Kwaliteitstoetsing: een noodzaak voor alle IIA-leden

“Bijna alle grotere IAF’s zijn inmiddels getoetst aan de standaarden”, vertelt Frans Wolf RA RE CIA, voorzitter van het College Kwaliteitstoetsing (CKT). Na een jarenlange, internationale carrière als internal auditor in de financiële sector bij onder andere Fortis en ABN Amro en zes jaar in het IIA-bestuur, geeft hij nu leiding aan de groep kwaliteitstoetsers van IIA. De redactie sprak met hem over het opstellen van toetsingen door derden, valkuilen en trends.

Kunt u een korte introductie geven over kwaliteitstoetsing in Nederland?

“In 2004 is IIA voorzichtig begonnen met het uitvoeren van het toetsen van internal auditfuncties (IAF’s) aan de standaarden die in het International Professional Practices Framework zijn opgenomen. Vanaf 2011 vinden er structureel toetsingen plaats. Kwaliteitstoetsing is belangrijk, want op deze manier kunnen wij als internal auditors laten zien aan het management, bestuur en andere belanghebbenden dat wij onze functie en verantwoordelijkheden serieus nemen. Wij kunnen aantoonbaar maken dat wij een werkend en deugdelijk systeem hebben waarin wij de kwaliteit van onze dienstverlening monitoren. De vraag: wie audit de auditor?, is daarmee beantwoord.”

Hoe zit het met de hoeveelheid toetsingen?

“In de periode 2011-2013 zijn 38 IAF’s positief door de toetsing gekomen en voldoen daarmee volledig aan de standaarden en de eisen die horen bij het lidmaatschap van IIA. Dit betekent dat bijna alle IAF’s van vijf medewerkers of meer getoetst zijn en dat 887 leden van IIA werkzaam zijn bij een geaccrediteerde IAF. Nu richt het CKT zich ook op de kleinere IAF’s. Op dit moment vindt terugkoppeling plaats vanuit CKT naar het IIA-bestuur. Er wordt gewerkt aan een periodieke terugkoppeling van geanonimiseerde resultaten aan de leden. Ik wil ook de verhouding verhelderen tussen bestuur en CKT. Het bestuur stelt de normen vast, het CKT toetst de goede naleving van de normen. Dat is helder en duidelijk. Daarnaast maken wij duidelijk onderscheid tussen normen en best practices. Aan normen moet je voldoen. Best practices geven inzicht in verbetermogelijkheden.”

“Alle IAF’s zouden op de hoogte moeten zijn van punten waar zij niet aan voldoen”

Startpunt van elke toetsing is het Reglement Kwaliteitstoetsingen. Dit is per 1 januari 2014 aangepast.

“Dat klopt. Zo is nu de termijn van toetsing in Nederland gelijkgesteld met de internationale frequentie van eens per vijf jaar. Ieder lid van IIA moet elke vijf jaar door een externe partij getoetst zijn. Verder is het reglement zodanig aangepast dat het nu mogelijk is dat derden de kwaliteitstoetsingen uitvoeren. Het is wel zo dat IIA eisen stelt aan deze partijen en dat zij de regiefunctie behoudt. Zo zal onder meer de opdrachtbrief en het eindrapport van de toetsing aan het CKT verstrekt moeten worden, zodat het CKT onder meer kan vaststellen dat de toetsingsvoorschriften zijn nageleefd. Op deze manier kunnen IAF’s kiezen welke partij de toetsing uitvoert.”

Is dat beter?

“Dat is een gezondere situatie dan voorheen, toen IIA het alleenrecht had deze toetsingen uit te voeren. Mocht de IAF ook RA’s of RE’s in dienst hebben, dan dient die IAF ook getoetst te worden aan de specifieke eisen die de NBA of de NOREA aan RA’s en RE’s hebben gesteld. Op dit moment hebben de NBA en de NOREA IIA geaccrediteerd om deze toetsingen uit te voeren. Dat betekent dat in het geval een IAF RA’s of RE’s in dienst heeft, IIA nog een aanvullende toets zal moeten uitvoeren aan de normenkaders van de NBA en/of de NOREA.”

Kunt u een overzicht geven van de belangrijkste punten die uit de toetsingen naar voren komen?

“Het blijkt dat dat toch heel verschillend is per IAF. Er zijn geen echte trends in de detailbevindingen te ontdekken. Maar ik kan wel een paar thema’s noemen waar wij extra aandacht aan besteden. Zo is er als eerste de kwestie van de rapportagelijn van de chief audit executive (CAE). Best practice is aan de CEO, maar aan de CFO komt ook regelmatig voor. Het hiërarchisch rapporteren aan de voorzitter van de auditcommissie zien we niet zo veel in Nederland, maar het komt wel voor. Rapportage aan de CFO kan in bepaalde situaties wel, maar dan zoeken we wel naar compenserende maatregelen, zoals directe toegang tot de CEO of auditcommissie.”

“Een ander punt is de verantwoordelijkheid van de CAE voor bijvoorbeeld risicomanagement, compliance of informatiebeveiligingsfuncties. Los van of dat wenselijk is of niet, betekent dit in ieder geval dat de IAF in dat geval waarborgen moet hebben dat deze belangrijke functies wel onafhankelijk getoetst kunnen worden op een andere manier dan door de IAF en dat dit ook plaatsvindt. Als derde zou ik het punt willen noemen of kleinere IAF’s wel of niet kunnen voldoen aan de standaarden. Daarin heeft het bestuur nu een duidelijke beleidslijn vastgesteld. In principe moeten IAF’s vanaf drie medewerkers aan alle standaarden kunnen voldoen. Daar zijn ook meerdere voorbeelden van. Voor een IAF met twee medewerkers wordt het heel lastig, maar we sluiten dat niet bij voorbaat uit. Een IAF met één medewerker kan in principe niet aan de volledige set van standaarden voldoen en zal dus bij voorbaat niet door de verplichte kwaliteitstoetsing heenkomen.”

Wat betekent dit dan voor de eenpitters onder ons?

“Dat is een goede vraag. Maar laat ik voorop stellen dat dit niet betekent dat zij geen goed werk in hun organisatie zouden verrichten, of dat zij geen goede internal auditors zouden zijn. Het betekent wel dat wij vinden dat je met één persoon geen IAF kunt vormen die voldoet aan de eisen die wij gezamenlijk als internal auditors voor onszelf hebben vastgesteld. Het lidmaatschap van IIA is een kwaliteitskenmerk en daar hoort niet bij dat in sommige gevallen de gewenste kwaliteit niet geleverd kan worden. En bij IAF’s met één medewerker is het duidelijk dat bijvoorbeeld de verplichte review van de uitgevoerde werkzaamheden niet echt mogelijk is.”

Worden er IAF’s afgekeurd?

In de jaren 2011-2013 waren er twee IAF’s die niet door de toetsing heenkwamen. Op het totaal van 38 getoetste IAF’s is dit dus 5%. Omdat de komende jaren meer kleinere IAF’s getoetst zullen gaan worden, verwacht ik wel dat het aantal iets zal toenemen. Niet zozeer omdat kleine IAF’s slechter zouden zijn dan grote, maar omdat je bij kleine IAF’s vaker tegenkomt dat deze nog in het beginstadium van volwassenheid zitten. Een IAF die nog maar kort bestaat krijgt de tijd om de noodzakelijke maatregelen te nemen om aan de kwaliteits-
eisen te voldoen.”

“In principe moeten IAF’s vanaf drie medewerkers aan alle standaarden kunnen voldoen”

Hoe zorgen jullie eigenlijk voor goede toetsingen?

“Dat is een belangrijk onderwerp. In het begin van de toetsingen door IIA ontstonden nog wel eens discussies over de kwaliteit van de toetsers. Dit was een leerproces aan onze zijde. Inmiddels kan ik zeggen dat we een stevig team hebben bestaande uit een twintigtal actieve toetsers die minimaal drie toetsingen paar jaar uitvoeren. Tweemaal per jaar organiseren wij een rondetafelbijeenkomst voor deze toetsers om van elkaar te leren. En jaarlijks vindt een evaluatie plaats van de teamleden en de teamleiders. Elke toetser moet overigens gecertificeerd toetser zijn. Ook zorgen wij dat het team dat de toetsing doet goed past bij de specifieke bedrijfstak, de grootte van de organisatie en – indien nodig – voldoende kennis heeft van de aanvullende eisen van de NBA en de NOREA.”

Kunt u valkuilen of aandachtspunten noemen voor IAF’s die binnenkort getoetst gaan worden?

“De open deur is natuurlijk om de standaarden goed te bestuderen en een self assessment uit te voeren. Dus alle IAF’s zouden op de hoogte moeten zijn van punten waar zij niet aan voldoen. Maar in het kort gezegd ligt de nadruk bij elke toetsing op de governance, de auditplanning, de kwaliteit van de auditstaf, het interne kwaliteitsbeheersingssysteem en, erg belangrijk, de goede uitvoering van de audits zelf.”

Nog een slotwoord?

“Ik ben heel blij met de ontwikkelingen van kwaliteitstoetsingen in Nederland. Zoals gezegd voeren nu ook derden kwaliteitstoetsen uit, wat natuurlijk ook een positieve impuls is in het streven om de kwaliteit van ons vak steeds verder te verbeteren. Ik loop al een flink aantal jaren mee, maar het is goed te zien dat ons vakgebied zich blijft ontwikkelen en verbeteren. Een advies voor alle IAF’s en IIA-leden die nog geen toetsing hebben ondergaan: laat een toetsing uitvoeren. Dat loont!”