Hoezo evolutie?

Nee, deze column gaat niet over de evolutieleer van Darwin. Ik ga het hebben over de nieuwe voorgestelde regelgeving voor internal audit.

Begin maart van dit jaar publiceerde IIA Global de nieuwe conceptstandaarden. Het geheel is gepresenteerd als een evolutie. Na bestudering kom ik tot een andere conclusie: het is een regelrechte revolutie. En zoals zo vaak met revoluties kent ook deze haar goede en minder goede kanten. De minder goede kanten hebben wat mij betreft de overhand. Er zit een aantal positieve punten in de nieuwe regelgeving maar ook meerdere gevaarlijke ontwikkelingen met mogelijk een negatieve impact op de beroepsuitoefening.

Ik begin met twee positieve punten. Het eerste punt betreft de naam. De huidige naam van de standaarden is ‘The International Standards for the Professional Practice of Internal Auditing’. De nieuwe naam wordt ‘Global Internal Audit Standards’, wat mij betreft een hele verbetering. Het tweede positieve punt gaat over de opbouw van de standaarden. De huidige regelgeving van het IIA is niet overzichtelijk te noemen. Het bestaat uit een reeks organisch gegroeide verplichte en aanbevolen onderdelen die samen het International Professional Practices Framework (IPPF) vormen.  De structuur van de nieuwe regelgeving is veel duidelijker. De voorgestelde standaarden zijn opgedeeld in vijf domeinen. Aangezien alles nog in het Engels staat heb ik de namen van de domeinen naar het Nederlands vertaald. Mijn excuses voor de soms wat amateuristische vertaling:

• domein 1 – Doel van internal audit;
• domein 2 – Ethiek en professionaliteit;
• domein 3 – Governance van internal audit;
• domein 4 – Managen van een internal auditfunctie;
• domein 5 – Uitvoeren van internal auditopdrachten.

Het eerste domein bestaat uit de definitie en missie van internal audit. Domeinen 2 tot en met 5 bevatten een 15-tal principes. Domein 2 geeft de volgende 5 principes: integriteit, objectiviteit, competenties, professionaliteit en vertrouwelijkheid. Onder de 15 principes zijn 53 standaarden opgenomen. Bijvoorbeeld onder principe 1 ‘integriteit’ staan 3 standaarden, te weten:

• 1.1 eerlijkheid en moed;
• 1.2 ethische verwachtingen organisatie;
• 1.3 professionele houding.

Daarnaast zijn bij elke standaard de overwegingen genoemd die tot de standaard hebben geleid, en de manier om de naleving ervan aan te tonen. Een mooie logische opbouw van alle standaarden met een hele gedegen toelichting. Een aanzienlijke verbetering ten opzichte van nu. Tot hier het goede nieuws.

De inhoud van de nieuwe standaarden stemt me niet vrolijk. Laat ik beginnen met een algemene vaststelling. Het huidige IPPF is principle based, de voorgestelde nieuwe standaarden hebben een meer rule-basedkarakter. In het huidige IPPF staat ongeveer honderd keer ‘should’ en vaak worden termen gebruikt als ‘consider’ of ‘could’. In de voorgestelde standaarden is dit vaak vervangen door ‘should’, ruim driehonderd keer. Dat geeft bij het toepassen van de standaarden weinig ruimte voor eigen interpretatie. Een slechte ontwikkeling wat mij betreft.

In de voorgestelde standaarden worden rechtstreeks eisen gesteld aan de board van de onderneming. Het wordt lastig voor de chief auditor om die eisen op te leggen aan zijn raad van bestuur en/of audit committee.

Nog een discutabel punt: een rating per bevinding wordt verplicht gesteld evenals een eindoordeel voor de hele audit. We weten allemaal dat het gebruik van ratings soms kan afleiden van waar het echt om gaat, namelijk het verbeteren van de organisatie. Ik voorzie dat het invoeren van deze standaard in Nederlandse context heel lastig wordt.

Veel vakgenoten, organisaties en instituten hebben hun reacties ingediend bij IIA Global. De finale versie van de standaarden wordt verwacht in het vierde kwartaal van dit jaar.