Competency Framework for Internal Auditing

deel

1

Competency Framework for Internal Auditing Samenvatting van de studierapporten en synthese van de belangrijkste inzichten

Drs M.O.J. Vlak

Instituut van Internal Auditors Nederland Commissie Professional Practices Werkgroep Competency Framework

Vormgeving BoDesk reclamestudio, Barendrecht

ISBN 90-804819-2-0 NUGI 683

© 2001 Instituut van Internal Auditors Nederland, Amsterdam. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm, elektronisch op geluidsband of op welke andere wijze dan ook, zonder voorafgaande schriftelijke toestemming van het Instituut van Internal Auditors Nederland.

Competency Framework for Internal Auditing deel 1

Samenvatting van de studierapporten en synthese van de belangrijkste inzichten

Drs M.O.J. Vlak

Instituut van Internal Auditors Nederland Commissie Professional Practices Werkgroep Competency Framework

COMPETENCY FRAMEWORK FOR INTERNAL AUDITING

Voorwoord In 1999 heeft IIA Inc. het Competency Framework for Internal Auditing gepubliceerd. Deze publicatie was voor de Commissie Professional Practices van IIA Nederland aanleiding om een Werkgroep Competency Framework (WCP) te installeren met als opdracht een Competency Framework specifiek voor Nederland te ontwerpen. De werkgroep staat onder voorzitterschap van C.C. van der Sluis RA. Leden van de werkgroep zijn drs L.L. Kiers RA, dr B. van Kuijck RA RC, drs P.J. Snoep RO, A. Vincenten RA, drs M.O.J. Vlak en drs P. Wolff CISA. Om tot een Competency Framework voor Nederland te komen, heeft de werkgroep een aantal deelprojecten geformuleerd en vervolgens in uitvoering genomen. Het eerste deelproject is afgerond en ligt nu voor u. De werkgroep is in het bijzonder dank verschuldigd aan drs. M.O.J. Vlak op wiens conto dit deelrapport kan worden geschreven. Intussen werkt de werkgroep onvermoeibaar door aan het project om in het najaar van 2001 het eindproduct te kunnen presenteren. In de IIA nieuwsbrief zal de werkgroep op gezette tijden de voortgang melden.

drs P. Hofstra RO Voorzitter IIA

C.C. van der Sluis RA Voorzitter WCP

3


Ten geleide De hedendaagse ontwikkelingen op het gebied van internal auditing zijn talrijk. Het merendeel van deze ontwikkelingen vindt zijn oorsprong in Angelsaksische landen, zoals de Verenigde Staten, Verenigd Koninkrijk en Australië. Onlangs is door het Institute of Internal Auditors (IIA) een wereldwijd onderzoek uitgevoerd naar de gevolgen van deze ontwikkelingen voor competenties van internal auditafdelingen en de vaardigheden en kennis waarover de moderne internal auditor dient te beschikken. Dit is vastgelegd in het Competency Framework for Internal Auditing (1999). Voordat het Competency Framework for Internal Auditing ook in Nederland gemeengoed wordt, heeft IIA Nederland gemeend zelf te onderzoeken in hoeverre dit ook van toepassing is op de Nederlandse situatie. De Werkgroep Competency Framework heeft zich als doel gesteld een Competency Framework te ontwikkelen voor internal auditing in Nederland. Hiervoor is een onderzoeksplan opgesteld. Het plan bestaat uit vijf deelprojecten, waarbij ieder deelproject kan worden gezien als een afzonderlijk onderzoek, maar die tezamen bijdragen aan het eindproduct. De volgende vijf vragen beschrijven de deelprojecten: 1. Wat is het Competency Framework for Internal Auditing en welke inzichten op het gebied van competenties van de internal audit functie en internal auditors kunnen hieraan worden ontleend? 2. Wat zijn volgens internal audit afdelingen in Nederland de competenties van een internal audit functie en internal auditors? 3. Wat zijn volgens Nederlandse executives de competenties van een internal audit functie en internal auditors? 4. Hoe is op dit moment de internal audit functie ingericht bij Nederlandse organisaties? 5. Wat zijn de elementen van een Competency Framework voor Nederland? Onderstaand zijn de vijf deelprojecten en de onderlinge relaties weergegeven:

Mening executives over competenties in internal audit (3)

Competency Framework for Internal Auditing (1)

Analyse

Huidige inrichting IAD's in Nederland (4)

Mening groep IAD's over competenties in internal audit (2)

Competency Framework Nederland (5)

5


In dit rapport worden de resultaten weergegeven van deelproject 1. Belangrijke aanleiding voor de uitvoering van dit deelproject is de beperkte toegankelijkheid van het originele onderzoeksrapport. In het onderhavige rapport is getracht de grote hoeveelheid informatie voor de lezer te ontsluiten. De auteur en de werkgroepleden hebben zich in dit rapport uitdrukkelijk onthouden van enig commentaar. De resultaten zullen worden gebruikt om, in relatie met de overige onderzoeken te komen tot een competentie profiel (Competency Framework) voor internal audit in Nederland (deelproject 5).

6


Inhoudsopgave Voorwoord

3

Ten geleide

5

Inhoudsopgave

7

Samenvatting

9

1. 1.1 1.2 1.3 1.4 1.5

Inleiding Doel van het onderzoek Onderzoeksverantwoording Doelgroep Opbouw van het rapport Leeswijzer

17 18 18 18 19 19

Deel A: Samenvatting studierapporten 2. 2.1 2.2 2.3

Competency Framework for Internal Auditing Inleiding Achtergrond en aanpak Competency Framework for Internal Auditing

23 24 24 25

3. 3.1 3.2 3.3

Internal Auditing: The Global Landscape Doel en opzet van de studie Samenvatting van het studierapport Synthese van de inzichten

27 28 28 30

4. 4.1 4.2 4.3

Internal Auditing Knowledge: Global Perspectives Doel en opzet van de studie Samenvatting van het studierapport Synthese van de inzichten

31 32 32 37

5. 5.1 5.2 5.3

The Future of Internal Auditing: A Delphi Study Doel en opzet van de studie Samenvatting van het studierapport Synthese van de inzichten

39 40 40 44

6. 6.1 6.2 6.3

Assessing Competency in Internal Auditing: Structures and Methodologies Doel en opzet van de studie Samenvatting van het studierapport Synthese van de inzichten

47 48 48 57

7


7. 7.1 7.2 7.3

Competency: Best Practices and Competent Practioners Doel en opzet van de studie Samenvatting van het studierapport Synthese van de inzichten

59 60 60 65

Deel B: Synthese van de belangrijkste inzichten 8. 8.1 8.2 8.3 8.4 8.5 8.6

Internal audit vanuit best practice perspectief Inleiding Bestaansrecht van internal audit Toekomstige rol van internal audit Kenmerken competente internal audit afdeling Bekwaamheden van internal auditors Beoordelen van competenties

69 70 70 70 74 77 79

9. 9.1 9.2 9.3 9.4 9.5

Competentiestandaarden voor internal audit Inleiding Referentiemodel best practice internal audit Taakomschrijvingen Cognitieve en gedragsvaardigheden Kennisvereisten

83 84 84 90 92 96

Begrippenlijst

99

Bijlagen Bijlage 1 : Cognitive and behavioral skills Bijlage 2 : Knowledge areas/items

103 111

8

Samenvatting

9


Algemeen In 1999 is het Competency Framework for Internal Auditing verschenen dat, naast een zeer algemene samenvatting, uit vijf studierapporten bestaat. In deze publicatie van de Research Foundation van het Institute for Internal Auditors (IIA Inc.) wordt inzicht gegeven in de wereldwijde ontwikkelingen op het gebied van internal auditing en is aangegeven over welke competenties internal audit afdelingen en internal auditors moeten beschikken om in de toekomst auditdiensten van ‘wereldklasse’ te kunnen leveren. In opdracht van de Commissie Professional Practices van IIA Nederland onderzoekt de werkgroep Competency Framework hoe internal audit in Nederland zich verhoudt tot de kenschets, zoals weergegeven in het Competency Framework for Internal Auditing. Om deze opdracht uit te kunnen voeren, zijn door de werkgroep vijf deelprojecten gedefinieerd. Het eerste deelproject bestond uit een onderzoek naar de aard en inhoud van het Competency Framework for Internal Auditing. In dit rapport worden de uitkomsten van het eerste deelproject weergegeven, in de vorm van een samenvatting van de studierapporten en een synthese van de belangrijkste inzichten.

Competency Framework for Internal Auditing De vijf studies die ten grondslag hebben gelegen aan Competency Framework for Internal Auditing, hebben het vakgebied ieder vanuit een eigen perspectief bekeken, waarbij wel een aantal centrale vragen als uitgangspunt is gehanteerd. Deze centrale vragen lagen op het gebied van de toekomst van internal auditing, de kenmerken van een competente internal auditfunctie, de benodigde competenties (kennis en vaardigheden) van internal auditors en tot slot de beoordeling van internal audit afdelingen en internal auditors. Het eindresultaat is een veelomvattende publicatie van ongeveer 1.000 pagina’s, bestaande uit vijf op zich zelf staande studierapporten, met enerzijds een grote mate van overlap in inzichten, maar anderzijds ook grote verschillen in uitwerking van onderwerpen/centrale vragen. •

Internal Auditing: The Global Landscape geeft de resultaten weer van een demografische survey onder beroepsverenigingen van internal auditors. Het studierapport geeft inzicht in de status van de internal audit professie wereldwijd, waarbij is ingegaan op de toekomstige rol van internal auditing, competenties van internal auditors, ontwikkelingen (bedreigingen en kansen) waarmee het vakgebied wordt geconfronteerd en de status van de internal auditprofessie per land.

•

Internal Auditing Knowledge: Global Perspectives geeft de uitkomsten weer van een analyse van gezaghebbende publicaties op het gebied van internal auditing (IIA Standards) of aanverwante terreinen (COSO, CoCo, etc). Het studierapport geeft inzicht in het bestaansrecht van internal audit binnen organisaties, de rol en functie van internal auditing, competenties van de internal auditfunctie en internal auditors en eisen ten aanzien van de beoordeling van competenties.

•

The Future of Internal Auditing: A Delhi Studie geeft de mening van internal auditing experts weer over de aard van internal auditing in de toekomst, de kerntaken van internal auditing (nu en in de toekomst), factoren voor verandering, benodigde vaardigheden en criteria die kunnen worden gebruikt voor het beoordelen van internal audit afdelingen en internal auditors.

10


•

Assessing Competency in Internal Auditing: Structures and Methodologies geeft de uitkomsten weer van een onderzoek onder internal auditing experts, beroepsverenigingen alsmede opleidingsinstituten over competentiebeoordeling in relatie tot internal auditing. Het studierapport geeft inzicht in de principes, criteria, processen, methoden en technieken voor competentiebeoordeling in het algemeen en beoordelingscriteria en methoden voor internal audit afdelingen en internal auditors specifiek. In feite worden aangrijpingspunten aangereikt voor het ontwikkelen van ‘best practice’ beoordelingssystemen op het gebied van internal auditing.

•

Competency: Best Practices and Competent Practioners geeft de uitkomsten weer van een onderzoek vanuit best practice perspectief naar de aard en functie van internal auditing, de kenmerken van een competente internal auditfunctie en de vereiste bekwaamheden van internal auditors. Dit heeft geresulteerd in best practice competentiestandaarden voor internal audit afdelingen (referentiemodel en een benchmarkinstrument) en internal auditors (taakomschrijvingen en vaardigheids-/kennisprofielen).

Synthese van de belangrijkste inzichten Uit het Competency Framework for Internal Auditing blijkt dat internal auditing als vakgebied aan het veranderen is om ook in de toekomst van waarde te blijven binnen organisaties. Duidelijk is dat een statisch georganiseerde en repressief opererende internal auditfunctie in de toekomst geen bestaansrecht meer heeft: wil internal auditing meerwaarde aan het management van organisaties blijven leveren dan zal van een klantgerichte, pro-actieve aanpak sprake moeten zijn. Als operationele kerntaken in de toekomst worden gezien: het adviseren inzake risicomanagement en beheerssystemen, het realiseren van bewustwording over risico’s en beheersing binnen organisaties, het faciliteren bij organisatieverandering, het bijdragen aan continue verbetering van beheerssystemen en het verschaffen van zekerheid aan het management over de doeltreffendheid van beheerssystemen. Onderstaand is de toekomstige rol van internal audit weergegeven.

11


Toekomstige rol van internal audit Definitie

•

Focus

• •

Operationele kerntaken

• • • • • •

Scope

•

Timing

• • • •

Aard

Kansen

• • • • •

Bedreigingen

• •

Internal audit is een proces waarmee een organisatie zekerheid krijgt dat de risico’s waaraan zij wordt blootgesteld worden onderkend, begrepen en op juiste wijze worden beheerst in een steeds veranderende omgeving (dynamische context). Risico: financiële en bedrijfsrisico’s Verandering: de gevolgen hiervan op risico’s en beheersing (erkenning als ‘change agent’) Verbetering van bedrijfsprocessen. Zekerheid aan de organisatie geven dat risico’s worden beheerst Faciliteren van organisatieverandering Realiseren van bewustwording binnen de organisatie over de risico’s die samenhangen met het functioneren van de organisatie en met veranderingen in de omgeving Realiseren van bewustwording binnen de organisatie omtrent de toereikendheid en effectiviteit van de beheersstrategieën, -structuren en -systemen Bijdragen aan het verbeteren van de risicomanagement- en beheerssystemen van de organisatie Full scope: bestrijken van alle significante risicogebieden in de organisatie Huidige activiteiten: processen, systemen, inzet van middelen Toekomstige activiteiten: strategie, beleid en doelstellingen Betrokkenheid bij belangrijke activiteiten De meerwaarde van internal auditing wordt verhoogd als het in eerdere stadia van het management proces wordt toegepast (pro-actief in plaats van reactief). Operational audit Financial audit Compliance audit IT (EDP) audit De rol van internal audit wordt groter door toenemende weten regel geving, technologische ontwikkelingen, toenemende aandacht voor corporate governance en de toenemende aandacht voor risicomanagement. De grootste bedreiging voor internal audit afdelingen binnen organisaties wordt gevormd door externe aanbieders van auditservices, waardoor outsourcing dreigt. Er is een tendens dat organisaties hun auditdiensten samenvoegen, daar processen en focus (risico) gelijk zijn: het lijkt dan ook onwaar schijnlijk dat de onafhankelijke auditfunctie afzonderlijk blijft bestaan. Tabel A: Toekomstige rol van internal audit

De verbreding van het aandachtsgebied en aanpak - naast controleur ook adviseur en facilitator, organisatiebreed opererend, naast risico’s ook gericht op verandering en verbetering en proactief betrokken bij ontwikkelingen in organisaties - heeft consequenties voor de inrichting en besturing van de internal audit functie en de eisen die worden gesteld aan internal auditors op het gebied van kennis en vaardigheden. Hieronder zijn de belangrijkste inzichten weergegeven.

12


Kenmerken van een competente internal auditfunctie Functie Management

• • • • • • •

Positie & structuur

• • • • • •

Charter: doel, functie, strategie, doelstellingen en organisatie van internal audit functie Ontwikkelen van beleidslijnen en procedures Organisatie: taken, bevoegdheden en verantwoordelijkheden Coördinatie van interne en externe audit activiteiten Bijdragen aan de ontwikkeling van de professie Promotie van de functie binnen en buiten de organisatie Signaleren van veranderingen in de omgeving en hieraan aanpassen van de internal audit functie Internal audit moet worden gedragen door het management Onafhankelijk en objectief, hoewel onafhankelijkheid van de functie minder belangrijk lijkt te worden, omdat internal auditing steeds meer betrokken wordt bij besluitvorming en planning. Direct betrokken bij belangrijke activiteiten. Zodanig dat full-coverage van risicogebieden wordt gewaarborgd. Relatiemanagement om ontwikkelingen binnen de organisatie te kunnen volgen. Allianties met andere audit afdelingen

Personeel

• • • • • •

Competent personeel: diversiteit in ervaring, kennis en vaardigheden Voldoende en juiste expertise Professioneel Permanente educatie Participatie in beroepsorganisaties Multidisciplinariteit in uitvoering (specialisten en lijnpersoneel zijn direct betrokken)

Cultuur

• • • •

Samenwerkingsgericht c.q. participerend Onafhankelijk (state of mind) en objectief Gericht op verbetering (in plaats van repressie) Naleven normen en waarden (ethiek en professionele beroepsstandaarden)

Processen, methoden en technieken

•

(Risicogebaseerde) Jaarplanning: prioritering inzake projecten en begroting Auditaanpak: per audit vaststellen doel, cliëntbehoeften, scope, methode, kennis en vaardigheden, capaciteit, planning, etc. Gebruik van state of the art audittools en -technieken (geautomatiseerd) Voortdurende innovatie van auditaanpak in antwoord op organisatie verandering(en)

• • •

Prestatiemeting • • • • •

Kritische succes factoren, prestatie-indicatoren en normen Kwaliteitssysteem: kwaliteitsborging en -verbetering Interne kwaliteitsreviews Externe kwaliteitsreviews Benchmarking (best practice)

Tabel B: Kenmerken van een competente internal auditfunctie

13


De kwaliteit van een internal audit afdeling wordt bepaald door de bekwaamheden van het personeel. De vereiste vaardigheden, in termen van kennis en vaardigheden, zijn afhankelijk van de functie die iemand heeft binnen de afdeling. Bij iedere functie behoort een bepaald takenpakket, met corresponderende bevoegdheden en verantwoordelijkheden. Vaardigheden kunnen worden onderverdeeld naar cognitieve vaardigheden (technische, analytische en oordeelkundige vaardigheden) en gedragsvaardigheden (persoonlijke, interpersoonlijke en organisatie vaardigheden). Kennis kan worden onderverdeeld in twee componenten: de inhoudelijke kant (aard kennis) en het kennisniveau (theoretische versus praktische kennis). Inhoudelijke kennis heeft betrekking op kennis die internal auditors moeten hebben over bijvoorbeeld organisatiekunde, risicomanagement, beheersing, informatietechnologie, internal auditing, etc. Voor een goede functieuitoefening is het van belang dat internal auditors naast theoretische kennis ook beschikken over praktische kennis over de organisatie. Hiermee wordt bedoeld kennis over de strategie, doelstellingen, processen, bekwaamheden en de context (concurrentie, wetgeving en omgeving) waarin de organisatie opereert. Maar bovenal over de ‘risicohouding’ van de organisatie, de risico’s die worden gelopen, de risicomanagement strategieën, de verantwoordelijkheden op het gebied van risicomanagement, de visie van het management op het gebied van beheersing en de beheersstrategieën en -structuren. Op de volgende pagina zijn de bekwaamheden van internal auditors op hoofdlijnen weergegeven. Internal audit afdelingen dienen te worden beoordeeld op prestaties, taakuitvoering (competenties om de prestaties te kunnen leveren) en functionele bekwaamheid (vermogen voor het leveren van prestaties in de toekomst). Er zijn verschillende methoden om de prestaties van een internal audit afdeling te beoordelen. Externe beoordeling kan bijvoorbeeld plaatsvinden via klantenonderzoek, beoordeling van het kwaliteitssysteem, etc. Interne beoordeling kan plaatsvinden via prestatiemonitoring (o.b.v. gedefinieerde prestatie indicatoren), focus reviews (voortgangsbewaking van doelrealisatie), benchmarking (GAIN of best practice competentie standaarden). Beoordeling van internal auditors dient plaats te vinden aan de hand van beoordelingscriteria op het gebied van persoonlijke ontwikkeling (leren), taakvervulling, leidinggeven, kennis en vaardigheden (cognitieve en gedragsvaardigheden). De gebruikte beoordelingscriteria zijn hierbij afhankelijk van de functie die iemand bekleedt. Methoden die worden gebruikt voor het beoordelen van personeel zijn afhankelijk van het doel waarvoor ze worden ingezet: aanname van nieuw personeel, functioneringsgesprekken of in het kader van ontwikkeling (management development). Zodoende kunnen verschillende methoden worden gebruikt, zoals on-the-job observaties, testen, interviews, functioneringsgesprekken, etc.

14


Bekwaamheden van internal auditors Theoretische kennis

Praktische organisatiekennis

• • • • • • • • •

Technische vaardigheden

Analytische vaardigheden

Oordeelkundige vaardigheden

Persoonlijke vaardigheden

Interpersoonlijke vaardigheden

Organisatie vaardigheden

• • • • • • • • • • • • • • • • • • • • • • • • • • • • •

Rol van de omgeving Organisatiekunde Risico’s en risicomanagement Beheersingsmodellen Informatie technologie Internal auditing strategie, doelstellingen, processen, bekwaamheden en de context (concurrentie, wetgeving en omgeving) ‘risicohouding’ van de organisatie risico’s, risicomanagement strategieën en de verantwoordelijkheden m.b.t. risicomanagement managementvisie op het gebied van beheersing beheersstrategieën en -structuren Communicatief Rekenvaardigheid Accounting Financieel management Juridisch Computervaardigheden Interne beheersing Internal auditing Onderzoek & dataverzameling Analyse en beoordeling Beredeneringsvermogen Onderscheidingsvermogen Kritische instelling Oordeelsvorming Complexe situaties behandelen Waarde oriëntatie Moraliteit Evenwichtig Doelgericht Flexibel Communicatief Omgangsvormen Teamgedrag Onderhandelingsvaardigheden Organisatie sensitiviteit Taakvervulling Managementvaardigheden

Tabel C: Bekwaamheden van internal auditors

15

Hoofdstuk 1

Inleiding

17


1. 1

Doel van het onderzoek

Het eerste deelproject van de Werkgroep Competency Framework bestond uit een onderzoek naar de aard en inhoud van het Competency Framework for Internal Auditing. Doel hiervan was vast te stellen welke inzichten aan deze veelomvattende publicatie (1.000 pagina’s) kunnen worden ontleend, die kunnen worden gebruikt voor de verdere ontwikkeling van internal audit in Nederland.

1.2

Onderzoeksverantwoording

Daar het Competency Framework for Internal Auditing uit vijf studierapporten bestaat, met enerzijds een grote mate van overlap in inzichten, maar anderzijds ook grote verschillen in uitwerking van onderwerpen, heeft dit deelproject zich vooral gericht op het inventariseren van de belangrijkste inzichten, waarmee de essentie van deze publicatie het beste tot uitdrukking komt. De volgende aanpak is hierbij gehanteerd. Allereerst is een samenvatting gemaakt van de studierapporten en per studierapport zijn de belangrijkste inzichten geïnventariseerd aan de hand van een aantal centrale vragen. Deze centrale vragen, die zijn afgeleid van het Competency Framework for Internal Auditing, liggen op het gebied van: de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling, de bekwaamheden van internal auditors en competentiebeoordeling. Vervolgens is aan de hand hiervan geanalyseerd op welke gebieden er overlap in bevindingen tussen de studierapporten bestaat en welke inzichten en competentieprofielen (zowel voor de internal audit functie als internal auditors) de essentie van het Competency Framework for Internal Auditing het beste weergeven. Hierbij zijn criteria gehanteerd als inzichtelijkheid, volledigheid en praktische bruikbaarheid. Het voorgaande impliceert dat de werkgroep bij de uitwerking niet naar volledigheid heeft gestreefd, maar dat uit praktisch oogpunt keuzes en afwegingen zijn gemaakt om alleen die zaken te presenteren die naar de mening van de werkgroep de essentie van het Competency Framework for Internal Auditing het beste weergeven en kunnen bijdragen aan een discussie over competenties in internal audit in Nederland.

1.3

Doelgroep

Het rapport is primair bedoeld voor internal auditors van organisaties in Nederland. Zij kunnen het rapport hanteren als een referentiekader voor het verder ontwikkelen en inrichten van hun eigen internal audit functie. Verder kan het rapport van belang zijn voor direct betrokkenen bij de internal audit functie, zoals het management van organisaties en de externe accountant. Voor hen is het rapport een hulpmiddel in de discussie met de internal auditor over de rol, functie, taak, inrichting en besturing van de internal audit functie.

18


1.4

Opbouw van het rapport

Dit rapport bestaat uit twee delen. In deel A staat het Competency Framework for Internal Auditing centraal. Na een eerste kennismaking met deze veelomvattende publicatie in hoofdstuk 2, wordt achtereenvolgens in de hoofdstukken 3-7 een beknopte samenvatting gegeven van de afzonderlijke studierapporten. Deel A vormt het referentiekader voor het begrijpen van deel B, waarin een synthese wordt gegeven van de belangrijkste inzichten uit het Competency Framework for Internal Auditing. In hoofdstuk 8 wordt internal audit vanuit een toekomstperspectief beschreven, waarin wordt ingegaan op het bestaansrecht van internal auditing, de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling en internal auditors en tot slot competentiebeoordeling. In hoofdstuk 9 wordt ingegaan op de competentiestandaarden op het gebied van internal audit: hierbij wordt een benchmarkmodel voor internal audit functies gepresenteerd, alsmede taakomschrijvingen en competentieprofielen voor een aantal functies binnen internal audit afdelingen (onervaren auditors, ervaren auditors en hoofden internal audit).

1.5

Leeswijzer

Voor een goed begrip van de inhoud van deel B is het wenselijk dat eerst deel A wordt gelezen, aangezien deel B de synthese vormt van de inzichten, zoals deze zijn verwoord in de samenvatting van de studierapporten. Een waarschuwing is hierbij echter op zijn plaats. Bij het maken van de samenvattingen is bewust de opzet van het Competency Framework for Internal Auditing gevolgd, om de lezer een goed beeld te geven van de opzet, aard en inhoud van de verschillende studierapporten. Daar de studierapporten echter veelal dezelfde onderwerpen behandelen, waarbij bovendien een grote mate van overlap in bevindingen valt waar te nemen, hebben de samenvattingen dikwijls een herhalend karakter, wat de leesbaarheid niet altijd ten goede komt. Daarnaast zijn de samenvattingen beknopt van opzet, waarbij vanuit praktisch oogpunt gekozen is voor een algemene weergave van de inhoud zonder gedetailleerde uitwerking. De samenvattingen kunnen door de geïnteresseerde lezer, die meer wil weten over bepaalde onderwerpen, als gids worden gebruikt bij de bestudering van het Competency Framework for Internal Auditing.

19

Deel A: Samenvatting studierapporten

21

Hoofdstuk 2

Competency Framework for Internal Auditing

23


2.1

Inleiding

In opdracht van de Research Foundation van het Institute for Internal Auditors (IIA Inc.) is een internationaal onderzoek uitgevoerd. Doel van dit onderzoek was inzicht te geven in wereldwijde ontwikkelingen op het gebied van internal auditing en aan te geven over welke competenties internal audit afdelingen en internal auditors moeten beschikken om in de toekomst auditdiensten van ‘wereldklasse’ te kunnen leveren. Dit heeft geresulteerd in het Competency Framework for Internal Auditing, dat in 1999 is verschenen. Alvorens in de volgende hoofdstukken dieper wordt ingegaan op de afzonderlijke studierapporten, staat in dit hoofdstuk de eerste kennismaking met het Competency Framework for Internal Auditing centraal. Eerst wordt ingegaan op de achtergrond en het doel van het onderzoek. Daarna wordt beknopt ingegaan op de samenstellende delen, die het Competency Framework for Internal Auditing vormen.

2.2

Achtergrond en aanpak

De ‘Research Foundation’ van het Institute for Internal Auditors (IIA Inc.) vervult een belangrijke rol met betrekking tot de overdracht van kennis over ontwikkelingen op het gebied van internal auditing. Hierbij gaat de aandacht vooral uit naar kennis en competenties. Eerdere bijdragen betreffen twee edities van het ‘Common Body of Knowledge’. Met het oog op actualisering van de laatste versie van deze publicatie is in opdracht van de Research Foundation een internationaal onderzoek uitgevoerd door een daarvoor samengesteld projectteam. Door de omvang en internationale karakter van het onderzoek heeft het zich echter ontwikkeld tot een op zichzelf staand geheel. Het projectteam heeft het vakgebied internal auditing bekeken vanuit vijf verschillende perspectieven: (1) de professie wereldwijd, (2) gezaghebbende literatuur, (3) de toekomst van de professie, (4) best practice en (5) competentiebeoordeling. In de vijf studies, waarbij gebruik is gemaakt van verschillende participanten, bronnen en onderzoeksmethoden (literatuur, interviews, surveys, forums en validatiegroepen), is getracht antwoord te geven op een aantal centrale vragen: • Wat is internal auditing en welke richting gaat het op (toekomstvisie)? • Wat zijn de kenmerken van een competente internal audit afdeling, bezien vanuit best practice perspectief? • Over welke bekwaamheden (kennis en vaardigheden) dienen medewerkers van een competente internal audit afdeling te beschikken? • Op welke wijze kunnen de competenties van internal audit afdelingen en hun medewerkers het beste worden beoordeeld?

24


2.3

Competency Framework for Internal Auditing

De inzichten en bevindingen zijn vastgelegd in vijf studierapporten en een summiere samenvatting, die tezamen het Competency Framework for Internal Auditing (1999) vormen. Volgens de auteurs hebben de studies qua resultaat grote overeenkomsten, zodat het Competency Framework for Internal Auditing als geheel een gevalideerd beeld schetst van ‘best practice’ internal audit in toekomstperspectief. In tabel 1 is de opbouw en kern van de verschillende studierapporten weergegeven. Onderdeel

Inhoud

Competency Framework for Internal Auditing: An Overview

Een synopsis van het Competency Framework for Internal Auditing, belangrijkste punten uit de verschillende modulen, een gids naar onderdelen in de boekwerken die belangrijke inzichten/instrumenten geven. In deze studie wordt inzicht gegeven in de status van de internal audit professie wereldwijd, waarbij is ingegaan op de toekomstige rol van internal auditing, professionele kwalificaties, opleidingen, bedreigingen en kansen, etc. Onderzoek op basis van gezaghebbende publicaties wereldwijd, waarin de ontwikkelingen, competenties en competentiebeoordeling centraal staan. Hierbij is gebruik gemaakt van de “Standards for the Professional Practice of Internal Auditing (IIA Standards) en een aantal internationale publicaties zoals COSO, CoCo,. Centraal in deze studie stond de aard van internal auditing in de toekomst, sleuteltaken (nu en in de toekomst), factoren voor verandering, benodigde vaardigheden, benodigde kennis en beoordelingscriteria. Doel van het onderzoek was vast te stellen hoe beoordeling van internal audit functies en internal auditors kan plaatsvinden (binnen verschillende domeinen): ingegaan is op criteria, methoden, bewijsmateriaal, beoordelingssystemen en -structuren en –principes. In deze studie is de aard en functie van internal auditing onderzocht en is vastgesteld wat de kenmerken van competente internal audit afdelingen en vereiste bekwaamheden van internal auditors zijn. Resultaat is een benchmark instrument waarmee de prestaties van internal audit afdelingen kunnen worden beoordeeld en dat hulpmiddelen oplevert waarmee internal audit afdelingen zich verder naar wereldklasse kunnen ontwikkelen.

Internal Auditing: The Global Landscape

Internal Auditing Knowledge: Global Perspectives

The Future of Internal Auditing: A Delphi Study

Assessing Competency in Internal Auditing: Structures and Methodologies Competency: Best Practices and Competent Practioners

Tabel 1 Samenstellende delen van het Competency Framework for Internal Auditing

In de volgende hoofstukken wordt dieper ingegaan op de samenstellende delen, met uitzondering van het boekwerk ‘Competency Framework for Internal Auditing: An Overview’, aangezien dit boekwerk slechts de functie van beknopte samenvatting en gids/leeswijzer vervult.

25

Hoofdstuk 3

Internal Auditing: The Global Landscape

27


3.1

Doel en opzet van de studie

In deze studie is aan beroepsverenigingen van internal auditors gevraagd om hun visie te geven op de huidige status van internal auditing in hun land alsmede op de ontwikkelingen die bepalend zijn voor dit vakgebied in de toekomst. Het onderzoek is uitgevoerd door analyse van een demografische survey en ingezonden documentatie (onderzoeken, artikelen, conferentiemateriaal, etc.). Het studierapport ‘Internal Auditing: The Global Landscape’ bestaat uit acht hoofdstukken en een aantal bijlagen.

3.2

Samenvatting van het studierapport

In hoofdstuk 2 (The Scope of Internal Auditing Work) staat het werkterrein van internal auditing centraal. Hoewel er tussen landen verschillen bestaan, ingegeven door verschillen in cultuur, managementvisie op internal auditing, weten regelgeving, economische situatie, etc., is de algemene tendens dat naast financial audit (inclusief beoordeling AO/IC en interne beheerssystemen) en fraudedetectie operational audit het werkterrein van internal audit afdelingen wordt. Hoofdstuk 3 (Numbers and Locations of Practicing Internal Auditors) gaat in op het aantal praktiserende internal auditors en sectoren waarin zij werkzaam zijn, waarbij wordt geconcludeerd dat hierover onvoldoende betrouwbare informatie beschikbaar is, door het ontbreken van een goede registratie hiervan. In hoofdstuk 4 (Competency and Qualifications) wordt ingegaan op het onderwerp competenties en kwalificaties van internal auditors. Volgens het onderzoek worden doorgaans de volgende eisen gesteld: minimaal een universitaire opleiding, een professionele kwalificatie en managementervaring. Daarnaast dient een internal auditor basiskennis te hebben op het terrein van algemeen management, accounting, beheersing en auditing. Tenslotte dient een competente internal auditor te beschikken over cognitieve vaardigheden en gedragsvaardigheden (zie figuur 1). Individual Attributes

Skills Taxonomy Cognitive Skills

Technical Skills

Analytic Skills

Behavioral Skills

Appreciative Skills

Personal Skills

Interpersonal Skills

Organizational Skills

Figuur 1. Skills Taxonomy (pag. 15 Internal Auditing: The Global Landscape)

28


Uit figuur 1 blijkt dat cognitieve en gedragsvaardigheden nader zijn onder te verdelen. In tabel 2 is een korte definiëring van de onderscheiden vaardigheden opgenomen.

Technical skills

Following defined routines with some mastery

Analytic skills

Problem identification or task definition and the structuring of prototype solutions or performances.

Appreciative skills

Making complex and creative judgements, often in situations of ambiguity.

Personal skills

Handling oneself in situations of challenge, stress, conflict, time pressure and change

Interpersonal skills

Securing outcomes through interpersonal interactions.

Organizational skills

Securing outcomes through the use of organizational networks. Tabel 2. Definities vaardigheden

Professionele kwalificaties staan centraal in hoofdstuk 5 (Professional Qualifications). Gesteld wordt dat, naast eigen nationale kwalificaties (bijvoorbeeld RA/RO in de Nederlandse situatie) de CIA kwalificatie internationaal steeds meer opgeld doet, ongeacht de twijfel omtrent het studiemateriaal (omdat het te Amerikaans georiënteerd en teveel op ‘accounting’ is gericht) en het examen (te Amerikaans georiënteerd), waardoor het niet is toegesneden op de lokale situatie. Hoofdstuk 6 (Professional Development and Training) leert dat opleidingen/trainingen op het gebied van internal auditing door diverse instanties zoals beroepsverenigingen, accountantsbureaus en onderwijsinstellingen worden verzorgd. In hoofdstuk 7 (Major Issues and Concerns) is ingegaan op de kansen en bedreigingen voor de internal auditprofessie. De rol van internal audit wordt belangrijker door toenemende weten regelgeving, technologische ontwikkelingen, toenemende aandacht voor corporate governance en de toenemende aandacht voor risicomanagement. De grootste bedreiging voor internal audit afdelingen wordt gevormd door externe aanbieders van internal auditservices (adviesbureaus), waardoor outsourcing dreigt. Compliance audits (in het studierapport gedefinieerd als kwaliteits-/milieuaudits) behoren niet tot het domein van internal auditing. ICT wordt steeds meer zowel object van onderzoek als een hulpmiddel in het auditproces. Verandering, ingegeven door technologische ontwikkelingen, concurrentie, economische omstandigheden, etc., neemt een steeds belangrijker plaats in bij het denken over internal auditing, aangezien dit doorgaans leidt tot een vergrote aandacht voor continue verbetering van effectiviteit en efficiëntie en daarmee van de beheersing van organisaties. In hoofdstuk 8 (Conclusion), het laatste hoofdstuk van dit studierapport, wordt geconcludeerd dat de studie interessante inzichten heeft gegenereerd over de status van de auditprofessie wereldwijd, ondanks interpretatieproblemen van antwoorden. Deze problemen worden veroorzaakt door het ontbreken van uniform taalgebruik en denkbeelden alsmede cultuur- en economische verschillen.

29


In de bijlagen van het studierapport zijn tabellen opgenomen met de antwoorden op de demografische survey. Op basis van deze antwoorden is een kenschets van de status en ontwikkelingen van de auditprofessie per land opgesteld. Als laatste onderdeel van het studierapport zijn de uitgezette vragenlijsten opgenomen.

3.3

Synthese van de inzichten

In tabel 3 zijn de belangrijkste inzichten uit dit studierapport opgenomen op het gebied van de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling, de bekwaamheden van internal auditors en competentiebeoordeling. Toekomstige rol van internal auditing • Naast financial audits, beoordeling van systemen van interne beheersing en fraudedetectie wordt operational audit het werkterrein van internal audit afdelingen. • De rol van internal audit wordt groter door toenemende weten regelgeving, technologische ontwikkelingen, toenemende aandacht voor corporate governance en de toenemende aandacht voor risicomanagement. • De grootste bedreiging voor internal audit afdelingen binnen organisaties wordt gevormd door externe aanbieders van auditservices, waardoor outsourcing dreigt. • Compliance audits (kwaliteits/milieuaudits) behoren niet tot het domein van internal auditing. • De rol van internal auditing in landen wordt bepaald door cultuur, de visie van topmanagement en ontwikkelingen op economisch en politiek terrein. • Informatietechnologie (ICT) wordt steeds meer object van onderzoek. • Verandering neemt een centrale plaats in bij het denken over internal auditing: externe ontwikkelingen of interne ambities leiden tot veranderingen in de interne organisatie, waardoor het werkterrein van internal audit wordt beïnvloed in termen van aandachtsgebieden en de aard van de te leveren diensten (assurance versus consultancy). Kenmerken competente internal audit afdelingen • Informatietechnologie inzetten als audittool in internal audit. • Aandacht besteden aan imagoverbetering en promotie van de meerwaarde voor het management. • Multidisciplinariteit door ook andere specialisten bij internal audit te betrekken. Bekwaamheden medewerkers van competente internal audit afdelingen • Minimaal een universitaire opleiding. • Naast een universitaire opleiding is ook een professionele kwalificatie (bijvoorbeeld RA of RO) vereist. • Managementervaring is een pre. • Basiskennis op het terrein van management, accounting, beheersing en auditing. • Cognitieve vaardigheden: technische, analytische en beoordelingsvaardigheden. • Gedrag: persoonlijke, interpersoonlijke en organisatie (politieke) vaardigheden. Beoordelen van competenties • Beoordeling van competenties vindt doorgaans slechts plaats bij aanname van personeel, waarbij gekeken wordt naar academische opleiding, managementervaring, brede kennis en cognitieve en gedragsvaardigheden. • Het ontbreekt aan methoden en technieken voor beoordeling van ‘performance on the job’.

Tabel 3. Inzichten uit Internal Auditing: The Global Landscape

30

Hoofdstuk 4

Internal Auditing Knowledge: Global Perspectives

31


4.1


In deze studie zijn twee sets van gezaghebbende publicaties op het gebied van internal auditing of hieraan gerelateerde onderwerpen geanalyseerd. Enerzijds een aantal IIA publicaties (zoals de IIA Standards) en anderzijds een aantal internationale publicaties (zoals COSO, CoCo, Cadbury, COBIT). Om vanuit een wereldwijd perspectief antwoord te geven op de vier kernvragen heeft een herinterpretatie van de publicaties plaatsgevonden. Het studierapport ‘Internal Auditing Knowledge: Global Perspectives’. bestaat uit twee delen: deel A geeft de overall resultaten weer van de studie en deel B de kenschetsen van de tweede set van internationale publicaties.

4.2


Hoofdstuk 2 (A Competency-Based Interpretation of Standards for Internal Auditing Practice) behandelt de analyse van de IIA Standards en geeft een aantal relevante inzichten op het gebied van de functie en taken van de internal audit afdeling. Volgens de IIA Standards heeft internal audit als functie het op onafhankelijke wijze beoordelen van de kwaliteit van beheersmaatregelen. Het takenpakket van een auditfunctie bestaat naast inhoudelijke ook uit managementtaken (zie tabel 4). Operational tasks • Determine the reliability and integrity of financial and operating information, and the means used to identify, measure, classify and report such information. • Determine whether the organization is in compliance with policies, plans, procedures, laws and regulations which could have a significant impact on its operations or reports. • Determine whether the assets of the organization are appropriately safeguarded. • Determine whether resources are employed economically and efficiently. • Determine whether operations and programs are being performed as planned and whether results are consistent with established objectives. Management tasks

• • • • • • •

Establish the purpose, authority and responsibility of the internal auditing function. Establish plans to carry out the responsibilities of the function. Establish policies and procedures to guide the internal auditing process and staff. Manage and develop the personnel of the function. Coordinate internal and external audit efforts. Establish quality assurance for the internal auditing function. Accommodate environmental diversity and organizational variability in internal auditing (management processes). Tabel 4 Task Profile of the Internal Auditing Function (pag. 49-54 Internal Auditing Knowledge: Global Perspectives)

32


Uit de IIA Standards kan tevens worden afgeleid dat het beoordelen van de bekwaamheden van medewerkers dient plaats te vinden vanuit twee invalshoeken: kennis en vaardigheden. Kennis kan op verschillende niveaus bestaan: theoretische kennis, praktische kennis en expertise. In tabel 5 is op hoofdlijnen een overzicht gegeven van de onderwerpen waarvan internal auditors, afhankelijk van het functieniveau, theoretische of praktische kennis moeten bezitten. Auditing

Organizations

Computers/ Information Technology

Sociology and psychology

Fraud Financial accounting

Finance and economics

Law and government

Statistics and quantitative methods Marketing

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •

Overall management Managing specific engagements Pre-audit preparation Data evaluation Audit procedures Internal Controls Post-audit work Types of auditing Leadership/management issues Individual/team behavior Structures and change Organizational issues Basic knowledge Software knowledge Computer security Information systems risk Individual psychology Group behavior Social problems Knowledge Investigation Issues requiring managerial judgement Technical accounting topics Other accounting topics Managerial accounting Product costing Budgetary/cost control Financial analysis Financing/financial management Economics Law and business Taxation laws Government Statistics Quantitative methods Marketing

Tabel 5 Knowledge Area/Items (pag. 30-35 Internal Auditing Knowledge: Global Perspectives)

33


Vaardigheden dienen te liggen op het gebied van cognitieve en gedragsvaardigheden (zie Hoofdstuk 3. Internal Auditing: The Global Landscape). In tabel 6 is op hoofdlijnen een overzicht opgenomen van de vaardigheden waarover internal auditors, afhankelijk van het functieniveau, moeten beschikken. Technical skills

Analytic skills

Appreciative skills

Personal skills



• • • • • • • • • • • • • • • • • • • • • • • •

Communication/literacy Numeracy Accounting literacy Financial management Legal literacy Computer literacy Internal control Internal auditing Information literacy Problem structuring Reasoning Discrimination Critique Evaluation Complexity management Value orientations Morality Balance Directed Flexibility Communication People skills Team management Negotiation

• • •

Organizational awareness Task management Function management

Tabel 6 Cognitive and Behavioral Skills (pag. 38-41 Internal Auditing Knowledge: Global Perspectives)

34


In hoofdstuk 3 (Contextual Underpinnings of Internal Auditing Practice Standards) is het bestaansrecht van internal auditing weergegeven, zoals dat uit de IIA Standards kan worden afgeleid. Uitgangspunt is dat het functioneren van organisaties wordt bepaald door het nastreven van geformuleerde doelstellingen: dit vereist het ontwikkelen van een strategie, processen, systemen en de inzet van (schaarse) middelen. De rol van het management ligt hierbij op het gebied van plannen, organiseren, besturen en monitoren. Om de doelstellingen te kunnen realiseren heeft het management een belangrijke taak om tijdig in te spelen op veranderingen in de omgeving (techniek, economisch, weten regelgeving, etc.) en het managen van risico’s. Het managen van risico’s betekent het identificeren en beoordelen van risico’s en het nemen van de juiste beheersmaatregelen. Vanuit haar verantwoordingstaak dient het management aan de share-holders zekerheid te geven dat de organisatie ‘in control’ is doordat de organisatie beschikt over een goed functionerend beheerssysteem. Internal auditing ondersteunt het management hierbij en heeft als hoofdtaak een redelijke mate van zekerheid te geven aan het management dat doelstellingen worden gehaald. Figuur 2 geeft de verbanden weer.

Organizational environments

Organizational functioning

Change

Management processes

Risk exposures

Control

Assurance

Internal Auditing

Figuur 2. Contextual Underpinnings of Internal Auditing (pag. 61 Internal Auditing Knowledge: Global Perspectives)

35


In hoofdstuk 4 (Other Perspectives on Internal Auditing) zijn de bevindingen weergeven van de analyse van 20 gezaghebbende internationale publicaties op het gebied van internal auditing of aanverwante gebieden. Uit deze analyse blijkt dat internal auditing als vakgebied aan het veranderen is, met als doelstelling om ook in de toekomst van waarde te blijven binnen organisaties. De volgende inzichten kunnen hieraan worden ontleend: • was internal auditing in het verleden voornamelijk gericht op financial audit, in de toekomst zal de nadruk liggen op organisatieverbetering, het vaststellen en beoordelen van risico’s en het adviseren over adequate en effectieve beheerssystemen; • de meerwaarde van internal auditing wordt verhoogd wanneer internal auditing in eerdere stadia van het managementproces (planning en besluitvorming) wordt ingezet; • door toepassing van internal auditing in eerdere stadia van het managementproces, lijkt de onafhankelijkheid van de functie steeds minder belangrijk te worden; • de auteurs vragen zich af of internal auditing in de huidige vorm blijft bestaan, aangezien er een tendens is dat organisaties hun ‘auditdiensten’ gaan samenvoegen, daar processen en aandachtsgebied (namelijk risico) gelijk zijn; • een effectieve internal audit afdeling moet gedragen worden door het management en hiermee goed samenwerken , onafhankelijk zijn, de organisatie en business uitstekend kennen en gericht zijn op zowel huidige activiteiten als strategische aspecten; • beoordeling van internal audit afdelingen kan plaatsvinden door klantenonderzoek, beoordeling van de prestaties, beoordeling van het kwaliteitssysteem, externe beoordelingen en benchmarking. Hoofdstuk 5 (Issues) geeft een aantal aandachtspunten aan, die van belang zijn in het kader van de ontwikkeling van internal auditing, waarvan de belangrijkste zijn: • de belangrijkste taak van internal auditing is prestatieverbetering van organisaties; • internal auditing richt zich primair op risico (zowel bedreigingen als kansen); • het aandachtsgebied en de scope van internal auditing dienen te worden geherdefinieerd met als referentiepunten: zekerheid, beheersing, risico en verandering; • internal auditing vereist relatiemanagement, beoordeling van risico’s, delen van kennis en expertise met de organisatie, kweken van bewustwording bij de organisatie over risico’s en de beheersing daarvan, bijdragen aan strategische planning en besluitvormingsprocessen en het faciliteren van self-assessment door de organisatie; • de eigenschappen van functies van medewerkers binnen internal audit afdelingen moeten worden vastgesteld en ontwikkeld, als integraal onderdeel van een competente internal audit functie; • internal auditors moeten inzicht hebben in de organisatie(context), processen, risico’s, beheerssystemen en in staat zijn internal auditing op verschillende wijzen toe te passen; • competenties dienen met behulp van meerdere methoden te worden beoordeeld; • beoordelingsmethoden dienen periodiek op actualiteit/juistheid te worden beoordeeld. Hoofdstuk 6 (Conclusion) bevat de eindconclusie en geeft aan op welke wijze internal auditing ook in de toekomst waarde kan blijven leveren. De aard en functie van internal auditing dienen te worden herbeoordeeld. Internal auditing dient gepositioneerd te worden als een breed en pro-actief opererende functie, die het management zekerheid geeft dat risico’s worden beheerst in een veranderende omgeving. Het werkgebied dient hierbij alle organisatieonderdelen te omvatten waar sprake is van risico’s. Dit leidt ertoe dat het takenpakket voor internal auditing dient te worden aangepast en dat hiervoor prestatiecriteria (best practice) dienen te worden ontwikkeld. Competentie van internal audit afdelingen betekent het voldoen aan de behoeften van het management en gevalideerde prestatiecriteria.

36


Competente medewerkers dienen te beschikken over cognitieve en gedragsvaardigheden. Bij het beoordelen van competenties dienen de juiste criteria en beoordelingsprocessen te worden gebruikt. Periodiek dienen de criteria te worden bezien op validiteit.

4.3


In tabel 7 zijn de belangrijkste inzichten uit dit studierapport opgenomen op het gebied van de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling, de bekwaamheden van internal auditors en competentiebeoordeling.

Toekomstige rol van internal auditing • In het verleden was internal auditing voornamelijk gericht op het beoordelen van beheerssystemen, maar in de toekomst zal de nadruk liggen op het vaststellen en beoordelen van risico’s en het vervolgens waarborgen dat adequate en effectieve beheerssystemen worden ontwikkeld. • Er is een tendens dat organisaties hun auditdiensten samenvoegen, daar processen en focus (risico) gelijk zijn: het lijkt dan ook onwaarschijnlijk dat de onafhankelijke auditfunctie afzonderlijk blijft bestaan. • De focus van internal auditing moet gericht zijn op het verbeteren van de prestaties van organisaties: internal auditing geeft het management zekerheid dat het beheerssysteem effectief is in het terugdringen van risico’s tot acceptabele niveau’s. • Kerntaken van internal auditing: vaststellen betrouwbaarheid financiële informatie, vaststellen compliance, vaststellen of bezittingen worden beveiligd, vaststellen efficiënt en effectief gebruik van middelen, vaststellen effectiviteit bedrijfsprocessen in relatie tot doelstellingen, het managen van de functie en contextmanagement. • Internal auditing wordt gekenmerkt door een participerende en adviserende benadering, ondersteuning bij risico-identificatie, oordeelsvorming omtrent risico’s en risicobeheersing en delen van expertise en kennis op het gebied van risicobeheersing. • De meerwaarde van internal auditing wordt verhoogd als het in eerdere stadia van het managementproces (dus pro-actief)wordt toegepast. Kenmerken competente internal audit afdelingen • De kwaliteit van internal auditing wordt bepaald door de mate van professionaliteit, expertise op het gebied van risico’s en risicomanagement, kennis van de organisatie en kwaliteitsbewaking. • De onafhankelijkheid van de functie lijkt minder belangrijk te worden, omdat internal auditing steeds meer betrokken wordt bij besluitvorming en planning. • Internal auditing moet potentiële risico’s als gevolg van interne en externe ontwikkelingen identificeren en op de verwachte effecten ervan anticiperen: internal auditing moet eerder in de planningsprocessen worden betrokken. Dit vereist vaardigheden om toekomstscenario’s te analyseren en het ondersteunen bij besluitvorming.

37


• Internal audit afdelingen moeten vaststellen welke diensten de gewenste meerwaarde

• • •

leveren, kennis hebben van relaties tussen context, risico, strategie en doelstellingen, prioriteiten stellen en toepassen van informatietechnologie bij het uitvoeren van de werkzaamheden. Een internal audit afdeling kan slechts effectief zijn als zij wordt gedragen door het management, de business uitstekend kent en opereert op huidige activiteiten en strategische aspecten. Eigenschappen van een internal audit afdeling zijn: organisatiekennis, samenwerking met topmanagement, onafhankelijkheid, effectieve middelen en multidisciplinaire professionals. In navolging hiervan dient de internal audit afdeling vast te stellen wie haar klanten zijn, wat kritische succesfactoren zijn en allianties te vormen met andere functies die auditdiensten leveren.

Bekwaamheden medewerkers van competente internal audit afdelingen • Benodigde kennis: organisatie, bedrijfsprocessen, management, risico, beheersing en internal auditing. • Benodigde vaardigheden: cognitief en gedrag. Beoordelen van competenties • Voor het beoordelen internal auditors is het van belang om op elk niveau vast te stellen welke eigenschappen, kennis en vaardigheden van belang zijn (differentiëren). • Beoordeling van internal auditfuncties vereist prestatiecriteria en indicatoren. • Beoordeling van internal audit afdelingen kan plaatsvinden door klantenonderzoek, beoordeling van de resultaten, beoordeling van het kwaliteitssysteem, externe beoordelingen en benchmarking. • Beoordeling van competente medewerkers kan plaatsvinden via testen, interviews, simulaties, on-the-job observaties. • Belangrijk bij beoordeling is dat het geformaliseerd/gestructureerd plaatsvindt, voldoet aan eisen op het gebied van validiteit, betrouwbaarheid en relevantie en periodiek toetsing van validiteit plaatsvindt. • Competenties moeten beoordeeld worden via verschillende methoden en technieken. Tabel 7 Inzichten uit Internal Auditing Knowledge: Global Perspectives

38

Hoofdstuk 5

The Future of Internal Auditing: A Delphi Study

39


5.1


In deze studie zijn de meningen van internal auditing experts gevraagd over de volgende onderwerpen: de aard van internal auditing in de toekomst, kerntaken (nu en in de toekomst), factoren voor verandering, benodigde vaardigheden/kennis en beoordelingscriteria. Hierbij is gebruik gemaakt van de Delphi methode. Het studierapport ‘The Future of Internal Auditing: A Delphi Study’. bestaat uit vier delen en in totaal 16 hoofdstukken. Deel A beschrijft de opzet van de studie, deel B de algemene bevindingen, deel C de verschillen in beantwoording tussen onderscheiden groepen (zoals regio, land en sector) en deel D geeft in een algemene conclusie het toekomstbeeld weer. In de bijlagen van het studierapport zijn geaggregeerde statistische informatie en onderzoeksgegevens opgenomen.

5.2


Hoofdstuk 2 (Changing Contexts of Internal Auditing Work) start met een uiteenzetting van de relatie tussen (dynamische) omgeving, organisaties, verandering, governance en management, risico en beheersing (zie ook figuur 2 in hoofdstuk 3 Internal Auditing Knowledge: Global Perspecives). Vervolgens wordt hieraan de rol van internal auditing gekoppeld, waarbij wordt gesteld dat de kerntaak van internal auditing is: zekerheid geven dat risico’s worden onderkend, begrepen en beheerst. Andere taken liggen op het gebied van het promoten van risico en beheersing binnen de organisatie, alsmede het faciliteren bij het veranderen en verbeteren van risicobeheersing. In deze visie op internal auditing verschuift de betrokkenheid van de internal audit afdeling naar eerdere stadia in proces-/productontwikkeling. In hoofdstuk 3 (Internal Auditing: tasks, processes and applications) worden de volgende kerntaken van internal auditing onderscheiden (zie figuur 3): • het realiseren van bewustwording over risico’s en beheersing binnen organisaties; • het adviseren inzake risicomanagement en beheerssystemen, het faciliteren bij verandering en het bijdragen aan continue verbetering van beheerssystemen; • het verschaffen van zekerheid aan het Internal management over de auditing task doeltreffendheid van beheerssystemen; • het managen van de processes auditfunctie in een Organizational Creating dynamische omgeving. substantive alignment understanding inputs

Contributing improvements

outcomes

Providing assurance

Value adding capabilities

qualitative Task management

Figuur 3. Task Profiles entailed by Internal Auditing (pag. 33 The Future of Internal Auditing: A Delphi Study)

40


Hoofdstuk 4 (The Internal Auditing Value Proposition) stelt dat de meerwaarde van internal audit gelegen is in het verschaffen van zekerheid dat risico’s zijn onderkend en worden beheerst. Om dit op het vereiste kwaliteitsniveau te kunnen doen, dient een internal audit afdeling te beschikken over voldoende expertise, een professionele wijze van werken en te voldoen aan best practice. Hierbij is tevens van belang dat de geleverde diensten goed aansluiten op de wensen en behoeften van de organisatie in termen van relevantie, dekkingsgraad, actualiteit en veranderingsgerichtheid. Figuur 4 geeft het een en ander schematisch weer (in hoofdstuk 6 wordt dit verder uitgewerkt).

Service quality - expertise - professionalism - best practice

Internal auditing

Risk assurance - exposure - understanding - control - chance

Organizational context

Suitability - closeness - coverage - timeliness - change

Figuur 4 ‘Internal Auditing Distinctive Value Proposition’ (pag. 38 The Future of Internal Auditing: A Delphi Study)

Hoofdstuk 5 (Structuring Internal Auditing Work in Organizations) heeft betrekking op de inrichting en prestatiemeting van internal auditing binnen organisaties. Om meerwaarde te leveren dient het werk van een internal audit afdeling te worden afgestemd op de behoeften, processen, strategieën en doelstellingen van de organisatie. Hierbij is een cultuur nodig die ruimte biedt voor innovatie, verandering, expertise, professionaliteit, diversiteit, etc. Het succes van een internal audit afdeling wordt bepaald door het op juiste wijze ontwikkelen, mobiliseren en gebruiken van bekwaamheden van personeel. Prestatiemeting van internal audit afdelingen moet plaatsvinden door toetsing aan de eisen van de klant (intern) en door benchmarking aan best practice (extern). In hoofdstuk 6 (Internal Auditing as an Occupation) wordt gesteld dat het, gegeven de heroriëntatie op risico(beheersing) en het brede toepassingsgebied, het meest waarschijnlijk is dat audits in de toekomst steeds vaker worden uitgevoerd door flexibele teams bestaande uit auditors, specialisten en lijnpersoneel. Hoewel de aard van het werk gelijk blijft, wordt de invulling in de toekomst bepaald door veranderingen in de organisatie en zal aldus per situatie verschillen.

41


Volgens hoofdstuk 7 (The Knowledge Base of Internal Auditing Work) is kennis op de volgende gebieden van belang voor een goede functieuitoefening: risico(management), management control, internal auditing methoden en technieken, informatietechnologie, middelenmanagement, veranderings-management, functioneren van organisaties, (strategisch) management en financieel management. In hoofdstuk 8 (The Skills Required for Internal Auditing Work) is aangegeven over welke vaardigheden internal auditors dienen te beschikken (zie tabel 8).

Technical skills

Analytic/design skills

Appreciative skills

Personal skills



• • • • • • • • • • • • • • • • • • • • • • • • • • • •

Communication Accounting literacy Computer literacy Commercial understanding Internal auditing Information literacy Problem structuring Organizational analysis Systems design Discrimination Internal auditing approaches Complexity management Value orientations Morality Inquisitiviness Balance Directed Flexibility Coping Intelligence Communication People skills Team management Organizational awareness Value negotiation Task management Function management Function development

Tabel 8 Cognitive and Behavioral Skills (pag. 64-66 The Future of Internal Auditing: A Delphi Study)

In hoofdstuk 9 (Competency Standards in Internal Auditing) wordt het belang van uniforme en gevalideerde competentiestandaarden benadrukt, die gebruikt kunnen worden bij het ontwikkelen en beoordelen van internal auditfuncties en internal auditors. Boordeling kan hierbij plaatsvinden vanuit de internal audit afdeling en vanuit het domein van de beroepsvereniging.

42


In hoofdstuk 10 (Toward a Global Profession of Internal Auditing) is een beknopte samenvatting van de voorgaande hoofdstukken gegeven. Over een aantal zaken is geen consensus gekregen, hetgeen wellicht verklaard kan worden uit verschillen wereldwijd (status/ontwikkeling van internal auditing) of simpelweg omdat men niet in de toekomst kan kijken. In hoofdstuk 11 (Ambivalence and uncertainty) worden de discussiepunten beknopt beschreven. Bijvoorbeeld over de onafhankelijkheid van de auditfunctie. Ook m.b.t. accounting rules zijn de meningen verdeeld over het feit of accountingstructuren, principes en procedures de basis zullen blijven vormen voor internal auditing. Tenslotte zijn er discussies gaande omtrent gewenste vaardigheden. Opvallend is dat neutrale respons is verkregen inzake wereldwijd gevalideerde competentiestandaarden en hun potentiële waarde. Hoofdstuk 12 (Difference: economic status - developing and developed countries) identificeert en verklaart de verschillen tussen ontwikkelings- en ontwikkelde landen. Een duidelijk verschil bestaat in het niveau waarop internal auditing wordt bedreven. Ontwikkelingslanden onderkennen dat ze de traditionele kennis en vaardigheden moeten verbreden om op een hoger niveau te komen. Competentiestandaarden kunnen hierbij als leidraad dienen evenals het ontwikkelen van een ‘global profession of internal auditing’. In hoofdstuk 13 (Regional Differences) wordt een vergelijking gemaakt tussen Europa, NoordAmerika en de rest van de wereld. Belangrijk verschil is dat Europa, in tegenstelling tot NoordAmerika, geen uitgebreide groei van internal auditing verwacht en dus minder waarde hecht aan de hoge eisen die worden gesteld op het gebied van kennis en vaardigheden. Tevens wordt ook minder behoefte gevoeld aan wereldwijd gevalideerde competentiestandaarden (de auteurs vragen zich af of dit komt door onvoldoende ervaring of juist door slechte ervaringen?), hoewel paradoxaal wel behoefte wordt gevoeld aan een ‘global profession’. De rest van de wereld voorziet een veranderende rol van internal auditing, met bijbehorende zwaardere eisen aan kennis en vaardigheden. Maar in tegenstelling tot NoordAmerika wil ze dit, gegeven de achterstand, geleidelijk bereiken. Competentiestandaarden kunnen hierbij als leidraad dienen evenals het ontwikkelen van een ‘global profession of internal auditing’. Binnen Europa bestaat verschil tussen West-Europa en Oost-Europa, waarbij WestEuropa een hoog niveau van internal auditing heeft bereikt, terwijl in Oost-Europa behoefte bestaat aan ondersteuning bij de verdere ontwikkeling. Binnen Noord-Amerika heeft Canada meer behoefte aan gevalideerde competentiestandaarden dan de Verenigde Staten. Hoofdstuk 14 (Country Differences) behandelt de verschillen per land per regio (m.u.v. NoordAmerika). Volgens de studie hecht de Nederlandse auditpraktijk weinig waarde aan de effecten van IT voor internal auditing, wordt de focus niet gericht op verandering en risico en wordt weinig waarde gehecht aan vaardigheden op het gebied van communicatie, IT en systeemanalyses. Grote waarde wordt gehecht aan het inzetten van specialisten, vaardigheden op het gebied van takt/diplomatie en het gebruik van competentiestandaarden. Beoordeling vindt plaats on-the-job en via examinering: gebruik van gevalideerde beoordelingscriteria wordt hoog gewaardeerd. In hoofdstuk 15 (Sectoral Differences) staan weinig relevante bevindingen vermeld, daar in de antwoorden op slechts 4 vragen uit het onderzoek verschillen zijn geconstateerd.

43


Hoofdstuk 16 (The Shape of the Future) geeft de conclusies weer door een antwoord te geven op de vier kernvragen van het Competency Framework for Internal Auditing: • de taak van internal auditing is het geven van zekerheid dat, in een veranderende omgeving, risico’s worden onderkend en beheerst. Kerntaken zijn: het creëren van bewustwording binnen organisaties over risico’s en beheersing, bijdragen aan organisatieverbetering, bieden van zekerheid over risicobeheersing in een veranderende omgeving en het managen van de functie. • voor internal auditing heeft voorgaande een aantal implicaties: internal audit dient te anticiperen op effecten en problemen die het gevolg zijn van veranderingen, internal audit dient zichzelf aan te passen aan veranderingen, internal audit moet de situatie, processen en behoeften van de organisatie blijven weerspiegelen en alle activiteiten raken waar sprake is van risico’s; • competentie van internal audit afdelingen betekent het voldoen aan (1) de behoeften van het management en (2) best practice prestatiecriteria; • competente medewerkers dienen te beschikken over de vereiste kennis en vaardigheden. Kennis kan hierbij worden onderverdeeld naar aard en niveau (afhankelijk van de functie) en vaardigheden kunnen worden onderverdeeld naar cognitieve en gedragsvaardigheden. • bij het beoordelen van competenties dienen de juiste criteria en beoordelingsprocessen te worden gebruikt. Periodiek dienen de criteria te worden bezien op validiteit.

5.3


In tabel 9 zijn de belangrijkste inzichten uit dit studierapport opgenomen op het gebied van de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling, de bekwaamheden van internal auditors en competentiebeoordeling.

Toekomstige rol van internal auditing • Internal auditing dient zekerheid te geven dat risico’s worden onderkend, begrepen en beheerst. • Als kerntaken worden gezien: adviseren, realiseren van bewustwording, faciliteren van verandering, bijdragen aan continue verbetering en zekerheid verschaffen. • De nieuwe rol van internal auditing vereist dat de betrokkenheid van internal audit afdelingen wordt verschoven naar eerdere stadia in proces/productontwikkeling. • De focus van internal auditing zal liggen op het gebied van risico en risicobeheersing en de benodigde processen voor het verschaffen van zekerheid op dit gebied. • Auditors zullen veel aangrenzende vakgebieden (assurance services) in hun carrière doorlopen. Kenmerken competente internal audit afdelingen • Internal audit afdelingen dienen te beschikken over voldoende en juiste expertise, professionaliteit en te voldoen aan best practice. • Om meerwaarde te leveren dient het werk van een internal audit afdeling te worden afgestemd op de behoeften, processen, strategieën en doelstellingen van de organisatie.

44


• • •

Van belang is een cultuur die ruimte biedt voor innovatie, verandering, professionaliteit, diversiteit, etc. Het succes van een internal audit afdeling wordt bepaald door het op juiste wijze ontwikkelen, mobiliseren en gebruiken van bekwaamheden van personeel. Gegeven de heroriëntatie op risico(beheersing) en het brede toepassingsgebied is het waarschijnlijk dat audits in de toekomst steeds vaker worden uitgevoerd door flexibele teams bestaande uit competente auditors, (IT) specialisten en lijnpersoneel.

Bekwaamheden medewerkers van competente internal audit afdelingen • Benodigde kennis: risico(management), beheersing, internal auditing methoden en technieken, informatietechnologie, middelenbeheer, veranderingsmanagement, functioneren van organisaties, (strategisch)management, omgevingen en financieel management. • Benodigde vaardigheden: cognitief (technisch, analytisch en beoordeling) en gedrag (persoonlijk, interpersoonlijk en organisatorisch). Beoordelen van competenties • Beoordeling van internal audit afdelingen moet plaatsvinden door toetsing aan de eisen van de klant (intern) en door benchmarking aan best practice (extern). • Voor de beoordeling van medewerkers van internal audit afdelingen zijn, uit hoofde van validiteit, competentie-standaarden nodig op het gebied van kennis, vaardigheden en potentieel, die best practice weergeven. Boordeling van medewerkers kan plaatsvinden op de werklokatie (intern) of extern. • Competentiestandaarden kunnen voor internal audit afdelingen als leidraad dienen bij het ontwikkelen van personeel en prestatiebeoordeling. Tabel 9. Inzichten uit The Future of Internal Auditing: A Delphi Study

45

Hoofdstuk 6

Assessing Competency in Internal Auditing: Structures and Methodologies

47


6.1


Deze studie heeft zich voornamelijk gericht op de principes, criteria, processen, methoden en technieken voor competentiebeoordeling van zowel de internal audit afdeling als internal auditors. In deze studie worden aangrijpingspunten gegeven voor het ontwikkelen van ‘best practice’ beoordelingssystemen voor internal audit afdelingen en internal auditors. Aan de studie hebben deskundigen uit de praktijk alsmede opleidingsinstellingen meegewerkt en is gebruik gemaakt van het CIA examen. Het studierapport ‘Assessing Competency in Internal Auditing: Structures and Methodologies’ bestaat uit vijf hoofdstukken en een aantal appendices, waarin enkele algemene methoden en beoordelingsinstrumenten van internal audit afdelingen en internal auditors zijn beschreven.

6.2


In hoofdstuk 1 (Introduction) zijn het doel en de aanpak van de studie beschreven en heeft een afbakening en definiëring van begrippen en termen plaatsgevonden. Bij beoordeling gaat het in het algemeen om: de mate van bekwaamheid (capability) uitgedrukt in: het vermogen om nu taken uit te voeren (competency), het vermogen om taken in de toekomst uit te voeren (potentiality) en kennis (knowledgeability). De relatie tussen deze indicatoren van competentie is in figuur 5 weergegeven.

COMPETENCY Contexualized performance based on selective use of relevant capacities

CAPABILITY

POTENTIALITY To become or remain competent relative to context variability and change

KNOWLEDGEABILITY Resourcefulness to anticipate the unexpected and negotiate the unexpected

Figuur 5 ‘Attributes to be assessed’ (pag. 16 Assessing Competency in Internal Auditing: Structures and Methodologies)

48


Dit model kan successievelijk worden toegepast op internal audit afdelingen en internal auditors. Hierbij is door de auteurs de volgende vertaalslag gemaakt. Bij het beoordelen van internal audit afdelingen gaat het om de geleverde prestaties (in relatie tot de te leveren meerwaarde van de functie), de wijze van taakvervulling en de mate van functionele bekwaamheid. Bij het beoordelen van internal auditors gaat het om geleverde prestaties, kennis en vaardigheden, waarbij de eisen afhankelijk zijn van de functie en bijbehorende verantwoordelijken bevoegdheden. Hierna wordt dit verder uitgewerkt, maar een en ander is alvast weergegeven in figuur 6.

Internal auditing value proposition Competent interal auditing function

Task performance criteria

Best practice

Function capabilities Focus of assessment

Assessment criteria Responsibility and authority Role structure Performance expectations

Capable internal auditing rol takers

Knowledge requirements Cognitive and behavioral skills required

Types Levels Types Specific skills

Figuur 6 ‘Assessment Criteria’ (pag. 18 Assessing Competency in Internal Auditing: Structures and Methodologies)

In hoofdstuk 2 (Assessment Structures and Principles) staat de theorie centraal op het gebied van beoordeling. Bij beoordeling gaat het om criteria, bewijslast, methodologie, oordeelsvorming, systemen en principes. Competentiebeoordeling dient plaats te vinden aan de hand van criteria die worden ontleend aan bijvoorbeeld best practice en zijn toegesneden op een specifieke situatie. Om tot een goede beoordeling te kunnen komen, dient ‘bewijsmateriaal’ te worden verzameld. Dit bewijsmateriaal dient betrekking te hebben op te leveren prestaties en bekwaamheden die hieraan ten grondslag liggen. Oordeelsvorming dient te geschieden door

49


‘expert assessors’, die in staat zijn om de juiste data te verzamelen, te interpreteren, te wegen, te aggregeren en te verklaren. De samenhang tussen criteria, bewijslast, methode en oordeelsvorming komt tot uitdrukking in een geformaliseerd beoordelingssysteem. Elk beoordelingssysteem dient te voldoen aan de basisprincipes op het gebied van beoordeling: validiteit, betrouwbaarheid, relevantie en praktische toepasbaarheid. Er zijn verschillende methoden om een internal audit afdeling te beoordelen, waaronder klantenquête, benchmarking of kwaliteitsreviews aan de hand van best practice standaarden. Voor het beoordelen van internal auditors kunnen verschillende methoden worden gebruikt: observaties, testen, interviews, etc. Competentiebeoordeling kan plaatsvinden in de volgende domeinen: de praktijk (personeels-beoordeling), onderwijs (tentamens en examens in het kader van opleidingen) en beroepsverenigingen (beoordeling in het kader van lidmaatschapsaanvragen). Dit wordt verderop verder toegelicht. In hoofdstuk 3 (Assessing the Internal Auditing Function) staat de beoordeling van internal audit afdelingen centraal. Beoordeling kan plaatsvinden op het gebied van: de geleverde prestaties, de wijze van taakvervulling en de mate van functionele bekwaamheid. In tabel 10 zijn de beoordelingscriteria weergegeven ten aanzien van de te leveren prestaties (zie ook figuur 4, hoofdstuk 5). Substantive Service Dimension

Criteria of assessment

Services are focused on organizational risk exposures and their management

•

•

Services involve the promotion of understanding within the organization about risk exposures and their management

• • •

Internal auditing services are focused on the business and financial risks faced by an organization. Traditional concerns of internal auditing (e.g. asset protection, fraud detection) are treated as part of an organization’s risk management process. Internal auditing services contribute in developing management’s understanding of risk and control. Leading edge control models (e.g. COSO) and processes (e.g. CSA) are promoted by the function. Internal auditing is involved within organizations in promoting understanding about the effect of change on risks and control.

Services include contributions to improving an organization’s risk management and control systems

•

Internal auditing contributions within organizations focus on business improvement, including revisions of significant business processes, quality enhancement, improvements in response time to customer complaints and improvements in the use and control of resources.

Services include monitoring the effects of change on an organization’s risk exposures and related controls

•

Internal auditing services monitor the effect of risk exposures on control structures. Internal auditing services are focused on monitoring change and its effect on business risk exposures and controls.

•

50


Organizational Suitability Dimension


Closeness

• • • • • •

• •

• • • • •

Coverage

• •

Internal auditing work is focused on topics regarded as useful for the organization. Involvement in important activities of the organization is practiced. Organizational objectives/business plans are monitored through the internal auditing process. Deep understanding of management/ organizational needs is possessed. Leadership in initiatives with organizational stakeholders is demonstrated. Satisfaction of the board and organizational participants with internal auditing outcomes and processes is achieved. Cooperation from organizational members is achieved Cooperative relations between the internal auditing function and organizational participants is developed/achieved. Ongoing two-way communication with organizational members and other stakeholders is achieved. Organizational members are treated as customers in the full sense. Customer satisfaction is achieved. Positive feedback from customers is achieved. Positive contributions are made to the image of the client organization. Coverage of all significant risk areas of an organization is achieved. Full coverage, in internal auditing value-adding activities, of organizational issues is provided.

Timeliness

• • •

Problems and the effects of change are anticipated Information is provided real time, as needed. Internal auditing functions proactively, not reactively.

Change

•

Innovation in internal auditing approaches is sustained to meet change. Recognition as valued organizational change agent is achieved.

•

51


Service Quality Dimension


Best practice

• • •

Professionalism

•

• • • •

Expertise

• • •

Quality award criteria are met. Functional excellence to the organization is provided. Best practice work technologies are used. Recognition and respect for the quality/professionalism of work done, and the value added to the organization is achieved. Internal auditing work is conducted ethically. Internal auditing work is conducted in conformity with professional standards. Objectivity and independence of mind are brought to internal auditing work. Participation in internal auditing professional organizations occurs, including continuing education. Competent/expert service is provided by internal auditing staff Expertise is up to date, leading edge. Diversity of expertise/experience can be mobilized as necessary.

Tabel 10. ‘Assesment Criteria - Internal Auditing Value Propsoition ’ (pag 42-43 Assessing Competency in Internal Auditing: Structures and Methodologies)

Op het gebied van taakvervulling kan een drietal taken worden onderscheiden: • operationeel: taken die worden uitgevoerd in het kader van internal auditing • functiemanagement : taken die samenhangen met het managen van een afdeling internal audit • contextmanagement: taken die samenhangen met het managen van veranderingen die van invloed zijn op de internal audit functie.

52


De beoordelingscriteria die van toepassing zijn op taakvervulling zijn in tabel 11 weergegeven.

Operational Tasks

Function Management Tasks

Context Management

Needs – Identification/ Drivers • Determinations of organizational/ managerial needs drive/direct internal auditing work. • Organizational/managerial needs are determined through close collaboration with organizational members or authorities.

Charter • An internal auditing charter, expressing the aspirations of the function is developed and established.

Anticipation/prevention • Internal auditing work is focused on anticipating the effects of change. • Internal auditing work is focused on preventing problems.

Risk – coverage/ implementation • Full coverage of organizational risks and important activities is provided. • Effective internal auditing programs are conceptualized in terms of the organization’s risk exposures. • Effective internal auditing programs are related to the organization’s risk exposures

Leadership • Leadership is demonstrated in: • Guiding audit teams • Guiding the work of the function • Sponsoring relationships with key organizational stakeholders and organizational participants.

Adaptation • Special projects are initiated as needed to adapt to changing circumstances of the organization. • Innovative audit approaches/ processes are used to accommodate change.

Control • Weaknesses in control systems are anticipated and treated pro-actively or as they are identified or emerge. • Control weaknesses are related to risk exposure. • Control weaknesses are assigned priority and importance.

Performance management • Quality and efficient internal auditing work is conducted. • A quality assurance program relating to the internal auditing function is established. • Internal auditing work is governed by key performance indicators that focus on: • Cost/benefit • Outcome effectiviness • Process quality • Customer satisfaction • Internal auditing work is guided by time-related project plans.

Change agent • Internal auditing work is woven into organizational change processes. • The internal auditing function serves as an organizational change agent.

53


Operational Tasks

Function Management Tasks

Time • Timely information is made available to the organization as a result of internal auditing work.

Culture • Prevention (rather than detection) is established as a guiding philosophy.

Context Management

Value-adding • Internal auditing work improves the quality of organizational processes. Including responsiveness to customers. • Organizational participants perceive internal auditing work as value adding/useful. Tabel 11. ‘Assesment Criteria – Task Performance (pag 44 Assessing Competency in Internal Auditing: Structures and Methodologies)

In tabel 12 zijn de beoordelingscriteria weergegeven, die van toepassing zijn op functionele bekwaamheid van de internal auditfunctie. Leadership • An understanding of organizational and management needs is developed and instilled within the internal auditing function • Leadership in guiding the work of the function is demonstrated by developing clear, objective and feasible strategies • Leadership to stakeholders and interested parties is demonstrated including the board of directors • Leadership is demonstrated in guiding teams involved in internal auditing work Culture • A culture of mutual cooperation and support between the internal auditing function and the organization is established • A culture of mutual cooperation and support is achieved between those involved in internal auditing work • A culture is achieved within the client organization of responsibility for controls in terms of prevention (as opposed to detection) • A culture of professionalism is developed and encouraged in, and adherence to, internal auditing standards • The internal auditing function is viewed as a change agent • The provision of leadership is a guiding philosophy of the internal auditing function

54


Structure • An internal auditing charter is established and describes work functions and key roles • The internal auditing function is positioned within the organization at a level which is appropriate to ensuring clear lines of objective reporting • Internal auditing work is structured to ensure a full coverage of clients’ risk exposures Personnel • Competent professional personnel are employed • Internal auditing personnel participate in continuing education • A range and diversity of experience and skills are encouraged and used • New skills are developed on the job • Regular reviews of competenties and performance are undertaken Performance Management • Internal auditing work is managed on a timely basis • Key perfomance indicators are established as a management tool • Quality reviews, both external and internal, are undertaken • Benchmarking is undertaken to ensure that the internal auditing function is performing at an appropriate level Infrastructure • Best practice of control models (such as COSO) are used • The latest technologies, including IT and risk-based strategies, are integrated into the internal auditing approach Tabel 12 ‘Assesment Criteria – Function Capability ’ (pag 45 Assessing Competency in Internal Auditing: Structures and Methodologies)

In hoofdstuk 4 (Assessing Internal Auditing Role-takers) staat de beoordeling centraal van internal auditors. Beoordeling van internal auditors kan plaatsvinden binnen drie domeinen (figuur 7): • personeelsbeoordeling binnen internal audit afdelingen dient plaats te vinden aan de hand van beoordelingscriteria op het gebied van persoonlijke ontwikkeling (leren), taakvervulling, leidinggeven, kennis en vaardigheden (cognitieve en gedragsvaardigheden). De gebruikte beoordelingscriteria zijn hierbij afhankelijk van de functie die iemand bekleedt. Afhankelijk van het doel kunnen verschillende methoden worden gebruikt, zoals (psychologische) testen, interviews, simulaties, on-the-job observaties, functioneringsgesprekken, etc.; • aangezien het voor onderwijsinstellingen (op het gebied van internal auditing) niet mogelijk is om cursisten in de praktijk te beoordelen richt de beoordeling zich slechts op de elementen kennis en vaardigheden. Deze beoordeling vindt plaats via individuele opdrachten, presentaties, case studies, praktijkonderzoeken, rollenspellen, examens, etc.;

55


•

evenals voor onderwijsinstellingen is het voor beroepsverenigingen niet mogelijk is om aspirant-leden in de praktijk te beoordelen, zodat beoordeling zich doorgaans slechts richt op de elementen kennis en vaardigheden. Toetredingscriteria en beoordelingsmethoden variëren evenwel per beroepsvereniging. Verschillende methoden worden gebruikt, zoals het beoordelen van cv’s en diploma’s, het afnemen van een formeel examen (bijvoorbeeld CIA), het checken van (gedrags)referenties en het beoordelen van de ontwikkeling (via permanente educatie).

Figuur 7 ‘Attributes to be assessed’ (pag. 16 Assessing Competency in Internal Auditing: Structures and Methodologies)

Hoofdstuk 5 (Conclusion) geeft een samenvatting op hoofdlijnen: • Internal audit dient zich te richten op risico’s binnen organisaties en de beheersing daarvan, risicobewustzijn binnen organisaties te creëren, bij te dragen aan de verbetering van systemen voor risicomanagement en de effecten van verandering op risico’s en risicobeheersing te monitoren. • Om de kerntaken uit te voeren dient een internal audit afdeling nauw samen te werken met het lijnmanagement, alle risicogebieden te raken (full coverage) en pro-actief te werken. Best practice dient als uitgangspunt te worden gehanteerd bij het inrichten en uitvoeren van auditdiensten. Op hoofdlijnen kunnen de taken van een internal audit afdeling worden ingedeeld in: (1) operationele taken, (2) management van de functie en (3) management van verandering.

56


• •

Prestatiecriteria voor internal audit afdelingen liggen op het gebied van geleverde prestaties, taakvervulling en functionele bekwaamheid. Competentiecriteria voor internal auditors dienen, afhankelijk van de functie, te worden gespecificeerd in termen van persoonlijke ontwikkeling (leren), taakvervulling, leidinggeven, kennis en vaardigheden (cognitieve en gedragsvaardigheden): Competentiebeoordeling kan plaatsvinden binnen drie domeinen: (1) werklokatie, (2) onderwijs en (3) beroepsverenigingen.

Het studierapport wordt afgesloten met een aantal appendices, waarin op beknopte wijze enkele methoden (instrumenten) zijn beschreven die kunnen worden gebruikt voor het beoordelen van internal audit afdelingen en internal auditors. Voor het beoordelen van internal audit afdelingen kan gebruik worden gemaakt van de IIA Standards, QAR, TQM achtige modellen en GAIN. De eerste drie methoden kunnen door interal audit afdelingen worden gebruikt in het kader van selfassessment, terwijl GAIN een extern benchmarkinstrument is. Voor het beoordelen van internal auditors kan gebruik worden gemaakt van de IIA Standards, ISO 110011-13, 360O Feedback Assessment en Thomas DiSC Profiling System (methode voor het beoordelen van managementvaardigheden, besluitvorming en probleemoplossend vermogen).

6.3


In tabel 13 zijn de belangrijkste inzichten uit dit studierapport opgenomen op het gebied van competentiebeoordeling.

Beoordelen van competenties Algemeen • Competentiebeoordeling dient plaats te vinden aan de hand van criteria die worden ontleend aan bijvoorbeeld best practice: het vereist dus het hebben van op een specifieke situatie toegesneden standaarden/toetsingscriteria. • Beoordeling is een proces van het verzamelen van bewijsmateriaal als basis voor oordeelsvorming, waarbij bewijsmateriaal betrekking dient te hebben op uitkomsten/resultaten en bekwaamheden die hieraan ten grondslag liggen en valide moet zijn (authentiek, geldig, stabiel en relevant). • Om een volledig beeld te krijgen, dienen verschillende beoordelingsmethoden te worden gehanteerd aangezien die verschillend bewijsmateriaal opleveren. • Oordeelsvorming dient te geschieden door ‘expert assessors’, die in staat zijn om de juiste data te verzamelen, te interpreteren, te wegen, te aggregeren en te verklaren. • De samenhang tussen criteria, bewijslast, methode en oordeelsvorming komt tot uitdrukking in een geformaliseerd beoordelingssysteem. • Tenslotte gelden de volgende principes op het gebied van beoordeling: de uitkomsten moeten voldoen aan de eisen ten aanzien van validiteit, betrouwbaarheid, relevantie en praktische toepasbaarheid.

57


Beoordeling van internal audit afdelingen • De competentie van een internal audit afdeling, vanuit het perspectief van best practice, wordt beoordeeld tegen: resultaten, taakvervulling (competenties om de resultaten te kunnen leveren) en functionele bekwaamheid (vermogen voor het leveren van prestaties in de toekomst). • Binnen het domein ‘werklokatie’ kunnen beoordelingscriteria worden gebruikt op het gebied van: prestaties, taken (uitvoering, afdelingsmanagement en veranderingsmanagement) en bekwaamheid (leiderschap, cultuur, structuur, personeel, prestatiemanagement en infrastructuur). Hierbij te hanteren beoordelingsmethoden: prestatiemonitoring (o.b.v. gedefinieerde prestatie indicatoren), focus reviews (voortgangsbewaking van doelrealisatie), benchmarking (GAIN) of kwaliteitsreviews aan de hand van competentie standaarden (best practice). Beoordeling van internal auditors • Competenties kunnen worden beoordeeld naar de aard van de positie/rol, prestatieverwachtingen, het niveau en soort kennis vereist en de cognitieve en gedragsvaardigheden die benodigd zijn. • Er zijn verschillende methoden voor personeelsbeoordeling: observaties, testen, interviews, etc. • Afhankelijke van de functie en bijbehorende verantwoordelijken bevoegdheden kan invulling worden gegeven aan beoordelingscriteria op het gebied van persoonlijke ontwikkeling, taakvervulling, vaardigheden, kennis, etc. Methoden die worden gebruikt zijn afhankelijk van het doel waarvoor ze worden ingezet: aanname van nieuw personeel, functioneringsgesprekken of in het kader van ontwikkeling (management development). Beoordeling kan plaatsvinden via testen, interviews, simulaties, on-the-job observaties, etc. • Binnen het domein ‘onderwijs’ richt de beoordeling zich slechts op de elementen kennis en vaardigheden, als indicatoren van prestaties in de praktijk. Leer-/beoordelingsmethoden zijn: individuele opdracht, presentatie, case studie, praktijkonderzoek, simulatie/rollenspel, examens, self-assessment, peer-assessment, etc. • Daar het voor beroepsverenigingen niet mogelijk is om leden ‘in de praktijk’ te beoordelen, geldt ook hier dat de beoordeling zich slechts op de elementen kennis en vaardigheden richt, als indicatoren van prestaties in de praktijk. Toetredingscriteria (en dus beoordelingscriteria) en beoordelingsmethoden variëren per beroepsvereniging. Het moment van beoordeling is ook bepalend: bij toetreding, ontwikkeling of evaluatie lidmaatschap. Verschillende methoden worden gebruikt, zoals beoordeling van cv’s/referenties/diploma’s, examens (bijvoorbeeld CIA), gedragsreferenties en beoordeling van ontwikkeling (permanente educatie). Tabel 13. Inzichten uit Assessing Competency in Internal Auditing: Structures and Methodologies

58

Hoofdstuk 7

Competency: Best Practices and Competent Practioners

59


7.1


Het doel van deze studie was om competentiestandaarden te ontwikkelen die wereldwijd toepasbaar zouden zijn. Aan de studie hebben meer dan 200 experts meegewerkt. De ontwikkelde competentiestandaarden geven de kenmerken van een ‘best practice’ internal audit afdeling weer, alsmede de vereiste bekwaamheden van internal auditors. Volgens de auteurs kunnen de competentiestandaarden worden gebruikt als benchmark voor ‘best practice’, hulpmiddel voor (verdere) ontwikkeling van internal audit afdelingen, raamwerk voor het valideren van opleidingen en als communicatiemiddel op het gebied van internal auditing. De auteurs stellen wel dat toepassing van de competentiestandaarden vereist dat aanpassing plaatsvindt aan de context (aard toepassing, organisatie, sector, land, etc.). Het studierapport ‘Competency: Best practices and Competent Practioners’ bestaat uit twee delen: de studie en de competentiestandaarden.

7.2


In hoofdstuk 1 (Introduction) heeft de afbakening en definiëring van begrippen plaatsgevonden. Hierbij is ingegaan op de begrippen “competentie” en “competentiestandaarden”, alsmede op de relatie tussen capability, competency, potentiality en knowledgeability. Daarnaast is gesteld dat het moeilijk is om voor internal auditing standaarden te definiëren, aangezien sprake is van een grote mate van diversiteit en verandering, een complex geheel van individuele eigenschappen, het werken in wisselende teams en verschillende niveaus van bekwaamheid (afhankelijk van functie en ervaring). In hoofdstuk 2 (Competency Standards for Internal Auditing) wordt inzicht gegeven in de achtergronden van de competentiestandaarden. Eerst wordt het vakgebied internal auditing besproken. Gesteld wordt dat het begrip internal auditing onder druk staat, aangezien (1) het suggereert dat de aandacht op toezicht ligt in plaats van op ‘empowerment’ en ‘selfassurance’, (2) het suggereert dat het interne dienstverlening betreft, terwijl uitbesteding steeds vaker plaatsvindt (3) er onduidelijkheid bestaat over de relatie tussen internal auditing en andere auditvormen en (4) de adviesrol steeds belangrijker wordt. Tevens wordt gesteld dat er een tendens zichtbaar is dat auditdiensten bij elkaar worden gevoegd. Om het bestaansrecht zeker te kunnen stellen, lijkt het zinvol dat internal audit afdelingen de aandacht gaan richten op de behoeften en problemen van de organisatie en de vaardigheden en structuren van internal audit afdelingen hierop afstemmen. In het vervolg van hoofdstuk 2 wordt ingegaan op de elementen waaruit de competentiestandaarden bestaan. De competentiestandaarden bestaan uit een zevental onderdelen, die zelfstandig kunnen worden gelezen en geïnterpreteerd. Globaal gaat het om een referentiemodel en benchmarkinstrument voor internal audit afdelingen en taakomschrijvingen en kennisen vaardigheidsprofielen voor internal auditors. Uitwerking van competenties van internal auditors heeft plaatsgevonden naar drie functieniveau’s: startende internal auditor, competente internal auditor en manager internal auditing. Ieder functieniveau kent een andere invulling op het gebied van vereiste vaardigheden, verantwoordelijkheden en bevoegdheden, kennis/begrip en te leveren prestaties.

60


In figuur 8 is de structuur van de competentiestandaarden schematisch weergegeven.

Field of practice Internal auditing Elements of competency Performance outcomes

Units of competency

Perform criteria

Competent practice

Technical Analytical Appreciat.

Cognitive skills

Personal Inter-pers. Organiz.

Behavioral skills

Key work roles Entering internal auditor

Task displays

Competent internal auditor

Attribute clusters

Internal auditing management sensibility Competency standards

Figuur 8 ‘Structure of the standards’ (pag. 28 Competency: Best Practices and Competent Practioners)

61

Individual attributes


Hoofdstuk 3 (Research Methods and Process) beschrijft de aanpak van de studie. De studie is uitgevoerd via de methode van ‘functional analysis’, waarbij een kleine groep deskundigen het vakgebied van internal auditing in kaart heeft gebracht. Dit heeft geresulteerd in concepten van een definitie van internal auditing, units of competency, functieprofielen, etc. Vervolgens zijn deze concepten door verschillende review- en validatieronden gegaan, hetgeen uiteindelijk geresulteerd heeft in de competentiestandaarden die in deel 2 van het studierapport worden toegelicht. In hoofdstuk 4 (Using the Standards) is beschreven dat de competentiestandaarden kunnen worden gebruikt als benchmark voor ‘best practice’ (door Raden van Bestuur, Managers van internal audit afdelingen, internal auditors en beroepsverenigingen), als hulpmiddel voor (verdere) ontwikkeling van de internal audit functie, als raamwerk voor het valideren van opleidingen (onderwijs en beroepsverenigingen) en als communicatiemiddel op het gebied van internal auditing. Hoofdstuk 5 (Assessing the Competency Standards) geeft op beknopte wijze de structuur en inhoud van de competentiestandaarden weer. De competentiestandaarden bestaan uit een referentiemodel en benchmarkinstrument voor internal audit afdelingen en taakomschrijvingen en kennisen vaardigheidsprofielen voor internal auditors. Tevens is een korte leeswijzer gegeven en wordt aangegeven dat het geheel slechts een referentiekader vormt en dat aanpassing (‘mix and match’) aan de specifieke (gebruiks)situatie dient plaats te vinden. In hoofdstuk 6 (Internal Auditing) wordt het werkterrein van internal auditing beschreven. Taken van een internal audit afdeling liggen op het gebied van het kweken van risicobewustzijn bij de organisatie, het faciliteren bij verbetering van beheerssystemen, zekerheid geven aan het management over de mate van risicobeheersing, het managen van de functie en het managen van de context waarin de functie operationeel is. In hoofdstuk 7 (Units and Elements of Competency) wordt het raamwerk voor de competentiestandaarden beschreven. Dit referentiemodel bestaat uit 6 ‘Units of competency’ en 27 ‘Elements of competency’. Het betreft de kern- en subtaken van een competente internal audit functie. Ter illustratie zijn in tabel 14 de 6 Units of Competency weergegeven, met een uitgewerkt voorbeeld van een Element of Competency. In hoofdstuk 9 is het volledige referentiemodel opgenomen.

62


Unit 1

Develop understanding within an organization about the risks associated with its functioning and contexts Element 1.1

Unit 2 Unit 3 Unit 4 Unit 5 Unit 6

Understand an organization’s objectives/strategies, processes, capabilities, and the contextual dynamics affecting its functioning 1.1.1 Identify/clarify the organization’s objectives and strategies 1.1.2 Identify the key processes used to support strategies 1.1.3 Identify the patterns of resource use associated with key processes 1.1.4 Identify the core capabilities supporting the organization’s strategies 1.1.5 Identify contextual dynamics (competitive, institutional, environmental) affecting the organization’s strategic success and its future Develop understanding within the organization about the adequacy and effectiveness of its control strategies, structures, and systems Contribute to improvements in the functioning of the organization’s risk management and control systems Provide ongoing assurance to the organization that it is in control relative to its risks Manage the internal auditing function Manage the dynamic contexts that affect the work of the function Tabel 14 ‘Units and elements of competency’ (pag. 51-55 Competency: Best Practices and Competent Practioners)

In hoofdstuk 8 (Performance Criteria, Cues and Key Work Roles) is het raamwerk van Units and Elements of Competency verder ingevuld. Per element zijn prestatiecriteria geformuleerd voor zowel de internal audit afdeling als de onderscheiden functies (entering internal auditor, competent internal auditor en internal auditing management). De prestatiecriteria voor de internal audit afdeling zijn onderscheiden in: kwaliteit van de uitkomsten, het proces (hoe zijn de uitkomsten verkregen), onderliggend bewijsmateriaal (welke bronnen, methoden, etc.) en actualiteit en timing (zijn zaken up-to-date, wordt tijdig actie genomen en worden projecten tijdig afgerond). Om een oordeel te kunnen geven zijn vragen geformuleerd, die richtinggevend zijn. Voor de onderscheiden functies zijn prestatiecriteria en taken geformuleerd. Dit heeft geresulteerd in een (80 pagina’s tellend) benchmarkinstrument voor ‘best practice’ internal auditing. Ter illustratie is in tabel 15 een voorbeeld opgenomen. Element 1.1

Understand an organization’s objectives/strategies, processes, capabilities, and the contextual dynamics affecting its functioning

Qualitative outcomes • How are the understandings developed portrayed/displayed? • Are they in writing? • Who has confirmed them? • What process/dialogue led to their confirmation? • What was meant by “accuracy” in the process/dialogue? • Were the understandings proposed revised as a result of the process/dialogue? • If so, how and to what extent?

63


Critical Process Variable • What process of review was used to develop the understandings? • What analytic or theoretical concepts/positions informed the review? • What strategic model was used to integrate objectives, strategies, processes, capabilities and context? • Is this model used in the organization or acceptable/understandable to those involved in the dialogue? • How was a holistic perspective sustained? • How was this evidenced by workpapers? Evidence/Performance Base • What documentation was drawn on? • How authoritative was this? • Was it endorsed/reinforced through consultation? • Who was consulted? Time and Timing • What process is instituted to continually update understandings? • Who is involved and when? • Are updated understandings in writing? • Are such updates authorized/confirmed? Tabel 15 ‘Performance criteria, cues and key work roles (pag. 57-136 Competency: Best Practices and Competent Practioners)

In hoofdstuk 9 (Work Role Composites) en hoofdstuk 10 (Work Role Digests) zijn per onderscheiden functie (entering internal auditor, competent internal auditor en internal auditing management) de vereiste taken nog eens afzonderlijk gerubriceerd, waarbij zoveel mogelijk is aangesloten op de units of competency. Onervaren internal auditors dienen onder begeleiding taken uit te voeren op het gebied van organisatieonderzoek, audits en verbeterprojecten en deel te nemen aan training/opleiding. Ervaren internal auditors dienen zelfstandig taken uit te voeren op het gebied van het in kaart brengen van bestaande risicomanagementsystemen en interne beheerssystemen binnen de organisatie, het verbeteren van deze systemen, het geven van zekerheid over de effectiviteit van deze systemen, deelnemen aan training/opleiding, bijdragen aan het verbeteren van de processen van de internal auditfunctie en het monitoren van veranderingen die de auditfunctie kunnen beïnvloeden. Het management van internal auditafdelingen dient organisatieonderzoek te initiëren, met het topmanagement te discussiëren over risicomanagementsystemen, interne beheerssystemen en verbeterprojecten met betrekking tot deze systemen en de eigen afdeling te managen (in termen van processen, cultuur, structuur, kwaliteitsbewaking, personeelsbeleid, etc.). In hoofdstuk 11 (Substantive Understandings Expected) is voor een startende internal auditor en competente internal auditor het vereiste kennisniveau (awareness versus understanding) weergegeven op het gebied van organisaties, verandering en verbetering, risico, beheersing, assurance, professionele processen en internal auditing . Tenslotte zijn in hoofdstuk 12 (Individual Attributes) op zeer gedetailleerde en uitgebreide wijze de individuele vaardigheden per onderscheiden functie weergegeven. Hierbij is onderscheid gemaakt naar cognitieve vaardigheden (technical skills, analytic/design skills en appreciative skills) en gedragsvaardigheden (personal skills, interpersonal skills en organizational skills).

64


7.3


In tabel 16 zijn de belangrijkste inzichten uit dit studierapport opgenomen op het gebied van de toekomstige rol van internal auditing, de kenmerken van een competente internal audit afdeling, de bekwaamheden van internal auditors en competentiebeoordeling. Toekomstige rol van internal auditing • • • •

Realiseren van bewustwording binnen de organisatie van de risico’s die samenhangen met het functioneren van de organisatie en met veranderingen in de omgeving Realiseren van bewustwording binnen de organisatie omtrent de toereikendheid en effectiviteit van de beheersstrategieën, -structuren en –systemen Bijdragen aan het verbeteren van de risicomanagement- en beheerssystemen van de organisatie Zekerheid aan de organisatie geven dat risico’s worden beheerst

Kenmerken competente internal audit afdelingen •

Realiseer bewustwording binnen de organisatie van de risico’s die samenhangen met het functioneren van de organisatie en met veranderingen in de omgeving - Heb kennis van de organisatie: strategie, doelstellingen, processen, bekwaam heden en de context (concurrentie, wetgeving en omgeving) - Heb kennis van de ‘risicohouding’ van de organisatie - Heb kennis van de risico’s, risico management strategieën van de organisatie en de verantwoordelijkheden op het gebied van risicomanagement - Geef aanbevelingen/adviezen over de risicomanagement filosofie, strategieën en implementatie

•

Realiseer van bewustwording binnen de organisatie omtrent de toereikendheid en effectiviteit van de beheersstrategieën, -structuren en –systemen - Heb kennis van de visie van de organisatie op het gebied van beheersing - Heb kennis van de beheersstrategieën en –structuren van de organisatie - Beoordeel de juistheid en doeltreffendheid van bestaande of voorgestelde beheersstrategieën, -structuren en –systemen - Werk aan het realiseren van bewustwording binnen de organisatie over de juistheid en doeltreffendheid van beheersstrategieën, -structuren en –systemen

•

Draag bij aan het verbeteren van de risicomanagement- en beheerssystemen van de organisatie - Realiseer autoriteit/geloofwaardigheid door betrokkenheid bij verbeterprojecten - Stel het doel en de mate van betrokkenheid met relevante partijen binnen de organisatie vast - Voer speciale onderzoeken uit - Lever nazorg in termen van advies/ondersteuning - Stel de mate van acceptatie en effectiviteit van de uitkomst vast

65


•

Geef zekerheid aan de organisatie dat risico’s worden beheerst • Stel een strategie/plan op voor het geven van zekerheid • Stel de scope van projecten vast • Identificeer/ontwikkel per project een relevante werkmethode • Stel een projectplan op • Voer het project uit • Bespreek de resultaten van het project met betrokken partijen binnen de organisatie

•

Stuur de internal auditing functie aan • Sel de doelstellingen van de functie en te leveren bijdrage aan de organisatie vast • Zorg voor relatiemanagement/netwerkbeheer • Realiseer de benodigde middelen voor het functioneren van de afdeling • Richt de organisatie in • Realiseer kwaliteitsbeheersing en –verbetering • Draag bij aan de ontwikkeling van de professie

•

Beheers de dynamische context die van invloed is op de functie • Reageer op relevante veranderingen in de omgeving • Stel de condities vast die nodig zijn voor een effectieve uitvoering van internal audit

Bekwaamheden medewerkers van competente internal audit afdelingen • •

Benodigde kennis: risico, beheersing, internal auditing, veranderingsmanagement, functioneren van organisaties. Benodigde vaardigheden: cognitief (technisch, analytisch en beoordeling) en gedrag (persoonlijk, interpersoonlijk en organisatorisch). Tabel 16. Inzichten uit Competency: Best Practices and Competent Practioners

66

Deel B: Synthese van de belangrijkste inzichten

67

Hoofdstuk 8

Internal audit vanuit best practice perspectief

69


8.1

Inleiding

In deel A zijn de belangrijkste inzichten weergegeven uit de verschillende studies, die tesamen het Competency Framework voor Internal Auditing vormen. Zoals door de auteurs aangegeven, hebben de verschillende studies een grote mate van overlap in de bevindingen. In dit hoofdstuk wordt een synthese van de gemeenschappelijke inzichten gegeven. Hiermee wordt een beeld geschetst van internal audit vanuit een ‘best practice’ perspectief. Nadat eerst kort wordt ingegaan op het bestaansrecht van de internal audit functie, vindt achtereenvolgens behandeling plaats van de vier kernvragen die in het Competency Framework voor Internal Auditing centraal hebben gestaan.

8.2

Bestaansrecht van internal audit

Het functioneren van organisaties wordt bepaald door het nastreven van geformuleerde doelstellingen. De rol van het management ligt hierbij op het gebied van plannen, organiseren, besturen en monitoren. Om de doelstellingen te kunnen realiseren heeft het management een belangrijke taak om tijdig in te spelen op veranderingen in de omgeving (techniek, economisch, weten regelgeving, etc.) en het managen van risico’s. Risico’s veranderen echter snel en variëren; dit vereist dus voortdurende aandacht van de organisatie. Beheersing betekent het effectief handhaven van de relaties en het dynamisch spanningsveld tussen doelrealisatie, verandering en risico’s. Veranderingen in risico’s moeten worden onderkend en beheerst, wil een organisatie in een dynamische wereld ‘in control’ zijn. Vanuit haar verantwoordingstaak dient het management aan de aandeelhouders zekerheid te geven dat de organisatie ‘in control’ is, doordat de organisatie beschikt over een goed functionerend beheerssysteem. Hier komt internal audit in beeld, aangezien de internal audit functie als doel heeft het management zekerheid te geven in hoeverre risico’s worden beheerst in een dynamische omgeving.

8.3

Toekomstige rol van internal audit

Uit het CFIA blijkt dat internal auditing als vakgebied aan het veranderen is om ook in de toekomst van waarde te blijven binnen organisaties. Was de functie van internal auditing in het verleden voornamelijk gericht op het geven van zekerheid over de interne beheersing in het kader van de financiële jaarrekening, in de toekomst zal de nadruk liggen op het geven van zekerheid aan het management in hoeverre risico’s worden begrepen en beheerst. Het geven van zekerheid dient daarbij te worden gezien in het licht van de dynamiek waarmee organisaties worden geconfronteerd. Daarbij verschuift de rol van ‘controleur’ naar ‘facilitator’, waarmee internal audit een belangrijke rol gaat spelen in het overdragen van kennis op het gebied van risico en beheersing aan de organisatie (in het kader van empowerment en self-assurance).

70


Het CFIA hanteert de volgende functionele definitie: “internal auditing is een proces waarmee een organisatie zekerheid krijgt dat de risico’s waaraan zij wordt blootgesteld worden onderkend, begrepen en op aanvaardbare wijze worden beheerst in een steeds veranderende omgeving (dynamische context)”. Internal audit wordt dus in verband gebracht met enerzijds risicomanagement en anderzijds de effecten van verandering op risico’s en beheersmaatregelen. Hierbij worden als operationele kerntaken gezien: het adviseren inzake risicomanagement en beheerssystemen, het realiseren van bewustwording over risico’s en beheersing binnen organisaties, het faciliteren bij verandering, het bijdragen aan continue verbetering van beheerssystemen en het verschaffen van zekerheid aan het management over de doeltreffendheid van beheerssystemen. Zie figuur 9. Omgeving van de organisatie

Bedrijfsprocessen

Verandering

Management processen

Risico's

Beheersing

Zekerheid

Positiviteit Ontwikkel bewustwording

Full scope (alle risicogebieden)

INTERNAL AUDIT

Realiseer leermomenten

Draag bij aan verbetering

Betrokkenheid en relevantie

Faciliteer veranderingen Pro-actief/ anticiperend

Figuur 9. Kernaspecten van internal audit (pag 28 The Future of Internal Auditing: A Delphi Study)

71


Opvallend in het bovenstaande is dat verandering een centrale plaats gaat innemen bij het denken over internal auditing. Immers externe ontwikkelingen of interne ambities leiden tot veranderingen in de interne organisatie, hetgeen kan leiden tot veranderende risico’s of gevolgen kan hebben voor beheersingsmaatregelen. Om potentiële risico’s als gevolg van interne en externe ontwikkelingen te kunnen identificeren en op de verwachte effecten ervan te kunnen anticiperen, dient de internal audit functie eerder in de plannings- en besluitvormingsprocessen te worden betrokken. Daarmee wordt internal audit meer pro-actief gericht, in plaats van reactief. Dit lijkt ook gewenst aangezien de rol van internal audit steeds groter wordt door toenemende weten regelgeving, technologische ontwikkelingen, toenemende aandacht voor corporate governance en risicomanagement. De aandacht van internal auditing verschuift naar risico en beheersing, in de context van dynamiek en verandering en krijgt, zoals eerder gesteld, een belangrijke rol in de leercyclus van organisaties waarin begrijpen, verbeteren en zekerheid geven belangrijke begrippen zijn. Hierdoor wordt de scope van internal auditing verbreed, naar al die gebieden binnen en buiten organisaties waar risico’s kunnen optreden c.q. waarbinnen behoefte is aan bewustwording op dit gebied. Toepassingsgebied wordt de hele organisatie (full scope), inclusief strategieën, processen, systemen, etc. In het licht van de pro-actieve rol dient internal audit vroegtijdig bij belangrijke organisatie activiteiten te worden betrokken. Afhankelijk van de scope kan internal auditing zekerheid verschaffen over de betrouwbaarheid van financiële informatie, de mate van compliance met weten regelgeving, beveiliging van bezittingen, de efficiënte en effectieve inzet van middelen en de effectiviteit van bedrijfsprocessen in relatie tot het realiseren van doelstellingen. Het brede toepassingsgebied leidt er ook toe dat verschillende soorten audits worden ingezet. Was het voorheen voornamelijk financial audit, in de toekomst wordt de rol van operational audits, IT audits en compliance audits steeds belangrijker. Ten aanzien van de toekomstige rol van internal audit worden nog wel twee kanttekeningen geplaatst. • gesteld wordt dat het begrip internal auditing onder druk staat, aangezien (1) het suggereert dat de aandacht op toezicht ligt in plaats van op ‘empowerment’ en ‘selfassurance’, (2) het suggereert dat het interne dienstverlening betreft, terwijl uitbesteding steeds vaker plaatsvindt (3) er onduidelijkheid bestaat over de relatie tussen internal auditing en andere auditvormen en (4) de adviesrol steeds belangrijker wordt. • In het verlengde van punt (3) is er dan ook een tendens waarneembaar dat organisaties hun ‘auditdiensten’ gaan samenvoegen tot een geheel, daar processen en aandachtsgebied (risico) gelijk zijn: of internal auditing in de huidige vorm blijft bestaan is daarbij de vraag.

72


Voorgaande is in tabel 17 schematisch weergegeven:

Toekomstige rol van internal audit Definitie

•

Focus

• •

Operationele kerntaken

• • • • • •

Scope

•

Timing

• • • •

Aard

Kansen

• • • • •

Bedreigingen

• •

Internal audit is een proces waarmee een organisatie zekerheid krijgt dat de risico’s waaraan zij wordt blootgesteld worden onderkend, begrepen en op juiste wijze worden beheerst in een steeds veranderende omgeving (dynamische context). Risico: financiële en bedrijfsrisico’s Verandering: de gevolgen hiervan op risico’s en beheersing (erkenning als ‘change agent’) Verbetering van bedrijfsprocessen. Zekerheid aan de organisatie geven dat risico’s worden beheerst Faciliteren van organisatieverandering Realiseren van bewustwording binnen de organisatie over de risico’s die samenhangen met het functioneren van de organisatie en met veranderingen in de omgeving Realiseren van bewustwording binnen de organisatie omtrent de toereikendheid en effectiviteit van de beheersstrategieën, -structuren en -systemen Bijdragen aan het verbeteren van de risicomanagement- en beheerssystemen van de organisatie Full scope: bestrijken van alle significante risicogebieden in de organisatie Huidige activiteiten: processen, systemen, inzet van middelen Toekomstige activiteiten: strategie, beleid en doelstellingen Betrokkenheid bij belangrijke activiteiten De meerwaarde van internal auditing wordt verhoogd als het in eerdere stadia van het management proces wordt toegepast (pro-actief in plaats van reactief). Operational audit Financial audit Compliance audit IT (EDP) audit De rol van internal audit wordt groter door toenemende weten regel geving, technologische ontwikkelingen, toenemende aandacht voor corporate governance en de toenemende aandacht voor risicomanagement. De grootste bedreiging voor internal audit afdelingen binnen organisaties wordt gevormd door externe aanbieders van auditservices, waardoor outsourcing dreigt. Er is een tendens dat organisaties hun auditdiensten samenvoegen, daar processen en focus (risico) gelijk zijn: het lijkt dan ook onwaar schijnlijk dat de onafhankelijke auditfunctie afzonderlijk blijft bestaan. Tabel 17. Toekomstige rol van internal audit

73


8.4

Kenmerken competente internal audit afdeling

Uit het voorgaande blijkt dat de aard en functie van internal auditing aan verandering onderhevig zijn. Een statisch georganiseerde en repressief opererende internal auditfunctie lijkt in de toekomst geen bestaansrecht meer te hebben. Wil de internal audit afdeling in de toekomst meerwaarde aan het management van organisaties blijven leveren dan zal van een klantgerichte, pro-actieve aanpak sprake moeten zijn. De internal audit functie dient daartoe aan te sluiten op organisatorische ontwikkelingen, op efficiënte wijze hoogwaardige audit- en adviesdiensten te leveren, processen en activiteiten te stroomlijnen en verbeteren en om te gaan met verandering. Dit stelt een aantal eisen aan de wijze waarop een competente internal audit afdeling wordt bestuurd en gemanaged. Voor besturing van de internal audit afdeling dient het management van de afdeling eenduidig vast te stellen wat de functie van internal auditing is, wie de klanten zijn, etc. Dit, alsmede de doelstellingen en strategieën op het gebied van internal auditing, moeten worden vastgelegd in een charter. De charter moet worden goedgekeurd door het hoogste bestuursorgaan van de organisatie, waarmee commitment van het topmanagement wordt verkregen. Functiemanagement betekent het ontwikkelen van beleidslijnen en procedures, het inrichten van de organisatie, het coördineren van interne en externe audit activiteiten, het bijdragen aan de ontwikkeling van de professie en het promoten van de functie binnen en buiten de organisatie. Daarbij is het van belang dat het management van de afdeling goed de ontwikkelingen volgt die zich binnen en buiten de organisatie voordoen. Immers deze ontwikkelingen kunnen leiden tot veranderende behoeften van het lijn-/topmanagement ten aanzien van de internal audit functie. Het management van de internal afdeling moet hierop bedacht zijn en in staat zijn om snel op gewenste veranderingen in te spelen door het aanpassen van werkmethoden, audit- en adviestechnieken en werkprocessen en het scheppen van de juiste condities. Een belangrijke voorwaarde voor het doeltreffend functioneren van internal auditing is tot op heden geweest dat de internal audit functie onafhankelijk en objectief opereert. Dit betekende dat de functie direct onder het topmanagement werd opgehangen. Vanuit deze positie, als staffunctie die los stond van de operationele en ondersteunende processen van de organisatie, konden auditwerkzaamheden onafhankelijk worden uitgevoerd. Echter door de gewenste proactieve benadering van de internal audit functie lijkt de onafhankelijkheid minder belangrijk te worden, omdat internal auditing steeds meer betrokken wordt bij besluitvorming en planning (advisering) en steeds meer samen met het (lokale) management opereert. In een dergelijke situatie is het van belang dat de internal audit functie zodanig is gestructureerd dat alle risicogebieden worden afgedekt (full scope benadering) en dat veel aandacht wordt besteed aan het inrichten en onderhouden van netwerken binnen de organisatie. Dit laatste maakt het mogelijk om de ontwikkelingen binnen de organisatie alsmede de behoeften van het management tijdig te onderkennen en hierop in te spelen. In dit kader kunnen bijvoorbeeld ook allianties worden gesloten met andere auditafdelingen (milieu, kwaliteit, etc.) Aangezien internal auditing mensenwerk is, wordt de kwaliteit van de internal audit functie in grote mate bepaald door de kwaliteit van de internal auditors in termen van professionaliteit, expertise op het gebied van risico en beheersing en kennis van de organisatie.

74


Het management van de internal audit afdeling dient dan ook veel aandacht te besteden aan het op juiste wijze ontwikkelen, mobiliseren en gebruiken van de bekwaamheden van het personeel. Hiertoe is het van belang dat wordt vastgesteld welke kennis, vaardigheden en middelen nodig zijn om het werk efficiënt en effectief te kunnen uitvoeren. Periodiek dienen de prestaties en competenties van internal auditors te worden beoordeeld. Om de kennis en vaardigheden op peil te kunnen houden, dient het personeelsbeleid te voorzien in permanente educatie van internal auditors, door middel van opleidingen en cursussen. Het lidmaatschap van een beroepsorganisatie wordt hierbij aanbevolen, aangezien beroepsorganisaties zich richten op het verder ontwikkelen van de professie. Een kanttekening ten aanzien van kennisen vaardigheidsontwikkeling dient wel te worden gemaakt. Er bestaat een tendens dat, gegeven het brede toepassingsgebied van internal auditing en de toenemende organisatiecomplexiteit, audits in de toekomst steeds vaker zullen worden uitgevoerd door flexibele teams bestaande uit auditors, specialisten en lijnpersoneel. Een internal auditor hoeft dus niet op alle organisatiegebieden diepgaande kennis te hebben, daar de specialist of het lijnpersoneel hierin voorziet. Bij een klantgerichte en proactieve aanpak van de internal audit functie hoort een cultuur die ruimte biedt voor innovatie, verandering, professionaliteit, diversiteit, etc. De cultuur moet vooral gericht zijn op samenwerking/participatie (binnen de afdeling en met andere bedrijfsonderdelen) en op verbetering in plaats van op repressie. Daarnaast maken ook onafhankelijkheid (state of mind), objectiviteit en voldoen aan normen en waarden (ethiek en professionele beroepsstandaarden) onderdeel uit van de gewenste cultuur. Naast de personele kant, dient het management van de internal audit afdeling ook veel aandacht te besteden aan de procesmatige kant van internal auditing. De afdeling dient te beschikken over (op risico gebaseerde) planningsmethoden, ten behoeve van het vaststellen van prioriteiten en budgetten. Daarnaast dient er sprake te zijn van een uniforme en gestructureerde aanpak. Deze aanpak moet waarborgen dat audits en adviesopdrachten steeds op dezelfde wijze worden uitgevoerd in termen van scopebepaling, keuze voor methodiek, capaciteitsbepaling, planning, uitvoering en nazorg. Voor een kwalitatief goede uitvoering van werkzaamheden is het van belang dat de internal audit afdeling beschikt over state of the art audittools en -technieken (waar mogelijk geautomatiseerd). De auditaanpak en de inzet van middelen dient voortdurend te worden aangepast aan organisatieverandering(en) en aan het beschikbaar komen van nieuwe (best practice) audittools. Tenslotte dient het management van de internal audit afdeling de kwaliteit van de prestaties en werkzaamheden te bewaken en te verbeteren. Hiertoe dienen prestatiecriteria te worden geformuleerd, in termen van kritische succes factoren, prestatie-indicatoren en normen. Daarnaast dient een kwaliteitssysteem te waarborgen dat de kwaliteit van de processen wordt gewaarborgd. Periodiek dient te worden vastgesteld of de prestaties aan de verwachtingen voldoen: dit kan door het uitvoeren van interne of externe kwaliteitsreviews of door benchmarking van de functie aan best practice standaarden of de praktijk.

75


Voorgaande is in tabel 18 schematisch weergegeven: Functie Management

• Charter: doel, functie, strategie, doelstellingen en organisatie van internal audit functie • Ontwikkelen van beleidslijnen en procedures • Organisatie: taken, bevoegdheden en verantwoordelijkheden • Coördinatie interne en externe audit activiteiten • Bijdragen aan de ontwikkeling van de professie • Promotie van de functie binnen en buiten de organisatie • Signaleren van veranderingen in de omgeving en hieraan aanpassen van de internal audit functie Positie • Internal audit moet worden gedragen door het management & structuur • Onafhankelijk en objectief, hoewel onafhankelijkheid van de functie minder belangrijk lijkt te worden, omdat internal auditing steeds meer betrokken wordt bij besluitvorming en planning. • Direct betrokken bij belangrijke activiteiten. • Zodanig dat full-coverage van risicogebieden wordt gewaarborgd. • Relatiemanagement om ontwikkelingen binnen de organisatie te kunnen volgen. • Allianties met andere auditafdelingen Personeel • Competent personeel: diversiteit in ervaring, kennis en vaardigheden • Voldoende en juiste expertise • Professioneel • Permanente educatie • Participatie in beroepsorganisaties • Multidisciplinariteit in uitvoering (specialisten en lijnpersoneel zijn direct betrokken) Cultuur • Samenwerkingsgericht/participerend • Onafhankelijk (state of mind) en objectief • Gericht op verbetering (in plaats van repressie) • Naleven normen en waarden (ethiek en professionele beroepsstandaarden) Processen, • (Risicogebaseerd) Jaarplanning: prioritering inzake projecten en methoden en begroting technieken • Auditaanpak: per audit vaststellen doel, clientbehoeften, scope, methode, kennis en vaardigheden, capaciteit, planning, etc. • Gebruik van state of the art audittools en -technieken (geautomatiseerd) • Voortdurende innovatie van auditaanpak in antwoord op organisatieverandering(en) Prestatiemeting • Kritische succes factoren, prestatie-indicatoren en normen • Kwaliteitssysteem: kwaliteistborging en –verbetering • Interne kwaliteitsreviews • Externe kwaliteitsreviews • Benchmarking (best practice) Tabel 18. Kenmerken competente internal audit afdeling

76


8.5

Bekwaamheden van internal auditors

Zoals hiervoor al gesteld wordt de kwaliteit van een internal audit afdeling bepaald door de bekwaamheden van het personeel. De vereiste vaardigheden, in termen van kennis en vaardigheden, zijn afhankelijk van de functie die iemand heeft binnen de afdeling. Bij iedere functie behoort een bepaald takenpakket, met corresponderende bevoegdheden en verantwoordelijkheden. Onervaren internal auditors bijvoorbeeld dienen onder begeleiding taken uit te voeren op het gebied van organisatieonderzoek, audits en verbeterprojecten. Competente internal auditors dienen zelfstandig audit- en adviesopdrachten te leiden, bij te dragen aan het verbeteren van de processen van de auditfunctie en het monitoren van veranderingen die de auditfunctie kunnen beïnvloeden. Het management van internal auditafdelingen dient de communicatie te onderhouden met topmanagement over de mate van risicobeheersing, de eigen afdeling te managen (in termen van processen, cultuur, structuur, kwaliteitsbewaking, personeelsbeleid, etc.) en in te spelen op organisatieontwikkelingen. Vaardigheden kunnen worden onderverdeeld naar cognitieve vaardigheden en gedragsvaardigheden. De classificatie van vaardigheden is in figuur 10 schematisch weergegeven. Individuele eigenschappen

Vaardigheden classificatie Cognitieve vaardigheden

Techn. vaardigh.

Analyt. vaardigh.

Gedrags vaardigheden

Oordeels vorming

Persoonl. vaardigh.

Interpers. vaardigh.

Politieke vaardigh.

Figuur 10. Classificatie van vaardigheden (pag. 15 Internal Auditing: The Global Landscape)

Kennis kan worden onderverdeeld in twee componenten: de inhoudelijke kant (aard kennis) en het kennisniveau (theoretische versus praktische kennis). Inhoudelijke kennis heeft betrekking op kennis die internal auditors moeten hebben over bijvoorbeeld organisatiekunde, risicomanagement, beheersing, informatietechnologie en internal auditing. Voor een goede functieuitoefening is het van belang dat internal auditors naast theoretische kennis ook beschikken over praktische kennis van de organisatie. Hiermee wordt bedoeld kennis van de strategie, doelstellingen, processen, bekwaamheden en de context (concurrentie, wetgeving en omgeving) waarin de organisatie opereert. Maar bovenal over de ‘risicohouding’ van de organisatie, de risico’s die worden gelopen, de risicomanagement strategieën, de verantwoordelijkheden op het gebied van risicomanagement en de visie van het management op het gebied van beheersing en de beheersstrategieën en -structuren.

77


Voorgaande is in tabel 19 schematisch weergegeven: Theoretische kennis

Praktische organisatiekennis

• • • • • • • • •

Technische vaardigheden

Analytische vaardigheden

Oordeelkundige vaardigheden

Persoonlijke vaardigheden

Interpersoonlijke vaardigheden

Organisatie vaardigheden

• • • • • • • • • • • • • • • • • • • • • • • • • • • • •

Rol van de omgeving Organisatiekunde Risico’s en risicomanagement Beheersingsmodellen Informatietechnologie Internal auditing Strategie, doelstellingen, processen, bekwaamheden en de context (concurrentie, wetgeving en omgeving) ‘Risicohouding’ van de organisatie Risico’s, risicomanagement strategieën en de verantwoordelijkheden m.b.t. risicomanagement Managementvisie op het gebied van beheersing Beheersstrategieën en -structuren Communicatief Rekenvaardigheid Accounting Financieel management Juridisch Computervaardigheden Interne beheersing Internal auditing Onderzoek & dataverzameling Analyse en beoordeling Beredeneringsvermogen Onderscheidingsvermogen Kritische instelling Oordeelsvorming Complexe situaties behandelen Waarde oriëntatie Moraliteit Evenwichtig Doelgericht Flexibel Communicatief Omgangsvormen Teamgedrag Onderhandelingsvaardigheden Organisatiesensitiviteit Taakvervulling Managementvaardigheden

Tabel 19 Bekwaamheden van internal auditors

78


8.6

Beoordelen van competenties

Bij beoordeling gaat het om criteria, bewijslast, methodologie, oordeelsvorming, systemen en principes. Competentiebeoordeling dient plaats te vinden aan de hand van criteria die worden ontleend aan bijvoorbeeld best practice en die zijn toegesneden op een specifieke situatie. Om tot een goede beoordeling te kunnen komen, dient ‘bewijsmateriaal’ te worden verzameld. Dit bewijsmateriaal dient betrekking te hebben op geleverde prestaties en bekwaamheden die hieraan ten grondslag liggen. Oordeelsvorming dient te geschieden door ‘expert assessors’, die in staat zijn om de juiste data te verzamelen, te interpreteren, te wegen, te aggregeren en te verklaren. De samenhang tussen criteria, bewijslast, methode en oordeelsvorming komt tot uitdrukking in een geformaliseerd beoordelingssysteem. Elk beoordelingssysteem dient te voldoen aan de basisprincipes op het gebied van beoordeling: validiteit, betrouwbaarheid, relevantie en praktische toepasbaarheid. Internal audit afdelingen dienen te worden beoordeeld op geleverde prestaties, taakvervulling (competenties om de resultaten te kunnen leveren) en functionele bekwaamheid (vermogen voor het leveren van prestaties in de toekomst). Personeelsbeoordeling dient plaats te vinden aan de hand van beoordelingscriteria op het gebied van persoonlijke ontwikkeling (leren), taakvervulling, leidinggeven, kennis en vaardigheden (cognitieve en gedragsvaardigheden). De gebruikte beoordelingscriteria zijn hierbij afhankelijk van de functie die iemand bekleedt. Dit is in figuur 11 weergegeven. Internal audit resultaten Competente interal auditing functie

Taak vervullings criteria

Best practice

Functionele bekwaamheid Onderwerp van beoordeling

Beoordelings criteria Verantwoordelijkheden & bevoegdheden Role structure Competente internal auditors

Prestatie verwachtingen Kennisvereisten Cognitieve en gedrags vaardigheden

Typen Niveau's Typen Specifiek

Figuur 11 ‘Beoordeling van competenties in internal audit’ (pag. 18 Assessing Competency in Internal Auditing: Structures and Methodologies)

79


Er zijn verschillende methoden om de prestaties van een internal audit afdeling te beoordelen. Externe beoordeling kan bijvoorbeeld plaatsvinden via klantenonderzoek, beoordeling van het kwaliteitssysteem, etc. Interne beoordeling kan plaatsvinden via prestatiemonitoring (o.b.v. gedefinieerde prestatieindicatoren), focus reviews (voortgangsbewaking van doelrealisatie) en benchmarking (GAIN of best practice competentiestandaarden). Methoden die worden gebruikt voor het beoordelen van personeel zijn afhankelijk van het doel waarvoor ze worden ingezet: aanname van nieuw personeel, functioneringsgesprekken of in het kader van ontwikkeling (management development). Zodoende kunnen verschillende methoden worden gebruikt, zoals on-the-job observaties, testen, interviews en functioneringsgesprekken. Voorgaande is in tabel 20 schematisch weergegeven: Algemene principes

•

• • • •

Competentie-standaarden • voor internal audit

Beoordeling van internal audit afdelingen

•

• •

Belangrijk bij beoordeling is dat het gestructureerd plaatsvindt, voldoet aan eisen op het gebied van validiteit, betrouwbaarheid en relevantie en periodiek toetsing van validiteit plaatsvindt. Beoordeling vereist op een specifieke situatie toegesneden prestatiecriteria en indicatoren: criteria kunnen worden ontleend aan bijvoorbeeld best practice. Om een volledig beeld te krijgen, dienen verschillende beoordelingsmethoden te worden gehanteerd aangezien die verschillend bewijsmateriaal opleveren. De samenhang tussen criteria, bewijslast, methode en oordeelsvorming komt tot uitdrukking in een geformaliseerd beoordelingssysteem. Oordeelsvorming dient te geschieden door ‘expert assessors’, die in staat zijn om de juiste data te verzamelen, te interpreteren, te wegen, te aggregeren en te verklaren. Voor de beoordeling van medewerkers van internal audit afdelingen zijn, uit hoofde van validiteit, competentie standaarden nodig op het gebied van kennis, vaardig heden en potentieel, die best practice weergeven. De competentie van een internal audit afdeling dient te worden beoordeeld tegen: resultaten (waardepropositie), taakvervulling (competenties om de resultaten te kunnen leveren) en functionele bekwaamheid ( vermogen voor het leveren van prestaties in de toekomst). Externe reviews: klantenonderzoek, beoordeling van het kwaliteitssysteem, externe beoordeling aan de hand van competentiestandaarden. Interne reviews: prestatiemonitoring (o.b.v. gedefinieerde prestatieindicatoren), focus reviews (voortgangsbewaking van doelrealisatie), benchmarking (GAIN) of kwaliteits reviews aan de hand van competentiestandaarden (best practice).

80


Beoordeling van internal auditors

•

•

•

•

Voor het beoordelen van internal auditors is het van belang om op elk niveau vast te stellen welke eigenschappen, kennis en vaardigheden van belang zijn (differentiëren). Competenties kunnen worden beoordeeld tegen de aard van de positie/rol, prestatieverwachtingen, het niveau en soort kennis vereist en de cognitieve en gedrags vaardigheden die benodigd zijn. Methoden die worden gebruikt zijn afhankelijk van het doel waarvoor ze worden ingezet: aanname van nieuw personeel, functioneringsgesprekken of in het kader van ontwikkeling (management development). Beoordeling van internal auditors kan plaatsvinden via testen, interviews, simulaties, on-the-job observaties.

Tabel 20 Competentiebeoordeling en internal auditing

81

Hoofdstuk 9

Competentiestandaarden voor internal audit

83


9.1

Inleiding

In hoofdstuk 8 is internal audit beschreven vanuit een best practice perspectief, zoals dit uit het Competency Framework for Internal Auditing naar voren komt. In dit hoofdstuk wordt dieper ingegaan op de competenties van de internal audit functie enerzijds en de competenties van internal auditors anderzijds. In 9.2 wordt het referentiemodel voor best practice internal audit gepresenteerd, dat de basis heeft gevormd van het benchmarkinstrument zoals in het studierapport ‘Competency: Best Practices and Competent Practioners’ is opgenomen. Dit referentiemodel kan worden gebruikt als hulpmiddel bij het verder ontwikkelen van internal audit afdelingen. In de resterende paragrafen wordt ingegaan op de competenties van internal auditors: hiertoe wordt van drie onderscheiden functies inzicht gegeven in de taakomschrijving (9.3), de vaardigheden (9.4) en de kennisvereisten (9.5). Dit kan als hulpmiddel worden gebruikt voor het verder ontwikkelen van personeelsbeleid.

9.2

Referentiemodel best practice internal audit

1. Develop understanding within an organization about the risks associated with its functioning and contexts 1.1

Understand an organization’s objectives/strategies, processes, capabilities and the contextual dynamics affecting its functioning. 1.1.1 Identify/clarify the organization’s objectives and strategies 1.1.2 Identify the key processes used to support strategies 1.1.3 Identify the patterns of resource use associated with key processes 1.1.4 Identify the core capabilities supporting the organization’s strategies 1.1.5 Identify contextual dynamics (competitive, institutional, environmental) affecting the organization’s strategic success and its future

1.2

Profile the organization’s philosophy (attitude/stance) on risk 1.2.1 Identify/develop/select a framework for structuring inquiry and communication about risk 1.2.2 Negotiate acceptance of this framework within the organization 1.2.3 Conduct relevant inquiries and communications about risk in relation to the organization with key personnel 1.2.4 Confirm with management the profile developed of the organization’s philosophy (attitude/stance) on risk

1.3

Understand the risk management strategies of the organization 1.3.1 Identify the key risk drivers facing the organization through appropriate forms of analysis, interaction and involvement 1.3.2 Identify the policies/practices used to manage risk with respect to each key driver 1.3.3 Identify responsibilities for risk management in relation to each key driver 1.3.4 Consolidate/express the organization’s policies/practices for risk management as strategies

84


1.4

Provide advice/recommendations relating to the organization’s risk management philosophies, strategies and their implementation 1.4.1 Review/assess the risk management strategies of the organization from the perspective of best practice 1.4.2 Review/assess the risk management strategies of the organization relative to their degree of organizational implementation/understanding 1.4.3 Review/assess the level of integration between the organization’s philosophies on risk and its risk management strategies 1.4.4 Assess the vulnerability of the organization’s risk management strategies to contextual shifts 1.4.5 Develop advice/recommendations on risk management within the organization and negotiate these in relevant settings.

2.

Develop understanding within the organization about the adequacy and effectiveness of its control strategies, structures and systems

2.1

Profile an organization’s control philosophies 2.1.1 Identify/develop/select a framework for structuring inquiry and communication about control within the organization 2.1.2 Negotiate acceptance of this framework within the organization 2.1.3 Conduct relevant inquiries and communications about within the organization to clarify/establish relationships between control, risk management, strategy effectiveness, process efficiency and resource use/consumption 2.1.4 Identify (and confirm with management and otherwise) the profile developed of the organization’s philosophies on control

2.2

Determine the control strategies and structures of the organization 2.2.1 Identify the key types of risk faced by the organization and associated risk drivers by reference to its risk management strategies 2.2.2 Identify the forms of control associated with particular types of risk faced by the organization, through appropriate forms of investigation/consultation 2.2.3 Identify the control parameters established for/or associated with the key risks faced by the organization 2.2.4 Identify and confirm the control strategies and structures of the organization

2.3

Assess the adequacy and effectiveness of existing or proposed control strategies, structures and systems 2.3.1 Assess the adequacy and effectiveness of control strategies/ structures/ systems relative to the organization philosophies on control 2.3.2 Assess the adequacy and effectiveness of control strategies/structures/ systems relative to organizational risk management strategies 2.3.3 Assess the adequacy and effectiveness of control strategies/structures/ systems by reference to contextual shifts likely to impact the organization 2.3.4 Assess the adequacy and effectiveness of control strategies/structures/ systems by reference to best practice

85


2.4

Promote understanding within the organization about the adequacy and effectiveness of its control strategies, structures and systems 2.4.1 Develop advice/recommendations relating to the adequacy and effectiveness of control strategies/structures/systems 2.4.2 Highlight advice/recommendations by reference to key controls/control parameters 2.4.3 Negotiate advice/recommendations in relevant settings 2.4.4 Assess the level of acceptance/understanding gained as a result of these efforts 2.4.5 Determine approaches/opportunities for further/ongoing representations/ negotiation and selectively continue the process

3.

Contribute to improvements in the functioning of the organization’s risk management and control systems

3.1

Establish authority/credibility for involvement in improvement activities 3.1.1 Establish authorities for involvement in improvement activities (where relevant) 3.1.2 Mobilize credentials for involvement in improvement activities, in terms of capabilities, past successes and references 3.1.3 Demonstrate an awareness of the concerns, situations and potential opportunities facing involvement partners 3.1.4 Convey a sense of the value that might be added by joint involvement in improvement activities 3.1.5 Establish the level of trust necessary for working together

3.2

Establish the purposes and types of involvements to be sustained with relevant parties within the organization 3.2.1 Define scope of involvement 3.2.2 Clarify value to be added 3.2.3 Establish and negotiate acceptance of proposed outcomes/objectives 3.2.4 Establish liaison channels 3.2.5 Establish working arrangements 3.2.6 Establish arrangements relating to the timing of involvements, including exit arrangements 3.2.7 Agree on resourcing requirements associated with the involvement

3.3

Conduct particular assignments 3.3.1 Establish/agree project plans, methodologies and resourcing arrangements 3.3.2 Establish team members/roles 3.3.3 Perform tasks necessary for the assignment 3.3.4 Document outcomes (where relevant) 3.3.5 Develop and negotiate report 3.3.6 Debrief task team

3.4

Provide 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5

follow-up advice/support Identify need for follow-up advice/support as an outcome of the assignment Gain approval for this involvement and associated resourcing Develop plans for follow-up Provide for contingencies that might arise during follow-up Provide advice/support as agreed/necessary

86


3.5

Establish the level of acceptability/satisfaction with, and the effectiveness of, the outcome 3.5.1 Establish the means for determining the level of acceptability/satisfaction of the client with the outcome 3.5.2 Establish/agree with clients the means for probing the effectiveness of the outcomes of assignments 3.5.3 In conjunction with the client, conduct effectiveness reviews 3.5.4 Monitor acceptability/satisfaction and respond appropriately to negative results 3.5.5 Work with the client to plan/undertake responses to negative reviews

4.

Provide ongoing assurance to the organization that it is in control relative to its risks

4.1

Establish assurance strategies/plans 4.1.1 Determine assurance strategies 4.1.2 Develop work priorities/plan which reflect strategies 4.1.3 Determine resourcing implications of plan 4.1.4 Negotiate approval of the plan and its resourcing requirements 4.1.5 Partition the plan in terms of projects

4.2

Establish the scope of assurance projects 4.2.1 Articulate projects with the assurance plan 4.2.2 Identify the client 4.2.3 Ascertain client needs 4.2.4 Establish the objectives of a project 4.2.5 Specify the scope of the project

4.3

Identify/develop the methodologies relevant to an assurance project 4.3.1 Review relevant methodologies relative to the project 4.3.2 Select a relevant methodology, tailoring it when necessary 4.3.3 Identify the types of skills/resource needed to utilize the methodology selected and arrange training/acquisition where necessary

4.4

Establish a project plan 4.4.1 Establish the tasks to be performed 4.4.2 Establish the resources required 4.4.3 Establish milestones and timelines 4.4.4 Establish reporting and sign-off arrangements 4.4.5 Negotiate/confirm the plan with the client

4.5

Conduct the assurance project 4.5.1 Liaise with relevant parties 4.5.2 Assemble relevant data 4.5.3 Analyze data 4.5.4 Develop conclusions relevant to the project scope 4.5.5 Write report

87


4.6

Communicate/negotiate the results of the assurance project with relevant parties (clients) within the organization 4.6.1 Identify the key points to be discussed/negotiated 4.6.2 Identify the outcomes desired as a result 4.6.3 Structure discussions/negotiation processes and settings (where possible) 4.6.4 Conduct the negotiation 4.6.5 Review the outcome and follow-up where necessary/possible

5. Manage the internal auditing function 5.1

Establish the objectives/ purpose of the function within the organization 5.1.1 Assess the organizational context (objectives, strategies, governance and management structures, culture, operations and compliance frameworks) within which the function will be located 5.1.2 Negotiate the purpose of the function within the organization with relevant authorities 5.1.3 Embody this purpose in an agreed charter, which expresses the value to be provided to the organization by the function 5.1.4 Establish objectives and strategies for the function, in furtherance of the charter 5.1.5 Determine the culture to be developed within the function, in furtherance of the charter 5.1.6 Determine the goals/performance objectives by which the effectiveness of the function will be assessed 5.1.7 Negotiate/incalculate these understandings in the personnel and processes of the function

5.2

Manage 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5

5.3

Establish/secure the capabilities required by the function 5.3.1 Determine the capabilities/competencies/resources required by the function (human, equipment, financial) 5.3.2 Negotiate approval for these capabilities to be secured/deployed by the function 5.3.3 Secure/develop necessary capabilities 5.3.4 Institute processes for the management of these capabilities within the function

5.4

Structure the work of the function 5.4.1 Determine the work processes of the function 5.4.2 Establish work methodologies to be used by/with the function 5.4.3 Assign work roles within the function 5.4.4 Institute mechanisms for reviewing work processes, methodologies and role relationships within the function

key relationships and networks Determine key relationships and networks to be managed Build/establish relationships and networks Utilize relationships/networks, as necessary Monitor performance in relationship/network performance Maintain/refocus relationships and networks, as necessary

88


5.5

Manage 5.5.1 5.5.2 5.5.3 5.5.4 5.5.5

5.6

quality control / improvement Instill a quality culture within the function Negotiate/establish quality controls over the work of the function Benchmark the work of the function Institute continuous improvement philosophies/processes within the function Draw from clients in assessing the quality/value of the work of the function

Contribute to the development of the profession 5.6.1 Promote best practice through the profession 5.6.2 Participate in establishing professional standards 5.6.3 Contribute to the development of members of the profession 5.6.4 Participate in professional endeavours to educate the public/regulatory authorities about its work 5.6.5 Embed/represent professionalism in the work of the function

6. Manage the dynamic contexts that affect the work of the function 6.1

Implement responses in internal auditing work to relevant forms of contextual imperative or change 6.1.1 Establish systems/potentialities for recognizing and assessing the impact of imperatives/changes 6.1.2 Strategically assess options for response 6.1.3 Initiate and implement responses 6.1.4 Monitor the outcomes

6.2

Proactively negotiate and/or construct the contexts within which internal auditing work will be conducted 6.2.1 Determine the contextual conditions necessary/advantageous for the efficient/effective work of the function’ 6.2.2 Identify strategies by which these opportunities could be pursued/achieved 6.2.3 Monitor contexts for windows of opportunities or avenues for action 6.2.4 Move proactively in negotiating/constructing desired contextual conditions Tabel 21 ‘Units and elements of competency’ (pag. 51-55 Competency: Best Practices and Competent Practioners)

89


9.3

Taakomschrijvingen

Entering internal auditor


Internal auditing management

Responsibilities and authority - Takes responsibility for own learning - Works under direction - Assists in task performance

Responsibilities and authority - Responsible for task performance - Provides supervision/direction - Reports to internal auditing manager

Responsibilities and authority - Responsible for function performance - Provides leadership direction - Reports to senior organizational management

Learning/Development - Develops an understanding of organization’s risks and controls - Works effectively, both individually and as part of a team - Takes direction form others - Accepts responsibility/accountability for own actions - Knows when to ask questions - Respects confidentiality of information - Expresses ideas clearly and accurately - Well organized in the workplace - Engaged in further study and training

Learning/Development - Takes responsibility for own continuing learning/development - Provides instruction related to internal auditing tasks - Provides on the job training and guidance to team members - Develops the skills of others in teamwork - Promotes ‘outreach’ understanding about risk and control within the host organization

Learning/Development - Plans and oversees the learning/ development of internal auditing personnel - Establishes professionalism and best practice as learning goals - Provides support for learning/ capability development - Contributes personally to training/ development - Promotes understanding about the value and mission of internal auditing within the organization at large

Task/Operational - Develops working relationships with the organization - Assists in identifying/analyzing potential risk areas - Assists in the execution of internal auditing tasks and testing processes - Assists in identifying noncompliance with control objectives - Prepares portions of reports

Task/Operational - Conducts internal auditing work competently - Assesses business risks - Identifies control weaknesses - Develops necessary internal auditing programs - Plans and conducts fieldwork - Identifies important issues to bring to management’s attention - Prepares credible solutions to risk and control issues - Documentation/workpapers are appropriately developed

Task/Operational - Promotes an understanding of business goals and plans and challenges relating thereto - Resolves complex activity, risk and control issues with senior management - Initiates reviews of major risk and control systems - Ensures high quality internal auditing work - Provides feedback/ consultation as necessary - Ensures compliance with applicable laws, regulations and standards

90





- Internal auditing standards are applied appropriately - Time deadlines and other commitments are met - Makes appropriate recommendations for action in the light of environmental and organizational change

- Interfaces with external auditor, regulatory bodies and other relevant agencies - Plans, organizes and prepares materials for audit committee meetings - Ensures high quality internal auditing reports

Managerial - Contributes to the development/ modification of internal auditing strategies - Plans and organizes work on a timely basis - Utilizes staff resources efficiently - Supervises all phases of internal auditing work - Promotes quality/continuous improvement in internal auditing work - Delegates effectively within/ to teams - Communicates effectively to organizational members about the progress of internal auditing work - Leads work teams productively and effectively

Managerial - Assists in the development of corporate goals and strategies in terms of risk management and control implementation - Similarly participates in significant organizational activities related to business plans - Oversees the development of internal auditing strategies - Determines the purpose/ scope of internal auditing work - Develops the internal auditing function’s standards and policies - Develops/embeds the culture of internal auditing function in behavior - Establishes and maintains key networks at senior management level - Ensures that the internal auditing function is adequately resourced - Seeks internal auditing efficiencies through the use of alternative resources - Oversees the development of the function’s budget - Manages internal auditing resources effectively - Delegates internal auditing work responsibilities effectively - Develops a strong team spirit in the internal auditing function

91




Internal auditing management - Identifies sources of best practice and initiates projects to reengineer internal auditing processes and methods in this direction - Reviews and provides feedback to internal auditing personnel - Takes overall responsibility for leadership and management of the internal auditing function

Tabel 22 ‘Composite Role Performance Attributes’ (pag. 61-62 Assessing Competency in Internal Auditing: Structures and Methodologies)

9.4

Cognitieve en gedragsvaardigheden



Technical skills - Using information technology (databases and spreadsheets) - Communication (literacy/ writing and structuring reports) - Using relevant statistical methods - Understanding of organizational dynamics - Understanding of theories of risk - Understanding of theories of organizational control

Technical skills - Using information technology (audit software) - Apply control systems designs and procedures - Documentation of internal auditing work - Using/reviewing accounting procedures/principles - Apply laws and regulations - Apply internal auditing technologies and procedures - Mastery of new information technologies - Understand key principles of specialty fields (environmental, quality, IT audit)

92






Analytic skills - Logical reasoning - Ability to conceptualize - Problem analysis/structuring - Research skills (finding, accessing and assessing data) - Using data in problem solving - Linking evidence to arguments and conclusions

Analytic skills - Analyzing commercial and financial data - Basic analysis of accounts and accounting reports - Systems analysis and review - Internal audit requirements analysis - Using sophisticated analytic models in support of internal audit judgement - Using industry specific databases - Using extra organizational information - Using non-financial evaluation methods - Using comprehensive internal auditing approaches - Designing control systems - Organizational analysis (strategies, functions, processes, value, risks, controls) - Using models in analysis - Adapting internal auditing methodologies for evaluating controls in computer systems - Validating assumptions/ projections underpinning plans and decisions - Developing prototype solutions to problems.

Analytic skills - Developing technologies for reducing auditrisk - Designing new internal auditing methodologies for systems analysis and evaluations - Developing internal auditing technologies for assessing business risk - Developing methodologies and databases for establishing performance criteria and measuring performance - Designing of risk management systems

Appreciative skills - Recognize importance of/in data - Sorting out the relevant - Judging whether information is sufficient for opinions - Observant/aware - Critical thinking - Able to be concise/succinct - Accepting of new/other’s ideas - Strives for continuous improvement in self

Appreciative skills - Finding all that is relevant - Sorting out productive, central lines of inquiry - Seeing anomalies and recognizing their implications - Sensing the significance of issues - Seeing the internal audit process as a whole - Locating particular problems or situations in terms of more global contexts - Making associations, thinking outside the square

Appreciative skills - Developing and using criteria tot promote consistency in judgement - Making complex, multivalued judgements in the absence of data, and with probabilistic inferences only

93



Competent internal auditor - Comprehending internal auditing in business context - Discriminating between substance and form - Disciplining imagination - Having a sense of practicability, materiality - Assessing the risks associated with internal audit assignments - Coping with increased complexity - Adapting to revised expectations about internal audit processes and outcomes - Risk awareness - Interpreting relevant laws and standards - Applying disciplinary understandings and research findings - Extending judgement over time (projection) - Knowing what should be there - Sensing what is not there - Making syntheses from isolated evidence - Employing a sense of perspective - Taking a strategic view (macro and micro view) - Apply a sense of commercial reality - Business acumen - Cope with information overload - Able to see the big picture - Expect/cope with the bizarre - Desire for win-win - Making sense of complex situations - Seeks to add value - Managing complexity - Seeks to instill quality - Juggling inconsistent priorities - Strives for continuous improvement in others

94





Personal skills - Honesty - Integrity - Inquisitive - Questioning - A-political - Balanced - Not dogmatic - Initiative - Self-starter - Intelligent - Open minded - Flexible - Adapting to circumstances - Effecting change in self - Creativity - Objective - Positive attitude towards technology - Sociable - Confident - Making it happen - Accepting of responsibility

Personal skills - Making it happen - Ability to handle pressure - Time management - Decisive - Able to stand ground - Stress management - Patience - Persistence - Dedication - Intuitive - Tenacity - Tenacity - Handle/welcome change - Proactive - Assertive - Professional demeanor - Pushing the limits - Incisive - Anticipation

Interpersonal skills - Communication (awareness of audience, listening, oral, interpersonal) - Making presentations - Team player - Learning form others - Handling frustration for self - Discretion/tact - Empathy - Diplomacy - Supportive of others - Culture sensitivity

Interpersonal skills - Persuasiveness - Influencing, persuading, motivating, changing others - Handling an adversarial role - Handling multi-tasking - Able to diffuse conflict, conflict resolution - Handling frustration of others - Managing intra-groups dynamics - Defines requirements - Securing control - Coaching/mentoring - Develop others - Managing inter-group dynamics - Delegation within teams - Conduct meetings - Facilitation - Liaison/negotiation within team - Liaison/negotiation for team

95






Organizational skills - Finding way around organizations - Attaining knowledge of the business - Adapting internal auditing work to a wide range of organizational systems, methods and standards - Negotiating the application of professional standards - Adding commercial value - Making productivity gains - Marketing internal auditing services - Using sophisticated technologies/ approaches in managing (TQM, performance criteria, benchmarking) - Scheduling - Coping with international situations - Building/using relationships and networks - Adding client value - Building trust

Organizational skills - Managing the function - Using organizational power sources and structures - Delegation within function - Reading the culture and politics of an organization - Liaison/negotiation for function - Leadership of the function - Using consulting approaches in selected areas of internal auditing work - Expanding internal auditing work into new areas (requiring new skills) - Human resource management - Strategy formation for the function - Structuring change productively - Championing empowerment

Tabel 23 ‘Individual Attributes’ (pag. 51-55 Competency: Best Practices and Competent Practioners)

9.5

Kennisvereisten




(theoretical awareness)

(practical understanding)


Organizational environments - Regulatory processes impacting organizations - Competitive structures impacting organizations - Industry structures - Social expectations affecting organizations

Organizational environments - Externally generated compliance requirements and organizational responses - Organizational mechanisms for meeting competition - Meeting capital market and product/ service market expectations - Organizational mechanisms for meeting social expectations

Organizational environments - Impacts of globalization generally - Impacts of real-time global information flows - Global pest practices as targets - Trends from mass production to customization - Cross border social and cultural expectations

96





(theoretical awareness)



Organizational functioning - Make up of organizations (e.g. structures, cultures, power) - Governance mechanisms and issues - Managerial roles - Financing and resourcing

Organizational functioning - Strategy formation processes - Organizing around the value chain - Driving change: reengineering and continuous improvement - Generating value from resource use and deployment - Project and process management - Team processes and management - Performance management

Organizational functioning - Leadership in organizations - Driving innovation and value creation - Preserving and leveraging intellectual capital - Agile and virtual organizations - Assurance and governance processes

Risk and organizations - Sources/types of risk facing organizations - Need for risk management

Risk and organizations - Theories of risk and organizations - Risk management strategies and systems

Risk and organizations - Leading edge theories of risk and organizations - Best practice risk management processes

Control in organizations - Need for control in organizations - Basic/best practice control models

Control in organizations - Theories of control in organizations - Control strategies, structures and systems

Control in organizations - Leading edge theories of control and organizations - Best practice control models and paradigms

Information technology and organizations - Data generation and information sources - Need for information management - Information management technologies

Information technology and organizations - Using information technology to gain/maintain competitive advantage - Electronic commerce - Using information technology efficiently/effectively in internal auditing work

Information technology and organizations - Information technology and organizational virtuality - Risk and information management

Internal auditing processes and organizations - Purpose/value of internal auditing - Internal auditing tasks - Internal auditing processes - Competencies required for internal auditing work

Internal auditing processes and organizations - Professional/best practice standards - Internal auditing work technologies - Specialized and technology intensive application areas - Managing internal auditing projects/processes

Internal auditing processes and organizations - Leading the internal auditing function - Managing organizational interfaces - Identifying and developing competencies/capabilities - Benchmarking best practice

Tabel 24 ‘Knowledge and Understanding Composites’ (pag. 64-65 Assessing Competency in Internal Auditing: Structures and Methodologies)

97

Begrippenlijst

99


Analytic/design skills Problem identification or task definition and the structuring of prototype solutions or performances. Appreciative/judgemental skills Making complex and creative judgements, often in situations of ambiguity. Awareness An appreciation of the broad nature and fundamentals of and the capacity to probe deeper into an area or item of knowledge. Capability The potentiality to successfully accomplish other performances in other contexts, involving the judicious use of the same or other capacities and an underlying knowledgeability. Capacity The qualities needed to sustain or produce performance in context. Competency The successful accomplishment of performance in context, through the judicious use of requisite capacities. Competency assessment A process of gaining evidence as a basis for making judgements about competency. Competency standards Competency standards establish an appropriate linkage between tasks to be performed (in terms of outcomes to be secured), the contexts in which tasks are to be performed, specified performance criteria (to establish the quality of outcomes) and individual attributes entailed by performance. Elements of Competency Coherent and sensible clusters of sub-tasks whose performance is necessary and sufficient to meet the outcomes entailed by particular units of competency. Internal auditing Internal auditing is a process by which an organization gains assurance that the risk exposures it faces are understood and managed appropriately in a dynamically changing context. Internal Auditing Value Proposition The value added to an organization by the outcomes of internal auditing work. Interpersonal skills Securing outcomes through interpersonal interactions. Organizational skills Securing outcomes through the use of organizational networks.

100


Performance Criteria Aspects of professional performance that are indicative of whether an element of competency was performed competently or not. Personal skills Handling oneself in situations of challenge, stress, conflict, time pressure and change. Proficiency A mastery in applying knowledge to practical applications or situations, through the exercise of judgements involving a deep understanding of the areas and items of knowledge and their modes of applicability. Technical skills Following defined routines with some mastery. Understanding An ability to apply areas or items of knowledge to practical situations surrounding role performances and recognition of points of deviation or contingency between them. Units of Competency A set of tasks whose performance is both necessary and sufficient to meet the functional requirements of the field of practice.

101

Bijlage 1

Cognitive and behavioral skills (uit: Competency: Best Practices and Competent Practioners, pag 175-180)

103


Entering Internal auditor

Cognitive skills

Technical Skills • Communication/literacy - Literacy/writing - Structuring reports • Numeracy - Using relevant statistical methods • Computer literacy - Using spreadsheets - Using database systems - Using audit software - Mastery of new information technologies • Organizational understandings - Organizational dynamics - Theories of risk - Theories of control - Apply control systems designs and procedures • Accounting/Financial Literacy - Using/reviewing accounting procedures/principles • Legal literacy - Apply laws and regulations • Internal auditing - Apply internal auditing technologies and procedures - Document internal auditing work - Understand key principles of specialty application areas

Competent Internal auditor

X X X X X X X X X X X X X X X X

Analytic/Design Skills • Information literacy - Finding data - Accessing data - Assessing data • Research - Conceptualizing - Finding/using data - Logical reasoning - Linking evidence to arguments and conclusions

X X X X X X X

104

Internal Audit management


Cognitive skills


• Problem structuring/resolution - Problem analysis/structuring - Using data in problem structuring - Developing prototype solutions to problems • Commercial and financial analysis - Analyzing commercial and financial data - Basic analysis of accounts/ accounting reports • Organizational analysis - Analysis of strategies, functions, processes, values - Analysis of risks, controls - Using models/methodologies in analysis - Validating assumptions/projections underpinning plans and decisions • Internal auditing applications - Internal auditing requirements analysis/definition - Using industry specific databases - Using extra organizational information - Using non-financial evaluation methods - Using comprehensive internal auditing approaches - Using sophisticated analytic models in support of judgement - Adapting internal auditing methodologies for evaluating controls in computer systems • Systems design - Systems analysis/review - Designing control systems - Designing risk management systems - Designing new internal auditing methodologies • Developing technologies/methodologies - Developing technologies to reducing auditrisk - Developing internal auditing technologies for assessing business risk - Developing methodologies and databases for establishing performance criteria and measuring performance

105



X X X X X X X X X X X X X X X X X X X X X X X


Cognitive skills


Appreciative Skills • Discrimination - Observant/aware - Recognize importance of/in data - Sorting out the relevant - Judging whether information is sufficient for opinions - Sensing what is not there - Finding all that is relevant - Seeing anomalies and recognizing their implications - Sensing the significance of issues - Discriminating between substance and form - Sensing client needs/expectations - Risk awareness - Apply sense of commercial reality • Precision - Able to be concise/succinct - Disciplining imagination • Critique - Critical thinking • Responsiveness - Accepting of new/other’s ideas - Sorting out productive, central lines of inquiry - Making associations, thinking outside the square - Having a sense of practicability, materiality - Expect/cope with the bizarre - Knowing what should be there • Value orientations - Strives for continuous improvement in oneself - Serving client needs/expectations - Business acumen - Desire for win-win - Seeks to add value - Seeks to instill quality - Strives for continuous improvement in others • Strategic thinking - Locating particular problems or situations in terms of more global contexts

106


X X X X X X X X X X X X X X X X X X X X X

X X X X X X

X X



Cognitive skills


- Extending judgement over time (projection) - Making syntheses from isolated evidence - Employing a sense of perspective - Taking a strategic view (macro and micro view) - Able to see the big picture • Internal auditing approaches - Interpreting relevant laws and standards - Seeing the internal audit process as a whole - Comprehending internal auditing in business context - Assessing the risks associated with assignments - Adapting to revised expectations about outcomes - Applying disciplinary understandings and research findings • Complexity management - Cope with information overload - Making sense of complex situations - Managing complexity - Coping with increased complexity - Juggling inconsistent priorities - Developing and using criteria tot promote consistency in judgement - Making complex, multi-valued judgements in the absence of data, and with probabilistic inferences only

107



X X X X X X X X X X X X X X X X X

X X


Behavioral skills


Personal Skills • Morality - Honesty - Integrity - Accepting of responsibility - Professional demeanor • Inquisitiveness - Inquisitive - Questioning • Balance - A-political - Balanced - Objective - Patience • Flexibility - Not dogmatic - Open minded - Adapting to circumstances - Handle/welcome change • Directed - Initiative - Self-starter - Effecting change in self - Positive attitude - Enthusiasm - Making it happen - Decisive - Able to stand ground - Persistence - Dedication - Tenacity - Determination - Pushing the limits - Proactive - Assertive • Coping - Confident - Ability to handle pressure - Time management - Stress management - Anticipation • Intelligence - Intelligent - Creative - Sociable - Intuitive - Incisive


X X X X X X X X X X X X X X X X X X

X

X X X

108

X

X X X X X X X X X X X X X X

X X



Behavioral skills


Interpersonal skills • Communication - Awareness of audience - Listening - Oral - Interpersonal - Making presentations - Persuasiveness - Conduct meetings • People skills - Empathy - Discretion/tact - Diplomacy - Learning form others - Supportive of others - Team player - Handling frustration for self - Calming a situation - Handling an adversarial role • Team management - Defines requirements - Influencing, persuading, motivating, changing others - Able to diffuse conflict, conflict resolution - Liaison/negotiation within team - Handling frustration of others - Coaching/mentoring’ - Facilitation - Develop others - Managing intra-groups dynamics - Securing control - Delegation within teams - Leadership of teams/groups - Liaison/negotiation for team - Managing inter-group dynamics Organizational skills • Organizational awareness - Finding way around organizations - Attaining knowledge of the business - Building/using relationships and networks - Using organizational power sources and structures - Reading the culture and politics of an organization

109



X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X


Behavioral skills


• Value negotiation - Negotiating the application of professional standards - Adding commercial value - Making productivity gains - Adding client value - Building trust - Championing empowerment • Task management - Adapting internal auditing work to a wide range of organizational systems, methods and standards - Coping with international transactions, structures and legal arrangements - Handling multi-tasking - Scheduling - Using sophisticated technologies/ approaches in managing (TQM, performance criteria, benchmarking) • Function management - Delegation within function - Managing the function - Liaison/negotiation for function - Human resource management - Structuring change productively - Strategy formation for the function - Leadership of the function • Function development - Marketing internal auditing services - Using consulting approaches in selected areas - Expanding internal auditing work into new areas

110



X X X X X X

X X X X X X X X X X X X X X X

Bijlage 2

Knowledge areas/items (uit: Internal Auditing Knowledge: Global Perspectives, pag 30-35)

111


A = Awareness U = Understanding P = Practical knowledge Knowledge Area/Item

Auditing • Overall management - Role of internal auditing in organization - Relationship of function with top management/board - Relationship with external auditors - Quality assurance - Managing the function • Managing specific engagements - Scoping work - Planning engagements - Prioritizing business risks - Managing an engagement • Pre-audit preparation - Efficiency/effectiveness of business operations - Applicable professional standards - Legal requirements/restrictions - Due diligence reviews • Date evaluation - Documents, functions and flow of information • Audit procedures - Workpaper preparation - Conduct interviews Interpret business documents - Types of audit evidence - Analytical reviews - Ascertaining compliance - Preparing flowcharts - Securing confirmations - Random selection procedures - Computer assisted auditing techniques - Attribute sampling - Sampling procedures • Internal controls - Concepts and procedures - Strong internal control environments - Materiality/significance of control weaknesses - Adequacy of controls in computerized environments • Post-audit work - Evaluating/summarizing findings - Preparing writing reports

112


Internal Auditing Manager

U U U U A

P U/P U/P P U/P

P P U U

P P P P

U U U U

U P U U

U

U

P P U U U U U U U U U A

U U U U U U U U U U U A

P P P U

P P P U

P P

P P


Knowledge Area/Item

• Types of auditing - Operational - Control - Compliance - Financial - Special projects - EDP auditing - Program Organizations • Leadership/management issues - Organizational policies - Decision making processes - Leadership/management styles - Supervision techniques - Evaluation of employees • Individual/team behavior - Individual behavior - Team roles - Maintaining worker vitality - Conflict management - Interpersonal dynamics • Structures and change - Different environments and cultures - Different structures - Organizational change processes - Different cultures and culture change • Organizational issues - Minority rights - Labor/management relations - Employee ownership Computers/Information Technology • Basis knowledge - Terminology/media - Data flow/analysis - Filing - Controls - Networking - Systems development - Functional applications - Management issues • Software knowledge - Word processing - Spreadsheet

113



U U U U U U U

U P U U U U U

U U U U U U

P U U U U U

U U A U U

U U U U U

U U U A

U U U U

A A A

A A A

U U U U U U A U

U U U U U U U U

U U

U U


Knowledge Area/Item

- Database - Audit • Computer security - Control objectives - Physical security - Control methods - Control levels - Security software - Contingency planning • Information systems risk - End-user development - Virus and fraud Sociology and psychology • Individual psychology - Feelings and emotions - Needs and performance - Viewing and resolving conflicts - Defense mechanisms - Perceptions and attitudes - Positive reinforcement and attitude change - Value development and strengthening • Group behavior - Group thinking - Group decision making • Social problems - In various countries Fraud • Knowledge - Types of fraud - Acts of fraudulent behavior - Profile/motivation of perpetrators - Legal evidence/issues - Symptoms of fraud - Steps to be taken when fraud suspected • Investigation - Documentation/safeguarding evidence - Integrating analytic relationships - Discovery sampling - Interviewing/interrogation - Computer searches of databases - Public records access/review - Surveillance

114



U U

U U

U U U U A U

U U U U U U

U U

U U

U U U U U U U A

U U U U U U U U

U U

U U

-

A

U U A A U U

U U U U U U

U U A A A -

U U U U A A A


Knowledge Area/Item

Financial accounting • Issues requiring managerial judgement - Accounting cycle/adjustments - Revenue recognition - Inventory estimation - Estimating uncollectibles - Error corrections - Unearned revenues - Contingent liabilities - Assigning receivables - Prior-period adjustments - Changes in estimates - Changes in accounting principles - Off-balance sheet financing • Technical accounting topics - Cash controls - Depreciation methods - Capital/operating leases - Asset retirements - Long-term investments - Costs/non-current assets - Intangibles - Pensions - Bonds/warranties - Earning per share - Dividends - Debt restructuring • Other accounting topics - Accounting principles across countries - Formats of financial statements - Processes of accounting standards formation - Reserve accounting for financial institutions Managerial accounting • Decision analysis - Cost/benefit analysis - Non-routine decision making - Forecasting models - Cost-volume/profit analysis • Product costing - Cost allocation - Cost accumulation - Product costing - Cost behavior patterns

115



U U U U U U U A A A A -

U U U U U U U A A U U A

U A A A A A A A A A A -

U A A A A A A A A A A A

U U U A

U U U A

U A A A

U A A A

A A A A

A/U A A A


Knowledge Area/Item

- Absorption and variable costing - Transfer pricing • Budgetary/cost control - Operational budgets - Cost control systems - Flexible budgeting - Responsibility accounting - Standard costing - Segment performance measures Finance and economics • Financial analysis - Analysis of financial statements - Interpreting budgeting models - Capital budgeting - Business development life cycle - Cost of capital - Profit planning • Financing/financial management - Electronic funds transfers - Management of current assets - Various types of debt/equity - Mergers and acquisitions • Economics - Forces/elements of market systems - Competition - Demand and supply - Fiscal policy - Key economic indicators - Money and banking systems Law and government • Law and business - Commercial law generally - Forms of business organization - Litigation/jurisdictions - Liability laws relating to business - Bribery/corruption laws - Laws relating to auditing • Taxation laws - Different types of tax - Accounting for deferred taxes - Tax effects on financial reports

116



A A

A A

U A A A A A

U A A A/U A A

U U A A -

U U A A A A

U A A -

U A A A

A A

A A A A A A

A A A A A A/U

A A A A A/U U

A A A

A A A


Knowledge Area/Item

• Government - Government’s impact on business practices - Environmental issues - Labor practices/rights - Organization of governments - Safety of citizens/workers - Product liability Statistics and quantitative methods • Statistics - Business mathematics - Probability theory - Statistical modeling • Quantitative methods - Project management/control - Productivity performance management - Quality control/cost measurement - Inventory scheduling/control - Production scheduling/control Marketing - Marketing in service/manufacturing organizations - Competitive environment - Pricing objectives/policies - Controls over marketing programs - Marketing internal auditing

117



A A A A A -

A A/U A A A A

U A A

U A A

A A A A A

A A A A A

A A A U

A A A A U

SPONSORED BY:

IIA Nederland Postbus 7918 1008 AC Amsterdam Tel. 020 301 03 66 Fax 020 301 03 92 E-mail: [email protected] Website: www.iia.nl

Competency Framework for Internal Auditing

Recommend Documents