Externe kwaliteitstoetsing 2018: verbeterpunten  

Het continu evalueren en verbeteren van diensten is een belangrijk kenmerk van professionele organisaties. Dergelijke reflectie en ontwikkeling draagt sterk bij aan het vertrouwen in en de toegevoegde waarde van de dienstverlening. Dit geldt ook voor internal auditfuncties (IAF’s).

De beroepsnormen van internal auditing kennen een verplicht programma voor kwaliteitsbeheersing en -verbetering, met een externe, onafhankelijke kwaliteitstoetsing, die tenminste eens in de vijf jaar dient plaats te vinden. Dit artikel presenteert de resultaten van de externe kwaliteitstoetsingen die in 2018 zijn uitgevoerd.¹ Het geeft IAF’s handvatten voor een volgende stap in hun kwaliteitsverbetering en een hulpmiddel om zich voor te bereiden op een externe kwaliteitstoetsing.

 De beroepsnormen voor internal audit zijn vastgelegd in het internationale raamwerk voor de beroepsuitoefening (International Professional Practices Framework – IPPF). Het Toezichtsorgaan Kwaliteitstoetsingen (TKT) borgt de kwaliteit (waaronder de objectiviteit) van de toetsingen door eisen te stellen aan de deskundigheid en ervaring van de toetsers, richtlijnen uit te brengen over de oordeelsvorming op de Standaarden en de uitgevoerde toetsingen te beoordelen.

Toetsingen

In 2018 zijn 35 reguliere externe toetsingen uitgevoerd, door zeven verschillende partijen.² De getoetste IAF’s vormen een breed spectrum in omvang en typologie. De omvang varieerde van 1,9 tot 400 fte, waarbij 17 organisaties te bestempelen zijn als kleine IAF, met vier of minder fte. De organisaties zijn werkzaam op verschillende terreinen. Voor de analyse is een driedeling gemaakt tussen profit-financiële sector (13), profit-niet-financiële sector (13) en non-profitsector (9).

Conclusies, de algemene resultaten vergeleken

De getoetste organisaties voldoen allemaal aan de Gedragscode en in grote mate aan de Standaarden. Slechts drie van de 35 organisaties hebben een negatieve eindscore behaald. Tegelijkertijd zijn bij veel organisaties, op diverse Standaarden, wel verbeteringen mogelijk en wenselijk om de kwaliteit continu te borgen. De Standaarden waarop het minst goed is gescoord, zijn:

• het programma voor kwaliteitsbewaking en -verbetering (QAIP) (1300);
• de planning en uitvoering van audits (2200 en 2300).

Verbeterd

Het is verheugend te merken dat ten opzichte van een vergelijkbare Nederlandse studie over 2011-2013 de conformiteit op vrijwel alle Standaarden is verbeterd. Wel zijn de laagst scorende Standaarden hetzelfde gebleven. Daarnaast is het positief te constateren dat ook kleine IAF’s goed in staat blijken te zijn om aan de Standaarden te voldoen. Weliswaar zijn de drie organisaties met het eindoordeel ‘Voldoet niet’ alle drie kleine IAF’s, maar uit de scores per standaard blijken er maar weinig significante verschillen op basis van omvang. Verder valt op dat in zijn algemeenheid de non-profitsector iets minder sterk scoort. Daarbij wordt opgemerkt dat deze sector zeer divers van aard is.

De specifieke resultaten

De Standaarden zijn op te delen in de Attribute Standaarden (1xxx), die de eigenschappen van de IAF en de auditors beschrijven (zie figuur 1), en de Performance Standaarden (2xxx), die de gewenste uitvoering van de werkzaamheden beschrijven.Figuur 1. De Attribute Hoofdstandaarden en de mate waarin de getoetste organisaties daaraan voldoen

Attribute Standaarden

De volledigheid van het charter en bevestiging onafhankelijkheid (1000 en 1100)
De organisatorische positionering van de IAF, inclusief de interactie met raad van bestuur (RvB) en auditcommissie (AC) die een onafhankelijke en objectieve rol moet borgen (1100), alsmede de vastlegging van die functie in het audit charter (1000) zijn in grote mate op orde. Toch kunnen tien IAF’s hun charter verbeteren, niet zozeer op actualiteit, maar op volledigheid. Aandachtspunten daarbij zijn de beschrijving van:

• de diensten die al dan niet worden verleend;
• de relatie met de AC, met als bijzonder aandachtspunt of het charter aansluit bij het reglement van de AC en of de wederzijdse verantwoordelijkheden en verwachtingen matchen;
• de rapportagelijnen aan RvB en AC, zodat geheel duidelijk is wie welke besluiten neemt over de IAF en haar chief audit executive (CAE);
• de erkenning van de verplichte richtlijnen (Grondbeginselen, Definitie, Gedragscode en Standaarden), zoals expliciet in Standaard 1010 wordt vereist.

Daarnaast ontbreekt regelmatig de jaarlijks gewenste bevestiging van de onafhankelijkheid (1110).

Er zijn relatief veel verbeterpunten wat betreft de vakbekwaamheid (1210). Bij ongeveer 30% wordt gewezen op het ontbreken van voldoende kennis of diversiteit in de samenstelling

Brede kennis en diversiteit in de samenstelling (1200)
Auditmedewerkers moeten voldoende kennis en vaardigheden hebben, die zorgvuldig toepassen en ook voortdurend onderhouden. Bij alle getoetste organisaties voldoet dit. Desondanks zijn er relatief veel verbeterpunten over de vakbekwaamheid (1210). Bij ongeveer 30% wordt gewezen op het ontbreken van voldoende kennis of diversiteit in de samenstelling. Dat betreft vooral kennis op gebied van ICT, data analytics en soft controls, aspecten die samenhangen met de eisen vanuit de vernieuwingen op het vakgebied. Het managen hiervan komt terug in Standaard 2030.

Een voldoende breed programma voor kwaliteits-bewaking en -verbetering (QAIP) (1300)
Standaard 1300 is een kernpunt. De QAIP zorgt immers voor het leer- en verbetervermogen van de IAF. Dit is des te belangrijker gegeven de huidige snelheid en complexiteit van ontwikkelingen met invloed op het vakgebied. Desondanks is het een van de Standaarden waarop relatief zwak wordt gescoord. Zes IAF’s scoren geen ‘voldoet’ op de Hoofdstandaard, tien IAF’s (een kleine 30%) scoren op een of meerdere substandaarden geen ‘voldoet’ en ontvingen verbeterpunten. Deze betreffen vooral de Standaarden:

• 1311: de interne evaluaties, bestaande uit de continue monitoring én de periodieke beoordeling, met als aandachtspunten:
• de daadwerkelijke combinatie van ‘reviews’ en de periodieke zelfevaluatie;
• een brede evaluatie, die alle Standaarden omvat (dus niet alleen de uitgevoerde audits) (opgemerkt wordt dat het Internal Audit Ambition Model hiervoor een zeer bruikbaar hulpmiddel vormt);
• een voldoende diepe evaluatie, met voldoende dossiers;
• het uitvoeren van klantevaluaties én het incorporeren daarvan in het QAIP.
• 1320: de rapportage en bespreking van de uitkomsten van de evaluaties met de RvB en AC.

Performance Standaarden

De veelheid van aspecten in het management van de IAF (2000)
Standaard 2000 is een van de kritieke secties van het IPPF. Het betreft de aansturing van de afdeling en de totaliteit van de werkzaamheden, ofwel de waarborgen voor een adequaat jaarplan én de realisatie daarvan. Zoals figuur 2 toont, is dit in het algemeen bij de getoetste organisaties op orde.

Toch zijn, op vrijwel alle onderliggende Standaarden, bij diverse organisaties verbeteringen nodig. Uitschieter daarbij is personeelsmanagement (2030); maar liefst zestien organisaties kregen daarop aanbevelingen. In tabel 1 zijn de belangrijkste aandachtspunten voor de diverse Standaarden weergegeven.

Aard van het werk, breed van opzet (2100)

Standaard 2100 betreft de vraag of de reikwijdte van de IAF voldoende is en de belangrijke vraagstukken op het gebied van governance, risicomanagement en beheersing voldoende worden gedekt. Dit is in het algemeen het geval. In enkele gevallen wordt te weinig aandacht besteed aan:

• het onderzoeken van de cultuur (2110);
• een periodieke rapportage over de status van het risicomanagement (in aanvulling op de aandacht voor de beheersing van specifieke risico’s in audits) (2120).

Methodisch zorgvuldige operationele uitvoering van audits (2200 en 2300)
Hier, in de operationele uitvoering van audits, bestaan de grootste problemen in de conformiteit met de Standaarden: respectievelijk acht en zes organisaties voldoen niet (geheel) op Standaard-sectieniveau. Daarbij geldt dat meer dan de helft van de getoetste organisaties (20 van de 35!) op deze secties verbeterpunten krijgt aangereikt. Deze verbeterpunten betreffen zowel het nadenken over de uitvoering, het vastleggen van dat nadenken, als de uitvoering zelf. Eigenlijk betreft het methodisch zorgvuldig werken.

Wat betreft de voorbereiding van de audits zijn de belangrijkste aandachtspunten:

• de volledigheid van de risicoanalyse, waarbij expliciet ook de frauderisico’s dienen te worden geëvalueerd (2201);
• een duidelijke definitie van de reikwijdte (zowel van wat wel als niet wordt onderzocht) (2220);
• de documentatie van de (overwegingen) van de bemensing (2230);
• de expliciete goedkeuring van het werkprogramma, zodat er geen misverstanden bestaan en alle betrokkenen het eens zijn dat dit programma de doelstellingen van de audit zal bereiken (2240).

Wat betreft de uitvoering van de audits verdienen met name de volgende punten aandacht:

• de volledigheid van de dossiers, van zowel de negatieve als de positieve bevindingen (2330);
• de aanwezigheid van de audit-trail, waarmee de conclusies worden onderbouwd (2330);
• de vastlegging van reviews. Gegeven het belang van supervisie stelt de Standaard expliciet dat passend bewijs van dit toezicht (door of namens de CAE) wordt gedocumenteerd en bewaard (2340).

Meer dan de helft van de getoetste organisaties (20 van de 35!) krijgt verbeterpunten krijgt aangereikt

Duidelijke resultaten (2400, 2500 en 2600)
De kwaliteit van de communicatie is essentieel voor de realisatie van de beoogde toegevoegde waarde van de IAF. De ‘reguliere’ communicatie van auditresultaten (2400) voldoet in het algemeen goed; desondanks blijft dit een aandachtspunt: elf organisaties ontvangen aanbevelingen om de kwaliteit, en met name de duidelijkheid, van de rapportages te verbeteren. Deze aanbevelingen raken alle aspecten van het ‘schriftelijk rapporteren’, zowel de structuur van de rapportage als de tekst zelf.

Er zijn in de toetsingen nergens problemen geconstateerd met betrekking tot de rapportage over mogelijk ontoelaatbare risiconiveaus voor de organisatie (2600).

Na de rapportage moet de IAF de opvolging van de actiepunten vanuit de audits bewaken (2500). De CAE moet daartoe een systeem opzetten en onderhouden. Slechts drie van de getoetste organisaties scoorden ‘voldoet gedeeltelijk’. Overigens betekent de standaard niet dat de IAF zelf de gehele monitoring op alle punten moet uitvoeren. Hierin kan worden samengewerkt met bijvoorbeeld de tweedelijns controlfunctie. De essentie is dat de IAF kan vaststellen dat kritieke punten daadwerkelijk adequaat zijn opgelost. Een aanvullende overweging hierbij is het management aan te bieden de monitoring uit te breiden met de resultaten van adviesopdrachten, zodat alle verbeteractiviteiten samen kunnen worden gevolgd.

Afsluiting

Met deze analyse en in het bijzonder de genoemde aandachtspunten, hopen we handvatten te bieden om de conformiteit aan de Standaarden verder te verbeteren. Niet als doel op zich, maar als middel om de kwaliteit en daarmee de toegevoegde waarde van de IAF voor de organisatie te optimaliseren. De beroepsnormen vormen immers samen de kernvereisten voor een goede, effectieve en doelmatige, beroepsuitoefening van internal auditing, op individueel en organisatieniveau.

Noten

1. Voor een meer uitgebreide analyse wordt verwezen naar het IIA Kenniscentrum.
2. Tevens zijn twee hertoetsingen en twee toetsingen in het buitenland uitgevoerd. Omdat daarvan de beschikbare informatie beperkt is, zijn deze in de analyse buiten beschouwing gebleven.