Externe kwaliteitstoetsingen: wat verandert er?

In Nederland timmeren we al twintig jaar aan de weg met het extern toetsen van de kwaliteit van internal auditfuncties. Maar hoe staan we er internationaal voor? Wat is de impact van de GIAS? En hoe zit het nu eigenlijk met de NOREA- en NBA-standaarden? De leden van het Toezichtsorgaan Kwaliteitstoetsing (TKT) van het IIA, Steffen Jeuken, Jac Ponjée en Arnoud Daan, praten je bij over de laatste ontwikkelingen.

Hoe is het TKT opgebouwd?

Steffen Jeuken (SJ): “Vanuit IIA Nederland hebben we in 2004 het College Kwaliteitstoetsing (CKT) opgericht. Dat was toen verantwoordelijk voor zowel de uitvoering van toetsingen (als een van de toetsende partijen) als de beoordeling van alle uitgevoerde toetsingen. Vanaf 2010 is dit structureler opgezet met een heldere taakomschrijving. Om toezicht en toetsing te scheiden, is het TKT opgericht. Het TKT is een van de commissies van IIA Nederland en bestaat uit drie leden. Arnoud Daan is al vele jaren betrokken bij kwaliteitstoetsingen in Nederland. En ikzelf geef begin 2025 na vijf jaar het stokje van voorzitter over aan Jac Ponjée, die inmiddels ook alweer enige tijd lid is van het TKT.”

Hoe is het toezicht op de externe kwaliteitstoetsing ingericht?

SJ: “De naleving van het reglement begint voor ons met een periodieke review. We evalueren het reglement op de kwaliteitstoetsing en kijken hierbij ook naar de statuten van het IIA, het International Professional Practices Framework (IPPF) en nu ook de Global Internal Audit Standards (GIAS). Zo borgen we dat alle randvoorwaarden goed zijn afgedekt en we een solide model hebben.”

SJ: “In november of december sturen we een brief naar alle chief audit executives (CAE’s) die volgens onze ledenadministratie en de TKT-administratie weer aan de beurt zijn voor een toetsing. In deze brief nodigen we hen uit om een reactie te geven en vragen we om een indicatie van hun toetsingsplanning. Na afronding van de toetsing ontvangen wij het toetsingsrapport. Dit wordt vervolgens door de drie TKT-leden individueel beoordeeld. We letten op de structuur, of aan alle normen is getoetst, en of de bevindingen in verhouding staan tot het eindoordeel.”

En dan?

SJ: “Vervolgens leggen we onze beoordelingen naast elkaar en kijken we of er consensus is. Als de beoordeling voldoende is, sturen we de CAE een bevestigingsbrief en publiceren we de uitkomst online op de website van IIA Nederland. Als we vragen hebben of als er onduidelijkheden zijn, ontstaat er een dialoog tussen het TKT en de toetsende partij. We onderhouden daarbij goed contact met de toetsers, wat de kwaliteit en consistentie van het proces bevordert.”

Hoe stelt het TKT de volledigheid en tijdigheid van de toetsingen vast?

SJ: “Over een periode van vijf jaar moeten tweehonderd organisaties getoetst worden. Dat komt jaarlijks neer op zo’n veertig tot vijftig interne auditfuncties (IAF’s) die we langs zien komen.”

Arnoud Daan (AD): “Onze basis voor de volledigheid is de ledenadministratie van het IIA. Iedere IAF met een lid van het IIA valt onder de toetsingsverplichting. CAE’s dragen een verantwoordelijkheid dat de IAF voldoet aan de standaarden van het IIA. Elke organisatie ontvangt van ons een bericht als wij signaleren dat ze weer getoetst moeten worden. De toetsende partijen zijn over het algemeen ook actief in het benaderen van organisaties om mee te denken over een komende toetsing. Op dit moment zijn we met ongeveer drie van de tweehonderd CAE’s in gesprek, omdat die niet aan de toetsingsreglementen voldoen, wat betekent dat bijna 99% wel voldoet.”

Heeft het TKT wel eens maatregelen opgelegd aan een IAF of IIA-lid?

Jac Ponjée (JP): “Het TKT legt zelf geen maatregelen op. Wij adviseren het bestuur van het IIA wanneer we denken dat dat nodig is. Als we een toetsingsrapport zien waar we vraagtekens bij hebben, bespreken we dat eerst met de CAE en de toetsende partij. Mocht dat niet tot een oplossing leiden, dan geven we het bestuur het advies om maatregelen te overwegen. Het bestuur neemt vervolgens contact op met de CAE. Soms blijkt dat een IIA-lid geen auditfunctie meer uitvoert, dan bepalen we of een toetsing daadwerkelijk nodig is.”

Jac Ponjée: “Als een CAE weigert zich te laten toetsen, rijst de vraag in hoeverre die persoon dan de kwaliteitsstandaarden van IIA Nederland ondersteunt”

Welke impact heeft het niet extern laten toetsen?

SJ: “De impact op internal auditors zelf is beperkt. De verantwoordelijkheid ligt bij de CAE, individuele auditors worden niet gesanctioneerd. Wel verwachten we dat auditors respectvol omgaan met een toetsing, ook zonder formele sanctie. Mocht een CAE zich niet willen laten toetsen, dan kan dat uiteindelijk leiden tot advies voor royement van de beroepsvereniging. We nemen dan eerst contact op met de CAE om de argumenten aan te horen. We hebben de mogelijkheid om uitstel te verlenen. Bijvoorbeeld als een organisatie midden in een fusie zit. Het gesprek met de CAE heeft vaak al een positief effect. Een verzoek tot royement is gelukkig nog niet voorgekomen. Uiteindelijk zijn auditors ook gewoon mensen, en we streven ernaar om hen te blijven ondersteunen in het waarborgen van de kwaliteit.”

JP: “Als een CAE weigert zich te laten toetsen, rijst bij ons wel de vraag in hoeverre die persoon dan echt de kwaliteitsstandaarden van IIA Nederland ondersteunt. Het hebben van een externe toetsing wordt door velen als een kwaliteitskenmerk beschouwd. Dat straalt ook positief uit naar buiten. Het kan dus iets over de kwaliteit van je IAF zeggen, wanneer je je niet laat toetsen.”

Welke argumenten worden er gegeven om niet te laten toetsen?

AD: “Vaak worden kosten genoemd als argument, of dat CAE’s nog bezig zijn met het opbouwen van hun afdeling. Fusies en overnames zijn ook een factor. Toch zijn de meeste organisaties blij met de toetsing, sommige hebben inmiddels al meerdere externe toetsingen doorlopen. In vergelijking met het buitenland, waar toetsing vaak minder vanzelfsprekend is, ligt het niveau in Nederland aanzienlijk hoger. In het buitenland is dat vaak meer vrijblijvend. Het vakgebied staat in Nederland echt op een hoger niveau. Daar mag je als getoetste IAF trots op zijn. Dat is fantastisch en moeten we vasthouden.”

In toetsing het buitenland vrijblijvender?

AD: “Volgens de IPPF moeten alle IAF’s zich extern laten toetsen, maar elk land bepaalt zelf de frequentie en invulling. Nederland is een van de weinige landen met een reglement dat een vijfjarige cyclus voorschrijft. Frankrijk heeft ook een toetsingsregime, maar daar melden IAF’s zichzelf aan. Ons Nederlandse toezichtkader, inclusief het TKT, is uniek en geeft een stevige waarborg voor kwaliteit.”

SJ: “Nederland zit op een hoog niveau. Alle IAF’s die zichzelf serieus nemen laten zich toetsen, en dat zien we terug in de rapporten. Als vereniging hebben we in Nederland een sterke positie opgebouwd. We kunnen zeggen dat we internationaal in de Top-3 staan.”

AD: “Van de frequentere toetsing in Frankrijk kunnen we leren. Daar komen ze sneller in een follow-uponderzoek terug op thema’s die niet goed gingen. Vijf jaar is een lange periode. Een toetsing van zo lang geleden geeft na grote organisatorische ontwikkelingen geen goed beeld meer. Niet iedereen zal het waarderen als we frequenter gaan toetsen. Maar nu bestaat de kans dat een IAF pas weer op kwaliteit gaat focussen als het volgende toetsingsmoment eraan komt.”

Hoe bewaakt het TKT de kwaliteit van de externe toetsers?

AD: “Allereerst moeten de toetsers door een opleidingstraject zijn gegaan. We kijken naar de titels van de leden van het toetsende team, bijvoorbeeld CIA en RO. Aanvullend moeten de toetsers een training voor het uitvoeren van kwaliteitstoetsingen bij het IIA hebben doorlopen. Tot slot kijken we naar de senioriteit in het team en de ervaring met het toetsen. Meestal zit er wel een (voormalig) CAE in het team. En we ervaren ook dat partijen die veel toetsen over het algemeen scherpere rapporten hebben, waar we als TKT ook oog voor hebben.”

Welke maatregelen kan het TKT aan de externe toetsers opleggen?

JP: “We geven geen kwaliteitslabel aan de toetsers zelf, maar beoordelen ieder afzonderlijk rapport op kwaliteit. Als de toetsing niet aan onze verwachtingen voldoet gaan we in overleg. Met een aanvullende toelichting komen we vaak al een heel eind.”

SJ: “Voldoen aan de criteria is de basis om als toetsende partij op onze website te komen. Bij toetsende partijen zien we vaak een lerend effect. Zien we een rode draad bij meerdere toetsers, dan brengen we dat in bij de round tables die we twee keer per jaar organiseren. Dan hoop je ook in de breedte een leereffect te realiseren. De enige echte maatregel die we richting toetsende partijen hebben, is om ze van onze website te verwijderen. Maar dan mogen zij nog steeds toetsingen uitvoeren. Ze zijn dan niet door het IIA geaccrediteerd. Het IIA heeft geen mandaat om partijen te verbieden een toetsing uit te voeren. Uiteindelijk is het de verantwoordelijkheid van de CAE om een toetsende partij te kiezen.”

Aarnoud Daan: “Het IIA analyseert periodiek de mate waarin de standaarden worden nageleefd. Alle rapporten worden samengevat en eens per drie jaar gepubliceerd”

Kan een toetser onafhankelijk en objectief zijn wanneer hij voor de IAF ook (advies)diensten uitvoert?

JP: “Dit hebben we toevallig recent besproken in een round table van het IIA. Het hangt af van de omvang en impact van het advieswerk dat de toetser voor dezelfde IAF uitvoert. Kleinere adviesopdrachten hoeven geen probleem te zijn, maar het blijft een verantwoordelijkheid van de CAE om de situatie goed in te schatten.”

SJ: “We hebben als TKT ook veel contact met de toetsers. We merken dat ze ons ook weten te bereiken als ze zelf twijfels over hun objectiviteit hebben.”

JP: “Internal auditing is ook een kleine wereld. Het is niet ondenkbaar dat je als toetser bekenden of oud-collega’s tegenkomt. Het invoeren van hele strikte regels is lastig. We verwachten wel dat CAE’s professioneel genoeg zijn om rekening te houden met de objectiviteit van de toetsers.”

Welke impact verwachten jullie van de GIAS die in 2025 verplicht wordt?

JP: “Het IIA heeft besloten om op 9 januari 2025 de verplichting voor naleving van de GIAS in te laten gaan. Zonder overgangsperiode. De GIAS is niet wezenlijk anders, maar is op een aantal punten specifieker dan de IPPF. Er is meer tekst en specifieker beschreven wat verwacht wordt. We verwachten dat er voor iedere IAF wel nieuwe elementen in zitten die ze in het verleden nog niet aantoonbaar hebben gemaakt.”

AD: “Ook zien we dat het veld met IAF’s divers is, van grote banken tot eenpitters bij kleine instellingen. Met de komst van de nieuwe GIAS Standaarden in 2025 krijgen kleinere IAF’s het moeilijker, vooral als het gaat om supervisie en performance. Het is voor een kleine IAF een enorme klus om de auditkalender rond te krijgen en voldoende auditcoverage te bieden. Heb je dan bijvoorbeeld met je audit commissie (AC) besproken wat je wel en niet onderzoekt? En hoe ga je als eenpitter om met supervisie en interne reviews? Dat wordt superinteressant. Het gaat onder de nieuwe GIAS wel zwaarder worden, want IAF’s worden dan niet alleen met conformance maar ook met het aantoonbaar maken van performance geconfronteerd.”

Komt er nog nadere guidance over GIAS beschikbaar?

SJ: “Vanuit het bestuursbureau van het IIA wordt aanvullend materiaal verstrekt. We zijn blij dat het IIA dat zorgvuldig oppakt. Daarnaast werken we met het bureau Vaktechniek van het IIA en een aantal toetsende partijen aan een update van het document Oordeelsvorming. We proberen het voor de IAF’s en toetsers uitvoerbaar te houden. Met de gezamenlijke input vanuit IIA Global en IIA Nederland verwachten we dat IAF’s daarmee voldoende aanknopingspunten hebben voor toetsing aan de GIAS. In de eerste helft van 2025 verwachten we dat het even rustiger wordt met toetsingen, omdat veel IAF’s de switch moeten maken om de GIAS aantoonbaar na te leven. Pas na een eerste reeks audits kun je terugkijken door middel van een toetsing.”

AD: “Het IIA analyseert periodiek de mate waarin de standaarden worden nageleefd. Alle rapporten worden samengevat en eens per drie jaar gepubliceerd. Als je ze naast elkaar legt zie je als gemiddelde ‘generally conforms’. De rode vlakken van vroeger zijn inmiddels verdwenen. Het IIA zal ook na het ingaan van de GIAS analyses blijven maken om te zien hoe de nieuwe standaarden worden nageleefd.”

Steffen Jeuken: “Bij het IIA zijn wij als TKT een toezichthoudend orgaan, waarbij meerdere partijen gekwalificeerd zijn om te toetsen”

Waarom toetst het IIA niet meer op NBA en NOREA Standaarden?

SJ: “Dat komt omdat de verschillende beroepsgroepen een andere kijk op de wereld hebben. NOREA en NBA kijken naar individuele leden en toetsen die zelfstandig. De focus ligt op naleving van PE-verplichting en het uitvoeren van de toetsing. Bij het IIA zijn wij als TKT een toezichthoudend orgaan, waarbij meerdere partijen gekwalificeerd zijn om te toetsen. De nadruk ligt bij ons meer op de auditfunctie, invulling van randvoorwaarden en de kwaliteit van de audits. Die twee modellen verhouden zich niet goed met elkaar. Omdat alleen het IIA als toetser geaccrediteerd was om ook op de NOREA en NBA Standaarden te toetsen, ontbrak een level playing field voor de verschillende toetsers.”

AD: “In overheidsland verricht het KOA de toetsingen. Daar is de toets op NBA, NOREA en IIA Standaarden nog in één hand. Alle andere IAF’s buiten de scope van het KOA met RA’s en RE’s in dienst moeten ook aan de toezichtplicht van NOREA en NBA voldoen. Sinds de intrekking van onze accreditatie beoordeelt het TKT niet meer de naleving van NOREA en NBA Standaarden.”

JP: “Een belangrijk punt is het verschil in focus en werkzaamheden tussen de beroepsgroepen. Het TKT is volgend in deze ontwikkeling, maar we kijken wel goed naar wat uitvoerbaar is. Als we een oordeel geven over een rapport zegt dat wel wat. We moeten er wel achter kunnen staan. De toets op uitvoerbaarheid ligt bij ons.”