ‘risk based’ audit plan, een analyse voor sourcing alternatieven en een

kwaliteitsprogramma.

Aanbeveling 3 inventariseer de informatiebehoefte ten behoeve van zelfevaluatie

Vanuit bevinding 3 komt de aanbeveling om een inventarisatie van informatiebehoefte te maken en de

belangrijkste Key Conformance Indicators te benoemen en deze in een overzicht te plaatsen met de toevoeging

van de bron of vindplaats. In het geval van een éénpitter wordt aanbevolen om vast te leggen welke informatie

nodig is om de kwaliteit van de surveillance te waarborgen. De beheersingsmaatregel hier is het maken van een

inventarisatie van de informatiebehoefte voor een zelfevaluatie over de mate waarin het stelsel van

kwaliteitsmaatregelen aan de standaarden voldoet.

Aanbeveling 4 maak een functieprofiel om de juiste auditor te werven

Vanuit bevinding 4 komt de aanbeveling om een profiel op te stellen van de auditor die geschikt is te werken in

een kleine audit afdeling. Personeelskenmerken zijn:

1. competent: allround door ervaring, kennis en vaardigheden, en de auditor is een zelfstarter,

2. voldoende en juiste expertise,

3. professioneel,

4. permanente educatie,

5. participatie in beroepsorganisatie.

Het profiel kan samengesteld worden uit benodigde bekwaamheden van internal auditors zoals: theoretische

kennis, praktische organisatiekennis, technische vaardigheden, analytische vaardigheden, oordeelkundige

vaardigheden, persoonlijke vaardigheden, organisatievaardigheden (IIA, Competency framework for internal

auditing, 2001). De beheersingsmaatregel hier is het maken van een functieprofiel om een auditor te werven die

geschikt is voor de situatie van een kleine audit afdeling.

De bevindingen en aanbevelingen die hierboven zijn opgesteld zijn roepen de vraag op wat de reden is van het

ontbreken van een professionaliseringslag bij kleine audit afdelingen. Voor de beantwoording van deze vraag

ging ik te rade bij de voorzitter van het College van Kwaliteitstoetsing van het IIA NL. Deze antwoordde dat

kleine afdelingen niet van de grote verschillen als het om principes achter de standaarden gaat, maar juist als het

erom gaat hoe de standaarden in de praktijk uitgewerkt worden. “De uitwerking bij de kleine audit afdeling kan

pragmatisch zijn door het mitigeren van haar beperkingen. Vooral als het gaat om de mate waarin de kleine

interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen mitigeert. Dit ontbreekt nogal eens”. Uit

interviews met hoofden van kleine audit afdelingen komt naar voren dat men het niet nodig acht om bijvoorbeeld

een kwaliteitsprogramma aan te leggen gezien de omvang van de audit organisatie, de efficiency en de gewenste

audit coverage. Ook wordt aangegeven dat het beoordelen van de audit dossiers door een tweede beoordelaar

praktisch niet uitvoerbaar is. Hier blijft toch een spanningsveld aanwezig tussen wat haalbaar en gewenst is in de

naleving van de standaarden. Oplossingen zijn het aanvragen van meer budget en een vertegenwoordiger van de

kleine audit afdeling zitting te laten nemen in het College van Kwaliteitstoetsing.




Antwoord op deelvraag 3: Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine

audit afdeling te mitigeren of op te heffen?

Door analyse van de problemen zijn de volgende bevindingen gedaan:

1. onvoldoende professionalisering van de kleine interne audit afdeling; de oorzaak ligt in

onvoldoende professionalisering van de kleine interne audit afdeling,

2. teveel schommelingen in budget, activiteiten, menskracht en de kwaliteit van het programma; de

oorzaak ligt in het ontbreken van instrumenten om de schommelingen op te vangen,

3. onvoldoende informatie voor het maken van een zelfevaluatie; de oorzaak ligt in het ontbreken van

een inventarisatie van managementinformatiebehoeften,

4. ontbreken van een geschikt functieprofiel; de oorzaak ligt in het onvoldoende gebruik van

outsourcing alternatieven en het ontbreken van de juiste kennis en vaardigheden bij auditors.

Vervolgens zijn verbeteracties ontwikkeld om de beperkingen van de kleine audit afdeling te mitigeren of op

te heffen. Deze verbeteracties kunnen als beheersingsmaatregelen in de organisatie van de afdeling worden

ingevoerd en geborgd:

1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit

Charter,

2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke

auditor,

3. een beschrijving van de organisatie van de audit afdeling met onder andere: een beschrijving van

het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en een AO/IC-

beschrijving van het proces van kwaliteitsbeheersing,

4. vier ‘Best Practices’ om schommelingen op te vangen in:

a. budget

b. activiteiten

c. menskracht

d. kwaliteitsprogramma.

De schommelingen kunnen opgevangen worden door het maken van een begroting, een ‘Risk

Based’ auditplan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma,

5. een inventarisatie van de managementinformatiebehoeften maken voor een zelfevaluatie van de

mate waarin het stelsel van kwaliteitsmaatregelen aan de standaarden voldoet,

6. een profiel van de auditor opstellen die geschikt is voor een kleine audit afdeling.

De uitwerking bij de kleine audit afdeling kan pragmatisch zijn door het mitigeren van haar beperkingen.

Vooral als gaat om de mate waarin de kleine interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen

mitigeert.

In het volgende hoofdstuk worden de verbeteracties die uit de aanbevelingen volgen, gegroepeerd naar

enkele projecten waarmee de kleine audit afdeling haar mensen en middelen zo optimaal mogelijk kan

benutten. De bundeling van projecten leveren samen met de conclusies uit de vorige hoofdstukken een

aanpak op voor het ontwikkelen van een projectplan zoals dat in paragraaf 1.2 als doel van dit onderzoek is

beschreven.



Hoofdstuk 5. Het projectplan

Dit hoofdstuk laat een verbetertraject zien door middel van een projectmatige aanpak waarmee de kleine audit

afdeling haar kwaliteit kan verhogen. Paragraaf 5.1 bundelt de verbeteracties uit hoofdstuk 4 in drie projecten.

Paragraaf 5.2 beschrijft het generieke verandertraject, waarbij de projecten parallel aan en sequentieel aan elkaar

geïmplementeerd kunnen worden. In paragraaf 5.4 wordt een rapportage-instrument behandeld dat voor interne

rapportage gebruikt kan worden. Paragraaf 5.3 sluit af met een samenvatting en een conclusie.

5.1. Het bundelen van de activiteiten

Het uiteindelijke resultaat van dit onderzoek is een projectplan dat de audit afdeling ondersteunt bij haar

inspanningen om te voldoen aan de IIA-standaarden. De zes resultaten in het vorige hoofdstuk 4 leiden naar dit

eindresultaat. Deze activiteiten worden gebundeld in drie projecten om een professionaliseringsslag te maken.

Om de efficiency en effectiviteit van deze projecten binnen de kleine audit afdeling te vergroten is gekozen voor

een integrale aanpak. Hierbij worden de activiteiten naar vier organisatiegebieden ingedeeld. Het voordeel van

het integraal uitvoeren van de maatregelen is dat een dergelijke aanpak zorgt voor een optimale borging binnen

de kleine audit afdeling en de organisatie waar zij deel van uitmaakt.

De organisatie aandachtsgebieden zijn:

• Management en organisatie

• Informatie en technologie

• Mensen en cultuur

• Processen en beleid

Per project worden noodzakelijke maatregelen gebundeld naar thema’s en worden maatregelen per

aandachtsgebied ingedeeld. De voordelen, in termen van het verhogen van effectiviteit, efficiency en kwaliteit

van het project, zijn in het blokje ‘Voordelen’ in het midden van het schema aangegeven.

Verbeterproject 1: De (her)inrichting van het proces van kwaliteitsbeheersing

Het doel van dit project is het verbeteren van het proces van kwaliteitsbeheersing. Er dient een draagvlak

gecreëerd te worden binnen de organisatie voor dit proces en het doel van de interne audit afdeling. Dit project

behoeft geen ICT-ondersteuning. Dit project leidt tot een duidelijke beschrijving van het proces van

kwaliteitsbeheersing en is een randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot

concrete kwaliteitsverhoging. Het hoofd van de kleine audit afdeling moet een centrale rol te spelen bij het

ontwikkelen het proces, de beleidsvorming, de zelfevaluatie en het schrijven van de motivatie; dit wil niet

zeggen dat hij/zij alles zelf moet doen. Hieronder volgt een schematisch weergave van de noodzakelijke

maatregelen van het project.

De derde stap in de BPI-methode gaat met de eerder bepaalde resultaten aan de slag. De medewerkers en

activiteiten dienen gereorganiseerd te worden om de doelstelling te behalen. Het BPI-instrument dat

hiervoor gebruikt wordt is het bundelen van de verbeteractiviteiten (via een integrale aanpak) tot enkele

verbeterprojecten.



Schema 1: (her)inrichting van het proces van kwaliteitsbeheersing.

In dit project worden de volgende activiteiten gepland:

1. beschrijf het doel dat de organisatie heeft met de audit functie of bepaal de toegevoegde waarde van internal

auditing aan de overall organisatiedoelstellingen,

2. bepaal de overeenkomst of verschil met de doelstelling van internal auditing aan de hand van de IIA-

definitie. Het is van het hoogste belang de overeenkomsten en verschillen helder in kaart te brengen voordat

men aan het verhogen van de kwaliteit begint,

3. de aanvaarding/verwerping van deze doelstelling door het hoofd van de audit afdeling of de

verantwoordelijke auditor. Van belang hierbij is de constatering van een eventuele aanwezigheid van

objectieve verhindering om de internal audit functie te vervullen,

4. bepaal het ambitie- of resultaatniveau voor het proces van kwaliteitsbeheersing,

5. deel dit ambitieniveau met de directie en vraag een budget voor de uitvoering,

6. maak beleid ten aanzien van kwaliteit, gebaseerd op de bovenstaande uitkomsten en leg dit vast in het Audit

Charter en het kwaliteitsprogramma,

7. beschrijf de organisatie van de audit afdeling ten aanzien van kwaliteitsbeheersing:

a. een beschrijving van het totale proces van kwaliteitsbeheersing,

b. een beschrijving van de afzonderlijke processtappen en

c. een AO/IC-beschrijving van het proces van kwaliteitsbeheersing (bijlage III).

8. definieer kwaliteitsbeheersingprocedures zodanig dat beheersbaarheid gerealiseerd wordt, maar zonder

bureaucratisch te worden,

9. leg het bewijs voor iedere key conformance indicator vast in het kwaliteitsprogramma. Dit levert een

minimale set aan bewijsstukken op dat het zelfevaluatieproces efficiënter maakt,

10. voer periodiek benchmark studies uit van zowel de prestaties van kleine audit afdelingen als van

verbetertrajecten, zodat het leervermogen wordt verbeterd,

11. voer periodiek een kwaliteitscontrole uit om het proces van kwaliteitsbeheersing te toetsen.



Een algemene beheersingsmaatregel van het hoofd van de kleine audit afdeling is het aanmaken van een

kostenpost voor de werkzaamheden op het gebied van kwaliteitsbeheersing. De kwaliteitscontrole is dan een

cijfercontrole van het overzicht: ‘planning versus realisatie kwaliteitsbeheersing’ op basis van kosten en

urenregistratie. De beheersingsmaatregelen en kwaliteitscontroles per processtap betreffen:

Proces

stap

Beheersingsmaatregel Kwaliteitscontrole

Opzetten Een goedgekeurd Audit Charter en ‘risk based’

auditplan.

Beleid en procedure voor het werven van nieuw

personeel.

Analyseren van sourcing alternatieven.

Check het verband tussen de

voorgestelde audit onderwerpen en

bedrijfsrisico’s,

Check potentiële kandidaat op basis

van profielschets, bekwaamheden en

functiematrix met aanwezige kennis

en expertise.

Opzetten Procedure voor het uitvoeren van audits.

Globale voortgangscontrole en urenregistratie per

auditor/audit.

Functiescheiding tussen het invullen van

evaluatieformulier per audit en het beoordelen

ervan.

Check door hoofd van de kleine audit

afdeling op de aanwezigheid van

procedures en ingevuld

beoordelingsformulier per audit.

Implementeren Fysieke aanwezigheidscontrole van de minimale

set bewijsstukken in het dossier

‘Kwaliteitsprogramma’.

Check de opvolging van procedures

per audit.

Beoordeling van de kwaliteit

(juistheid en volledigheid) van de

bewijsstukken door het hoofd van de


Evaluatie Procedure voor zelfevaluatie van het stelsel van

kwaliteitsbeheersing.

Zelfevaluatie en toetsing van het

proces, processtappen, procedures en

richtlijnen door het hoofd van de


Beoordeling interne toetser van het

zelfevaluatieproces.

Bijsturen Procedure voor de follow up van acties die

voortkomen uit de aanbevelingen vanuit audits.

Procedure voor escalatie bij het in gebreke blijven

van het opvolgen van aanbevelingen.

Het maken van opdrachtafstemming om het

zelfevaluatieproces te laten beoordelen door peers

of externen.

Controle op de uitvoering van de

escalatieprocedure door middel van

interview van de auditor. Controle op

de aanwezigheid van een

opdrachtafstemming.

Tabel 4: beheersingsmaatregelen en kwaliteitscontroles per processtap



Verbeterproject 2: Toepassen van het beleid en de procedures.

Bij dit project is het van belang om de procedures uit het kwaliteitsprogramma toe te passen en het gebruik van

de procedures te optimaliseren.

Schema 2: toepassen van beleid.

De volgende activiteiten horen bij dit project:

1. maak een ‘risk based’ auditjaarplan,

2. maak een analyse van de outsourcing alternatieven om wisselingen in capaciteit direct op te kunnen

vangen,

3. leg vast in het Audit Charter: de wijzigingen, de juiste rapportagestructuur en wat de afdeling expliciet

niet doet,

4. faciliteer strategische Risico Mant (SRM) sessies waardoor zicht wordt verkregen op de belangrijkste

risico’s,

5. huur audit tools in bij externe accountant,

6. voer een document workflow systeem in voor het vastleggen van bevindingen, cross references en

rapportage van audit bevindingen,

7. ga netwerken met andere audit afdelingen om te leren van gemeenschappelijke problemen door middel

van discussie en debat,

8. leg een fysiek en een digitaal dossier ‘kwaliteitsprogramma’ aan,

9. pas de procedures uit het handboek kwaliteitsbeheersing toe,

10. hanteer een snellere doorlooptijd voor het uitvoeren van audits, peer beoordelingen en

zelfbeoordelingen.

Dit project leidt tot kwaliteitsverhoging. Het voordeel van dit project is: het zo optimaal mogelijk inzetten van

middelen en menskracht. De minimale bewijsstukken in het kwaliteitsprogramma zijn:

1. bewijs van goedkeuring Raad van Bestuur van Audit Charter,

2. bewijs dat het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau,

3. bewijs dat de auditors goed opgeleid zijn,



4. bewijs van een effectief kwaliteitsprogramma door ‘Best Practices’,

5. bewijs dat het audit plan ‘risk based’ is,

6. bewijs van een beoordeling van risicobeheersings- en controlesystemen bij iedere audit,

7. bewijs van risicobeoordelingen en een werkprogramma bij iedere audit,

8. bewijs dat de werkdocumenten alle relevante informatie bevatten over de te bereiken doelstellingen,

9. er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie is

opgenomen in het audit rapport,

10. een beschrijving van een follow-up-procedure om ervoor te zorgen dat het management de aanbevolen

acties daadwerkelijk heeft uitgevoerd of het risico heeft aanvaard,

11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voor resolutie

voorgelegd aan de directie.

Het hoofd van de audit afdeling maakt een beoordeling in hoeverre de procedures worden nageleefd en stuurt

indien nodig bij. De kwaliteitscontroles die het hoofd van de kleine audit afdeling uitvoert op de maatregelen

leiden tot goede mensen en goede procedures waardoor dit project leidt tot het verhogen van de kwaliteit.

Verbeterproject 3: Verbeter de managementinformatievoorziening

Dit project heeft als doel om managementinformatie te creëren om een zelfevaluatie te maken en het proces van

kwaliteitsbeheersing bij te sturen.

De voordelen van dit project zijn het inzichtelijk maken, beheersen en bijsturen van het gehele proces van

kwaliteitsbeheersing en van het proces van zelfevaluatie en het vermindert de bureaucratie. Dit project leidt tot

het verhogen van de kwaliteit.



De bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard zijn:

Standaard Key Conformance

Indicator

Vindplaats

1000: Purpose, Authority,

and Responsibility

Goedgekeurd Audit

Charter.

1. Dossier kwaliteitsprogramma

2. Notulen van bestuursvergaderingen.

3. Interviews van het hoofd van de audit afdeling,

bedrijfsleiding,

1100: Independence and

Objectivity

Juiste rapportage lijn. 1. Organisatieschema’s.

2. Audit Charter.

3. Jaarlijks audit plan.

1200: Proficiency and Due

Professional Care

Auditors zijn goed

opgeleid.

1. Functiebeschrijvingen en competentie-eisen

2. Vaardighedenmatrix met kennis en expertise

3. Sourcingsplannen en selectieprocedures.

4. Trainingsplannen.

1300: Quality Assurance

and Improvement Program

Er is een effectief

kwaliteitsprogramma.

1. Gedocumenteerd kwaliteitsborging en-

verbeteringsprogramma.

2. Kwaliteit programmaprocedures.

3. Prestatie-indicatoren voor de interne audit activiteiten.

4. Formele resultaten van de uitgevoerde evaluaties.

5. Reacties op de aanbevelingen in de beoordeling.

2000: Managing the

Internal Audit Activity

Er is een risk based audit

plan.

1. Audit jaar plan:

o De risico-evaluatie in het audit jaarplan legt een

verband tussen de voorgestelde audit onderwerpen en de

operationele en strategische risico's van de organisatie.

o De risico-evaluatie in het audit jaarplan houdt rekening

met de feedback van de operationele managers.

2100: Nature of Work Iedere audit omvat een

beoordeling van risico

beheersing-en

controlesystemen.

1. Risico mapping.

2. Interne audit activiteitenverslag.

3. Audit jaarplan/ het Audit Charter/ de opdracht/ de

vastleggingen/het auditrapport.

2200: Engagement

Planning

Iedere audit omvat een

risicobeoordeling, werk

programma, etc.

1. Audit procedure.

2. Audit opdrachtbrief.

3. Opdracht werkprogramma

2300: Performing the

Engagement

Werkdocumenten omvatten

alle relevante informatie

over de te bereiken

doelstellingen.

1. Audit werkpapieren.

2. Interview met accountants.

3. Interview met klanten

2400: Communicating

Results

Er is bewijs van passende,

tijdige communicatie met

het management. Een

algemene opinie of

conclusie is opgenomen in

het audit rapport.

1. Interne memo's, e-mail, enz.

2. Verslag over het begin van de kick-off meeting met

audit-client.

3. Interviews van het uitvoerende management van de te

auditen organisatie

4. Audit rapport

2500: Monitoring Progress Er is een follow-up-proces

ingesteld om ervoor te

zorgen dat het management

de aanbevolen acties

daadwerkelijk heeft

uitgevoerd of het risico

heeft aanvaard.

1. Verslagen (bv: follow-up verslag, notulen).

2. Het proces omvat een formele procedure voor het

bepalen van redenen voor de niet-uitvoering van de

follow-up actie.

3. Als een management actie niet daadwerkelijk ten uitvoer

is gelegd, heeft het hoofd van de kleine audit afdeling

ervoor gezorgd dat het senior management het risico van

het niet nemen van maatregelen heeft aanvaard en dit

heeft meegedeeld aan de belanghebbenden.

2600: Resolution of

Management’s

Acceptance of Risks

Resterende risico’s die niet

opgelost worden door de

CAE worden voorgelegd

aan de Raad van Bestuur

(RvB) voor resolutie.

1. Interview met het hoofd van de kleine audit afdeling.

2. Interview met bestuursleden

3. Notulen van de Raad van Bestuur

Tabel 5: bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard

Het hoofd van de kleine audit afdeling voert periodiek zelfevaluaties uit op het proces van kwaliteitsbeheersing

en koppelt de resultaten terug naar de betrokkenen. Door middel van monitoring houdt het hoofd een vinger aan

de pols wat betreft de effecten van de huidige kwaliteitsmaatregelen.



De belangrijkste beheersmaatregelen daarbij zijn; 1. Een review van de begroting, 2. Een AO/IC-beschrijving, 3.

‘best practices’, 4. Een inventarisatie van de managementinformatie en 5. Een profiel van de geschikte auditor

voor een kleine setting. Samengevoegd vormen zij het kwaliteitsbeheer van de afdeling en eventueel advies naar

collega’s in het veld. De winst van een professionaliseringslag is dat als een kleine interne audit afdeling voldoet

aan de IIA-standaarden het meestal ook goed gaat met de positie van de afdeling binnen de organisatie, met de

kwaliteit van het werk en de onderlinge sfeer.

Evaluatie- en toetsingsvragen zijn bijvoorbeeld:

1. zijn de opzet en de werking van de maatregelen in lijn met elkaar?

2. heeft de kleine audit afdeling ‘actief’ over kwaliteitsbeheersing nagedacht en hoe wordt dat ‘zichtbaar’

gemaakt?

3. als niet voldaan kan worden aan de standaarden en een alternatieve maatregel gemotiveerd wordt, dan dient

deze ook bewezen te worden.

4. zeker haalbaar voor een kleine afdeling is dat de dossiervorming op orde is, dat er een goed

kwaliteitshandboek ligt dat ook wordt nageleefd en dat er een goede relatie moet zijn met het management

van de organisatie, het Audit Committee en de externe accountant.

5. kan er een (af)weging gemaakt worden? Bijvoorbeeld:

a. 100% de standaarden volgen is niet cruciaal in de oordeelsvorming, maar als dossiers niet op orde

zijn, er geen interne beoordeling plaatsvindt, de hoor en wederhoor procedure incidenteel en niet

structureel wordt toegepast en een crossreference naar het audit manual of Audit Charter niet

gevonden wordt, ontbreken de waarborgen en het bewijsmateriaal om de onafhankelijkheid van de

audit afdeling te toetsen.

b. in de weging kan het zo zijn, dat 20% van de maatregelen niet voldoet aan de standaarden en 80%

wel, maar indien het hoofd van de audit afdeling rapporteert aan de controller en een sectie

Vaktechniek ontbreekt, dan kan de toetsing van het geheel tot een onvoldoende leiden.

c. of als van de 10 dossiers er 3 niet intern beoordeeld zijn kan dat leiden tot een verbeteringsvoorstel

van de externe toetser. Zit er bij de 3 niet beoordeelde dossiers 1 grote belangrijke audit dan is dat

een ernstig gebrek, wat naar een onvoldoende kan leiden. Maar als het hoofd van de audit afdeling

aantoont er gedurende de gehele audit gang bovenop gezeten te hebben om alles informeel te

reviewen, dan kan dit weer tot een voldoende leiden.

Een goed geïnformeerd hoofd van de kleine audit afdeling telt voor twee, en dit project leidt tot het verhogen van

de kwaliteit van het werk in de afdeling. In het vervolg van dit hoofdstuk worden de verbeterprojecten in een

verbetertraject of stappenplan geplaatst.

5.2. Een verbetertraject Naast het groeperen van de activiteiten in projecten kunnen de projecten in een bepaalde volgorde uitgevoerd

worden. Het pad naar een efficiënte en effectieve kwaliteitsbeheersing kan ingedeeld worden in een traject door

de projecten parallel of sequentieel te implementeren. Het hoofd van de interne audit afdeling dient, te allen

tijde, het hier ontwikkelde traject voor prestatieverbetering af te stemmen op de specifieke omstandigheden van

zijn of haar afdeling. De verbeterprojecten lopen deels sequentieel, deels parallel aan elkaar omdat het ene

project van belang is voor het volgende project. Hieronder volgt een projectplanning:



Schema 7: het verbetertraject

Het hoofd van de audit afdeling is verantwoordelijk voor de planning en uitvoering van de projecten en

rapporteert de voortgang aan de Raad van Bestuur. Het gehele traject kan in vier maanden doorlopen worden.



5.3. Een rapportage-instrument Om de voortgang te monitoren wordt het ‘QSAT’-instrument geïntroduceerd (zie bijlage III). Het ‘Q-SAT’-

instrument is ontwikkeld door de Zwitserse IIA beroepsorganisatie (2008). Hieronder volgt een afbeelding van

het instrument waarbij verticaal de standaarden onder elkaar zijn gezet en horizontaal kolommen zijn geplaatst

om de scores en opmerkingen van een ‘assessment’ of een zelfevaluatie in te vullen. Het instrument bestaat uit

twee onderdelen namelijk 1. Assessment (evaluatie) en 2. Remediation/ action (verbeteracties):

1. de zelfevaluatie: de standaarden kunnen beoordeeld worden met: JA/NEE en de reden waarom niet

wordt voldaan en welk document als bewijs geraadpleegd kan worden. Het voordeel van de ‘Q-SAT’ is

dat bij elke standaard het verplichte praktijkadvies gegeven wordt. Met het JA/NEE hoeft de

beoordelaar niets te accepteren dat geen 100% is.

2. de verbeteracties: in het Remediation/ Actions-gedeelte zijn kolommen ingericht voor het

verbetertraject met “Planned Action”, “Date”, “Responsible” en “Status”.

Afbeelding 1: het ‘QSAT’ instrument

Het gebruik van dit instrument levert het hoofd van de interne audit afdeling meerdere voordelen op:

1. het voorziet in het gevraagde bewijsstuk van de Self Assessment Checklist (IIA groeifase 2) en het

kwaliteitsprogramma met verbeteracties (als Balanced Scorecard) en tijdspaden voor implementatie (IIA

groeifase 3). Het combineert de bewijsstukken in één overzichtelijke rapportage.

2. de ‘QSAT’ kan zowel voor interne als voor externe rapportage over de kwaliteitstoetsing gebruikt worden.

3. de ‘QSAT’ kan uitgebouwd worden met bijvoorbeeld toevoeging van de KCI’s (Key Conformance

Indicators). Dat is toegestaan mits de standaarden niet weggehaald worden. Hierdoor is het ‘Q-SAT’-

instrument geschikt om juist een kleine audit afdeling effectief en efficiënt te ondersteunen in haar streven

om continue verbetering zichtbaar te maken voor de in- en externe toetser.

4. de ‘QSAT’ dient als controleplan waarmee de voortgang van de verbeteracties die geïmplementeerd worden

continue gemonitord wordt.




Antwoord op deelvraag 4: Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit

kunnen verhogen?

Door het groeperen van de activiteiten naar thema’s zijn een drietal verbeterprojecten gedefinieerd. De

verbeterprojecten zijn:

1. (her)inrichting van het proces van kwaliteitsbeheersing

Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een

randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete

kwaliteitsverbetering.

2. het toepassen van beleid

Dit project start nadat het schrijven van beleid en procedures uit processtap 1 klaar is. Gedeeltelijk loopt dit

project parallel aan de andere projecten. Het project leidt tot het zo efficiënt mogelijk inzetten van middelen

en menskracht van de kleine audit afdeling en tot snellere doorlooptijden van:

a. audits,

b. peer beoordelingen en

c. zelfbeoordelingen.

De kwaliteitscontrole die het hoofd van de kleine audit afdeling uitvoert op de maatregelen leidt tot het

inzetten van geschikte auditoren en de belangrijkste procedures. Dit project leidt tot het verhogen van de

kwaliteit in het werk en het verhogen van de prestatie van het proces van kwaliteitsbeheersing.

3. Het verzamelen van managementinformatie en het opstellen van een functieprofiel

Dit project start pas als project 1 geheel is afgerond. Het begint als de minimale set KCI’s, hun bewijsstukken

en hun vindplaats beschikbaar is. Het project leidt tot het inzichtelijk maken, beheersen, bijsturen en

verbeteren van:

a. Het gehele proces van kwaliteitsbeheersing,

b. van het proces van zelfevaluatie,

c. en het vermindert de bureaucratie.

Tot slot wordt een functieprofiel opgesteld voor de auditor die geschikt is voor het werken binnen een kleine

audit afdeling. De projecten lopen deels sequentieel/parallel, omdat de resultaten van het ene project van

belang zijn voor het volgende project. Nadat de projecten in 4 maanden zijn afgerond, kan het hoofd van de

audit afdeling starten met het uitvoeren van een zelfevaluatie van het stelsel van kwaliteitsmaatregelen.

Om de status en voortgang te monitoren van het stelsel van kwaliteitsmaatregelen wordt het ‘QSAT’-

instrument gebruikt. De voordelen zijn:

1. het combineert meerdere bewijsstukken omdat het een zelfevaluatie-checklist is en een overview

van het lopende kwaliteitsprogramma met de verbeteracties,

2. het is een rapportage tool voor zowel interne als voor externe rapportage over de kwaliteitstoetsing.

3. het is mogelijk om het uit te bouwen met de KCI’s (Key Conformance Indicators).

4. het dient als controleplan waarmee de voortgang van de verbeteracties gevolgd wordt.

Samen met de drie verbeterprojecten draagt het ‘Q-SAT’ instrument bij aan een efficiënte en effectieve inzet

van de middelen en menskracht in een kleine audit afdeling en werkt het ondersteunend bij het streven naar

het zichtbaar maken van continue verbetering.



Hoofdstuk 6. Conclusie Dit hoofdstuk trekt conclusies op basis van de resultaten uit de diverse hoofdstukken ten aanzien van de

onderzoeksvragen afzonderlijk en uiteindelijk ten aanzien van de centrale probleemstelling die beschreven is op

pagina 7 van dit referaat. Paragraaf 6.1 geeft de conclusies van ieder hoofdstuk na beantwoording van de

deelvragen. Paragraaf 6.2 geeft een antwoord op de centrale vraagstelling van dit onderzoek, namelijk:

Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke

oplossingen kunnen daarvoor geboden worden?

In paragraaf 6.3 worden stellingen geponeerd ten behoeve van discussie en paragraaf 6.4 geeft enkele

aanbevelingen: voor verder onderzoek, het mobiliseren van de doelgroep, het ter beschikking stellen van het

projectplan en tot slot aanbevelingen met betrekking tot de organisatie van de IIA-toetsing van de kleine audit

afdeling.

6.1. Conclusies aanvullende onderzoeksvragen Met de beantwoording van de eerste vier deelvragen in de voorgaande hoofdstukken kan geconcludeerd worden

dat een verandertraject voor de kleine audit afdeling ontwikkeld kan worden waardoor zij aan de standaarden

kan voldoen.

1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met deze

standaarden omgaan?

2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de

IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van

kwaliteitsbeheersing?

3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te

mitigeren of op te heffen?

4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen?

De eerste deelvraag heeft beantwoord wat de IIA-standaarden inhouden en hoe zij georganiseerd zijn. Om de

vraag te beantwoorden hoe kleine audit afdelingen planmatig met de standaarden om kunnen gaan is een aantal

uitgangspunten gevonden. Deze zijn:



2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar (of team) bij een kleine

afdeling kan lastig zijn (PA 1312-2),


Verdere ingrediënten bij diepgaander onderzoek zijn:

4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op,

5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van

kwaliteitsbeheersing,

6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden

voldoet,

7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk: het opzetten, implementeren,

evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen,

8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van

zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar,

9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan

te brengen.



Deze ingrediënten bieden houvast bij het verdere onderzoek naar de problemen voor de kleine audit afdeling om

te voldoen aan de standaarden.

De tweede deelvraag over problemen is beantwoord met een opsomming van algemene problemen en problemen

per standaard. Deze problemen zijn vervolgens op het generieke proces van kwaliteitsbeheersing ‘gemapped’.

De conclusie hier is dat er veel problemen in de eerste processtap ‘gemapped’ zijn. Dit heeft als nadeel dat de

verdere procesgang door deze problemen negatief beïnvloed wordt. Hier ligt een kans om door verbetering een

positieve uitwerking te verkrijgen op de prestatie van de processtappen die erna volgen, en voor het gehele

proces van kwaliteitsbeheersing.

De derde deelvraag behandelt welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de kleine

audit afdeling te mitigeren of op te heffen. De verbeteracties dienen als beheersingsmaatregelen om dit te

bereiken zijn:

1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit Charter,

2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke auditor,

3. het maken van een AO/IC-beschrijving met een beschrijving van het totale proces, de afzonderlijke

processtappen en de administratieve organisatie /interne controle (AO/IC) van het proces van


4. vier “best practices” om schommelingen op te vangen in:

a. budget,

b. activiteiten,

c. menskracht,

d. kwaliteitsprogramma,

De schommelingen worden opgevangen door het maken van een begroting, een ‘risk based’ audit plan,

een analyse voor sourcing alternatieven en een kwaliteitsprogramma.

5. het maken van een inventarisatie van de informatiebehoefte voor een zelfevaluatie van de mate waarin het

stelsel van kwaliteitsmaatregelen aan de standaarden voldoet.

6. een profiel op te stellen van de auditor die geschikt is om te werken in een kleine audit afdeling.

Bovenstaande verbeteracties zijn gegroepeerd in drie verbeterprojecten, namelijk:

1. het (her)inrichten van het proces van kwaliteitsbeheersing,

2. het toepassen van beleid en procedures,

3. het verzamelen van managementinformatie en het opstellen van een auditor profiel.

De beantwoording van de vierde deelvraag levert een verandertraject op waarbij de projecten parallel of

sequentieel aan elkaar geïmplementeerd worden, omdat het resultaat van het ene project van belang is voor het

andere project. Het verbetertraject moet afgerond zijn voordat het hoofd van de kleine audit afdeling een

zelfevaluatie kan gaan maken. De zelfevaluatie vindt plaats door middel van een beoordeling en monitoring op

de voortgang van de effecten van de ingevoerde kwaliteitsmaatregelen door de verantwoordelijke auditor.

6.2. Beantwoording van de centrale vraagstelling De samenvattingen en de conclusies van de deelvragen geven samen antwoord op de centrale vraagstelling:

“Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en

welke oplossingen kunnen daarvoor geboden worden?” De slotconclusie in dit onderzoek is dat de kleine audit

afdeling een verbetertraject kan doorlopen. De aanname dat het voldoen aan de standaarden te lastig zou zijn is

hiermee weerlegd. Het verbetertraject helpt de problemen die zij kan ondervinden op te lossen en haar

menskracht en budget zo optimaal mogelijk in te zetten. Het is een lastige maar zeker geen onoverkomelijke klus

voor iedere auditor die onder het IIA-reglement valt om zich volwaardig te wijden aan kwaliteit. Met het

schrijven van een projectplan is het doel van dit referaat bereikt.



6.3. Stellingen Om de conclusie te expliciteren volgen stellingen ten behoeve van een eventuele discussie naar aanleiding van

dit referaat en om verder onderzoek te stimuleren:

1. de focus op het voldoen aan de standaarden en de activiteiten om de efficiency en effectiviteit van het proces

van kwaliteitsbeheersing te verhogen en een minimale set aan bewijsstukken helpen de kleine audit afdeling

te voldoen aan de IIA-standaarden,

2. door zelfevaluatie waarborgt de kleine audit afdeling een minimaal vereist kwaliteitsniveau,

3. het zelfevalueren van maatregelen voor kwaliteitsbeheersing binnen de afdeling levert een vertekend beeld

op,

4. de UVA/EMIA opleiding biedt in 2012 de module: ‘Kwaliteitsbeheersing binnen de (kleine) audit afdeling’

aan,

5. het verandertraject voor kwaliteitsborging en -verbetering is ook toepasbaar bij grote audit afdelingen.

6.4. Aanbevelingen Het resultaat van mijn onderzoek is tweeledig. Aan de ene kant levert het een projectmatige aanpak op met de

activiteiten die nodig zijn om aan de standaarden te voldoen. Aan de andere kant levert het de mogelijkheid op

het beschikbare budget en personeel zo optimaal mogelijk in te zetten. Mijn aanbevelingen voor verder

onderzoek zijn:

1. verder onderzoek in een pilotgroep om het verbetertraject te valideren door onderzoek te doen naar:

a. het slagingspercentage met en zonder het gebruik van het verbetertraject.

b. de effectiviteit van het verbetertraject voor en na externe IIA-toetsing.

c. Mogelijke praktische oplossingen voor de hieruit voortvloeiende knelpunten, om tijd te

besparen voor de kleine audit afdeling,

2. het mobiliseren van de doelgroep bij het (zelf)evaluatieproces. Mobiliseren is een mix van het vertalen

van ambitie in concreet gedrag, vaardigheden trainen, energie ontwikkelen en regie zetten op voortgang

en resultaat,

3. het projectplan via de website van het IIA aan haar leden ter beschikking te stellen,

4. met betrekking tot de organisatie van de IIA-toetsing van kleine audit afdelingen:

a. verhelder de juridische basis voor de kwaliteitstoets (zie Voorwoord),

b. laat een hoofd van een kleine audit afdeling als gecertificeerd toetser de kwaliteitstoets bij een

andere kleine audit afdeling uitvoeren,

c. laat een vertegenwoordiger van kleine audit afdelingen zitting nemen in het IIA-NL College

van Kwaliteitstoetsing.

Op deze wijze kan mijns inziens de ontwikkeling van het vakgebied in Nederland voor en door internal auditors

verder worden vormgegeven.

Dankwoord

Hierbij wil ik graag van de gelegenheid gebruik maken om een aantal sleutelpersonen nadrukkelijk te bedanken.

Mark Jongejan heeft als procesbegeleider een positieve bijdrage geleverd aan het referaat. Mijn dank gaat verder

uit naar de experts op dit gebied die hun kennis en deskundigheid met me hebben gedeeld door hun

medewerking te verlenen aan de interviews. Remko van der Klein heeft als coach het referaatproces

ondersteund. Zijn gestructureerde en positieve commentaar vormde een doorslaggevende stimulans. Lieke

Noorman en Marie van Hezik hebben kritisch meegelezen en het referaat taalkundig gecorrigeerd. Tot slot wil ik

mijn Karin bedanken voor haar begrip en aanmoediging tijdens mijn RO-studie.

Yolanda Stuijt, Amsterdam, januari 2010

Voor vragen en/of opmerkingen: [email protected]


Drs. Y.F.Stuijt

Bijlage I Path to Quality Model Het IIA-‘Path to Quality Model’ (PTQM) deelt de groei naar volwassenheid in naar vijf volwassenheidsniveaus,

met de belangrijkste kenmerken en stappen hoe tot naleving (conformance) van de Standaarden te komen; de

niveaus zijn: beginnend, opkomend, voldoet, hefboomwerkend en innovatief. Alle informatie in deze paragraaf

is terug te vinden op de website www.theiia.org.

Model 2: het Path to Quality Model

Niveau 1: Beginnend. Kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborging- en

verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet

geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en

het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan

brengen voor een organisatie. De stappen om naar het ‘beginnend niveau’ van kwaliteit te groeien zijn:

1. adopteer IIA’s officiële definitie van internal auditing,

2. bereik de juiste rapportagelijnen,

3. committeer aan kwaliteit, door een charter te ontwikkelen voor de interne audit afdeling waarin de

reikwijdte van het werk gedefinieerd wordt en de afbakening van die gebieden waar het aansprakelijk en

verantwoordelijk voor is,

4. werk aan het verkrijgen van draagvlak van senior management en het Audit Committee. Beleg

vergaderingen met hen, om jouw missie en visie op kwaliteit te delen, alsook om hun verwachtingen te

horen. Gebruik daar de ‘A standard of Quality’-presentatie voor om bewustzijn en begrip te creëren en hun

support te oogsten,

5. verzeker je ervan dat ieder lid van het Audit Committee de IIA ‘Tone at the Top’-nieuwsbrief ontvangt en

toegang heeft tot de bedrijfspublicaties die het belang van internal audit bevatten.

Niveau 2: Opkomend. Kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue

zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert met toezicht op naleving van de standaarden. De

stappen om naar ‘opkomende’ kwaliteit te groeien zijn:

1. neem deel aan de lokale IIA- en/of branchegroep van interne auditors, aan netwerken met andere interne

auditor beoefenaren en aan QA-training,



2. verzeker dat het hoofd van de audit afdeling werkt aan de juiste professionele certificering inclusief het

Certified Internal Auditor (CIA)-certificaat,

3. stel één tot drie medewerkers van de audit afdeling verantwoordelijk voor interne monitoring. Informatie uit

monitoring, interviews, werkdocumenten en uit een zelfevaluatie dienen leidend te zijn voor het hoofd van

de interne audit afdeling en het interne QA team om tot conclusies te komen ten aanzien van naleving van

de standaarden, het Audit Charter en andere relevante criteria,

4. verwijs naar de IIA’s Self Assessment Checklist en naar de IIA’s Quality Assessment Manual, 5Th edition,

voor een gedetailleerde beschrijving van het zelfevaluatieproces,

5. ontlok feedback van anderen in het zelfevaluatieproces. Hoewel dit niet verplicht is, is dit behulpzaam

evenals de resultaten van de vragenlijsten die gebruikt worden aan het einde van iedere audit.

Niveau 3: Voldoet. De interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar zelfevaluatie-

proces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling vormt de

belangrijkste mijlpaal naar accreditatie. De stappen om naar een ‘voldoet’-kwaliteit te groeien zijn:

1. werk aan het verkrijgen van de juiste mix van professionele benamingen (inclusief het CIA-certificaat) die

de professionaliteit en deskundigheid van de interne audit afdeling laat zien,

2. voltooi (onder supervisie van het hoofd van de afdeling) de voorbereiding voor een onafhankelijke

beoordeling door gebruik te maken van een ‘Balanced Scorecard’ benadering. Een ‘Balanced Scorecard’ is

een instrument dat helpt om de strategie te vertalen in operationele termen vanuit vier gezichtspunten;

financiële doelen, klanten, interne businessprocessen en innovatie + groei. Een template volgt hieronder:

3. richt je op de volgende criteria bij het zoeken naar een gekwalificeerde onafhankelijke beoordelaar:

- Eerlijk en vrijmoedig binnen de grenzen van vertrouwelijkheid.



- Objectief – meer geïnteresseerd in dienstbaarheid en publiek vertrouwen dan persoonlijk gewin en

voordeel; onpartijdig, (intellectueel) eerlijk en vrij van belangenconflict.

- Onafhankelijk – niet geassocieerd met de organisatie in welk opzicht dan ook.

- Ervaren – heeft, door persoonlijke ervaring, kennis van het uitvoeren van externe kwaliteitstoetsingen.

- Deskundig – bij voorkeur een gecertificeerde interne auditor, goed op de hoogte van ‘Best Practices’

met een minimum van drie jaar recente internal audit of gerelateerde management advieservaring,

4. gebruik een door het hoofd van de audit afdeling ontwikkeld plan, gebaseerd op de bevindingen en

aanbevelingen die door de onafhankelijke beoordelaar zijn gemaakt, om de nodige verbeteringen te

adresseren, samen met een tijdslijn voor invoering. Dit plan moet voorgelegd worden aan het senior

management en het Audit Committee.

5. rapporteer de onafhankelijke beoordeling van jouw zelfevaluatie aan de lokale IIA-organisatie zodat de

naam van jouw organisatie toegevoegd kan worden aan de lijst op de website.

Niveau 4: Hefboomwerking. Het kwaliteitsborging- en verbeterprogramma (QAIP) is goed gedefinieerd binnen

de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, aan de Code

of Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets. Stappen naar ‘Hefboomwerking’- kwaliteit zijn:

1. zorg dat het hoofd van je interne audit afdeling een Certified Internal Auditor (CIA) is,

2. deelnemen aan lokale werkgroepen van het IIA is een uitstekende manier voor het hoofd van de audit

afdeling om te netwerken met andere hoofden en om te leren van gemeenschappelijke problemen door

middel van discussie en debat,

3. evalueer de ‘Gemeenschappelijk Opmerkingen’ van externe kwaliteitsbeoordelingen en adresseer

soortgelijke gebieden in je interne audit activiteiten die mogelijk onder het niveau van de gewenste kwaliteit

zijn,

4. gebruik de toonaangevende werkwijzen van de IIA-website als een model voor je voortdurende groei.

5. download en wijzig het voorbeeldformulier ‘Request for Proposal’ voor het zoeken naar externe QA-

diensten van potentiële aanbieders,

6. contact je lokale IIA op de voltooiing van je externe QA-rapport, zodat de naam van je organisatie kan

worden toegevoegd aan de lijst op haar website. Ook moet je jouw auditklanten informeren over je externe

QA, zowel vóór als nadat het is uitgevoerd. Deze praktijk laat zien dat je bereid bent om hetzelfde niveau

van controle te ondergaan als zij doormaken wanneer zij worden gecontroleerd, en dat je maatregelen neemt

om de aanbevolen verbeteringen te implementeren.

Niveau 5: Innovatief. Dit niveau kenmerkt zich door het bestaan van een actief en volledig geïntegreerd

kwaliteitsborging- en verbeterprogramma (QAIP) binnen de dagelijkse gang van zaken van de interne audit

afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een

strikt continu opleidingsprogramma. Stappen naar de kwaliteit ‘Innovatief’:

1. verwerven en onderhouden van een passende mix van professionele benamingen (met inbegrip van de CIA-

certificatie) die de professionaliteit van je interne audit afdeling en competentie aantonen,

2. benchmark regelmatig je vooruitgang, bijvoorbeeld via het IIA ‘Global Audit Information Network’

(GAIN),

3. verhaal de vooruitgang van je afdeling via de niveaus naar de top, en maak je verhaal voor anderen

beschikbaar via de tijdschriften en websites op het gebied van internal auditing. Dien als een

voorbeeldfunctie voor verdere groei door het delen van je praktijken, ervaringen en instrumenten,

4. neem deel aan externe QA-teams, of aan peer reviews,

5. geef je ervaring en kennis terug naar de beroepsgroep door middel van een mentorschap bij een audit

afdeling op een lager niveau; spreek tijdens evenementen, neem deel aan studies, en schrijf artikelen die

gebaseerd zijn op je professionele kennis, ervaring en expertise,



Bijlage II Interviewvragen De algemene vragen dienden om te verifiëren of de geïnterviewde persoon tot de doelgroep van dit onderzoek

behoorden. De onderwerpen betroffen: type opleiding, het aantal jaren ervaring in auditing, het aantal jaren in de

functie, omvang audit afdeling, type organisatie, getoetst door IIA ja/nee? Vier verantwoordelijke auditoren

hebben de vragen beantwoord. De specifieke vragen betroffen:

1. Waarom waren de afzonderlijke standaarden (on)voldoende voor het IIA?

2. Waarom was het totaaloordeel (on)voldoende voor het IIA?

3. Welke problemen ondervond de audit afdeling, waar jij hoofd van was, met de naleving van de

standaarden?

4. Wat waren de risico’s die het IIA noemde bij het niet naleven van de standaarden?

5. Welke oorzaken kun je daarvoor aanwijzen?

6. Wat zou je aanbevelen om de problemen op te lossen of te mitigeren?

Deze vragen hebben mij antwoorden gegeven op mijn vraag welke maatregelen een kleine audit afdeling moet

nemen om dezelfde kwaliteitsstandaard te verzekeren als grote afdelingen.

Bijlage III AO/IC-beschrijving Typologie: overige dienstverlening waarbij de controle op volledigheid van de inspanningsverplichting afhangt

van de registratie van de uren die auditors besteden aan kwaliteitsbeheersing.

Attentiepunten/probleemanalyse:

a. schommelingen in budget,

b. schommelingen in menskracht,

c. schommelingen in activiteiten,

d. schommelingen in kwaliteit van het programma.

Door de schommelingen in budget, menskracht, activiteiten en programma bestaat een planningsrisico waardoor

het realiseren van het kwaliteitsprogramma in gevaar kan komen. Daar vloeit het risico uit voort dat de kwaliteit

van het geleverde werk niet conform de IIA-standaarden is.

De voorbereiding

Het proces van kwaliteitsbeheersing wordt geïnitieerd doordat een interne auditor vallend onder het IIA-

reglement werkzaam is in een audit afdeling. Deze audit afdelingen worden eenmaal in de vijf jaar getoetst door

het IIA om te verifiëren of de mate van kwaliteitsbeheersing volgens de normen van de beroepsgroep zijn. Het

hoofd van de audit afdeling is verantwoordelijk voor het naleven van de IIA-standaarden en maakt een

kostenpost aan in de personeelsbegroting. De kostenpost is gebaseerd op een jaarplan en een meerjarenplan, met

een specificatie naar geschatte uren, benodigde capaciteit en de personeelskosten voor het waarborgen van de

kwaliteit van het werk. Deze kostenpost wordt samen met de overige kostenposten in een begroting

samengevoegd en door de directie geautoriseerd. Het hoofd van de audit afdeling monitort een overzicht

‘Planning versus Realisatie’ van de urenbesteding aan kwaliteitsbeheersing en stuurt bij indien er afwijkingen

ontstaan tussen geplande versus gerealiseerde uren.

De uitvoering

Het doel van het proces van kwaliteitsbeheersing is het leveren van kwalitatief goed werk conform de IIA-

standaarden. Het hoofd van de kleine audit afdeling moet daarom een centrale rol te spelen bij het ontwikkelen

van het proces van kwaliteitsbeheersing, beleidsvorming, zelfevaluatie en het schrijven van de motivatie. Dit wil

niet zeggen dat hij/zij alles zelf moet doen.



Procesbeschrijving

Processtap 1 het opzetten van een stelsel van kwaliteitsbeheersing

Het hoofd van de kleine afdeling ontwikkelt een Audit Charter waarin zijn of haar ambitie ten aanzien van het

borgen van kwaliteit aangeeft alsook strategieën over risicomanagement, personeelsontwikkeling en de kracht

van het kwaliteitsprogramma. Het hoofd van de kleine audit afdeling:

1. checkt het Audit Charter op volledigheid en juistheid,

2. maakt een risico evaluatie op basis van feedback van de operationele managers. Deze evaluatie laat het

verband zien tussen de operationele en strategische risico’s van de organisatie en de voorgestelde audit

onderwerpen. Het hoofd van de audit afdeling zet de voorgestelde audit onderwerpen in een audit jaarplan

en deelt het met het senior management. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole op de

werking van het genoemde verband en de aanwezigheid en volledigheid van het ‘risk based auditplan’,

3. maakt personeelbeleid op basis van de personeelsbegroting, de gewenste functieprofielen, een

vaardighedenmatrix (kennis en expertise) van het personeel dat al in dienst is en beoordeelt potentiële

kandidaten aan de hand van deze documenten. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole uit op

de match tussen de vraag uit het audit jaarplan en het aanbod van personeel. De volgende zaken neemt

hij/zij hierbij in ogenschouw;

a. de verhouding tussen de activiteiten (zoals: het werken aan kwaliteit, het uitvoeren van audits,

risicomanagement, compliance, etc.) binnen de audit afdeling,

b. het toepassen en gebruik van outsourcing alternatieven, en

c. het gebruik van computer tools,

4. zet een kwaliteitsprogramma op door fysiek een dossiermap aan te leggen en digitaal een map aan te maken

op de vaste schijf van de afdeling. Het programma bevat een minimale set van 11 bewijsstukken (zie p.28).

Het hoofd is geautoriseerd om toegang te verlenen tot de dossierkast en de afdelingsschijf. Tijdens de

zelfevaluatie voert het hoofd een kwaliteitscontrole uit op de aanwezigheid en actualiteit van de

bewijsstukken en neemt daarbij in ogenschouw wat de beoordeling is van het veiligheidsbeleid van de

organisatie waar de afdeling onderdeel van uitmaakt, en wat het eigen beleid is ten aanzien van het

beveiligen, bewaken, handhaven en verspreiding van opdrachtdossiers,

5. bewaart de notulen van bestuursvergaderingen met besluiten en goedkeuring ten aanzien van

bovengenoemde onderwerpen in het kwaliteitsdossier. Tijdens de zelfevaluatie vindt controle op

aanwezigheid en volledigheid van charter, dossiers en programma plaats.

Processtap 2 het implementeren van een stelsel van kwaliteitsbeheersing

De uitvoer van stap 1 is een kwalitatief goed en beveiligd dossier ‘kwaliteitsprogramma’. Iedere auditor

werkzaam binnen de afdeling neemt kennis van de inhoud van het dossier en voert het werk uit conform het

beleid met betrekking tot kwaliteitsbeheersing. De auditor legt voor ieder auditproject een dossier aan. Het audit

dossier bevat:

1. opdrachtbeschrijving en afstemming met de opdrachtgever,

2. plan van aanpak met beoordeling van de risicobeheersings- en controlesystemen binnen het audit

gebied,

3. risicoanalyse,

4. audit werkprogramma met normenkader,

5. interviewverslagen inclusief de vastlegging van de hoor- en wederhoor procedure,

6. brondocumenten voor analyse,

7. werkdocumenten met relevante informatie over de te bereiken doelstellingen,

8. passende en tijdige communicatie met het management,

9. een algemene opinie of conclusie.

Ieder audit project wordt afgerond met een evaluatie van het auditproject door de verantwoordelijke auditor

samen met het hoofd van de audit afdeling. Het hoofd van de audit afdeling checkt of de voorgeschreven



processtappen en procedures voor het uitvoeren van de audits gevolgd zijn en of de verplichte onderdelen in het

audit dossier aanwezig zijn. Het gesprek resulteert in een door beiden geparafeerd formulier waarop een

checklist laat zien waarom de kwaliteit van het geleverde werk voldoende is. Het hoofd van de kleine audit

afdeling verzamelt alle checklists, inclusief opmerkingen, in het kwaliteitsdossier, en maakt een overzicht van de

audit evaluatieformulieren. Tijdens een zelfevaluatie wordt de werking van de procedures beoordeeld zonder

bureaucratisch te worden. Tevens worden de redenen beoordeeld waarom, indien van toepassing, wijzigingen in

het audit plan zijn gemaakt.

Processtap 3 het evalueren van een stelsel van kwaliteitsbeheersing

Het resultaat van processtap 2 is een beoordeling van de procedures voor het uitvoeren van audits. De

beoordeling wordt vastgelegd in het ‘kwaliteitprogramma’. Het hoofd van de audit afdeling voert een

zelfevaluatie uit aan de hand van een zelfevaluatiechecklist. Hiervoor kan het ‘QSAT’ instrument gebruikt

worden. Vervolgens voert het hoofd een evaluatie uit van de kwaliteit van het stelsel van kwaliteitsmaatregelen

aan de hand van alle verzamelde adequate documenten in het dossier ‘kwaliteitsprogramma’. Hierbij volgt het

hoofd van de audit afdeling de volgende procedure: het hoofd van de kleine audit afdeling

1. heeft de leiding over het zelfevaluatieproces,

2. beoordeelt de aanwezigheid en volledigheid van de verzamelde bewijsstukken in het kwaliteitsdossier,

inclusief de AO/IC-procesbeschrijving, beleid en procedures en opdrachtafstemming interne toetser,

3. voert een steekproef uit op het werk ter plaatse, inclusief beoordeling van de werking van het

administratieve beleid en procedures (AO/IC), overwegingen ten aanzien van bedrijfsrisico’s,

governance en audit risicobeoordelingen in audit planning, werkdocumenten en rapporten, en

beoordelingen voor geselecteerde audits en adviesprojecten,

4. beoordeelt het aantal medewerkers en de vaardigheden van de medewerkers en hun continue

professionele opleiding in relatie tot de adequate dekking van het auditgebied en het IT-auditgebied.

5. evalueert de naleving van de standaarden binnen de interne audit afdeling aan de hand van de KCI’s en

de ‘Best Practices’ binnen de afdeling die processen en de prestatie van de afdeling verbeteren; de

uitkomst wordt vastgelegd in een rapportage instrument (QSAT).

6. formuleert conclusies in een apart document over de mate van naleving van de standaarden, het Audit

Charter en andere relevante criteria, alsook aanbevelingen voor verbetering en plannen voor invoering

van de verbeteringen,

7. maakt een rapport met de beoordeling van het stelsel van kwaliteitsmaatregelen en motivatie wanneer

wel/niet voldaan wordt aan de standaarden en ‘Best Practices’ aan de hand van de IIA externe

classificatie in het eindoordeel. Ter illustratie volgen twee voorbeelden om tot een eigen oordeel te

komen:

a. veel audit afdelingen hebben geen uitgebreid interne continue kwaliteitsborgings- en

verbeterprogramma (1300). Zo kan de substandaard 1311 (interne beoordelingen) ‘VVVV’

scoren omdat enkele elementen van het kwaliteitsprogramma in opzet en werking aanwezig

zijn. De 1312 (externe beoordelingen) kan ook ‘VVVV’ scoren omdat een zelfevaluatie met

onafhankelijk beoordeling plaats heeft gevonden. Dan hoeft het nog niet zo te zijn dat de 1310

in overeenstemming ook een ‘VVVV’ scoort en kan de 1300 in zijn geheel een ‘Voldoende’

krijgen,

b. in een ander voorbeeld hoeft een éénpitter geen onafhankelijkheidskwestie te hebben (1110)

als die maar goed georganiseerd is. Het hoofd van de audit afdeling maakt een planning en

voert zijn of haar eigen werk uit en rapporteert formeel aan het management en het Audit

Committee. Hij of zij rapporteert functioneel aan het Audit Committee en administratief aan

de Chief Executive Officer, de hoogste uitvoerende positie in de organisatie. Uit de interviews

met de belanghebbenden dient deze onafhankelijkheid bevestigd te worden1,

1 voorbeelden komen uit een internetdiscussie tussen Amerikaanse kwaliteitstoetsers.



8. maakt een opdrachtformulering voor het afstemmen met de interne toetser, inclusief selectiecriteria om

het zelfevaluatieproces te laten beoordelen,

9. laat het zelfevaluatieproces valideren door een onafhankelijke beoordelaar met dezelfde kwalificaties

als van een externe beoordelaar.

10. laat de beoordelaar de voorzitter van het Audit Committee interviewen en beperkte testen uitvoeren om

de resultaten te valideren,

11. laat de beoordelaar zijn/haar mening uitspreken over de adequaatheid van het zelfevaluatieproces en

het geïndiceerde niveau van naleving van de standaarden,

12. verstuurt het rapport inclusief de beoordeling van de interne toetser aan de directie en senior

management. Kwaliteitscontrole vindt plaats op de aanwezigheid van een opdrachtafstemming door het

hoofd van de audit afdeling.

De belangrijkste interne beheersingsmaatregel in deze processtap is de procedure voor zelfevaluatie. De interne

toetser beoordeelt de kwaliteit daarvan. De kwaliteitscontrole is de vastlegging van de zelfevaluatie in een eigen

motivatie door het hoofd van de kleine audit afdeling, en is gericht op de uitkomst of prestatie van het proces van


Processtap 4 het bijsturen van een stelsel van kwaliteitsbeheersing

Opzet van de kwaliteitsmaatregelen

De uitvoer van processtap 3 is de reactie van de directie op de verbeteracties in het evaluatierapport. De reactie

van de directie wordt in een follow up vergadering vastgelegd in de bestuursnotulen. Het hoofd van de audit

afdeling bepaalt aan de hand van deze reactie de ontbrekende en de te repareren interne kwaliteitsmaatregelen en

zorgt voor de invoering ervan. Het hoofd van de kleine audit afdeling informeert de auditoren en andere

betrokkenen, legt de vervolgacties vast in het QSAT-instrument en checkt of het Audit Charter bijgewerkt moet

worden.

Werking van de kwaliteitsmaatregelen

Het hoofd van de kleine audit afdeling onderzoekt de werking van de kwaliteitsmaatregelen aan de hand van:

1. de procedures ‘het uitvoeren van audits’, de ‘follow up’ en de ‘escalatie’- procedure,

2. de acties die voortkomen uit de aanbevelingen vanuit audits,

3. de notulen van de betreffende afdeling om redenen te achterhalen voor de niet-uitvoering van de follow

up actie. Bij niet-uitvoering zorgt het hoofd van de audit afdeling ervoor dat het senior management het

risico van het niet nemen van maatregelen heeft aanvaard en dit aan belanghebbenden hebben verteld,

4. interviews van medewerkers.

Mocht uit interviews van de betreffende medewerkers door het hoofd van de audit afdeling geconcludeerd

worden dat resterende risico’s niet opgelost worden, dan legt het hoofd van de audit afdeling deze voor aan de

Raad van Bestuur voor resolutie. De onafhankelijke beoordelaar doet een kwaliteitscontrole op de uitvoering van

de escalatieprocedure door middel van een interview met de auditor en beoordeling van de bestuursnotulen.

Management informatie nodig voor het uitvoeren van een zelfevaluatie:

1. IIA-reglement,

2. IIA-standaarden,

3. Audit Charter,

4. Audit jaarplan inclusief personeelsbegroting met post voor kwaliteitsbeheersing,

5. Risicoanalyse en evaluatie van de gehele organisatie,

6. Overzicht ‘Planning versus Realisatie’,

7. Beoordeling verband tussen de organisatierisico’s en de voorgestelde audit onderwerpen,

8. Functieprofiel auditor,

9. Vaardighedenmatrix (kennis en expertise) van het personeel in dienst,



10. Beoordeling match tussen vraag en aanbod,

11. Kwaliteitsprogramma met minimale set bewijsstukken,

12. Richtlijn voor de beveiliging van de dossierkast en de afdelingsschijf,

13. Notulen van bestuursvergaderingen,

14. Beoordeling aanwezigheid en actualiteit van de bewijsstukken in het kwaliteitsprogramma,

15. Overzicht van audit evaluatieformulieren,

16. Overzicht beoordeling uitgevoerde audits,

17. Een zelfevaluatie-checklist in het ‘QSAT’-instrument,

18. Procedure voor zelfevaluatie,

19. Verbeteringsvoorstellen en plannen voor invoering van de verbeteringen in ‘QSAT’-instrument,

20. Evaluatierapport hoofd audit afdeling,

21. Opdracht afstemming met selectiecriteria voor een onafhankelijke beoordelaar,

22. Beoordeling onafhankelijke beoordelaar,

23. De reactie van de directie vastgelegd in de bestuursnotulen,

24. Follow up procedure,

25. Escalatieprocedure,

26. Interview verslag hoofd audit afdeling,

27. Resolutiemaatregelen in bestuursnotulen.

Bijlage IV QSAT Rapportage Tool Zie aparte bijlage.

Bijlage V Modellen, Schema’s & Tabellen Model Beschrijving Pagina nummer

1. Het onderzoeksmodel 8

2. Het gewenste proces van

kwaliteitsbeheersing

14

3. Het Path to Quality Model 15

Schema Beschrijving Pagina nummer

1. Project 1: (her)inrichting van het proces van

kwaliteitsbeheersing

33

2. Project 2: het toepassen van beleid 35

3. Project 3: het verbeteren van informatie-

voorziening

36

4. Een generiek verbetertraject 38

Tabel Beschrijving Pagina nummer

1. Een beknopte beschrijving van de IIA-

standaarden

12

2. De problemen van de kleine audit afdeling

met de standaarden

19/20

3. Prestatiekloof tussen huidige en gewenste

resultaten

23/24

4. Beheersingsmaatregelen en

kwaliteitscontroles per processtap

34

5. Bronnen bij de verschillende Key

Conformance Indicators (KCI’s) per

standaard

37

Afbeelding Beschrijving Pagina nummer

1. Het QSAT rapportage tool 40



Bijlage VI Gebruikte afkortingen

AO/IC Administratieve Organisatie/Interne Controle

BPI Business Process Improvement

BPR Business Process Redesign

CAE Chief Audit Executive

CEO Chief Executive Officer

CIA Certified Internal Auditor

COSO Committee of Sponsoring Organizations

EFQM European Foundation for Quality Management

GAIN Global Auditing Information Network

IA-CMM Internal Auditing Capability Maturity Model

IIA Inc. Institute of Internal Auditors Incorporation (U.S.A.)

IIA Nederland Instituut voor Internal Auditors Nederland

IPPF International Standards for the Professional Practice of Internal Auditing

KCI Key Conformance Indicator

PA Practice Advisory

PAS Professional Audit Solisten

PTQM Path to Quality Model

QA Quality Assessment

QAIP Quality Assurance and Improvement Program

RA Register Accountant

RE Register EDP Auditor

RO Register Operational Auditor

RvB Raad van Bestuur

SAIV Self Assessment with Independent Validation

TQM Total Quality Management

Bijlage VII Literatuurlijst Boeken

1. Driessen J., A. Molenkamp Operational Auditing; een managementkundige benadering van internal

auditing, Kluwer, Deventer, 2004.

2. Hammer, M. J.Champy, Reengineering the corporation, Harper Business, New York, 2004.

3. O'Regan D., Strategies for Small Audit Shops, The IIA Research Foundation, Altamonte Springs, Florida,

2002.

4. Pawson, R., Evidence Based Policy. A realist perspective”, Londen/Thousand Oaks/ New Delhi, 2006.

5. Sawyer B., et al., Sawyer’s, Internal Auditing, The practice of modern Internal Auditing, 5th

edition, The

Institute of Internal Auditors, Altamonte Springs, Florida 2005.

6. Verschuren P., H. Doorewaard, Het ontwerpen van een onderzoek, LEMMA, Den Haag, 2007.

7. Ten Have, S., W. ten Have, F.Stevens, Key Management Models, Prentice Hall, Engeland, 2003.

Artikelen

8. Armanas P., Quality Assessments for small shops, Internal Auditor, June 2007, p. 55-58.

9. Baker N., A renewed framework, Internal Auditor, February 2009, p.54-59.

10. Cheung S., E Heck, H.Koreman Kwaliteitstoets IIA: de eerste ervaringen, Audit magazine, nr.3, september

2006, p.28-31.

11. De Looff, H., A. Molenkamp, De veranderende rol van toezichthouden, Finance & Control, Kluwer, 2007.

12. Molenkamp A., De toekomst is aan de kleine auditafdeling, Audit Magazine, nr.2, juni 2004, p.32-33.



13. Molenkamp A., PAS bijeenkomst, Kwaliteitstoetsing door het IIA bij kleine IAD’s, Audit Magazine, nr.3,

p.50, september 2007.

14. Ronde Tafel bijeenkomst PAS, kwaliteitstoetsing bij kleine audit afdelingen, Audit Magazine, nr. 5, p.52,

december 2008.

15. Stanek, S. 10 big things for small audit departments, KnowledgeLeader, Protivity inc., 2008.

16. Tilman R., Vaags F., Kwaliteitstoetsing: voor en door internal auditors, Audit magazine, nr.2, p.16-19, juni

2007.

IIA documentatie

17. DIIR, Deutsches Institut főr Interne Revision e.V., QA-Guideline for Conducting a Quality Assessment,

Addendum to DIIR Standard Number 3, 2007.

18. Instituut voor Internal Auditors Nederland, Competency Framework for the Internal Auditing, Deel I,

M.Vlak, IIA NL, 2001.

19. Instituut voor Internal Auditors Nederland, Handleiding Kwaliteitstoetsing Interne Auditors, Deel I, IIA NL,

2007.

20. Instituut voor Internal Auditors Nederland, Reglement op de kwaliteitstoetsing voor interne auditors, IIA

NL, 10 juni 2004.

21. Instituut voor Internal Auditors Nederland, Vragenlijst IIA ‘Self Assessment CAE’, IIA NL.

22. Instituut voor Internal Auditors Nederland, IIA Position Paper: De internal auditor in Nederland, IIA NL,

21 april 2005.

23. SVIR, Swcheizericher Verband főr Interne Revision, Quality Self Assessment Tool Q-SAT, T.Ruud, Genève,

2008.

24. The Institute of Internal Auditors, Quality Assessment Manual, IIA inc., 5th

edition, Altamonte Springs,

2006.

25. The Institute of Internal Auditors, Path to Quality Presentation, IIA inc., Altamonte Springs.

26. The Institute of Internal Auditors, IIA Position Paper, The Role of Internal Auditing in Resourcing The

Internal Audit Activity, IIA inc., 2009.

27. The IIA Research Foundation, Common Body of Knowledge, IIA inc., Altamonte Springs, 2006.

28. The IIA Research Foundation, Internal Auditing Capability Model, IIA Inc, Altamonte Springs, 2007.

29. The IIA Research Foundation, Evaluation Tool 19, IIA inc., Altamonte Springs, 2008.

30. The IIA Research Foundation, GAIN Key Survey Findings, IIA inc. Altamonte Springs, 2009.

31. The Institute of Internal Auditors, International Standards for the Professional Practice of Internal Auditing

(Standards), IIA inc., Altamonte Springs, 2009.

32. University of Zurich, Institute for Accounting and Control, Quality Assurance and Improvement in Internal

Auditing, Seminar Paper, T.Ruud. Antwerp, 2008.

33. Professional Audit Solisten, StandardsKleineIAD_totaal_versie (2), PAS, ongepubliceerd, 2008.

Dilbert © by Scott Adams

executive master of internal auditing - iia.nl kleine iad iia standaarden.pdf · van het...

Documents