Kwaliteitstoetsing bij kleine IAF’s: de uitdagingen

De IIA-kwaliteitstoets is actueel en relevant, in het bijzonder voor kleine internal auditfuncties (IAF’s). In het kader van het vak Quality Assurance Review (QAR) van de EIAP-opleiding van de UvA onderzochten tweedejaars studenten bij twaalf kleine IAF’s of ze (kunnen) voldoen aan het IIA International Professional Practices Framework (IPPF). In dit artikel de bevindingen uit het onderzoek.

Wat is een kleine IAF? De definities van een kleine IAF lopen uiteen. Voor dit onderzoek is uitgegaan van de karakteristieken zoals benoemd in de Praktijkgids voor de kleine IAF en de IIA Standaarden.¹ Kenmerken van een kleine IAF zijn:

• een tot vijf auditors;
• minder dan 7500 directe IA-uren per jaar;
• beperkte co-/out-/in-sourcing.

Twaalf kleine IAF’s met deze kenmerken zijn onderzocht. Deze IAF’s vertegenwoordigen beursgenoteerde bedrijven, financiële instellingen, onderwijs en overige organisaties. Uit IIA-gegevens blijkt dat de totale populatie in Nederland zo’n 250 tot 300 kleine IAF’s omvat. Een overgroot deel van deze kleine IAF’s voert naast audits ook werkzaamheden op het gebied van governance, compliance, risk en interne controle uit. Volgens het three-lines-of-defensemodel zijn dit second-line-of-defensewerkzaamheden.

IIA Kwaliteitstoetsing en het vak QAR

Volgens de IIA Standaarden dient iedere IAF minimaal een keer in de vijf jaar extern getoetst te worden door een gekwalificeerde en onafhankelijke partij. Veel kleine IAF’s staan nog op de planning om getoetst te worden en wachten vol spanning deze toetsing af. Gaan ze voldoen aan de IIA Standaarden? Wat zijn mogelijke uitdagingen? Krijgen ze de kwalificatie ‘voldoet aan’ van de toetsers?

Het IIA vindt dat iedere IAF moet kunnen voldoen aan de Standaarden. Voor sommige IAF’s vormt dit een grotere uitdaging

In het kader van het vak Quality Assurance Review dat binnen de EIAP-opleiding wordt gegeven, voeren de studenten een intensieve praktijkopdracht uit, waarbij door middel van interviews, document- en dossierreviews de IAF wordt bestudeerd met als startpunt het IPPF. Het doel van deze opdracht is om de studenten meer affiniteit te laten krijgen met internal auditing en te laten ervaren hoe een IAF in de praktijk functioneert. Bij deze specifieke opdracht is door middel van een review en een benchmarkonderzoek onder twaalf kleine IAF’s onderzocht of ze (kunnen) voldoen aan het IPPF.

Uitdagingen van kleine IAF’s

Het hoofd van een kleine IAF is verantwoordelijk voor het waarborgen dat aan alle Standaarden wordt voldaan. De mate waarin naleving van een specifieke Standaard een uitdaging vormt kan echter verschillen tussen de kleine auditfuncties. IIA is van mening dat iedere IAF moet kunnen voldoen aan de Standaarden. Voor sommige IAF’s vormt dit een grotere uitdaging, onder andere voor IAF’s bestaande uit één persoon. De uitdagingen kunnen worden geïnventariseerd door een goede QAR self assessment en eventueel worden weggenomen door het volgen van een goede strategie en planning. Hier kan het IIA maturity model een grote rol spelen.

In 2011 is de IIA praktijkgids De kleine IAF en de IIA Standaarden uitgebracht. Deze praktijkgids is gebruikt om de ‘uitdagingen’ vast te stellen hoe kleine IAF’s in de praktijk om kunnen gaan met het IPPF. Tabel 1 geeft aan welke Standaarden de grootste uitdagingen vormen om kleine IAF’s compliant te maken aan IPPF. Dit onderzoek richtte zich op de vijf Standaarden die de hoogste uitdaging kennen (aangeduid met Hoog in de tabel). In het onderzoek is de vertaalslag gemaakt naar de specifieke elementen binnen deze vijf Standaarden om na te gaan waar de uitdagingen vooral liggen. Daarbij is gezocht naar gemeenschappelijkheden tussen organisaties die deze uitdagingen kennen en naar specifieke elementen waar deze afwijkingen zich vooral op richten.

De onderzoeksresultaten

Voor het onderzoek zijn twaalf kleine IAF’s geselecteerd die vallen onder de definitie van ‘kleine IAF’. Vervolgens zijn ze onderzocht op basis van de vijf ‘hoge mate van uitdaging’ Standaarden: 1100, 1300, 2000, 2200, 2300 (zie tabel 1).

Review en enquête
Per Standaard zijn gedetailleerde vragen opgesteld met als doel een goed begrip te krijgen over de wijze waarop deze Standaarden door de IAF’s worden nageleefd. Ook is expliciet gevraagd naar de aanwezigheid van aanvullende en/of compenserende maatregelen, indien niet voldaan werd aan de Standaarden. De vragen zijn doorgenomen met het verantwoordelijk management van de betrokken IAF’s. Bevindingen, conclusies en aanbevelingen die ingaan op het al of niet compliant zijn aan de IPPF zijn vervolgens vastgelegd in rapportages en gepresenteerd aan de onderzochte IAF’s.
Van de vijf ‘hoge mate van uitdaging’ Standaarden, zijn voor dit artikel de twee meest opvallende bevindingen nader uitgewerkt. Dit zijn de Standaarden 1100 en 1300.

Standaard 1100: onafhankelijkheid & objectiviteit

Organisatorische onafhankelijkheid
Volgens Standaard 1100 dient de IAF onafhankelijk te zijn en moeten internal auditors objectief zijn bij het uitvoeren van hun werk. De onafhankelijkheid en objectiviteit van individuele auditors komen onder druk te staan bij problemen met de positionering van de IAF. Het grote deel van de onderzochte IAF’s is gepositioneerd onder de hoogste leiding en een aantal daarvan heeft een directe rapportagelijn naar het audit committee. Daarentegen zijn ook meerdere aandachtspunten geïdentificeerd:
­

• Negen van de twaalf IAF’s bezitten een auditcharter die is opgesteld conform IIA-vereisten. Twee van de onderzochte IAF’s hebben daarentegen geen auditcharter en bij een is de auditcharter nog in de maak;
• De frequentie waarmee het hoogste orgaan van de onderneming op de hoogte wordt gehouden van de bevindingen van de audits loopt bij de onderzochte IAF’s sterk uiteen. Er zijn IAF’s waarbij dit maandelijks gebeurt, maar er zijn ook IAF’s waarbij het afhankelijk is van de opdrachtgever van de audit of de bevindingen gerapporteerd worden aan het hoogste orgaan. Er is ook een IAF die niet rapporteert over de bevindingen. Deze IAF rapporteert alleen over de voortgang van de audits en verschaft input voor de planning van de IAF.

Individuele objectiviteit
Dit kan worden gewaarborgd door een sterke governancestructuur. Bij de meeste IAF’s zijn er effectieve maatregelen geïmplementeerd om de objectiviteit te borgen. We constateren daarbij dat de volwassenheid van de IAF afhankelijk is van de volwassenheid van de governance structuur.Bij twee IAF’s zijn verbeteringen aan te brengen in de positionering; een heeft geen audit committee en een geen directe lijn naar het audit committee. Bij het overgrote deel van de IAF’s is onbelemmerde toegang tot de informatie die benodigd is voor de audit gewaarborgd.

Conflicts of interest worden voorkomen door borging in de governance. Bij een aantal is er een escalatieprocedure voor het geval er onenigheden zijn. Eén IAF opereert vooral in werkzaamheden van een tweede lijn, waardoor mogelijk de objectiviteit in het geding kan komen. Eén IAF geeft aan dat het wel lastig is door de mate van volwassenheid van de afdeling; die is nog in oprichting en zal zich nog moeten bewijzen om de nodige erkenning te kunnen verkrijgen van de organisatie als objectieve en professionele functie.

Er is bij geen enkele IAF een actueel actieplan opgesteld om verbeteringen door te voeren

Standaard 1300: kwaliteitsbewaking en verbetering

Volgens Standaard 1300 dient het hoofd van de IAF een programma voor kwaliteitsbewaking en -verbetering te ontwikkelen en in stand te houden. De kwaliteitsborgings- en verbeterprogramma’s dienen alle aspecten van de IAF te raken en dienen zowel de interne als externe toets als controlemechanisme te hanteren.

Drie van de twaalf IAF’s hebben een kwaliteitsborgings- en verbeterprogramma ingericht. Van de overige IAF’s hadden er vijf een programma in ontwikkeling en vier geen structureel programma. Dit geeft aan dat op het gebied van kwaliteitsverbetering nog significante stappen te maken zijn bij deze IAF’s.

De bestaande kwaliteitsprogramma’s zijn opgebouwd uit de volgende elementen: budget voor opleiding, jaarlijkse self assessment(s), gebruik van standaard checklists bij de uitvoering van audits en adviesopdrachten en periodieke externe evaluaties. Geen van de onderzochte IAF’s maakt gebruik van aanvullende periodieke toetsingen door gekwalificeerde partijen naast IIA. Er is verder bij geen enkele IAF een actueel actieplan opgesteld om verbeteringen door te voeren.

Standaard 1300 eist dat een IAF minimaal één keer in de vijf jaar extern wordt getoetst door een gekwalificeerde en onafhankelijke partij. Twee van de twaalf IAF’s voldoen aan deze eis, een andere respondent verwacht medio 2015 een externe evaluatie. Tien van de twaalf IAF’s vinden dat externe toetsing waarde toevoegt en is het ermee eens dat deze verplicht is gesteld aan alle IAF’s. Het is van belang dat regelmatiger aantoonbaar stil wordt gestaan bij de kwaliteit van de IAF. Een verbeterprogramma zorgt daarbij voor awareness en inzicht. In tabel 2 is weergegeven hoeveel van de twaalf IAF’s handelen conform de Standaarden 1100 en 1300.

De twaalf IAF’s hebben de uitgevoerde toetsing over het algemeen als zeer nuttig ervaren als instrument om de ‘maturity’ en ‘effectiviteit’ van hun IAF te meten langs de Standaarden. Op basis van deze onafhankelijke review hebben veel van de IAF’s een verbeterplan opgesteld en/of een verdere aanscherping van het stelsel van interne kwaliteitsbeheersing doorgevoerd. De externe toetsing heeft hiermee haar toegevoegde waarde aangetoond.

Conclusie

Hoewel het onderzoek is uitgevoerd onder twaalf kleine IAF’s en daardoor niet direct representatief is voor het totaal kleine IAF’s in Nederland, geven de resultaten wel een interessant inzicht in de uitdagingen van een kleine IAF. Op basis van het uitgevoerde onderzoek kan geconcludeerd worden dat een kleine IAF in de basis kan voldoen aan de Standaarden. Voor een significant deel van de twaalf IAF’s is dat nog wel een grote uitdaging en verdere professionalisering van de IAF is dus benodigd.
Uit het onderzoek blijkt dat vooral Standaard 1300 een belangrijk struikelblok vormt. Deze uitdaging is nog heel sterk voor kleine IAF’s die bestaan uit één persoon en IAF’s waarbij tweedelijns en derdelijns functies gecombineerd worden. Een overgroot deel van de 250 kleine IAF’s voert (mede) tweedelijns taken zoals risk management, compliance en internal control uit.

Gezien het aantal afwijkingen is de vraag of deze knelpunten onoverkomelijk zijn of gecompenseerd kunnen worden door additionele maatregelen. Het kan daarbij vooral helpen om als IAF de externe toetsing te gebruiken als een nulmeting. De toegevoegde waarde van een (voorbereiding op) kwaliteits-toetsing is in dit onderzoek overduidelijk gebleken. Geadviseerd wordt ook bij andere kleine IAF’s een pre-review (bijvoorbeeld een self assessment in combinatie met een derde onafhankelijke partij) uit te voeren op de conformiteit aan de IIA Standaarden, zodat er een duidelijk beeld ontstaat over de huidige status en de verbeterpunten.

Noot

1. De praktijkgids heeft de status van een sterk aanbevolen richtlijn.

Dit artikel is mede tot stand gekomen door het onderzoek uitgevoerd door de tweedejaars EIAP/RO-studenten, waarbij twee studenten, Jack Mills (EY) en Rico Dijkstra (De Friesland Zorgverzekeraar), de bevindingen van de groep hebben samengevat.