Executive Master of Internal Auditing
Kleine interne audit afdelingen en de IIA-standaarden.
Auteur: Plaats: Naam begeleider:
Drs. Y.F.Stuijt
Drs. Y.F. Stuijt Amsterdam, 29 januari 2010 M.D. Jongejan RA, RO, EMIA
Kleine interne audit afdelingen
en de IIA-standaarden
Inhoudsopgave Voorwoord .............................................................................................................................................................. 3 Samenvatting........................................................................................................................................................... 4 Hoofdstuk 1. Inleiding ............................................................................................................................................ 7 1.1. Aanleiding voor het onderzoek ................................................................................................................... 7 1.2. Doelstelling en probleemstelling ................................................................................................................. 7 1.3. Het onderzoeksmodel en -methode ............................................................................................................ 8 1.4. Leeswijzer ................................................................................................................................................. 10 Hoofdstuk 2. Wat houden de IIA-standaarden in? ................................................................................................ 11 2.1. De inhoud en werking van de IIA-standaarden ......................................................................................... 11 2.2. Het proces van kwaliteitsbeheersing ......................................................................................................... 13 Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen ........................................................................ 14 Stap 2: Het implementeren van kwaliteitsmaatregelen ................................................................................ 14 Stap 3: Het proces van zelfevaluatie ............................................................................................................ 15 Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen .................................................................. 17 2.3. Samenvatting en conclusie ........................................................................................................................ 18 Hoofdstuk 3. De praktische problemen ................................................................................................................. 19 3.1. Probleeminventarisatie .............................................................................................................................. 19 3.2. Probleemanalyse ........................................................................................................................................ 21 3.2.1 Indeling van de problemen in het proces ........................................................................................... 21 3.2.2. Prestatiekloof ..................................................................................................................................... 22 3.3. Samenvatting en conclusie ........................................................................................................................ 26 Hoofdstuk 4. Een pragmatische aanpak ................................................................................................................ 27 4.1. Bevindingen .............................................................................................................................................. 27 4.2. Verbeteracties ............................................................................................................................................ 28 4.3. Samenvatting en conclusie ........................................................................................................................ 31 Hoofdstuk 5. Het projectplan ................................................................................................................................ 32 5.1. Het bundelen van de activiteiten ............................................................................................................... 32 5.2. Een verbetertraject ..................................................................................................................................... 38 5.3. Een rapportage-instrument ........................................................................................................................ 40 5.4. Samenvatting en conclusie ........................................................................................................................ 41 Hoofdstuk 6. Conclusie ......................................................................................................................................... 42 6.1. Conclusies aanvullende onderzoeksvragen ............................................................................................... 42 6.2. Beantwoording van de centrale vraagstelling ............................................................................................ 43 6.3. Stellingen................................................................................................................................................... 44 6.4. Aanbevelingen ........................................................................................................................................... 44 Dankwoord ............................................................................................................................................................ 44 Bijlage I Path to Quality Model .................................................................................................................... 45 Bijlage II Interviewvragen.............................................................................................................................. 48 Bijlage III AO/IC-beschrijving ........................................................................................................................ 48 Bijlage IV QSAT Rapportage Tool .................................................................................................................. 52 Bijlage V Modellen, Schema’s & Tabellen .................................................................................................... 52 Bijlage VI Gebruikte afkortingen .................................................................................................................... 53 Bijlage VII Literatuurlijst ................................................................................................................................ 53
Drs. Y.F.Stuijt
2 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Voorwoord ‘Kleine interne audit afdelingen en de IIA-standaarden’ luidt de titel van mijn referaat. Het onderwerp bleek ingewikkelder dan de titel doet vermoeden. In de eerste plaats is het onderwerp ingewikkeld omdat de interne audit afdeling vele verschijningsvormen kent en daardoor niet eenduidig te definiëren is. De omvang van de interne audit afdeling is een relatief begrip. Afhankelijk van de dimensies en de complexiteit van een gegeven organisatie kan een keuze gemaakt worden waar de toetsende functie belegd wordt. Bij een kleine organisatie past een besturingsstructuur die weinig specialisatie kent en kan de toetsende functie bij de controller belegd worden. Zo kan ook de omvang van de audit afdeling per land verschillen. Amerikaans onderzoek definieert een omvang tussen 1 en 10 full time equivalent (FTE) als klein (O’Regan, 2003), terwijl in Nederland ongeveer 80% van het ledenbestand van het IIA in deze categorie valt. Ten slotte kan een afdeling met twee auditoren klein genoemd worden, terwijl de afdeling door het uitbesteden van audits een omvangrijk audit gebied beslaat. In de tweede plaats is het onderwerp ingewikkeld omdat de oordeelsvorming met betrekking tot het naleven van de standaarden niet eenduidig is. Het IIA heeft regels opgesteld voor het vormen van een oordeel die speelruimte bieden. Als er geen heldere beoordelingsregels zijn vastgelegd hoe kan de interne audit afdeling zelf dan beoordelen of haar eigen stelsel van interne kwaliteitsmaatregelen voldoet aan de standaarden? Hoe komt een hoofd van een kleine audit afdeling tot een objectieve beoordeling of de interne kwaliteitsbeheersing binnen zijn of haar afdeling voldoende is? Ook de juridische basis voor de kwaliteitstoets lijkt verwarrend voor wat betreft het niet helder beleggen van de verantwoordelijkheden ten aanzien van de kwaliteitstoets. Hierdoor wordt de handhaving van de kwaliteitseisen bemoeilijkt. Het IIA selecteert voor haar toetsing een audit afdeling op basis van het lidmaatschap van de internal auditor (individu). Het onderwerp van toetsing echter is de audit afdeling (organisatie eenheid) terwijl de omgeving (directie) waar de audit afdeling zich bevindt haar goedkeuring en medewerking dient te verlenen. Wordt er geen goedkeuring of medewerking verleend door het bedrijf (organisatie) of vindt er zelfs verhindering plaats, dan vindt er geen toetsing plaats. Bedrijven die niet meewerken, krijgen gewoonweg geen vermelding op de lijst van getoetste bedrijven op de website van het IIA NL. Ook is onduidelijk of de naam van het bedrijf, waarvan een afdeling wel meewerkt en gecertificeerd wordt maar waarvan de verantwoordelijke auditor vertrekt, op de lijst blijft staan. Door de vele actoren zoals het individu van de auditor, de organisatie eenheid, de directie of de gehele organisatie is het niet altijd duidelijk wie verantwoordelijk is voor het naleven van de standaarden. Er bestaan echter geen sancties. Het was achteraf gezien geen eenvoudige opgave om de problematiek diepgaand aan de orde te stellen. Toch ben ik blij dat ik het heb gedaan, gezien het resultaat van mijn onderzoek. Het resultaat voor mij was het blootleggen van de uitgangspunten voor een professionaliseringsslag. Deze uitgangspunten zijn ten eerste dat de individuele auditor zelf verantwoordelijk is voor kwalitatief goed auditwerk en dat bij de externe IIA toetsing de afdeling gecertificeerd wordt en niet de verantwoordelijke auditor. Het tweede uitgangspunt bestaat uit een minimaal kwaliteitsniveau met een minimale set aan bewijsstukken om aan de minimale eisen aan kwaliteit te voldoen. Ten derde dat de noodzaak om minimaal of ‘kaal’ te werken groter is voor een éénpitter of voor een groepje van enkele auditoren die zich organiseren binnen een kleine audit afdeling, dan voor een grotere audit afdeling. Deze uitgangspunten gaven mij voldoende vertrouwen om dit onderzoek uit te voeren. Ik ben hierdoor een auditor geworden die zelfverzekerder is, achter zichzelf kan staan en meer oog heeft voor de toegevoegde waarde van kwaliteitsbeheersing, juist binnen een kleine interne audit afdeling. Verder heb ik getracht om niet in procedures te blijven steken maar voor de praktische problemen ook praktische oplossingen te zoeken. Het is daardoor een projectplan geworden voor diegene die een start wil maken met het verbeteren van kwaliteit in zijn of haar kleine audit afdeling. Succes! Amsterdam, januari 2010
Drs. Y.F.Stuijt
3 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Samenvatting Dit referaat gaat over de kleine interne audit afdelingen en de IIA-kwaliteitsstandaarden. In Nederland werkt de meerderheid van de auditoren (± 80%) in een kleine interne audit afdeling. Hoewel deze audit afdelingen klein in omvang (1-10 auditoren) zijn, is het standpunt van de beroepsvereniging IIA dat (ongeacht de omvang van de afdeling) hun standaarden het minimum niveau aangeven waar het interne stelsel van kwaliteitsbeheersing aan dient te voldoen. Aanleiding voor dit onderzoek zijn de vragen en onzekerheden van auditoren die werkzaam zijn in deze kleine interne audit afdelingen. Met de beperkte menskracht en middelen weten zij niet hoe dit stelsel van kwaliteitsbeheersing in te richten en de problemen op te lossen die zich daarbij voordoen. De vraag rees dan ook of het niet te lastig is voor een kleine audit afdeling om te voldoen aan de IIA-kwaliteitsstandaarden. Het doel van dit onderzoek is ten eerste om de problemen in kaart te brengen en vervolgens te onderzoeken welke oplossingen (in de vorm van een projectplan) daarvoor geboden kunnen worden. Om dit doel te bereiken wordt onderzocht: 1. Wat de standaarden voor kwaliteitsbeheersing voor iedere audit praktijk inhouden, 2. Wat de werking van de standaarden is en 3. Hoe kleine interne audit afdelingen om kunnen gaan met de standaarden. 1. De standaarden voor kwaliteitsbeheersing voor iedere audit praktijk betreffen de volgende onderwerpen: Standaard 1000: de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling, Standaard 1100: de onafhankelijkheid van de afdeling en objectiviteit van auditoren, Standaard 1200: de professionaliteit en deskundigheid in het uitvoeren van audits, Standaard 1300: een kwaliteitsprogramma, Standaard 2000: het effectief managen van de audit afdeling, Standaard 2100: de rapportage over de activiteiten van de audit afdeling, Standaard 2200: het uitvoeren van audits, Standaard 2300: de informatie die nodig is om de doelstelling van de audit te behalen, Standaard 2400: de communicatie van de resultaten van audits, Standaard 2500: een monitoringssysteem voor ‘follow up’ acties, Standaard 2600: de risicoacceptatie bij het management. 2. De werking van de standaarden bestaat uit een 1000-serie waar de procedures voorgeschreven zijn ten aanzien van de opzet van de maatregelen voor het interne stelsel van kwaliteitsbeheersing. De 2000-serie schrijft procedures voor ten aanzien van de werking van de maatregelen. De opzet en werking van de maatregelen dienen op één lijn met elkaar te liggen en terug te vinden zijn in de vastleggingen binnen de audit afdeling. 3. Hoewel de standaarden geen specifieke aandacht geven aan kleine audit afdelingen worden in de praktische adviezen (PA’s) die bij de standaarden door het IIA gegeven worden, op drie plaatsen wel naar de kleine audit afdeling verwezen, namelijk: 1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke validatie (PA 1300-1), 2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine afdeling kan lastig zijn (PA 1312-2), 3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040). De bovenstaande uitgangspunten leveren het kader om vervolgens te onderzoeken wat de problemen zijn voor de kleine audit afdeling met de naleving van de IIA-standaarden. Daarvoor wordt onderzocht: 1. Hoe het proces van kwaliteitsbeheersing eruit ziet 2. Wat de belangrijkste problemen en oorzaken zijn die kleine audit afdelingen
Drs. Y.F.Stuijt
4 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
hebben met de standaarden en 3. Hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing en hoe de prestatie van dit proces verbeterd kan worden. 1.De IIA-standaarden leggen de basis voor het proces van kwaliteitsbeheersing. Het proces bestaat uit vier processtappen, namelijk het opzetten, het implementeren, het zelfevalueren en het bijsturen van het stelsel van kwaliteitsmaatregelen. 2. De problemen die kleine audit afdelingen ten opzichte van grote audit afdelingen hebben: 1. er bestaat vaak een verschil in opvatting tussen de directie en de definitie van internal auditing over doelstelling, rapportagelijn en prioriteit in het uitvoeren van de werkzaamheden. Dit verschil heeft een grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in onvoldoende professionalisering van de kleine audit afdeling, 2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben een grotere impact bij kleine dan bij grotere afdelingen. De oorzaak ligt in teveel schommelingen die niet opgevangen kunnen worden, 3. er worden andere eisen aan het personeel gesteld in kleine audit afdelingen dan in grotere afdelingen en de ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals inhuur of ondersteunende systemen. De oorzaak ligt in het ontbreken van een functieprofiel voor de auditor in de kleine audit afdeling en onvoldoende gebruik van alternatieven, 4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het kwaliteitsbeheersingsproces en geen monitoring van de effectiviteit van het proces. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling, 5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling, 6. audit stappen worden ingekort en het ontbreekt vaak aan stuurinformatie vanuit de evaluatiewerkzaamheden. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling, 7. bij éénpitters ontbreekt het aan de surveillance, en de kwaliteit en ontwikkeling kunnen niet worden gegarandeerd. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling. 8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde naar de organisatie toe dan grotere afdelingen. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling, 9. de organisatie of de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij grotere audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor. De oorzaak hiervan ligt in onvoldoende professionalisering van de kleine audit afdeling. De oorzaken van genoemde problemen leveren beperkingen op voor de kleine audit afdeling in haar streven om te voldoen aan de standaarden. 3. Vervolgens is gekeken hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing. De conclusie is dat meeste problemen zich voordoen bij het opzetten van het stelsel van kwaliteitsbeheersing. Dit heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. In dit proces van kwaliteitsbeheersing kan de prestatie verbeteren in de eerste processtap. Het gaat hier om het opzetten van maatregelen met betrekking tot de eigenschappen die een organisatie en individuen moeten bezitten om kwalitatief goede audit diensten te leveren. De volgende fase in het onderzoek betrof het ontwikkelen van verbeteracties om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen. Hiervoor worden: 1 Uitgangspunten geïdentificeerd om acties te
Drs. Y.F.Stuijt
5 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
benoemen, 2 de doelen vastgesteld waarvoor de acties dienen en 3 een projectmatige aanpak ontwikkeld waarbij de verbeteracties gebundeld worden in drie verbeterprojecten. 1. De uitgangspunten voor het genereren van verbeteracties zijn: 1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie, 2. de kleine audit afdeling mag zich informeel organiseren, 3. de standaarden zijn de minimale ‘baseline’ voor het handelen van de individuele auditor, 4. de minimale set van werkzaamheden uitvoeren in het kader van kwaliteitsbeheersing, 5. een beter gebruik van het proces van kwaliteitsbeheersing met de vier processtappen, namelijk: het opzetten, implementeren, evalueren en bijsturen van het stelsel van kwaliteitmaatregelen, 6. de IIA-ontwikkelstadia naar volwassenheid op het gebied van kwaliteit beter inzetten, 7. de IIA-beschrijving van het proces van zelfevaluatie beter gebruiken, en 8. de IIA-classificatie om de mate van het naleven van de standaarden te bepalen beter inzetten, 9. de uitwerking van de standaarden bij de kleine audit afdeling pragmatischer toepassen, want de kleine audit afdeling dient haar beperkingen ‘actief’ en ‘zichtbaar’ te mitigeren. 2. De verbeteracties die ontwikkeld zijn om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen zijn gericht op: 1. de positie versterken van de kleine audit afdeling binnen de organisatie, 2. de beschrijving verbeteren van de audit afdeling met onder andere: een beschrijving van het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen, de procedures en een AO/ICbeschrijving van het proces van kwaliteitsbeheersing, 3. het beter toepassen van de vier ‘Best Practices’ om schommelingen op te vangen in budget, activiteiten, menskracht en kwaliteitsprogramma door het maken van een begroting, een ‘risk based’ audit plan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma, 4. het beter inventariseren van voldoende informatiebehoeften voor een zelfevaluatie in hoeverre men aan de standaarden voldoet, 5. een beter profiel opstellen van de auditor die geschikt is om in een kleine audit afdeling te werken. 3. De verbeteracties zijn gebundeld in drie verbeterprojecten in verband met de borging van de maatregelen. Voert men deze als projecten uit, dan bereikt men het gewenste niveau van professionalisering om te voldoen aan de standaarden en het optimaal inzetten van mensen en middelen. De verbeterprojecten zijn: 1. (her)inrichting van het proces van kwaliteitsbeheersing, Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete kwaliteitsverbetering maar vormt het fundament voor de kwaliteitsbeheersing, 2. het toepassen van beleid en procedures, Dit project leidt tot het zo efficiënt mogelijk inzetten van middelen en menskracht en tot snellere doorlooptijden van audits, peer beoordelingen en zelfbeoordelingen. Dit project leidt tot kwaliteits- en prestatieverbetering, 3. het verzamelen van informatie voor het management. Dit project leidt tot het inzichtelijk maken, beheersen, evalueren en bijsturen van het gehele proces van kwaliteitsbeheersing en het verminderen van de bureaucratie. Dit project leidt tot kwaliteit- en prestatieverbetering. De slotconclusie in dit onderzoek is dat er een professionaliseringsslag nodig is bij de kleine interne audit afdelingen. Dit kan door het doorlopen van een verbetertraject dat leidt naar: 1 de naleving van de standaarden en 2 het optimaal inzetten van mensen en middelen. Het is een lastige maar zeker geen onoverkomelijke klus voor iedere auditor om zich volwaardig te wijden aan kwaliteit.
Drs. Y.F.Stuijt
6 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 1. Inleiding 1.1. Aanleiding voor het onderzoek Het ‘Institute of Internal Auditors’ (hierna: IIA) heeft een kwaliteitstoets voor de Interne Audit afdeling ontwikkeld. Alle interne audit afdelingen waar interne auditors vallend onder het IIA-reglement werkzaam zijn, zullen eenmaal in de vijf jaar aan toetsing onderworpen worden. Doel van een kwaliteitstoets is om een uitspraak te doen over de mate waarin het interne stelsel van kwaliteitsbeheersing (in opzet en werking) voldoet aan de algemeen aanvaarde normen voor de beroepsuitoefening. Deze normen heeft het IIA neergelegd in de ‘International Standards for the Professional Practice of Internal Auditing’ en de ‘Code of Ethics’ (hierna: IPPF). Er kunnen ook normen door het lokale bestuur – de leden gehoord – vastgelegd worden in aanvullende voorschriften en richtlijnen (IIA NL, 2004). Binnen de interne audit afdeling variëren de werkzaamheden van risicomanagement en fraudeonderzoek tot operational efficiency analyse, IT- en governance auditing en reviewing compliance met de relevante wet- en regelgeving (O’Regan, 2002). Als basis voor het borgen van kwaliteit in haar reguliere werkzaamheden dient de audit afdeling maatregelen te nemen om de kwaliteit te beheersen. De maatregelen kunnen onder andere zijn: het vastleggen van de doelstelling en verantwoordelijkheden van de audit afdeling in een Audit Charter, het opzetten van een kwaliteitsprogramma, het opstellen van eisen voor het uitvoeren van audits en de rapportage van de activiteiten van de audit afdeling. Aanleiding voor dit onderzoek vormen de vragen en onzekerheden van auditoren werkzaam in kleine audit afdelingen over hoe zij dit interne stelsel van kwaliteitsbeheersing kunnen inrichten en managen. Veel kleine audit afdelingen hebben namelijk maar één tot enkele auditoren met een beperkt budget en daardoor ogenschijnlijk moeite om te voldoen aan de IIA-standaarden. Dit is opmerkelijk omdat het managen van een kleine audit afdeling een uitdaging vormt voor iemand met een brede achtergrond, die tussen verschillende niveaus kan schakelen. Omdat een kleine audit afdeling niet veel tijd kwijt is aan bureaucratie, heeft deze meer vloeiende en flexibele structuren en plattere rapportagelijnen dan een grotere afdeling. Ook zitten de individuele auditors dichter bij het senior management. De geringe omvang maakt de slagkracht en flexibiliteit groter in een ‘lean’ gemanagede kleine audit afdeling in vergelijking met grotere afdelingen. Een kleine audit afdeling kan zichzelf ‘leaner’ managen dan een grotere afdeling, hoewel zij dezelfde verantwoordelijkheden hebben (Stanek, 2008). Waarom is het dan te lastig voor een kleine afdeling om te voldoen aan de IIA-kwaliteitsnormen?
1.2. Doelstelling en probleemstelling Doel van dit onderzoek is deze aanname te bevestigen of te weerleggen en indien mogelijk een projectplan te schrijven waarin aangegeven wordt welke maatregelen genomen moeten worden om aan de IIA-standaarden te voldoen. Voor de praktische problemen die een kleine audit afdeling hierbij tegen kan komen worden oplossingen geboden. Het doel van dit onderzoek wordt bereikt door de volgende probleemstelling te formuleren: Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke oplossingen kunnen daarvoor geboden worden? Om antwoord te geven op de probleemstelling zijn de volgende deelvragen geformuleerd: 1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen daar planmatig mee omgaan? 2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van kwaliteitsbeheersing? 3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen? 4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen?
Drs. Y.F.Stuijt
7 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Om het onderzoek af te bakenen worden: 1. kleine interne audit afdelingen waar interne auditors, vallend onder het IIA-reglement, werkzaam zijn als uitgangspunt genomen, 2. kleine interne audit afdelingen die al een paar jaar bestaan als uitgangspunt genomen, dus geen startende audit afdelingen, 3. specifiek de problemen van kleine audit afdelingen rond de IIA-standaarden bestudeerd, 4. geen pogingen gedaan om tot een definitie te komen wat een kleine audit afdeling is. De focus ligt op het ondersteunen van de interne auditor die werkzaam is in een kleine audit afdeling. Begripsbepaling. In dit onderzoek versta ik onder: 1. Internal Auditing: een onafhankelijke, objectieve activiteit die aanvullende zekerheid verschaft en adviseert. De activiteit is ontworpen om waarde toe te voegen en de bedrijfsvoering van een organisatie te verbeteren. Internal Auditing helpt een organisatie om haar doelen te bereiken door een systematische, gedisciplineerde benadering, om de effectiviteit te evalueren en het verbeteren van risicomanagement, interne controle en de governance processen (IPPF, 2009). 2. Het normenkader: de IIA-standaarden en de ‘Code of Ethics’ vormen onder andere het normenkader, waaraan de kwaliteit van het interne stelsel van beheersingsmaatregelen van de audit afdeling wordt getoetst (IPPF, 2009).
1.3. Het onderzoeksmodel en -methode Dit referaat richt zich op het naleven van de IIA-standaarden door de kleine interne audit afdeling. Het onderzoek bestaat uit literatuur- (SOLL) en praktijkonderzoek (IST). De literatuur levert een gewenste situatie op met een beschrijving van het IIA-standpunt, de IIA-standaarden, het proces van kwaliteitsbeheersing en geeft aan welke maatregelen genomen moeten worden. Vervolgens worden criteria beschreven waaraan een audit afdeling getoetst wordt (a). In het praktijkgedeelte wordt in het bijzonder naar de kleine audit afdeling gekeken en worden problemen geanalyseerd die de afdeling ondervindt, al dan niet veroorzaakt door haar beperkte middelen en menskracht (b). Bij de probleemanalyse wordt het proces van kwaliteitsbeheersing gemodelleerd en wordt vervolgens dit model gebruikt om de problemen te ‘mappen’ en op te lossen door procesverbeteringen. Om het proces te onderzoeken en te verbeteren wordt gebruik gemaakt van de BPI-methode die verder in deze paragraaf en in dit referaat toegelicht wordt. Met deze methode kunnen verbeteracties benoemd worden om de efficiency en effectiviteit van de kleine audit afdeling te verhogen, waardoor zij optimaal met haar beperkte middelen en menskracht om kan gaan (c). Het resultaat van het onderzoek is een projectplan (d) om grip te krijgen op de eisen die de IIA-beroepsvereniging aan de individuele auditor stelt.
Drs. Y.F.Stuijt
8 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Model 1: het onderzoeksmodel
De methode om het proces van kwaliteitsbeheersing te verbeteren is BPI. BPI staat voor Business Performance Improvement. BPI is ontwikkeld uit het originele BPR (Business Proces Redesign) van Hammer en Champy (1993) en is doorontwikkeld in de periode 1996-1998 (Wikipedia). Bij organisatieontwikkeling is BPI hét concept voor organisatieverandering waarbij het management een verandertraject opzet. Bij het toepassen van deze methode worden eerst de problemen met betrekking tot de performance van een specifiek proces of procedure in kaart gebracht. Naar aanleiding van een probleemanalyse worden ideeën gegenereerd voor verbetering, waarna het proces of de procedure wordt aangepast. Het doel is om de efficiency en de effectiviteit van het proces of van de procedure te verbeteren. De methode kan ook de doeltreffendheid van de organisatie verbeteren als er organisatiedoelen zijn gesteld, zoals het voldoen aan kwaliteitseisen. De methode kort toegelicht: 1. het uitvoeren van BPI is een project; dat wil zeggen dat alle principes van projectmanagement van toepassing zijn, 2. de eerste stap in BPI is het bepalen welke resultaten waarde toevoegen aan de doelstelling van de organisatie en hoe het betreffende proces afgestemd kan worden om deze resultaten te bereiken (‘TO BE’), 3. de tweede stap in BPI is het beschrijven van de huidige situatie (‘AS-IS’) en het ‘mappen’ van de problemen op het proces, 4. als we weten waar de problemen zich voordoen en wat de oorzaken zijn, dienen de medewerkers en de activiteiten gereorganiseerd te worden om de nieuwe doelstellingen te behalen. Adviezen bij gebruik van BPI: 1. start met een klein proces dat in korte tijd voltooid kan worden, 2. maak een duidelijke tijdsplanning, 3. zorg voor voldoende bemensing van het project en richt je op resultaat op de korte termijn, 4. betrek management en belanghebbenden erbij; anders zal zelfs een beperkte implementatie falen, Bovenstaand BPI kader wordt gebruikt om een aanpak in de vorm van een projectplan te schrijven. Bij iedere stap in het toepassen van de BPI-methode wordt uitleg gegeven. Met BPI-instrumenten worden de problemen in het onderhanden proces onderzocht en worden verbeteringen gegenereerd (deze uitleg is steeds in een blauw kader geplaatst).
Drs. Y.F.Stuijt
9 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
1.4. Leeswijzer Om tot een antwoord op de probleemstelling te komen, is dit referaat als volgt ingedeeld. Het conceptuele kader uit het onderzoeksvoorstel dient als inleiding van het referaat. De vier deelvragen uit de centrale probleemstelling (par.1.2.) leveren ieder één hoofdstuk in het referaat op. De antwoorden op iedere deelvraag vormen gezamenlijk het antwoord op de centrale onderzoeksvraag in het laatste hoofdstuk van dit referaat. De opbouw van het referaat is als volgt: •
Hoofdstuk 1 vormt de inleiding. Hierin wordt ingegaan op de aanleiding van dit onderzoek, de probleemstelling, en hoe deze beantwoord gaat worden.
•
In hoofdstuk 2 “Wat houden de IIA-standaarden in?” worden de standaarden, het IIA-groeipad naar kwaliteit, de kwaliteitsmaatregelen en de criteria ter naleving van de standaarden beschreven. Het resultaat is een samenvatting wat de standaarden inhouden en de eerste aanzet tot een aanpak.
•
Hoofdstuk 3 handelt over de praktische problemen voor de kleine audit afdeling. Het hoofdstuk levert een inventarisatie op van de problemen in het gehele proces van kwaliteitsbeheersing en in de afzonderlijke processtappen. Tevens wordt de kloof tussen de huidige en wenselijke prestatie beschreven.
•
In Hoofdstuk 4 worden verbeteracties voor de problemen uitgewerkt. Resultaat zijn vier bevindingen waaruit aanbevelingen gegenereerd worden voor verbeteracties.
•
Hoofdstuk 5 bundelt de noodzakelijke activiteiten in verbeterprojecten die vervolgens in een traject geplaatst worden om de beperkte middelen en menskracht optimaal te benutten.
Aan het eind van ieder hoofdstuk worden een samenvatting en een conclusie gegeven, die antwoord geven op de geformuleerde deelvraag (deze zijn in een geel kader geplaatst). Resultaat is een projectmatige aanpak om aan de slag te gaan. Door de status van de ontwikkelingen in het eigen interne stelsel van kwaliteitsbeheersing bij te houden, ontstaat een meerjarig zelfevaluatie-instrument. Dit instrument kan als rapportage tool worden gebruikt naar de interne beoordelaar en in later stadium naar de externe IIA-toetser. Na het dankwoord volgt nog een aantal bijlagen, waaronder de volledige tekst van IIA Path to Quality Model (bijlage I), Interviewvragen (bijlage II), een AO/IC beschrijving (Bijlage III), het QSAT rapportage tool (bijlage IV), de verwijzingen naar modellen, schema’s en tabellen (bijlage V), een lijst met gebruikte afkortingen (bijlage VI) en een literatuurlijst (Bijlage VII).
Drs. Y.F.Stuijt
10 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 2. Wat houden de IIA-standaarden in? Dit hoofdstuk gaat over wat de IIA-standaarden inhouden en hoe kleine audit afdelingen planmatig met deze standaarden om kunnen gaan. Paragraaf 2.1 geeft een korte ontwikkelingsgeschiedenis van de herkomst van de IIA-standaarden en een beknopt overzicht ervan. Vervolgens wordt gekeken naar de verwijzingen binnen de IIAstandaarden naar de kleine audit afdeling. De paragraaf sluit af met het IIA-standpunt inzake de naleving van de standaarden door de kleine audit afdeling. Paragraaf 2.2 geeft een beschrijving van het proces voor het beheersen van kwaliteit. De procesbeschrijving vormt een kapstok om de problemen te duiden en naar oplossingen toe te werken. In paragraaf 2.3 wordt beschreven hoe het hoofd van een audit afdeling de kwaliteitsmaatregelen kan implementeren en in paragraaf 2.4 worden de toetsingscriteria per standaard beschreven, waarmee het stelsel van kwaliteitsbeheersing van een interne audit afdeling getoetst kan worden. Paragraaf 2.5 geeft de IIA-classificatie in het eindoordeel of een afdeling voldoet of niet. Paragraaf 2.6 sluit af met een samenvatting en conclusie.
2.1. De inhoud en werking van de IIA-standaarden Wie is de bewaker van de bewakers? Sawyer haalt de mijmering van Juvenal uit de eerste eeuw na Christus aan, om aan te geven dat enkele incompetente auditoren een schaduw kunnen werpen op de gehele beroepsgroep. Om overheidsbeleid te voorkomen, gingen de internal auditors aan zelfevaluatie doen of ze organiseerden externe evaluaties, met boetes voor diegenen die niet aan de eisen voldeden. In de jaren ‘80 van de vorige eeuw volgde het IIA andere organisaties in het ontwikkelen van middelen voor objectieve beoordeling van internal audit afdelingen. Deze werden als de ‘Standards for the Professional Practice of Internal Auditing’ (hierna: IPPF) voor het eerst in 1987 gepubliceerd (Sawyer, 2005). Vanaf 1 januari 2003 stelde de Amerikaanse moederorganisatie (IIA Inc.) een externe kwaliteitstoetsing voor interne auditors verplicht. In Nederland worden sinds 1 januari 2005 alle interne audit diensten, waar interne auditors vallend onder het IIA-reglement werkzaam zijn, eenmaal in de vijf jaar aan toetsing onderworpen (IIA NL, 2004). Het IIA definieert de kwaliteitstoets als het beoordelen of de kwaliteit van de interne beheersing bij de audit afdeling conform de standaarden van het IIA is (IIA, Path to Quality). Het stelsel voor interne kwaliteitsbeheersing voor de audit praktijk bestaat uit drie soorten standaarden; 1. de Attribute Standards: deze standaarden adresseren de eigenschappen van organisaties en individuen die interne audit diensten uitvoeren, 2. de Performance Standards: deze standaarden beschrijven de aard van de interne audit diensten en leveren kwaliteitscriteria waaraan de prestatie van deze diensten gemeten kunnen worden, 3. de Implementation Standards: deze zijn van toepassing op specifieke diensten, bijvoorbeeld een compliance audit, een fraudeonderzoek, of een controle self assessment project. Door de tijd heen zijn deze auditingstandaarden uitgegroeid naar procedures (Sawyer, 2005). De 1000-serie schrijft de procedures voor ten aanzien van de opzet van de maatregelen voor het interne stelsel van kwaliteitsbeheersing, de 2000-serie schrijft ze voor ten aanzien van de werking van de maatregelen. De 1000- en 2000-standaardseries worden weer onderverdeeld in substandaarden, bijvoorbeeld de 1010: erkenning van de definitie van Internal Auditing. De substandaard bevat een meer specifieke uitleg omtrent een onderdeel van de overall standaard. De Implementation standard wordt onder de betreffende standaard of substandaard vermeldt, bijvoorbeeld de 1000.A1: de aard van de assurance diensten dient gedefinieerd te zijn in het Audit Charter. De IIA-standaarden uit 2005 zijn aangevuld met ‘Practice Advisories’ die uitleggen hoe de standaarden geïnterpreteerd worden door het IIA. Bij de vernieuwde versie van de standaarden in 2009 zijn de 83 ‘Practice Advisories’ teruggebracht naar 42, door omzetting naar ‘Mandatory Interpretations’. Dit zijn verplichte interpretaties die termen en uitdrukkingen (zoals bv. het Quality Assurance and Improvement Program - QAIP) in een standaard verhelderen (Baker, 2009). Hieronder volgt een beknopte beschrijving van de IIA-standaarden (Voor de complete tekst: zie IPPF, 2009).
Drs. Y.F.Stuijt
11 van 54
Kleine interne audit afdelingen
Nr. 1000
Attribute Standards Purpose, Authority, and Responsibility
1100
Independence and Objectivity Proficiency and Due Professional Care Quality Assurance and Improvement Program
1200 1300
Nr. 2000
Performance Standards Managing the Internal Audit Activity
2100
Nature of Work
2200
Engagement Planning
2300
Performing the Engagement
2400
Communicating Results
en de IIA-standaarden
Beknopte omschrijving Het doel, de autoriteit en de verantwoordelijkheden van de interne audit functie dienen formeel vastgelegd te zijn in een charter en dienen samen te hangen met de standaarden en goedgekeurd te worden door de directie. De interne audit afdeling dient onafhankelijk te zijn, en interne auditoren dienen objectief te zijn in het uitvoeren van hun werk. Opdrachten dienen deskundig en met professionele zorg uitgevoerd te worden. Het hoofd van de interne audit afdeling dient een kwaliteitsborging- en verbeterprogramma te ontwikkelen en te onderhouden dat alle aspecten van de interne audit afdeling afdekt en continu haar voortgang volgt. Dit programma bevat periodieke interne en externe kwaliteitsbeoordelingen en continue interne voortgangsmonitoring. Elk onderdeel van het programma dient ontworpen te zijn om de afdeling te helpen waarde toe te voegen en de bedrijfsoperatie te verbeteren en zekerheid te verschaffen dat de interne audit afdeling de standaarden en de Code of Ethics naleeft. Het hoofd van de interne audit afdeling dient de interne audit afdeling effectief te managen om haar waardetoevoeging aan de organisatie te verzekeren. Het hoofd van de interne audit afdeling dient periodiek aan de directie en het senior management te rapporteren over de interne audit activiteiten, de doelstelling, de autoriteit, de verantwoordelijkheden, en de prestaties in overeenstemming met het auditplan. Rapportage dient gevraagd en ongevraagd de volgende zaken te bevatten: blootstelling aan significante risico’s, controleonderwerpen, corporate governance en andere zaken waarvan de directie of het senior management op de hoogte behoren te zijn. Interne auditors dienen voor iedere opdracht een plan te ontwikkelen en vast te leggen, inclusief reikwijdte, doelstellingen, tijdsplanning en bemensing. Interne auditors dienen voldoende informatie te identificeren, analyseren, evalueren, en vast te leggen om de doelstellingen van de opdracht te bereiken. Interne auditors dienen de resultaten van de opdracht te communiceren.
Het hoofd van de interne audit afdeling dient een systeem te installeren voor het volgen van de resultaten (follow-up) die aan het management zijn gecommuniceerd. Wanneer het hoofd van de interne audit afdeling gelooft dat het senior 2600 Resolution of management een niveau van restrisico heeft geaccepteerd dat misschien Management’s niet acceptabel is voor de organisatie, dan dient hij/zij dit te overleggen Acceptance of Risks met het senior management en eventueel naar de directie te escaleren. Tabel 1: beknopte omschrijving van de IIA-standaarden. 2500
Monitoring Progress
De standaarden geven geen specifieke aandacht aan kleine audit afdelingen, maar in de praktische adviezen (PA’s) wordt op drie plaatsen wel naar de kleine audit afdeling verwezen: 1. PA 1300-1: het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke beoordeling of zij voldoet aan de algemeen aanvaarde normen van de beroepsuitoefening; deze vorm van toetsing noemt men de Self Assessment with Independent Validation (SAIV), 2. PA 1312-2: een externe toetsing door een gekwalificeerde, onafhankelijke beoordelaar of team bij een kleine afdeling kan lastig zijn.
Drs. Y.F.Stuijt
12 van 54
Kleine interne audit afdelingen 3.
en de IIA-standaarden
PA 2040: een kleine audit afdeling mag informeel georganiseerd worden en formele administratieve en technische procedure handboeken zijn niet nodig.
Het standpunt van de Amerikaanse moederorganisatie IIA Inc. is dat zij geen onderscheid maakt naar omvang van de afdeling maar zich richt op het individu van de interne auditor. In het artikel ‘A renewed framework’ benadrukt Davies, dat “The IPPF sets the minimum baseline for all internal auditors globally – there’s no excuse for nonconformance. In my mind, anything else is ‘holding up’ or misrepresentation” (Baker, 2009). Amerikaans onderzoek richt zich ook op de individuele auditor. “Ondanks de beperkingen in menskracht en middelen kunnen auditoren in kleine audit afdelingen zich volwaardig wijden aan kwaliteit”. (Armanas, 2007). In Nederland vindt Tilman, voorzitter van het ‘College voor Kwaliteitstoetsing IIA NL’ dat, ongeacht de omvang van de afdelingen, de kern van de werkzaamheden (bv. valideren van het self assessment proces, de dossieronderzoeken, de hoor- en wederhoor procedure en het opstellen van de rapportage met detailbevindingen) uitgevoerd moet worden (Tilman, 2007). Bovenstaande bronverwijzingen naar de kleine audit afdeling in de IIA-standaarden en standpunten worden gebruikt als uitgangspunten bij het werken aan de kwaliteit van de kleine audit afdeling. De uitgangspunten samengevat betreffen: 1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke validatie, 2. een kleine audit afdeling mag informeel georganiseerd worden, 3. de standaarden vormen een minimale baseline voor het handelen van de individuele auditor, 4. het gaat om een minimale set van werkzaamheden die uitgevoerd moeten worden in het kader van kwaliteitstoetsing door de audit afdeling, 5. bij externe toetsing wordt de audit afdeling gecertificeerd en niet de verantwoordelijke auditor.
De eerste stap in de BPI-methode is het maken van een procesbeschrijving. Dit is een zinvol BPI-instrument omdat het ten eerste de kennisoverdracht en de discussie over het gewenste procesverloop mogelijk maakt; ten tweede biedt het een handvat voor procesverbetering. Het gewenste procesverloop wordt de ‘TO BE’ procesbeschrijving genoemd.
2.2. Het proces van kwaliteitsbeheersing Nu duidelijk is wat de standaarden inhouden en hoe zij werken, behandelen we het proces van kwaliteitsbeheersing. Als we weten hoe het proces van kwaliteitsbeheersing eruit ziet kunnen we de problemen bespreken die zich hierin voordoen en kunnen we ideeën genereren hoe de prestatie van dit proces verbeterd kan worden. In de literatuur is geen procesbeschrijving van kwaliteitsbeheersing bij een audit afdeling gevonden. Daarom volgt hier een eigen beschrijving en modellering van de gewenste situatie: De IIA-standaarden zijn de basis voor het stelsel van kwaliteitsbeheersing bij de audit afdeling. De stappen zijn: 1. het hoofd van de audit afdeling neemt kennis van de standaarden, adopteert de kwaliteitsdefinitie en maakt plannen voor het nemen van maatregelen, zoals het opzetten van een kwaliteitsprogramma, 2. met behulp van het Path to Quality Model van het IIA implementeert het hoofd van de audit afdeling de maatregelen die samen het stelsel van kwaliteitsbeheersing vormen, 3. het hoofd van de audit afdeling voert een zelfevaluatie uit aan de hand van de beschrijving van het IIAzelfevaluatieproces dat in hoofdlijnen overeenkomt met het externe evaluatieproces en de belangrijkste
Drs. Y.F.Stuijt
13 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
IIA-kwaliteitscriteria. Een rapportage van deze evaluatie wordt door een interne toetser beoordeeld. Beide beoordelingen worden met de directie en het management gedeeld, 4. een lijst met verbeteracties wordt opgesteld en uitgevoerd door het hoofd van de audit afdeling. Dit proces is van toepassing op iedere auditor die onder het IIA-reglement valt, ongeacht de omvang van de audit afdeling.
Model 2: het gewenste proces van kwaliteitsbeheersing
Stap 1: Het opzetten van stelsel van kwaliteitsmaatregelen Tijdens het literatuuronderzoek heb ik geen materiaal gevonden voor de eerste processtap: het opzetten van het stelsel van kwaliteitsbeheersing. Hieruit vloeit de conclusie voort dat in het verbetertraject extra aandacht uit dient te gaan naar het beschrijven van procedures om het stelsel van kwaliteitsmaatregelen op te zetten.
Stap 2: Het implementeren van kwaliteitsmaatregelen De tweede stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het implementeren van maatregelen van kwaliteitsbeheersing. Wat moet een auditor, werkzaam in een audit afdeling doen om de gewenste kwaliteit te bereiken? Het IIA definieert kwaliteit als de karakteristiek van het toevoegen van waarde door het overtreffen van de verwachtingen van de belanghebbenden. Het meest kritische aspect in het bereiken van interne audit kwaliteit is het zich verzekeren dat: 1. waarde wordt toegevoegd in alle aandachtsgebieden van de audit afdeling, 2. de audit afdeling waarde toevoegt aan de organisatie, en 3. de auditor de vaardigheden en de deskundigheid in huis heeft binnen de aandachtsgebieden: risicomanagement, interne beheersing en de governance processen (IIA Path to Quality). Deze kwaliteitseis is hetzelfde voor iedere auditor, ongeacht de omvang van de interne audit afdeling. Audit afdelingen kunnen namelijk verschillen in omvang en complexiteit. Ook kan het budget variëren, evenals het niveau in kennis en ervaring van de auditors. Het gewenste niveau is niet van vandaag op morgen bereikt en het IIA heeft daarom vijf volwassenheidsniveaus ontwikkeld om van het ene niveau naar het andere niveau te groeien. De niveaus zijn: beginnend, opkomend, voldoet, hefboomwerkend en innovatief. Voor ieder niveau zijn maatregelen gedefinieerd die in bijlage I zijn opgenomen.
Drs. Y.F.Stuijt
14 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Model 3: het “IIA Path to Quality Model”
Niveau 1 Beginnend: kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborgings- en verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan brengen voor een organisatie. Niveau 2 Opkomend: kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert, met toezicht op naleving met de standaarden. Niveau 3 Voldoet: de interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar zelfevaluatieproces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling vormt de belangrijkste mijlpaal naar accreditatie. Niveau 4 Hefboomwerking: Het kwaliteitsborgings- en verbeterprogramma (QAIP) is goed gedefinieerd binnen de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, de Code of Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets. Niveau 5 Innovatief: kenmerkt zich door het bestaan van een actief en volledig geïntegreerd ‘kwaliteitsborgings- en verbeterprogramma’ (QAIP) binnen de dagelijkse gang van zaken van de interne audit afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een strikt continu opleidingsprogramma. De volledige tekst van de presentatie ‘IIA Path to Quality’ is als bijlage I opgenomen.
Stap 3: Het proces van zelfevaluatie De derde stap in het bovengenoemde proces van kwaliteitsbeheersing betreft het zelfevalueren van het interne stelsel van kwaliteitsmaatregelen. Het externe kwaliteitstoetsingsproces dient als kapstok voor ieder kwaliteitsprogramma van een interne audit afdeling (Hoofdstuk 2, QA Manual). De belangrijkste criteria voor de evaluatie van de naleving van de standaarden, de zogenaamde Key Conformance Indicators (KCI’s) zijn: 1. er is een goedgekeurd Audit Charter,
Drs. Y.F.Stuijt
15 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
2. 3. 4. 5. 6. 7. 8. 9.
het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau, auditors zijn goed opgeleid, er is een effectief kwaliteitsprogramma, er is een risk based audit plan, iedere audit omvat een beoordeling van de risicobeheersing -en controlesystemen, iedere audit omvat een risicobeoordeling, een werkprogramma etc. werkdocumenten omvatten alle relevante informatie over de te bereiken doelstellingen, er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie is opgenomen in het audit rapport, 10. er is een follow-up-proces ingesteld om ervoor te zorgen dat het management de aanbevolen acties daadwerkelijk heeft uitgevoerd. Is dit niet het geval dan dient het management het risico te hebben aanvaard, 11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voorgelegd aan de directie voor resolutie. Voor de volledige tekst wordt verwezen naar Tool 19 in de IIA QA Manual. Tool 19 draagt bij tot het versnellen van een consequente evaluatie van de naleving met de IIA-standaarden doordat de audit afdeling een zelfevaluatie uitvoert of een interne/externe kwaliteitsbeoordeling ondergaat. Het instrument is geen checklist waaruit de conclusie getrokken kan worden dat als aan de elf KCI’s voldaan wordt, de audit afdeling dan IIAcompliant is. Het is namelijk in eerste instantie aan het hoofd van de audit afdeling en, vervolgens, aan de interne/ externe beoordelaar om vast te stellen in welke mate de audit afdeling voldoet aan de standaarden. In de oordeelsvorming is niet alleen het formuleren van een mening door het hoofd van de audit afdeling ten aanzien van het naleven van de standaarden belangrijk. Er wordt ook gelet op de werkwijzen binnen de interne audit afdeling die processen en de effectiviteit van de afdeling verbeteren. Deze benadering omarmt de ‘Best Practices’ van de beroepsgroep en benadrukt het belang van risicomanagement, interne beheersing en governance processen (Tilman, 2007). Het externe Quality Assessment (QA) proces bevat twaalf punten: 1. selecteer en train (indien nodig) een QA team, 2. beoordeel de ingevulde zelfevaluatie-vragenlijst van het hoofd van de audit afdeling, en verhelder vragen en zorgen (Tool 3 Tab A, Quality Assessment Manual), 3. breng een oriënterend bezoek aan de organisatie en verzamel resterende informatie, voeg details toe aan het werkplan, selecteer en agendeer interviews met de belanghebbenden van de interne audit afdeling en medewerkers voor een on-site bezoek, 4. gebruik samenvattingen van klant- en medewerkervragenlijsten voor hulp bij de on-site interviews en beoordeling van de documenten, 5. voer het werk ter plaatse uit; dit betekent het beoordelen van: a. het administratieve beleid en procedures, b. de overwegingen ten aanzien van bedrijfsrisico’s, governance en de audit prioriteiten in audit planning, c. de werkdocumenten en rapporten, d. de geselecteerde audits en adviesprojecten, e. het aantal en de vaardigheden van de medewerkers en hun continue professionele opleiding, f. een adequate dekking van het IT-audit gebied. 6. interview geselecteerde leden van de directie (het Audit Committee), het dagelijks management, het uitvoerend management en de interne audit medewerkers, met de focus op organisatierisico’s en doelstellingen. Interview de geselecteerde leden tevens of de effectiviteit van de interne audit afdeling op peil is en toegevoegde waarde heeft,
Drs. Y.F.Stuijt
16 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
7.
overweeg andere monitoring functies, in overeenstemming met de interne audit functie, die daar niet zijn ondergebracht, zoals evaluatie, onderzoek, kwaliteitsmanagement, en procesverbetering. Bestudeer en beoordeel de coördinatie van de interne audit afdeling met het werk van professionals binnen deze functies, 8. evalueer de naleving van de interne audit afdeling met de IIA-standaarden, 9. bestudeer de kwaliteits- en procesverbeteracties die momenteel lopen en gepland zijn voor de nabije toekomst. Overweeg ook de ‘Best Practices’ die gangbaar zijn in de omgeving van de organisatie, 10. lever een samenvatting van kwesties en aanbevelingen en houd een laatste bijeenkomst met het hoofd van de interne audit afdeling en /of andere aanvragers van de kwaliteitstoets, 11. schrijf een rapport, verkrijg de opmerkingen en reactie op de aanbevelingen van de klant en publiceer het eindrapport, 12. houd een follow-up executive vergadering (optioneel). Bovenstaande punten kunnen aangepast worden of andere kunnen toegevoegd worden op verzoek van de interne audit afdeling of de organisatie waar zij onderdeel van uitmaakt. In overeenstemming met de standaarden kan de interne audit afdeling een proces adopteren om de effectiviteit van het kwaliteitsprogramma te monitoren en te beoordelen. De hoofdlijnen van het eigen proces van zelfevaluatie komen overeen met die van het externe evaluatieproces (Hoofdstuk 3 QA Manual). De belangrijkste kenmerken van de Self Assessment with Independant Validation (SAIV) zijn: 1. het zelfevaluatieproces vindt plaats onder leiding van het hoofd van de audit afdeling en dient gevalideerd te worden door een onafhankelijke beoordelaar met kwalificaties die overeenkomen met die van een externe beoordelaar, 2. de zelfevaluatie dient adequaat gedocumenteerd te worden en dient conclusies te bevatten over de mate van naleving van de standaarden, van het Audit Charter en van andere relevante criteria, alsook aanbevelingen voor verbetering en plannen voor invoering van de verbeteringen (zie Tool 2A, QA Manual), 3. een rapport dient opgemaakt en verstuurd te worden aan de directie en het senior management nadat de onafhankelijke beoordelaar het beoordeeld heeft, 4. deze beoordelaar interviewt de voorzitter van het Audit Committee en voert beperkte testen uit om de resultaten te valideren, 5. de beoordelaar spreekt zijn mening uit over de adequaatheid van het zelfevaluatieproces en het geïndiceerde niveau van naleving van de standaarden. Dit commentaar wordt toegevoegd aan het rapport van het hoofd van de audit afdeling en gestuurd aan de directie en het senior management.
Stap 4: Het bijsturen van het stelsel van kwaliteitsmaatregelen Aangeraden wordt om in het proces van zelfevaluatie de classificatie van de externe toetsing aan te houden. De werkwijze van de externe toetser bestaat uit het valideren van het aangeleverde materiaal, het toetsen van de opzet en werking van de genomen maatregelen ter plaatse, en het praten met belanghebbenden, zoals de voorzitter van de Raad van Bestuur, de leden van het Audit Committee, de divisiedirecteuren en de externe accountant. In de Nederlandse KTIA-Handleiding (2007) voor kwaliteitstoetsing luidt de classificatie van het eindoordeel als volgt: 1. voldoende (V); het interne stelsel van kwaliteitsbeheersing voldoet in opzet en werking aan de in Nederland algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement Kwaliteitstoetsing, 2. voldoet maar voor verbetering vatbaar (VVVV); het interne stelsel van kwaliteitsbeheersing voldoet in opzet en werking aan de in Nederland algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement Kwaliteitstoetsing, maar er wordt geadviseerd verbetering(en) aan te brengen, 3. voldoet niet (VN); het interne stelsel van kwaliteitsbeheersing voldoet niet aan de in Nederland algemeen aanvaarde normen voor de beroepsuitoefening, zoals bedoeld in artikel 2 van het Reglement Kwaliteitstoetsing. Er dient een verbeterplan te worden opgesteld en uitgevoerd (Reglement: art. 13 lid 3).
Drs. Y.F.Stuijt
17 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
2.3. Samenvatting en conclusie Antwoord op deelvraag 1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met deze standaarden omgaan? Samenvattend gingen internal auditors aan zelfevaluatie doen of organiseerden externe evaluaties om overheidsbeleid te voorkomen. Daarvoor zijn drie soorten standaarden vastgelegd om de normen voor de kwaliteit van de interne beheersing bij iedere audit afdeling aan te geven; 1. de Attribute Standards: betreffen de eigenschappen van organisaties en individuen die interne audit diensten uitvoeren, 2. de Performance Standards: beschrijven de aard van de interne audit services en leveren kwaliteitscriteria waaraan de prestatie van deze diensten gemeten kunnen worden, 3. de Implementation Standards, De 1000-serie schrijft de opzet van de maatregelen voor, de 2000-serie schrijft de werking van de maatregelen voor. De opzet en werking van de maatregelen dienen op één lijn te zijn. De standaarden betreffen de volgende onderwerpen: 1000 de doelstelling, autoriteit en verantwoordelijkheden van de audit afdeling, 1100 de onafhankelijkheid van de afdeling en objectiviteit van auditoren, 1200 de professionaliteit en deskundigheid in het uitvoeren van audits, 1300 een kwaliteitsprogramma, 2000 het effectief managen van de audit afdeling, 2100 de rapportage over de activiteiten van de audit afdeling, 2200 het uitvoeren van audits, 2300 de informatie die nodig is om de doelstelling van de audit te behalen, 2400 de communicatie van de resultaten van audits, 2500 een monitoringssysteem voor follow up acties, 2600 de risicoacceptatie bij het management. De conclusie is dat de standaarden zelf geen specifieke aandacht aan kleine audit afdelingen besteden. Echter, in de praktische adviezen (PA’s) die bij de standaarden door het IIA gegeven worden op drie plaatsen naar de kleine audit afdeling verwezen, namelijk: 1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke validatie (PA 1300-1), 2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar of team bij een kleine afdeling kan lastig zijn (PA 1312-2), 3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040). Meer ingrediënten bij diepergaand onderzoek zijn: 4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op. 5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van kwaliteitsbeheersing, 6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden voldoet, 7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk; het opzetten, implementeren, evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen, 8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar, 9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan te brengen. Deze ingrediënten bieden houvast bij verder onderzoek naar de problemen voor de kleine audit afdeling om te voldoen aan de standaarden.
Drs. Y.F.Stuijt
18 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 3. De praktische problemen Hoofdstuk 3 beantwoordt de vraag welke praktische problemen kleine audit afdelingen ondervinden in hun streven om aan de eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing. Paragraaf 3.1 geeft een opsomming van knelpunten of problemen die de kleine audit afdeling ondervindt bij het naleven van de standaarden. Paragraaf 3.2 geeft een probleemanalyse waarbij eerst een mapping gemaakt wordt van problemen op het kwaliteitsbeheersingsproces (par.3.2.1.) en voor de processtappen afzonderlijk. Vervolgens wordt de kloof tussen de huidige en gewenste prestatie bepaald. Paragraaf 3.3 sluit af met een samenvatting en een conclusie.
3.1. Probleeminventarisatie In lijn met de BPI-methode is in het vorige hoofdstuk het proces voor kwaliteitsbeheersing bij de kleine audit afdeling beschreven (‘TO – BE’ procesbeschrijving in par. 2.2.). Vervolgens is het noodzakelijk om de problemen en/of knelpunten in het ‘AS-IS’proces in kaart te brengen. Dit wordt gedaan in termen van logica van het procesverloop, prestaties van het proces, ondersteunende systemen en uitvoerende organisatie– eenheden. Hieruit kunnen procesverbeteringen worden aanbevolen. De opsomming in dit hoofdstuk is tot stand gekomen door middel van de volgende bronnen: 1. de nieuwe standaarden uit 2009 (IPPF, 2009), 2. diverse literatuur; zoals Armanas 2007 (zie literatuurlijst in bijlage VII), 3. interviews met betrokkenen, zoals de voorzitter van het College voor Kwaliteitstoetsing, en hoofden van kleine audit afdelingen van Kender Thijssen, de Staatsloterij, de Nederlandsche Waterschapsbank en Insinger de Beaufort. In bijlage II zijn de interviewvragen opgenomen, 4. een werkdocument van een lokale IIA NL PAS (Professional Audit Solisten)-werkgroep die zowel uit bestuursleden van het IIA als uit hoofden van kleine audit afdelingen (PAS, 2008) bestaat, en tenslotte 5. eigen inzicht verkregen toen ik werkzaam was als auditor in twee kleine audit afdelingen. Om reden van privacy zijn de resultaten afkomstig uit de interviews en uit mijn eigen ervaring vertrouwelijk behandeld en anoniem verwerkt. Hieronder volgt een inventarisatie van de gevonden problemen met bronverwijzing. Deze heeft niet de pretentie volledig te zijn noch dat alle problemen alleen voor kleine audit afdelingen gelden. 1
Algemeen De kosten/tijd.
2
Weerstand tegen verandering.
3
Gebrek aan bestraffende maatregelen/sancties.
4
Gebrek aan capaciteit. Percepties van ontoereikendheid van het afdekken van het gebied dat onder de activiteiten van de audit afdeling valt. Gebrek aan een omgeving die bevorderlijk is voor wederzijdse geruststelling, inspiratie en leren.
5
Drs. Y.F.Stuijt
Probleem Kleine afdelingen hebben vaak kleine budgetten. Daardoor hebben de auditors het te druk met het realiseren van het audit jaarplan. Het aantrekken van extra budget voor vaktechniek en het uitvoeren van een externe kwaliteitstoetsing is moeilijk. Ervaren auditoren achten hun methoden bewezen. Zij zijn terughoudend om te veranderen, alleen maar omdat een aantal standaarden hen voorschrijven dat dit nodig is. De standaarden geven een indicatie dat iedere audit afdeling iedere vijf jaar getoetst moet worden; er is echter geen boete gedefinieerd als men deze niet naleeft. Het aantal audits, de vaardigheid om technische audits uit te voeren, en het niveau van procedurele detaillering alsook het leveren van ondersteunende diensten zouden hetzelfde zijn als bij grotere afdelingen. Men vraagt zich af of hetzelfde bereik verwacht wordt van kleine audit afdelingen.
Bron Armanas, 2007, p.57. Interview.
Auditoren in kleine audit afdelingen werken (zeker als éénpitter) in een isolement, zonder het voordeel van het uitwisselen van ideeën zoals in grotere audit afdelingen. Een verbetercultuur ontbreekt vaak.
O’Regan, 2002, p4. Armanas, 2007.
Armanas, 2007, p.57. Auteur. IPPF, 2009. Armanas, 2007, p.57. Armanas, 2007, p.57. O’Regan, 2002, p2/3. Auteur.
19 van 54
Kleine interne audit afdelingen Nr. 1000
Attribute Standards Purpose, Authority, and Responsibility
1100
Independence and Objectivity
1130 Impairment to Independence or Objectivity
1200
Proficiency and Due Professional Care 1210 Proficiency: 1210.A1 Outsourcing 1210.A3 IT Knowledge
1300
Nr. 2000
1220.A3 Riskmanagement Quality Assurance and Improvement Program
Performance Standards Managing the Internal Audit Activity
2040
Policies and Procedures
2100 2200 2300
Nature of Work Engagement Planning Performing the Engagement 2320 Analysis and Evaluation 2340: Engagement Supervision
2400 2500 2600
Communicating Results Monitoring Progress Resolution of Management’s Acceptance of Risks
en de IIA-standaarden
Probleem Er zijn veel veranderingen bij een kleine interne audit afdeling waardoor het Audit Charter elk jaar bijgewerkt moet worden met de richting die de interne audit afdeling opgaat in de volgende drie jaar. De onafhankelijkheid blijkt niet uit de hiërarchische positie. De standaarden schrijven voor dat de interne audit afdeling direct toegang heeft tot het senior management en de directie. De kleine audit afdeling rapporteert niet altijd aan de CEO maar aan de CFO of controller. De organisatie werkt soms niet mee aan een duale rapportagelijn waaronder één functionele en één escalatielijn. Naast het uitvoeren van audits verricht de kleine audit afdeling ook werkzaamheden met betrekking tot beleidsvorming en het opstellen van procedures voor andere bedrijfsonderdelen, het implementeren van risicomanagement en compliance activiteiten in de organisatie. Er is onvoldoende prioriteitstelling. Kleine audit afdelingen hebben moeite om aan personeel te komen en kunnen zich niet veroorloven de verkeerde medewerkers aan te nemen die bijvoorbeeld geen zelfstarter zijn, teveel op compliance gericht of teveel specialist zijn. Kleine audit afdelingen hebben veelal geen analyse gemaakt van de outsourcing alternatieven. Kleine audit afdelingen maken veelal geen gebruik van computer assisted audit tools en data-analysetechnieken. Kleine interne audit afdelingen kunnen niet garanderen dat alle significante risico’s geïdentificeerd worden.
PAS, 2008. Auteur. PAS, 2008. Interview. Auteur.
PAS, 2008. Interview. Auteur. Rondetafel PAS, dec.2008.
Stanek 2008.
PAS, 2008 IIA Paper Outsourcin g, 2009. Auteur. PAS, 2008. Auteur.
Kleine audit afdelingen hebben veelal geen vastgelegd en gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking vindt veelal informeel plaats. De rapportage van de interne toetsing ontbreekt.
PAS, 2008. Auteur.
Kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit plan en opereren veelal op basis van behoefte van management, rekening houdend met de beschikbare capaciteit. Vaak ontstaat gedurende het jaar een capaciteitsprobleem. De personele wisseling heeft direct invloed op de realisatie van het audit jaarplan. Kleine audit afdelingen proberen vaak op grote afdelingen te lijken. Ze hebben teveel handleidingen en formulieren, teveel vergaderingen, teveel beoordelingen en ze schrijven teveel rapporten. Geen. Geen. Kleine afdelingen hebben vaak geen beleid betreffende bewaking, handhaving en interne/externe verspreiding van opdrachtdossiers en het ontbreekt aan inputmateriaal voor het uitvoeren van een zelfevaluatie. Kleine interne audit afdelingen korten de ‘audit stappen’ in en voeren de evaluatie niet uit. Een éénpitter heeft geen surveillance betreffende de te bereiken doelen, kwaliteitsverzekering en de eigen professionele ontwikkeling.
PAS, 2008. Auteur.
Kleine afdelingen promoten slecht wat hun toegevoegde waarde is voor de organisatie.
Tilman, 2007.
Stanek, 2008. Interview.
PAS, 2008.
Stanek, 2008. Auteur. PAS, 2008. Auteur.
Stanek 2008.
Geen. Geen.
Tabel 2: problemen van de kleine audit afdeling met de standaarden.
Drs. Y.F.Stuijt
20 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
3.2. Probleemanalyse De probleemanalyse bestaat uit twee onderdelen. Eerst worden in subparagraaf 3.2.1 de geconstateerde problemen ingedeeld in het proces van kwaliteitsbeheersing. Vervolgens wordt in subparagraaf 3.2.2 de prestatiekloof zichtbaar gemaakt tussen de huidige en de gewenste prestatie. Tot slot worden de problemen die specifiek zijn voor de kleine audit afdeling gefilterd uit de totale lijst aan problemen in subparagraaf 3.2.3. De informatie verkregen door interviews is hier anoniem verwerkt. De selectiecriteria van geïnterviewden zijn onder andere: omvang van de afdeling ligt tussen de 1-5 FTE, de genoten opleiding betreft RA, RO, RE, en de afdeling was getoetst door het IIA Nederland. Deze werkwijze maakt het onderzoek betrouwbaarder.
3.2.1 Indeling van de problemen in het proces Met behulp van de BPI-methodologie worden de bovenstaande problemen ‘gemapped’ op het proces van kwaliteitsbeheersing uit paragraaf 2.2. Hierdoor wordt het duidelijk waar de problemen zich voordoen en of er een prestatiekloof bestaat tussen de huidige en gewenste resultaten. De problemen worden ingedeeld naar het hele proces en naar de afzonderlijke processtappen. Problemen ten aanzien van het gehele proces van kwaliteitsbeheersing: 1. de kleine audit afdeling heeft veelal een klein budget dat schommelingen in de vraag naar audit diensten en het aanbod van auditors die de audit diensten leveren, slecht opvangt, 2. de kleine audit afdeling heeft veelal geen beschrijving van het kwaliteitsbeheersingproces (p.2.2.) en/of een vastgelegd en gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking vindt veelal informeel plaats. Hierdoor ontbreekt het aan een beleidskader dat nodig is voor het uitvoeren van een zelfevaluatie door het hoofd van de kleine audit afdeling, 3. de kleine interne audit afdeling kan vaak geen of onvoldoende redenen aangeven wat de oorzaak is waarom zij voldoet, gedeeltelijk voldoet of niet voldoet aan de Definitie van Internal Auditing, de ‘Code of Ethics’ en de Standaarden. Hierdoor kan zij geen verbeteracties vaststellen en uitvoeren, 4. de prestatie van de afdeling wordt niet zichtbaar gemaakt, waardoor zij wellicht wel aan een kwaliteitsstandaard voldoet maar (doordat een bewijs of vastlegging ontbreekt) toch een onvoldoende voor die standaard krijgt, 5. een kleine audit afdeling mist de omvang van een organisatie eenheid/sectie die zorg draagt voor vaktechniek waar ‘Best Practices’ uitgewerkt kunnen worden, 6. het ontbreekt vaak aan een verbetercultuur en plichtsbesef bij het hoofd van de audit afdeling om verantwoording af te leggen over het stelsel van kwaliteitsbeheersing binnen de afdeling. De problemen per processtap: Processtap 1: Opzetten van een stelsel van kwaliteitsbeheersing 1. het Audit Charter is vaak niet volledig, 2. kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit plan, 3. de onafhankelijkheid blijkt niet uit de hiërarchische positionering. De standaarden schrijven voor dat de interne audit afdeling direct toegang heeft tot senior management en de directie. De kleine audit afdeling rapporteert niet altijd aan de CEO maar aan de CFO of controller. De organisatie werkt soms niet mee aan een duale (escalatie) rapportagelijn, 4. de kleine audit afdeling verricht naast het uitvoeren van audits vaak ook werkzaamheden met betrekking tot beleidsvorming en het opstellen van procedures, het implementeren van risicomanagement en compliance activiteiten in de organisatie. 5. kleine audit afdelingen hebben moeite om aan het juiste personeel te komen,
Drs. Y.F.Stuijt
21 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
kleine audit afdelingen hebben veelal geen analyse gemaakt van de outsourcing alternatieven en maken veelal geen gebruik van computer assisted audit tools en data-analysetechnieken, 7. kleine interne audit afdelingen hebben vaak geen beleid over bewaking, handhaving en interne/externe verspreiding van opdrachtdossiers. Processtap 2: Implementeren van een stelsel van kwaliteitsbeheersing 1. kleine interne audit afdelingen kunnen niet garanderen dat alle significante risico’s geïdentificeerd worden, 2. kleine audit afdelingen proberen vaak op grote afdelingen te lijken. Ze hebben teveel handleidingen en formulieren, teveel vergaderingen, teveel beoordelingen en schrijven teveel rapporten, 3. kleine audit afdelingen opereren veelal ad hoc, op basis van behoefte van management, rekening houdend met de beschikbare capaciteit. Vaak ontstaat gedurende het jaar een capaciteitsprobleem; personele wisselingen hebben direct invloed op de realisatie van het audit jaarplan, 4. kleine interne audit afdelingen korten de ‘audit stappen’ in en voeren de evaluatiefase niet uit. Processtap 3: Zelfevalueren van een stelsel van kwaliteitsbeheersing 1. een éénpitter heeft geen surveillance betreffende de te bereiken doelen, kwaliteitsverzekering en het beoordelen van de eigen professionele ontwikkeling, 2. kleine audit afdelingen evalueren het stelsel van kwaliteitsbeheersing onvoldoende. Processtap 4: Bijsturen van een stelsel van kwaliteitsbeheersing 1. er vinden veel veranderingen plaats bij een kleine interne audit afdeling maar het Audit Charter wordt niet elk jaar bijgewerkt. Vaak ontbreekt de richting die de interne audit afdeling opgaat in de volgende drie jaar. 2. het ontbreekt vaak aan input materiaal voor het genereren van management informatie om bij te sturen. 6.
Opmerkelijk is dat bij deze ‘mapping’ de meeste problemen zich vooral voordoen bij de eerste stap in het proces; het opzetten van het stelsel van kwaliteitsbeheersing. Of zoals een respondent in een interview het zegt: “Het grootste probleem is de tijd die je kwijt bent aan de professionaliseringsslag”. Het nalaten van het opzetten van de maatregelen heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. Een verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van het proces van kwaliteitsbeheersing.
3.2.2. Prestatiekloof De eerste stap is het beschrijven van het gewenste proces (zie: p.13). De tweede stap in de Spelmethode is het beschrijven van de huidige situatie (‘AS – IS’ procesbeschrijving). Vervolgens wordt de kloof beschreven tussen het huidige en het gewenste resultaat. Tot slot worden de specifieke problemen die alleen opgaan voor het onderzoeksobject gefilterd uit de totale lijst aan problemen. Zoals uit hoofdstuk 2 bleek, dient het resultaat van de inspanningen van de audit afdeling een stelsel van kwaliteitsbeheersing te zijn dat voldoet aan de IIA-standaarden, waarbij zelfevaluatie en de criteria de aangeboden IIA-hulpmiddelen zijn om het gewenste resultaat te bereiken. Zoals in Stap 3 van par. 2.2 is beschreven, wordt Tool 19 in het zelfevaluatieproces als onderdeel van de planning gebruikt om een algemene beoordeling te maken van de naleving van de standaarden. Hierin worden Key Conformance Criteria en een lange lijst met voorbeelden van bewijs als begeleiding gegeven. Ieder Key Conformance Criteria (KCI’s) dat niet behaald wordt levert een waardering ‘Voldoet Niet’ op of op zijn minst ‘Voldoet maar is Voor Verbetering Vatbaar’. Deze KCI’s worden als norm gehanteerd in de volgende beschrijving van de prestatiekloof tussen het huidige en het gewenste resultaat van het proces van kwaliteitsbeheersing. Hieronder volgt een overzicht van een prestatiekloof op algemeen niveau en per standaard. 1
Algemeen De kosten/tijd.
Drs. Y.F.Stuijt
Probleem Kleine afdelingen hebben vaak kleine budgetten. Daardoor hebben de auditors
Norm KCI van standaard 1100: Er zijn geen beperkingen aan de omvang, de middelen
22 van 54
Kleine interne audit afdelingen
2
Weerstand tegen verandering.
3
Gebrek aan bestraffende maatregelen.
4
Gebrek aan capaciteit. Percepties van ontoereikendheid van het afdekken van het gebied dat onder de activiteiten van de audit afdeling valt. Gebrek aan een omgeving die bevorderlijk is voor wederzijdse geruststelling, inspiratie en leren.
5
Nr. 1000
Attribute Standards
1100
Independence and Objectivity
1200
Purpose, Authority, and Responsibility
1130 Impairment to Independence or Objectivity Proficiency and Due Professional
Drs. Y.F.Stuijt
het te druk met het realiseren van het audit jaarplan. Het aantrekken van extra budget voor het uitvoeren van een externe kwaliteitstoetsing is moeilijk. Ervaren auditoren achten hun methoden bewezen. Zij zijn terughoudend om te veranderen, alleen omdat een aantal standaarden hen voorschrijven dat dit nodig is. De standaarden geven een indicatie dat iedere audit afdeling iedere vijf jaar getoetst moet worden, er is echter geen boete gedefinieerd als men deze niet naleeft.
Het aantal audits, de vaardigheid om technische audits uit te voeren, en het niveau van procedurele detaillering alsook het leveren van ondersteunende diensten zouden vergeleken worden met grotere afdelingen. Men vraagt zich af of hetzelfde bereik verwacht wordt van kleine audit afdelingen? Er is geen ruimte voor vaktechniek.
en de IIA-standaarden waaronder de beschikbare tijd, geld en mensen, en de toegang van de interne audit activiteiten.
Niet specifiek voor een kleine audit afdeling. KCI van standaard 1200 Auditors krijgen een specifieke opleiding op basis van het collectieve opleidingsplan met analyse van behoefte aan personeel. Niet specifiek voor een kleine audit afdeling. De gediplomeerde verantwoordelijke internal auditor valt onder het IIA-reglement art 2: .. zorgt dat de interne audit functie beschikt over een stelsel van kwaliteitsbeheersing dat voldoet aan in Nederland algemeen aanvaarde normen voor de beroepsuitoefening. Niet specifiek voor een kleine audit afdeling. KCI
van standaard 1100: Er zijn geen beperkingen aan de omvang, de middelen, en de toegang van de interne audit activiteiten.
Auditoren in kleine audit afdelingen werken (zeker als éénpitter) in een isolement, zonder het voordeel van het uitwisselen van ideeën zoals in grotere audit afdelingen. Er wordt niet of nauwelijks aan werkgroepen deelgenomen waardoor een verbetercultuur vaak ontbreekt.
KCI van standaard 1200: Prestaties van het personeel worden beoordeeld op een regelmatige basis en de gebruikte criteria zijn voldoende en geschikt voor de behoeften van de afdeling.
Probleem Veel veranderingen bij een kleine interne audit afdeling waardoor het Audit Charter elk jaar een update nodig heeft van de richting die de interne audit afdeling opgaat in de volgende drie jaar. De directie heeft een doelstelling met internal audit die niet overeenkomt met de doelstelling in de definitie van het IIA. De onafhankelijkheid blijkt niet uit de hiërarchische positie. De standaarden schrijven voor dat de interne audit afdeling direct toegang heeft tot senior management en de directie. De kleine audit afdeling rapporteert niet altijd aan de CEO maar aan de CFO of controller. De organisatie werkt soms niet mee aan een duale rapportagelijn (incl. escalatie).
Norm/Standaard/PA/KCI Er is een Audit Charter (handvest) met doel, autoriteit en verantwoordelijkheden van de interne audit afdeling. Het Audit Charter is goedgekeurd door de directie.
De kleine audit afdeling verricht naast het uitvoeren van audits vaak ook vorming van beleid en procedures, het implementeren van risicomanagement en compliance activiteiten in de organisatie. Kleine audit afdelingen hebben moeite om aan personeel te komen en kunnen zich niet veroorloven de verkeerde medewerkers aan te nemen die
Auditors zijn zich ervan bewust om echte of vermoedelijke belangenconflicten te rapporteren zodra de conflicten zich voordoen. De opdrachten van auditoren houden rekening met vroegere werkzaamheden. Auditors krijgen een specifieke opleiding op basis van het collectieve opleidingsplan met analyse van personeelbehoeften. Prestaties van het personeel worden beoordeeld
Het hoofd van de audit afdeling rapporteert tot een niveau in de organisatie dat toereikend is om zijn of haar taken te kunnen vervullen. Elke rapportagerelatie (administratief, escalatie of totaal) aan het management doet geen afbreuk aan de verantwoordelijkheid van de Chief Audit Executive (CAE) aan de raad. Er zijn geen beperkingen aan de omvang, de middelen, en de toegang van de interne audit activiteiten.
23 van 54
Kleine interne audit afdelingen Care
1210 Proficiency: 1210.A1 Outsourcing 1210.A3 IT Knowledge
1220.A3 Riskmngt. 1300
Quality Assurance and Improvement Program
Nr. 2000
Performance Standards
2040
Policies and Procedures
2100 2200
Nature of Work Engagement Planning Performing the Engagement 2320 Analysis and Evaluation
2300
Managing the Internal Audit Activity
2340: Engagement Supervision 2400
Communicating Results
bijvoorbeeld geen zelfstarter, teveel op compliance gericht of teveel specialist zijn. Kleine audit afdelingen hebben veelal geen analyse gemaakt van de outsourcing alternatieven. Kleine audit afdelingen maken veelal geen gebruik van computer assisted audit tools en data-analysetechnieken. Kleine interne audit afdelingen kunnen niet garanderen dat alle significante risico’s geïdentificeerd worden. Kleine audit afdelingen hebben veelal geen vastgelegd en gedocumenteerd kwaliteitsprogramma (QAIP). Kwaliteitsbewaking vindt veelal informeel plaats. De rapportage van de interne toetsing ontbreekt.
op een regelmatige basis en de gebruikte criteria zijn voldoende en geschikt voor de behoeften van de afdeling. Wanneer vaardigheden ontbreken, zal het hoofd hulp inroepen. Auditors hebben een fraudeopleiding of bekwaamheid in de identificatie van fraudeindicatoren. Auditors hebben een opleiding van IT-concepten en computer aided audit tools.
Kleine interne audit afdelingen hebben veelal geen ‘risk based’ audit plan en opereren veelal op basis van behoefte van management, rekening houdend met de beschikbare capaciteit. Vaak ontstaat gedurende het jaar een capaciteitsprobleem. De personele wisseling heeft direct invloed op de realisatie van het audit jaarplan. Kleine audit afdelingen proberen vaak op grote afdelingen te lijken. Ze hebben teveel handleidingen en formulieren, teveel vergaderingen, teveel beoordelingen en ze schrijven teveel rapporten. Geen. Geen.
De CAE heeft op risico's gebaseerde plannen vastgesteld in overleg met de directie en het senior management. Waar het van toepassing is zijn consulting opdrachten in het jaarlijkse auditplan opgenomen.
Kleine interne audit afdelingen korten audit stappen en evaluatie in. Zij hebben vaak geen beleid over bewaking, handhaving en interne/externe verspreiding van opdrachtdossiers en het ontbreekt aan input materiaal voor het uitvoeren van een zelfevaluatie. Een éénpitter heeft geen surveillance betreffende de te bereiken doelen, kwaliteitsverzekering en de eigen professionele ontwikkeling. Kleine afdelingen promoten slecht wat hun toegevoegde waarde is voor de organisatie.
Werkdocumenten omvatten alle relevante informatie om de doelstellingen te bereiken.
2500 Monitoring progress Geen. Geen. 2600 Resolution of Management’s Acceptance of Risks Tabel 3: prestatiekloof tussen de huidige en de gewenste resultaten
Drs. Y.F.Stuijt
en de IIA-standaarden
Wanneer vaardigheden ontbreken, roept de CAE (Chief Audit Executive) bijstand in of geeft de opdracht terug. De interne audit activiteit heeft een proces te bewaken en de algemene effectiviteit van het programma en de kwaliteit te beoordelen.
PA 2040 (zie p.11) een kleine audit afdeling mag informeel georganiseerd worden en formele administratieve en technische procedure handboeken zijn niet nodig.
N.v.t. N.v.t.
Er is bewijs dat opdrachten onder juiste supervisie uitgevoerd worden, de kwaliteit gegarandeerd is en het personeel zich ontwikkelt. Er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie is opgenomen in het auditrapport. Communicatie buiten de organisatie is beperkt in verspreiding en in het gebruik van de resultaten. Er zijn aanwijzingen van vooruitgang en resultaten op adviesopdrachten die redelijk zijn voor de betrokken managers. N.v.t. N.v.t.
24 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Uit bovenstaande tabel blijkt dat er bij meerdere standaarden een prestatiekloof bestaat tussen de huidige en de gewenste resultaten. Ook blijken van de algemene problemen er maar twee specifiek voor de kleine audit afdeling te gelden, namelijk het budgetprobleem en de surveillance van de éénpitter. Een korte opsomming van de problemen met de grootste prestatiekloof die specifiek voor de kleine audit afdeling gelden: 1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren van de werkzaamheden tussen directie en de definitie van internal auditing die een grotere impact hebben bij kleine dan bij grotere afdelingen, 2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben een grotere impact bij kleine dan bij grotere afdelingen, 3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en de ontbrekende kennis of vaardigheden worden niet opgevangen door alternatieven zoals insourcing of ondersteunende systemen, 4. kleine audit afdelingen hebben veelal geen vastgelegde bewaking van het kwaliteitsbeheersingsproces en geen monitoring van de effectiviteit van het proces, 5. de kleine audit afdeling is vaak informeel georganiseerd waardoor er weinig vastgelegd is. 6. audit stappen worden ingekort en het ontbreekt aan stuurinformatie vanuit evaluatiewerkzaamheden. 7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd, 8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de organisatie dan grotere afdelingen. Tot slot van deze paragraaf enkele opmerkingen die voort zijn gekomen uit de interviews met enkele hoofden van getoetste kleine audit afdelingen. De genoemde problemen liggen bijna allemaal binnen de invloedssfeer van de verantwoordelijke auditor. Er zijn echter twee uitzonderingen genoteerd, namelijk de onafhankelijkheid en de tijdsdruk. Uitzondering op de regel dat de auditor de problemen kan beïnvloeden is de onafhankelijkheid van de verantwoordelijke auditor welke in hoge mate wordt bepaald door de organisatie waarin deze opereert. Of zoals een respondent in een interview het zegt: “De directie heeft mij in dienst genomen om de efficiency van de organisatie te beoordelen en vond het niet nodig alles vast te leggen. De directie wilde vooral dat de vraag “zijn we in control?” beantwoord zien”, en: “De directie vond de kosten van de externe toetsing niet in verhouding staan tot het beschikbare budget”. De tweede uitzondering op deze regel is tot slot de tijdsdruk bij het uitvoeren van audits. Zoals een respondent zegt: “De achillespees van kleine audit afdelingen zijn de werkprogramma’s, de vastleggingen, de bepaling van de ‘sample size’ en de strakke procedure voor de opvolging van de audit bevindingen”. Onder tijdsdruk wordt er vaak geen ‘audit trail’ gelegd tussen rapport en dossier.
Drs. Y.F.Stuijt
25 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
3.3. Samenvatting en conclusie Antwoord op deelvraag 2. Welke praktische problemen kleine audit afdelingen ondervinden in hun streven om aan de eisen van de IIA-standaarden te voldoen en hoe deze problemen zich verhouden tot het proces van kwaliteitsbeheersing? Resultaat van dit hoofdstuk is een opsomming per standaard van de praktische problemen die kleine audit afdelingen ondervinden bij het naleven van de standaarden. De problemen worden vanuit verschillende invalshoeken onderzocht, namelijk in termen van logica van het procesverloop en de prestatiekloof tussen het huidige en het gewenste resultaat van het proces. Informatie uit interviews wordt gebruikt om het onderzoek betrouwbaarder te maken. De opsomming van problemen: 1. er bestaat vaak een verschil in opvatting over doelstelling, rapportagelijn en prioriteit in het uitvoeren van de werkzaamheden tussen directie en de definitie van internal auditing. Dit verschil heeft een grotere impact bij kleine dan bij grotere afdelingen, 2. veranderingen in budget, personele bezetting, activiteiten en ambitie ten aanzien van kwaliteit hebben een grotere impact bij kleine dan bij grotere afdelingen, 3. er worden in kleine audit afdelingen andere eisen aan het personeel gesteld dan in grotere afdelingen en de ontbrekende kennis of vaardigheden kunnen niet altijd opgevangen worden door alternatieven zoals insourcing of ondersteunende systemen, 4. kleine audit afdelingen hebben veelal geen vastgelegde en zichtbare bewaking van het kwaliteitsbeheersingsproces en geen monitoring van de effectiviteit van het proces, 5. de kleine audit afdeling is vaak informeel georganiseerd, waardoor er weinig vastgelegd is, 6. audit stappen worden onder tijdsdruk ingekort en daardoor ontbreekt het vaak aan stuurinformatie en audit trail vanuit de evaluatiewerkzaamheden, 7. bij éénpitters ontbreekt de surveillance en kan de kwaliteit en ontwikkeling niet worden gegarandeerd. 8. kleine audit afdelingen hebben meer moeite met het promoten van de toegevoegde waarde aan de organisatie, dan grotere afdelingen, 9. de organisatie en de ‘The Tone at the Top’ bepaalt bij kleine audit afdelingen in hogere mate dan bij grotere audit afdelingen de onafhankelijkheid van de verantwoordelijke auditor. Verder is geconstateerd dat de meeste problemen zich vooral voordoen bij de eerste stap in het proces, namelijk het opzetten van het stelsel van kwaliteitsbeheersing. Het betreft de professionaliseringsslag naar het gewenste kwaliteitsniveau en de borging ervan op het moment dat men voldoet aan de standaarden. Het nalaten van een professionaliseringsslag heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. Een verbetering in de eerste processtap zal dus vanzelfsprekend een positieve uitwerking hebben op de prestatie van het gehele proces van kwaliteitsbeheersing. Deze problemen en constateringen worden meegenomen bij het verdere onderzoek naar de oplossingen die geboden kunnen worden voor de gevonden problemen, en het schrijven van het projectplan.
Drs. Y.F.Stuijt
26 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 4. Een pragmatische aanpak Dit hoofdstuk beantwoordt de vraag welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen. In paragraaf 4.1. worden de bevindingen ten aanzien van de beperkingen beschreven aan de hand van de probleemanalyse uit het vorige hoofdstuk. In paragraaf 4.2. worden vanuit deze bevindingen verbeteracties gegenereerd en worden de acties tot enkele verbeterprojecten gebundeld. Paragraaf 4.3 sluit af met een samenvatting en een conclusie.
4.1. Bevindingen De tweede stap in de BPI-methode (‘AS IS’) eindigt met een probleemanalyse waaruit vervolgens bevindingen opgesteld kunnen worden. Uit de bevindingen blijkt ‘waarom’ het een probleem is en ‘van wie’ het probleem is. Daaruit worden vervolgens verbeteracties gegenereerd die tot enkele verbeterprojecten gebundeld worden. Om tot bevindingen te komen is het belangrijk dat in het vorige hoofdstuk duidelijk is geworden wat precies de problemen ten aanzien van de beperkingen in middelen en menskracht zijn, wat de risico’s van het niet naleven van de standaarden zijn (waarom het een probleem is), wat de oorzaak van de problemen specifiek bij de kleine audit afdeling zijn (wat of wie kan invloed uitoefenen om verandering te brengen). Met deze bevindingen kan naar verbeteringen gezocht worden en kunnen aanbevelingen gedaan worden. Bevinding 1. Onvoldoende professionalisering van de kleine audit afdeling Uit de analyse blijkt dat auditoren werkzaam in een kleine audit afdeling, vaker dan in een grotere afdeling, geen helder beeld hebben van de doelstelling die de organisatie met de interne audit afdeling heeft. De eigenschappen die een audit afdeling en auditoren moeten hebben om kwalitatief goede audit diensten te leveren (Attribute Standards) zijn onvoldoende geborgd. Er wordt te weinig aandacht besteed aan het opzetten van maatregelen voor kwaliteitsbeheersing en de onafhankelijkheidseis komt in het geding als de directie de kleine audit functie alleen gebruikt om haar ‘in control’-verklaring op te bouwen. Er is dan sprake van objectieve verhindering, waardoor de audit functie niet toekomt aan het eigenlijke werk zoals in de IIA-definitie van internal auditing verwoord is. Het risico van objectieve verhindering in het opbouwen van een kwaliteitsbeheersingsproces is dat er geen professionalisering en borging van het proces binnen de audit functie plaatsvindt, dat de procesgang met de PLAN, DO, CHECK, ACT-cycle verstoord is en het gevolg is dat de prestatie onvoldoende is om te voldoen aan de normen van de beroepsgroep. De oorzaak ligt in een beperking in de positionering van de kleine audit afdeling door middel van het definiëren van haar doel, autoriteit, verantwoordelijkheden en rapportagelijn in het Audit Charter en het ontbreken van een projectaanpak voor de professionaliseringsslag ter ondersteuning van het hoofd van de kleine audit afdeling. Bevinding 2. Teveel schommelingen in budget, activiteiten, menskracht en kwaliteitsprogramma Uit de analyse blijkt dat de kosten van de afdeling moeilijk te managen zijn in verhouding tot grotere afdelingen. Vaak zijn de activiteiten van de afdeling moeilijk te begroten omdat niet helder is hoeveel tijd en geld nodig is. Tevens hebben personele wisselingen een grotere impact op een kleine afdeling in vergelijking met een grotere afdeling. Het risico is dat binnen de kleine afdeling de kerntaak (uitvoeren van de audits in het auditjaarplan) en de ad hoc verzoeken prioriteit krijgen boven het werken aan het beheersen van kwaliteit. De oorzaak ligt in het beperkte gebruik van alternatieve middelen om geld en menskracht zo optimaal (efficiënt/effectief) mogelijk in te zetten; dit betreft de manieren om de schommelingen in het budget, de activiteiten, menskracht en kwaliteitsprogramma (de processtap: opzetten van stelsel van kwaliteitsmaatregelen) op te vangen.
Drs. Y.F.Stuijt
27 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Bevinding 3 Onvoldoende informatie voor het maken van een zelfevaluatie Uit de analyse blijkt dat informatie voor het maken van een zelfevaluatie ontbreekt. De informatiebronnen, waar de belangrijkste indicators voor het naleven van de standaarden te vinden zijn, ontbreken. Het risico is dat de motivatie, die het hoofd van de audit afdeling verplicht is te schrijven voordat er een toetsing plaatsvindt, onvoldoende is, omdat: 1. de opzet en werking van de maatregelen voor kwaliteitsbeheersing vaak niet op één lijn gebracht worden met elkaar, 2. er weinig wordt nagedacht over kwaliteitsbeheersing en/of men dat niet zichtbaar maakt, 3. wanneer er niet voldaan kan worden aan de standaarden en een alternatief gemotiveerd wordt, dat dan niet bewezen kan worden, 4. er geen afweging gemaakt kan worden wanneer bijvoorbeeld substandaarden ‘partly conform’ en de hele standaard dan toch ‘conform’ scoort. De oorzaak voor het onvoldoende verkrijgen van informatie voor zelfevaluatie ligt in: 1. het niet of informeel evalueren van uitgevoerde auditprojecten, 2. het niet of nauwelijks deelnemen aan lokale IIA-werkgroepen, waardoor van andere kleine audit afdelingen onvoldoende geleerd kan worden, 3. het ontbreken van een inventarisatie van de informatiebehoefte van het hoofd van de kleine audit afdeling. Het gevolg is dat: a. de oordeelsvorming niet met feiten en bronverwijzingen onderbouwd kan worden, b. te lang gewacht wordt om de selectiecriteria te definiëren waaraan een interne toetser of een ‘peer reviewer’ dient te voldoen om het interne evaluatieproces te beoordelen, a. kwaliteitscontroles op audit documentatie niet uitgevoerd kunnen worden, b. de audits niet geëvalueerd worden waardoor geen verbeteracties opgezet kunnen worden. Hierdoor krijgt het hoofd onvoldoende feedback en input om een zelfevaluatie te maken. Bevinding 4 Ontbreken van een geschikt functieprofiel Uit de analyse blijkt dat niet iedere auditor geschikt is om in een kleine audit afdeling te werken. Werken in een kleine audit afdeling vormt een uitdaging voor iemand met een brede achtergrond, die tussen verschillende niveaus kan schakelen. Zonder al te veel tijd kwijt te zijn aan bureaucratie schakelt een auditor in een kleine afdeling tussen meer vloeiende en flexibele structuren en plattere rapportagelijnen. Ook zitten de individuele auditors dichter bij het senior management. Het risico is dat een auditor die de ervaring of expertise mist niet kan bijdragen aan een efficiënte procesgang van kwaliteitsbeheersing. Het gevolg is dat een verbetercultuur ontbreekt en niet aan de eisen voldaan wordt. De oorzaak is een beperkte slagkracht door het ontbreken van een op maat gesneden functieprofiel van de auditor met succesvolle personeelskenmerken voor de kleine audit afdeling zoals: allrounder, zelfstarter, schakelt gemakkelijk tussen verschillende organisatieniveaus, bewust van de toegevoegde waarde van kwaliteitsbeheersing en veranderingsgezind.
4.2. Verbeteracties Volgens de Spelmethode dienen nu vanuit de bevindingen ideeën gegenereerd te worden voor het vergroten van de efficiency (doelmatigheid, met dezelfde middelen meer doen) en de effectiviteit (mate van doeltreffendheid of de juiste dingen doen) van het proces. Vragen die helpen om tot verbetervoorstellen te komen: is het totale proces logisch opgebouwd, zijn de processtappen goed ingericht, is de kwaliteit en ondersteuning van de IT voldoende?
Drs. Y.F.Stuijt
28 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Om tot oplossingen te komen worden verbeteracties gegenereerd voor het vergroten van de efficiency en de effectiviteit van het totale proces van kwaliteitsbeheersing, en daaruit kan bepaald worden welke beheersingsmaatregelen genomen moeten worden. Aanbeveling 1 afstemming van de doelstelling tussen verantwoordelijke auditor en management Vanuit bevinding 1 komt de aanbeveling om de doelstelling of ambitie die de organisatie met de audit functie heeft te achterhalen. Vervolgens dient het hoofd van de audit afdeling deze doelstelling of ambitie te aanvaarden. Als dit is bereikt kan de organisatie van de audit afdeling beschreven worden met onder andere: een beschrijving van het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en de administratieve organisatie daarbinnen. Aan deze beschrijving worden de volgende minimale eisen gesteld, ten aanzien van: 1. welke gegevens, 2. door wie vastgelegd worden, 3. in welk bestand, 4. welke interne beheersingsmaatregelen hierin opgenomen zijn, 5. welke kwaliteitscontroles uitgevoerd worden die gericht zijn op de uitkomsten van het proces. In bijlage III is een voorbeeld van een AO/IC-beschrijving opgenomen waaruit duidelijk wordt ‘wie’ verantwoording ‘waarover’ aflegt. De beheersingsmaatregel hier is het maken van een op maat gesneden AO/ICbeschrijving voor de specifieke situatie van de kleine audit afdeling. Aanbeveling 2 ontwikkel alternatieve middelen om de schommelingen op te vangen Vanuit bevinding 2 komt de aanbeveling om alternatieve middelen te ontwikkelen om het hoofd van de kleine audit afdeling te ondersteunen. De ‘Best Practices’ dienen om schommelingen op te vangen: 1. in het budget (halfjaarlijks/ kwartaal of rollende begroting). De volgende posten dienen begroot en goedgekeurd te worden door de directie: a. de audits in het audit jaarplan, b. kostenpost ‘ad hoc aanvragen’ opnemen, c. de audit tools, in te huren bij de externe accountant, d. procedure ‘extra budget aanvragen’ voor de tekorten in het audit plan, 2. in de activiteiten (‘risk based’ audit plan): a. strategische risicoanalyse gebruiken voor selecteren van audits en andere onderzoeksobjecten, b. als er geen risicomanagementsysteem beschikbaar is binnen de organisatie dan dient de kleine interne audit afdeling de sessies Strategisch Risico Management (SRM) te faciliteren. Het doel is de balans tussen risico en controle te vinden voor een effectieve en efficiënte inzet van internal audit capaciteit. 3. in menskracht (analyse sourcing-alternatieven): Capaciteitstekorten kunnen door externe ondersteuning opgevangen worden, op basis van de gemaakt analyse sourcing-alternatieven. De alternatieven bestaan uit: a. 100% uitbesteding van interne audit diensten op continue basis, b. gedeeltelijke uitbesteding door externe medewerkers op continue basis, c. co-sourcing waardoor externe medewerkers in joint opdrachten participeren met in-house interne auditoren. De opdrachten kunnen continu of voor een specifieke termijn zijn, d. subcontracting voor een specifieke opdracht. Management en toezicht liggen bij inhousemedewerker (IIA-positioning paper resourcing, 2009). 4. in het kwaliteitsprogramma (‘lean’ of ‘kaal’ programma): a. meenemen in het Audit Charter: i. voorin het document een wijzigingentabel opnemen die laat zien in welk jaar welke wijziging is doorgevoerd zodat in één oogopslag duidelijk wordt welke ontwikkeling de afdeling heeft doorgemaakt. ii. de functionele lijn voor rapportage (incl. beoordeling en beloning hoofd van de audit afdeling) naar de directie,
Drs. Y.F.Stuijt
29 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
1. 2.
administratieve lijn voor dagelijkse zaken naar Chief Executive Officer (CEO), een onderbroken lijn voor escalatie naar Audit Committee en beschrijven wat de consequenties/alternatieven zijn bij mogelijke bedreiging van de onafhankelijkheid (bijvoorbeeld bij het rapporteren in geval van financiële audit aan CEO), 3. een onafhankelijk oordeel van de externe accountant verkrijgen. iii. op welke gebieden de kleine audit afdeling expliciet niet onafhankelijk is. b. handboek met zeven procedures voor het maken van: de afdelingsbegroting met een kostenpost voor kwaliteitsbeheersing, het werven van nieuw personeel, het uitvoeren van audits, het evalueren van het stelsel van kwaliteitsbeheersing, het monitoren van follow-up acties uit audits, het escaleren bij het in gebreke blijven van het opvolgen van aanbevelingen en follow-up acties, en het maken van opdrachtafstemming om het zelfevaluatieproces te laten beoordelen door peers of externen. De beheersingsmaatregelen hier zijn het maken van een begroting, een ‘risk based’ audit plan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma. Aanbeveling 3 inventariseer de informatiebehoefte ten behoeve van zelfevaluatie Vanuit bevinding 3 komt de aanbeveling om een inventarisatie van informatiebehoefte te maken en de belangrijkste Key Conformance Indicators te benoemen en deze in een overzicht te plaatsen met de toevoeging van de bron of vindplaats. In het geval van een éénpitter wordt aanbevolen om vast te leggen welke informatie nodig is om de kwaliteit van de surveillance te waarborgen. De beheersingsmaatregel hier is het maken van een inventarisatie van de informatiebehoefte voor een zelfevaluatie over de mate waarin het stelsel van kwaliteitsmaatregelen aan de standaarden voldoet. Aanbeveling 4 maak een functieprofiel om de juiste auditor te werven Vanuit bevinding 4 komt de aanbeveling om een profiel op te stellen van de auditor die geschikt is te werken in een kleine audit afdeling. Personeelskenmerken zijn: 1. competent: allround door ervaring, kennis en vaardigheden, en de auditor is een zelfstarter, 2. voldoende en juiste expertise, 3. professioneel, 4. permanente educatie, 5. participatie in beroepsorganisatie. Het profiel kan samengesteld worden uit benodigde bekwaamheden van internal auditors zoals: theoretische kennis, praktische organisatiekennis, technische vaardigheden, analytische vaardigheden, oordeelkundige vaardigheden, persoonlijke vaardigheden, organisatievaardigheden (IIA, Competency framework for internal auditing, 2001). De beheersingsmaatregel hier is het maken van een functieprofiel om een auditor te werven die geschikt is voor de situatie van een kleine audit afdeling. De bevindingen en aanbevelingen die hierboven zijn opgesteld zijn roepen de vraag op wat de reden is van het ontbreken van een professionaliseringslag bij kleine audit afdelingen. Voor de beantwoording van deze vraag ging ik te rade bij de voorzitter van het College van Kwaliteitstoetsing van het IIA NL. Deze antwoordde dat kleine afdelingen niet van de grote verschillen als het om principes achter de standaarden gaat, maar juist als het erom gaat hoe de standaarden in de praktijk uitgewerkt worden. “De uitwerking bij de kleine audit afdeling kan pragmatisch zijn door het mitigeren van haar beperkingen. Vooral als het gaat om de mate waarin de kleine interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen mitigeert. Dit ontbreekt nogal eens”. Uit interviews met hoofden van kleine audit afdelingen komt naar voren dat men het niet nodig acht om bijvoorbeeld een kwaliteitsprogramma aan te leggen gezien de omvang van de audit organisatie, de efficiency en de gewenste audit coverage. Ook wordt aangegeven dat het beoordelen van de audit dossiers door een tweede beoordelaar praktisch niet uitvoerbaar is. Hier blijft toch een spanningsveld aanwezig tussen wat haalbaar en gewenst is in de naleving van de standaarden. Oplossingen zijn het aanvragen van meer budget en een vertegenwoordiger van de kleine audit afdeling zitting te laten nemen in het College van Kwaliteitstoetsing.
Drs. Y.F.Stuijt
30 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
4.3. Samenvatting en conclusie Antwoord op deelvraag 3: Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen? Door analyse van de problemen zijn de volgende bevindingen gedaan: 1. onvoldoende professionalisering van de kleine interne audit afdeling; de oorzaak ligt in onvoldoende professionalisering van de kleine interne audit afdeling, 2. teveel schommelingen in budget, activiteiten, menskracht en de kwaliteit van het programma; de oorzaak ligt in het ontbreken van instrumenten om de schommelingen op te vangen, 3. onvoldoende informatie voor het maken van een zelfevaluatie; de oorzaak ligt in het ontbreken van een inventarisatie van managementinformatiebehoeften, 4. ontbreken van een geschikt functieprofiel; de oorzaak ligt in het onvoldoende gebruik van outsourcing alternatieven en het ontbreken van de juiste kennis en vaardigheden bij auditors. Vervolgens zijn verbeteracties ontwikkeld om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen. Deze verbeteracties kunnen als beheersingsmaatregelen in de organisatie van de afdeling worden ingevoerd en geborgd: 1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit Charter, 2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke auditor, 3. een beschrijving van de organisatie van de audit afdeling met onder andere: een beschrijving van het totale proces van kwaliteitsbeheersing, de afzonderlijke processtappen en een AO/ICbeschrijving van het proces van kwaliteitsbeheersing, 4. vier ‘Best Practices’ om schommelingen op te vangen in: a. budget b. activiteiten c. menskracht d. kwaliteitsprogramma. De schommelingen kunnen opgevangen worden door het maken van een begroting, een ‘Risk Based’ auditplan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma, 5. een inventarisatie van de managementinformatiebehoeften maken voor een zelfevaluatie van de mate waarin het stelsel van kwaliteitsmaatregelen aan de standaarden voldoet, 6. een profiel van de auditor opstellen die geschikt is voor een kleine audit afdeling. De uitwerking bij de kleine audit afdeling kan pragmatisch zijn door het mitigeren van haar beperkingen. Vooral als gaat om de mate waarin de kleine interne audit afdeling ‘actief’ en ‘zichtbaar’ haar beperkingen mitigeert. In het volgende hoofdstuk worden de verbeteracties die uit de aanbevelingen volgen, gegroepeerd naar enkele projecten waarmee de kleine audit afdeling haar mensen en middelen zo optimaal mogelijk kan benutten. De bundeling van projecten leveren samen met de conclusies uit de vorige hoofdstukken een aanpak op voor het ontwikkelen van een projectplan zoals dat in paragraaf 1.2 als doel van dit onderzoek is beschreven.
Drs. Y.F.Stuijt
31 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 5. Het projectplan Dit hoofdstuk laat een verbetertraject zien door middel van een projectmatige aanpak waarmee de kleine audit afdeling haar kwaliteit kan verhogen. Paragraaf 5.1 bundelt de verbeteracties uit hoofdstuk 4 in drie projecten. Paragraaf 5.2 beschrijft het generieke verandertraject, waarbij de projecten parallel aan en sequentieel aan elkaar geïmplementeerd kunnen worden. In paragraaf 5.4 wordt een rapportage-instrument behandeld dat voor interne rapportage gebruikt kan worden. Paragraaf 5.3 sluit af met een samenvatting en een conclusie.
5.1. Het bundelen van de activiteiten De derde stap in de BPI-methode gaat met de eerder bepaalde resultaten aan de slag. De medewerkers en activiteiten dienen gereorganiseerd te worden om de doelstelling te behalen. Het BPI-instrument dat hiervoor gebruikt wordt is het bundelen van de verbeteractiviteiten (via een integrale aanpak) tot enkele verbeterprojecten. Het uiteindelijke resultaat van dit onderzoek is een projectplan dat de audit afdeling ondersteunt bij haar inspanningen om te voldoen aan de IIA-standaarden. De zes resultaten in het vorige hoofdstuk 4 leiden naar dit eindresultaat. Deze activiteiten worden gebundeld in drie projecten om een professionaliseringsslag te maken. Om de efficiency en effectiviteit van deze projecten binnen de kleine audit afdeling te vergroten is gekozen voor een integrale aanpak. Hierbij worden de activiteiten naar vier organisatiegebieden ingedeeld. Het voordeel van het integraal uitvoeren van de maatregelen is dat een dergelijke aanpak zorgt voor een optimale borging binnen de kleine audit afdeling en de organisatie waar zij deel van uitmaakt. De organisatie aandachtsgebieden zijn: •
Management en organisatie
•
Informatie en technologie
•
Mensen en cultuur
•
Processen en beleid
Per project worden noodzakelijke maatregelen gebundeld naar thema’s en worden maatregelen per aandachtsgebied ingedeeld. De voordelen, in termen van het verhogen van effectiviteit, efficiency en kwaliteit van het project, zijn in het blokje ‘Voordelen’ in het midden van het schema aangegeven. Verbeterproject 1: De (her)inrichting van het proces van kwaliteitsbeheersing Het doel van dit project is het verbeteren van het proces van kwaliteitsbeheersing. Er dient een draagvlak gecreëerd te worden binnen de organisatie voor dit proces en het doel van de interne audit afdeling. Dit project behoeft geen ICT-ondersteuning. Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete kwaliteitsverhoging. Het hoofd van de kleine audit afdeling moet een centrale rol te spelen bij het ontwikkelen het proces, de beleidsvorming, de zelfevaluatie en het schrijven van de motivatie; dit wil niet zeggen dat hij/zij alles zelf moet doen. Hieronder volgt een schematisch weergave van de noodzakelijke maatregelen van het project.
Drs. Y.F.Stuijt
32 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Schema 1: (her)inrichting van het proces van kwaliteitsbeheersing. In dit project worden de volgende activiteiten gepland: 1. beschrijf het doel dat de organisatie heeft met de audit functie of bepaal de toegevoegde waarde van internal auditing aan de overall organisatiedoelstellingen, 2. bepaal de overeenkomst of verschil met de doelstelling van internal auditing aan de hand van de IIAdefinitie. Het is van het hoogste belang de overeenkomsten en verschillen helder in kaart te brengen voordat men aan het verhogen van de kwaliteit begint, 3. de aanvaarding/verwerping van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke auditor. Van belang hierbij is de constatering van een eventuele aanwezigheid van objectieve verhindering om de internal audit functie te vervullen, 4. bepaal het ambitie- of resultaatniveau voor het proces van kwaliteitsbeheersing, 5. deel dit ambitieniveau met de directie en vraag een budget voor de uitvoering, 6. maak beleid ten aanzien van kwaliteit, gebaseerd op de bovenstaande uitkomsten en leg dit vast in het Audit Charter en het kwaliteitsprogramma, 7. beschrijf de organisatie van de audit afdeling ten aanzien van kwaliteitsbeheersing: a. een beschrijving van het totale proces van kwaliteitsbeheersing, b. een beschrijving van de afzonderlijke processtappen en c. een AO/IC-beschrijving van het proces van kwaliteitsbeheersing (bijlage III). 8. definieer kwaliteitsbeheersingprocedures zodanig dat beheersbaarheid gerealiseerd wordt, maar zonder bureaucratisch te worden, 9. leg het bewijs voor iedere key conformance indicator vast in het kwaliteitsprogramma. Dit levert een minimale set aan bewijsstukken op dat het zelfevaluatieproces efficiënter maakt, 10. voer periodiek benchmark studies uit van zowel de prestaties van kleine audit afdelingen als van verbetertrajecten, zodat het leervermogen wordt verbeterd, 11. voer periodiek een kwaliteitscontrole uit om het proces van kwaliteitsbeheersing te toetsen.
Drs. Y.F.Stuijt
33 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Een algemene beheersingsmaatregel van het hoofd van de kleine audit afdeling is het aanmaken van een kostenpost voor de werkzaamheden op het gebied van kwaliteitsbeheersing. De kwaliteitscontrole is dan een cijfercontrole van het overzicht: ‘planning versus realisatie kwaliteitsbeheersing’ op basis van kosten en urenregistratie. De beheersingsmaatregelen en kwaliteitscontroles per processtap betreffen: Proces stap Opzetten
Beheersingsmaatregel
Kwaliteitscontrole
Een goedgekeurd Audit Charter en ‘risk based’ auditplan. Beleid en procedure voor het werven van nieuw personeel. Analyseren van sourcing alternatieven.
Opzetten
Procedure voor het uitvoeren van audits. Globale voortgangscontrole en urenregistratie per auditor/audit. Functiescheiding tussen het invullen van evaluatieformulier per audit en het beoordelen ervan. Fysieke aanwezigheidscontrole van de minimale set bewijsstukken in het dossier ‘Kwaliteitsprogramma’.
Check het verband tussen de voorgestelde audit onderwerpen en bedrijfsrisico’s, Check potentiële kandidaat op basis van profielschets, bekwaamheden en functiematrix met aanwezige kennis en expertise. Check door hoofd van de kleine audit afdeling op de aanwezigheid van procedures en ingevuld beoordelingsformulier per audit.
Implementeren
Evaluatie
Bijsturen
Procedure voor zelfevaluatie van het stelsel van kwaliteitsbeheersing.
Procedure voor de follow up van acties die voortkomen uit de aanbevelingen vanuit audits. Procedure voor escalatie bij het in gebreke blijven van het opvolgen van aanbevelingen. Het maken van opdrachtafstemming om het zelfevaluatieproces te laten beoordelen door peers of externen. Tabel 4: beheersingsmaatregelen en kwaliteitscontroles per processtap
Drs. Y.F.Stuijt
Check de opvolging van procedures per audit. Beoordeling van de kwaliteit (juistheid en volledigheid) van de bewijsstukken door het hoofd van de kleine audit afdeling. Zelfevaluatie en toetsing van het proces, processtappen, procedures en richtlijnen door het hoofd van de kleine audit afdeling. Beoordeling interne toetser van het zelfevaluatieproces. Controle op de uitvoering van de escalatieprocedure door middel van interview van de auditor. Controle op de aanwezigheid van een opdrachtafstemming.
34 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Verbeterproject 2: Toepassen van het beleid en de procedures. Bij dit project is het van belang om de procedures uit het kwaliteitsprogramma toe te passen en het gebruik van de procedures te optimaliseren.
Schema 2: toepassen van beleid. De volgende activiteiten horen bij dit project: 1. maak een ‘risk based’ auditjaarplan, 2. maak een analyse van de outsourcing alternatieven om wisselingen in capaciteit direct op te kunnen vangen, 3. leg vast in het Audit Charter: de wijzigingen, de juiste rapportagestructuur en wat de afdeling expliciet niet doet, 4. faciliteer strategische Risico Mant (SRM) sessies waardoor zicht wordt verkregen op de belangrijkste risico’s, 5. huur audit tools in bij externe accountant, 6. voer een document workflow systeem in voor het vastleggen van bevindingen, cross references en rapportage van audit bevindingen, 7. ga netwerken met andere audit afdelingen om te leren van gemeenschappelijke problemen door middel van discussie en debat, 8. leg een fysiek en een digitaal dossier ‘kwaliteitsprogramma’ aan, 9. pas de procedures uit het handboek kwaliteitsbeheersing toe, 10. hanteer een snellere doorlooptijd voor het uitvoeren van audits, peer beoordelingen en zelfbeoordelingen. Dit project leidt tot kwaliteitsverhoging. Het voordeel van dit project is: het zo optimaal mogelijk inzetten van middelen en menskracht. De minimale bewijsstukken in het kwaliteitsprogramma zijn: 1. bewijs van goedkeuring Raad van Bestuur van Audit Charter, 2. bewijs dat het hoofd van de audit afdeling rapporteert aan het juiste bestuursniveau, 3. bewijs dat de auditors goed opgeleid zijn,
Drs. Y.F.Stuijt
35 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
4. 5. 6. 7. 8. 9.
bewijs van een effectief kwaliteitsprogramma door ‘Best Practices’, bewijs dat het audit plan ‘risk based’ is, bewijs van een beoordeling van risicobeheersings- en controlesystemen bij iedere audit, bewijs van risicobeoordelingen en een werkprogramma bij iedere audit, bewijs dat de werkdocumenten alle relevante informatie bevatten over de te bereiken doelstellingen, er is bewijs van passende, tijdige communicatie met het management. Een algemene opinie of conclusie is opgenomen in het audit rapport, 10. een beschrijving van een follow-up-procedure om ervoor te zorgen dat het management de aanbevolen acties daadwerkelijk heeft uitgevoerd of het risico heeft aanvaard, 11. resterende risico’s die niet opgelost worden door het hoofd van de audit afdeling worden voor resolutie voorgelegd aan de directie. Het hoofd van de audit afdeling maakt een beoordeling in hoeverre de procedures worden nageleefd en stuurt indien nodig bij. De kwaliteitscontroles die het hoofd van de kleine audit afdeling uitvoert op de maatregelen leiden tot goede mensen en goede procedures waardoor dit project leidt tot het verhogen van de kwaliteit.
Verbeterproject 3: Verbeter de managementinformatievoorziening Dit project heeft als doel om managementinformatie te creëren om een zelfevaluatie te maken en het proces van kwaliteitsbeheersing bij te sturen.
De voordelen van dit project zijn het inzichtelijk maken, beheersen en bijsturen van het gehele proces van kwaliteitsbeheersing en van het proces van zelfevaluatie en het vermindert de bureaucratie. Dit project leidt tot het verhogen van de kwaliteit.
Drs. Y.F.Stuijt
36 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
De bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard zijn: Standaard 1000: Purpose, Authority, and Responsibility
Key Conformance Indicator Goedgekeurd Audit Charter.
Vindplaats
1. Dossier kwaliteitsprogramma 2. Notulen van bestuursvergaderingen. 3. Interviews van het hoofd van de audit afdeling, bedrijfsleiding, 1100: Independence and Juiste rapportage lijn. 1. Organisatieschema’s. Objectivity 2. Audit Charter. 3. Jaarlijks audit plan. 1200: Proficiency and Due Auditors zijn goed 1. Functiebeschrijvingen en competentie-eisen Professional Care opgeleid. 2. Vaardighedenmatrix met kennis en expertise 3. Sourcingsplannen en selectieprocedures. 4. Trainingsplannen. 1300: Quality Assurance Er is een effectief 1. Gedocumenteerd kwaliteitsborging enand Improvement Program kwaliteitsprogramma. verbeteringsprogramma. 2. Kwaliteit programmaprocedures. 3. Prestatie-indicatoren voor de interne audit activiteiten. 4. Formele resultaten van de uitgevoerde evaluaties. 5. Reacties op de aanbevelingen in de beoordeling. 2000: Managing the Er is een risk based audit 1. Audit jaar plan: Internal Audit Activity plan. o De risico-evaluatie in het audit jaarplan legt een verband tussen de voorgestelde audit onderwerpen en de operationele en strategische risico's van de organisatie. o De risico-evaluatie in het audit jaarplan houdt rekening met de feedback van de operationele managers. 2100: Nature of Work Iedere audit omvat een 1. Risico mapping. beoordeling van risico 2. Interne audit activiteitenverslag. beheersing-en 3. Audit jaarplan/ het Audit Charter/ de opdracht/ de controlesystemen. vastleggingen/het auditrapport. 2200: Engagement Iedere audit omvat een 1. Audit procedure. Planning risicobeoordeling, werk 2. Audit opdrachtbrief. programma, etc. 3. Opdracht werkprogramma 2300: Performing the Werkdocumenten omvatten 1. Audit werkpapieren. Engagement alle relevante informatie 2. Interview met accountants. over de te bereiken 3. Interview met klanten doelstellingen. 2400: Communicating Er is bewijs van passende, 1. Interne memo's, e-mail, enz. Results tijdige communicatie met 2. Verslag over het begin van de kick-off meeting met het management. Een audit-client. algemene opinie of 3. Interviews van het uitvoerende management van de te conclusie is opgenomen in auditen organisatie het audit rapport. 4. Audit rapport 2500: Monitoring Progress Er is een follow-up-proces 1. Verslagen (bv: follow-up verslag, notulen). ingesteld om ervoor te 2. Het proces omvat een formele procedure voor het zorgen dat het management bepalen van redenen voor de niet-uitvoering van de de aanbevolen acties follow-up actie. daadwerkelijk heeft 3. Als een management actie niet daadwerkelijk ten uitvoer uitgevoerd of het risico is gelegd, heeft het hoofd van de kleine audit afdeling heeft aanvaard. ervoor gezorgd dat het senior management het risico van het niet nemen van maatregelen heeft aanvaard en dit heeft meegedeeld aan de belanghebbenden. 2600: Resolution of Resterende risico’s die niet 1. Interview met het hoofd van de kleine audit afdeling. Management’s opgelost worden door de 2. Interview met bestuursleden Acceptance of Risks CAE worden voorgelegd 3. Notulen van de Raad van Bestuur aan de Raad van Bestuur (RvB) voor resolutie. Tabel 5: bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard
Het hoofd van de kleine audit afdeling voert periodiek zelfevaluaties uit op het proces van kwaliteitsbeheersing en koppelt de resultaten terug naar de betrokkenen. Door middel van monitoring houdt het hoofd een vinger aan de pols wat betreft de effecten van de huidige kwaliteitsmaatregelen.
Drs. Y.F.Stuijt
37 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
De belangrijkste beheersmaatregelen daarbij zijn; 1. Een review van de begroting, 2. Een AO/IC-beschrijving, 3. ‘best practices’, 4. Een inventarisatie van de managementinformatie en 5. Een profiel van de geschikte auditor voor een kleine setting. Samengevoegd vormen zij het kwaliteitsbeheer van de afdeling en eventueel advies naar collega’s in het veld. De winst van een professionaliseringslag is dat als een kleine interne audit afdeling voldoet aan de IIA-standaarden het meestal ook goed gaat met de positie van de afdeling binnen de organisatie, met de kwaliteit van het werk en de onderlinge sfeer. Evaluatie- en toetsingsvragen zijn bijvoorbeeld: 1. zijn de opzet en de werking van de maatregelen in lijn met elkaar? 2. heeft de kleine audit afdeling ‘actief’ over kwaliteitsbeheersing nagedacht en hoe wordt dat ‘zichtbaar’ gemaakt? 3. als niet voldaan kan worden aan de standaarden en een alternatieve maatregel gemotiveerd wordt, dan dient deze ook bewezen te worden. 4. zeker haalbaar voor een kleine afdeling is dat de dossiervorming op orde is, dat er een goed kwaliteitshandboek ligt dat ook wordt nageleefd en dat er een goede relatie moet zijn met het management van de organisatie, het Audit Committee en de externe accountant. 5. kan er een (af)weging gemaakt worden? Bijvoorbeeld: a. 100% de standaarden volgen is niet cruciaal in de oordeelsvorming, maar als dossiers niet op orde zijn, er geen interne beoordeling plaatsvindt, de hoor en wederhoor procedure incidenteel en niet structureel wordt toegepast en een crossreference naar het audit manual of Audit Charter niet gevonden wordt, ontbreken de waarborgen en het bewijsmateriaal om de onafhankelijkheid van de audit afdeling te toetsen. b. in de weging kan het zo zijn, dat 20% van de maatregelen niet voldoet aan de standaarden en 80% wel, maar indien het hoofd van de audit afdeling rapporteert aan de controller en een sectie Vaktechniek ontbreekt, dan kan de toetsing van het geheel tot een onvoldoende leiden. c. of als van de 10 dossiers er 3 niet intern beoordeeld zijn kan dat leiden tot een verbeteringsvoorstel van de externe toetser. Zit er bij de 3 niet beoordeelde dossiers 1 grote belangrijke audit dan is dat een ernstig gebrek, wat naar een onvoldoende kan leiden. Maar als het hoofd van de audit afdeling aantoont er gedurende de gehele audit gang bovenop gezeten te hebben om alles informeel te reviewen, dan kan dit weer tot een voldoende leiden. Een goed geïnformeerd hoofd van de kleine audit afdeling telt voor twee, en dit project leidt tot het verhogen van de kwaliteit van het werk in de afdeling. In het vervolg van dit hoofdstuk worden de verbeterprojecten in een verbetertraject of stappenplan geplaatst.
5.2. Een verbetertraject Naast het groeperen van de activiteiten in projecten kunnen de projecten in een bepaalde volgorde uitgevoerd worden. Het pad naar een efficiënte en effectieve kwaliteitsbeheersing kan ingedeeld worden in een traject door de projecten parallel of sequentieel te implementeren. Het hoofd van de interne audit afdeling dient, te allen tijde, het hier ontwikkelde traject voor prestatieverbetering af te stemmen op de specifieke omstandigheden van zijn of haar afdeling. De verbeterprojecten lopen deels sequentieel, deels parallel aan elkaar omdat het ene project van belang is voor het volgende project. Hieronder volgt een projectplanning:
Drs. Y.F.Stuijt
38 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Schema 7: het verbetertraject Het hoofd van de audit afdeling is verantwoordelijk voor de planning en uitvoering van de projecten en rapporteert de voortgang aan de Raad van Bestuur. Het gehele traject kan in vier maanden doorlopen worden.
Drs. Y.F.Stuijt
39 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
5.3. Een rapportage-instrument Om de voortgang te monitoren wordt het ‘QSAT’-instrument geïntroduceerd (zie bijlage III). Het ‘Q-SAT’instrument is ontwikkeld door de Zwitserse IIA beroepsorganisatie (2008). Hieronder volgt een afbeelding van het instrument waarbij verticaal de standaarden onder elkaar zijn gezet en horizontaal kolommen zijn geplaatst om de scores en opmerkingen van een ‘assessment’ of een zelfevaluatie in te vullen. Het instrument bestaat uit twee onderdelen namelijk 1. Assessment (evaluatie) en 2. Remediation/ action (verbeteracties): 1. de zelfevaluatie: de standaarden kunnen beoordeeld worden met: JA/NEE en de reden waarom niet wordt voldaan en welk document als bewijs geraadpleegd kan worden. Het voordeel van de ‘Q-SAT’ is dat bij elke standaard het verplichte praktijkadvies gegeven wordt. Met het JA/NEE hoeft de beoordelaar niets te accepteren dat geen 100% is. 2. de verbeteracties: in het Remediation/ Actions-gedeelte zijn kolommen ingericht voor het verbetertraject met “Planned Action”, “Date”, “Responsible” en “Status”.
Afbeelding 1: het ‘QSAT’ instrument Het gebruik van dit instrument levert het hoofd van de interne audit afdeling meerdere voordelen op: 1. het voorziet in het gevraagde bewijsstuk van de Self Assessment Checklist (IIA groeifase 2) en het kwaliteitsprogramma met verbeteracties (als Balanced Scorecard) en tijdspaden voor implementatie (IIA groeifase 3). Het combineert de bewijsstukken in één overzichtelijke rapportage. 2. de ‘QSAT’ kan zowel voor interne als voor externe rapportage over de kwaliteitstoetsing gebruikt worden. 3. de ‘QSAT’ kan uitgebouwd worden met bijvoorbeeld toevoeging van de KCI’s (Key Conformance Indicators). Dat is toegestaan mits de standaarden niet weggehaald worden. Hierdoor is het ‘Q-SAT’instrument geschikt om juist een kleine audit afdeling effectief en efficiënt te ondersteunen in haar streven om continue verbetering zichtbaar te maken voor de in- en externe toetser.
4. de ‘QSAT’ dient als controleplan waarmee de voortgang van de verbeteracties die geïmplementeerd worden continue gemonitord wordt.
Drs. Y.F.Stuijt
40 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
5.4. Samenvatting en conclusie Antwoord op deelvraag 4: Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen? Door het groeperen van de activiteiten naar thema’s zijn een drietal verbeterprojecten gedefinieerd. De verbeterprojecten zijn: 1. (her)inrichting van het proces van kwaliteitsbeheersing Dit project leidt tot een duidelijke beschrijving van het proces van kwaliteitsbeheersing en is een randvoorwaarde om de rest van de processtappen te verbeteren. Het leidt niet tot concrete kwaliteitsverbetering. 2. het toepassen van beleid Dit project start nadat het schrijven van beleid en procedures uit processtap 1 klaar is. Gedeeltelijk loopt dit project parallel aan de andere projecten. Het project leidt tot het zo efficiënt mogelijk inzetten van middelen en menskracht van de kleine audit afdeling en tot snellere doorlooptijden van: a. audits, b. peer beoordelingen en c. zelfbeoordelingen. De kwaliteitscontrole die het hoofd van de kleine audit afdeling uitvoert op de maatregelen leidt tot het inzetten van geschikte auditoren en de belangrijkste procedures. Dit project leidt tot het verhogen van de kwaliteit in het werk en het verhogen van de prestatie van het proces van kwaliteitsbeheersing. 3. Het verzamelen van managementinformatie en het opstellen van een functieprofiel Dit project start pas als project 1 geheel is afgerond. Het begint als de minimale set KCI’s, hun bewijsstukken en hun vindplaats beschikbaar is. Het project leidt tot het inzichtelijk maken, beheersen, bijsturen en verbeteren van: a. Het gehele proces van kwaliteitsbeheersing, b. van het proces van zelfevaluatie, c. en het vermindert de bureaucratie. Tot slot wordt een functieprofiel opgesteld voor de auditor die geschikt is voor het werken binnen een kleine audit afdeling. De projecten lopen deels sequentieel/parallel, omdat de resultaten van het ene project van belang zijn voor het volgende project. Nadat de projecten in 4 maanden zijn afgerond, kan het hoofd van de audit afdeling starten met het uitvoeren van een zelfevaluatie van het stelsel van kwaliteitsmaatregelen. Om de status en voortgang te monitoren van het stelsel van kwaliteitsmaatregelen wordt het ‘QSAT’instrument gebruikt. De voordelen zijn: 1. het combineert meerdere bewijsstukken omdat het een zelfevaluatie-checklist is en een overview van het lopende kwaliteitsprogramma met de verbeteracties, 2. het is een rapportage tool voor zowel interne als voor externe rapportage over de kwaliteitstoetsing. 3. het is mogelijk om het uit te bouwen met de KCI’s (Key Conformance Indicators). 4. het dient als controleplan waarmee de voortgang van de verbeteracties gevolgd wordt. Samen met de drie verbeterprojecten draagt het ‘Q-SAT’ instrument bij aan een efficiënte en effectieve inzet van de middelen en menskracht in een kleine audit afdeling en werkt het ondersteunend bij het streven naar het zichtbaar maken van continue verbetering.
Drs. Y.F.Stuijt
41 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Hoofdstuk 6. Conclusie Dit hoofdstuk trekt conclusies op basis van de resultaten uit de diverse hoofdstukken ten aanzien van de onderzoeksvragen afzonderlijk en uiteindelijk ten aanzien van de centrale probleemstelling die beschreven is op pagina 7 van dit referaat. Paragraaf 6.1 geeft de conclusies van ieder hoofdstuk na beantwoording van de deelvragen. Paragraaf 6.2 geeft een antwoord op de centrale vraagstelling van dit onderzoek, namelijk: Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke oplossingen kunnen daarvoor geboden worden? In paragraaf 6.3 worden stellingen geponeerd ten behoeve van discussie en paragraaf 6.4 geeft enkele aanbevelingen: voor verder onderzoek, het mobiliseren van de doelgroep, het ter beschikking stellen van het projectplan en tot slot aanbevelingen met betrekking tot de organisatie van de IIA-toetsing van de kleine audit afdeling.
6.1. Conclusies aanvullende onderzoeksvragen Met de beantwoording van de eerste vier deelvragen in de voorgaande hoofdstukken kan geconcludeerd worden dat een verandertraject voor de kleine audit afdeling ontwikkeld kan worden waardoor zij aan de standaarden kan voldoen. 1. Wat houden de IIA-standaarden in en hoe kunnen kleine audit afdelingen planmatig met deze standaarden omgaan? 2. Welke praktische problemen ondervinden kleine audit afdelingen in hun streven om aan de eisen van de IIA-standaarden te voldoen en hoe verhouden deze problemen zich tot het proces van kwaliteitsbeheersing? 3. Welke verbeteracties kunnen ontwikkeld worden om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen? 4. Hoe ziet een verbetertraject eruit waarmee de kleine audit afdelingen de kwaliteit kunnen verhogen? De eerste deelvraag heeft beantwoord wat de IIA-standaarden inhouden en hoe zij georganiseerd zijn. Om de vraag te beantwoorden hoe kleine audit afdelingen planmatig met de standaarden om kunnen gaan is een aantal uitgangspunten gevonden. Deze zijn: 1. het hoofd van de kleine audit afdeling is het aanspreekpunt bij een zelfevaluatie met onafhankelijke validatie (PA 1300-1), 2. een externe toetsing door een gekwalificeerde onafhankelijke beoordelaar (of team) bij een kleine afdeling kan lastig zijn (PA 1312-2), 3. een kleine audit afdeling mag informeel georganiseerd worden (PA 2040). Verdere ingrediënten bij diepgaander onderzoek zijn: 4. ontwikkelingsfase 3 in het IIA Quality Model levert een voldoende op, 5. er bestaat een minimale set van werkzaamheden die uitgevoerd moet worden in het kader van kwaliteitsbeheersing, 6. er bestaan toetsingscriteria die gebruikt kunnen worden om te evalueren of men aan de standaarden voldoet, 7. een proces van kwaliteitsbeheersing bestaat uit vier stappen namelijk: het opzetten, implementeren, evalueren en bijsturen van het stelsel van kwaliteitsmaatregelen, 8. een proces van zelfevaluatie vindt plaats onder leiding van het hoofd van de afdeling en het proces van zelfevaluatie dient gevalideerd te worden door een onafhankelijke beoordelaar, 9. de classificatie in het eindoordeel geeft aan wanneer er bijgestuurd moet worden door verbeteringen aan te brengen.
Drs. Y.F.Stuijt
42 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Deze ingrediënten bieden houvast bij het verdere onderzoek naar de problemen voor de kleine audit afdeling om te voldoen aan de standaarden. De tweede deelvraag over problemen is beantwoord met een opsomming van algemene problemen en problemen per standaard. Deze problemen zijn vervolgens op het generieke proces van kwaliteitsbeheersing ‘gemapped’. De conclusie hier is dat er veel problemen in de eerste processtap ‘gemapped’ zijn. Dit heeft als nadeel dat de verdere procesgang door deze problemen negatief beïnvloed wordt. Hier ligt een kans om door verbetering een positieve uitwerking te verkrijgen op de prestatie van de processtappen die erna volgen, en voor het gehele proces van kwaliteitsbeheersing. De derde deelvraag behandelt welke verbeteracties ontwikkeld kunnen worden om de beperkingen van de kleine audit afdeling te mitigeren of op te heffen. De verbeteracties dienen als beheersingsmaatregelen om dit te bereiken zijn: 1. een beschrijving van de doelstelling die de organisatie met de audit functie heeft in het Audit Charter, 2. de aanvaarding van deze doelstelling door het hoofd van de audit afdeling of de verantwoordelijke auditor, 3. het maken van een AO/IC-beschrijving met een beschrijving van het totale proces, de afzonderlijke processtappen en de administratieve organisatie /interne controle (AO/IC) van het proces van kwaliteitsbeheersing. 4. vier “best practices” om schommelingen op te vangen in: a. budget, b. activiteiten, c. menskracht, d. kwaliteitsprogramma, De schommelingen worden opgevangen door het maken van een begroting, een ‘risk based’ audit plan, een analyse voor sourcing alternatieven en een kwaliteitsprogramma. 5. het maken van een inventarisatie van de informatiebehoefte voor een zelfevaluatie van de mate waarin het stelsel van kwaliteitsmaatregelen aan de standaarden voldoet. 6. een profiel op te stellen van de auditor die geschikt is om te werken in een kleine audit afdeling. Bovenstaande verbeteracties zijn gegroepeerd in drie verbeterprojecten, namelijk: 1. het (her)inrichten van het proces van kwaliteitsbeheersing, 2. het toepassen van beleid en procedures, 3. het verzamelen van managementinformatie en het opstellen van een auditor profiel. De beantwoording van de vierde deelvraag levert een verandertraject op waarbij de projecten parallel of sequentieel aan elkaar geïmplementeerd worden, omdat het resultaat van het ene project van belang is voor het andere project. Het verbetertraject moet afgerond zijn voordat het hoofd van de kleine audit afdeling een zelfevaluatie kan gaan maken. De zelfevaluatie vindt plaats door middel van een beoordeling en monitoring op de voortgang van de effecten van de ingevoerde kwaliteitsmaatregelen door de verantwoordelijke auditor.
6.2. Beantwoording van de centrale vraagstelling De samenvattingen en de conclusies van de deelvragen geven samen antwoord op de centrale vraagstelling: “Wat zijn de praktische problemen voor een kleine audit afdeling om te voldoen aan de IIA-standaarden en welke oplossingen kunnen daarvoor geboden worden?” De slotconclusie in dit onderzoek is dat de kleine audit afdeling een verbetertraject kan doorlopen. De aanname dat het voldoen aan de standaarden te lastig zou zijn is hiermee weerlegd. Het verbetertraject helpt de problemen die zij kan ondervinden op te lossen en haar menskracht en budget zo optimaal mogelijk in te zetten. Het is een lastige maar zeker geen onoverkomelijke klus voor iedere auditor die onder het IIA-reglement valt om zich volwaardig te wijden aan kwaliteit. Met het schrijven van een projectplan is het doel van dit referaat bereikt.
Drs. Y.F.Stuijt
43 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
6.3. Stellingen Om de conclusie te expliciteren volgen stellingen ten behoeve van een eventuele discussie naar aanleiding van dit referaat en om verder onderzoek te stimuleren: 1. de focus op het voldoen aan de standaarden en de activiteiten om de efficiency en effectiviteit van het proces van kwaliteitsbeheersing te verhogen en een minimale set aan bewijsstukken helpen de kleine audit afdeling te voldoen aan de IIA-standaarden, 2. door zelfevaluatie waarborgt de kleine audit afdeling een minimaal vereist kwaliteitsniveau, 3. het zelfevalueren van maatregelen voor kwaliteitsbeheersing binnen de afdeling levert een vertekend beeld op, 4. de UVA/EMIA opleiding biedt in 2012 de module: ‘Kwaliteitsbeheersing binnen de (kleine) audit afdeling’ aan, 5. het verandertraject voor kwaliteitsborging en -verbetering is ook toepasbaar bij grote audit afdelingen.
6.4. Aanbevelingen Het resultaat van mijn onderzoek is tweeledig. Aan de ene kant levert het een projectmatige aanpak op met de activiteiten die nodig zijn om aan de standaarden te voldoen. Aan de andere kant levert het de mogelijkheid op het beschikbare budget en personeel zo optimaal mogelijk in te zetten. Mijn aanbevelingen voor verder onderzoek zijn: 1. verder onderzoek in een pilotgroep om het verbetertraject te valideren door onderzoek te doen naar: a. het slagingspercentage met en zonder het gebruik van het verbetertraject. b. de effectiviteit van het verbetertraject voor en na externe IIA-toetsing. c. Mogelijke praktische oplossingen voor de hieruit voortvloeiende knelpunten, om tijd te besparen voor de kleine audit afdeling, 2. het mobiliseren van de doelgroep bij het (zelf)evaluatieproces. Mobiliseren is een mix van het vertalen van ambitie in concreet gedrag, vaardigheden trainen, energie ontwikkelen en regie zetten op voortgang en resultaat, 3. het projectplan via de website van het IIA aan haar leden ter beschikking te stellen, 4. met betrekking tot de organisatie van de IIA-toetsing van kleine audit afdelingen: a. verhelder de juridische basis voor de kwaliteitstoets (zie Voorwoord), b. laat een hoofd van een kleine audit afdeling als gecertificeerd toetser de kwaliteitstoets bij een andere kleine audit afdeling uitvoeren, c. laat een vertegenwoordiger van kleine audit afdelingen zitting nemen in het IIA-NL College van Kwaliteitstoetsing. Op deze wijze kan mijns inziens de ontwikkeling van het vakgebied in Nederland voor en door internal auditors verder worden vormgegeven.
Dankwoord Hierbij wil ik graag van de gelegenheid gebruik maken om een aantal sleutelpersonen nadrukkelijk te bedanken. Mark Jongejan heeft als procesbegeleider een positieve bijdrage geleverd aan het referaat. Mijn dank gaat verder uit naar de experts op dit gebied die hun kennis en deskundigheid met me hebben gedeeld door hun medewerking te verlenen aan de interviews. Remko van der Klein heeft als coach het referaatproces ondersteund. Zijn gestructureerde en positieve commentaar vormde een doorslaggevende stimulans. Lieke Noorman en Marie van Hezik hebben kritisch meegelezen en het referaat taalkundig gecorrigeerd. Tot slot wil ik mijn Karin bedanken voor haar begrip en aanmoediging tijdens mijn RO-studie. Yolanda Stuijt, Amsterdam, januari 2010 Voor vragen en/of opmerkingen:
[email protected]
Drs. Y.F.Stuijt
44 van 54
Kleine interne audit afdelingen
Bijlage I
en de IIA-standaarden
Path to Quality Model
Het IIA-‘Path to Quality Model’ (PTQM) deelt de groei naar volwassenheid in naar vijf volwassenheidsniveaus, met de belangrijkste kenmerken en stappen hoe tot naleving (conformance) van de Standaarden te komen; de niveaus zijn: beginnend, opkomend, voldoet, hefboomwerkend en innovatief. Alle informatie in deze paragraaf is terug te vinden op de website www.theiia.org.
Model 2: het Path to Quality Model Niveau 1: Beginnend. Kenmerkend voor de interne audit afdeling is dat zij geen kwaliteitsborging- en verbeterprogramma (QAIP) heeft. De afdeling is nieuw binnen de organisatie of heeft zich nog niet geconformeerd aan de vereisten van de IIA-standaarden. In enkele gevallen hebben het hoofd van de afdeling en het Audit Committee geen helder begrip van het belang van een dergelijk programma en de waarde die het kan brengen voor een organisatie. De stappen om naar het ‘beginnend niveau’ van kwaliteit te groeien zijn: 1. adopteer IIA’s officiële definitie van internal auditing, 2. bereik de juiste rapportagelijnen, 3. committeer aan kwaliteit, door een charter te ontwikkelen voor de interne audit afdeling waarin de reikwijdte van het werk gedefinieerd wordt en de afbakening van die gebieden waar het aansprakelijk en verantwoordelijk voor is, 4. werk aan het verkrijgen van draagvlak van senior management en het Audit Committee. Beleg vergaderingen met hen, om jouw missie en visie op kwaliteit te delen, alsook om hun verwachtingen te horen. Gebruik daar de ‘A standard of Quality’-presentatie voor om bewustzijn en begrip te creëren en hun support te oogsten, 5. verzeker je ervan dat ieder lid van het Audit Committee de IIA ‘Tone at the Top’-nieuwsbrief ontvangt en toegang heeft tot de bedrijfspublicaties die het belang van internal audit bevatten. Niveau 2: Opkomend. Kenmerkend voor deze fase is dat de interne audit afdeling periodieke en continue zelfevaluaties of interne kwaliteitstoetsen (QA’s) uitvoert met toezicht op naleving van de standaarden. De stappen om naar ‘opkomende’ kwaliteit te groeien zijn: 1. neem deel aan de lokale IIA- en/of branchegroep van interne auditors, aan netwerken met andere interne auditor beoefenaren en aan QA-training,
Drs. Y.F.Stuijt
Kleine interne audit afdelingen
2. 3.
4. 5.
en de IIA-standaarden
verzeker dat het hoofd van de audit afdeling werkt aan de juiste professionele certificering inclusief het Certified Internal Auditor (CIA)-certificaat, stel één tot drie medewerkers van de audit afdeling verantwoordelijk voor interne monitoring. Informatie uit monitoring, interviews, werkdocumenten en uit een zelfevaluatie dienen leidend te zijn voor het hoofd van de interne audit afdeling en het interne QA team om tot conclusies te komen ten aanzien van naleving van de standaarden, het Audit Charter en andere relevante criteria, verwijs naar de IIA’s Self Assessment Checklist en naar de IIA’s Quality Assessment Manual, 5Th edition, voor een gedetailleerde beschrijving van het zelfevaluatieproces, ontlok feedback van anderen in het zelfevaluatieproces. Hoewel dit niet verplicht is, is dit behulpzaam evenals de resultaten van de vragenlijsten die gebruikt worden aan het einde van iedere audit.
Niveau 3: Voldoet. De interne audit afdeling verkrijgt een onafhankelijke beoordeling van haar zelfevaluatieproces en doet dat iedere vijf jaar. Het derde niveau (Conforming) van de gevestigde audit afdeling vormt de belangrijkste mijlpaal naar accreditatie. De stappen om naar een ‘voldoet’-kwaliteit te groeien zijn: 1. werk aan het verkrijgen van de juiste mix van professionele benamingen (inclusief het CIA-certificaat) die de professionaliteit en deskundigheid van de interne audit afdeling laat zien, 2. voltooi (onder supervisie van het hoofd van de afdeling) de voorbereiding voor een onafhankelijke beoordeling door gebruik te maken van een ‘Balanced Scorecard’ benadering. Een ‘Balanced Scorecard’ is een instrument dat helpt om de strategie te vertalen in operationele termen vanuit vier gezichtspunten; financiële doelen, klanten, interne businessprocessen en innovatie + groei. Een template volgt hieronder:
3.
richt je op de volgende criteria bij het zoeken naar een gekwalificeerde onafhankelijke beoordelaar: - Eerlijk en vrijmoedig binnen de grenzen van vertrouwelijkheid.
Drs. Y.F.Stuijt
46 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
-
4.
5.
Objectief – meer geïnteresseerd in dienstbaarheid en publiek vertrouwen dan persoonlijk gewin en voordeel; onpartijdig, (intellectueel) eerlijk en vrij van belangenconflict. - Onafhankelijk – niet geassocieerd met de organisatie in welk opzicht dan ook. - Ervaren – heeft, door persoonlijke ervaring, kennis van het uitvoeren van externe kwaliteitstoetsingen. - Deskundig – bij voorkeur een gecertificeerde interne auditor, goed op de hoogte van ‘Best Practices’ met een minimum van drie jaar recente internal audit of gerelateerde management advieservaring, gebruik een door het hoofd van de audit afdeling ontwikkeld plan, gebaseerd op de bevindingen en aanbevelingen die door de onafhankelijke beoordelaar zijn gemaakt, om de nodige verbeteringen te adresseren, samen met een tijdslijn voor invoering. Dit plan moet voorgelegd worden aan het senior management en het Audit Committee. rapporteer de onafhankelijke beoordeling van jouw zelfevaluatie aan de lokale IIA-organisatie zodat de naam van jouw organisatie toegevoegd kan worden aan de lijst op de website.
Niveau 4: Hefboomwerking. Het kwaliteitsborging- en verbeterprogramma (QAIP) is goed gedefinieerd binnen de dagelijkse gang van zaken van de interne audit afdeling. De afdeling voldoet aan de standaarden, aan de Code of Ethics en verkrijgt iedere vijf jaar een externe kwaliteitstoets. Stappen naar ‘Hefboomwerking’- kwaliteit zijn: 1. zorg dat het hoofd van je interne audit afdeling een Certified Internal Auditor (CIA) is, 2. deelnemen aan lokale werkgroepen van het IIA is een uitstekende manier voor het hoofd van de audit afdeling om te netwerken met andere hoofden en om te leren van gemeenschappelijke problemen door middel van discussie en debat, 3. evalueer de ‘Gemeenschappelijk Opmerkingen’ van externe kwaliteitsbeoordelingen en adresseer soortgelijke gebieden in je interne audit activiteiten die mogelijk onder het niveau van de gewenste kwaliteit zijn, 4. gebruik de toonaangevende werkwijzen van de IIA-website als een model voor je voortdurende groei. 5. download en wijzig het voorbeeldformulier ‘Request for Proposal’ voor het zoeken naar externe QAdiensten van potentiële aanbieders, 6. contact je lokale IIA op de voltooiing van je externe QA-rapport, zodat de naam van je organisatie kan worden toegevoegd aan de lijst op haar website. Ook moet je jouw auditklanten informeren over je externe QA, zowel vóór als nadat het is uitgevoerd. Deze praktijk laat zien dat je bereid bent om hetzelfde niveau van controle te ondergaan als zij doormaken wanneer zij worden gecontroleerd, en dat je maatregelen neemt om de aanbevolen verbeteringen te implementeren. Niveau 5: Innovatief. Dit niveau kenmerkt zich door het bestaan van een actief en volledig geïntegreerd kwaliteitsborging- en verbeterprogramma (QAIP) binnen de dagelijkse gang van zaken van de interne audit afdeling. De afdeling verkrijgt iedere drie jaar een externe kwaliteitstoets (QA). Alle medewerkers volgen een strikt continu opleidingsprogramma. Stappen naar de kwaliteit ‘Innovatief’: 1. verwerven en onderhouden van een passende mix van professionele benamingen (met inbegrip van de CIAcertificatie) die de professionaliteit van je interne audit afdeling en competentie aantonen, 2. benchmark regelmatig je vooruitgang, bijvoorbeeld via het IIA ‘Global Audit Information Network’ (GAIN), 3. verhaal de vooruitgang van je afdeling via de niveaus naar de top, en maak je verhaal voor anderen beschikbaar via de tijdschriften en websites op het gebied van internal auditing. Dien als een voorbeeldfunctie voor verdere groei door het delen van je praktijken, ervaringen en instrumenten, 4. neem deel aan externe QA-teams, of aan peer reviews, 5. geef je ervaring en kennis terug naar de beroepsgroep door middel van een mentorschap bij een audit afdeling op een lager niveau; spreek tijdens evenementen, neem deel aan studies, en schrijf artikelen die gebaseerd zijn op je professionele kennis, ervaring en expertise,
Drs. Y.F.Stuijt
47 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Bijlage II Interviewvragen De algemene vragen dienden om te verifiëren of de geïnterviewde persoon tot de doelgroep van dit onderzoek behoorden. De onderwerpen betroffen: type opleiding, het aantal jaren ervaring in auditing, het aantal jaren in de functie, omvang audit afdeling, type organisatie, getoetst door IIA ja/nee? Vier verantwoordelijke auditoren hebben de vragen beantwoord. De specifieke vragen betroffen: 1. Waarom waren de afzonderlijke standaarden (on)voldoende voor het IIA? 2. Waarom was het totaaloordeel (on)voldoende voor het IIA? 3. Welke problemen ondervond de audit afdeling, waar jij hoofd van was, met de naleving van de standaarden? 4. Wat waren de risico’s die het IIA noemde bij het niet naleven van de standaarden? 5. Welke oorzaken kun je daarvoor aanwijzen? 6. Wat zou je aanbevelen om de problemen op te lossen of te mitigeren? Deze vragen hebben mij antwoorden gegeven op mijn vraag welke maatregelen een kleine audit afdeling moet nemen om dezelfde kwaliteitsstandaard te verzekeren als grote afdelingen.
Bijlage III AO/IC-beschrijving Typologie: overige dienstverlening waarbij de controle op volledigheid van de inspanningsverplichting afhangt van de registratie van de uren die auditors besteden aan kwaliteitsbeheersing. Attentiepunten/probleemanalyse: a. schommelingen in budget, b. schommelingen in menskracht, c. schommelingen in activiteiten, d. schommelingen in kwaliteit van het programma. Door de schommelingen in budget, menskracht, activiteiten en programma bestaat een planningsrisico waardoor het realiseren van het kwaliteitsprogramma in gevaar kan komen. Daar vloeit het risico uit voort dat de kwaliteit van het geleverde werk niet conform de IIA-standaarden is. De voorbereiding Het proces van kwaliteitsbeheersing wordt geïnitieerd doordat een interne auditor vallend onder het IIAreglement werkzaam is in een audit afdeling. Deze audit afdelingen worden eenmaal in de vijf jaar getoetst door het IIA om te verifiëren of de mate van kwaliteitsbeheersing volgens de normen van de beroepsgroep zijn. Het hoofd van de audit afdeling is verantwoordelijk voor het naleven van de IIA-standaarden en maakt een kostenpost aan in de personeelsbegroting. De kostenpost is gebaseerd op een jaarplan en een meerjarenplan, met een specificatie naar geschatte uren, benodigde capaciteit en de personeelskosten voor het waarborgen van de kwaliteit van het werk. Deze kostenpost wordt samen met de overige kostenposten in een begroting samengevoegd en door de directie geautoriseerd. Het hoofd van de audit afdeling monitort een overzicht ‘Planning versus Realisatie’ van de urenbesteding aan kwaliteitsbeheersing en stuurt bij indien er afwijkingen ontstaan tussen geplande versus gerealiseerde uren. De uitvoering Het doel van het proces van kwaliteitsbeheersing is het leveren van kwalitatief goed werk conform de IIAstandaarden. Het hoofd van de kleine audit afdeling moet daarom een centrale rol te spelen bij het ontwikkelen van het proces van kwaliteitsbeheersing, beleidsvorming, zelfevaluatie en het schrijven van de motivatie. Dit wil niet zeggen dat hij/zij alles zelf moet doen.
Drs. Y.F.Stuijt
48 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Procesbeschrijving Processtap 1 het opzetten van een stelsel van kwaliteitsbeheersing Het hoofd van de kleine afdeling ontwikkelt een Audit Charter waarin zijn of haar ambitie ten aanzien van het borgen van kwaliteit aangeeft alsook strategieën over risicomanagement, personeelsontwikkeling en de kracht van het kwaliteitsprogramma. Het hoofd van de kleine audit afdeling: 1. checkt het Audit Charter op volledigheid en juistheid, 2. maakt een risico evaluatie op basis van feedback van de operationele managers. Deze evaluatie laat het verband zien tussen de operationele en strategische risico’s van de organisatie en de voorgestelde audit onderwerpen. Het hoofd van de audit afdeling zet de voorgestelde audit onderwerpen in een audit jaarplan en deelt het met het senior management. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole op de werking van het genoemde verband en de aanwezigheid en volledigheid van het ‘risk based auditplan’, 3. maakt personeelbeleid op basis van de personeelsbegroting, de gewenste functieprofielen, een vaardighedenmatrix (kennis en expertise) van het personeel dat al in dienst is en beoordeelt potentiële kandidaten aan de hand van deze documenten. Bij zelfevaluatie voert het hoofd een kwaliteitscontrole uit op de match tussen de vraag uit het audit jaarplan en het aanbod van personeel. De volgende zaken neemt hij/zij hierbij in ogenschouw; a. de verhouding tussen de activiteiten (zoals: het werken aan kwaliteit, het uitvoeren van audits, risicomanagement, compliance, etc.) binnen de audit afdeling, b. het toepassen en gebruik van outsourcing alternatieven, en c. het gebruik van computer tools, 4. zet een kwaliteitsprogramma op door fysiek een dossiermap aan te leggen en digitaal een map aan te maken op de vaste schijf van de afdeling. Het programma bevat een minimale set van 11 bewijsstukken (zie p.28). Het hoofd is geautoriseerd om toegang te verlenen tot de dossierkast en de afdelingsschijf. Tijdens de zelfevaluatie voert het hoofd een kwaliteitscontrole uit op de aanwezigheid en actualiteit van de bewijsstukken en neemt daarbij in ogenschouw wat de beoordeling is van het veiligheidsbeleid van de organisatie waar de afdeling onderdeel van uitmaakt, en wat het eigen beleid is ten aanzien van het beveiligen, bewaken, handhaven en verspreiding van opdrachtdossiers, 5. bewaart de notulen van bestuursvergaderingen met besluiten en goedkeuring ten aanzien van bovengenoemde onderwerpen in het kwaliteitsdossier. Tijdens de zelfevaluatie vindt controle op aanwezigheid en volledigheid van charter, dossiers en programma plaats. Processtap 2 het implementeren van een stelsel van kwaliteitsbeheersing De uitvoer van stap 1 is een kwalitatief goed en beveiligd dossier ‘kwaliteitsprogramma’. Iedere auditor werkzaam binnen de afdeling neemt kennis van de inhoud van het dossier en voert het werk uit conform het beleid met betrekking tot kwaliteitsbeheersing. De auditor legt voor ieder auditproject een dossier aan. Het audit dossier bevat: 1. opdrachtbeschrijving en afstemming met de opdrachtgever, 2. plan van aanpak met beoordeling van de risicobeheersings- en controlesystemen binnen het audit gebied, 3. risicoanalyse, 4. audit werkprogramma met normenkader, 5. interviewverslagen inclusief de vastlegging van de hoor- en wederhoor procedure, 6. brondocumenten voor analyse, 7. werkdocumenten met relevante informatie over de te bereiken doelstellingen, 8. passende en tijdige communicatie met het management, 9. een algemene opinie of conclusie. Ieder audit project wordt afgerond met een evaluatie van het auditproject door de verantwoordelijke auditor samen met het hoofd van de audit afdeling. Het hoofd van de audit afdeling checkt of de voorgeschreven
Drs. Y.F.Stuijt
49 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
processtappen en procedures voor het uitvoeren van de audits gevolgd zijn en of de verplichte onderdelen in het audit dossier aanwezig zijn. Het gesprek resulteert in een door beiden geparafeerd formulier waarop een checklist laat zien waarom de kwaliteit van het geleverde werk voldoende is. Het hoofd van de kleine audit afdeling verzamelt alle checklists, inclusief opmerkingen, in het kwaliteitsdossier, en maakt een overzicht van de audit evaluatieformulieren. Tijdens een zelfevaluatie wordt de werking van de procedures beoordeeld zonder bureaucratisch te worden. Tevens worden de redenen beoordeeld waarom, indien van toepassing, wijzigingen in het audit plan zijn gemaakt. Processtap 3 het evalueren van een stelsel van kwaliteitsbeheersing Het resultaat van processtap 2 is een beoordeling van de procedures voor het uitvoeren van audits. De beoordeling wordt vastgelegd in het ‘kwaliteitprogramma’. Het hoofd van de audit afdeling voert een zelfevaluatie uit aan de hand van een zelfevaluatiechecklist. Hiervoor kan het ‘QSAT’ instrument gebruikt worden. Vervolgens voert het hoofd een evaluatie uit van de kwaliteit van het stelsel van kwaliteitsmaatregelen aan de hand van alle verzamelde adequate documenten in het dossier ‘kwaliteitsprogramma’. Hierbij volgt het hoofd van de audit afdeling de volgende procedure: het hoofd van de kleine audit afdeling 1. heeft de leiding over het zelfevaluatieproces, 2. beoordeelt de aanwezigheid en volledigheid van de verzamelde bewijsstukken in het kwaliteitsdossier, inclusief de AO/IC-procesbeschrijving, beleid en procedures en opdrachtafstemming interne toetser, 3. voert een steekproef uit op het werk ter plaatse, inclusief beoordeling van de werking van het administratieve beleid en procedures (AO/IC), overwegingen ten aanzien van bedrijfsrisico’s, governance en audit risicobeoordelingen in audit planning, werkdocumenten en rapporten, en beoordelingen voor geselecteerde audits en adviesprojecten, 4. beoordeelt het aantal medewerkers en de vaardigheden van de medewerkers en hun continue professionele opleiding in relatie tot de adequate dekking van het auditgebied en het IT-auditgebied. 5. evalueert de naleving van de standaarden binnen de interne audit afdeling aan de hand van de KCI’s en de ‘Best Practices’ binnen de afdeling die processen en de prestatie van de afdeling verbeteren; de uitkomst wordt vastgelegd in een rapportage instrument (QSAT). 6. formuleert conclusies in een apart document over de mate van naleving van de standaarden, het Audit Charter en andere relevante criteria, alsook aanbevelingen voor verbetering en plannen voor invoering van de verbeteringen, 7. maakt een rapport met de beoordeling van het stelsel van kwaliteitsmaatregelen en motivatie wanneer wel/niet voldaan wordt aan de standaarden en ‘Best Practices’ aan de hand van de IIA externe classificatie in het eindoordeel. Ter illustratie volgen twee voorbeelden om tot een eigen oordeel te komen: a. veel audit afdelingen hebben geen uitgebreid interne continue kwaliteitsborgings- en verbeterprogramma (1300). Zo kan de substandaard 1311 (interne beoordelingen) ‘VVVV’ scoren omdat enkele elementen van het kwaliteitsprogramma in opzet en werking aanwezig zijn. De 1312 (externe beoordelingen) kan ook ‘VVVV’ scoren omdat een zelfevaluatie met onafhankelijk beoordeling plaats heeft gevonden. Dan hoeft het nog niet zo te zijn dat de 1310 in overeenstemming ook een ‘VVVV’ scoort en kan de 1300 in zijn geheel een ‘Voldoende’ krijgen, b. in een ander voorbeeld hoeft een éénpitter geen onafhankelijkheidskwestie te hebben (1110) als die maar goed georganiseerd is. Het hoofd van de audit afdeling maakt een planning en voert zijn of haar eigen werk uit en rapporteert formeel aan het management en het Audit Committee. Hij of zij rapporteert functioneel aan het Audit Committee en administratief aan de Chief Executive Officer, de hoogste uitvoerende positie in de organisatie. Uit de interviews met de belanghebbenden dient deze onafhankelijkheid bevestigd te worden1, 1
voorbeelden komen uit een internetdiscussie tussen Amerikaanse kwaliteitstoetsers.
Drs. Y.F.Stuijt
50 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
8.
maakt een opdrachtformulering voor het afstemmen met de interne toetser, inclusief selectiecriteria om het zelfevaluatieproces te laten beoordelen, 9. laat het zelfevaluatieproces valideren door een onafhankelijke beoordelaar met dezelfde kwalificaties als van een externe beoordelaar. 10. laat de beoordelaar de voorzitter van het Audit Committee interviewen en beperkte testen uitvoeren om de resultaten te valideren, 11. laat de beoordelaar zijn/haar mening uitspreken over de adequaatheid van het zelfevaluatieproces en het geïndiceerde niveau van naleving van de standaarden, 12. verstuurt het rapport inclusief de beoordeling van de interne toetser aan de directie en senior management. Kwaliteitscontrole vindt plaats op de aanwezigheid van een opdrachtafstemming door het hoofd van de audit afdeling. De belangrijkste interne beheersingsmaatregel in deze processtap is de procedure voor zelfevaluatie. De interne toetser beoordeelt de kwaliteit daarvan. De kwaliteitscontrole is de vastlegging van de zelfevaluatie in een eigen motivatie door het hoofd van de kleine audit afdeling, en is gericht op de uitkomst of prestatie van het proces van kwaliteitsbeheersing. Processtap 4 het bijsturen van een stelsel van kwaliteitsbeheersing Opzet van de kwaliteitsmaatregelen De uitvoer van processtap 3 is de reactie van de directie op de verbeteracties in het evaluatierapport. De reactie van de directie wordt in een follow up vergadering vastgelegd in de bestuursnotulen. Het hoofd van de audit afdeling bepaalt aan de hand van deze reactie de ontbrekende en de te repareren interne kwaliteitsmaatregelen en zorgt voor de invoering ervan. Het hoofd van de kleine audit afdeling informeert de auditoren en andere betrokkenen, legt de vervolgacties vast in het QSAT-instrument en checkt of het Audit Charter bijgewerkt moet worden. Werking van de kwaliteitsmaatregelen Het hoofd van de kleine audit afdeling onderzoekt de werking van de kwaliteitsmaatregelen aan de hand van: 1. de procedures ‘het uitvoeren van audits’, de ‘follow up’ en de ‘escalatie’- procedure, 2. de acties die voortkomen uit de aanbevelingen vanuit audits, 3. de notulen van de betreffende afdeling om redenen te achterhalen voor de niet-uitvoering van de follow up actie. Bij niet-uitvoering zorgt het hoofd van de audit afdeling ervoor dat het senior management het risico van het niet nemen van maatregelen heeft aanvaard en dit aan belanghebbenden hebben verteld, 4. interviews van medewerkers. Mocht uit interviews van de betreffende medewerkers door het hoofd van de audit afdeling geconcludeerd worden dat resterende risico’s niet opgelost worden, dan legt het hoofd van de audit afdeling deze voor aan de Raad van Bestuur voor resolutie. De onafhankelijke beoordelaar doet een kwaliteitscontrole op de uitvoering van de escalatieprocedure door middel van een interview met de auditor en beoordeling van de bestuursnotulen. Management informatie nodig voor het uitvoeren van een zelfevaluatie: 1. IIA-reglement, 2. IIA-standaarden, 3. Audit Charter, 4. Audit jaarplan inclusief personeelsbegroting met post voor kwaliteitsbeheersing, 5. Risicoanalyse en evaluatie van de gehele organisatie, 6. Overzicht ‘Planning versus Realisatie’, 7. Beoordeling verband tussen de organisatierisico’s en de voorgestelde audit onderwerpen, 8. Functieprofiel auditor, 9. Vaardighedenmatrix (kennis en expertise) van het personeel in dienst,
Drs. Y.F.Stuijt
51 van 54
Kleine interne audit afdelingen 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27.
en de IIA-standaarden
Beoordeling match tussen vraag en aanbod, Kwaliteitsprogramma met minimale set bewijsstukken, Richtlijn voor de beveiliging van de dossierkast en de afdelingsschijf, Notulen van bestuursvergaderingen, Beoordeling aanwezigheid en actualiteit van de bewijsstukken in het kwaliteitsprogramma, Overzicht van audit evaluatieformulieren, Overzicht beoordeling uitgevoerde audits, Een zelfevaluatie-checklist in het ‘QSAT’-instrument, Procedure voor zelfevaluatie, Verbeteringsvoorstellen en plannen voor invoering van de verbeteringen in ‘QSAT’-instrument, Evaluatierapport hoofd audit afdeling, Opdracht afstemming met selectiecriteria voor een onafhankelijke beoordelaar, Beoordeling onafhankelijke beoordelaar, De reactie van de directie vastgelegd in de bestuursnotulen, Follow up procedure, Escalatieprocedure, Interview verslag hoofd audit afdeling, Resolutiemaatregelen in bestuursnotulen.
Bijlage IV QSAT Rapportage Tool Zie aparte bijlage.
Bijlage V Modellen, Schema’s & Tabellen Model 1. 2. 3. Schema 1. 2. 3. 4. Tabel 1. 2. 3. 4. 5.
Beschrijving Het onderzoeksmodel Het gewenste proces van kwaliteitsbeheersing Het Path to Quality Model
Pagina nummer 8 14
Beschrijving Project 1: (her)inrichting van het proces van kwaliteitsbeheersing Project 2: het toepassen van beleid Project 3: het verbeteren van informatievoorziening Een generiek verbetertraject
Pagina nummer 33
Beschrijving Een beknopte beschrijving van de IIAstandaarden De problemen van de kleine audit afdeling met de standaarden Prestatiekloof tussen huidige en gewenste resultaten Beheersingsmaatregelen en kwaliteitscontroles per processtap Bronnen bij de verschillende Key Conformance Indicators (KCI’s) per standaard
Pagina nummer 12
Afbeelding 1.
Beschrijving Het QSAT rapportage tool
Drs. Y.F.Stuijt
15
35 36 38
19/20 23/24 34 37
Pagina nummer 40
52 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
Bijlage VI Gebruikte afkortingen AO/IC BPI BPR CAE CEO CIA COSO EFQM GAIN IA-CMM IIA Inc. IIA Nederland IPPF KCI PA PAS PTQM QA QAIP RA RE RO RvB SAIV TQM
Administratieve Organisatie/Interne Controle Business Process Improvement Business Process Redesign Chief Audit Executive Chief Executive Officer Certified Internal Auditor Committee of Sponsoring Organizations European Foundation for Quality Management Global Auditing Information Network Internal Auditing Capability Maturity Model Institute of Internal Auditors Incorporation (U.S.A.) Instituut voor Internal Auditors Nederland International Standards for the Professional Practice of Internal Auditing Key Conformance Indicator Practice Advisory Professional Audit Solisten Path to Quality Model Quality Assessment Quality Assurance and Improvement Program Register Accountant Register EDP Auditor Register Operational Auditor Raad van Bestuur Self Assessment with Independent Validation Total Quality Management
Bijlage VII Literatuurlijst Boeken 1. Driessen J., A. Molenkamp Operational Auditing; een managementkundige benadering van internal auditing, Kluwer, Deventer, 2004. 2. Hammer, M. J.Champy, Reengineering the corporation, Harper Business, New York, 2004. 3. O'Regan D., Strategies for Small Audit Shops, The IIA Research Foundation, Altamonte Springs, Florida, 2002. 4. Pawson, R., Evidence Based Policy. A realist perspective”, Londen/Thousand Oaks/ New Delhi, 2006. 5. Sawyer B., et al., Sawyer’s, Internal Auditing, The practice of modern Internal Auditing, 5th edition, The Institute of Internal Auditors, Altamonte Springs, Florida 2005. 6. Verschuren P., H. Doorewaard, Het ontwerpen van een onderzoek, LEMMA, Den Haag, 2007. 7. Ten Have, S., W. ten Have, F.Stevens, Key Management Models, Prentice Hall, Engeland, 2003. Artikelen 8. Armanas P., Quality Assessments for small shops, Internal Auditor, June 2007, p. 55-58. 9. Baker N., A renewed framework, Internal Auditor, February 2009, p.54-59. 10. Cheung S., E Heck, H.Koreman Kwaliteitstoets IIA: de eerste ervaringen, Audit magazine, nr.3, september 2006, p.28-31. 11. De Looff, H., A. Molenkamp, De veranderende rol van toezichthouden, Finance & Control, Kluwer, 2007. 12. Molenkamp A., De toekomst is aan de kleine auditafdeling, Audit Magazine, nr.2, juni 2004, p.32-33.
Drs. Y.F.Stuijt
53 van 54
Kleine interne audit afdelingen
en de IIA-standaarden
13. Molenkamp A., PAS bijeenkomst, Kwaliteitstoetsing door het IIA bij kleine IAD’s, Audit Magazine, nr.3, p.50, september 2007. 14. Ronde Tafel bijeenkomst PAS, kwaliteitstoetsing bij kleine audit afdelingen, Audit Magazine, nr. 5, p.52, december 2008. 15. Stanek, S. 10 big things for small audit departments, KnowledgeLeader, Protivity inc., 2008. 16. Tilman R., Vaags F., Kwaliteitstoetsing: voor en door internal auditors, Audit magazine, nr.2, p.16-19, juni 2007. IIA documentatie 17. DIIR, Deutsches Institut főr Interne Revision e.V., QA-Guideline for Conducting a Quality Assessment, Addendum to DIIR Standard Number 3, 2007. 18. Instituut voor Internal Auditors Nederland, Competency Framework for the Internal Auditing, Deel I, M.Vlak, IIA NL, 2001. 19. Instituut voor Internal Auditors Nederland, Handleiding Kwaliteitstoetsing Interne Auditors, Deel I, IIA NL, 2007. 20. Instituut voor Internal Auditors Nederland, Reglement op de kwaliteitstoetsing voor interne auditors, IIA NL, 10 juni 2004. 21. Instituut voor Internal Auditors Nederland, Vragenlijst IIA ‘Self Assessment CAE’, IIA NL. 22. Instituut voor Internal Auditors Nederland, IIA Position Paper: De internal auditor in Nederland, IIA NL, 21 april 2005. 23. SVIR, Swcheizericher Verband főr Interne Revision, Quality Self Assessment Tool Q-SAT, T.Ruud, Genève, 2008. 24. The Institute of Internal Auditors, Quality Assessment Manual, IIA inc., 5th edition, Altamonte Springs, 2006. 25. The Institute of Internal Auditors, Path to Quality Presentation, IIA inc., Altamonte Springs. 26. The Institute of Internal Auditors, IIA Position Paper, The Role of Internal Auditing in Resourcing The Internal Audit Activity, IIA inc., 2009. 27. The IIA Research Foundation, Common Body of Knowledge, IIA inc., Altamonte Springs, 2006. 28. The IIA Research Foundation, Internal Auditing Capability Model, IIA Inc, Altamonte Springs, 2007. 29. The IIA Research Foundation, Evaluation Tool 19, IIA inc., Altamonte Springs, 2008. 30. The IIA Research Foundation, GAIN Key Survey Findings, IIA inc. Altamonte Springs, 2009. 31. The Institute of Internal Auditors, International Standards for the Professional Practice of Internal Auditing (Standards), IIA inc., Altamonte Springs, 2009. 32. University of Zurich, Institute for Accounting and Control, Quality Assurance and Improvement in Internal Auditing, Seminar Paper, T.Ruud. Antwerp, 2008. 33. Professional Audit Solisten, StandardsKleineIAD_totaal_versie (2), PAS, ongepubliceerd, 2008.
Dilbert © by Scott Adams
Drs. Y.F.Stuijt
54 van 54