Bijdragen aan de solide reputatie van internal audit
Marjo van Ool, George de Booij en Gertjan Langelaan, de drie leden van het Toezichtsorgaan Kwaliteitstoetsing (TKT) van het IIA, spreken over het wat, hoe en waarom van het TKT.
Wat is en doet het Toezichtsorgaan Kwaliteitstoetsingen (TKT)?
“Het TKT oefent als onafhankelijk orgaan het toezicht uit op de kwaliteitstoetsingen die in Nederland worden uitgevoerd op de internal auditfuncties bij verschillende organisaties. Onze kerntaak is om door het uitvoeren van dit uniform toezicht bij te dragen aan de kwaliteit van de internal audit community in Nederland, en daarmee aan de solide reputatie van onze beroepsgroep. Het bestuur van IIA Nederland heeft het College Kwaliteitstoetsingen (CKT) gemachtigd om de kwaliteitstoetsingen namens het IIA uit te voeren.”
“Oorspronkelijk werd het toezicht ook door het CKT uitgeoefend. Maar omdat het CKT ook zelf kwaliteitstoetsingen uitvoerde, ontstond het besef dat dit anders georganiseerd moest worden om zo mogelijke belangenverstrengeling tegen te gaan. Op verzoek van het bestuur van het IIA is in 2016 daarom het reglement van het CKT aangepast, om duidelijkheid te scheppen over wie nu wat doet ten aanzien van de kwaliteitstoetsingen. Hieruit is het huidige reglement op de kwaliteitstoetsing voortgekomen en ontstond het TKT. Het TKT ziet sinds die tijd toe op de kwaliteit van alle toetsingen die door het CKT en de andere toetsende partijen worden uitgevoerd.”
“Ook voor kleine IAF’s geldt dat ze één keer in de vijf jaar getoetst moeten worden door een externe partij”
Hoe wordt dit toezicht uitgevoerd?
“Dit doen we door alle rapporten te toetsen op basis van het destijds door het CKT ontwikkelde normenkader. Aan dit normenkader ligt uiteraard het International Professional Practice Framework van het IIA ten grondslag. Het normenkader is in de loop der tijd verder uitgewerkt en resulteerde in mei van dit jaar in het, door de manager Vaktechniek van het IIA opgestelde, Document Oordeelsvorming. Dit document kun je zien als de handleiding voor een uniforme oordeelsvorming over de kwaliteitsbeoordeling door de verschillende toetsende partijen. We hebben dit normenkader in diverse round tables besproken met de toetsende partijen om tot een gedeelde interpretatie van het normenkader te komen.”
Wat is het uitgangspunt?
“Het toetsingsrapport is altijd het uitgangspunt voor onze toetsing. Wij beoordelen namelijk het rapport als eindproduct van de toetsing en niet het gevolgde proces. We lezen het rapport individueel en leggen onze bevindingen afzonderlijk van elkaar vast in een enquêtetool. Daarna vergelijken we onze bevindingen en bespreken met elkaar de eventuele verschillen van inzicht en de vragen die er bij ons leven. Op basis hiervan stellen we, indien nodig, kritische vragen aan de toetsende partij en soms besluiten we tot een review van het dossier of van een deel hiervan.”
Keuren jullie dan vervolgens een rapport goed of af?
“Nee, in het reglement staat duidelijk dat wij een rapport niet kunnen afkeuren. We melden de uitkomsten van onze analyse aan de chief audit executive (CAE) van de getoetste internal auditfunctie (IAF). Onze opmerkingen leiden er soms toe dat in het rapport een betere toelichting wordt opgenomen door de toetsende partij, maar ze zullen niet tot een oordeelswijziging leiden. De verantwoordelijkheid van het oordeel ligt bij de toetsende partij.”
“In het uiterste geval kunnen we het bestuur van het IIA formeel informeren over de kwaliteit van een toetsende organisatie, en het bestuur adviseren maatregelen te nemen. Dit is echter nog niet voorgekomen en de kans dat dit zal voorkomen lijkt ook niet zo groot. Wij zien namelijk dat onze feedback ter harte wordt genomen door de toetsende partijen. We zien de kwaliteit van de rapporten ook steeds meer verbeteren.”
Hoe zorgen jullie ervoor dat jullie onafhankelijkheid niet in het geding komt?
“Het heldere en gedragen normenkader dat we hanteren is hierbij het belangrijkst. Daarnaast houden we ons natuurlijk afzijdig bij het toetsen van rapporten van een organisatie waar we zelf werken, of waar we bijvoorbeeld in het recente verleden hebben gewerkt. Zo zal er later dit jaar een toetsing bij NS plaatsvinden. George zal zich niet bemoeien met de review van de rapportage en zal ook niet deelnemen aan de bespreking van de rapportage. Dit zal door Marjo en Gertjan worden gedaan waarna zij George als CAE van NS zullen informeren.”
“Wij kunnen een rapport niet afkeuren. We melden de uitkomsten van onze analyse aan de CAE van de getoetste internal auditfunctie. De verantwoordelijkheid van het oordeel ligt bij de toetsende partij”
Jullie lezen veel rapporten, wat valt jullie op?
“Wat opvalt is dat de opdrachten die de CAE’s geven aan de toetsende partijen verschillen. De ene organisatie wil alleen assurance: voldoe ik aan de normen? Terwijl andere CAE’s daarnaast ook behoefte hebben aan ‘insight’. Wat daarnaast opvalt is het hoge kwaliteitsniveau van de rapporten. Uiteraard bestaan er verschillen tussen de toetsende partijen. En dat is ook prima. Maar of het nu rapporten zijn die gericht zijn op het geven van assurance of rapporten die meer gericht zijn op het geven van insight, het kwaliteitsniveau van de rapporten die de afgelopen drie jaar voorbij zijn gekomen, is hoog. Verder is interessant dat je de diversiteit van de beroepsgroep terugziet in de inhoud van de rapportages: van jonge tot gesettelde IAF’s en van grote tot kleine IAF’s.”
Over kleine IAF’s gesproken: deze mogen volstaan met het uitvoeren van een zelfevaluatie?
“Hier is sprake van een misverstand. Ook voor kleine IAF’s geldt dat ze één keer in de vijf jaar getoetst moeten worden door een externe partij. Het goed en gedegen invullen van een zelfevaluatie, kan ervoor zorgen dat een toetsing door een externe partij in minder tijd en dus met minder kosten kan worden uitgevoerd. Het is dus niet zo dat een zelfevaluatie de externe kwaliteitstoets vervangt. Het is ook overigens voor grotere IAF’s aan te bevelen om een zelfevaluatie uit te voeren ter voorbereiding op de externe kwaliteitstoets.”
Hoe zit het nu eigenlijk met het toetsen aan de NBA- en NOREA-normen?
“IIA-Nederland is geaccrediteerd door de NBA en NOREA om de kwaliteitstoetsingen, zoals beschreven in de regelgeving van de NBA en NOREA, uit te voeren bij de IAF’s waar IIA Nederland leden heeft, die de titel RA, AA en/of RE dragen. Deze kwaliteitstoetsingen mogen door de CKT worden uitgevoerd. Je vindt dit dus expliciet terug in de rapportages als dit het geval is. Het NBA heeft officieel ook een toetsingsorgaan, alleen voeren zij tot op heden zelf nog geen toetsingen uit. Er zijn zo’n zeshonderd RA’s in Nederland die internal auditwerk doen maar geen lid zijn van het IIA. Deze groep wordt dus niet door de CKT getoetst en valt momenteel buiten de boot qua toetsingen. Het NBA onderneemt stappen om de kwaliteitstoetsing van deze groep te ontwikkelen en heeft hiervoor recentelijk een pilot gedraaid.”
Wordt er in het buitenland op eenzelfde manier gewerkt?
“In het IPPF staat opgenomen dat er minimaal een keer in de vijf jaar een externe toets moet plaatsvinden door een gekwalificeerde onafhankelijke toetser of toetsende organisatie van buiten de eigen organisatie. In de praktijk zie je dat dit lang niet in alle landen van de grond komt. De internationale internal audit community kijkt dan ook met respect naar hoe IIA Nederland dit georganiseerd heeft. We signaleren als TKT wel dat deze verschillen internationaal bestaan, maar het is aan het bestuur van IIA Nederland om het belang van de toetsingen en de grote verschillen die er nog internationaal bestaan aan te kaarten.”
Welke uitdaging op het gebied van kwaliteitstoetsingen zien jullie?
“De belangrijkste uitdaging zit in organisaties, zoals pensioenfondsen en trustkantoren, die vanuit regelgeving gedreven een IAF oprichten die wordt ingevuld door een ‘external service provider’. Deze external service providers, mits lid van het IIA, zijn zich er vaak onvoldoende bewust van dat zij ook toetsingsplichtig zijn. En als hier een toetsing wordt uitgevoerd, richt je je dan op de external service provider en hun aanpak of kijk je naar de ’functie’ binnen die kleine organisatie? Het wordt nog een uitdaging om hier een goede modus in te vinden.”
Wat willen jullie als TKT meegeven aan de lezers?
“Neem actief deel in je beroepsgroep. Leer van anderen en vraag om advies en best practices. De IIA-gemeenschap is zeer bereid om te helpen, ook als het gaat over kwaliteitstoetsingen!”
Over
Marjo van Ool is inmiddels, na 26 jaar openbaar accountant bij nu PwC, waarvan elf als vennoot en zestien jaar als internal auditor bij AkzoNobel, en de laatste zes jaar als CAE, drie jaar met pensioen en voorzitter van TKT.
George de Booij is sinds 2010 directeur NS Audit, sinds 2012 bestuurslid van het Spoorwegpensioenfonds en vanaf 2017 commissielid van het Toezichtsorgaan op de Kwaliteitstoetsingen (TKT) van IIA Nederland. Voor zijn NS-periode vervulde hij een reeks senior managementfuncties bij ABN AMRO binnen internal audit, finance en compliance in binnen- en buitenland.
Gertjan Langelaan is directeur Group Audit bij Van Lanschot Kempen. Daarvoor bekleedde hij binnen internal audit senior managementposities bij Equens, BNG Bank en ABN AMRO.
Reacties (0)
Lees meer over dit onderwerp:
1 jaar, 63 fte, 400.000 ongebruikelijke transacties
Audit Magazine sprak met Sonja Corstanje-Maaskant van de Financial Intelligence Unit (FIU) over het voorkomen van witwassen en terrorismefinanciering en de rol van de FIU. Wat is de FIU precies? “De Financial Intelligence Unit-Nederland (FIU-Nederland) is op basis van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) het enige en centrale meldpunt […]
Lees meer“De kwaliteitstoetsing is een trigger”
In dit vierluik over kwaliteitstoetsing vertellen Patricia Michel (De Goudse Verzekeringen), Jos Motzheim en Willem de Korte (Delta Lloyd), Karin Hubert, Ronald van Rijswijk en Peter Hartog (SVB), Piet Vrolijk (KPN) over hun ervaringen.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.