executive master of internal auditing - iia.nl kleine iad iia standaarden.pdf · van het...
TRANSCRIPT
Drs. Y.F.Stuijt
Executive Master of Internal Auditing
Kleine interne audit afdelingen en de
IIA-standaarden.
Auteur: Drs. Y.F. Stuijt
Plaats: Amsterdam, 29 januari 2010
Naam begeleider: M.D. Jongejan RA, RO, EMIA
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 2 van 54
Inhoudsopgave Voorwoord .............................................................................................................................................................. 3
Samenvatting ........................................................................................................................................................... 4
Hoofdstuk 1. Inleiding ............................................................................................................................................ 7
1.1. Aanleiding voor het onderzoek ................................................................................................................... 7
1.2. Doelstelling en probleemstelling ................................................................................................................. 7
1.3. Het onderzoeksmodel en -methode ............................................................................................................ 8
1.4. Leeswijzer ................................................................................................................................................. 10
Hoofdstuk 2. Wat houden de IIA-standaarden in? ................................................................................................ 11
2.1. De inhoud en werking van de IIA-standaarden ......................................................................................... 11
2.2. Het proces van kwaliteitsbeheersing ......................................................................................................... 13
Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen ........................................................................ 14
Stap 2: Het implementeren van kwaliteitsmaatregelen ................................................................................ 14
Stap 3: Het proces van zelfevaluatie ............................................................................................................ 15
Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen .................................................................. 17
2.3. Samenvatting en conclusie ........................................................................................................................ 18
Hoofdstuk 3. De praktische problemen ................................................................................................................. 19
3.1. Probleeminventarisatie .............................................................................................................................. 19
3.2. Probleemanalyse ........................................................................................................................................ 21
3.2.1 Indeling van de problemen in het proces ........................................................................................... 21
3.2.2. Prestatiekloof ..................................................................................................................................... 22
3.3. Samenvatting en conclusie ........................................................................................................................ 26
Hoofdstuk 4. Een pragmatische aanpak ................................................................................................................ 27
4.1. Bevindingen .............................................................................................................................................. 27
4.2. Verbeteracties ............................................................................................................................................ 28
4.3. Samenvatting en conclusie ........................................................................................................................ 31
Hoofdstuk 5. Het projectplan ................................................................................................................................ 32
5.1. Het bundelen van de activiteiten ............................................................................................................... 32
5.2. Een verbetertraject ..................................................................................................................................... 38
5.3. Een rapportage-instrument ........................................................................................................................ 40
5.4. Samenvatting en conclusie ........................................................................................................................ 41
Hoofdstuk 6. Conclusie ......................................................................................................................................... 42
6.1. Conclusies aanvullende onderzoeksvragen ............................................................................................... 42
6.2. Beantwoording van de centrale vraagstelling ............................................................................................ 43
6.3. Stellingen ................................................................................................................................................... 44
6.4. Aanbevelingen ........................................................................................................................................... 44
Dankwoord ............................................................................................................................................................ 44
Bijlage I Path to Quality Model .................................................................................................................... 45
Bijlage II Interviewvragen.............................................................................................................................. 48
Bijlage III AO/IC-beschrijving ........................................................................................................................ 48
Bijlage IV QSAT Rapportage Tool .................................................................................................................. 52
Bijlage V Modellen, Schema’s & Tabellen .................................................................................................... 52
Bijlage VI Gebruikte afkortingen .................................................................................................................... 53
Bijlage VII Literatuurlijst ................................................................................................................................ 53
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 3 van 54
Voorwoord ‘Kleine interne audit afdelingen en de IIA-standaarden’ luidt de titel van mijn referaat. Het onderwerp bleek
ingewikkelder dan de titel doet vermoeden.
In de eerste plaats is het onderwerp ingewikkeld omdat de interne audit afdeling vele verschijningsvormen kent
en daardoor niet eenduidig te definiëren is. De omvang van de interne audit afdeling is een relatief begrip.
Afhankelijk van de dimensies en de complexiteit van een gegeven organisatie kan een keuze gemaakt worden
waar de toetsende functie belegd wordt. Bij een kleine organisatie past een besturingsstructuur die weinig
specialisatie kent en kan de toetsende functie bij de controller belegd worden. Zo kan ook de omvang van de
audit afdeling per land verschillen. Amerikaans onderzoek definieert een omvang tussen 1 en 10 full time
equivalent (FTE) als klein (O’Regan, 2003), terwijl in Nederland ongeveer 80% van het ledenbestand van het
IIA in deze categorie valt. Ten slotte kan een afdeling met twee auditoren klein genoemd worden, terwijl de
afdeling door het uitbesteden van audits een omvangrijk audit gebied beslaat.
In de tweede plaats is het onderwerp ingewikkeld omdat de oordeelsvorming met betrekking tot het naleven van
de standaarden niet eenduidig is. Het IIA heeft regels opgesteld voor het vormen van een oordeel die speelruimte
bieden. Als er geen heldere beoordelingsregels zijn vastgelegd hoe kan de interne audit afdeling zelf dan
beoordelen of haar eigen stelsel van interne kwaliteitsmaatregelen voldoet aan de standaarden? Hoe komt een
hoofd van een kleine audit afdeling tot een objectieve beoordeling of de interne kwaliteitsbeheersing binnen zijn
of haar afdeling voldoende is? Ook de juridische basis voor de kwaliteitstoets lijkt verwarrend voor wat betreft
het niet helder beleggen van de verantwoordelijkheden ten aanzien van de kwaliteitstoets. Hierdoor wordt de
handhaving van de kwaliteitseisen bemoeilijkt. Het IIA selecteert voor haar toetsing een audit afdeling op basis
van het lidmaatschap van de internal auditor (individu). Het onderwerp van toetsing echter is de audit afdeling
(organisatie eenheid) terwijl de omgeving (directie) waar de audit afdeling zich bevindt haar goedkeuring en
medewerking dient te verlenen. Wordt er geen goedkeuring of medewerking verleend door het bedrijf
(organisatie) of vindt er zelfs verhindering plaats, dan vindt er geen toetsing plaats. Bedrijven die niet
meewerken, krijgen gewoonweg geen vermelding op de lijst van getoetste bedrijven op de website van het IIA
NL. Ook is onduidelijk of de naam van het bedrijf, waarvan een afdeling wel meewerkt en gecertificeerd wordt
maar waarvan de verantwoordelijke auditor vertrekt, op de lijst blijft staan. Door de vele actoren zoals het
individu van de auditor, de organisatie eenheid, de directie of de gehele organisatie is het niet altijd duidelijk wie
verantwoordelijk is voor het naleven van de standaarden. Er bestaan echter geen sancties.
Het was achteraf gezien geen eenvoudige opgave om de problematiek diepgaand aan de orde te stellen. Toch ben
ik blij dat ik het heb gedaan, gezien het resultaat van mijn onderzoek. Het resultaat voor mij was het blootleggen
van de uitgangspunten voor een professionaliseringsslag. Deze uitgangspunten zijn ten eerste dat de individuele
auditor zelf verantwoordelijk is voor kwalitatief goed auditwerk en dat bij de externe IIA toetsing de afdeling
gecertificeerd wordt en niet de verantwoordelijke auditor. Het tweede uitgangspunt bestaat uit een minimaal
kwaliteitsniveau met een minimale set aan bewijsstukken om aan de minimale eisen aan kwaliteit te voldoen.
Ten derde dat de noodzaak om minimaal of ‘kaal’ te werken groter is voor een éénpitter of voor een groepje van
enkele auditoren die zich organiseren binnen een kleine audit afdeling, dan voor een grotere audit afdeling. Deze
uitgangspunten gaven mij voldoende vertrouwen om dit onderzoek uit te voeren. Ik ben hierdoor een auditor
geworden die zelfverzekerder is, achter zichzelf kan staan en meer oog heeft voor de toegevoegde waarde van
kwaliteitsbeheersing, juist binnen een kleine interne audit afdeling. Verder heb ik getracht om niet in procedures
te blijven steken maar voor de praktische problemen ook praktische oplossingen te zoeken. Het is daardoor een
projectplan geworden voor diegene die een start wil maken met het verbeteren van kwaliteit in zijn of haar kleine
audit afdeling. Succes!
Amsterdam, januari 2010
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 4 van 54
Samenvatting Dit referaat gaat over de kleine interne audit afdelingen en de IIA-kwaliteitsstandaarden. In Nederland werkt de
meerderheid van de auditoren (± 80%) in een kleine interne audit afdeling. Hoewel deze audit afdelingen klein in
omvang (1-10 auditoren) zijn, is het standpunt van de beroepsvereniging IIA dat (ongeacht de omvang van de
afdeling) hun standaarden het minimum niveau aangeven waar het interne stelsel van kwaliteitsbeheersing aan
dient te voldoen.
Aanleiding voor dit onderzoek zijn de vragen en onzekerheden van auditoren die werkzaam zijn in deze kleine
interne audit afdelingen. Met de beperkte menskracht en middelen weten zij niet hoe dit stelsel van
kwaliteitsbeheersing in te richten en de problemen op te lossen die zich daarbij voordoen. De vraag rees dan ook
of het niet te lastig is voor een kleine audit afdeling om te voldoen aan de IIA-kwaliteitsstandaarden.
Het doel van dit onderzoek is ten eerste om de problemen in kaart te brengen en vervolgens te onderzoeken
welke oplossingen (in de vorm van een projectplan) daarvoor geboden kunnen worden. Om dit doel te bereiken
wordt onderzocht: 1. Wat de standaarden voor kwaliteitsbeheersing voor iedere audit praktijk inhouden, 2. Wat
de werking van de standaarden is en 3. Hoe kleine interne audit afdelingen om kunnen gaan met de standaarden.
1. De standaarden voor kwaliteitsbeheersing voor iedere audit praktijk betreffen de volgende onderwerpen:
Standaard 1000: de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling,
Standaard 1100: de onafhankelijkheid van de afdeling en objectiviteit van auditoren,
Standaard 1200: de professionaliteit en deskundigheid in het uitvoeren van audits,
Standaard 1300: een kwaliteitsprogramma,
Standaard 2000: het effectief managen van de audit afdeling,
Standaard 2100: de rapportage over de activiteiten van de audit afdeling,
Standaard 2200: het uitvoeren van audits,
Standaard 2300: de informatie die nodig is om de doelstelling van de audit te behalen,
Standaard 2400: de communicatie van de resultaten van audits,
Standaard 2500: een monitoringssysteem voor ‘follow up’ acties,
Standaard 2600: de risicoacceptatie bij het management.
2. De werking van de standaarden bestaat uit een 1000-serie waar de procedures voorgeschreven zijn ten aanzien
van de opzet van de maatregelen voor het interne stelsel van kwaliteitsbeheersing. De 2000-serie schrijft
procedures voor ten aanzien van de werking van de maatregelen. De opzet en werking van de maatregelen
dienen op één lijn met elkaar te liggen en terug te vinden zijn in de vastleggingen binnen de audit afdeling.
3. Hoewel de standaarden geen specifieke aandacht geven aan kleine audit afdelingen worden in de praktische
adviezen (PA’s) die bij de standaarden door het IIA gegeven worden, op drie plaatsen wel naar de kleine audit
afdeling verwezen, namelijk:
1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke
validatie (PA 1300-1),
2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine
afdeling kan lastig zijn (PA 1312-2),
3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040).
De bovenstaande uitgangspunten leveren het kader om vervolgens te onderzoeken wat de problemen zijn voor de
kleine audit afdeling met de naleving van de IIA-standaarden. Daarvoor wordt onderzocht: 1. Hoe het proces van
kwaliteitsbeheersing eruit ziet 2. Wat de belangrijkste problemen en oorzaken zijn die kleine audit afdelingen
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 5 van 54
hebben met de standaarden en 3. Hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing en
hoe de prestatie van dit proces verbeterd kan worden.
1.De IIA-standaarden leggen de basis voor het proces van kwaliteitsbeheersing. Het proces bestaat uit vier
processtappen, namelijk het opzetten, het implementeren, het zelfevalueren en het bijsturen van het stelsel van
kwaliteitsmaatregelen.
2. De problemen die kleine audit afdelingen ten opzichte van grote audit afdelingen hebben:
1. er bestaat vaak een verschil in opvatting tussen de directie en de definitie van internal auditing over
doelstelling, rapportagelijn en prioriteit in het uitvoeren van de werkzaamheden. Dit verschil heeft een
grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in onvoldoende professionalisering
van de kleine audit afdeling,
2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben
een grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in teveel schommelingen die
niet opgevangen kunnen worden,
3. er worden andere eisen aan het personeel gesteld in kleine audit afdelingen dan in grotere afdelingen en
de ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals
inhuur of ondersteunende systemen. De oorzaak ligt in het ontbreken van een functieprofiel voor de
auditor in de kleine audit afdeling en onvoldoende gebruik van alternatieven,
4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het
kwaliteitsbeheersingsproces en geen monitoring van de effectiviteit van het proces. De oorzaak hiervan
ligt in onvoldoende professionalisering van de kleine audit afdeling,
5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is. De oorzaak
hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling,
6. audit stappen worden ingekort en het ontbreekt vaak aan stuurinformatie vanuit de
evaluatiewerkzaamheden. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine
audit afdeling,
7. bij éénpitters ontbreekt het aan de surveillance, en de kwaliteit en ontwikkeling kunnen niet worden
gegarandeerd. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling.
8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde naar de
organisatie toe dan grotere afdelingen. De oorzaak hiervan ligt in onvoldoende professionalisering van
de kleine audit afdeling,
9. de organisatie of de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij
grotere audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor. De oorzaak hiervan ligt
in onvoldoende professionalisering van de kleine audit afdeling.
De oorzaken van genoemde problemen leveren beperkingen op voor de kleine audit afdeling in haar streven om
te voldoen aan de standaarden.
3. Vervolgens is gekeken hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing. De
conclusie is dat meeste problemen zich voordoen bij het opzetten van het stelsel van kwaliteitsbeheersing. Dit
heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. In dit proces van
kwaliteitsbeheersing kan de prestatie verbeteren in de eerste processtap. Het gaat hier om het opzetten van
maatregelen met betrekking tot de eigenschappen die een organisatie en individuen moeten bezitten om
kwalitatief goede audit diensten te leveren.
De volgende fase in het onderzoek betrof het ontwikkelen van verbeteracties om de beperkingen van de kleine
audit afdeling te mitigeren of op te heffen. Hiervoor worden: 1 Uitgangspunten geïdentificeerd om acties te
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 6 van 54
benoemen, 2 de doelen vastgesteld waarvoor de acties dienen en 3 een projectmatige aanpak ontwikkeld waarbij
de verbeteracties gebundeld worden in drie verbeterprojecten.
1. De uitgangspunten voor het genereren van verbeteracties zijn:
1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie,
2. de kleine audit afdeling mag zich informeel organiseren,
3. de standaarden zijn de minimale ‘baseline’ voor het handelen van de individuele auditor,
4. de minimale set van werkzaamheden uitvoeren in het kader van kwaliteitsbeheersing,
5. een beter gebruik van het proces van kwaliteitsbeheersing met de vier processtappen, namelijk: het
opzetten, implementeren, evalueren en bijsturen van het stelsel van kwaliteitmaatregelen,
6. de IIA-ontwikkelstadia naar volwassenheid op het gebied van kwaliteit beter inzetten,
7. de IIA-beschrijving van het proces van zelfevaluatie beter gebruiken, en
8. de IIA-classificatie om de mate van het naleven van de standaarden te bepalen beter inzetten,
9. de uitwerking van de standaarden bij de kleine audit afdeling pragmatischer toepassen, want de kleine
audit afdeling dient haar beperkingen ‘actief’ en ‘zichtbaar’ te mitigeren.
2. De verbeteracties die ontwikkeld zijn om de beperkingen van de kleine audit afdeling te mitigeren of op te
heffen zijn gericht op:
1. de positie versterken van de kleine audit afdeling binnen de organisatie,
2. de beschrijving verbeteren van de audit afdeling met onder andere: een beschrijving van het totale
proces van kwaliteitsbeheersing, de afzonderlijke processtappen, de procedures en een AO/IC-
beschrijving van het proces van kwaliteitsbeheersing,
3. het beter toepassen van de vier ‘Best Practices’ om schommelingen op te vangen in budget, activiteiten,
menskracht en kwaliteitsprogramma door het maken van een begroting, een ‘risk based’ audit plan, een
analyse voor sourcing alternatieven en een kwaliteitsprogramma,
4. het beter inventariseren van voldoende informatiebehoeften voor een zelfevaluatie in hoeverre men aan
de standaarden voldoet,
5. een beter profiel opstellen van de auditor die geschikt is om in een kleine audit afdeling te werken.
3. De verbeteracties zijn gebundeld in drie verbeterprojecten in verband met de borging van de maatregelen.
Voert men deze als projecten uit, dan bereikt men het gewenste niveau van professionalisering om te voldoen
aan de standaarden en het optimaal inzetten van mensen en middelen. De verbeterprojecten zijn:
1. (her)inrichting van het proces van kwaliteitsbeheersing,
Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een
randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete kwaliteitsverbetering
maar vormt het fundament voor de kwaliteitsbeheersing,
2. het toepassen van beleid en procedures,
Dit project leidt tot het zo efficiënt mogelijk inzetten van middelen en menskracht en tot snellere doorlooptijden
van audits, peer beoordelingen en zelfbeoordelingen. Dit project leidt tot kwaliteits- en prestatieverbetering,
3. het verzamelen van informatie voor het management.
Dit project leidt tot het inzichtelijk maken, beheersen, evalueren en bijsturen van het gehele proces van
kwaliteitsbeheersing en het verminderen van de bureaucratie. Dit project leidt tot kwaliteit- en
prestatieverbetering.
De slotconclusie in dit onderzoek is dat er een professionaliseringsslag nodig is bij de kleine interne audit
afdelingen. Dit kan door het doorlopen van een verbetertraject dat leidt naar: 1 de naleving van de standaarden
en 2 het optimaal inzetten van mensen en middelen. Het is een lastige maar zeker geen onoverkomelijke klus
voor iedere auditor om zich volwaardig te wijden aan kwaliteit.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 7 van 54
Hoofdstuk 1. Inleiding
1.1. Aanleiding voor het onderzoek Het ‘Institute of Internal Auditors’ (hierna: IIA) heeft een kwaliteitstoets voor de Interne Audit afdeling
ontwikkeld. Alle interne audit afdelingen waar interne auditors vallend onder het IIA-reglement werkzaam zijn,
zullen eenmaal in de vijf jaar aan toetsing onderworpen worden. Doel van een kwaliteitstoets is om een uitspraak
te doen over de mate waarin het interne stelsel van kwaliteitsbeheersing (in opzet en werking) voldoet aan de
algemeen aanvaarde normen voor de beroepsuitoefening. Deze normen heeft het IIA neergelegd in de
‘International Standards for the Professional Practice of Internal Auditing’ en de ‘Code of Ethics’ (hierna: IPPF).
Er kunnen ook normen door het lokale bestuur – de leden gehoord – vastgelegd worden in aanvullende
voorschriften en richtlijnen (IIA NL, 2004).
Binnen de interne audit afdeling variëren de werkzaamheden van risicomanagement en fraudeonderzoek tot
operational efficiency analyse, IT- en governance auditing en reviewing compliance met de relevante wet- en
regelgeving (O’Regan, 2002). Als basis voor het borgen van kwaliteit in haar reguliere werkzaamheden dient de
audit afdeling maatregelen te nemen om de kwaliteit te beheersen. De maatregelen kunnen onder andere zijn: het
vastleggen van de doelstelling en verantwoordelijkheden van de audit afdeling in een Audit Charter, het opzetten
van een kwaliteitsprogramma, het opstellen van eisen voor het uitvoeren van audits en de rapportage van de
activiteiten van de audit afdeling.
Aanleiding voor dit onderzoek vormen de vragen en onzekerheden van auditoren werkzaam in kleine audit
afdelingen over hoe zij dit interne stelsel van kwaliteitsbeheersing kunnen inrichten en managen. Veel kleine
audit afdelingen hebben namelijk maar één tot enkele auditoren met een beperkt budget en daardoor
ogenschijnlijk moeite om te voldoen aan de IIA-standaarden. Dit is opmerkelijk omdat het managen van een
kleine audit afdeling een uitdaging vormt voor iemand met een brede achtergrond, die tussen verschillende
niveaus kan schakelen. Omdat een kleine audit afdeling niet veel tijd kwijt is aan bureaucratie, heeft deze meer
vloeiende en flexibele structuren en plattere rapportagelijnen dan een grotere afdeling. Ook zitten de individuele
auditors dichter bij het senior management. De geringe omvang maakt de slagkracht en flexibiliteit groter in een
‘lean’ gemanagede kleine audit afdeling in vergelijking met grotere afdelingen. Een kleine audit afdeling kan
zichzelf ‘leaner’ managen dan een grotere afdeling, hoewel zij dezelfde verantwoordelijkheden hebben (Stanek,
2008). Waarom is het dan te lastig voor een kleine afdeling om te voldoen aan de IIA-kwaliteitsnormen?
1.2. Doelstelling en probleemstelling Doel van dit onderzoek is deze aanname te bevestigen of te weerleggen en indien mogelijk een projectplan te
schrijven waarin aangegeven wordt welke maatregelen genomen moeten worden om aan de IIA-standaarden te
voldoen. Voor de praktische problemen die een kleine audit afdeling hierbij tegen kan komen worden
oplossingen geboden. Het doel van dit onderzoek wordt bereikt door de volgende probleemstelling te
formuleren:
Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke
oplossingen kunnen daarvoor geboden worden?
Om antwoord te geven op de probleemstelling zijn de volgende deelvragen geformuleerd:
1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen daar planmatig mee omgaan?
2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de
IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van kwaliteitsbeheersing?
3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te
mitigeren of op te heffen?
4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen?
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 8 van 54
Om het onderzoek af te bakenen worden:
1. kleine interne audit afdelingen waar interne auditors, vallend onder het IIA-reglement, werkzaam zijn als
uitgangspunt genomen,
2. kleine interne audit afdelingen die al een paar jaar bestaan als uitgangspunt genomen, dus geen startende
audit afdelingen,
3. specifiek de problemen van kleine audit afdelingen rond de IIA-standaarden bestudeerd,
4. geen pogingen gedaan om tot een definitie te komen wat een kleine audit afdeling is. De focus ligt op het
ondersteunen van de interne auditor die werkzaam is in een kleine audit afdeling.
Begripsbepaling. In dit onderzoek versta ik onder:
1. Internal Auditing: een onafhankelijke, objectieve activiteit die aanvullende zekerheid verschaft en adviseert.
De activiteit is ontworpen om waarde toe te voegen en de bedrijfsvoering van een organisatie te verbeteren.
Internal Auditing helpt een organisatie om haar doelen te bereiken door een systematische, gedisciplineerde
benadering, om de effectiviteit te evalueren en het verbeteren van risicomanagement, interne controle en de
governance processen (IPPF, 2009).
2. Het normenkader: de IIA-standaarden en de ‘Code of Ethics’ vormen onder andere het normenkader,
waaraan de kwaliteit van het interne stelsel van beheersingsmaatregelen van de audit afdeling wordt getoetst
(IPPF, 2009).
1.3. Het onderzoeksmodel en -methode Dit referaat richt zich op het naleven van de IIA-standaarden door de kleine interne audit afdeling. Het
onderzoek bestaat uit literatuur- (SOLL) en praktijkonderzoek (IST). De literatuur levert een gewenste situatie
op met een beschrijving van het IIA-standpunt, de IIA-standaarden, het proces van kwaliteitsbeheersing en geeft
aan welke maatregelen genomen moeten worden. Vervolgens worden criteria beschreven waaraan een audit
afdeling getoetst wordt (a). In het praktijkgedeelte wordt in het bijzonder naar de kleine audit afdeling gekeken
en worden problemen geanalyseerd die de afdeling ondervindt, al dan niet veroorzaakt door haar beperkte
middelen en menskracht (b). Bij de probleemanalyse wordt het proces van kwaliteitsbeheersing gemodelleerd en
wordt vervolgens dit model gebruikt om de problemen te ‘mappen’ en op te lossen door procesverbeteringen.
Om het proces te onderzoeken en te verbeteren wordt gebruik gemaakt van de BPI-methode die verder in deze
paragraaf en in dit referaat toegelicht wordt. Met deze methode kunnen verbeteracties benoemd worden om de
efficiency en effectiviteit van de kleine audit afdeling te verhogen, waardoor zij optimaal met haar beperkte
middelen en menskracht om kan gaan (c). Het resultaat van het onderzoek is een projectplan (d) om grip te
krijgen op de eisen die de IIA-beroepsvereniging aan de individuele auditor stelt.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 9 van 54
Model 1: het onderzoeksmodel
De methode om het proces van kwaliteitsbeheersing te verbeteren is BPI. BPI staat voor Business Performance
Improvement. BPI is ontwikkeld uit het originele BPR (Business Proces Redesign) van Hammer en Champy
(1993) en is doorontwikkeld in de periode 1996-1998 (Wikipedia). Bij organisatieontwikkeling is BPI hét
concept voor organisatieverandering waarbij het management een verandertraject opzet. Bij het toepassen van
deze methode worden eerst de problemen met betrekking tot de performance van een specifiek proces of
procedure in kaart gebracht. Naar aanleiding van een probleemanalyse worden ideeën gegenereerd voor
verbetering, waarna het proces of de procedure wordt aangepast. Het doel is om de efficiency en de effectiviteit
van het proces of van de procedure te verbeteren. De methode kan ook de doeltreffendheid van de organisatie
verbeteren als er organisatiedoelen zijn gesteld, zoals het voldoen aan kwaliteitseisen.
De methode kort toegelicht:
1. het uitvoeren van BPI is een project; dat wil zeggen dat alle principes van projectmanagement van
toepassing zijn,
2. de eerste stap in BPI is het bepalen welke resultaten waarde toevoegen aan de doelstelling van de
organisatie en hoe het betreffende proces afgestemd kan worden om deze resultaten te bereiken (‘TO
BE’),
3. de tweede stap in BPI is het beschrijven van de huidige situatie (‘AS-IS’) en het ‘mappen’ van de
problemen op het proces,
4. als we weten waar de problemen zich voordoen en wat de oorzaken zijn, dienen de medewerkers en de
activiteiten gereorganiseerd te worden om de nieuwe doelstellingen te behalen.
Adviezen bij gebruik van BPI:
1. start met een klein proces dat in korte tijd voltooid kan worden,
2. maak een duidelijke tijdsplanning,
3. zorg voor voldoende bemensing van het project en richt je op resultaat op de korte termijn,
4. betrek management en belanghebbenden erbij; anders zal zelfs een beperkte implementatie falen,
Bovenstaand BPI kader wordt gebruikt om een aanpak in de vorm van een projectplan te schrijven.
Bij iedere stap in het toepassen van de BPI-methode wordt uitleg gegeven. Met BPI-instrumenten worden de
problemen in het onderhanden proces onderzocht en worden verbeteringen gegenereerd (deze uitleg is steeds
in een blauw kader geplaatst).
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 10 van 54
1.4. Leeswijzer Om tot een antwoord op de probleemstelling te komen, is dit referaat als volgt ingedeeld. Het conceptuele kader
uit het onderzoeksvoorstel dient als inleiding van het referaat. De vier deelvragen uit de centrale
probleemstelling (par.1.2.) leveren ieder één hoofdstuk in het referaat op. De antwoorden op iedere deelvraag
vormen gezamenlijk het antwoord op de centrale onderzoeksvraag in het laatste hoofdstuk van dit referaat.
De opbouw van het referaat is als volgt:
• Hoofdstuk 1 vormt de inleiding. Hierin wordt ingegaan op de aanleiding van dit onderzoek, de
probleemstelling, en hoe deze beantwoord gaat worden.
• In hoofdstuk 2 “Wat houden de IIA-standaarden in?” worden de standaarden, het IIA-groeipad naar
kwaliteit, de kwaliteitsmaatregelen en de criteria ter naleving van de standaarden beschreven. Het
resultaat is een samenvatting wat de standaarden inhouden en de eerste aanzet tot een aanpak.
• Hoofdstuk 3 handelt over de praktische problemen voor de kleine audit afdeling. Het hoofdstuk levert
een inventarisatie op van de problemen in het gehele proces van kwaliteitsbeheersing en in de
afzonderlijke processtappen. Tevens wordt de kloof tussen de huidige en wenselijke prestatie
beschreven.
• In Hoofdstuk 4 worden verbeteracties voor de problemen uitgewerkt. Resultaat zijn vier bevindingen
waaruit aanbevelingen gegenereerd worden voor verbeteracties.
• Hoofdstuk 5 bundelt de noodzakelijke activiteiten in verbeterprojecten die vervolgens in een traject
geplaatst worden om de beperkte middelen en menskracht optimaal te benutten.
Resultaat is een projectmatige aanpak om aan de slag te gaan. Door de status van de ontwikkelingen in het eigen
interne stelsel van kwaliteitsbeheersing bij te houden, ontstaat een meerjarig zelfevaluatie-instrument. Dit
instrument kan als rapportage tool worden gebruikt naar de interne beoordelaar en in later stadium naar de
externe IIA-toetser.
Na het dankwoord volgt nog een aantal bijlagen, waaronder de volledige tekst van IIA Path to Quality Model
(bijlage I), Interviewvragen (bijlage II), een AO/IC beschrijving (Bijlage III), het QSAT rapportage tool (bijlage
IV), de verwijzingen naar modellen, schema’s en tabellen (bijlage V), een lijst met gebruikte afkortingen (bijlage
VI) en een literatuurlijst (Bijlage VII).
Aan het eind van ieder hoofdstuk worden een samenvatting en een conclusie gegeven, die antwoord geven op
de geformuleerde deelvraag (deze zijn in een geel kader geplaatst).
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 11 van 54
Hoofdstuk 2. Wat houden de IIA-standaarden in?
Dit hoofdstuk gaat over wat de IIA-standaarden inhouden en hoe kleine audit afdelingen planmatig met deze
standaarden om kunnen gaan. Paragraaf 2.1 geeft een korte ontwikkelingsgeschiedenis van de herkomst van de
IIA-standaarden en een beknopt overzicht ervan. Vervolgens wordt gekeken naar de verwijzingen binnen de IIA-
standaarden naar de kleine audit afdeling. De paragraaf sluit af met het IIA-standpunt inzake de naleving van de
standaarden door de kleine audit afdeling. Paragraaf 2.2 geeft een beschrijving van het proces voor het beheersen
van kwaliteit. De procesbeschrijving vormt een kapstok om de problemen te duiden en naar oplossingen toe te
werken. In paragraaf 2.3 wordt beschreven hoe het hoofd van een audit afdeling de kwaliteitsmaatregelen kan
implementeren en in paragraaf 2.4 worden de toetsingscriteria per standaard beschreven, waarmee het stelsel van
kwaliteitsbeheersing van een interne audit afdeling getoetst kan worden. Paragraaf 2.5 geeft de IIA-classificatie
in het eindoordeel of een afdeling voldoet of niet. Paragraaf 2.6 sluit af met een samenvatting en conclusie.
2.1. De inhoud en werking van de IIA-standaarden Wie is de bewaker van de bewakers? Sawyer haalt de mijmering van Juvenal uit de eerste eeuw na Christus aan,
om aan te geven dat enkele incompetente auditoren een schaduw kunnen werpen op de gehele beroepsgroep. Om
overheidsbeleid te voorkomen, gingen de internal auditors aan zelfevaluatie doen of ze organiseerden externe
evaluaties, met boetes voor diegenen die niet aan de eisen voldeden. In de jaren ‘80 van de vorige eeuw volgde
het IIA andere organisaties in het ontwikkelen van middelen voor objectieve beoordeling van internal audit
afdelingen. Deze werden als de ‘Standards for the Professional Practice of Internal Auditing’ (hierna: IPPF) voor
het eerst in 1987 gepubliceerd (Sawyer, 2005). Vanaf 1 januari 2003 stelde de Amerikaanse moederorganisatie
(IIA Inc.) een externe kwaliteitstoetsing voor interne auditors verplicht. In Nederland worden sinds 1 januari
2005 alle interne audit diensten, waar interne auditors vallend onder het IIA-reglement werkzaam zijn, eenmaal
in de vijf jaar aan toetsing onderworpen (IIA NL, 2004). Het IIA definieert de kwaliteitstoets als het beoordelen
of de kwaliteit van de interne beheersing bij de audit afdeling conform de standaarden van het IIA is (IIA, Path
to Quality).
Het stelsel voor interne kwaliteitsbeheersing voor de audit praktijk bestaat uit drie soorten standaarden;
1. de Attribute Standards: deze standaarden adresseren de eigenschappen van organisaties en individuen die
interne audit diensten uitvoeren,
2. de Performance Standards: deze standaarden beschrijven de aard van de interne audit diensten en leveren
kwaliteitscriteria waaraan de prestatie van deze diensten gemeten kunnen worden,
3. de Implementation Standards: deze zijn van toepassing op specifieke diensten, bijvoorbeeld een compliance
audit, een fraudeonderzoek, of een controle self assessment project.
Door de tijd heen zijn deze auditingstandaarden uitgegroeid naar procedures (Sawyer, 2005). De 1000-serie
schrijft de procedures voor ten aanzien van de opzet van de maatregelen voor het interne stelsel van
kwaliteitsbeheersing, de 2000-serie schrijft ze voor ten aanzien van de werking van de maatregelen. De 1000- en
2000-standaardseries worden weer onderverdeeld in substandaarden, bijvoorbeeld de 1010: erkenning van de
definitie van Internal Auditing. De substandaard bevat een meer specifieke uitleg omtrent een onderdeel van de
overall standaard. De Implementation standard wordt onder de betreffende standaard of substandaard vermeldt,
bijvoorbeeld de 1000.A1: de aard van de assurance diensten dient gedefinieerd te zijn in het Audit Charter. De
IIA-standaarden uit 2005 zijn aangevuld met ‘Practice Advisories’ die uitleggen hoe de standaarden
geïnterpreteerd worden door het IIA. Bij de vernieuwde versie van de standaarden in 2009 zijn de 83 ‘Practice
Advisories’ teruggebracht naar 42, door omzetting naar ‘Mandatory Interpretations’. Dit zijn verplichte
interpretaties die termen en uitdrukkingen (zoals bv. het Quality Assurance and Improvement Program - QAIP)
in een standaard verhelderen (Baker, 2009). Hieronder volgt een beknopte beschrijving van de IIA-standaarden
(Voor de complete tekst: zie IPPF, 2009).
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 12 van 54
Nr. Attribute Standards Beknopte omschrijving
1000 Purpose, Authority, and
Responsibility
Het doel, de autoriteit en de verantwoordelijkheden van de interne audit
functie dienen formeel vastgelegd te zijn in een charter en dienen samen te
hangen met de standaarden en goedgekeurd te worden door de directie.
1100 Independence and
Objectivity
De interne audit afdeling dient onafhankelijk te zijn, en interne auditoren
dienen objectief te zijn in het uitvoeren van hun werk.
1200
Proficiency and Due
Professional Care
Opdrachten dienen deskundig en met professionele zorg uitgevoerd te
worden.
1300
Quality Assurance and
Improvement Program
Het hoofd van de interne audit afdeling dient een kwaliteitsborging- en
verbeterprogramma te ontwikkelen en te onderhouden dat alle aspecten van
de interne audit afdeling afdekt en continu haar voortgang volgt. Dit
programma bevat periodieke interne en externe kwaliteitsbeoordelingen en
continue interne voortgangsmonitoring. Elk onderdeel van het programma
dient ontworpen te zijn om de afdeling te helpen waarde toe te voegen en
de bedrijfsoperatie te verbeteren en zekerheid te verschaffen dat de interne
audit afdeling de standaarden en de Code of Ethics naleeft.
Nr. Performance Standards
2000
Managing the Internal
Audit Activity
Het hoofd van de interne audit afdeling dient de interne audit afdeling
effectief te managen om haar waardetoevoeging aan de organisatie te
verzekeren.
2100
Nature of Work Het hoofd van de interne audit afdeling dient periodiek aan de directie en
het senior management te rapporteren over de interne audit activiteiten, de
doelstelling, de autoriteit, de verantwoordelijkheden, en de prestaties in
overeenstemming met het auditplan. Rapportage dient gevraagd en
ongevraagd de volgende zaken te bevatten: blootstelling aan significante
risico’s, controleonderwerpen, corporate governance en andere zaken
waarvan de directie of het senior management op de hoogte behoren te
zijn.
2200
Engagement Planning Interne auditors dienen voor iedere opdracht een plan te ontwikkelen en
vast te leggen, inclusief reikwijdte, doelstellingen, tijdsplanning en
bemensing.
2300
Performing the
Engagement
Interne auditors dienen voldoende informatie te identificeren, analyseren,
evalueren, en vast te leggen om de doelstellingen van de opdracht te
bereiken.
2400
Communicating Results Interne auditors dienen de resultaten van de opdracht te communiceren.
2500
Monitoring Progress Het hoofd van de interne audit afdeling dient een systeem te installeren
voor het volgen van de resultaten (follow-up) die aan het management zijn
gecommuniceerd.
2600
Resolution of
Management’s
Acceptance of Risks
Wanneer het hoofd van de interne audit afdeling gelooft dat het senior
management een niveau van restrisico heeft geaccepteerd dat misschien
niet acceptabel is voor de organisatie, dan dient hij/zij dit te overleggen
met het senior management en eventueel naar de directie te escaleren.
Tabel 1: beknopte omschrijving van de IIA-standaarden.
De standaarden geven geen specifieke aandacht aan kleine audit afdelingen, maar in de praktische adviezen
(PA’s) wordt op drie plaatsen wel naar de kleine audit afdeling verwezen:
1. PA 1300-1: het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met
onafhankelijke beoordeling of zij voldoet aan de algemeen aanvaarde normen van de
beroepsuitoefening; deze vorm van toetsing noemt men de Self Assessment with Independent
Validation (SAIV),
2. PA 1312-2: een externe toetsing door een gekwalificeerde, onafhankelijke beoordelaar of team bij een
kleine afdeling kan lastig zijn.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 13 van 54
3. PA 2040: een kleine audit afdeling mag informeel georganiseerd worden en formele administratieve en
technische procedure handboeken zijn niet nodig.
Het standpunt van de Amerikaanse moederorganisatie IIA Inc. is dat zij geen onderscheid maakt naar omvang
van de afdeling maar zich richt op het individu van de interne auditor. In het artikel ‘A renewed framework’
benadrukt Davies, dat “The IPPF sets the minimum baseline for all internal auditors globally – there’s no excuse
for nonconformance. In my mind, anything else is ‘holding up’ or misrepresentation” (Baker, 2009). Amerikaans
onderzoek richt zich ook op de individuele auditor. “Ondanks de beperkingen in menskracht en middelen kunnen
auditoren in kleine audit afdelingen zich volwaardig wijden aan kwaliteit”. (Armanas, 2007).
In Nederland vindt Tilman, voorzitter van het ‘College voor Kwaliteitstoetsing IIA NL’ dat, ongeacht de omvang
van de afdelingen, de kern van de werkzaamheden (bv. valideren van het self assessment proces, de
dossieronderzoeken, de hoor- en wederhoor procedure en het opstellen van de rapportage met detail-
bevindingen) uitgevoerd moet worden (Tilman, 2007).
Bovenstaande bronverwijzingen naar de kleine audit afdeling in de IIA-standaarden en standpunten worden
gebruikt als uitgangspunten bij het werken aan de kwaliteit van de kleine audit afdeling. De uitgangspunten
samengevat betreffen:
1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke
validatie,
2. een kleine audit afdeling mag informeel georganiseerd worden,
3. de standaarden vormen een minimale baseline voor het handelen van de individuele auditor,
4. het gaat om een minimale set van werkzaamheden die uitgevoerd moeten worden in het kader van
kwaliteitstoetsing door de audit afdeling,
5. bij externe toetsing wordt de audit afdeling gecertificeerd en niet de verantwoordelijke auditor.
2.2. Het proces van kwaliteitsbeheersing Nu duidelijk is wat de standaarden inhouden en hoe zij werken, behandelen we het proces van
kwaliteitsbeheersing. Als we weten hoe het proces van kwaliteitsbeheersing eruit ziet kunnen we de problemen
bespreken die zich hierin voordoen en kunnen we ideeën genereren hoe de prestatie van dit proces verbeterd kan
worden. In de literatuur is geen procesbeschrijving van kwaliteitsbeheersing bij een audit afdeling gevonden.
Daarom volgt hier een eigen beschrijving en modellering van de gewenste situatie:
De IIA-standaarden zijn de basis voor het stelsel van kwaliteitsbeheersing bij de audit afdeling. De stappen zijn:
1. het hoofd van de audit afdeling neemt kennis van de standaarden, adopteert de kwaliteitsdefinitie en
maakt plannen voor het nemen van maatregelen, zoals het opzetten van een kwaliteitsprogramma,
2. met behulp van het Path to Quality Model van het IIA implementeert het hoofd van de audit afdeling de
maatregelen die samen het stelsel van kwaliteitsbeheersing vormen,
3. het hoofd van de audit afdeling voert een zelfevaluatie uit aan de hand van de beschrijving van het IIA-
zelfevaluatieproces dat in hoofdlijnen overeenkomt met het externe evaluatieproces en de belangrijkste
De eerste stap in de BPI-methode is het maken van een procesbeschrijving. Dit is een zinvol BPI-instrument
omdat het ten eerste de kennisoverdracht en de discussie over het gewenste procesverloop mogelijk maakt;
ten tweede biedt het een handvat voor procesverbetering. Het gewenste procesverloop wordt de ‘TO BE’ -
procesbeschrijving genoemd.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 14 van 54
IIA-kwaliteitscriteria. Een rapportage van deze evaluatie wordt door een interne toetser beoordeeld.
Beide beoordelingen worden met de directie en het management gedeeld,
4. een lijst met verbeteracties wordt opgesteld en uitgevoerd door het hoofd van de audit afdeling.
Dit proces is van toepassing op iedere auditor die onder het IIA-reglement valt, ongeacht de omvang van de audit
afdeling.
Model 2: het gewenste proces van kwaliteitsbeheersing
Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen Tijdens het literatuuronderzoek heb ik geen materiaal gevonden voor de eerste processtap: het opzetten van het
stelsel van kwaliteitsbeheersing. Hieruit vloeit de conclusie voort dat in het verbetertraject extra aandacht uit
dient te gaan naar het beschrijven van procedures om het stelsel van kwaliteitsmaatregelen op te zetten.
Stap 2: Het implementeren van kwaliteitsmaatregelen De tweede stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het implementeren van
maatregelen van kwaliteitsbeheersing. Wat moet een auditor, werkzaam in een audit afdeling doen om de
gewenste kwaliteit te bereiken? Het IIA definieert kwaliteit als de karakteristiek van het toevoegen van waarde
door het overtreffen van de verwachtingen van de belanghebbenden. Het meest kritische aspect in het bereiken
van interne audit kwaliteit is het zich verzekeren dat:
1. waarde wordt toegevoegd in alle aandachtsgebieden van de audit afdeling,
2. de audit afdeling waarde toevoegt aan de organisatie, en
3. de auditor de vaardigheden en de deskundigheid in huis heeft binnen de aandachtsgebieden:
risicomanagement, interne beheersing en de governance processen (IIA Path to Quality).
Deze kwaliteitseis is hetzelfde voor iedere auditor, ongeacht de omvang van de interne audit afdeling. Audit
afdelingen kunnen namelijk verschillen in omvang en complexiteit. Ook kan het budget variëren, evenals het
niveau in kennis en ervaring van de auditors.
Het gewenste niveau is niet van vandaag op morgen bereikt en het IIA heeft daarom vijf volwassenheidsniveaus
ontwikkeld om van het ene niveau naar het andere niveau te groeien. De niveaus zijn: beginnend, opkomend,
voldoet, hefboomwerkend en innovatief. Voor ieder niveau zijn maatregelen gedefinieerd die in bijlage I zijn
opgenomen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 15 van 54
Model 3: het “IIA Path to Quality Model”
Niveau 1 Beginnend: kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborgings- en
verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet
geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en
het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan
brengen voor een organisatie.
Niveau 2 Opkomend: kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue
zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert, met toezicht op naleving met de standaarden.
Niveau 3 Voldoet: de interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar
zelfevaluatieproces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling
vormt de belangrijkste mijlpaal naar accreditatie.
Niveau 4 Hefboomwerking: Het kwaliteitsborgings- en verbeterprogramma (QAIP) is goed gedefinieerd binnen
de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, de Code of
Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets.
Niveau 5 Innovatief: kenmerkt zich door het bestaan van een actief en volledig geïntegreerd
‘kwaliteitsborgings- en verbeterprogramma’ (QAIP) binnen de dagelijkse gang van zaken van de interne audit
afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een
strikt continu opleidingsprogramma.
De volledige tekst van de presentatie ‘IIA Path to Quality’ is als bijlage I opgenomen.
Stap 3: Het proces van zelfevaluatie De derde stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het zelfevalueren van het interne
stelsel van kwaliteitsmaatregelen. Het externe kwaliteitstoetsingsproces dient als kapstok voor ieder
kwaliteitsprogramma van een interne audit afdeling (Hoofdstuk 2, QA Manual). De belangrijkste criteria voor de
evaluatie van de naleving van de standaarden, de zogenaamde Key Conformance Indicators (KCI’s) zijn:
1. er is een goedgekeurd Audit Charter,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 16 van 54
2. het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau,
3. auditors zijn goed opgeleid,
4. er is een effectief kwaliteitsprogramma,
5. er is een risk based audit plan,
6. iedere audit omvat een beoordeling van de risicobeheersing -en controlesystemen,
7. iedere audit omvat een risicobeoordeling, een werkprogramma etc.
8. werkdocumenten omvatten alle relevante informatie over de te bereiken doelstellingen,
9. er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie
is opgenomen in het audit rapport,
10. er is een follow-up-proces ingesteld om ervoor te zorgen dat het management de aanbevolen acties
daadwerkelijk heeft uitgevoerd. Is dit niet het geval dan dient het management het risico te hebben
aanvaard,
11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voorgelegd
aan de directie voor resolutie.
Voor de volledige tekst wordt verwezen naar Tool 19 in de IIA QA Manual. Tool 19 draagt bij tot het versnellen
van een consequente evaluatie van de naleving met de IIA-standaarden doordat de audit afdeling een
zelfevaluatie uitvoert of een interne/externe kwaliteitsbeoordeling ondergaat. Het instrument is geen checklist
waaruit de conclusie getrokken kan worden dat als aan de elf KCI’s voldaan wordt, de audit afdeling dan IIA-
compliant is. Het is namelijk in eerste instantie aan het hoofd van de audit afdeling en, vervolgens, aan de
interne/ externe beoordelaar om vast te stellen in welke mate de audit afdeling voldoet aan de standaarden. In de
oordeelsvorming is niet alleen het formuleren van een mening door het hoofd van de audit afdeling ten aanzien
van het naleven van de standaarden belangrijk. Er wordt ook gelet op de werkwijzen binnen de interne audit
afdeling die processen en de effectiviteit van de afdeling verbeteren. Deze benadering omarmt de ‘Best
Practices’ van de beroepsgroep en benadrukt het belang van risicomanagement, interne beheersing en
governance processen (Tilman, 2007).
Het externe Quality Assessment (QA) proces bevat twaalf punten:
1. selecteer en train (indien nodig) een QA team,
2. beoordeel de ingevulde zelfevaluatie-vragenlijst van het hoofd van de audit afdeling, en verhelder vragen en
zorgen (Tool 3 Tab A, Quality Assessment Manual),
3. breng een oriënterend bezoek aan de organisatie en verzamel resterende informatie, voeg details toe aan het
werkplan, selecteer en agendeer interviews met de belanghebbenden van de interne audit afdeling en
medewerkers voor een on-site bezoek,
4. gebruik samenvattingen van klant- en medewerkervragenlijsten voor hulp bij de on-site interviews en
beoordeling van de documenten,
5. voer het werk ter plaatse uit; dit betekent het beoordelen van:
a. het administratieve beleid en procedures,
b. de overwegingen ten aanzien van bedrijfsrisico’s, governance en de audit prioriteiten in audit
planning,
c. de werkdocumenten en rapporten,
d. de geselecteerde audits en adviesprojecten,
e. het aantal en de vaardigheden van de medewerkers en hun continue professionele opleiding,
f. een adequate dekking van het IT-audit gebied.
6. interview geselecteerde leden van de directie (het Audit Committee), het dagelijks management, het
uitvoerend management en de interne audit medewerkers, met de focus op organisatierisico’s en
doelstellingen. Interview de geselecteerde leden tevens of de effectiviteit van de interne audit afdeling op
peil is en toegevoegde waarde heeft,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 17 van 54
7. overweeg andere monitoring functies, in overeenstemming met de interne audit functie, die daar niet zijn
ondergebracht, zoals evaluatie, onderzoek, kwaliteitsmanagement, en procesverbetering. Bestudeer en
beoordeel de coördinatie van de interne audit afdeling met het werk van professionals binnen deze functies,
8. evalueer de naleving van de interne audit afdeling met de IIA-standaarden,
9. bestudeer de kwaliteits- en procesverbeteracties die momenteel lopen en gepland zijn voor de nabije
toekomst. Overweeg ook de ‘Best Practices’ die gangbaar zijn in de omgeving van de organisatie,
10. lever een samenvatting van kwesties en aanbevelingen en houd een laatste bijeenkomst met het hoofd van de
interne audit afdeling en /of andere aanvragers van de kwaliteitstoets,
11. schrijf een rapport, verkrijg de opmerkingen en reactie op de aanbevelingen van de klant en publiceer het
eindrapport,
12. houd een follow-up executive vergadering (optioneel).
Bovenstaande punten kunnen aangepast worden of andere kunnen toegevoegd worden op verzoek van de interne
audit afdeling of de organisatie waar zij onderdeel van uitmaakt.
In overeenstemming met de standaarden kan de interne audit afdeling een proces adopteren om de effectiviteit
van het kwaliteitsprogramma te monitoren en te beoordelen. De hoofdlijnen van het eigen proces van
zelfevaluatie komen overeen met die van het externe evaluatieproces (Hoofdstuk 3 QA Manual). De
belangrijkste kenmerken van de Self Assessment with Independant Validation (SAIV) zijn:
1. het zelfevaluatieproces vindt plaats onder leiding van het hoofd van de audit afdeling en dient gevalideerd te
worden door een onafhankelijke beoordelaar met kwalificaties die overeenkomen met die van een externe
beoordelaar,
2. de zelfevaluatie dient adequaat gedocumenteerd te worden en dient conclusies te bevatten over de mate van
naleving van de standaarden, van het Audit Charter en van andere relevante criteria, alsook aanbevelingen
voor verbetering en plannen voor invoering van de verbeteringen (zie Tool 2A, QA Manual),
3. een rapport dient opgemaakt en verstuurd te worden aan de directie en het senior management nadat de
onafhankelijke beoordelaar het beoordeeld heeft,
4. deze beoordelaar interviewt de voorzitter van het Audit Committee en voert beperkte testen uit om de
resultaten te valideren,
5. de beoordelaar spreekt zijn mening uit over de adequaatheid van het zelfevaluatieproces en het geïndiceerde
niveau van naleving van de standaarden. Dit commentaar wordt toegevoegd aan het rapport van het hoofd
van de audit afdeling en gestuurd aan de directie en het senior management.
Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen Aangeraden wordt om in het proces van zelfevaluatie de classificatie van de externe toetsing aan te houden. De
werkwijze van de externe toetser bestaat uit het valideren van het aangeleverde materiaal, het toetsen van de
opzet en werking van de genomen maatregelen ter plaatse, en het praten met belanghebbenden, zoals de
voorzitter van de Raad van Bestuur, de leden van het Audit Committee, de divisiedirecteuren en de externe
accountant. In de Nederlandse KTIA-Handleiding (2007) voor kwaliteitstoetsing luidt de classificatie van het
eindoordeel als volgt:
1. voldoende (V); het interne stelsel van kwaliteitsbeheersing voldoet in opzet en werking aan de in Nederland
algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement
Kwaliteitstoetsing,
2. voldoet maar voor verbetering vatbaar (VVVV); het interne stelsel van kwaliteitsbeheersing voldoet in opzet
en werking aan de in Nederland algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in
artikel 2 van het Reglement Kwaliteitstoetsing, maar er wordt geadviseerd verbetering(en) aan te brengen,
3. voldoet niet (VN); het interne stelsel van kwaliteitsbeheersing voldoet niet aan de in Nederland algemeen
aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement
Kwaliteitstoetsing. Er dient een verbeterplan te worden opgesteld en uitgevoerd (Reglement: art. 13 lid 3).
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 18 van 54
2.3. Samenvatting en conclusie
Antwoord op deelvraag 1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met
deze standaarden omgaan?
Samenvattend gingen internal auditors aan zelfevaluatie doen of organiseerden externe evaluaties om
overheidsbeleid te voorkomen. Daarvoor zijn drie soorten standaarden vastgelegd om de normen voor de kwaliteit
van de interne beheersing bij iedere audit afdeling aan te geven;
1. de Attribute Standards: betreffen de eigenschappen van organisaties en individuen die interne audit diensten
uitvoeren,
2. de Performance Standards: beschrijven de aard van de interne audit services en leveren kwaliteitscriteria
waaraan de prestatie van deze diensten gemeten kunnen worden,
3. de Implementation Standards,
De 1000-serie schrijft de opzet van de maatregelen voor, de 2000-serie schrijft de werking van de maatregelen voor.
De opzet en werking van de maatregelen dienen op één lijn te zijn. De standaarden betreffen de volgende
onderwerpen:
1000 de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling,
1100 de onafhankelijkheid van de afdeling en objectiviteit van auditoren,
1200 de professionaliteit en deskundigheid in het uitvoeren van audits,
1300 een kwaliteitsprogramma,
2000 het effectief managen van de audit afdeling,
2100 de rapportage over de activiteiten van de audit afdeling,
2200 het uitvoeren van audits,
2300 de informatie die nodig is om de doelstelling van de audit te behalen,
2400 de communicatie van de resultaten van audits,
2500 een monitoringssysteem voor follow up acties,
2600 de risicoacceptatie bij het management.
De conclusie is dat de standaarden zelf geen specifieke aandacht aan kleine audit afdelingen besteden. Echter, in de
praktische adviezen (PA’s) die bij de standaarden door het IIA gegeven worden op drie plaatsen naar de kleine audit
afdeling verwezen, namelijk:
1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke
validatie (PA 1300-1),
2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine afdeling
kan lastig zijn (PA 1312-2),
3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040).
Meer ingrediënten bij diepergaand onderzoek zijn:
4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op.
5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van
kwaliteitsbeheersing,
6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden voldoet,
7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk; het opzetten, implementeren,
evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen,
8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van
zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar,
9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan te
brengen.
Deze ingrediënten bieden houvast bij verder onderzoek naar de problemen voor de kleine audit afdeling om te
voldoen aan de standaarden.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 19 van 54
Hoofdstuk 3. De praktische problemen Hoofdstuk 3 beantwoordt de vraag welke praktische problemen kleine audit afdelingen ondervinden in hun
streven om aan de eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces
van kwaliteitsbeheersing. Paragraaf 3.1 geeft een opsomming van knelpunten of problemen die de kleine audit
afdeling ondervindt bij het naleven van de standaarden. Paragraaf 3.2 geeft een probleemanalyse waarbij eerst
een mapping gemaakt wordt van problemen op het kwaliteitsbeheersingsproces (par.3.2.1.) en voor de
processtappen afzonderlijk. Vervolgens wordt de kloof tussen de huidige en gewenste prestatie bepaald.
Paragraaf 3.3 sluit af met een samenvatting en een conclusie.
3.1. Probleeminventarisatie
De opsomming in dit hoofdstuk is tot stand gekomen door middel van de volgende bronnen:
1. de nieuwe standaarden uit 2009 (IPPF, 2009),
2. diverse literatuur; zoals Armanas 2007 (zie literatuurlijst in bijlage VII),
3. interviews met betrokkenen, zoals de voorzitter van het College voor Kwaliteitstoetsing, en hoofden van
kleine audit afdelingen van Kender Thijssen, de Staatsloterij, de Nederlandsche Waterschapsbank en
Insinger de Beaufort. In bijlage II zijn de interviewvragen opgenomen,
4. een werkdocument van een lokale IIA NL PAS (Professional Audit Solisten)-werkgroep die zowel uit
bestuursleden van het IIA als uit hoofden van kleine audit afdelingen (PAS, 2008) bestaat, en tenslotte
5. eigen inzicht verkregen toen ik werkzaam was als auditor in twee kleine audit afdelingen.
Om reden van privacy zijn de resultaten afkomstig uit de interviews en uit mijn eigen ervaring vertrouwelijk
behandeld en anoniem verwerkt. Hieronder volgt een inventarisatie van de gevonden problemen met
bronverwijzing. Deze heeft niet de pretentie volledig te zijn noch dat alle problemen alleen voor kleine audit
afdelingen gelden.
Algemeen Probleem Bron
1 De kosten/tijd. Kleine afdelingen hebben vaak kleine budgetten. Daardoor hebben de
auditors het te druk met het realiseren van het audit jaarplan. Het
aantrekken van extra budget voor vaktechniek en het uitvoeren van een
externe kwaliteitstoetsing is moeilijk.
Armanas,
2007, p.57.
Interview.
2 Weerstand tegen
verandering. Ervaren auditoren achten hun methoden bewezen. Zij zijn terughoudend
om te veranderen, alleen maar omdat een aantal standaarden hen
voorschrijven dat dit nodig is.
Armanas,
2007, p.57.
Auteur.
3 Gebrek aan bestraffende
maatregelen/sancties. De standaarden geven een indicatie dat iedere audit afdeling iedere vijf
jaar getoetst moet worden; er is echter geen boete gedefinieerd als men
deze niet naleeft.
IPPF, 2009.
Armanas,
2007, p.57.
4 Gebrek aan capaciteit.
Percepties van
ontoereikendheid van het
afdekken van het gebied
dat onder de activiteiten
van de audit afdeling valt.
Het aantal audits, de vaardigheid om technische audits uit te voeren, en
het niveau van procedurele detaillering alsook het leveren van
ondersteunende diensten zouden hetzelfde zijn als bij grotere afdelingen.
Men vraagt zich af of hetzelfde bereik verwacht wordt van kleine audit
afdelingen.
Armanas,
2007, p.57.
O’Regan,
2002, p2/3.
Auteur.
5 Gebrek aan een omgeving
die bevorderlijk is voor
wederzijdse
geruststelling, inspiratie
en leren.
Auditoren in kleine audit afdelingen werken (zeker als éénpitter) in een
isolement, zonder het voordeel van het uitwisselen van ideeën zoals in
grotere audit afdelingen. Een verbetercultuur ontbreekt vaak.
O’Regan,
2002, p4.
Armanas,
2007.
In lijn met de BPI-methode is in het vorige hoofdstuk het proces voor kwaliteitsbeheersing bij de kleine audit
afdeling beschreven (‘TO – BE’ procesbeschrijving in par. 2.2.). Vervolgens is het noodzakelijk om de
problemen en/of knelpunten in het ‘AS-IS’proces in kaart te brengen. Dit wordt gedaan in termen van logica
van het procesverloop, prestaties van het proces, ondersteunende systemen en uitvoerende organisatie–
eenheden. Hieruit kunnen procesverbeteringen worden aanbevolen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 20 van 54
Nr. Attribute Standards Probleem
1000 Purpose, Authority,
and Responsibility
Er zijn veel veranderingen bij een kleine interne audit afdeling
waardoor het Audit Charter elk jaar bijgewerkt moet worden met de
richting die de interne audit afdeling opgaat in de volgende drie jaar.
PAS, 2008.
Auteur.
1100 Independence and
Objectivity
De onafhankelijkheid blijkt niet uit de hiërarchische positie. De
standaarden schrijven voor dat de interne audit afdeling direct toegang
heeft tot het senior management en de directie. De kleine audit
afdeling rapporteert niet altijd aan de CEO maar aan de CFO of
controller. De organisatie werkt soms niet mee aan een duale
rapportagelijn waaronder één functionele en één escalatielijn.
PAS, 2008.
Interview.
Auteur.
1130 Impairment to
Independence or
Objectivity
Naast het uitvoeren van audits verricht de kleine audit afdeling ook
werkzaamheden met betrekking tot beleidsvorming en het opstellen
van procedures voor andere bedrijfsonderdelen, het implementeren
van risicomanagement en compliance activiteiten in de organisatie. Er
is onvoldoende prioriteitstelling.
PAS, 2008.
Interview.
Auteur.
Rondetafel
PAS,
dec.2008.
1200
Proficiency and Due
Professional Care
Kleine audit afdelingen hebben moeite om aan personeel te komen en
kunnen zich niet veroorloven de verkeerde medewerkers aan te nemen
die bijvoorbeeld geen zelfstarter zijn, teveel op compliance gericht of
teveel specialist zijn.
Stanek
2008.
1210 Proficiency:
1210.A1 Outsourcing
1210.A3 IT Knowledge
Kleine audit afdelingen hebben veelal geen analyse gemaakt van de
outsourcing alternatieven.
Kleine audit afdelingen maken veelal geen gebruik van computer
assisted audit tools en data-analysetechnieken.
PAS, 2008
IIA Paper
Outsourcin
g, 2009.
Auteur.
1220.A3
Riskmanagement
Kleine interne audit afdelingen kunnen niet garanderen dat alle
significante risico’s geïdentificeerd worden.
PAS, 2008.
Auteur.
1300
Quality Assurance and
Improvement Program
Kleine audit afdelingen hebben veelal geen vastgelegd en
gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking
vindt veelal informeel plaats. De rapportage van de interne toetsing
ontbreekt.
PAS, 2008.
Auteur.
Tilman,
2007.
Nr. Performance
Standards
2000
Managing the Internal
Audit Activity
Kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit
plan en opereren veelal op basis van behoefte van management,
rekening houdend met de beschikbare capaciteit. Vaak ontstaat
gedurende het jaar een capaciteitsprobleem. De personele wisseling
heeft direct invloed op de realisatie van het audit jaarplan.
PAS, 2008.
Auteur.
2040 Policies and
Procedures
Kleine audit afdelingen proberen vaak op grote afdelingen te lijken.
Ze hebben teveel handleidingen en formulieren, teveel vergaderingen,
teveel beoordelingen en ze schrijven teveel rapporten.
Stanek,
2008.
Interview.
2100 Nature of Work Geen.
2200 Engagement Planning Geen.
2300
Performing the
Engagement
2320 Analysis and
Evaluation
Kleine afdelingen hebben vaak geen beleid betreffende bewaking,
handhaving en interne/externe verspreiding van opdrachtdossiers en
het ontbreekt aan inputmateriaal voor het uitvoeren van een
zelfevaluatie. Kleine interne audit afdelingen korten de ‘audit stappen’
in en voeren de evaluatie niet uit.
PAS, 2008.
Stanek,
2008. Auteur.
2340: Engagement
Supervision
Een éénpitter heeft geen surveillance betreffende de te bereiken
doelen, kwaliteitsverzekering en de eigen professionele ontwikkeling.
PAS, 2008.
Auteur.
2400
Communicating
Results
Kleine afdelingen promoten slecht wat hun toegevoegde waarde is
voor de organisatie.
Stanek
2008.
2500 Monitoring Progress Geen.
2600 Resolution of Management’s Acceptance of Risks
Geen.
Tabel 2: problemen van de kleine audit afdeling met de standaarden.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 21 van 54
3.2. Probleemanalyse De probleemanalyse bestaat uit twee onderdelen. Eerst worden in subparagraaf 3.2.1 de geconstateerde
problemen ingedeeld in het proces van kwaliteitsbeheersing. Vervolgens wordt in subparagraaf 3.2.2 de
prestatiekloof zichtbaar gemaakt tussen de huidige en de gewenste prestatie. Tot slot worden de problemen die
specifiek zijn voor de kleine audit afdeling gefilterd uit de totale lijst aan problemen in subparagraaf 3.2.3. De
informatie verkregen door interviews is hier anoniem verwerkt. De selectiecriteria van geïnterviewden zijn onder
andere: omvang van de afdeling ligt tussen de 1-5 FTE, de genoten opleiding betreft RA, RO, RE, en de afdeling
was getoetst door het IIA Nederland. Deze werkwijze maakt het onderzoek betrouwbaarder.
3.2.1 Indeling van de problemen in het proces
De problemen worden ingedeeld naar het hele proces en naar de afzonderlijke processtappen.
Problemen ten aanzien van het gehele proces van kwaliteitsbeheersing:
1. de kleine audit afdeling heeft veelal een klein budget dat schommelingen in de vraag naar audit diensten
en het aanbod van auditors die de audit diensten leveren, slecht opvangt,
2. de kleine audit afdeling heeft veelal geen beschrijving van het kwaliteitsbeheersingproces (p.2.2.) en/of
een vastgelegd en gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking vindt veelal
informeel plaats. Hierdoor ontbreekt het aan een beleidskader dat nodig is voor het uitvoeren van een
zelfevaluatie door het hoofd van de kleine audit afdeling,
3. de kleine interne audit afdeling kan vaak geen of onvoldoende redenen aangeven wat de oorzaak is
waarom zij voldoet, gedeeltelijk voldoet of niet voldoet aan de Definitie van Internal Auditing, de
‘Code of Ethics’ en de Standaarden. Hierdoor kan zij geen verbeteracties vaststellen en uitvoeren,
4. de prestatie van de afdeling wordt niet zichtbaar gemaakt, waardoor zij wellicht wel aan een
kwaliteitsstandaard voldoet maar (doordat een bewijs of vastlegging ontbreekt) toch een onvoldoende
voor die standaard krijgt,
5. een kleine audit afdeling mist de omvang van een organisatie eenheid/sectie die zorg draagt voor
vaktechniek waar ‘Best Practices’ uitgewerkt kunnen worden,
6. het ontbreekt vaak aan een verbetercultuur en plichtsbesef bij het hoofd van de audit afdeling om
verantwoording af te leggen over het stelsel van kwaliteitsbeheersing binnen de afdeling.
De problemen per processtap:
Processtap 1: Opzetten van een stelsel van kwaliteitsbeheersing
1. het Audit Charter is vaak niet volledig,
2. kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit plan,
3. de onafhankelijkheid blijkt niet uit de hiërarchische positionering. De standaarden schrijven voor dat de
interne audit afdeling direct toegang heeft tot senior management en de directie. De kleine audit
afdeling rapporteert niet altijd aan de CEO maar aan de CFO of controller. De organisatie werkt soms
niet mee aan een duale (escalatie) rapportagelijn,
4. de kleine audit afdeling verricht naast het uitvoeren van audits vaak ook werkzaamheden met
betrekking tot beleidsvorming en het opstellen van procedures, het implementeren van
risicomanagement en compliance activiteiten in de organisatie.
5. kleine audit afdelingen hebben moeite om aan het juiste personeel te komen,
Met behulp van de BPI-methodologie worden de bovenstaande problemen ‘gemapped’ op het proces van
kwaliteitsbeheersing uit paragraaf 2.2. Hierdoor wordt het duidelijk waar de problemen zich voordoen en of
er een prestatiekloof bestaat tussen de huidige en gewenste resultaten.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 22 van 54
6. kleine audit afdelingen hebben veelal geen analyse gemaakt van de outsourcing alternatieven en maken
veelal geen gebruik van computer assisted audit tools en data-analysetechnieken,
7. kleine interne audit afdelingen hebben vaak geen beleid over bewaking, handhaving en interne/externe
verspreiding van opdrachtdossiers.
Processtap 2: Implementeren van een stelsel van kwaliteitsbeheersing
1. kleine interne audit afdelingen kunnen niet garanderen dat alle significante risico’s geïdentificeerd
worden,
2. kleine audit afdelingen proberen vaak op grote afdelingen te lijken. Ze hebben teveel handleidingen en
formulieren, teveel vergaderingen, teveel beoordelingen en schrijven teveel rapporten,
3. kleine audit afdelingen opereren veelal ad hoc, op basis van behoefte van management, rekening
houdend met de beschikbare capaciteit. Vaak ontstaat gedurende het jaar een capaciteitsprobleem;
personele wisselingen hebben direct invloed op de realisatie van het audit jaarplan,
4. kleine interne audit afdelingen korten de ‘audit stappen’ in en voeren de evaluatiefase niet uit.
Processtap 3: Zelfevalueren van een stelsel van kwaliteitsbeheersing
1. een éénpitter heeft geen surveillance betreffende de te bereiken doelen, kwaliteitsverzekering en het
beoordelen van de eigen professionele ontwikkeling,
2. kleine audit afdelingen evalueren het stelsel van kwaliteitsbeheersing onvoldoende.
Processtap 4: Bijsturen van een stelsel van kwaliteitsbeheersing
1. er vinden veel veranderingen plaats bij een kleine interne audit afdeling maar het Audit Charter wordt
niet elk jaar bijgewerkt. Vaak ontbreekt de richting die de interne audit afdeling opgaat in de volgende
drie jaar.
2. het ontbreekt vaak aan input materiaal voor het genereren van management informatie om bij te sturen.
Opmerkelijk is dat bij deze ‘mapping’ de meeste problemen zich vooral voordoen bij de eerste stap in het proces;
het opzetten van het stelsel van kwaliteitsbeheersing. Of zoals een respondent in een interview het zegt: “Het
grootste probleem is de tijd die je kwijt bent aan de professionaliseringsslag”. Het nalaten van het opzetten van
de maatregelen heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. Een
verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van
het proces van kwaliteitsbeheersing.
3.2.2. Prestatiekloof
Zoals uit hoofdstuk 2 bleek, dient het resultaat van de inspanningen van de audit afdeling een stelsel van
kwaliteitsbeheersing te zijn dat voldoet aan de IIA-standaarden, waarbij zelfevaluatie en de criteria de
aangeboden IIA-hulpmiddelen zijn om het gewenste resultaat te bereiken. Zoals in Stap 3 van par. 2.2 is
beschreven, wordt Tool 19 in het zelfevaluatieproces als onderdeel van de planning gebruikt om een algemene
beoordeling te maken van de naleving van de standaarden. Hierin worden Key Conformance Criteria en een
lange lijst met voorbeelden van bewijs als begeleiding gegeven. Ieder Key Conformance Criteria (KCI’s) dat niet
behaald wordt levert een waardering ‘Voldoet Niet’ op of op zijn minst ‘Voldoet maar is Voor Verbetering
Vatbaar’. Deze KCI’s worden als norm gehanteerd in de volgende beschrijving van de prestatiekloof tussen het
huidige en het gewenste resultaat van het proces van kwaliteitsbeheersing. Hieronder volgt een overzicht van een
prestatiekloof op algemeen niveau en per standaard.
Algemeen Probleem Norm
1 De kosten/tijd. Kleine afdelingen hebben vaak kleine
budgetten. Daardoor hebben de auditors
KCI van standaard 1100: Er zijn geen
beperkingen aan de omvang, de middelen
De eerste stap is het beschrijven van het gewenste proces (zie: p.13). De tweede stap in de Spelmethode is
het beschrijven van de huidige situatie (‘AS – IS’ procesbeschrijving). Vervolgens wordt de kloof
beschreven tussen het huidige en het gewenste resultaat. Tot slot worden de specifieke problemen die alleen
opgaan voor het onderzoeksobject gefilterd uit de totale lijst aan problemen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 23 van 54
het te druk met het realiseren van het
audit jaarplan. Het aantrekken van extra
budget voor het uitvoeren van een externe
kwaliteitstoetsing is moeilijk.
waaronder de beschikbare tijd, geld en mensen,
en de toegang van de interne audit activiteiten.
2 Weerstand tegen
verandering. Ervaren auditoren achten hun methoden
bewezen. Zij zijn terughoudend om te
veranderen, alleen omdat een aantal
standaarden hen voorschrijven dat dit nodig
is.
Niet specifiek voor een kleine audit afdeling. KCI
van standaard 1200 Auditors krijgen een
specifieke opleiding op basis van het collectieve
opleidingsplan met analyse van behoefte aan
personeel.
3 Gebrek aan
bestraffende
maatregelen.
De standaarden geven een indicatie dat
iedere audit afdeling iedere vijf jaar getoetst
moet worden, er is echter geen boete
gedefinieerd als men deze niet naleeft.
Niet specifiek voor een kleine audit afdeling. De
gediplomeerde verantwoordelijke internal auditor
valt onder het IIA-reglement art 2: .. zorgt dat de
interne audit functie beschikt over een stelsel van
kwaliteitsbeheersing dat voldoet aan in Nederland
algemeen aanvaarde normen voor de
beroepsuitoefening.
4 Gebrek aan
capaciteit.
Percepties van
ontoereikendheid
van het afdekken
van het gebied
dat onder de
activiteiten van
de audit afdeling
valt.
Het aantal audits, de vaardigheid om
technische audits uit te voeren, en het
niveau van procedurele detaillering alsook
het leveren van ondersteunende diensten
zouden vergeleken worden met grotere
afdelingen. Men vraagt zich af of hetzelfde
bereik verwacht wordt van kleine audit
afdelingen? Er is geen ruimte voor
vaktechniek.
Niet specifiek voor een kleine audit afdeling. KCI
van standaard 1100: Er zijn geen beperkingen
aan de omvang, de middelen, en de toegang
van de interne audit activiteiten.
5 Gebrek aan een
omgeving die
bevorderlijk is
voor wederzijdse
geruststelling,
inspiratie en
leren.
Auditoren in kleine audit afdelingen werken
(zeker als éénpitter) in een isolement,
zonder het voordeel van het uitwisselen van
ideeën zoals in grotere audit afdelingen. Er
wordt niet of nauwelijks aan werkgroepen
deelgenomen waardoor een verbetercultuur
vaak ontbreekt.
KCI van standaard 1200: Prestaties van het
personeel worden beoordeeld op een regelmatige
basis en de gebruikte criteria zijn voldoende en
geschikt voor de behoeften van de afdeling.
Nr. Attribute Standards Probleem Norm/Standaard/PA/KCI
1000 Purpose,
Authority, and
Responsibility
Veel veranderingen bij een kleine interne
audit afdeling waardoor het Audit
Charter elk jaar een update nodig heeft
van de richting die de interne audit
afdeling opgaat in de volgende drie jaar.
De directie heeft een doelstelling met
internal audit die niet overeenkomt met
de doelstelling in de definitie van het
IIA.
Er is een Audit Charter (handvest) met doel,
autoriteit en verantwoordelijkheden van de
interne audit afdeling.
Het Audit Charter is goedgekeurd door de
directie.
1100 Independence
and Objectivity
De onafhankelijkheid blijkt niet uit de
hiërarchische positie. De standaarden
schrijven voor dat de interne audit
afdeling direct toegang heeft tot senior
management en de directie. De kleine
audit afdeling rapporteert niet altijd aan
de CEO maar aan de CFO of controller.
De organisatie werkt soms niet mee aan
een duale rapportagelijn (incl. escalatie).
Het hoofd van de audit afdeling rapporteert tot
een niveau in de organisatie dat toereikend is om
zijn of haar taken te kunnen vervullen.
Elke rapportagerelatie (administratief, escalatie of
totaal) aan het management doet geen afbreuk aan
de verantwoordelijkheid van de Chief Audit
Executive (CAE) aan de raad.
Er zijn geen beperkingen aan de omvang, de
middelen, en de toegang van de interne audit
activiteiten.
1130
Impairment to
Independence or
Objectivity
De kleine audit afdeling verricht naast
het uitvoeren van audits vaak ook
vorming van beleid en procedures, het
implementeren van risicomanagement en
compliance activiteiten in de organisatie.
Auditors zijn zich ervan bewust om echte of
vermoedelijke belangenconflicten te
rapporteren zodra de conflicten zich voordoen.
De opdrachten van auditoren houden rekening
met vroegere werkzaamheden.
1200
Proficiency and
Due
Professional
Kleine audit afdelingen hebben moeite
om aan personeel te komen en kunnen
zich niet veroorloven de verkeerde
medewerkers aan te nemen die
Auditors krijgen een specifieke opleiding op basis
van het collectieve opleidingsplan met analyse
van personeelbehoeften.
Prestaties van het personeel worden beoordeeld
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 24 van 54
Care bijvoorbeeld geen zelfstarter, teveel op
compliance gericht of teveel specialist
zijn.
op een regelmatige basis en de gebruikte criteria
zijn voldoende en geschikt voor de behoeften van
de afdeling.
1210 Proficiency:
1210.A1
Outsourcing
1210.A3 IT
Knowledge
Kleine audit afdelingen hebben veelal
geen analyse gemaakt van de
outsourcing alternatieven.
Kleine audit afdelingen maken veelal
geen gebruik van computer assisted audit
tools en data-analysetechnieken.
Wanneer vaardigheden ontbreken, zal het hoofd
hulp inroepen.
Auditors hebben een fraudeopleiding of
bekwaamheid in de identificatie van fraude-
indicatoren. Auditors hebben een opleiding van
IT-concepten en computer aided audit tools.
1220.A3
Riskmngt.
Kleine interne audit afdelingen kunnen
niet garanderen dat alle significante
risico’s geïdentificeerd worden.
Wanneer vaardigheden ontbreken, roept de CAE
(Chief Audit Executive) bijstand in of geeft de
opdracht terug.
1300
Quality
Assurance and
Improvement
Program
Kleine audit afdelingen hebben veelal
geen vastgelegd en gedocumenteerd
kwaliteitsprogramma (QAIP).
Kwaliteitsbewaking vindt veelal
informeel plaats. De rapportage van de
interne toetsing ontbreekt.
De interne audit activiteit heeft een proces te
bewaken en de algemene effectiviteit van het
programma en de kwaliteit te beoordelen.
Nr. Performance Standards
2000
Managing the
Internal Audit
Activity
Kleine interne audit afdelingen hebben
veelal geen ‘risk based’ audit plan en
opereren veelal op basis van behoefte
van management, rekening houdend met
de beschikbare capaciteit. Vaak ontstaat
gedurende het jaar een
capaciteitsprobleem. De personele
wisseling heeft direct invloed op de
realisatie van het audit jaarplan.
De CAE heeft op risico's gebaseerde plannen
vastgesteld in overleg met de directie en het
senior management. Waar het van toepassing is
zijn consulting opdrachten in het jaarlijkse
auditplan opgenomen.
2040 Policies and
Procedures
Kleine audit afdelingen proberen vaak op
grote afdelingen te lijken. Ze hebben
teveel handleidingen en formulieren,
teveel vergaderingen, teveel
beoordelingen en ze schrijven teveel
rapporten.
PA 2040 (zie p.11) een kleine audit afdeling
mag informeel georganiseerd worden en
formele administratieve en technische
procedure handboeken zijn niet nodig.
2100 Nature of Work Geen. N.v.t.
2200 Engagement
Planning
Geen. N.v.t.
2300
Performing the
Engagement
2320 Analysis
and Evaluation
Kleine interne audit afdelingen korten
audit stappen en evaluatie in. Zij hebben
vaak geen beleid over bewaking,
handhaving en interne/externe
verspreiding van opdrachtdossiers en het
ontbreekt aan input materiaal voor het
uitvoeren van een zelfevaluatie.
Werkdocumenten omvatten alle relevante
informatie om de doelstellingen te bereiken.
2340:
Engagement
Supervision
Een éénpitter heeft geen surveillance
betreffende de te bereiken doelen,
kwaliteitsverzekering en de eigen
professionele ontwikkeling.
Er is bewijs dat opdrachten onder juiste
supervisie uitgevoerd worden, de kwaliteit
gegarandeerd is en het personeel zich
ontwikkelt.
2400
Communicating
Results
Kleine afdelingen promoten slecht wat
hun toegevoegde waarde is voor de
organisatie.
Er is bewijs van passende, tijdige communicatie
met het management. Een algemene opinie of
conclusie is opgenomen in het auditrapport.
Communicatie buiten de organisatie is beperkt in
verspreiding en in het gebruik van de resultaten.
Er zijn aanwijzingen van vooruitgang en
resultaten op adviesopdrachten die redelijk zijn
voor de betrokken managers.
2500 Monitoring progress Geen. N.v.t.
2600 Resolution of Management’s Acceptance of Risks Geen. N.v.t.
Tabel 3: prestatiekloof tussen de huidige en de gewenste resultaten
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 25 van 54
Uit bovenstaande tabel blijkt dat er bij meerdere standaarden een prestatiekloof bestaat tussen de huidige en de
gewenste resultaten. Ook blijken van de algemene problemen er maar twee specifiek voor de kleine audit
afdeling te gelden, namelijk het budgetprobleem en de surveillance van de éénpitter. Een korte opsomming van
de problemen met de grootste prestatiekloof die specifiek voor de kleine audit afdeling gelden:
1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren
van de werkzaamheden tussen directie en de definitie van internal auditing die een grotere impact
hebben bij kleine dan bij grotere afdelingen,
2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben
een grotere impact bij kleine dan bij grotere afdelingen,
3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en
de ontbrekende kennis of vaardigheden worden niet opgevangen door alternatieven zoals insourcing of
ondersteunende systemen,
4. kleine audit afdelingen hebben veelal geen vastgelegde bewaking van het kwaliteitsbeheersingsproces
en geen monitoring van de effectiviteit van het proces,
5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is.
6. audit stappen worden ingekort en het ontbreekt aan stuurinformatie vanuit evaluatiewerkzaamheden.
7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd,
8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de
organisatie dan grotere afdelingen.
Tot slot van deze paragraaf enkele opmerkingen die voort zijn gekomen uit de interviews met enkele hoofden
van getoetste kleine audit afdelingen. De genoemde problemen liggen bijna allemaal binnen de invloedssfeer van
de verantwoordelijke auditor. Er zijn echter twee uitzonderingen genoteerd, namelijk de onafhankelijkheid en de
tijdsdruk.
Uitzondering op de regel dat de auditor de problemen kan beïnvloeden is de onafhankelijkheid van de
verantwoordelijke auditor welke in hoge mate wordt bepaald door de organisatie waarin deze opereert. Of zoals
een respondent in een interview het zegt: “De directie heeft mij in dienst genomen om de efficiency van de
organisatie te beoordelen en vond het niet nodig alles vast te leggen. De directie wilde vooral dat de vraag “zijn
we in control?” beantwoord zien”, en: “De directie vond de kosten van de externe toetsing niet in verhouding
staan tot het beschikbare budget”.
De tweede uitzondering op deze regel is tot slot de tijdsdruk bij het uitvoeren van audits. Zoals een respondent
zegt: “De achillespees van kleine audit afdelingen zijn de werkprogramma’s, de vastleggingen, de bepaling van
de ‘sample size’ en de strakke procedure voor de opvolging van de audit bevindingen”. Onder tijdsdruk wordt er
vaak geen ‘audit trail’ gelegd tussen rapport en dossier.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 26 van 54
3.3. Samenvatting en conclusie
Antwoord op deelvraag 2. Welke praktische problemen kleine audit afdelingen ondervinden in hun streven om aan de
eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces van
kwaliteitsbeheersing?
Resultaat van dit hoofdstuk is een opsomming per standaard van de praktische problemen die kleine audit afdelingen
ondervinden bij het naleven van de standaarden. De problemen worden vanuit verschillende invalshoeken
onderzocht, namelijk in termen van logica van het procesverloop en de prestatiekloof tussen het huidige en het
gewenste resultaat van het proces. Informatie uit interviews wordt gebruikt om het onderzoek betrouwbaarder te
maken. De opsomming van problemen:
1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren van
de werkzaamheden tussen directie en de definitie van internal auditing. Dit verschil heeft een grotere impact
bij kleine dan bij grotere afdelingen,
2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben een
grotere impact bij kleine dan bij grotere afdelingen,
3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en de
ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals
insourcing of ondersteunende systemen,
4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het kwaliteits-
beheersingsproces en geen monitoring van de effectiviteit van het proces,
5. de kleine audit afdeling is vaak informeel georganiseerd, waardoor er weinig vastgelegd is,
6. audit stappen worden onder tijdsdruk ingekort en daardoor ontbreekt het vaak aan stuurinformatie en audit
trail vanuit de evaluatiewerkzaamheden,
7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd.
8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de
organisatie, dan grotere afdelingen,
9. de organisatie en de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij grotere
audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor.
Verder is geconstateerd dat de meeste problemen zich vooral voordoen bij de eerste stap in het proces, namelijk het
opzetten van het stelsel van kwaliteitsbeheersing. Het betreft de professionaliseringsslag naar het gewenste
kwaliteitsniveau en de borging ervan op het moment dat men voldoet aan de standaarden. Het nalaten van een
professionaliseringsslag heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt.
Een verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van
het gehele proces van kwaliteitsbeheersing.
Deze problemen en constateringen worden meegenomen bij het verdere onderzoek naar de oplossingen die geboden
kunnen worden voor de gevonden problemen, en het schrijven van het projectplan.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 27 van 54
Hoofdstuk 4. Een pragmatische aanpak Dit hoofdstuk beantwoordt de vraag welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de
kleine audit afdeling te mitigeren of op te heffen. In paragraaf 4.1. worden de bevindingen ten aanzien van de
beperkingen beschreven aan de hand van de probleemanalyse uit het vorige hoofdstuk. In paragraaf 4.2. worden
vanuit deze bevindingen verbeteracties gegenereerd en worden de acties tot enkele verbeterprojecten gebundeld.
Paragraaf 4.3 sluit af met een samenvatting en een conclusie.
4.1. Bevindingen
Om tot bevindingen te komen is het belangrijk dat in het vorige hoofdstuk duidelijk is geworden wat precies de
problemen ten aanzien van de beperkingen in middelen en menskracht zijn, wat de risico’s van het niet naleven
van de standaarden zijn (waarom het een probleem is), wat de oorzaak van de problemen specifiek bij de kleine
audit afdeling zijn (wat of wie kan invloed uitoefenen om verandering te brengen). Met deze bevindingen kan
naar verbeteringen gezocht worden en kunnen aanbevelingen gedaan worden.
Bevinding 1. Onvoldoende professionalisering van de kleine audit afdeling
Uit de analyse blijkt dat auditoren werkzaam in een kleine audit afdeling, vaker dan in een grotere afdeling, geen
helder beeld hebben van de doelstelling die de organisatie met de interne audit afdeling heeft. De eigenschappen
die een audit afdeling en auditoren moeten hebben om kwalitatief goede audit diensten te leveren (Attribute
Standards) zijn onvoldoende geborgd. Er wordt te weinig aandacht besteed aan het opzetten van maatregelen
voor kwaliteitsbeheersing en de onafhankelijkheidseis komt in het geding als de directie de kleine audit functie
alleen gebruikt om haar ‘in control’-verklaring op te bouwen. Er is dan sprake van objectieve verhindering,
waardoor de audit functie niet toekomt aan het eigenlijke werk zoals in de IIA-definitie van internal auditing
verwoord is. Het risico van objectieve verhindering in het opbouwen van een kwaliteitsbeheersingsproces is dat
er geen professionalisering en borging van het proces binnen de audit functie plaatsvindt, dat de procesgang met
de PLAN, DO, CHECK, ACT-cycle verstoord is en het gevolg is dat de prestatie onvoldoende is om te voldoen
aan de normen van de beroepsgroep. De oorzaak ligt in een beperking in de positionering van de kleine audit
afdeling door middel van het definiëren van haar doel, autoriteit, verantwoordelijkheden en rapportagelijn in het
Audit Charter en het ontbreken van een projectaanpak voor de professionaliseringsslag ter ondersteuning van het
hoofd van de kleine audit afdeling.
Bevinding 2. Teveel schommelingen in budget, activiteiten, menskracht en kwaliteitsprogramma
Uit de analyse blijkt dat de kosten van de afdeling moeilijk te managen zijn in verhouding tot grotere afdelingen.
Vaak zijn de activiteiten van de afdeling moeilijk te begroten omdat niet helder is hoeveel tijd en geld nodig is.
Tevens hebben personele wisselingen een grotere impact op een kleine afdeling in vergelijking met een grotere
afdeling. Het risico is dat binnen de kleine afdeling de kerntaak (uitvoeren van de audits in het auditjaarplan) en
de ad hoc verzoeken prioriteit krijgen boven het werken aan het beheersen van kwaliteit. De oorzaak ligt in het
beperkte gebruik van alternatieve middelen om geld en menskracht zo optimaal (efficiënt/effectief) mogelijk in
te zetten; dit betreft de manieren om de schommelingen in het budget, de activiteiten, menskracht en
kwaliteitsprogramma (de processtap: opzetten van stelsel van kwaliteitsmaatregelen) op te vangen.
De tweede stap in de BPI-methode (‘AS IS’) eindigt met een probleemanalyse waaruit vervolgens
bevindingen opgesteld kunnen worden. Uit de bevindingen blijkt ‘waarom’ het een probleem is en ‘van wie’
het probleem is. Daaruit worden vervolgens verbeteracties gegenereerd die tot enkele verbeterprojecten
gebundeld worden.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 28 van 54
Bevinding 3 Onvoldoende informatie voor het maken van een zelfevaluatie
Uit de analyse blijkt dat informatie voor het maken van een zelfevaluatie ontbreekt. De informatiebronnen, waar
de belangrijkste indicators voor het naleven van de standaarden te vinden zijn, ontbreken. Het risico is dat de
motivatie, die het hoofd van de audit afdeling verplicht is te schrijven voordat er een toetsing plaatsvindt,
onvoldoende is, omdat:
1. de opzet en werking van de maatregelen voor kwaliteitsbeheersing vaak niet op één lijn gebracht worden
met elkaar,
2. er weinig wordt nagedacht over kwaliteitsbeheersing en/of men dat niet zichtbaar maakt,
3. wanneer er niet voldaan kan worden aan de standaarden en een alternatief gemotiveerd wordt, dat dan niet
bewezen kan worden,
4. er geen afweging gemaakt kan worden wanneer bijvoorbeeld substandaarden ‘partly conform’ en de hele
standaard dan toch ‘conform’ scoort.
De oorzaak voor het onvoldoende verkrijgen van informatie voor zelfevaluatie ligt in:
1. het niet of informeel evalueren van uitgevoerde auditprojecten,
2. het niet of nauwelijks deelnemen aan lokale IIA-werkgroepen, waardoor van andere
kleine audit afdelingen onvoldoende geleerd kan worden,
3. het ontbreken van een inventarisatie van de informatiebehoefte van het hoofd van de
kleine audit afdeling.
Het gevolg is dat:
a. de oordeelsvorming niet met feiten en bronverwijzingen onderbouwd kan worden,
b. te lang gewacht wordt om de selectiecriteria te definiëren waaraan een interne toetser of een
‘peer reviewer’ dient te voldoen om het interne evaluatieproces te beoordelen,
a. kwaliteitscontroles op audit documentatie niet uitgevoerd kunnen worden,
b. de audits niet geëvalueerd worden waardoor geen verbeteracties opgezet kunnen worden.
Hierdoor krijgt het hoofd onvoldoende feedback en input om een zelfevaluatie te maken.
Bevinding 4 Ontbreken van een geschikt functieprofiel
Uit de analyse blijkt dat niet iedere auditor geschikt is om in een kleine audit afdeling te werken. Werken in een
kleine audit afdeling vormt een uitdaging voor iemand met een brede achtergrond, die tussen verschillende
niveaus kan schakelen. Zonder al te veel tijd kwijt te zijn aan bureaucratie schakelt een auditor in een kleine
afdeling tussen meer vloeiende en flexibele structuren en plattere rapportagelijnen. Ook zitten de individuele
auditors dichter bij het senior management. Het risico is dat een auditor die de ervaring of expertise mist niet kan
bijdragen aan een efficiënte procesgang van kwaliteitsbeheersing. Het gevolg is dat een verbetercultuur
ontbreekt en niet aan de eisen voldaan wordt. De oorzaak is een beperkte slagkracht door het ontbreken van een
op maat gesneden functieprofiel van de auditor met succesvolle personeelskenmerken voor de kleine audit
afdeling zoals: allrounder, zelfstarter, schakelt gemakkelijk tussen verschillende organisatieniveaus, bewust van
de toegevoegde waarde van kwaliteitsbeheersing en veranderingsgezind.
4.2. Verbeteracties
Volgens de Spelmethode dienen nu vanuit de bevindingen ideeën gegenereerd te worden voor het vergroten
van de efficiency (doelmatigheid, met dezelfde middelen meer doen) en de effectiviteit (mate van
doeltreffendheid of de juiste dingen doen) van het proces. Vragen die helpen om tot verbetervoorstellen te
komen: is het totale proces logisch opgebouwd, zijn de processtappen goed ingericht, is de kwaliteit en
ondersteuning van de IT voldoende?
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 29 van 54
Om tot oplossingen te komen worden verbeteracties gegenereerd voor het vergroten van de efficiency en de
effectiviteit van het totale proces van kwaliteitsbeheersing, en daaruit kan bepaald worden welke
beheersingsmaatregelen genomen moeten worden.
Aanbeveling 1 afstemming van de doelstelling tussen verantwoordelijke auditor en management
Vanuit bevinding 1 komt de aanbeveling om de doelstelling of ambitie die de organisatie met de audit functie
heeft te achterhalen. Vervolgens dient het hoofd van de audit afdeling deze doelstelling of ambitie te aanvaarden.
Als dit is bereikt kan de organisatie van de audit afdeling beschreven worden met onder andere: een beschrijving
van het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en de administratieve organisatie
daarbinnen. Aan deze beschrijving worden de volgende minimale eisen gesteld, ten aanzien van:
1. welke gegevens,
2. door wie vastgelegd worden,
3. in welk bestand,
4. welke interne beheersingsmaatregelen hierin opgenomen zijn,
5. welke kwaliteitscontroles uitgevoerd worden die gericht zijn op de uitkomsten van het proces.
In bijlage III is een voorbeeld van een AO/IC-beschrijving opgenomen waaruit duidelijk wordt ‘wie’
verantwoording ‘waarover’ aflegt. De beheersingsmaatregel hier is het maken van een op maat gesneden AO/IC-
beschrijving voor de specifieke situatie van de kleine audit afdeling.
Aanbeveling 2 ontwikkel alternatieve middelen om de schommelingen op te vangen
Vanuit bevinding 2 komt de aanbeveling om alternatieve middelen te ontwikkelen om het hoofd van de kleine
audit afdeling te ondersteunen. De ‘Best Practices’ dienen om schommelingen op te vangen:
1. in het budget (halfjaarlijks/ kwartaal of rollende begroting). De volgende posten dienen begroot en
goedgekeurd te worden door de directie:
a. de audits in het audit jaarplan,
b. kostenpost ‘ad hoc aanvragen’ opnemen,
c. de audit tools, in te huren bij de externe accountant,
d. procedure ‘extra budget aanvragen’ voor de tekorten in het audit plan,
2. in de activiteiten (‘risk based’ audit plan):
a. strategische risicoanalyse gebruiken voor selecteren van audits en andere onderzoeksobjecten,
b. als er geen risicomanagementsysteem beschikbaar is binnen de organisatie dan dient de kleine interne
audit afdeling de sessies Strategisch Risico Management (SRM) te faciliteren. Het doel is de balans
tussen risico en controle te vinden voor een effectieve en efficiënte inzet van internal audit capaciteit.
3. in menskracht (analyse sourcing-alternatieven):
Capaciteitstekorten kunnen door externe ondersteuning opgevangen worden, op basis van de gemaakt
analyse sourcing-alternatieven. De alternatieven bestaan uit:
a. 100% uitbesteding van interne audit diensten op continue basis,
b. gedeeltelijke uitbesteding door externe medewerkers op continue basis,
c. co-sourcing waardoor externe medewerkers in joint opdrachten participeren met in-house interne
auditoren. De opdrachten kunnen continu of voor een specifieke termijn zijn,
d. subcontracting voor een specifieke opdracht. Management en toezicht liggen bij inhouse-
medewerker (IIA-positioning paper resourcing, 2009).
4. in het kwaliteitsprogramma (‘lean’ of ‘kaal’ programma):
a. meenemen in het Audit Charter:
i. voorin het document een wijzigingentabel opnemen die laat zien in welk jaar welke wijziging
is doorgevoerd zodat in één oogopslag duidelijk wordt welke ontwikkeling de afdeling heeft
doorgemaakt.
ii. de functionele lijn voor rapportage (incl. beoordeling en beloning hoofd van de audit afdeling)
naar de directie,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 30 van 54
1. administratieve lijn voor dagelijkse zaken naar Chief Executive Officer (CEO),
2. een onderbroken lijn voor escalatie naar Audit Committee en beschrijven wat de
consequenties/alternatieven zijn bij mogelijke bedreiging van de onafhankelijkheid
(bijvoorbeeld bij het rapporteren in geval van financiële audit aan CEO),
3. een onafhankelijk oordeel van de externe accountant verkrijgen.
iii. op welke gebieden de kleine audit afdeling expliciet niet onafhankelijk is.
b. handboek met zeven procedures voor het maken van: de afdelingsbegroting met een kostenpost voor
kwaliteitsbeheersing, het werven van nieuw personeel, het uitvoeren van audits, het evalueren van het stelsel van
kwaliteitsbeheersing, het monitoren van follow-up acties uit audits, het escaleren bij het in gebreke blijven van
het opvolgen van aanbevelingen en follow-up acties, en het maken van opdrachtafstemming om het
zelfevaluatieproces te laten beoordelen door peers of externen. De beheersingsmaatregelen hier zijn het maken
van een begroting, een ‘risk based’ audit plan, een analyse voor sourcing alternatieven en een
kwaliteitsprogramma.
Aanbeveling 3 inventariseer de informatiebehoefte ten behoeve van zelfevaluatie
Vanuit bevinding 3 komt de aanbeveling om een inventarisatie van informatiebehoefte te maken en de
belangrijkste Key Conformance Indicators te benoemen en deze in een overzicht te plaatsen met de toevoeging
van de bron of vindplaats. In het geval van een éénpitter wordt aanbevolen om vast te leggen welke informatie
nodig is om de kwaliteit van de surveillance te waarborgen. De beheersingsmaatregel hier is het maken van een
inventarisatie van de informatiebehoefte voor een zelfevaluatie over de mate waarin het stelsel van
kwaliteitsmaatregelen aan de standaarden voldoet.
Aanbeveling 4 maak een functieprofiel om de juiste auditor te werven
Vanuit bevinding 4 komt de aanbeveling om een profiel op te stellen van de auditor die geschikt is te werken in
een kleine audit afdeling. Personeelskenmerken zijn:
1. competent: allround door ervaring, kennis en vaardigheden, en de auditor is een zelfstarter,
2. voldoende en juiste expertise,
3. professioneel,
4. permanente educatie,
5. participatie in beroepsorganisatie.
Het profiel kan samengesteld worden uit benodigde bekwaamheden van internal auditors zoals: theoretische
kennis, praktische organisatiekennis, technische vaardigheden, analytische vaardigheden, oordeelkundige
vaardigheden, persoonlijke vaardigheden, organisatievaardigheden (IIA, Competency framework for internal
auditing, 2001). De beheersingsmaatregel hier is het maken van een functieprofiel om een auditor te werven die
geschikt is voor de situatie van een kleine audit afdeling.
De bevindingen en aanbevelingen die hierboven zijn opgesteld zijn roepen de vraag op wat de reden is van het
ontbreken van een professionaliseringslag bij kleine audit afdelingen. Voor de beantwoording van deze vraag
ging ik te rade bij de voorzitter van het College van Kwaliteitstoetsing van het IIA NL. Deze antwoordde dat
kleine afdelingen niet van de grote verschillen als het om principes achter de standaarden gaat, maar juist als het
erom gaat hoe de standaarden in de praktijk uitgewerkt worden. “De uitwerking bij de kleine audit afdeling kan
pragmatisch zijn door het mitigeren van haar beperkingen. Vooral als het gaat om de mate waarin de kleine
interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen mitigeert. Dit ontbreekt nogal eens”. Uit
interviews met hoofden van kleine audit afdelingen komt naar voren dat men het niet nodig acht om bijvoorbeeld
een kwaliteitsprogramma aan te leggen gezien de omvang van de audit organisatie, de efficiency en de gewenste
audit coverage. Ook wordt aangegeven dat het beoordelen van de audit dossiers door een tweede beoordelaar
praktisch niet uitvoerbaar is. Hier blijft toch een spanningsveld aanwezig tussen wat haalbaar en gewenst is in de
naleving van de standaarden. Oplossingen zijn het aanvragen van meer budget en een vertegenwoordiger van de
kleine audit afdeling zitting te laten nemen in het College van Kwaliteitstoetsing.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 31 van 54
4.3. Samenvatting en conclusie
Antwoord op deelvraag 3: Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine
audit afdeling te mitigeren of op te heffen?
Door analyse van de problemen zijn de volgende bevindingen gedaan:
1. onvoldoende professionalisering van de kleine interne audit afdeling; de oorzaak ligt in
onvoldoende professionalisering van de kleine interne audit afdeling,
2. teveel schommelingen in budget, activiteiten, menskracht en de kwaliteit van het programma; de
oorzaak ligt in het ontbreken van instrumenten om de schommelingen op te vangen,
3. onvoldoende informatie voor het maken van een zelfevaluatie; de oorzaak ligt in het ontbreken van
een inventarisatie van managementinformatiebehoeften,
4. ontbreken van een geschikt functieprofiel; de oorzaak ligt in het onvoldoende gebruik van
outsourcing alternatieven en het ontbreken van de juiste kennis en vaardigheden bij auditors.
Vervolgens zijn verbeteracties ontwikkeld om de beperkingen van de kleine audit afdeling te mitigeren of op
te heffen. Deze verbeteracties kunnen als beheersingsmaatregelen in de organisatie van de afdeling worden
ingevoerd en geborgd:
1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit
Charter,
2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke
auditor,
3. een beschrijving van de organisatie van de audit afdeling met onder andere: een beschrijving van
het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en een AO/IC-
beschrijving van het proces van kwaliteitsbeheersing,
4. vier ‘Best Practices’ om schommelingen op te vangen in:
a. budget
b. activiteiten
c. menskracht
d. kwaliteitsprogramma.
De schommelingen kunnen opgevangen worden door het maken van een begroting, een ‘Risk
Based’ auditplan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma,
5. een inventarisatie van de managementinformatiebehoeften maken voor een zelfevaluatie van de
mate waarin het stelsel van kwaliteitsmaatregelen aan de standaarden voldoet,
6. een profiel van de auditor opstellen die geschikt is voor een kleine audit afdeling.
De uitwerking bij de kleine audit afdeling kan pragmatisch zijn door het mitigeren van haar beperkingen.
Vooral als gaat om de mate waarin de kleine interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen
mitigeert.
In het volgende hoofdstuk worden de verbeteracties die uit de aanbevelingen volgen, gegroepeerd naar
enkele projecten waarmee de kleine audit afdeling haar mensen en middelen zo optimaal mogelijk kan
benutten. De bundeling van projecten leveren samen met de conclusies uit de vorige hoofdstukken een
aanpak op voor het ontwikkelen van een projectplan zoals dat in paragraaf 1.2 als doel van dit onderzoek is
beschreven.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 32 van 54
Hoofdstuk 5. Het projectplan
Dit hoofdstuk laat een verbetertraject zien door middel van een projectmatige aanpak waarmee de kleine audit
afdeling haar kwaliteit kan verhogen. Paragraaf 5.1 bundelt de verbeteracties uit hoofdstuk 4 in drie projecten.
Paragraaf 5.2 beschrijft het generieke verandertraject, waarbij de projecten parallel aan en sequentieel aan elkaar
geïmplementeerd kunnen worden. In paragraaf 5.4 wordt een rapportage-instrument behandeld dat voor interne
rapportage gebruikt kan worden. Paragraaf 5.3 sluit af met een samenvatting en een conclusie.
5.1. Het bundelen van de activiteiten
Het uiteindelijke resultaat van dit onderzoek is een projectplan dat de audit afdeling ondersteunt bij haar
inspanningen om te voldoen aan de IIA-standaarden. De zes resultaten in het vorige hoofdstuk 4 leiden naar dit
eindresultaat. Deze activiteiten worden gebundeld in drie projecten om een professionaliseringsslag te maken.
Om de efficiency en effectiviteit van deze projecten binnen de kleine audit afdeling te vergroten is gekozen voor
een integrale aanpak. Hierbij worden de activiteiten naar vier organisatiegebieden ingedeeld. Het voordeel van
het integraal uitvoeren van de maatregelen is dat een dergelijke aanpak zorgt voor een optimale borging binnen
de kleine audit afdeling en de organisatie waar zij deel van uitmaakt.
De organisatie aandachtsgebieden zijn:
• Management en organisatie
• Informatie en technologie
• Mensen en cultuur
• Processen en beleid
Per project worden noodzakelijke maatregelen gebundeld naar thema’s en worden maatregelen per
aandachtsgebied ingedeeld. De voordelen, in termen van het verhogen van effectiviteit, efficiency en kwaliteit
van het project, zijn in het blokje ‘Voordelen’ in het midden van het schema aangegeven.
Verbeterproject 1: De (her)inrichting van het proces van kwaliteitsbeheersing
Het doel van dit project is het verbeteren van het proces van kwaliteitsbeheersing. Er dient een draagvlak
gecreëerd te worden binnen de organisatie voor dit proces en het doel van de interne audit afdeling. Dit project
behoeft geen ICT-ondersteuning. Dit project leidt tot een duidelijke beschrijving van het proces van
kwaliteitsbeheersing en is een randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot
concrete kwaliteitsverhoging. Het hoofd van de kleine audit afdeling moet een centrale rol te spelen bij het
ontwikkelen het proces, de beleidsvorming, de zelfevaluatie en het schrijven van de motivatie; dit wil niet
zeggen dat hij/zij alles zelf moet doen. Hieronder volgt een schematisch weergave van de noodzakelijke
maatregelen van het project.
De derde stap in de BPI-methode gaat met de eerder bepaalde resultaten aan de slag. De medewerkers en
activiteiten dienen gereorganiseerd te worden om de doelstelling te behalen. Het BPI-instrument dat
hiervoor gebruikt wordt is het bundelen van de verbeteractiviteiten (via een integrale aanpak) tot enkele
verbeterprojecten.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 33 van 54
Schema 1: (her)inrichting van het proces van kwaliteitsbeheersing.
In dit project worden de volgende activiteiten gepland:
1. beschrijf het doel dat de organisatie heeft met de audit functie of bepaal de toegevoegde waarde van internal
auditing aan de overall organisatiedoelstellingen,
2. bepaal de overeenkomst of verschil met de doelstelling van internal auditing aan de hand van de IIA-
definitie. Het is van het hoogste belang de overeenkomsten en verschillen helder in kaart te brengen voordat
men aan het verhogen van de kwaliteit begint,
3. de aanvaarding/verwerping van deze doelstelling door het hoofd van de audit afdeling of de
verantwoordelijke auditor. Van belang hierbij is de constatering van een eventuele aanwezigheid van
objectieve verhindering om de internal audit functie te vervullen,
4. bepaal het ambitie- of resultaatniveau voor het proces van kwaliteitsbeheersing,
5. deel dit ambitieniveau met de directie en vraag een budget voor de uitvoering,
6. maak beleid ten aanzien van kwaliteit, gebaseerd op de bovenstaande uitkomsten en leg dit vast in het Audit
Charter en het kwaliteitsprogramma,
7. beschrijf de organisatie van de audit afdeling ten aanzien van kwaliteitsbeheersing:
a. een beschrijving van het totale proces van kwaliteitsbeheersing,
b. een beschrijving van de afzonderlijke processtappen en
c. een AO/IC-beschrijving van het proces van kwaliteitsbeheersing (bijlage III).
8. definieer kwaliteitsbeheersingprocedures zodanig dat beheersbaarheid gerealiseerd wordt, maar zonder
bureaucratisch te worden,
9. leg het bewijs voor iedere key conformance indicator vast in het kwaliteitsprogramma. Dit levert een
minimale set aan bewijsstukken op dat het zelfevaluatieproces efficiënter maakt,
10. voer periodiek benchmark studies uit van zowel de prestaties van kleine audit afdelingen als van
verbetertrajecten, zodat het leervermogen wordt verbeterd,
11. voer periodiek een kwaliteitscontrole uit om het proces van kwaliteitsbeheersing te toetsen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 34 van 54
Een algemene beheersingsmaatregel van het hoofd van de kleine audit afdeling is het aanmaken van een
kostenpost voor de werkzaamheden op het gebied van kwaliteitsbeheersing. De kwaliteitscontrole is dan een
cijfercontrole van het overzicht: ‘planning versus realisatie kwaliteitsbeheersing’ op basis van kosten en
urenregistratie. De beheersingsmaatregelen en kwaliteitscontroles per processtap betreffen:
Proces
stap
Beheersingsmaatregel Kwaliteitscontrole
Opzetten Een goedgekeurd Audit Charter en ‘risk based’
auditplan.
Beleid en procedure voor het werven van nieuw
personeel.
Analyseren van sourcing alternatieven.
Check het verband tussen de
voorgestelde audit onderwerpen en
bedrijfsrisico’s,
Check potentiële kandidaat op basis
van profielschets, bekwaamheden en
functiematrix met aanwezige kennis
en expertise.
Opzetten Procedure voor het uitvoeren van audits.
Globale voortgangscontrole en urenregistratie per
auditor/audit.
Functiescheiding tussen het invullen van
evaluatieformulier per audit en het beoordelen
ervan.
Check door hoofd van de kleine audit
afdeling op de aanwezigheid van
procedures en ingevuld
beoordelingsformulier per audit.
Implementeren Fysieke aanwezigheidscontrole van de minimale
set bewijsstukken in het dossier
‘Kwaliteitsprogramma’.
Check de opvolging van procedures
per audit.
Beoordeling van de kwaliteit
(juistheid en volledigheid) van de
bewijsstukken door het hoofd van de
kleine audit afdeling.
Evaluatie Procedure voor zelfevaluatie van het stelsel van
kwaliteitsbeheersing.
Zelfevaluatie en toetsing van het
proces, processtappen, procedures en
richtlijnen door het hoofd van de
kleine audit afdeling.
Beoordeling interne toetser van het
zelfevaluatieproces.
Bijsturen Procedure voor de follow up van acties die
voortkomen uit de aanbevelingen vanuit audits.
Procedure voor escalatie bij het in gebreke blijven
van het opvolgen van aanbevelingen.
Het maken van opdrachtafstemming om het
zelfevaluatieproces te laten beoordelen door peers
of externen.
Controle op de uitvoering van de
escalatieprocedure door middel van
interview van de auditor. Controle op
de aanwezigheid van een
opdrachtafstemming.
Tabel 4: beheersingsmaatregelen en kwaliteitscontroles per processtap
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 35 van 54
Verbeterproject 2: Toepassen van het beleid en de procedures.
Bij dit project is het van belang om de procedures uit het kwaliteitsprogramma toe te passen en het gebruik van
de procedures te optimaliseren.
Schema 2: toepassen van beleid.
De volgende activiteiten horen bij dit project:
1. maak een ‘risk based’ auditjaarplan,
2. maak een analyse van de outsourcing alternatieven om wisselingen in capaciteit direct op te kunnen
vangen,
3. leg vast in het Audit Charter: de wijzigingen, de juiste rapportagestructuur en wat de afdeling expliciet
niet doet,
4. faciliteer strategische Risico Mant (SRM) sessies waardoor zicht wordt verkregen op de belangrijkste
risico’s,
5. huur audit tools in bij externe accountant,
6. voer een document workflow systeem in voor het vastleggen van bevindingen, cross references en
rapportage van audit bevindingen,
7. ga netwerken met andere audit afdelingen om te leren van gemeenschappelijke problemen door middel
van discussie en debat,
8. leg een fysiek en een digitaal dossier ‘kwaliteitsprogramma’ aan,
9. pas de procedures uit het handboek kwaliteitsbeheersing toe,
10. hanteer een snellere doorlooptijd voor het uitvoeren van audits, peer beoordelingen en
zelfbeoordelingen.
Dit project leidt tot kwaliteitsverhoging. Het voordeel van dit project is: het zo optimaal mogelijk inzetten van
middelen en menskracht. De minimale bewijsstukken in het kwaliteitsprogramma zijn:
1. bewijs van goedkeuring Raad van Bestuur van Audit Charter,
2. bewijs dat het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau,
3. bewijs dat de auditors goed opgeleid zijn,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 36 van 54
4. bewijs van een effectief kwaliteitsprogramma door ‘Best Practices’,
5. bewijs dat het audit plan ‘risk based’ is,
6. bewijs van een beoordeling van risicobeheersings- en controlesystemen bij iedere audit,
7. bewijs van risicobeoordelingen en een werkprogramma bij iedere audit,
8. bewijs dat de werkdocumenten alle relevante informatie bevatten over de te bereiken doelstellingen,
9. er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie is
opgenomen in het audit rapport,
10. een beschrijving van een follow-up-procedure om ervoor te zorgen dat het management de aanbevolen
acties daadwerkelijk heeft uitgevoerd of het risico heeft aanvaard,
11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voor resolutie
voorgelegd aan de directie.
Het hoofd van de audit afdeling maakt een beoordeling in hoeverre de procedures worden nageleefd en stuurt
indien nodig bij. De kwaliteitscontroles die het hoofd van de kleine audit afdeling uitvoert op de maatregelen
leiden tot goede mensen en goede procedures waardoor dit project leidt tot het verhogen van de kwaliteit.
Verbeterproject 3: Verbeter de managementinformatievoorziening
Dit project heeft als doel om managementinformatie te creëren om een zelfevaluatie te maken en het proces van
kwaliteitsbeheersing bij te sturen.
De voordelen van dit project zijn het inzichtelijk maken, beheersen en bijsturen van het gehele proces van
kwaliteitsbeheersing en van het proces van zelfevaluatie en het vermindert de bureaucratie. Dit project leidt tot
het verhogen van de kwaliteit.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 37 van 54
De bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard zijn:
Standaard Key Conformance
Indicator
Vindplaats
1000: Purpose, Authority,
and Responsibility
Goedgekeurd Audit
Charter.
1. Dossier kwaliteitsprogramma
2. Notulen van bestuursvergaderingen.
3. Interviews van het hoofd van de audit afdeling,
bedrijfsleiding,
1100: Independence and
Objectivity
Juiste rapportage lijn. 1. Organisatieschema’s.
2. Audit Charter.
3. Jaarlijks audit plan.
1200: Proficiency and Due
Professional Care
Auditors zijn goed
opgeleid.
1. Functiebeschrijvingen en competentie-eisen
2. Vaardighedenmatrix met kennis en expertise
3. Sourcingsplannen en selectieprocedures.
4. Trainingsplannen.
1300: Quality Assurance
and Improvement Program
Er is een effectief
kwaliteitsprogramma.
1. Gedocumenteerd kwaliteitsborging en-
verbeteringsprogramma.
2. Kwaliteit programmaprocedures.
3. Prestatie-indicatoren voor de interne audit activiteiten.
4. Formele resultaten van de uitgevoerde evaluaties.
5. Reacties op de aanbevelingen in de beoordeling.
2000: Managing the
Internal Audit Activity
Er is een risk based audit
plan.
1. Audit jaar plan:
o De risico-evaluatie in het audit jaarplan legt een
verband tussen de voorgestelde audit onderwerpen en de
operationele en strategische risico's van de organisatie.
o De risico-evaluatie in het audit jaarplan houdt rekening
met de feedback van de operationele managers.
2100: Nature of Work Iedere audit omvat een
beoordeling van risico
beheersing-en
controlesystemen.
1. Risico mapping.
2. Interne audit activiteitenverslag.
3. Audit jaarplan/ het Audit Charter/ de opdracht/ de
vastleggingen/het auditrapport.
2200: Engagement
Planning
Iedere audit omvat een
risicobeoordeling, werk
programma, etc.
1. Audit procedure.
2. Audit opdrachtbrief.
3. Opdracht werkprogramma
2300: Performing the
Engagement
Werkdocumenten omvatten
alle relevante informatie
over de te bereiken
doelstellingen.
1. Audit werkpapieren.
2. Interview met accountants.
3. Interview met klanten
2400: Communicating
Results
Er is bewijs van passende,
tijdige communicatie met
het management. Een
algemene opinie of
conclusie is opgenomen in
het audit rapport.
1. Interne memo's, e-mail, enz.
2. Verslag over het begin van de kick-off meeting met
audit-client.
3. Interviews van het uitvoerende management van de te
auditen organisatie
4. Audit rapport
2500: Monitoring Progress Er is een follow-up-proces
ingesteld om ervoor te
zorgen dat het management
de aanbevolen acties
daadwerkelijk heeft
uitgevoerd of het risico
heeft aanvaard.
1. Verslagen (bv: follow-up verslag, notulen).
2. Het proces omvat een formele procedure voor het
bepalen van redenen voor de niet-uitvoering van de
follow-up actie.
3. Als een management actie niet daadwerkelijk ten uitvoer
is gelegd, heeft het hoofd van de kleine audit afdeling
ervoor gezorgd dat het senior management het risico van
het niet nemen van maatregelen heeft aanvaard en dit
heeft meegedeeld aan de belanghebbenden.
2600: Resolution of
Management’s
Acceptance of Risks
Resterende risico’s die niet
opgelost worden door de
CAE worden voorgelegd
aan de Raad van Bestuur
(RvB) voor resolutie.
1. Interview met het hoofd van de kleine audit afdeling.
2. Interview met bestuursleden
3. Notulen van de Raad van Bestuur
Tabel 5: bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard
Het hoofd van de kleine audit afdeling voert periodiek zelfevaluaties uit op het proces van kwaliteitsbeheersing
en koppelt de resultaten terug naar de betrokkenen. Door middel van monitoring houdt het hoofd een vinger aan
de pols wat betreft de effecten van de huidige kwaliteitsmaatregelen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 38 van 54
De belangrijkste beheersmaatregelen daarbij zijn; 1. Een review van de begroting, 2. Een AO/IC-beschrijving, 3.
‘best practices’, 4. Een inventarisatie van de managementinformatie en 5. Een profiel van de geschikte auditor
voor een kleine setting. Samengevoegd vormen zij het kwaliteitsbeheer van de afdeling en eventueel advies naar
collega’s in het veld. De winst van een professionaliseringslag is dat als een kleine interne audit afdeling voldoet
aan de IIA-standaarden het meestal ook goed gaat met de positie van de afdeling binnen de organisatie, met de
kwaliteit van het werk en de onderlinge sfeer.
Evaluatie- en toetsingsvragen zijn bijvoorbeeld:
1. zijn de opzet en de werking van de maatregelen in lijn met elkaar?
2. heeft de kleine audit afdeling ‘actief’ over kwaliteitsbeheersing nagedacht en hoe wordt dat ‘zichtbaar’
gemaakt?
3. als niet voldaan kan worden aan de standaarden en een alternatieve maatregel gemotiveerd wordt, dan dient
deze ook bewezen te worden.
4. zeker haalbaar voor een kleine afdeling is dat de dossiervorming op orde is, dat er een goed
kwaliteitshandboek ligt dat ook wordt nageleefd en dat er een goede relatie moet zijn met het management
van de organisatie, het Audit Committee en de externe accountant.
5. kan er een (af)weging gemaakt worden? Bijvoorbeeld:
a. 100% de standaarden volgen is niet cruciaal in de oordeelsvorming, maar als dossiers niet op orde
zijn, er geen interne beoordeling plaatsvindt, de hoor en wederhoor procedure incidenteel en niet
structureel wordt toegepast en een crossreference naar het audit manual of Audit Charter niet
gevonden wordt, ontbreken de waarborgen en het bewijsmateriaal om de onafhankelijkheid van de
audit afdeling te toetsen.
b. in de weging kan het zo zijn, dat 20% van de maatregelen niet voldoet aan de standaarden en 80%
wel, maar indien het hoofd van de audit afdeling rapporteert aan de controller en een sectie
Vaktechniek ontbreekt, dan kan de toetsing van het geheel tot een onvoldoende leiden.
c. of als van de 10 dossiers er 3 niet intern beoordeeld zijn kan dat leiden tot een verbeteringsvoorstel
van de externe toetser. Zit er bij de 3 niet beoordeelde dossiers 1 grote belangrijke audit dan is dat
een ernstig gebrek, wat naar een onvoldoende kan leiden. Maar als het hoofd van de audit afdeling
aantoont er gedurende de gehele audit gang bovenop gezeten te hebben om alles informeel te
reviewen, dan kan dit weer tot een voldoende leiden.
Een goed geïnformeerd hoofd van de kleine audit afdeling telt voor twee, en dit project leidt tot het verhogen van
de kwaliteit van het werk in de afdeling. In het vervolg van dit hoofdstuk worden de verbeterprojecten in een
verbetertraject of stappenplan geplaatst.
5.2. Een verbetertraject Naast het groeperen van de activiteiten in projecten kunnen de projecten in een bepaalde volgorde uitgevoerd
worden. Het pad naar een efficiënte en effectieve kwaliteitsbeheersing kan ingedeeld worden in een traject door
de projecten parallel of sequentieel te implementeren. Het hoofd van de interne audit afdeling dient, te allen
tijde, het hier ontwikkelde traject voor prestatieverbetering af te stemmen op de specifieke omstandigheden van
zijn of haar afdeling. De verbeterprojecten lopen deels sequentieel, deels parallel aan elkaar omdat het ene
project van belang is voor het volgende project. Hieronder volgt een projectplanning:
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 39 van 54
Schema 7: het verbetertraject
Het hoofd van de audit afdeling is verantwoordelijk voor de planning en uitvoering van de projecten en
rapporteert de voortgang aan de Raad van Bestuur. Het gehele traject kan in vier maanden doorlopen worden.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 40 van 54
5.3. Een rapportage-instrument Om de voortgang te monitoren wordt het ‘QSAT’-instrument geïntroduceerd (zie bijlage III). Het ‘Q-SAT’-
instrument is ontwikkeld door de Zwitserse IIA beroepsorganisatie (2008). Hieronder volgt een afbeelding van
het instrument waarbij verticaal de standaarden onder elkaar zijn gezet en horizontaal kolommen zijn geplaatst
om de scores en opmerkingen van een ‘assessment’ of een zelfevaluatie in te vullen. Het instrument bestaat uit
twee onderdelen namelijk 1. Assessment (evaluatie) en 2. Remediation/ action (verbeteracties):
1. de zelfevaluatie: de standaarden kunnen beoordeeld worden met: JA/NEE en de reden waarom niet
wordt voldaan en welk document als bewijs geraadpleegd kan worden. Het voordeel van de ‘Q-SAT’ is
dat bij elke standaard het verplichte praktijkadvies gegeven wordt. Met het JA/NEE hoeft de
beoordelaar niets te accepteren dat geen 100% is.
2. de verbeteracties: in het Remediation/ Actions-gedeelte zijn kolommen ingericht voor het
verbetertraject met “Planned Action”, “Date”, “Responsible” en “Status”.
Afbeelding 1: het ‘QSAT’ instrument
Het gebruik van dit instrument levert het hoofd van de interne audit afdeling meerdere voordelen op:
1. het voorziet in het gevraagde bewijsstuk van de Self Assessment Checklist (IIA groeifase 2) en het
kwaliteitsprogramma met verbeteracties (als Balanced Scorecard) en tijdspaden voor implementatie (IIA
groeifase 3). Het combineert de bewijsstukken in één overzichtelijke rapportage.
2. de ‘QSAT’ kan zowel voor interne als voor externe rapportage over de kwaliteitstoetsing gebruikt worden.
3. de ‘QSAT’ kan uitgebouwd worden met bijvoorbeeld toevoeging van de KCI’s (Key Conformance
Indicators). Dat is toegestaan mits de standaarden niet weggehaald worden. Hierdoor is het ‘Q-SAT’-
instrument geschikt om juist een kleine audit afdeling effectief en efficiënt te ondersteunen in haar streven
om continue verbetering zichtbaar te maken voor de in- en externe toetser.
4. de ‘QSAT’ dient als controleplan waarmee de voortgang van de verbeteracties die geïmplementeerd worden
continue gemonitord wordt.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 41 van 54
5.4. Samenvatting en conclusie
Antwoord op deelvraag 4: Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit
kunnen verhogen?
Door het groeperen van de activiteiten naar thema’s zijn een drietal verbeterprojecten gedefinieerd. De
verbeterprojecten zijn:
1. (her)inrichting van het proces van kwaliteitsbeheersing
Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een
randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete
kwaliteitsverbetering.
2. het toepassen van beleid
Dit project start nadat het schrijven van beleid en procedures uit processtap 1 klaar is. Gedeeltelijk loopt dit
project parallel aan de andere projecten. Het project leidt tot het zo efficiënt mogelijk inzetten van middelen
en menskracht van de kleine audit afdeling en tot snellere doorlooptijden van:
a. audits,
b. peer beoordelingen en
c. zelfbeoordelingen.
De kwaliteitscontrole die het hoofd van de kleine audit afdeling uitvoert op de maatregelen leidt tot het
inzetten van geschikte auditoren en de belangrijkste procedures. Dit project leidt tot het verhogen van de
kwaliteit in het werk en het verhogen van de prestatie van het proces van kwaliteitsbeheersing.
3. Het verzamelen van managementinformatie en het opstellen van een functieprofiel
Dit project start pas als project 1 geheel is afgerond. Het begint als de minimale set KCI’s, hun bewijsstukken
en hun vindplaats beschikbaar is. Het project leidt tot het inzichtelijk maken, beheersen, bijsturen en
verbeteren van:
a. Het gehele proces van kwaliteitsbeheersing,
b. van het proces van zelfevaluatie,
c. en het vermindert de bureaucratie.
Tot slot wordt een functieprofiel opgesteld voor de auditor die geschikt is voor het werken binnen een kleine
audit afdeling. De projecten lopen deels sequentieel/parallel, omdat de resultaten van het ene project van
belang zijn voor het volgende project. Nadat de projecten in 4 maanden zijn afgerond, kan het hoofd van de
audit afdeling starten met het uitvoeren van een zelfevaluatie van het stelsel van kwaliteitsmaatregelen.
Om de status en voortgang te monitoren van het stelsel van kwaliteitsmaatregelen wordt het ‘QSAT’-
instrument gebruikt. De voordelen zijn:
1. het combineert meerdere bewijsstukken omdat het een zelfevaluatie-checklist is en een overview
van het lopende kwaliteitsprogramma met de verbeteracties,
2. het is een rapportage tool voor zowel interne als voor externe rapportage over de kwaliteitstoetsing.
3. het is mogelijk om het uit te bouwen met de KCI’s (Key Conformance Indicators).
4. het dient als controleplan waarmee de voortgang van de verbeteracties gevolgd wordt.
Samen met de drie verbeterprojecten draagt het ‘Q-SAT’ instrument bij aan een efficiënte en effectieve inzet
van de middelen en menskracht in een kleine audit afdeling en werkt het ondersteunend bij het streven naar
het zichtbaar maken van continue verbetering.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 42 van 54
Hoofdstuk 6. Conclusie Dit hoofdstuk trekt conclusies op basis van de resultaten uit de diverse hoofdstukken ten aanzien van de
onderzoeksvragen afzonderlijk en uiteindelijk ten aanzien van de centrale probleemstelling die beschreven is op
pagina 7 van dit referaat. Paragraaf 6.1 geeft de conclusies van ieder hoofdstuk na beantwoording van de
deelvragen. Paragraaf 6.2 geeft een antwoord op de centrale vraagstelling van dit onderzoek, namelijk:
Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke
oplossingen kunnen daarvoor geboden worden?
In paragraaf 6.3 worden stellingen geponeerd ten behoeve van discussie en paragraaf 6.4 geeft enkele
aanbevelingen: voor verder onderzoek, het mobiliseren van de doelgroep, het ter beschikking stellen van het
projectplan en tot slot aanbevelingen met betrekking tot de organisatie van de IIA-toetsing van de kleine audit
afdeling.
6.1. Conclusies aanvullende onderzoeksvragen Met de beantwoording van de eerste vier deelvragen in de voorgaande hoofdstukken kan geconcludeerd worden
dat een verandertraject voor de kleine audit afdeling ontwikkeld kan worden waardoor zij aan de standaarden
kan voldoen.
1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met deze
standaarden omgaan?
2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de
IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van
kwaliteitsbeheersing?
3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te
mitigeren of op te heffen?
4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen?
De eerste deelvraag heeft beantwoord wat de IIA-standaarden inhouden en hoe zij georganiseerd zijn. Om de
vraag te beantwoorden hoe kleine audit afdelingen planmatig met de standaarden om kunnen gaan is een aantal
uitgangspunten gevonden. Deze zijn:
1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke
validatie (PA 1300-1),
2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar (of team) bij een kleine
afdeling kan lastig zijn (PA 1312-2),
3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040).
Verdere ingrediënten bij diepgaander onderzoek zijn:
4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op,
5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van
kwaliteitsbeheersing,
6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden
voldoet,
7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk: het opzetten, implementeren,
evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen,
8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van
zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar,
9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan
te brengen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 43 van 54
Deze ingrediënten bieden houvast bij het verdere onderzoek naar de problemen voor de kleine audit afdeling om
te voldoen aan de standaarden.
De tweede deelvraag over problemen is beantwoord met een opsomming van algemene problemen en problemen
per standaard. Deze problemen zijn vervolgens op het generieke proces van kwaliteitsbeheersing ‘gemapped’.
De conclusie hier is dat er veel problemen in de eerste processtap ‘gemapped’ zijn. Dit heeft als nadeel dat de
verdere procesgang door deze problemen negatief beïnvloed wordt. Hier ligt een kans om door verbetering een
positieve uitwerking te verkrijgen op de prestatie van de processtappen die erna volgen, en voor het gehele
proces van kwaliteitsbeheersing.
De derde deelvraag behandelt welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de kleine
audit afdeling te mitigeren of op te heffen. De verbeteracties dienen als beheersingsmaatregelen om dit te
bereiken zijn:
1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit Charter,
2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke auditor,
3. het maken van een AO/IC-beschrijving met een beschrijving van het totale proces, de afzonderlijke
processtappen en de administratieve organisatie /interne controle (AO/IC) van het proces van
kwaliteitsbeheersing.
4. vier “best practices” om schommelingen op te vangen in:
a. budget,
b. activiteiten,
c. menskracht,
d. kwaliteitsprogramma,
De schommelingen worden opgevangen door het maken van een begroting, een ‘risk based’ audit plan,
een analyse voor sourcing alternatieven en een kwaliteitsprogramma.
5. het maken van een inventarisatie van de informatiebehoefte voor een zelfevaluatie van de mate waarin het
stelsel van kwaliteitsmaatregelen aan de standaarden voldoet.
6. een profiel op te stellen van de auditor die geschikt is om te werken in een kleine audit afdeling.
Bovenstaande verbeteracties zijn gegroepeerd in drie verbeterprojecten, namelijk:
1. het (her)inrichten van het proces van kwaliteitsbeheersing,
2. het toepassen van beleid en procedures,
3. het verzamelen van managementinformatie en het opstellen van een auditor profiel.
De beantwoording van de vierde deelvraag levert een verandertraject op waarbij de projecten parallel of
sequentieel aan elkaar geïmplementeerd worden, omdat het resultaat van het ene project van belang is voor het
andere project. Het verbetertraject moet afgerond zijn voordat het hoofd van de kleine audit afdeling een
zelfevaluatie kan gaan maken. De zelfevaluatie vindt plaats door middel van een beoordeling en monitoring op
de voortgang van de effecten van de ingevoerde kwaliteitsmaatregelen door de verantwoordelijke auditor.
6.2. Beantwoording van de centrale vraagstelling De samenvattingen en de conclusies van de deelvragen geven samen antwoord op de centrale vraagstelling:
“Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en
welke oplossingen kunnen daarvoor geboden worden?” De slotconclusie in dit onderzoek is dat de kleine audit
afdeling een verbetertraject kan doorlopen. De aanname dat het voldoen aan de standaarden te lastig zou zijn is
hiermee weerlegd. Het verbetertraject helpt de problemen die zij kan ondervinden op te lossen en haar
menskracht en budget zo optimaal mogelijk in te zetten. Het is een lastige maar zeker geen onoverkomelijke klus
voor iedere auditor die onder het IIA-reglement valt om zich volwaardig te wijden aan kwaliteit. Met het
schrijven van een projectplan is het doel van dit referaat bereikt.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 44 van 54
6.3. Stellingen Om de conclusie te expliciteren volgen stellingen ten behoeve van een eventuele discussie naar aanleiding van
dit referaat en om verder onderzoek te stimuleren:
1. de focus op het voldoen aan de standaarden en de activiteiten om de efficiency en effectiviteit van het proces
van kwaliteitsbeheersing te verhogen en een minimale set aan bewijsstukken helpen de kleine audit afdeling
te voldoen aan de IIA-standaarden,
2. door zelfevaluatie waarborgt de kleine audit afdeling een minimaal vereist kwaliteitsniveau,
3. het zelfevalueren van maatregelen voor kwaliteitsbeheersing binnen de afdeling levert een vertekend beeld
op,
4. de UVA/EMIA opleiding biedt in 2012 de module: ‘Kwaliteitsbeheersing binnen de (kleine) audit afdeling’
aan,
5. het verandertraject voor kwaliteitsborging en -verbetering is ook toepasbaar bij grote audit afdelingen.
6.4. Aanbevelingen Het resultaat van mijn onderzoek is tweeledig. Aan de ene kant levert het een projectmatige aanpak op met de
activiteiten die nodig zijn om aan de standaarden te voldoen. Aan de andere kant levert het de mogelijkheid op
het beschikbare budget en personeel zo optimaal mogelijk in te zetten. Mijn aanbevelingen voor verder
onderzoek zijn:
1. verder onderzoek in een pilotgroep om het verbetertraject te valideren door onderzoek te doen naar:
a. het slagingspercentage met en zonder het gebruik van het verbetertraject.
b. de effectiviteit van het verbetertraject voor en na externe IIA-toetsing.
c. Mogelijke praktische oplossingen voor de hieruit voortvloeiende knelpunten, om tijd te
besparen voor de kleine audit afdeling,
2. het mobiliseren van de doelgroep bij het (zelf)evaluatieproces. Mobiliseren is een mix van het vertalen
van ambitie in concreet gedrag, vaardigheden trainen, energie ontwikkelen en regie zetten op voortgang
en resultaat,
3. het projectplan via de website van het IIA aan haar leden ter beschikking te stellen,
4. met betrekking tot de organisatie van de IIA-toetsing van kleine audit afdelingen:
a. verhelder de juridische basis voor de kwaliteitstoets (zie Voorwoord),
b. laat een hoofd van een kleine audit afdeling als gecertificeerd toetser de kwaliteitstoets bij een
andere kleine audit afdeling uitvoeren,
c. laat een vertegenwoordiger van kleine audit afdelingen zitting nemen in het IIA-NL College
van Kwaliteitstoetsing.
Op deze wijze kan mijns inziens de ontwikkeling van het vakgebied in Nederland voor en door internal auditors
verder worden vormgegeven.
Dankwoord
Hierbij wil ik graag van de gelegenheid gebruik maken om een aantal sleutelpersonen nadrukkelijk te bedanken.
Mark Jongejan heeft als procesbegeleider een positieve bijdrage geleverd aan het referaat. Mijn dank gaat verder
uit naar de experts op dit gebied die hun kennis en deskundigheid met me hebben gedeeld door hun
medewerking te verlenen aan de interviews. Remko van der Klein heeft als coach het referaatproces
ondersteund. Zijn gestructureerde en positieve commentaar vormde een doorslaggevende stimulans. Lieke
Noorman en Marie van Hezik hebben kritisch meegelezen en het referaat taalkundig gecorrigeerd. Tot slot wil ik
mijn Karin bedanken voor haar begrip en aanmoediging tijdens mijn RO-studie.
Yolanda Stuijt, Amsterdam, januari 2010
Voor vragen en/of opmerkingen: [email protected]
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt
Bijlage I Path to Quality Model Het IIA-‘Path to Quality Model’ (PTQM) deelt de groei naar volwassenheid in naar vijf volwassenheidsniveaus,
met de belangrijkste kenmerken en stappen hoe tot naleving (conformance) van de Standaarden te komen; de
niveaus zijn: beginnend, opkomend, voldoet, hefboomwerkend en innovatief. Alle informatie in deze paragraaf
is terug te vinden op de website www.theiia.org.
Model 2: het Path to Quality Model
Niveau 1: Beginnend. Kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborging- en
verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet
geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en
het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan
brengen voor een organisatie. De stappen om naar het ‘beginnend niveau’ van kwaliteit te groeien zijn:
1. adopteer IIA’s officiële definitie van internal auditing,
2. bereik de juiste rapportagelijnen,
3. committeer aan kwaliteit, door een charter te ontwikkelen voor de interne audit afdeling waarin de
reikwijdte van het werk gedefinieerd wordt en de afbakening van die gebieden waar het aansprakelijk en
verantwoordelijk voor is,
4. werk aan het verkrijgen van draagvlak van senior management en het Audit Committee. Beleg
vergaderingen met hen, om jouw missie en visie op kwaliteit te delen, alsook om hun verwachtingen te
horen. Gebruik daar de ‘A standard of Quality’-presentatie voor om bewustzijn en begrip te creëren en hun
support te oogsten,
5. verzeker je ervan dat ieder lid van het Audit Committee de IIA ‘Tone at the Top’-nieuwsbrief ontvangt en
toegang heeft tot de bedrijfspublicaties die het belang van internal audit bevatten.
Niveau 2: Opkomend. Kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue
zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert met toezicht op naleving van de standaarden. De
stappen om naar ‘opkomende’ kwaliteit te groeien zijn:
1. neem deel aan de lokale IIA- en/of branchegroep van interne auditors, aan netwerken met andere interne
auditor beoefenaren en aan QA-training,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 46 van 54
2. verzeker dat het hoofd van de audit afdeling werkt aan de juiste professionele certificering inclusief het
Certified Internal Auditor (CIA)-certificaat,
3. stel één tot drie medewerkers van de audit afdeling verantwoordelijk voor interne monitoring. Informatie uit
monitoring, interviews, werkdocumenten en uit een zelfevaluatie dienen leidend te zijn voor het hoofd van
de interne audit afdeling en het interne QA team om tot conclusies te komen ten aanzien van naleving van
de standaarden, het Audit Charter en andere relevante criteria,
4. verwijs naar de IIA’s Self Assessment Checklist en naar de IIA’s Quality Assessment Manual, 5Th edition,
voor een gedetailleerde beschrijving van het zelfevaluatieproces,
5. ontlok feedback van anderen in het zelfevaluatieproces. Hoewel dit niet verplicht is, is dit behulpzaam
evenals de resultaten van de vragenlijsten die gebruikt worden aan het einde van iedere audit.
Niveau 3: Voldoet. De interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar zelfevaluatie-
proces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling vormt de
belangrijkste mijlpaal naar accreditatie. De stappen om naar een ‘voldoet’-kwaliteit te groeien zijn:
1. werk aan het verkrijgen van de juiste mix van professionele benamingen (inclusief het CIA-certificaat) die
de professionaliteit en deskundigheid van de interne audit afdeling laat zien,
2. voltooi (onder supervisie van het hoofd van de afdeling) de voorbereiding voor een onafhankelijke
beoordeling door gebruik te maken van een ‘Balanced Scorecard’ benadering. Een ‘Balanced Scorecard’ is
een instrument dat helpt om de strategie te vertalen in operationele termen vanuit vier gezichtspunten;
financiële doelen, klanten, interne businessprocessen en innovatie + groei. Een template volgt hieronder:
3. richt je op de volgende criteria bij het zoeken naar een gekwalificeerde onafhankelijke beoordelaar:
- Eerlijk en vrijmoedig binnen de grenzen van vertrouwelijkheid.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 47 van 54
- Objectief – meer geïnteresseerd in dienstbaarheid en publiek vertrouwen dan persoonlijk gewin en
voordeel; onpartijdig, (intellectueel) eerlijk en vrij van belangenconflict.
- Onafhankelijk – niet geassocieerd met de organisatie in welk opzicht dan ook.
- Ervaren – heeft, door persoonlijke ervaring, kennis van het uitvoeren van externe kwaliteitstoetsingen.
- Deskundig – bij voorkeur een gecertificeerde interne auditor, goed op de hoogte van ‘Best Practices’
met een minimum van drie jaar recente internal audit of gerelateerde management advieservaring,
4. gebruik een door het hoofd van de audit afdeling ontwikkeld plan, gebaseerd op de bevindingen en
aanbevelingen die door de onafhankelijke beoordelaar zijn gemaakt, om de nodige verbeteringen te
adresseren, samen met een tijdslijn voor invoering. Dit plan moet voorgelegd worden aan het senior
management en het Audit Committee.
5. rapporteer de onafhankelijke beoordeling van jouw zelfevaluatie aan de lokale IIA-organisatie zodat de
naam van jouw organisatie toegevoegd kan worden aan de lijst op de website.
Niveau 4: Hefboomwerking. Het kwaliteitsborging- en verbeterprogramma (QAIP) is goed gedefinieerd binnen
de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, aan de Code
of Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets. Stappen naar ‘Hefboomwerking’- kwaliteit zijn:
1. zorg dat het hoofd van je interne audit afdeling een Certified Internal Auditor (CIA) is,
2. deelnemen aan lokale werkgroepen van het IIA is een uitstekende manier voor het hoofd van de audit
afdeling om te netwerken met andere hoofden en om te leren van gemeenschappelijke problemen door
middel van discussie en debat,
3. evalueer de ‘Gemeenschappelijk Opmerkingen’ van externe kwaliteitsbeoordelingen en adresseer
soortgelijke gebieden in je interne audit activiteiten die mogelijk onder het niveau van de gewenste kwaliteit
zijn,
4. gebruik de toonaangevende werkwijzen van de IIA-website als een model voor je voortdurende groei.
5. download en wijzig het voorbeeldformulier ‘Request for Proposal’ voor het zoeken naar externe QA-
diensten van potentiële aanbieders,
6. contact je lokale IIA op de voltooiing van je externe QA-rapport, zodat de naam van je organisatie kan
worden toegevoegd aan de lijst op haar website. Ook moet je jouw auditklanten informeren over je externe
QA, zowel vóór als nadat het is uitgevoerd. Deze praktijk laat zien dat je bereid bent om hetzelfde niveau
van controle te ondergaan als zij doormaken wanneer zij worden gecontroleerd, en dat je maatregelen neemt
om de aanbevolen verbeteringen te implementeren.
Niveau 5: Innovatief. Dit niveau kenmerkt zich door het bestaan van een actief en volledig geïntegreerd
kwaliteitsborging- en verbeterprogramma (QAIP) binnen de dagelijkse gang van zaken van de interne audit
afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een
strikt continu opleidingsprogramma. Stappen naar de kwaliteit ‘Innovatief’:
1. verwerven en onderhouden van een passende mix van professionele benamingen (met inbegrip van de CIA-
certificatie) die de professionaliteit van je interne audit afdeling en competentie aantonen,
2. benchmark regelmatig je vooruitgang, bijvoorbeeld via het IIA ‘Global Audit Information Network’
(GAIN),
3. verhaal de vooruitgang van je afdeling via de niveaus naar de top, en maak je verhaal voor anderen
beschikbaar via de tijdschriften en websites op het gebied van internal auditing. Dien als een
voorbeeldfunctie voor verdere groei door het delen van je praktijken, ervaringen en instrumenten,
4. neem deel aan externe QA-teams, of aan peer reviews,
5. geef je ervaring en kennis terug naar de beroepsgroep door middel van een mentorschap bij een audit
afdeling op een lager niveau; spreek tijdens evenementen, neem deel aan studies, en schrijf artikelen die
gebaseerd zijn op je professionele kennis, ervaring en expertise,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 48 van 54
Bijlage II Interviewvragen De algemene vragen dienden om te verifiëren of de geïnterviewde persoon tot de doelgroep van dit onderzoek
behoorden. De onderwerpen betroffen: type opleiding, het aantal jaren ervaring in auditing, het aantal jaren in de
functie, omvang audit afdeling, type organisatie, getoetst door IIA ja/nee? Vier verantwoordelijke auditoren
hebben de vragen beantwoord. De specifieke vragen betroffen:
1. Waarom waren de afzonderlijke standaarden (on)voldoende voor het IIA?
2. Waarom was het totaaloordeel (on)voldoende voor het IIA?
3. Welke problemen ondervond de audit afdeling, waar jij hoofd van was, met de naleving van de
standaarden?
4. Wat waren de risico’s die het IIA noemde bij het niet naleven van de standaarden?
5. Welke oorzaken kun je daarvoor aanwijzen?
6. Wat zou je aanbevelen om de problemen op te lossen of te mitigeren?
Deze vragen hebben mij antwoorden gegeven op mijn vraag welke maatregelen een kleine audit afdeling moet
nemen om dezelfde kwaliteitsstandaard te verzekeren als grote afdelingen.
Bijlage III AO/IC-beschrijving Typologie: overige dienstverlening waarbij de controle op volledigheid van de inspanningsverplichting afhangt
van de registratie van de uren die auditors besteden aan kwaliteitsbeheersing.
Attentiepunten/probleemanalyse:
a. schommelingen in budget,
b. schommelingen in menskracht,
c. schommelingen in activiteiten,
d. schommelingen in kwaliteit van het programma.
Door de schommelingen in budget, menskracht, activiteiten en programma bestaat een planningsrisico waardoor
het realiseren van het kwaliteitsprogramma in gevaar kan komen. Daar vloeit het risico uit voort dat de kwaliteit
van het geleverde werk niet conform de IIA-standaarden is.
De voorbereiding
Het proces van kwaliteitsbeheersing wordt geïnitieerd doordat een interne auditor vallend onder het IIA-
reglement werkzaam is in een audit afdeling. Deze audit afdelingen worden eenmaal in de vijf jaar getoetst door
het IIA om te verifiëren of de mate van kwaliteitsbeheersing volgens de normen van de beroepsgroep zijn. Het
hoofd van de audit afdeling is verantwoordelijk voor het naleven van de IIA-standaarden en maakt een
kostenpost aan in de personeelsbegroting. De kostenpost is gebaseerd op een jaarplan en een meerjarenplan, met
een specificatie naar geschatte uren, benodigde capaciteit en de personeelskosten voor het waarborgen van de
kwaliteit van het werk. Deze kostenpost wordt samen met de overige kostenposten in een begroting
samengevoegd en door de directie geautoriseerd. Het hoofd van de audit afdeling monitort een overzicht
‘Planning versus Realisatie’ van de urenbesteding aan kwaliteitsbeheersing en stuurt bij indien er afwijkingen
ontstaan tussen geplande versus gerealiseerde uren.
De uitvoering
Het doel van het proces van kwaliteitsbeheersing is het leveren van kwalitatief goed werk conform de IIA-
standaarden. Het hoofd van de kleine audit afdeling moet daarom een centrale rol te spelen bij het ontwikkelen
van het proces van kwaliteitsbeheersing, beleidsvorming, zelfevaluatie en het schrijven van de motivatie. Dit wil
niet zeggen dat hij/zij alles zelf moet doen.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 49 van 54
Procesbeschrijving
Processtap 1 het opzetten van een stelsel van kwaliteitsbeheersing
Het hoofd van de kleine afdeling ontwikkelt een Audit Charter waarin zijn of haar ambitie ten aanzien van het
borgen van kwaliteit aangeeft alsook strategieën over risicomanagement, personeelsontwikkeling en de kracht
van het kwaliteitsprogramma. Het hoofd van de kleine audit afdeling:
1. checkt het Audit Charter op volledigheid en juistheid,
2. maakt een risico evaluatie op basis van feedback van de operationele managers. Deze evaluatie laat het
verband zien tussen de operationele en strategische risico’s van de organisatie en de voorgestelde audit
onderwerpen. Het hoofd van de audit afdeling zet de voorgestelde audit onderwerpen in een audit jaarplan
en deelt het met het senior management. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole op de
werking van het genoemde verband en de aanwezigheid en volledigheid van het ‘risk based auditplan’,
3. maakt personeelbeleid op basis van de personeelsbegroting, de gewenste functieprofielen, een
vaardighedenmatrix (kennis en expertise) van het personeel dat al in dienst is en beoordeelt potentiële
kandidaten aan de hand van deze documenten. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole uit op
de match tussen de vraag uit het audit jaarplan en het aanbod van personeel. De volgende zaken neemt
hij/zij hierbij in ogenschouw;
a. de verhouding tussen de activiteiten (zoals: het werken aan kwaliteit, het uitvoeren van audits,
risicomanagement, compliance, etc.) binnen de audit afdeling,
b. het toepassen en gebruik van outsourcing alternatieven, en
c. het gebruik van computer tools,
4. zet een kwaliteitsprogramma op door fysiek een dossiermap aan te leggen en digitaal een map aan te maken
op de vaste schijf van de afdeling. Het programma bevat een minimale set van 11 bewijsstukken (zie p.28).
Het hoofd is geautoriseerd om toegang te verlenen tot de dossierkast en de afdelingsschijf. Tijdens de
zelfevaluatie voert het hoofd een kwaliteitscontrole uit op de aanwezigheid en actualiteit van de
bewijsstukken en neemt daarbij in ogenschouw wat de beoordeling is van het veiligheidsbeleid van de
organisatie waar de afdeling onderdeel van uitmaakt, en wat het eigen beleid is ten aanzien van het
beveiligen, bewaken, handhaven en verspreiding van opdrachtdossiers,
5. bewaart de notulen van bestuursvergaderingen met besluiten en goedkeuring ten aanzien van
bovengenoemde onderwerpen in het kwaliteitsdossier. Tijdens de zelfevaluatie vindt controle op
aanwezigheid en volledigheid van charter, dossiers en programma plaats.
Processtap 2 het implementeren van een stelsel van kwaliteitsbeheersing
De uitvoer van stap 1 is een kwalitatief goed en beveiligd dossier ‘kwaliteitsprogramma’. Iedere auditor
werkzaam binnen de afdeling neemt kennis van de inhoud van het dossier en voert het werk uit conform het
beleid met betrekking tot kwaliteitsbeheersing. De auditor legt voor ieder auditproject een dossier aan. Het audit
dossier bevat:
1. opdrachtbeschrijving en afstemming met de opdrachtgever,
2. plan van aanpak met beoordeling van de risicobeheersings- en controlesystemen binnen het audit
gebied,
3. risicoanalyse,
4. audit werkprogramma met normenkader,
5. interviewverslagen inclusief de vastlegging van de hoor- en wederhoor procedure,
6. brondocumenten voor analyse,
7. werkdocumenten met relevante informatie over de te bereiken doelstellingen,
8. passende en tijdige communicatie met het management,
9. een algemene opinie of conclusie.
Ieder audit project wordt afgerond met een evaluatie van het auditproject door de verantwoordelijke auditor
samen met het hoofd van de audit afdeling. Het hoofd van de audit afdeling checkt of de voorgeschreven
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 50 van 54
processtappen en procedures voor het uitvoeren van de audits gevolgd zijn en of de verplichte onderdelen in het
audit dossier aanwezig zijn. Het gesprek resulteert in een door beiden geparafeerd formulier waarop een
checklist laat zien waarom de kwaliteit van het geleverde werk voldoende is. Het hoofd van de kleine audit
afdeling verzamelt alle checklists, inclusief opmerkingen, in het kwaliteitsdossier, en maakt een overzicht van de
audit evaluatieformulieren. Tijdens een zelfevaluatie wordt de werking van de procedures beoordeeld zonder
bureaucratisch te worden. Tevens worden de redenen beoordeeld waarom, indien van toepassing, wijzigingen in
het audit plan zijn gemaakt.
Processtap 3 het evalueren van een stelsel van kwaliteitsbeheersing
Het resultaat van processtap 2 is een beoordeling van de procedures voor het uitvoeren van audits. De
beoordeling wordt vastgelegd in het ‘kwaliteitprogramma’. Het hoofd van de audit afdeling voert een
zelfevaluatie uit aan de hand van een zelfevaluatiechecklist. Hiervoor kan het ‘QSAT’ instrument gebruikt
worden. Vervolgens voert het hoofd een evaluatie uit van de kwaliteit van het stelsel van kwaliteitsmaatregelen
aan de hand van alle verzamelde adequate documenten in het dossier ‘kwaliteitsprogramma’. Hierbij volgt het
hoofd van de audit afdeling de volgende procedure: het hoofd van de kleine audit afdeling
1. heeft de leiding over het zelfevaluatieproces,
2. beoordeelt de aanwezigheid en volledigheid van de verzamelde bewijsstukken in het kwaliteitsdossier,
inclusief de AO/IC-procesbeschrijving, beleid en procedures en opdrachtafstemming interne toetser,
3. voert een steekproef uit op het werk ter plaatse, inclusief beoordeling van de werking van het
administratieve beleid en procedures (AO/IC), overwegingen ten aanzien van bedrijfsrisico’s,
governance en audit risicobeoordelingen in audit planning, werkdocumenten en rapporten, en
beoordelingen voor geselecteerde audits en adviesprojecten,
4. beoordeelt het aantal medewerkers en de vaardigheden van de medewerkers en hun continue
professionele opleiding in relatie tot de adequate dekking van het auditgebied en het IT-auditgebied.
5. evalueert de naleving van de standaarden binnen de interne audit afdeling aan de hand van de KCI’s en
de ‘Best Practices’ binnen de afdeling die processen en de prestatie van de afdeling verbeteren; de
uitkomst wordt vastgelegd in een rapportage instrument (QSAT).
6. formuleert conclusies in een apart document over de mate van naleving van de standaarden, het Audit
Charter en andere relevante criteria, alsook aanbevelingen voor verbetering en plannen voor invoering
van de verbeteringen,
7. maakt een rapport met de beoordeling van het stelsel van kwaliteitsmaatregelen en motivatie wanneer
wel/niet voldaan wordt aan de standaarden en ‘Best Practices’ aan de hand van de IIA externe
classificatie in het eindoordeel. Ter illustratie volgen twee voorbeelden om tot een eigen oordeel te
komen:
a. veel audit afdelingen hebben geen uitgebreid interne continue kwaliteitsborgings- en
verbeterprogramma (1300). Zo kan de substandaard 1311 (interne beoordelingen) ‘VVVV’
scoren omdat enkele elementen van het kwaliteitsprogramma in opzet en werking aanwezig
zijn. De 1312 (externe beoordelingen) kan ook ‘VVVV’ scoren omdat een zelfevaluatie met
onafhankelijk beoordeling plaats heeft gevonden. Dan hoeft het nog niet zo te zijn dat de 1310
in overeenstemming ook een ‘VVVV’ scoort en kan de 1300 in zijn geheel een ‘Voldoende’
krijgen,
b. in een ander voorbeeld hoeft een éénpitter geen onafhankelijkheidskwestie te hebben (1110)
als die maar goed georganiseerd is. Het hoofd van de audit afdeling maakt een planning en
voert zijn of haar eigen werk uit en rapporteert formeel aan het management en het Audit
Committee. Hij of zij rapporteert functioneel aan het Audit Committee en administratief aan
de Chief Executive Officer, de hoogste uitvoerende positie in de organisatie. Uit de interviews
met de belanghebbenden dient deze onafhankelijkheid bevestigd te worden1,
1 voorbeelden komen uit een internetdiscussie tussen Amerikaanse kwaliteitstoetsers.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 51 van 54
8. maakt een opdrachtformulering voor het afstemmen met de interne toetser, inclusief selectiecriteria om
het zelfevaluatieproces te laten beoordelen,
9. laat het zelfevaluatieproces valideren door een onafhankelijke beoordelaar met dezelfde kwalificaties
als van een externe beoordelaar.
10. laat de beoordelaar de voorzitter van het Audit Committee interviewen en beperkte testen uitvoeren om
de resultaten te valideren,
11. laat de beoordelaar zijn/haar mening uitspreken over de adequaatheid van het zelfevaluatieproces en
het geïndiceerde niveau van naleving van de standaarden,
12. verstuurt het rapport inclusief de beoordeling van de interne toetser aan de directie en senior
management. Kwaliteitscontrole vindt plaats op de aanwezigheid van een opdrachtafstemming door het
hoofd van de audit afdeling.
De belangrijkste interne beheersingsmaatregel in deze processtap is de procedure voor zelfevaluatie. De interne
toetser beoordeelt de kwaliteit daarvan. De kwaliteitscontrole is de vastlegging van de zelfevaluatie in een eigen
motivatie door het hoofd van de kleine audit afdeling, en is gericht op de uitkomst of prestatie van het proces van
kwaliteitsbeheersing.
Processtap 4 het bijsturen van een stelsel van kwaliteitsbeheersing
Opzet van de kwaliteitsmaatregelen
De uitvoer van processtap 3 is de reactie van de directie op de verbeteracties in het evaluatierapport. De reactie
van de directie wordt in een follow up vergadering vastgelegd in de bestuursnotulen. Het hoofd van de audit
afdeling bepaalt aan de hand van deze reactie de ontbrekende en de te repareren interne kwaliteitsmaatregelen en
zorgt voor de invoering ervan. Het hoofd van de kleine audit afdeling informeert de auditoren en andere
betrokkenen, legt de vervolgacties vast in het QSAT-instrument en checkt of het Audit Charter bijgewerkt moet
worden.
Werking van de kwaliteitsmaatregelen
Het hoofd van de kleine audit afdeling onderzoekt de werking van de kwaliteitsmaatregelen aan de hand van:
1. de procedures ‘het uitvoeren van audits’, de ‘follow up’ en de ‘escalatie’- procedure,
2. de acties die voortkomen uit de aanbevelingen vanuit audits,
3. de notulen van de betreffende afdeling om redenen te achterhalen voor de niet-uitvoering van de follow
up actie. Bij niet-uitvoering zorgt het hoofd van de audit afdeling ervoor dat het senior management het
risico van het niet nemen van maatregelen heeft aanvaard en dit aan belanghebbenden hebben verteld,
4. interviews van medewerkers.
Mocht uit interviews van de betreffende medewerkers door het hoofd van de audit afdeling geconcludeerd
worden dat resterende risico’s niet opgelost worden, dan legt het hoofd van de audit afdeling deze voor aan de
Raad van Bestuur voor resolutie. De onafhankelijke beoordelaar doet een kwaliteitscontrole op de uitvoering van
de escalatieprocedure door middel van een interview met de auditor en beoordeling van de bestuursnotulen.
Management informatie nodig voor het uitvoeren van een zelfevaluatie:
1. IIA-reglement,
2. IIA-standaarden,
3. Audit Charter,
4. Audit jaarplan inclusief personeelsbegroting met post voor kwaliteitsbeheersing,
5. Risicoanalyse en evaluatie van de gehele organisatie,
6. Overzicht ‘Planning versus Realisatie’,
7. Beoordeling verband tussen de organisatierisico’s en de voorgestelde audit onderwerpen,
8. Functieprofiel auditor,
9. Vaardighedenmatrix (kennis en expertise) van het personeel in dienst,
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 52 van 54
10. Beoordeling match tussen vraag en aanbod,
11. Kwaliteitsprogramma met minimale set bewijsstukken,
12. Richtlijn voor de beveiliging van de dossierkast en de afdelingsschijf,
13. Notulen van bestuursvergaderingen,
14. Beoordeling aanwezigheid en actualiteit van de bewijsstukken in het kwaliteitsprogramma,
15. Overzicht van audit evaluatieformulieren,
16. Overzicht beoordeling uitgevoerde audits,
17. Een zelfevaluatie-checklist in het ‘QSAT’-instrument,
18. Procedure voor zelfevaluatie,
19. Verbeteringsvoorstellen en plannen voor invoering van de verbeteringen in ‘QSAT’-instrument,
20. Evaluatierapport hoofd audit afdeling,
21. Opdracht afstemming met selectiecriteria voor een onafhankelijke beoordelaar,
22. Beoordeling onafhankelijke beoordelaar,
23. De reactie van de directie vastgelegd in de bestuursnotulen,
24. Follow up procedure,
25. Escalatieprocedure,
26. Interview verslag hoofd audit afdeling,
27. Resolutiemaatregelen in bestuursnotulen.
Bijlage IV QSAT Rapportage Tool Zie aparte bijlage.
Bijlage V Modellen, Schema’s & Tabellen Model Beschrijving Pagina nummer
1. Het onderzoeksmodel 8
2. Het gewenste proces van
kwaliteitsbeheersing
14
3. Het Path to Quality Model 15
Schema Beschrijving Pagina nummer
1. Project 1: (her)inrichting van het proces van
kwaliteitsbeheersing
33
2. Project 2: het toepassen van beleid 35
3. Project 3: het verbeteren van informatie-
voorziening
36
4. Een generiek verbetertraject 38
Tabel Beschrijving Pagina nummer
1. Een beknopte beschrijving van de IIA-
standaarden
12
2. De problemen van de kleine audit afdeling
met de standaarden
19/20
3. Prestatiekloof tussen huidige en gewenste
resultaten
23/24
4. Beheersingsmaatregelen en
kwaliteitscontroles per processtap
34
5. Bronnen bij de verschillende Key
Conformance Indicators (KCI’s) per
standaard
37
Afbeelding Beschrijving Pagina nummer
1. Het QSAT rapportage tool 40
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 53 van 54
Bijlage VI Gebruikte afkortingen
AO/IC Administratieve Organisatie/Interne Controle
BPI Business Process Improvement
BPR Business Process Redesign
CAE Chief Audit Executive
CEO Chief Executive Officer
CIA Certified Internal Auditor
COSO Committee of Sponsoring Organizations
EFQM European Foundation for Quality Management
GAIN Global Auditing Information Network
IA-CMM Internal Auditing Capability Maturity Model
IIA Inc. Institute of Internal Auditors Incorporation (U.S.A.)
IIA Nederland Instituut voor Internal Auditors Nederland
IPPF International Standards for the Professional Practice of Internal Auditing
KCI Key Conformance Indicator
PA Practice Advisory
PAS Professional Audit Solisten
PTQM Path to Quality Model
QA Quality Assessment
QAIP Quality Assurance and Improvement Program
RA Register Accountant
RE Register EDP Auditor
RO Register Operational Auditor
RvB Raad van Bestuur
SAIV Self Assessment with Independent Validation
TQM Total Quality Management
Bijlage VII Literatuurlijst Boeken
1. Driessen J., A. Molenkamp Operational Auditing; een managementkundige benadering van internal
auditing, Kluwer, Deventer, 2004.
2. Hammer, M. J.Champy, Reengineering the corporation, Harper Business, New York, 2004.
3. O'Regan D., Strategies for Small Audit Shops, The IIA Research Foundation, Altamonte Springs, Florida,
2002.
4. Pawson, R., Evidence Based Policy. A realist perspective”, Londen/Thousand Oaks/ New Delhi, 2006.
5. Sawyer B., et al., Sawyer’s, Internal Auditing, The practice of modern Internal Auditing, 5th
edition, The
Institute of Internal Auditors, Altamonte Springs, Florida 2005.
6. Verschuren P., H. Doorewaard, Het ontwerpen van een onderzoek, LEMMA, Den Haag, 2007.
7. Ten Have, S., W. ten Have, F.Stevens, Key Management Models, Prentice Hall, Engeland, 2003.
Artikelen
8. Armanas P., Quality Assessments for small shops, Internal Auditor, June 2007, p. 55-58.
9. Baker N., A renewed framework, Internal Auditor, February 2009, p.54-59.
10. Cheung S., E Heck, H.Koreman Kwaliteitstoets IIA: de eerste ervaringen, Audit magazine, nr.3, september
2006, p.28-31.
11. De Looff, H., A. Molenkamp, De veranderende rol van toezichthouden, Finance & Control, Kluwer, 2007.
12. Molenkamp A., De toekomst is aan de kleine auditafdeling, Audit Magazine, nr.2, juni 2004, p.32-33.
Kleine interne audit afdelingen en de IIA-standaarden
Drs. Y.F.Stuijt 54 van 54
13. Molenkamp A., PAS bijeenkomst, Kwaliteitstoetsing door het IIA bij kleine IAD’s, Audit Magazine, nr.3,
p.50, september 2007.
14. Ronde Tafel bijeenkomst PAS, kwaliteitstoetsing bij kleine audit afdelingen, Audit Magazine, nr. 5, p.52,
december 2008.
15. Stanek, S. 10 big things for small audit departments, KnowledgeLeader, Protivity inc., 2008.
16. Tilman R., Vaags F., Kwaliteitstoetsing: voor en door internal auditors, Audit magazine, nr.2, p.16-19, juni
2007.
IIA documentatie
17. DIIR, Deutsches Institut főr Interne Revision e.V., QA-Guideline for Conducting a Quality Assessment,
Addendum to DIIR Standard Number 3, 2007.
18. Instituut voor Internal Auditors Nederland, Competency Framework for the Internal Auditing, Deel I,
M.Vlak, IIA NL, 2001.
19. Instituut voor Internal Auditors Nederland, Handleiding Kwaliteitstoetsing Interne Auditors, Deel I, IIA NL,
2007.
20. Instituut voor Internal Auditors Nederland, Reglement op de kwaliteitstoetsing voor interne auditors, IIA
NL, 10 juni 2004.
21. Instituut voor Internal Auditors Nederland, Vragenlijst IIA ‘Self Assessment CAE’, IIA NL.
22. Instituut voor Internal Auditors Nederland, IIA Position Paper: De internal auditor in Nederland, IIA NL,
21 april 2005.
23. SVIR, Swcheizericher Verband főr Interne Revision, Quality Self Assessment Tool Q-SAT, T.Ruud, Genève,
2008.
24. The Institute of Internal Auditors, Quality Assessment Manual, IIA inc., 5th
edition, Altamonte Springs,
2006.
25. The Institute of Internal Auditors, Path to Quality Presentation, IIA inc., Altamonte Springs.
26. The Institute of Internal Auditors, IIA Position Paper, The Role of Internal Auditing in Resourcing The
Internal Audit Activity, IIA inc., 2009.
27. The IIA Research Foundation, Common Body of Knowledge, IIA inc., Altamonte Springs, 2006.
28. The IIA Research Foundation, Internal Auditing Capability Model, IIA Inc, Altamonte Springs, 2007.
29. The IIA Research Foundation, Evaluation Tool 19, IIA inc., Altamonte Springs, 2008.
30. The IIA Research Foundation, GAIN Key Survey Findings, IIA inc. Altamonte Springs, 2009.
31. The Institute of Internal Auditors, International Standards for the Professional Practice of Internal Auditing
(Standards), IIA inc., Altamonte Springs, 2009.
32. University of Zurich, Institute for Accounting and Control, Quality Assurance and Improvement in Internal
Auditing, Seminar Paper, T.Ruud. Antwerp, 2008.
33. Professional Audit Solisten, StandardsKleineIAD_totaal_versie (2), PAS, ongepubliceerd, 2008.
Dilbert © by Scott Adams