Gaan de nieuwe GIAS de professie helpen?
IIA heeft de nieuwe Global Internal Audit Standards (GIAS) uitgebracht. Per 9 januari 2025 zijn ze van kracht. Peter Hartog, directeur Vaktechniek van IIA Nederland, over de kern van de wijzigingen, de aandachtspunten bij de implementatie en de vraag hoe GIAS gaat helpen bij het versterken van de professie.
Hoe was u betrokken bij de nieuwe standaarden?
“Ik ben als lid – en vanaf juli 2023 als special advisor – van de International Internal Audit Standards Board nauw betrokken bij het gehele traject. Dat was erg boeiend. Samenwerken in een groep van meer dan twintig mensen met verschillende nationaliteiten die begaan zijn met het vakgebied, is interessant. Het was een uitdaging om tot besluiten te komen. Er was sprake van een veelomvattend proces dat natuurlijk uiteindelijk draaide om het bepalen van de nieuwe standaarden, maar startte met de vormgeving van het proces. Daartoe is ook gedetailleerd gekeken naar hoe andere ‘standard setting bodies’ zoals IFAC, INTOSAI, en ISO dat doen.”
Waarom de vernieuwing?
“Eigenlijk om twee redenen. Er was en is behoorlijke kritiek op de structuur. De huidige IPPF is in de loop der jaren uitgebouwd en bestaat uit een aantal onderdelen die niet helemaal goed op elkaar zijn afgestemd. De samenhang tussen de onderdelen ontbreekt. Dat maakt de huidige standaarden ook minder toegankelijk voor auditors en minder goed uit te dragen naar de belanghebbenden van de internal auditfunctie (IAF). Maar het is ook een update waarin nieuwe ontwikkelingen zijn meegenomen. Op het gebied van governance en risicomanagement én op gebied van het plannen en uitvoeren van audits.”
Is er geluisterd naar de reacties op de draft?
“Jazeker, in mijn ogen zeer zorgvuldig. Begin 2023 was er een publieke consultatie, waarna echt alle opmerkingen zijn bekeken. Voor de verwerking zijn deze eerst geclusterd in thema’s en zijn ze vervolgens door werkgroepen binnen de Standards Board verwerkt. Ik verwijs graag naar het zogenaamde ‘Report’ voor een verantwoording over dat proces. Ter indicatie, er is geen track-changesversie van de nieuwe standaarden ten opzichte van de draft uitgebracht, omdat dat door de vele wijzigingen onleesbaar zou worden.”
“Wij menen dat een hoofd Audit prima zelf kan beoordelen of bijvoorbeeld aanbevelingen en een rating van de bevindingen zijn gewenst”
En het commentaar van IIA Nederland?
“Ook hier is vrijwel geheel aan tegemoetgekomen. Wij vonden het bijvoorbeeld belangrijk dat ‘insight’ expliciet als product van de IAF behouden bleef. En dat er in de vereisten voor de uitvoering van opdrachten enerzijds een onderscheid wordt gemaakt tussen de assurance- en advisoryopdrachten, en anderzijds minder wordt voorgeschreven en er dus meer ruimte is voor verschillende situaties en behoeften. Wij menen dat een hoofd Audit prima zelf kan beoordelen of bijvoorbeeld aanbevelingen en een rating van de bevindingen gewenst zijn.”
En zijn de standaarden nu rule of principle based?
“Meer principle based. Er was veel kritiek op de draft, dat de standaarden veel meer rule based zouden zijn geworden. Sommigen telden daartoe het aantal pagina’s en het aantal keren dat het woord ‘must’ werd gebruikt. Beide zijn echter geen goede indicatoren: het aantal pagina’s is substantieel gestegen doordat de implementatierichtlijnen – als overwegingen – direct achter de verplichtingen zijn opgenomen. Daarbij is het woordgebruik heel consequent doorgevoerd: ‘must’ (moeten) voor de vereisten, ‘should’ (zullen) en ‘may’ (kunnen) voor de overwegingen.”
Waar komt dat terug?
“Je ziet het principle-basedkarakter terugkomen in verschillende vormen:
- Alle 52 standaarden zijn expliciet gerelateerd aan de bovenliggende vijftien principes.
- Bij het beschrijven van de ‘requirements’ is steeds de vraag gesteld of het ging om het ‘wat/waarom’ of om het ‘hoe’. De ‘hoe’-statements zijn allemaal verplaatst naar de ‘considerations’, dus uit de verplichtingen gehaald. Een mooi voorbeeld is het geven van een rating: dat was in de draft een vereiste. Vervolgens is besproken waarom je een rating zou moeten geven. Dat is om de organisatie inzicht te geven in de belangrijkste punten van aandacht. Dat kan echter op verschillende manieren, waarvan een ratingsysteem er een is. Zodoende is het geven van een rating naar de considerations verschoven.
- Nieuw is het ‘Conform or explain’. Daarmee wordt erkend dat de bedoeling boven de beschreven vereisten gaat. Hoewel naleving van de vereisten wordt verwacht, wordt erkend dat er situaties mogelijk zijn waarin internal auditors er niet in slagen om aan een vereiste te voldoen, maar toch de bedoeling van de standaard realiseren. In die bijzondere situaties worden dan alternatieve maatregelen verwacht, inclusief een vastlegging daarvan met de redenen voor de afwijking.”
Is het nu echt een verbetering?
“Ja, in mijn ogen wel. Wellicht zijn de wijzigingen inhoudelijk niet heel groot, maar de nieuwe structuur maakt de standaarden veel toegankelijker en duidelijker. Er is nu een eenduidig geheel van vijf domeinen (zie figuur 1):
- de doelstelling van internal audit, ter vervanging van de huidige Missie en Definitie;
- ethiek en professionaliteit, te zien als de nieuwe gedragscode;
- besturen van de IAF;
- managen van de IAF;
- uitvoeren van internal auditdiensten.
De domeinen 3 tot en met 5 zijn ingedeeld naar de onderscheiden functies: respectievelijk bestuur en senior management, het hoofd van de IAF en alle internal auditors in de uitvoering van audits.
Daarbij is er sprake van een update van alle standaarden vanuit de nieuwe eisen aan de professie, en vanuit de insteek om op korte en langere termijn waarde te blijven toevoegen aan de organisatie. In het verlengde daarvan wordt kwaliteit gedefinieerd als conformance (met de standaarden) plus performance.”
Wat zijn concreet de belangrijkste veranderingen?
“Als eerste zou ik de ‘Topical Requirements’ willen noemen. Het nieuwe IPPF zal naast de GIAS en de Global Guidance (de oude Supplemental Guidance) bestaan uit een aantal Topical Requirements. Dat zijn vereisten die gelden bij het uitvoeren van audits op specifieke onderwerpen, zoals third party management, cybersecurity, sustainability en frauderisicobeheersing. Deze worden in 2024 ontwikkeld, met als doel de consistentie en kwaliteit van het auditen van die belangrijke, veel onderzochte objecten te bevorderen.”
En verder?
“Op het niveau van de standaarden zou ik de volgende willen noemen:
- Domein 1, de doelstelling of ‘purpose’. Zie dat als een ‘elevator pitch’ waarmee de toegevoegde waarde van de IAF wordt beschreven. Dit domein kent geen principes of standaarden, maar vormt de basis voor het geheel.
- Standaard 1.1 van domein 2, de oude Gedragscode. Hier is het begrip professionele moed aan toegevoegd. Internal auditors moeten blijk geven van professionele moed door eerlijk te communiceren en passende actie te ondernemen, zelfs wanneer ze worden geconfronteerd met dilemma’s en moeilijke situaties.
- En er zijn in domein 4, het managen van de afdeling, twee instrumenten toegevoegd die mogelijk nieuw zijn voor veel IAF’s: 1) standaard 9.2 – het opstellen van een strategie voor de IAF (om op langere termijn de strategische doelen van de organisatie te ondersteunen), 2) standaard 12.2 – performancemanagement. Zoals gezegd wordt veel belang gehecht aan de performance ofwel de effectiviteit, efficiency en impact van de IAF. Het hoofd Audit wordt nu geacht daarvoor doelen en KPI’s te ontwikkelen en te meten.”
“Als je twintig eigenwijze experts bij elkaar zet, kan het soms even duren… Over een aantal punten is lang gesproken”
Zijn er ook discussiepunten geweest?
“Zeker. Als je twintig eigenwijze experts bij elkaar zet, kan het soms even duren… Over een aantal punten is lang gesproken:
- De elementen van de Purpose statement, en de manier waarop je die naar voren brengt. Denk aan termen als ‘algemeen belang’ (‘public interest’), het bijdragen aan het succes of aan de waarde van de organisatie en het opnemen van ‘insight and foresight’ als producten.
- De definitie van ‘bestuur’. In de draftversie is dat echt voor het in Nederland gebruikelijke two-tiersysteem gedefinieerd als de ‘supervisory board’. Dat sluit echter niet helemaal aan bij onze Code Corporate Governance. Dat gold overigens ook voor andere landen met een dergelijk systeem, zoals Duitsland, Oostenrijk, Japan en Indonesië. In de definitieve versie is gekozen voor een meer algemene omschrijving die de ruimte biedt aan de verschillende governancestructuren.
- De verantwoordelijkheden van het bestuur en senior management. In lijn met het algemene uitgangspunt stond daar het woord ‘moeten’ voor de bestuursleden. Velen vonden dat je dat niet kunt zeggen. Wie zijn wij als auditors om te zeggen wat het bestuur moet doen. Er is lang gesproken hoe dit het best is op te lossen. Uiteindelijk is het inhoudelijk niet echt gewijzigd, maar wel tekstueel. Nu staat er eerst wat het hoofd Audit moet doen, en vervolgens wat wordt verwacht van het bestuur en senior management om de IAF optimaal te laten functioneren. Deze elementen worden ‘essential conditions’ genoemd. Dit domein is expliciet bedoeld om als het ware ‘onder de arm’ mee te nemen naar het bestuur en senior management om met hen te bespreken.”
Kortom, de standaarden gaan volgens u dus helpen bij het versterken van de professie?
“Ik denk het wel ja. Het helpt de auditors met de aansluiting van de IAF bij de doelen van de organisatie en de relevantie en deugdelijkheid van de audits. En het helpt de functie van internal auditing nog beter uit te dragen naar alle stakeholders.”
Hebt u tips voor de implementatie?
“Je zou een onderscheid kunnen maken tussen de strategie en de meer tactische/operationele zaken. Strategisch gezien bieden de nieuwe standaarden een mooi moment van bezinning en bespreking met het bestuur en de audit committee. Ook gezien de dynamiek en complexiteit van risico’s waarmee organisaties geconfronteerd worden en de nieuwe verplichtingen die zich aandienen. Denk hierbij aan de corporate sustainability reporting directive en de verklaring omtrent risicobeheersing. Gebruik het strategisch plan en domein Governance om te spreken over zaken als het mandaat, de afstemming met andere functies en de interactie met het bestuur, audit committee en senior management.”
“Meer operationeel, en als voorbereiding op het strategische, is het bezien van de noodzakelijke wijzigingen in de inrichting van de functie en uitvoering van audits. Dit kan ook leiden tot bijstelling van de charter en het handboek. Voor veel IAF’s zal dat betekenen dat een strategisch plan moet worden opgesteld (waar wil je over drie jaar staan als IAF?) en een systematiek voor performance measurement met betekenisvolle KPI’s.”
Nog meer?
“Kort nog twee aanbevelingen. Test de wijzigingen in de uitvoering eerst via een pilot en probeer niet voor alles zelf het wiel uit te vinden. Leer van elkaar en vraag indien nodig om toelichting via [email protected].”
Wat betekent het voor de externe kwaliteitstoetsingen?
“In beginsel word je tot 9 januari 2025 getoetst op de huidige IPPF, daarna op de nieuwe. Als de toetsing is gepland in 2024, vindt de toetsing plaats op basis van het huidige IPPF en wordt geadviseerd deze te combineren met een ‘gap assessment’ op de GIAS. Zo krijg je inzicht in welke mate je al voldoet aan de nieuwe beroepsnormen. Als de toetsing is gepland in 2025 kun je ervoor kiezen de kwaliteitstoetsing te versnellen en deze al in 2024 op basis van het huidige IPPF te laten plaatsvinden. Ook dan is een aanvullende ‘gap assessment’ aan te bevelen. Ik denk echter dat het ambitieuzer is de toetsing ‘gewoon’ in 2025 te laten plaatsvinden op basis van de nieuwe GIAS.”
“Van belang voor de timing van de toets in 2025 is dat de IAF niet alleen de inrichting van de IAF heeft aangepast, maar ook kan aantonen dat volgens die nieuwe werkwijzen wordt gewerkt”
En hoe bereid je je daarop voor?
“Om je daarop voor te bereiden is wederom een ‘gap assessment’ in 2024 te overwegen, zodat je weet wat er nog te doen is om in 2025 met goed gevolg de formele toetsing te doorstaan. Van belang voor de timing van de toets in 2025 is dat de IAF niet alleen de inrichting van de IAF (zoals charter en werkwijzen beschreven in het handboek) heeft aangepast naar de GIAS, maar ook kan aantonen dat volgens die nieuwe werkwijzen wordt gewerkt. Dat geldt zowel voor de nieuwe werkwijzen in de uitvoering van audits als voor de periodieke activiteiten, zoals de risicoanalyse en selectie van audits en voor besprekingen van plan en realisatie met het bestuur.”
Wat mogen we nu nog van het IIA verwachten?
“Als IIA Nederland helpen we graag bij de implementatie. Zo hebben we een Nederlandstalige versie, vertellen en bespreken we de GIAS tijdens diverse bijeenkomsten en staan we natuurlijk met onze helpdesk open voor vragen ([email protected]). IIA Global richt zich nu op de vertaling van de GIAS naar de diverse instrumenten, zoals de QA Manual en de CIA-opleiding. Daarnaast worden in de loop van 2024 de Topical Requirements ontwikkeld. Zodra er nieuwe zaken zijn, melden we deze. Ik zou zeggen, blijf onze nieuwsbrief en onze website volgen!”
Over
Peter Hartog is directeur Vaktechniek van IIA Nederland. Hij doceert aan de Internal Auditing & Advisory-opleiding van de EUR. In het verleden werkte hij onder andere bij de SVB, ACS en KPMG.
Reacties (0)
Lees meer over dit onderwerp:
Normenkader sustainability management
Hoe kun je als auditor de organisatie ondersteunen bij het borgen van sustainability (duurzaamheid) binnen de organisatie?
Lees meerZuurstof in het management-controlsysteem
Bij de Rijksoverheid klinkt een steeds luidere roep om meer beleidsruimte voor het decentraal management. Aan de andere kant komen er meer regels die deze ruimte juist beperken. Hoe kan deze paradox hanteerbaar worden gemaakt?
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.