OORDEELSVORMING KWALITEITSTOETSINGEN


1 OORDEELSVORMING KWALITEITSTOETSINGEN HANDLEIDING VOOR DE KWALITEITSBEOORDELING VAN DE INTERNAL AUDITFUNCTIE TOEZICHTSORGAAN OP DE KWALITEITSTOETSING...
Author:  Thomas Brabander

0 downloads 30 Views 1MB Size

Recommend Documents


No documents


‘OORDEELSVORMING KWALITEITSTOETSINGEN’ HANDLEIDING VOOR DE KWALITEITSBEOORDELING VAN DE INTERNAL AUDITFUNCTIE

TOEZICHTSORGAAN OP DE KWALITEITSTOETSINGEN 1 JANUARI 2019

1

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

Inleiding ‘Document Oordeelsvorming kwaliteitstoetsingen’ Doel document Het IIA streeft een kwalitatief goede beroepsuitoefening door haar leden na. Het naleven van de Standaarden van het IIA draagt daar ook aan bij. Een en ander is meer specifiek vastgelegd in het ‘Reglement externe kwaliteitstoetsing interne audit functies van IIA Nederland’, zoals vastgesteld door de Algemene Ledenvergadering van 7 december 2016. Het Toezichtsorgaan Kwaliteitstoetsingen (TKT) is conform dit regelement belast met het toezicht op de uitvoering van de kwaliteitstoetsingen. Voor u ligt het ‘Document Oordeelsvorming, Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie’ (DO). Dit document is onderdeel van de verdere professionalisering van de externe kwaliteitstoetsing aan het IPPF van het IIA. Het dient als guidance voor alle toetsers die de door het IIA (eens in de 5 jaar) verplicht gestelde externe kwaliteitstoets uitvoeren; het geeft aan hoe de Standaarden en Gedragscode te interpreteren en in welke situaties een ‘DNC’ of ‘PC’ van toepassing is. Hiermee wil het TKT borgen dat het resultaat van een bepaalde toetsing hetzelfde is, ongeacht de toetsende partij en de toetser. Wij achten een dergelijk instrument belangrijk en passend bij de huidige status van de internal auditfunctie in Nederland, zoals die onder meer tot uiting komt in de Code Corporate Governance. Totstandkoming en status Het DO is oorspronkelijk ontwikkeld door de Commissie Kwaliteitstoetsingen van het IIA (CKT). De nu voorliggende versie is het resultaat van consultatie bij alle toetsende partijen. Het DO is per 1 januari 2019 formeel van kracht. Dat betekent dat het vanaf 1 januari 2019 verplicht is om dit hulpmiddel toe te passen bij uw (eind-) oordeelsvorming. Het DO is een ‘levend’ document. In de toekomst zal het DO worden aangepast o.b.v. aanpassingen van de Standaarden en Implementatierichtlijnen alsmede o.b.v. opmerkingen, vragen en leerervaringen vanuit de toetsende partijen. Het verzoek is aldus deze aan het TKT door te geven, via [email protected] Vragen en opmerkingen die vragen om een nadere analyse, zullen door het TKT worden voorgelegd aan de Commissie Professional Practices. Opbouw Het DO bestaat uit twee delen: 1. Het document waarin per Standaard de criteria zijn aangegeven, bestaande uit 3 kolommen:  De Standaarden: de betreffende Standaarden, op sectieniveau (niveau XX00) en op niveau van de onderliggende individuele Standaarden;  De nalevingscriteria: de belangrijkste criteria (‘key conformance criteria’) om te voldoen aan de betreffende Standaard, ontleend aan de Evaluation Summary (Appendix E1) uit de Quality Assurance Manual;  De oordeelsvorming, waarin een nadere duiding wordt gegeven aan de te geven oordelen per (sub-)standaard, ofwel in welke situaties een score DNC dan wel PC moet worden gegeven. In deze kolom staan enerzijds feitelijke situaties beschreven en anderzijds (cursief) hoe de scores per individuele standaard te totaliseren tot een score op standaard sectie (niveau 1000, 1100, etc.). 2. De sheet ‘Vertaling scores per sectie naar Nederlandse ‘Voldoet (Niet)’ (deze is direct na deze inleiding opgenomen). In Nederland zijn, conform het Reglement Externe Kwaliteitstoetsingen, voor het uiteindelijke oordeel op het niveau van de auditfunctie als geheel, twee scores mogelijk. Dat betekent dat de scores GC, PC en DNC op standaard sectie-niveau moeten worden vertaald naar een uiteindelijk oordeel van ‘Voldoet’ of ‘Voldoet Niet’. Deze sheet geeft hiervoor de guidance. Leidraad voor de conclusie ‘Voldoet Niet’ is de vraag “zijn er tekortkomingen die een aanzienlijke negatieve invloed

2

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

hebben op de effectiviteit van de IAF en haar vermogen om waarde toe te voegen aan de organisatie?”. Nadrukkelijk wordt hierbij aangegeven dat hier geen sprake is van een ‘mathematische optelsom’. Leeswijzer/toelichting oordeelsvorming Gezien de diverse opmerkingen die zijn gemaakt, willen we graag drie punten toelichten:  De externe kwaliteitstoetsing is gericht op het vaststellen van de huidige situatie en niet bedoeld om te kijken in hoeverre de IAF de afgelopen (vijf) jaren heeft gefunctioneerd. Het doel van de kwaliteitstoetsing is immers leren en verbeteren. Het kijken naar de werkwijze in de periode voorafgaande aan een grote verandering daarin is niet zinvol. Dit betekent ook dat bij het beoordelen van de dossiers een relatief korte referentieperiode wordt gehanteerd, die representatief is voor de huidige situatie, zoals tot een ½ jaar, tot 1 jaar of tot 1½ jaar terug.  Daar waar in de (sub-)Standaarden gesproken wordt over “senior management en het bestuur” is dat voor de Nederlandse situatie in de kolom Oordeelsvorming vertaald als RvB/AC/RvC. Dit omvat de combinatie van besturing van de organisatie en toezicht daarop. Een adequate relatie met RvB en met AC/RvC waarborgt de onafhankelijke positionering én positie om de rol goed in te vullen. Er kan worden gediscussieerd over de vraag of de RvB deel uitmaakt van het bestuur (de Board) of niet en in het verlengde daarvan dus of met het senior management de RvB danwel de laag onder de RvB wordt bedoeld, en dus of ook met die laag het charter, het jaarplan, etc. moet worden besproken (naast de goedkeuring door RvB/AC/RvC). Of dat zo is, is afhankelijk van de governance in de betreffende organisatie. Wel kan in het algemeen worden gesteld dat voor het verkrijgen van voldoende inzicht en draagvlak in de organisatie, alsmede voor het goed kunnen uitoefenen van de ‘trusted advisor’-rol, het aanbeveling verdient de diverse aspecten van werkwijze en scoping ook af te stemmen met het topmanagement onder de Raad van Bestuur. Dat geldt zeker voor de risicoanalyse in het kader van de jaarplanning. Daar waar sprake is van een niet-vennootschappelijke bestuursvorm, zoals bij de overheid, zal voor senior management en bestuur de betreffende organen gelezen moeten worden. Het KOA zal in de loop van 2019 verdere duiding hieraan geven.  Op het moment dat niet aan een Standaard wordt voldaan, maar gerichte actie onderhanden is, kan, afhankelijk van de status van die actie, een PC worden gegeven. Zolang de actie onderhanden is en dus nog niet geheel wordt voldaan aan de Standaard, kan geen GC worden gegeven. Gebruik Zoals gezegd is het gebruik van het DO verplicht. De tabel waarin de oordelen over de (sub-)Standaarden oprollen tot een eindoordeel heeft de status "pas toe of leg uit". Uiteraard dienen toetsers, op basis van hun professional judgement, de context in overweging te nemen bij hun (eind)oordeel en niet automatisch deel-oordelen optellen. Daar waar het ‘leg uit’ principe gebruikt wordt, zal de toetsende partij het TKT de motivatie daarvan doen toekomen, in of samen met het rapport. De Nederlandse situatie van een twee sporen oordeel ("Voldoet" of "Voldoet niet"), terwijl de (sub)standaarden nog steeds de tussenvorm "Voldoet gedeeltelijk" kennen, zal na 1 jaar gebruik van het DO herijkt worden. De toetsende partijen hebben hun voorkeur voor aansluiting op de Internationale standaarden met een drie sporen eindoordeel duidelijk uitgesproken. Wij hopen hiermee een constructieve bijdrage te leveren aan de kwaliteit van de externe kwaliteitstoetsingen en u als toetsers praktische guidance te geven. Daar waar u opmerkingen heeft dit verder te verbeteren, horen we dat graag. M.J.L. (Marjo) van Ool RA, Voorzitter Toezichtsorgaan Kwaliteitstoetsingen

3

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

‘Vertaling scores per sectie naar Nederlandse ‘Voldoet (Niet)’ Leidraad voor de eindbeoordeling is de vraag: wanneer zijn er “tekortkomingen die een aanzienlijke negatieve invloed hebben op de effectiviteit van de IAF en haar vermogen om waarde toe te voegen aan de organisatie?”. Onderstaande tabel geeft nadere guidance om te komen tot de eindbeoordeling. De tabel heeft de status "pas toe of leg uit". Uiteraard dienen toetsers, op basis van hun professional judgement, de context in overweging te nemen bij hun (eind)oordeel. Nadrukkelijk wordt hierbij aangegeven dat geen sprake is van een mathematische optelsom. Eindoordeel Voldoet Niet • Gedragscode en Attribute Standards, als: o Op Gedragscode een DNC o Op 1 of meer secties (1000, 1100, 1200, 1300) een DNC o Op 2 of meer secties een PC • Performance Standards: als: o Op sectie 2000 (Managing the IAF) een DNC o Op 2 of meer secties (2100, 2200, 2300, 2400, 2500, 2600) een DNC o Op 1 sectie een DNC en 2 (of meer) secties een PC o Op 3 of meer secties een PC • Over Gedragscode en alle Standards: als: o Op de Gedragscode of Attribute Standards 1 PC + 2 (of meer PC) op de Performance Standard (zonder DNC’s)

4

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

1000 – Doel, bevoegdheid en verantwoordelijkheid Het doel, de bevoegdheid en de verantwoordelijkheid van de internal auditfunctie moeten formeel in een internal auditcharter worden vastgelegd. Dit moet in overeenstemming zijn met de missie van internal auditing en de verplichte elementen van het internationale raamwerk voor de beroepsuitoefening (de grondbeginselen van de beroepsuitoefening van internal auditing, de gedragscode, de Standaarden en de definitie van internal auditing). Het hoofd van de internal auditfunctie moet periodiek het internal auditcharter beoordelen en dit ter goedkeuring voorleggen aan het senior management en het bestuur. Interpretatie: Het internal auditcharter is een formeel document dat het doel, de bevoegdheid en de verantwoordelijkheid van de internal auditfunctie definieert. In het internal auditcharter wordt de positie van de internal auditfunctie binnen de organisatie vastgelegd, inclusief de aard van de functionele rapportagelijn tussen het hoofd van de internal auditfunctie en het bestuur, wordt bevoegdheid verleend tot toegang tot documenten, personen en fysieke eigendommen, voor zover relevant voor het uitvoeren van de opdrachten, en wordt de reikwijdte van de internal auditfunctie afgebakend. De uiteindelijke

NALEVINGSCRITERIA

OORDEELSVORMING

DNC:  Er is geen charter (of vergelijkbaar document)  Het internal auditcharter is niet actueel (sluit niet aan bij feitelijke situatie voor wat betreft rol en positie). (d.w.z. een wijziging in rol of positie is niet direct verwerkt) B. Het internal auditcharter is in overeenstemming  Het internal auditcharter is niet formeel geaccordeerd door de met de missie van internal audit en de verplichte RvB/AC/RvC2. onderdelen van het IPPF (grondbeginselen van de  Het internal auditcharter beschrijft (nagenoeg) niet het doel, de beroepsuitoefening van internal auditing, de bevoegdheid en de verantwoordelijkheid van de IAF. definitie van internal auditing, de gedragscode en  Het internal auditcharter wijkt substantieel af van de de Standaarden). grondbeginselen, de definitie, de gedragscode en/of de C. Het internal auditcharter wordt periodiek door de Standaarden. CAE beoordeeld en ter goedkeuring voorgelegd  De (functionele) rapportagelijnen zijn niet beschreven. aan het senior management en het bestuur. De  Bij een DNC op 1000.A1 of C1 en/of 1010. uiteindelijke goedkeuring van het internal auditcharter valt onder de verantwoordelijkheid van PC: het bestuur.  Het internal auditcharter wordt niet periodiek geüpdatet en D. Het internal auditcharter legt de positie van de besproken met RvB/AC/RvC. internal auditfunctie binnen de organisatie vanuit  Charter is niet besproken met senior management, noch is functioneel en administratief oogpunt vast. charter verspreid in de organisatie, zodat senior management E. Het internal auditcharter omschrijft specifiek de hiermee bekend is. aard van de functionele rapporteringsrelatie tussen de CAE en het bestuur op een manier die aansluit  De vastleggingen in het internal auditcharter zijn onvoldoende helder, niet concreet of multi-interpretabel. bij de huidige praktijk.  Bij een PC op Standaard 1000.A1 of C1 en/of 1010. F. Het internal auditcharter verleent de A. Het internal auditcharter is een formeel document waarin het doel, de bevoegdheid en de verantwoordelijkheid van de internal auditfunctie zijn gedefinieerd.

2 Met RvB/AC/RvC wordt het hoogste daartoe bevoegde orgaan van de organisatie bedoeld. Dit omvat de combinatie van besturing van de organisatie en toezicht daarop.

Bij de overheid kan de AC een separaat orgaan zijn, dat niet een onderdeel van de RvC is, of geen RvC aanwezig zijn. Zodoende is de AC apart benoemd.

5

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

goedkeuring van het internal auditcharter valt onder de verantwoordelijkheid van het bestuur.

bevoegdheid tot toegang tot dossiers, personeel en fysieke eigendommen die relevant zijn voor het uitvoeren van de opdrachten.

OORDEELSVORMING

G. Het internal auditcharter bepaalt de reikwijdte van de internal auditactiviteiten. H. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het internal auditcharter. (1000 en 1110)1 I. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over het internal auditcharter. (1000 en 2060) 1000.A1 – De aard van de assurancediensten die aan de organisatie worden geleverd, moet gedefinieerd zijn in het internal auditcharter. Indien assurance moet worden verstrekt aan partijen buiten de organisatie, moet de aard van deze assurance eveneens in het internal auditcharter zijn gedefinieerd.

DNC: J. De aard van de assurancediensten die aan de organisatie worden geleverd, wordt gedefinieerd in  De IAF geeft assurance aan derden, terwijl dit niet is vermeld in het internal auditcharter. het internal auditcharter.  De aard van de assurancediensten die aan de organisatie worden K. Indien assurancediensten worden geleverd geleverd, is niet gedefinieerd in het charter. buiten de organisatie, wordt de aard van deze PC: assurances in het internal auditcharter  De aard van de assurancediensten die aan de organisatie worden gedefinieerd. geleverd, is niet duidelijk gedefinieerd in het charter.

1000.C1 – De aard van adviesdiensten moet in het internal auditcharter zijn gedefinieerd.

L. De aard van de geleverde adviesdiensten wordt Kader: De natuurlijke adviesfunctie wordt niet gezien als adviesdienst; gedefinieerd in het internal auditcharter. adviesdiensten zijn aparte opdrachten. De aard van de adviesdiensten kan divers zijn en is niet altijd vooraf te

1

Op diverse plaatsen worden 2 standaards opgenomen; dat is het geval als het betreffende criterium zowel bij de standard zelf als bij een andere standaard wordt genoemd.

6

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING bepalen; zodoende kan de definitie van de te leveren diensten algemeen worden geformuleerd. DNC:  De IAF verricht adviesdiensten, anders dan de natuurlijke adviesfunctie, en dit is niet vermeld in het internal auditcharter. PC:  De aard van de adviesdiensten is niet gedefinieerd in het internal auditcharter.

A. Het verplichte karakter van de grondbeginselen DNC: van de beroepsuitoefening van internal auditing,  Een of meerdere van de verplichte onderdelen van de de definitie van internal auditing, de gedragscode grondbeginselen voor de Beroepsuitoefening (IPPF) (definitie, Het verplichte karakter van de grondbeginselen voor de en de Standaarden wordt in het internal gedragscode, Standaarden) ontbreken in het internal auditcharter. beroepsuitoefening van internal auditing, de auditcharter erkend.  Het internal auditcharter en de daarin vastgelegde afspraken is gedragscode, de Standaarden en de definitie van besproken met geen van de genoemde stakeholders. internal auditing moet in het internal auditcharter worden B. De CAE bespreekt de missie van internal audit en de verplichte onderdelen van het IPPF met het aangegeven. Het hoofd van de internal auditfunctie PC: senior management en het bestuur. dient de missie van internal auditing en de verplichte  De elementen van de definitie van internal audit staan onderdelen van het internationale raamwerk voor de onvoldoende vermeld in het internal auditcharter. beroepsuitoefening met het senior management en het  Het internal auditcharter en de daarin vastgelegde afspraken zijn bestuur te bespreken. niet besproken met alle genoemde stakeholders. 1010 – Vermelden van verplichte richtlijnen in het internal auditcharter

1100 – Onafhankelijkheid en objectiviteit De internal auditfunctie moet onafhankelijk zijn en internal auditors moeten objectief zijn bij het uitvoeren van hun werk.

A. Er zijn geen omstandigheden die de IAF bedreigen in het onbevooroordeeld kunnen uitvoeren van haar verantwoordelijkheden. B. De CAE heeft directe en onbeperkte toegang

7

Zie voor deze Standaard de samenhang met de Gedragscode van het IIA. DNC:

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

Interpretatie: Onafhankelijkheid is het vrij zijn van omstandigheden die een bedreiging vormen voor het vermogen van de internal auditfunctie om de verantwoordelijkheden van internal auditing onpartijdig uit te voeren. Om de mate van onafhankelijkheid te waarborgen die noodzakelijk is om de verantwoordelijkheden van de internal auditfunctie effectief uit te voeren, moet het hoofd van de internal auditfunctie directe en onbeperkte toegang hebben tot het senior management en het bestuur. Dit kan worden gerealiseerd via een tweevoudige rapportagelijn. Bedreigingen van de onafhankelijkheid moeten worden beheerst op het niveau van de individuele auditor, opdracht, functioneel en organisatorisch.

tot het senior management en het bestuur. C. Bedreigingen van de onafhankelijkheid worden beheerst op het niveau van de individuele auditor, opdracht, functie en organisatie. D. Internal auditors maken hun oordeel in auditkwesties niet ondergeschikt aan anderen. E. Bedreigingen van de objectiviteit worden beheerst op het niveau van de individuele auditor, opdracht, functie en organisatie. F. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over de onafhankelijkheid van de internal auditfunctie. (1100 en 2060)



A. De CAE rapporteert aan een niveau binnen de organisatie dat het mogelijk maakt dat de internal

DNC:

Bij een DNC op één of meer van de Standaarden 1110, 1120 en 1130.

Een PC op deze hoofdstandaard kan vrijwel niet voorkomen. GC of DNC dus in de oordeelsvorming. Bij de onderliggende Standaarden mag een PC voorkomen, maar dat mag geen afbreuk doen aan GC hier. Bij de beslissing wel of niet een DNC speelt de PC mee in de afweging.

Objectiviteit is een onbevooroordeelde instelling op basis waarvan internal auditors hun opdracht zodanig kunnen uitvoeren dat zij geloven in de resultaten van hun werkzaamheden en dat er geen compromissen ten aanzien van de kwaliteit worden gemaakt. Objectiviteit vereist dat internal auditors hun oordeel betreffende auditkwesties niet ondergeschikt maken aan anderen. Bedreigingen van de objectiviteit moeten worden beheerst op het niveau van de individuele auditor, opdracht, functie en organisatie. 1110 – Organisatorische onafhankelijkheid Het hoofd van de internal auditfunctie moet rapporteren

8

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD aan een niveau binnen de organisatie dat het mogelijk maakt dat de internal auditfunctie haar verantwoordelijkheden kan dragen. Het hoofd van de internal auditfunctie moet in ieder geval eenmaal per jaar de onafhankelijkheid van de internal auditfunctie binnen de organisatie bevestigen aan het bestuur. Interpretatie: Organisatorische onafhankelijkheid kan op adequate wijze worden bereikt indien het hoofd van de internal auditfunctie functioneel rapporteert aan het bestuur. Voorbeelden van functionele rapportage aan het bestuur zijn onder meer dat het bestuur: 1. Het internal auditcharter goedkeurt. 2. Het op risico's gebaseerde internal auditplan goedkeurt. 3. Het budget en middelenplan voor de internal auditfunctie goedkeurt. 4. Informatie ontvangt van het hoofd van de internal auditfunctie over de uitvoering van de internal auditing in het licht van het plan en overige aangelegenheden.

     4

NALEVINGSCRITERIA auditfunctie haar verantwoordelijkheid kan dragen. B. De CAE bevestigt ten minste jaarlijks de onafhankelijkheid van de internal auditfunctie binnen de organisatie aan het bestuur. C. De CAE rapporteert functioneel aan het bestuur. D. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het internal auditcharter. (1000 en 1110) E. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het op risico's gebaseerde internal auditplan. (1110 en 2020) F. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het budget en de benodigde middelen van de internal auditfunctie. (1110 en 2020) G. De functionele rapportering blijkt uit het ontvangen door het bestuur van mededelingen van de CAE over de prestaties van de internal auditfunctie in relatie tot de plannen en over andere zaken. (1110 en 2060) H. De functionele rapportering blijkt uit het

OORDEELSVORMING 



 



De functionele rapportagelijnen wijken af van of voldoen niet aan de minimale normen die daarover binnen IIA NL zijn gesteld (bijv. rapporteren aan CFO met de 5 voorwaarden (zie voetnoot3 o.b.v. Rapportage ‘hot issues’ i.k.v. Validatie Normenkader door de CPP)). De CAE heeft niet tenminste jaarlijks zijn/haar onafhankelijkheid besproken en bevestigd aan de RvB en AC/RvC (bijv. via update van het charter). De RvB of AC/RvC is niet betrokken bij: 1, 2, 3, 4 en 5 (uit de interpretatie in de linkerkolom). De CAE is geconfronteerd met een belemmering in zijn functioneren of met een strijdigheid met het internal auditcharter en/of heeft deze belemmering/strijdigheid niet gemeld bij de CEO en/of4 AC/RvC (waaronder 7. Beperkingen in scope of middelen), zie ook Standaard 1130. De RvB of AC/RvC belemmeren de CAE in het nemen van zijn verantwoordelijkheid door een materiële beperking van de scope of door onvoldoende middelen ter beschikking te stellen. Bij een DNC op Standaard 1110.A1, 1111 of 1112.

 PC:  De AC/RvC is niet betrokken bij het volgende element van de interpretatie in de linker kolom: 6.

3 Er is geen sprake van belemmeringen in de oordeelsvorming van de IAF over de GRC en de werkzaamheden die onder verantwoordelijkheid van de CFO worden uitgevoerd.

De CAE heeft een eigen (escalatie)rapportagelijn naar de CEO en het AC. Het Auditcharter is getekend door de CEO. Het jaarlijks auditplan wordt goedgekeurd door de CEO (en geagendeerd in het AC), De (kritieke) auditrapporten zijn gericht aan de CEO, en (veelal via een samenvattende rapportage) aan het AC. Indien de belemmering op laag niveau in de organisatie heeft plaatsgevonden, volstaat een melding aan de CEO.

9

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD 5. Besluiten met betrekking tot de benoeming en het ontslag van het hoofd van de internal auditfunctie goedkeurt. 6. De beloning van het hoofd van de internal auditfunctie goedkeurt. 7. De juiste informatie opvraagt bij het management en het hoofd van de internal auditfunctie om te bepalen of er ongewenste beperkingen bestaan ten aanzien van de reikwijdte en de middelen. 1110.A1 – De internal auditfunctie moet zonder enige inmenging de reikwijdte van de audits, de uitvoering van de werkzaamheden en de communicatie van de resultaten kunnen bepalen. In het geval van inmenging moet het hoofd van de internal auditfunctie dit melden aan het bestuur en de implicaties ervan bespreken.

NALEVINGSCRITERIA goedkeuren door het bestuur van besluiten over het benoemen of ontslaan van de CAE. I. De functionele rapportering blijkt uit het goedkeuren door het bestuur van de beloning van de CAE. J. De functionele rapportering blijkt uit het inwinnen van de juiste inlichtingen door de auditcommissie over het management en de CAE om te bepalen of de reikwijdte of middelen ongeschikt of beperkt zijn. (1110 en 2020)

Het hoofd van de internal auditfunctie moet rechtstreeks communiceren en samenwerken met het bestuur.



Bij een PC op een van de Standaarden uit de 11xx-categorie.

K. De internal auditfunctie is vrij van inmenging in DNC: het bepalen van de reikwijdte van internal auditing,  De IAF heeft te maken gekregen met een materiële negatieve inmenging en/of heeft deze inmenging niet gemeld aan en de de uitvoering van werkzaamheden en de implicaties niet besproken met de RvB/AC/RvC. communicatie van de resultaten. L. Indien inmenging heeft plaatsgevonden, heeft de  Ingeval van negatieve, belemmerende inmenging van RvB, is deze niet besproken met de voorzitter van het AC. CAE deze inmenging bekendgemaakt aan het bestuur en de gevolgen hiervan besproken.

1111 – Directe interactie met het bestuur

OORDEELSVORMING

A. De CAE communiceert en interacteert rechtstreeks met het bestuur.

10

PC: Kan niet voorkomen. DNC:  Er is gebleken ineffectiviteit en/of afwezigheid van communicatie met de RvB, CEO of AC/RvC.  Er is geen (frequente) aanwezigheid van de IAF in reguliere AC vergaderingen.  Er is geen directe toegang tot de RvB/AC/RvC. PC:

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

A. Wanneer de CAE taken heeft of van hem of haar wordt verwacht rollen en/of verantwoordelijkheden te hebben die buiten Wanneer het hoofd van de internal auditfunctie rollen internal auditing vallen, zijn er waarborgen om en/of verantwoordelijkheden heeft of naar verwachting aantasting van de onafhankelijkheid en objectiviteit gaat krijgen naast internal auditing moeten er te beperken. waarborgen zijn om aantasting van onafhankelijkheid of B. Waarborgen om mogelijke aantasting te objectiviteit te beperken. mitigeren zijn onder meer het periodiek evalueren Interpretatie: van rapporteringslijnen en verantwoordelijkheden. Het hoofd van de internal auditfunctie kan worden C. Waarborgen om mogelijke aantasting aan te gevraagd om additionele rollen en pakken zijn onder meer het ontwikkelen van verantwoordelijkheden buiten internal auditing op zich te alternatieve processen om assurances te nemen, zoals die voor compliance en risicomanagement verkrijgen op de gebieden waar de CAE een activiteiten. Deze rollen en verantwoordelijkheden bijkomende verantwoordelijkheid heeft. kunnen feitelijk of schijnbaar de organisatorische onafhankelijkheid van de internal auditfunctie of de internal auditor persoonlijk aantasten. Waarborgen zijn die toezichtactiviteiten, vaak ingevuld door het bestuur, die deze mogelijke aantasting adresseren en kunnen activiteiten omvatten zoals het periodiek evalueren van de rapportagelijnen en verantwoordelijkheden alsmede het ontwikkelen van alternatieve processen om assurance te verkrijgen over de gebieden van de toegevoegde verantwoordelijkheden. 1112 – Rollen van het hoofd internal audit anders dan internal auditing

11

Er zijn geen frequente en/of gestructureerde vormen van overleg met RvB of AC/RvC, waardoor de relevantie van de IAF vermindert

DNC:  Bij een verantwoordelijkheid van de IAF/CAE voor 1e of 2e lijnsfunctie is geen analyse van impairments (de gevolgen van samenloop) gemaakt en zijn geen of onvoldoende compenserende maatregelen getroffen (zie ter illustratie het standpunt van IIA NL m.b.t. verantwoordelijkheid voor Riskmanagement/Compliance (zie Rapportage ‘hot issues’ i.k.v. Validatie Normenkader door de CVT).  De samenloop van functies (en de daartoe getroffen mitigerende maatregelen) komt onvoldoende tot uiting in het internal auditcharter en is onvoldoende besproken met RvB/AC/RvC.  De samenloop van functies komt onvoldoende tot uitdrukking in de rapportage van de onderzoeken van betreffende activiteiten.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

1120 – Individuele objectiviteit Internal auditors moeten een onpartijdige en onbevooroordeelde houding hebben en elke belangenverstrengeling vermijden.

NALEVINGSCRITERIA

A. Internal auditors hebben een onpartijdige en onbevooroordeelde houding en vermijden elke belangenverstrengeling.

Interpretatie: Belangenverstrengeling is een situatie waarin een internal auditor, die zich in een vertrouwenspositie bevindt, een strijdig beroepsmatig of persoonlijk belang heeft. Zulke strijdige belangen kunnen het voor de internal auditor moeilijk maken om zijn of haar taken onpartijdig te vervullen. Belangenverstrengeling bestaat zelfs indien er geen onethische of ongepaste handelingen uit voortvloeien. Belangenverstrengeling kan een schijn van ongepastheid oproepen waardoor het vertrouwen in de internal auditor, de internal auditfunctie en het beroep kan worden ondermijnd. Belangenverstrengeling kan afbreuk doen aan het vermogen van een individueel persoon om zijn of haar taken en verantwoordelijkheden objectief uit te voeren. 1130 – Aantasting van onafhankelijkheid of objectiviteit In geval van een feitelijke of ogenschijnlijke aantasting van de onafhankelijkheid of objectiviteit, moeten de details daarvan medegedeeld worden aan de relevante betrokkenen. De aard van de mededeling is afhankelijk van de mate van aantasting.

OORDEELSVORMING Deze Standaard hangt nauw samen met de bepalingen in de gedragscode van IIA, NBA en NOREA. Aanpak: In het kwaliteitsonderzoek na te gaan hoe de CAE zich vergewist dat deze belangenverstrengeling niet aan de orde is en de individuele objectiviteit geborgd is. DNC:  Er zijn situaties voorgekomen waarin de schijn gewekt is dat de objectiviteit in gevaar is en/of een partijdige/bevoordeelde houding is aangenomen,. PC: Kan niet voorkomen.

A. Feitelijke of een ogenschijnlijke aantasting van de onafhankelijkheid of de objectiviteit wordt uitvoerig medegedeeld aan de relevante betrokkenen. De aard van die mededeling is afhankelijk van de mate van aantasting.

12

DNC:  De belangenverstrengeling is 1 keer veronachtzaamd waarbij er geen passende actie is genomen.  De belangenverstrengeling is meer dan 1 keer veronachtzaamd (terwijl er passende actie is genomen).  Er zijn materiële belemmeringen opgelegd waarbij geen melding aan RvB en/of AC/RvC is gedaan. Wat betreft de ernst van de aantasting geldt dat gegeven de huidige tijdgeest elke aantasting

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

Interpretatie: Aantasting van de onafhankelijkheid binnen de organisatie en de individuele objectiviteit kunnen, maar blijft niet beperkt tot, persoonlijke belangenverstrengeling, beperkingen in de reikwijdte, beperkingen in toegang tot documenten, personeel en bedrijfsmiddelen, alsmede beperkingen in beschikbare middelen, zoals financiering omvatten.

OORDEELSVORMING

  

De vraag wie de relevante betrokkenen zijn en aan wie de details van een aantasting van de onafhankelijkheid of objectiviteit moeten worden gemeld, is afhankelijk van de verwachtingen ten aanzien van de internal auditfunctie en van de verantwoordelijkheid van het hoofd van de internal auditfunctie ten opzichte van het senior management en het bestuur zoals omschreven in het internal auditcharter, alsmede de aard van de aantasting.

gemeld dient te worden. Er is niet tijdig (namelijk z.s.m.) melding gemaakt van de aantasting. De aantasting is wel gemeld, maar niet de aard en mogelijke impact. Er is geen afweging gemaakt wat de impact is op het fungeren van de IAF, laat staan dat deze impact gemeld is met de relevante betrokkenen.

PC:  PC kan alleen voortkomen uit PC op de onderliggende Standaarden 1130 A1/A2, C1/C2.

B. Internal auditors zien af van de beoordeling van specifieke operationele activiteiten waarvoor zij in het verleden zelf verantwoordelijk waren. De objectiviteit wordt verondersteld te zijn aangetast wanneer de internal auditor assurancediensten uitvoert op een activiteit waarvoor de auditor in het voorafgaande jaar verantwoordelijk was. (1130.A1) 1130.A2 – Audits ten aanzien van functies waarvoor het C. Assuranceopdrachten voor functies waarvoor hoofd van de internal auditfunctie verantwoordelijk is, de CAE verantwoordelijk is, staan onder toezicht moeten onder leiding staan van iemand die geen deel 1130.A1 – Internal auditors moeten afzien van de beoordeling van specifieke operationele activiteiten waarvoor zij in het verleden zelf verantwoordelijk waren. De objectiviteit wordt verondersteld te zijn aangetast wanneer een internal auditor audits uitvoert op een activiteit waarvoor de auditor in het voorafgaande jaar verantwoordelijk was.

13

DNC:  Een medewerker van de IAF bevindt zich in een situatie zoals beschreven in de Standaard.  Bij interne roulatie binnen de organisatie wordt de CAE of internal auditmedewerker vanuit een ander bedrijfsonderdeel aangesteld en er zijn geen passende compenserende maatregelen genomen of die zijn niet duidelijk omschreven.  Er wordt een assuranceopdracht uitgevoerd bij een onderdeel waar de CAE minder dan 1 jaar geleden voor verantwoordelijk was en de opdracht wordt niet gemanaged door een geëigende

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

uitmaakt van de internal auditfunctie.

van iemand die geen deel uitmaakt van de internal organisatie buiten de IAF (bijv. external auditor). auditfunctie. (1130.A2) 1130.A3 – De internal auditfunctie mag PC: auditwerkzaamheden bieden in gevallen waarin eerdere D. Wanneer de internal auditfunctie assurancediensten levert op gebieden waar in het  Met instemming van de hoogste leiding (RvB/CEO) voorafgaand adviesdiensten zijn geboden, mits de aard van het aan de uitvoering van de opdracht is een individuele medewerker advies de objectiviteit niet belemmert en de individuele verleden adviesdiensten werden verleend, heeft de aard van de adviesdiensten de objectiviteit niet betrokken bij een assuranceopdracht van specifieke objectiviteit wordt bewaakt bij het toekennen van de aangetast. (1130.A3) operationele activiteiten (binnen een jaar) waarvoor hij in het middelen aan de opdracht. E. De individuele objectiviteit blijft in stand bij het verleden verantwoordelijk was en is niet aangegeven welke toekennen van middelen aan mitigerende maatregelen er getroffen zijn. assuranceopdrachten op gebieden waar in het  In de rapportage over een dergelijke opdracht is geen aandacht verleden adviesdienst zijn geleverd. (1130.A3) besteed aan de bijzondere omstandigheid en is niet aangegeven welke mitigerende maatregelen er getroffen zijn. F. Indien de onafhankelijkheid en objectiviteit van 1130.C1 – Internal auditors kunnen adviesdiensten verlenen voor de operationele activiteiten waarvoor zij in de internal auditors met betrekking tot de voorgestelde adviesdiensten mogelijk is het verleden verantwoordelijk waren. aangetast, wordt dit bekendgemaakt aan de 1130.C2 – Indien de onafhankelijkheid of objectiviteit opdrachtgever alvorens de opdracht te van de internal auditors met betrekking tot de aanvaarden. (1130.C2) voorgestelde adviesdiensten mogelijk is aangetast, moeten zij dit bekend maken aan de opdrachtgever alvorens de opdracht te aanvaarden.

DNC:  In de opdrachtbespreking of -omschrijving is geen aandacht besteed aan de verantwoordelijkheid die de auditor in het verleden had voor dit onderdeel en de daaruit voortvloeiende beperkingen.

1200 – Vakbekwaamheid en beroepsmatige zorgvuldigheid

DNC:  Bij een DNC voor Standaard 1210 en/of 1220.

De opdrachten moeten met vakbekwaamheid en beroepsmatige zorgvuldigheid worden uitgevoerd.

A. De opdrachten moeten met vakbekwaamheid en beroepsmatige zorgvuldigheid worden uitgevoerd.

14

PC:  In de rapportage is geen aandacht besteed aan de verantwoordelijkheid die de auditor tot voor kort had voor dit onderdeel.

PC:  Bij een PC voor Standaard 1210 en/of 1220.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

Bij een DNC voor Standaard 1230.

GC:  Bij een PC voor Standaard 1230, rest GC.  Standaard 1230 weegt het minst zwaar. Kader:  Uitgaande van de bedrijfstypologie, de IT-omgeving/het niveau Internal auditors moeten beschikken over de kennis, van digitalisering van het bedrijf en de missie/visie/ambitie, heeft vaardigheden en overige competenties, die benodigd de CAE een visie ontwikkeld over welke mix aan kennis/ zijn om voor het uitvoeren van hun individuele vaardigheden/ competenties en ervaring de afdeling wil kunnen verantwoordelijkheid. De internal auditfunctie als geheel B. De internal auditfunctie als geheel bezit de beschikken. Dus ook een keuze wat men extern (tijdelijk) wil moet kennis, vaardigheden en overige competenties, kennis, vaardigheden en overige competenties, die inhuren. die benodigd zijn om haar verantwoordelijkheden te benodigd zijn om haar verantwoordelijkheden te  Functieomschrijvingen, met daarin de kerncompetenties ten nemen, bezitten of verkrijgen. nemen, of heeft deze verkregen. aanzien van auditing, zijn aanwezig. Interpretatie: C. Internal auditors worden aangemoedigd om hun  Er wordt aan auditmedewerkers de ruimte geboden zich te Vakbekwaamheid is een overkoepelende term die vakbekwaamheid aan te tonen door het behalen ontwikkelen. verwijst naar de kennis, vaardigheden en overige van vakinhoudelijke certificaten en kwalificaties, competenties waarover internal auditors moeten zoals de titel CIA en andere titels die aangeboden DNC: beschikken om hun professionele worden door het IIA en andere relevante  Er wordt niet voldaan aan de hierboven onder ‘het kader’ gestelde verantwoordelijkheden doeltreffend uit te voeren. Het beroepsverenigingen. voorwaarden. omvat aandacht voor lopende activiteiten, trends en  Bij meer dan één opdracht wordt een gebrek aan kennis en kunde nieuwe ontwikkelingen, om relevant advies en relevante geconstateerd, (bijv. in de managementreacties op het rapport of aanbevelingen mogelijk te maken. Internal auditors in evaluaties). worden gestimuleerd om hun vakbekwaamheid aan te  Het niet of onvoldoende beschikken (zelf of via inhuur) over kennis tonen door het behalen van vakinhoudelijke certificaten en kunde heeft geleid tot beperkingen in het auditjaarplan (t.o.v. en kwalificaties zoals de titel van Certified Internal de scope zoals vastgesteld in het internal auditcharter). Auditor en andere titels die aangeboden worden door  Bij een DNC op Standaard 1210.A1-A3 of 1210.C1. het Instituut van Internal Auditors en andere relevante 1210 – Vakbekwaamheid

A. Internal auditors beschikken over de kennis, vaardigheden en overige competenties die benodigd zijn voor de uitvoering van hun individuele verantwoordelijkheid.

15

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

beroepsverenigingen. PC:  Er zijn lacunes ten opzichte van het kader vastgesteld, maar er heeft nog geen tijdige/passende actie plaatsgevonden.  Bij een PC op Standaard 1210 A1-A3 of 1210.C1. D. De CAE heeft deskundig advies ingewonnen en DNC:  In de methodologie en uitvoering wordt geen aandacht zich laten bijstaan indien het de internal auditors geschonken aan de beschikbaarheid van voldoende kennis en ontbreekt aan kennis, vaardigheden of andere kunde van de auditafdeling in relatie tot de uit te voeren bekwaamheden die benodigd zijn om de gehele opdrachten. opdracht of een gedeelte daarvan uit te voeren.  Er wordt geen aandacht geschonken aan kennis en kunde op het (1210.A1) 1210.A2 – Internal auditors moeten over voldoende gebied van fraude. kennis beschikken om frauderisico’s en de manier E. Internal auditors hebben voldoende kennis om  Er wordt geen actie ondernomen bij gebrek aan kennis of kunde. waarop die risico’s beheerst worden door de organisatie frauderisico’s en de manier waarop die risico’s  Er zijn opdrachten aanvaard en uitgevoerd waarvoor de IAF te beoordelen. Er wordt van hen echter niet verwacht beheerst worden door de organisatie te aantoonbaar niet over de juiste kennis, ervaring of vaardigheden dat zij de expertise bezitten van een persoon wiens beoordelen. (1210.A2) beschikt. voornaamste verantwoordelijkheid het ontdekken en  Er wordt geen competent advies en/of assistentie gezocht ingeval onderzoeken van fraude is. er intern lacunes zijn in de vaardigeden, kennis of ervaring. 1210.A1 – Het hoofd van de internal auditfunctie moet deskundig advies en bijstand inhuren, indien het de internal auditors ontbreekt aan de kennis, vaardigheden of overige competenties die benodigd zijn om de gehele opdracht of een gedeelte daarvan uit te voeren.

PC:  Er zijn incidentele problemen in de uitvoering die het gevolg zijn van tijdelijk onvoldoende kennis of kunde.

16

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

1210.A3 – Internal auditors moeten over voldoende kennis beschikken van de belangrijkste informatietechnologische risico’s en beheersmaatregelen en van beschikbare geautomatiseerde audittechnieken om de hen toegewezen werkzaamheden uit te voeren. Er wordt echter niet van alle internal auditors verwacht dat zij de expertise bezitten van een internal auditor wiens voornaamste verantwoordelijkheid de audit van informatietechnologie is.

F. Internal auditors bezitten voldoende kennis van de belangrijkste informatietechnologische risico’s en beheersmaatregelen en van beschikbare geautomatiseerde audittechnieken om de hen toegewezen werkzaamheden uit te voeren. Van niet alle internal auditors wordt verwacht dat zij expertise van de audit van informatietechnologie bezitten.

1210.C1 – Het hoofd van de internal auditfunctie moet de adviesopdracht afwijzen of deskundig advies en bijstand inhuren, indien het de internal auditors ontbreekt aan de kennis, vaardigheden of overige competenties die nodig zijn om de gehele opdracht of een gedeelte ervan uit te voeren.

G. De CAE heeft adviesopdrachten afgewezen of deskundig advies ingewonnen dan wel zich laten bijstaan, indien het de internal auditors ontbreekt aan de kennis, vaardigheden of overige competenties die benodigd zijn om de gehele opdracht of een gedeelte daarvan uit te voeren.

OORDEELSVORMING DNC:  Er is onvoldoende IT (audit) kennis waardoor ook geen

inschatting van de risico’s en beheersmaatregelen gemaakt kan worden. 

Er is geen/onvoldoende kennis over de mogelijkheden van beschikbare IT based/geautomatiseerde audittechnieken. (waarbij ook geen actie is ondernomen) PC:  Er is nog onvoldoende IT-kennis, maar er is passende en gerichte actie ondernomen en onderhanden.  In individuele opdrachten blijkt dat op sommige onderdelen de ITkennis van de medewerkers van de IAF niet toereikend is.  Er wordt geen actie ondernomen bij een incidenteel gebrek aan ITkennis. DNC:  Eén of meerdere adviesopdrachten zijn uitgevoerd door de IAF waarbij de IAF aantoonbaar niet over de juiste kennis, ervaring of vaardigheden beschikt en dit gemis is ook niet voldoende gecompenseerd door de inhuur van de noodzakelijke kennis. PC: Kan niet voorkomen.

A. Internal auditors voeren hun werkzaamheden uit met de zorg en kunde die van een verstandige Internal auditors moeten hun werkzaamheden uitvoeren en bekwame internal auditor verwacht worden. met de zorg en vakmanschap die van een verstandige en bekwame internal auditor verwacht worden. 1220 – Beroepsmatige zorgvuldigheid

17

Zie Standaard 1220.A1-A3 en 1220.C1. DNC:  Bij een DNC op Standaard 1220.A1-A3 of 1220.C1.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

Beroepsmatige zorgvuldigheid houdt geen onfeilbaarheid in. 1220.A1 – De internal auditor moet met professionele zorgvuldigheid te werk gaan door rekening te houden met:  De omvang van de werkzaamheden die nodig zijn voor het realiseren van de doelstellingen van de opdracht.  De relatieve complexiteit, de materialiteit of het belang van de onderwerpen waarop de auditwerkzaamheden uitgevoerd worden.  De toepasselijkheid en doeltreffendheid van de processen van governance, risicomanagement en beheersing.  De waarschijnlijkheid van belangrijke fouten, fraude of niet-naleving van wet- en regelgeving, beleid en procedures.  De kosten van verhoogde zekerheid tegenover de mogelijke baten. 1220.A2 – Beroepsmatige zorgvuldigheid houdt in dat internal auditors het gebruik van geautomatiseerde audithulpmiddelen en andere gegevensanalysetechnieken moeten overwegen. 1220.A3 – Internal auditors moeten bedacht zijn op belangrijke risico's die de doelstellingen, de operationele activiteiten en de middelen kunnen beïnvloeden.

OORDEELSVORMING PC:  Bij een PC op Standaard 1220.A1-A3 of 1220.C1.

B. Internal auditors handelen met beroepsmatige zorgvuldigheid door rekening te houden met de omvang van de werkzaamheden die nodig zijn voor het realiseren van de doelstellingen van de opdracht. (1220.A1) C. Internal auditors handelen met beroepsberoepsmatige zorgvuldigheid door rekening te houden met de relatieve complexiteit, de materialiteit of het belang van de onderwerpen waarover assurance wordt verleend. (1220.A1) D. Internal auditors handelen met beroepsmatige zorgvuldigheid door rekening te houden met de toepasselijkheid en doeltreffendheid van de processen van governance, risicomanagement en beheersing. (1220.A1) E. Internal auditors handelen met beroepsmatige zorgvuldigheid door rekening te houden met de waarschijnlijkheid van belangrijke fouten, fraude of niet-naleving. (1220.A1) F. Internal auditors handelen met beroepsmatige zorgvuldigheid door rekening te houden met de kosten van assurance afgezet tegen de mogelijke baten. (1220.A1)

18

DNC:  Uit de auditmethodologie en/of dossiers is niet te herleiden dat de aspecten genoemd in de Standaard met voldoende diepgang meegenomen worden.  Er is sprake van onevenredig hoge auditkosten in relatie tot het onderzoeksdoel, tenzij de opdrachtgever hier bewust voor heeft gekozen. (1220.A1 – laatste bullet).  Bij de uitvoering van audits is in niet overwogen om auditsoftware/geautomatiseerde audit technieken in te zetten (1220.A2). PC:  Er is niet met alle relevante aspecten rekening gehouden.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

Auditprocedures alleen garanderen echter niet dat alle belangrijke risico's zullen worden onderkend, zelfs niet wanneer ze worden uitgevoerd met beroepsmatige zorgvuldigheid.

G. Internal auditors overwegen het inzetten van geautomatiseerde audithulpmiddelen en andere data-analysetechnieken. (1220.A2) H. De internal auditors zijn bedacht op belangrijke risico's die de doelstellingen, de operationele activiteiten en de middelen kunnen beïnvloeden. (1220.A3)

1220.C1 – De internal auditor moet tijdens een adviesopdracht met beroepsmatige zorgvuldigheid te werk gaan door rekening te houden met:

I. De internal auditors handelen tijdens een adviesopdracht met beroepsmatige zorgvuldigheid door rekening te houden met de behoeften en verwachtingen van de opdrachtgevers, met inbegrip van de aard, de timing en de communicatie van de resultaten van de opdracht. J. De internal auditors handelen tijdens een adviesopdracht met beroepsmatige zorgvuldigheid door rekening te houden met relatieve complexiteit en de omvang van de werkzaamheden die nodig zijn voor het realiseren van de doelstellingen van de opdracht. K. De internal auditors handelen tijdens een adviesopdracht met beroepsmatige zorgvuldigheid door rekening te houden met de kosten van de adviesopdracht afgezet tegen de mogelijke baten.

 De behoeften en verwachtingen van opdrachtgevers, inclusief de aard, de tijdsplanning en de communicatie van de resultaten van de opdracht.  De betrekkelijke complexiteit en de omvang van de werkzaamheden die nodig zijn voor het realiseren van de doelstellingen van de opdracht.  De kosten van de adviesopdracht, afgezet tegen de mogelijke baten.

19

OORDEELSVORMING

DNC:  Er worden meerdere opdrachten uitgevoerd die niet passen binnen de behoeften/verwachtingen, zoals aangegeven door de opdrachtgever.  De afgesproken tijdspaden worden niet nagekomen en er is geen of onvoldoende communicatie.  Er is sprake van onderschatting van opdrachten, waardoor uitvoering ernstig tekortschiet, wat verwijtbaar is aan de IAF vanwege de verkeerde inschatting.  Er is sprake van onevenredig hoge kosten in relatie tot het doel, tenzij de opdrachtgever hier bewust voor heeft gekozen. PC:  Bij één opdracht heeft zich dezelfde situatie voorgedaan als bij DNC en bij andere adviesopdrachten niet.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

1230 – Voortdurende vaktechnische ontwikkeling Internal auditors moeten hun kennis, vaardigheden en overige competenties verbeteren via voortdurende vaktechnische ontwikkeling.

NALEVINGSCRITERIA

A. Internal auditors verbeteren hun kennis, vaardigheden en overige competenties via voortdurende vaktechnische ontwikkeling.

OORDEELSVORMING DNC:  Eén of meerdere medewerkers van de IAF heeft/hebben structureel niet aan de PE-verplichting voldaan van de beroepsorganisatie waar zij onderdeel van zijn (is indicator dat proces niet goed werkt).  Er is geen beleid ten aanzien van opleiding en ontwikkeling aanwezig binnen de IAF.  Er is beleid, maar niet afgestemd op en voortvloeiend uit de afdelingsvisie.  In het beleid wordt geen aandacht geschonken aan de onderwerpen IT en fraude/ gedrag en cultuur.  In het beleid wordt geen aandacht geschonken aan de benodigde specifieke bedrijfskennis én sectorkennis.  Er is wel beleid maar geen effectuering. PC:  Eén of meerdere medewerkers voldoen incidenteel, vanwege valide redenen, niet aan de PE-verplichting.  De IAF voert geen structurele monitoring uit op de gevolgde opleidingen van de medewerkers t.o.v. het beleid (zie ook Standaard 1210) en de individuele opleidingsplannen.  De CAE heeft zich niet overtuigd dat medewerkers hebben voldaan aan de PE-verplichting.

1300 – Programma voor kwaliteitsbewaking en verbetering Het hoofd van de internal auditfunctie moet een

A. De CAE heeft een QAIP ontwikkeld dat alle aspecten van de internal auditfunctie bestrijkt en houdt dit programma in stand. 20

Kader: voor een uitgebreide toelichting wordt verwezen naar de Practice Guide Quality Assurance and Improvement Program (QAIP). Alle nalevingscriteria bij 1300 komen terug in de criteria bij de

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

programma voor kwaliteitsbewaking en -verbetering ontwikkelen en in stand houden, dat alle aspecten van de internal auditfunctie omvat.

B. Het QAIP is ontworpen om een evaluatie van de hieronder liggende standaarden. Zodoende is slechts sprake van een ‘roll up’. naleving van de Standaarden door de internal auditfunctie mogelijk te maken. Roll up: Interpretatie: C. Het QAIP is ontworpen om een evaluatie van de  De rating wordt bepaald door de “roll up” van de onderstaande Een programma voor kwaliteitsbewaking en -verbetering naleving van de gedragscode door de internal Standaarden (1310, waaronder 131 en 1312, en 1320), waarbij is ontworpen om een beoordeling van de naleving door auditors mogelijk te maken. geldt dat de zwakste schakel het oordeel bepaalt. de internal auditfunctie van de Standaarden en een D. Op grond van QAIP worden ook de evaluatie van de naleving door de internal auditors van doelmatigheid en doeltreffendheid van de internal de gedragscode mogelijk te maken. Op grond van het auditfunctie beoordeeld en worden de programma moeten ook de efficiëntie en effectiviteit van mogelijkheden voor verbetering geïdentificeerd. de internal auditfunctie worden beoordeeld en de mogelijkheden voor verbetering worden geïdentificeerd. E. De CAE moedigt toezicht door het bestuur op het QAIP aan. Het hoofd van de internal auditfunctie dient toezicht door het bestuur op het programma voor kwaliteitsbewaking en -verbetering aan te moedigen. 1310 – Vereisten voor het programma voor kwaliteitsbewaking en -verbetering

A. Het QAIP omvat zowel interne als externe evaluaties.

Het programma voor kwaliteitsbewaking en -verbetering moet zowel interne als externe evaluaties omvatten.

21

Roll up naar 1310: DNC:  Het programma omvat geen interne én externe evaluaties.  Bij een DNC op Standaard 1311 en/of 1312. PC:  Bij een PC op Standaard 1311 en/of 1312. GC:  Bij een GC op Standaard 1311 en 1312.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

1) Voortdurende bewaking van de audit: (Zie Implementatierichtlijn 1311 voor voorbeelden van een adequate Interne evaluaties moeten onder meer het volgende invulling.) omvatten: B. Voortdurende bewaking is opgenomen in het Opzet ontbreekt, maar er wordt volledig en stelselmatig bewaakt dagelijks beleid. Daarbij wordt gebruikgemaakt van   Voortdurende bewaking van de werkzaamheden ➔ GC (met een aanbeveling). de processen, hulpmiddelen en informatie die van de internal auditfunctie. nodig zijn om de naleving van de gedragscode en  Opzet aanwezig, maar niet stelselmatig toegepast  Periodieke beoordelingen uitgevoerd door ➔ PC. de Standaarden te evalueren. zelfevaluaties of door andere personen binnen 5de  Opzet aanwezig, maar niet toegepast C. Aantoonbaar is dat er periodieke evaluaties organisatie met voldoende kennis van de praktijk ➔ DNC. worden uitgevoerd om de naleving van de van internal auditing. gedragscode en de Standaarden te toetsen. Interpretatie: 2) Periodieke (tenminste jaarlijks) beoordelingen: Continue monitoring is een integraal onderdeel van de D. Periodieke evaluaties worden uitgevoerd door (Zie Implementatierichtlijn 1311 voor voorbeelden van een adequate dagelijkse leiding, beoordeling en meting van de internal personen met inzicht in alle onderdelen van het invulling.) auditfunctie. Voortdurend toezicht is opgenomen in het IPPF.  Opzet ontbreekt, maar er wordt volledig en stelselmatig dagelijks beleid en wordt gebruikt om de internal beoordeeld ➔ GC (met een aanbeveling). auditfunctie aan te sturen. Daarbij wordt  Opzet aanwezig, maar niet stelselmatig toegepast gebruikgemaakt van de processen, hulpmiddelen en ➔ PC. informatie die nodig zijn om de naleving van de  Opzet aanwezig, maar niet toegepast gedragscode en de Standaarden te evalueren. ➔ DNC. Er moeten periodieke beoordelingen worden verricht om te beoordelen of de gedragscode en de Standaarden Roll Up: worden nageleefd. Uitgangspunt: 1) en 2) tellen even zwaar. Voldoende kennis van de praktijk van internal auditing vereist ten minste een begrip van alle elementen van DNC: het internationale raamwerk voor de 1311 – Interne evaluaties

A. Aantoonbaar is dat de werkzaamheden van de internal auditfunctie voortdurend worden bewaakt.

5

De periodieke beoordeling kan ook worden uitgevoerd door een deskundige van buiten de organisatie. Zo kunnen bijvoorbeeld bundelen kleine organisaties zich organiseren om bij elkaar periodieke QAIP reviews uit te voeren.

22

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

beroepsuitoefening.

OORDEELSVORMING 

Bij ontbreken van 1) en/of 2).

PC:  Bij een PC van 1) én 2) of bij een PC van 1) óf 2), met GC van 1) of 2). 1312 – Externe evaluaties Externe evaluaties moeten minstens eenmaal in de vijf jaar worden uitgevoerd door een ter zake gekwalificeerd en onafhankelijk persoon of team van buiten de organisatie. Het hoofd van de internal auditfunctie moet de volgende punten bespreken met het bestuur:

A. Aantoonbaar is dat in de afgelopen vijf jaar een externe evaluatie is uitgevoerd. B. De externe evaluatie is uitgevoerd door een ter zake gekwalificeerd en onafhankelijk persoon of team van buiten de organisatie.

DNC:  Na 5 jaar is de externe evaluatie niet afgerond.  De externe evaluatie is niet volgens de reglementen van het IIA uitgevoerd.  Er is geen afstemming vooraf met bestuur over vorm van de evaluatie en onafhankelijkheid van de toetser.

C. De externe beoordelaar of het beoordelingsteam heeft geconcludeerd dat de gedragscode en de  De vorm en de frequentie van externe evaluatie; PC: Standaarden worden nageleefd.  De kwalificaties en onafhankelijkheid van de externe  De externe evaluatie is later dan 5 jaar, maar binnen 6 jaar D. De externe beoordelaar of het beoordelingsteam toetser of het toetsingsteam, inclusief potentiële afgerond. is aantoonbaar vakbekwaam op het gebied van de belangenverstrengeling. beroepsuitoefening van internal auditing en het Interpretatie: Externe evaluaties kunnen worden verricht op basis van externe evaluatieproces. een volledige externe evaluatie of aan de hand van een zelfbeoordeling, aangevuld met onafhankelijke een externe validatie. De externe toetser moet bepalen of de gedragscode en de Standaarden worden nageleefd; de externe evaluaties kunnen ook operationele of strategische opmerkingen omvatten.

E. Aantoonbaar is dat de CAE de vorm en frequentie van de externe evaluatie met het bestuur heeft besproken. F. Aantoonbaar is dat de CAE de kwalificaties en onafhankelijkheid van de externe beoordelaar of het beoordelingsteam, waaronder mogelijke belangenverstrengeling, met het bestuur heeft besproken.

Een gekwalificeerde toetser of een gekwalificeerd toetsingsteam geeft op de volgende twee vlakken blijk van bekwaamheid: de professionele praktijk van internal G. De onafhankelijke beoordelaar of het

23

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

auditing en het externe evaluatieproces. De bekwaamheid kan worden aangetoond aan de hand van een mix van ervaring en theoretische kennis. Ervaring die is opgedaan bij organisaties van vergelijkbare omvang en complexiteit, in vergelijkbare sectoren of industrieën of bij vergelijkbare technische aangelegenheden is hierbij waardevoller dan minder relevante ervaring. In het geval van een toetsingsteam hoeven niet alle leden van het team over alle competenties te beschikken; het is het team als geheel dat gekwalificeerd moet zijn. Het hoofd van de internal auditfunctie gebruikt zijn professional judgement bij de afweging of een toetser of toetsingsteam beschikt over voldoende bekwaamheid om gekwalificeerd te zijn.

beoordelingsteam heeft geen echte of schijnbare belangenverstrengeling met de organisatie waartoe de internal auditfunctie behoort. Ze maken geen deel uit, en staan niet onder de zeggenschap, van de organisatie.

OORDEELSVORMING

H. De CAE moedigt toezicht door het bestuur bij de externe evaluatie aan, zulks ter vermindering van de schijn van belangenverstrengeling of van potentiële belangenverstrengeling.

Een onafhankelijke toetser of een onafhankelijk toetsingsteam betekent dat er geen echte of schijnbare belangenverstrengeling bestaat en dat men geen deel uitmaakt van, of onder invloed staat van, de organisatie waartoe de internal auditfunctie behoort. Het hoofd van de internal auditfunctie dient toezicht door het bestuur bij de externe evaluatie aan te moedigen, zulks ter vermindering van de schijn van belangenverstrengeling of van potentiële belangenconflicten. 1320 – Rapportering over het programma voor kwaliteitsbewaking en –verbetering Het hoofd van de internal auditfunctie moet de uitkomsten van het programma voor kwaliteitsbewaking

A. Aantoonbaar is dat de CAE de uitkomsten van het QAIP aan het senior management en het bestuur heeft gecommuniceerd. Communicatie omvat de reikwijdte en frequentie van zowel de 24

DNC:  De CAE heeft de uitkomsten van de externe evaluatie niet aantoonbaar besproken met RvB/AC/RvC.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD en -verbetering communiceren met het senior management en het bestuur. De bekendmaking dient het volgende te omvatten:  De reikwijdte en de frequentie van zowel de interne als externe evaluaties.  De kwalificaties en de onafhankelijkheid van de toetser(s) of het toetsingsteam, inclusief potentiële belangenconflicten.  De conclusies van de toetsers.  Overeengekomen actieplannen. Interpretatie: De vorm, inhoud en frequentie van de communicatie van de resultaten van het programma voor kwaliteitsbewaking en -verbetering worden vastgesteld op basis van gesprekken met het senior management en het bestuur. Hierbij worden de verantwoordelijkheden van de internal auditfunctie en het hoofd van de internal auditfunctie zoals omschreven in het internal auditcharter betrokken. Om de naleving van de gedragscode en de Standaarden aan te tonen, worden de resultaten van de externe en periodieke interne evaluaties gecommuniceerd bij de afronding van een dergelijke evaluatie en worden de resultaten van de voortdurende monitoring minstens eenmaal per jaar gecommuniceerd. De resultaten bevatten ook de conclusies van de toetsertoetser of het toetsingsteam met betrekking tot het niveau van naleving.

NALEVINGSCRITERIA interne als externe evaluaties.

OORDEELSVORMING 

De CAE heeft actieplannen met corrigerende maatregelen niet aantoonbaar gecommuniceerd aan RvB/AC/RvC. De follow-up op de gevonden verbeterpunten is niet gedaan.

B. Aantoonbaar is dat de CAE de uitkomsten van  het QAIP aan het senior management en het bestuur heeft gecommuniceerd. Bekendmaking PC: omvat de kwalificaties en de onafhankelijkheid van  De CAE heeft de verwachtingen van RvB/AC/RvC ten aanzien van de beoordelaar(s) of het beoordelingsteam, dit onderwerp niet met hen afgestemd. inclusief potentiële belangenconflicten.  Er is niet conform de afgestemde verwachtingen aan de RvB/AC C. Aantoonbaar is dat de CAE de uitkomsten van gerapporteerd. het QAIP aan het senior management en het  Afspraken over de verwachtingen van RvB/AC/RvC zouden weer bestuur heeft gecommuniceerd. Bekendmaking geactualiseerd moeten worden, door o.a. wijzigingen in de omvat de conclusies van de beoordelaars. samenstelling van RvB/AC/RvC, wet- en regelgeving (DNB: D. Aantoonbaar is dat de CAE de uitkomsten van effectiviteit van Auditdiensten) en/of verstrijken van de tijd. het QAIP aan het senior management en het bestuur heeft gecommuniceerd. Bekendmaking Noot: indien AC aangegeven zou hebben geen interesse te hebben in omvat actieplannen met corrigerende maatregelen. de rapportage, dan dient dat wel in het gesprek met de voorzitter van de AC geverifieerd te worden (en worden opgenomen als punt in de E. Aantoonbaar is dat de CEA de resultaten van rapportage). het voortdurend toezicht jaarlijks aan het senior management en het bestuur heeft gecommuniceerd. De resultaten bevatten ook de conclusies van de beoordelaar of het beoordelingsteam met betrekking tot het niveau van naleving. F. Aantoonbaar is dat de CEA de resultaten van de periodieke interne evaluatie jaarlijks aan het senior management en het bestuur heeft gecommuniceerd. De resultaten bevatten ook de conclusies van de beoordelaar of het

25

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

beoordelingsteam met betrekking tot het niveau van naleving. G. Aantoonbaar is dat de CEA de resultaten van de externe evaluatie jaarlijks aan het senior management en het bestuur heeft gecommuniceerd. De resultaten bevatten ook de conclusies van de externe beoordelaar of het beoordelingsteam met betrekking tot het niveau van naleving. H. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over de naleving van de gedragscode en de Standaarden en actieplannen om alle belangrijke nalevingskwesties aan te pakken. (1320, 2060) 1321 – Gebruik van de term 'In overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing'

A. Vermelden dat de internal auditfunctie voldoet aan de Standaarden wordt ondersteund door de uitkomsten van het QAIP.

Het hoofd van de internal auditfunctie mag alleen vermelden dat de internal auditfunctie voldoet aan de internationale Standaarden voor de beroepsuitoefening van internal auditing als de resultaten van het programma voor kwaliteitsbewaking en -verbetering deze verklaring ondersteunen.

Kader: Zie ook Standaard 2430. Algemeen: Veelal niet van toepassing omdat in de Nederlandse internal auditwereld de passage vrijwel niet wordt opgenomen. DNC:  De genoemde zin is ten onrechte gebruikt in auditrapportages.

Interpretatie: De internal auditfunctie voldoet aan de gedragscode en de Standaarden indien de daarin beschreven 26

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

uitkomsten zijn gerealiseerd. De resultaten van het programma voor kwaliteitsbewaking en -verbetering omvatten zowel interne als externe evaluaties. Alle activiteiten met betrekking tot internal auditing hebben de resultaten van interne evaluaties. Activiteiten met betrekking tot internal auditing die reeds vijf jaar bestaan, omvatten ook resultaten van externe evaluaties. 1322 – Melding van niet-naleving Wanneer de niet-naleving van de definitie van internal audit, de gedragscode of de Standaarden de algehele reikwijdte of de werking van de internal auditfunctie beïnvloedt, moet het hoofd van de internal auditfunctie de niet-naleving en de gevolgen daarvan melden aan het senior management en het bestuur.

A. Aantoonbaar is dat wanneer het niet naleven van de definitie van internal auditing, de gedragscode of de Standaarden de reikwijdte of de werking van de internal auditfunctie beïnvloedt, de CAE de niet-naleving en de gevolgen daarvan aan het senior management en het bestuur heeft bekendgemaakt.

Maak onderscheid tussen wel voldoen (en dan speelt Standaard 1321) en niet voldoen (Standaard 1322). In het laatste geval dient dat gemeld te worden. Zie voor deze Standaard ook de link met Standaard 1311. DNC:  Er wordt niet voldaan aan de Standaarden (incl. gedragscode), waardoor de reikwijdte of de werking van de internal auditfunctie ernstig wordt beïnvloed en dit wordt niet vermeld. PC:  Er wordt niet voldaan aan enkele Standaarden, waardoor de reikwijdte of de werking van de internal auditfunctie ten dele wordt beïnvloed en dit wordt niet gemeld.

27

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD 2000 – Management van de internal auditfunctie Het hoofd van de internal auditfunctie moet de internal auditfunctie doeltreffend aansturen, zodat deze meerwaarde biedt aan de organisatie. Interpretatie: De internal auditfunctie wordt doeltreffend bestuurd wanneer:  De resultaten in overeenstemming zijn met het doel en de verantwoordelijkheid, zoals opgenomen in het internal auditcharter.  De internal auditfunctie voldoet aan de Standaarden.  De individuele teamleden de gedragscode en de Standaarden naleven.  Alle trends en nieuwe ontwikkelingen worden overwogen, die effect zouden kunnen hebben op de organisatie. De internal auditfunctie voegt waarde toe aan de organisatie en haar belanghebbenden door rekening te houden met strategie, doelstellingen en risico's; ernaar wordt gestreefd manieren te vinden om het bestuur, het risicomanagement en de controleprocedures te verbeteren en op objectieve wijze relevante assurance wordt geboden.

NALEVINGSCRITERIA

OORDEELSVORMING

A. De internal auditfunctie wordt doeltreffend bestuurd wanneer de resultaten van de internal auditfunctie aantoonbaar het doel en de verantwoordelijkheid realiseren zoals opgenomen in het internal auditcharter.

DNC:  Bij een DNC op 2010.  Bij meer dan één DNC op Standaarden 2020, 2030, 2040, 2050, 2060 en 2070.

B. De internal auditfunctie wordt doeltreffend bestuurd wanneer de internal auditfunctie de Standaarden aantoonbaar naleeft.

PC:  Bij een DNC op één van de Standaarden2020, 2030, 2040, 2050, 2060 en 2070.  Bij meer dan één PC op Standaarden 2010, 2020, 2030, 2040, 2050, 2060 en 2070.

C. De internal auditfunctie wordt doeltreffend bestuurd wanneer de personen die deel uitmaken van de internal auditfunctie de gedragscode aantoonbaar naleven. D. De internal auditfunctie wordt doeltreffend bestuurd wanneer de internal auditfunctie aantoonbaar rekening houdt met ontwikkelingen en nieuwe vraagstukken die mogelijk gevolgen hebben voor de organisatie. E. De internal auditfunctie voegt waarde toe aan de organisatie en haar stakeholders door rekening te houden met strategieën, doelstellingen en risico's; te streven naar het vinden van manieren om de governance, het risicomanagement en de controleprocedures te verbeteren; en op objectieve wijze relevante assurance te bieden.

28

GC:  Bij maximaal één PC op één van de Standaarden 2020, 2030, 2040, 2050, 2060 en 2070.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

2010 – Planning

NALEVINGSCRITERIA

OORDEELSVORMING

Kader: IIA kent:  audit universe;  audit risico evaluatie;  audit jaarplan. De audit universe is een overzicht van (mogelijke) auditobjecten, gekoppeld aan de bedrijfsprocessen en strategie van de onderneming, het risicoregister en de bedrijfs/juridische structuur. Dit is gebaseerd op de governance, risicomanagement & controlfuncties inclusief de onderliggende controlstructuur en eisen van toezichthouders. Op deze auditobjecten wordt door de IAF een audit risico evaluatie losgelaten. Dit is iets anders dan de risico evaluatie van de C. De CAE evalueert het plan en past dit waar onderneming zelf. nodig aan naar aanleiding van veranderingen in de Daar wordt dan in afstemming met het senior management en bestuur activiteiten, risico's, activiteiten, programma's, en rekening houdend met hun wensen een audit jaarplan uit afgeleid. systemen en beheersmaatregelen van de Waarbij aanwezige kennis, kunde en menskracht in beschouwing organisatie. wordt genomen en knelpunten worden gedefinieerd.

A. De CAE heeft een op risico's gebaseerde planning opgesteld om de prioriteiten van de Het hoofd van de internal auditfunctie moet een op risico's gebaseerde planning opstellen om de prioriteiten internal auditfunctie in samenhang met de doelstellingen van de organisatie te bepalen. van de internal auditfunctie in samenhang met de doelstellingen van de organisatie te bepalen. B. Om een op risico's gebaseerd plan te opstellen, treedt de CAE in overleg met het senior Interpretatie: Om een op risico's gebaseerd plan te kunnen opstellen management en het bestuur. De CAE verkrijgt inzicht in de strategieën, de belangrijkste moet het hoofd van de internal auditfunctie in overleg treden met het senior management en het bestuur. Het bedrijfsdoelstellingen, de bijbehorende risico's en de processen voor risicomanagement van de hoofd van de internal auditfunctie zal inzicht moeten organisatie. krijgen in de strategieën, de belangrijkste bedrijfsdoelstellingen, de bijbehorende risico's en de processen voor risicomanagement van de organisatie. Het hoofd van de internal auditfunctie moet het plan waar nodig herzien en aanpassen naar aanleiding van veranderingen in de activiteiten, risico's, activiteiten, programma's, systemen en beheersmaatregelen van de organisatie.

DNC:  De audit universe is niet geëxpliciteerd.  De audit universe omvat niet de gehele scope van de IAF, zoals gedefinieerd in het internal auditcharter.  De audit risico evaluatie ontbreekt, als basis voor het jaarplan.  Het audit jaarplan ontbreekt.  Bij een DNC op de Standaarden 2010.A1 of A2. PC:  De uitvoering van de audit risico evaluatie vertoont lacunes.

29

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 





2010.A1 – Het internal auditplan moet gebaseerd zijn op een gedocumenteerde risico-evaluatie, die minstens eenmaal per jaar moet worden uitgevoerd. Hierin moet ook de inbreng van het senior management en het bestuur in overweging worden genomen.

D. Het internal auditplan is gebaseerd op een gedocumenteerde (audit) risico-evaluatie, die minstens eenmaal per jaar wordt uitgevoerd. E. De input van het senior management en het bestuur wordt hierbij in overweging genomen.

De IAF heeft geen eigen beeld van risico’s maar steunt, zonder eigen evaluatie daarvan, alleen op intern aanwezige risicoevaluaties. Er is onvoldoende zichtbaar dat de bedrijfsdoelstellingen en het management dan wel de RvB/AC/RvC zijn betrokken in de totstandkoming van het jaarlijkse auditplan. Bij een PC op de Standaarden 2010.A1 of A2 (zonder DNC op één van beide) of bij een DNC of PC op 2010.C1.

DNC:  Er is geen (tenminste) jaarlijkse (audit) risico evaluatie.  Het auditplan is niet gebaseerd op input van RvB/AC/RvC.  Het auditplan is niet aantoonbaar gekoppeld aan de risico evaluatie. PC:  Er is onvoldoende documentatie m.b.t. risico evaluatie.  Er is geen tijdige afstemming over de uitkomsten van de risico evaluatie met RvB/AC/RvC.  Er is geen afstemming met topmanagement.

2010.A2 – Het hoofd van de internal auditfunctie moet de verwachtingen van het senior management, het bestuur en de overige stakeholders ten aanzien van de adviezen en overige conclusies van de internal auditfunctie vaststellen en in ogenschouw nemen.

F. De CAE inventariseert de verwachtingen van het DNC:  Er is geen afstemming over de verwachtingen van RvB/AC/RvC. senior management, het bestuur en overige stakeholders over internal auditoordelen en andere PC: conclusies en houdt hier rekening mee.  Er is geen tijdige afstemming met RvB/AC/RvC.

30

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING  

Er is geen afstemming met andere ‘assurance’ c.q. 2e lijns-functies binnen de organisatie. Er is geen afstemming met externe accountant.

2010.C1 – Het hoofd van de internal auditfunctie dient te overwegen om voorgestelde adviesopdrachten te aanvaarden op basis van het potentieel van de opdracht om risicomanagement te verbeteren, waarde toe te voegen en de werking van de organisatie te verbeteren. De aanvaarde opdrachten moeten worden opgenomen in het plan.

DNC: G. De CAE overweegt het aanvaarden van  De afweging van de toegevoegde waarde van geplande voorgestelde adviesopdrachten op basis van het adviesactiviteiten is niet expliciet gecommuniceerd met de potentieel van de opdracht om risicomanagement RvB/AC/RvC. te verbeteren, waarde toe te voegen en de werking  De geplande adviesactiviteiten zijn niet opgenomen in het van de organisatie te verbeteren. De aanvaarde (totaal)plan van de IAF. opdrachten worden opgenomen in het auditplan.

2020 – Communicatie en goedkeuring

DNC: A. De CAE legt de plannen en de vereiste  De plannen, middelen en/of significante wijzingen zijn niet middelen van de internal auditfunctie, inclusief voorgelegd en goedgekeurd door de RvB/AC/RvC. belangrijke tussentijdse wijzigingen, ter beoordeling en goedkeuring voor aan het senior management PC: en het bestuur.  De plannen zijn besproken met RvB/AC/RvC , maar niet formeel B. De CAE communiceert de gevolgen van goedgekeurd. beperkingen van middelen aan het senior

Het hoofd van de internal auditfunctie moet de plannen en de vereiste middelen van de internal auditfunctie, inclusief belangrijke tussentijdse wijzigingen, ter beoordeling en goedkeuring aan het senior management en het bestuur voorleggen. Het hoofd van de internal auditfunctie moet ook de gevolgen van beperkingen van middelen aangeven.

management en het bestuur. C. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het op risico's gebaseerde internal auditplan. (1110 en 2020) D. De functionele rapportering blijkt uit het goedkeuren door het bestuur van het budget en de benodigde middelen van de internal auditfunctie. (1110 en 2020)

31

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

E. De functionele rapportering blijkt uit het inwinnen van de juiste inlichtingen door de auditcommissie over het management en de CAE om te bepalen of de reikwijdte of middelen ongeschikt of beperkt zijn. (1110 en 2020) F. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over het auditplan en de voortgang afgezet tegen dit plan. (2010, 2020, 2060) 2030 – Beheer van middelen Het hoofd van de internal auditfunctie moet ervoor zorgen dat de internal auditfunctie beschikt over passende, toereikende en doelmatig aangewende middelen om het goedgekeurde plan te realiseren. Interpretatie: ‘Passend’ verwijst naar de mix van kennis, vaardigheden en overige competenties die nodig zijn voor het uitvoeren van het plan. ‘Toereikend’ verwijst naar de hoeveelheid middelen die nodig is voor het uitvoeren van het plan. Middelen worden doelmatig ingezet wanneer ze worden gebruikt op een manier die de uitvoering van het goedgekeurde plan optimaliseert.

A. De CAE draagt er zorg voor dat de internal auditfunctie beschikt over passende middelen om het goedgekeurde plan te realiseren. B. De CAE draagt er zorg voor dat de internal auditfunctie beschikt over voldoende middelen om het goedgekeurde plan te realiseren. C. De CAE draagt er zorg voor dat de middelen van de internal auditfunctie doelmatig worden aangewend om het goedgekeurde plan te realiseren. D. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over de vereiste middelen. (2030, 2060)

32

DNC:  Er is ontoereikend budget om invulling te geven aan het auditplan c.q. de uitkomsten van het traject audit universe - risicoanalyse auditplan.  De CAE heeft geen rekening gehouden met de benodigde kennis/ervaring/competenties die nodig is om het auditplan uit te voeren.  Er is geen evaluatie van de benodigde uren vooraf ter realisatie van het auditjaarplan.  Er is geen invulling gegeven aan de ontbrekende kennisgebieden binnen de IAF om aan het auditjaarplan uitvoering te kunnen geven. PC:  Er is slechts op globale wijze invulling gegeven aan budgettering van uren, technologie en benodigde kennis ten behoeve van uitvoering van het auditplan.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

2040 – Beleidsregels en procedures Het hoofd van de internal auditfunctie moet beleidsregels en procedures vaststellen om de internal auditfunctie aan te sturen. Interpretatie: De vorm en inhoud van de beleidsregels en procedures zijn afhankelijk van de omvang en de structuur van de internal auditfunctie en de complexiteit van de werkzaamheden.

Het financieel budget staat onder druk en leidt ertoe dat bijstelling van de auditplanning noodzakelijk is, zonder dat dit is goedgekeurd door RvB/AC/RvC.

A. De CAE heeft beleid en procedures vastgesteld DNC:  Er is geen audithandleiding (beleid en procedures) opgesteld die om de internal auditfunctie aan te sturen. zorg draagt voor sturing van de internal auditfunctie. B. De vorm en inhoud van de beleidsmaatregelen Wijzigingen in beleid en procedures (bijvoorbeeld IIA  en procedures sluiten aan op en zijn geschikt voor Standaarden) zijn niet tijdig verwerkt in de audithandleiding. de omvang en de structuur van de internal  De audithandleiding heeft aantoonbaar hiaten (t.o.v. IG2040). auditfunctie en de complexiteit van de  De auditmedewerkers zijn onvoldoende bekend met de werkzaamheden. audithandleiding c.q. worden onvoldoende bekendgemaakt met de auditmethodologie, beleid en procedures. PC:  Er is een audithandleiding (beleid en procedures) opgesteld, maar deze kent op onderdelen hiaten of dient geactualiseerd te worden. Deze lacunes zijn echter niet wezenlijk voor de uitvoering van auditopdrachten.  Wijzigingen in de handleiding worden niet op gestructureerde wijze bekendgemaakt aan de auditmedewerkers.

A. De CAE deelt informatie met andere interne en DNC:  De CAE deelt het auditplan niet met andere interne en externe Het hoofd van de internal auditfunctie dient informatie te externe auditors en adviseurs om een adequate assurance verleners, waaronder de externe accountant. dekking te verzekeren en het dubbel uitvoeren van delen, activiteiten te coördineren en af te wegen of  De CAE stemt het auditplan niet aantoonbaar af met andere werk tot een minimum te beperken. gebruikgemaakt kan worden van het werk van andere interne en externe assurance verleners, waaronder de externe interne en externe auditors en adviseurs, om een B. De CAE coördineert activiteiten met andere accountant. adequate dekking te verzekeren en het dubbel uitvoeren interne en externe auditors en adviseurs om een 2050 – Coördinatie en vertrouwen

33

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

van werk tot een minimum te beperken. Interpretatie:

adequate dekking te verzekeren en het dubbel uitvoeren van werk tot een minimum te beperken.

Bij het coördineren van de activiteiten kan het hoofd van de internal auditfunctie vertrouwen op het werk van andere auditors en adviseurs. Er dient een consistent proces aanwezig te zijn om te voorzien in een basis voor vertrouwen. Het hoofd van de internal auditfunctie dient de competenties, objectiviteit en professionele zorgvuldigheid van de auditors en adviseurs te overwegen. Het hoofd van de internal auditfunctie dient een helder inzicht te hebben in de reikwijdte, doelstellingen en resultaten van de werkzaamheden die worden verricht door overige auditors en adviseurs. Ook indien wordt vertrouwd op het werk van externe partijen, blijft het hoofd van de internal auditfunctie te allen tijde verantwoordelijk. Het hoofd van de internal auditfunctie moet zorgen voor adequate ondersteuning voor de conclusies en adviezen die worden geformuleerd door de internal auditfunctie.

C. Indien de CAE vertrouwt op de werkzaamheden  van andere interne en externe auditors en adviseurs, moet er voldoende grond voor die  vertrouwensbasis aanwezig zijn.

2060 – Rapportering aan senior management en het bestuur

A. De CAE rapporteert periodiek aan het senior management en het bestuur over het doel, de bevoegdheden en de verantwoordelijkheden van de internal auditfunctie, evenals over de uitvoering van het internal auditplan.



Uit interviews met andere interne en externe assurance verleners (w.o. externe accountant) is gebleken dat de CAE de auditwerkzaamheden niet afstemt met hen. Bij inzet van andere interne of externe auditors worden de objectiviteit en kwaliteit niet expliciet overwogen. Bij inzet van andere interne of externe auditors zijn reikwijdte en doel van hun opdracht niet expliciet vastgelegd.

D. Indien de CAE vertrouwt op de werkzaamheden van andere interne en externe auditors en PC: adviseurs, moet de CAE de competentie, objectiviteit en beroepsmatige zorgvuldigheid van  De CAE deelt het auditplan met andere interne en externe assurance verleners, maar dat is niet zichtbaar / aantoonbaar. de auditors en adviseurs in overweging nemen. E. Indien de CAE vertrouwt op de werkzaamheden  De CAE coördineert het auditplan met andere interne en externe assurance verleners, maar dat is niet zichtbaar / aantoonbaar. van andere interne en externe auditors en adviseurs, moet de CAE een duidelijk inzicht hebben in de reikwijdte, doelstellingen en resultaten van de werkzaamheden die door andere auditors en adviseurs worden uitgevoerd.

Het hoofd van de internal auditfunctie moet periodiek rapporteren aan het senior management en het bestuur over het doel, de bevoegdheden en de verantwoordelijkheden van de internal auditfunctie, B. De CAE rapporteert periodiek aan het senior evenals over de prestaties in het licht van het plan en de management en het bestuur of de internal naleving van de gedragscode en de Standaarden. De auditfunctie de gedragscode en de Standaarden 34

Kader: In deze standaard zit op een aantal punten een overlap met eerdere standaarden. Kies waar een punt in de beoordeling wordt meegenomen en gerapporteerd (zodat net op diverse plaatsen hetzelfde punt negatief ‘meetelt’). DNC:  De CAE rapporteert niet periodiek aan RvB/AC/RvC inzake uitvoering van het internal auditplan en/of het functioneren van de

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD rapportering dient tevens de belangrijke risico's en controlekwesties te bevatten, inclusief frauderisico's, bestuursaangelegenheden en overige zaken die de aandacht vragen van het senior management en/of het bestuur. Interpretatie: De frequentie en inhoud van de rapportage worden bepaald in overleg tussen het hoofd van de internal auditfunctie, het senior management en het bestuur. De frequentie en de inhoud van de verslaglegging hangen af van het belang van de informatie die moet worden bekendgemaakt, evenals de mate van urgentie van de desbetreffende maatregelen die moeten worden genomen door het senior management en/of het bestuur.

NALEVINGSCRITERIA naleeft. C. De CAE rapporteert belangrijke blootstellingen aan risico’s, inclusief frauderisico’s, alsook aandachtspunten op het gebied van interne beheersing en governance, en andere noodzakelijke onderwerpen of verzoeken van het senior management en het bestuur. D. De frequentie en inhoud van de rapportage worden bepaald in overleg met het senior management en het bestuur, en zijn afhankelijk van het belang van de te verstrekken informatie en van de mate van urgentie voor het nemen van maatregelen door het senior management en het bestuur.

E. De rapportages en mededelingen van de CAE De rapportering en informatievoorziening door het hoofd aan het senior management en het bestuur van de internal auditfunctie aan het senior management bevatten informatie over het internal auditcharter. en het bestuur omvatten in ieder geval informatie over: (1000 en 2060)  Het internal auditcharter. F. De rapportages en mededelingen van de CAE  De onafhankelijkheid van de internal auditing.  Het auditplan en de voortgang ten aanzien van dat plan.  De vereisten ten aanzien van middelen.  De resultaten van de auditwerkzaamheden.  Naleving van de gedragscode en de Standaarden, evenals actieplannen om belangrijke nalevingskwesties op te lossen.

OORDEELSVORMING

aan het senior management en het bestuur bevatten informatie over de onafhankelijkheid van de internal auditfunctie. (1100 en 2060) G. De functionele rapportering blijkt uit het ontvangen door het bestuur van mededelingen van de CAE over de prestaties van de internal auditfunctie in relatie tot de plannen en over andere zaken. (1110 en 2020)

35





IAF. Rapportages richting RvB/AC/RvC geven niet de belangrijkste risico's en tekortkomingen aan op het gebied van interne beheersing. Overige aandachtspunten (bijvoorbeeld op het gebied van governance en andere noodzakelijke onderwerpen, zoals bijv. genoemd in de nalevingscriteria) worden niet periodiek gerapporteerd aan RvB/AC/RvC.

PC:  Er wordt niet aan alle drie de bovenstaande aspecten voldaan. GC:  Er zijn enige, maar niet materiële hiaten (t.o.v. de genoemde nalevingscriteria) in hetgeen gerapporteerd wordt.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

 De reactie van het management op de risico's die naar het oordeel van het hoofd van de internal auditfunctie onacceptabel zijn voor de organisatie.

H. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over het auditplan en de Deze en overige communicatievereisten met betrekking voortgang afgezet tegen dit plan. (2010, 2020, 2060) tot het hoofd van de internal auditfunctie worden I. De rapportages en mededelingen van de CAE voortdurend genoemd in de Standaarden. aan het senior management en het bestuur bevatten informatie over de vereiste middelen. (2030, 2060) J. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over de resultaten van de auditwerkzaamheden. K. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over de naleving van de gedragscode en de Standaarden en actieplannen om belangrijke nalevingskwesties aan te pakken. (1320, 2060) L. De rapportages en mededelingen van de CAE aan het senior management en het bestuur bevatten informatie over het inspelen op risico's die, naar het oordeel van de CAE, onaanvaardbaar voor de organisatie zijn. (2060, 2600) 2070 – Externe dienstverlener en de verantwoordelijkheid van de organisatie voor de

A. Wanneer een externe dienstverlener de internal Indien uitbesteding van de internal audit activiteit heeft audit verricht, wijst deze de organisatie erop dat de plaatsgevonden, gelden voor de provider dezelfde principes als voor ‘eigen’ IAF’s. Daarbij hoort ook dat die provider kenbaar maakt dat zij 36

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD internal auditfunctie Wanneer een externe dienstverlener de internal audit verricht, moet deze de organisatie ervan bewust maken dat de organisatie verantwoordelijk is voor het in stand houden van een effectieve internal auditfunctie. Interpretatie: Deze verantwoordelijkheid moet worden vormgegeven in het programma voor kwaliteitsbewaking en verbetering, op grond waarvan de naleving van de gedragscode en de Standaarden door individuele teamleden wordt beoordeeld. 2100 – Aard van het werk De internal auditfunctie moet de governance-, risicomanagement- en interne beheersingsprocessen van de organisatie evalueren en bijdragen aan de verbetering daarvan door middel van een systematische, gedisciplineerde en op risico's gebaseerde aanpak. De geloofwaardigheid en de waarde van internal audit nemen toe wanneer de auditors proactief zijn en wanneer hun evaluaties nieuwe inzichten bieden en toekomstige impact in ogenschouw nemen.

NALEVINGSCRITERIA

OORDEELSVORMING

organisatie verantwoordelijk is voor het in stand fungeert als IAF. houden van een doeltreffende internal auditfunctie. DNC: B. De verantwoordelijkheid voor het in stand houden van een doeltreffende internal auditfunctie  De externe serviceverlener maakt zich niet kenbaar maakt als IAF.  De externe serviceverlener verricht andere activiteiten binnen de wordt aangetoond door het QAIP, waarin de betreffend organisatie, waardoor de onafhankelijkheid en naleving van de gedragscode en Standaarden objectiviteit van de IAF-rol niet is gewaarborgd. wordt beoordeeld.  De provider wijst de organisatie niet op haar verantwoordelijkheid voor het in standhouden van een doeltreffende internal auditfunctie (incl. de externe kwaliteitstoets).  In de uitvoering van de IAF werkzaamheden worden de Code of Ethics en/of standaarden niet nageleefd. A. De internal auditfunctie evalueert de processen DNC:  Bij een DNC op Standaard 2110, 2120 of 2130, dat wil zeggen bij van governance, risicomanagement en interne aantoonbaar onvoldoende gestructureerde en systematische inzet beheersing, en draagt bij aan de verbetering van de IAF op governance, risicomanagement en control daarvan door middel van een systematische, processen. gedisciplineerde en op risico's gebaseerde aanpak. B. Internal auditors zijn proactief en hun evaluaties bieden nieuwe inzichten en houden rekening met PC:  Bij een PC op Standaard 2110, 2120 of 2130. toekomstige gevolgen.

37

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

2110 – Governance De internal auditfunctie moet evaluaties uitvoeren en passende aanbevelingen doen om de governanceprocessen van de organisatie te verbeteren ten aanzien van:  Het nemen van strategische en operationele besluiten.  Het toezicht op risicomanagement en beheersing.  Het bevorderen van passende ethische normen en waarden binnen de organisatie.  Het waarborgen van effectief organisatorisch prestatiemanagement en verantwoording.  Het communiceren van risico- en beheersingsinformatie naar de relevante delen van de organisatie.  Het coördineren van de activiteiten van het bestuur, de externe en internal auditors, overige auditors en het management, alsook het uitwisselen van informatie daarover.

NALEVINGSCRITERIA

A. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor het nemen van strategische en operationele besluiten te verbeteren. B. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor het toezicht op risicomanagement en interne beheersing te verbeteren. C. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor het bevorderen van passende ethische normen en waarden binnen de organisatie te verbeteren. D. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor het waarborgen van doeltreffend prestatiemanagement en het afleggen van verantwoording te verbeteren. E. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor het communiceren van risico- en interne beheersinformatie aan de aangewezen niveaus binnen de organisatie te verbeteren.

38

OORDEELSVORMING

DNC:  Er is geen of zeer geringe aandacht voor de governance in het auditplan en de uitvoering van dat plan, m.a.w. er ontbreekt een systematische aanpak van de IAF op het onderwerp governance.  Er is geen of zeer geringe aandacht voor de 6 in Standaard 2110 genoemde aandachtsgebieden (zie eerste kolom) in de planning / rapportage van de IAF. PC:  Er is naar verhouding beperkte aandacht voor governance in (de realisatie van) het auditplan.  Bij een DNC of PC op Standaard 2110 A1 of A2.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

F. De internal auditfunctie voert evaluaties uit en formuleert passende aanbevelingen om governanceprocessen voor de coördinatie van de activiteiten van het bestuur, de externe auditors, de internal auditors en andere auditors te verbeteren alsook de uitwisseling van informatie daarover. 2110.A1 – De internal auditfunctie moet het ontwerp, de implementatie, en de doeltreffendheid van de ethische doelstellingen, programma’s en activiteiten van de organisatie evalueren.

G. De internal auditfunctie evalueert het ontwerp, de implementatie en de doeltreffendheid van de ethische doelstellingen, programma’s en activiteiten van de organisatie.

DNC:  De IAF verricht (nagenoeg) geen onderzoek naar de ethische doelstellingen, programma’s en activiteiten. PC:  De IAF verricht alleen onderzoek naar de opzet en de implementatie van de ethische doelstellingen, programma’s en activiteiten. De effectieve werking is niet beoordeeld.

2110.A2 – De internal auditfunctie moet beoordelen of de IT-governance van de organisatie de strategieën en de doelstellingen van de organisatie ondersteunt.

H. De internal auditfunctie beoordeelt of de ITgovernance van de organisatie de strategieën en de doelstellingen van de organisatie ondersteunt. (2110.A2)

DNC:  De IAF verricht (nagenoeg) geen of onvoldoende onderzoek naar IT governance (gegeven het belang van IT voor de organisatie).  De IAF betrekt bij IT-onderzoeken de governance rondom IT niet in het onderzoek.  De IAF bekijkt bij IT (gerelateerde) onderzoeken onvoldoende of er aansluiting is met de strategische doelstellingen van de organisatie. PC:  Bij IT-onderzoeken is geen (zichtbaar) verband gelegd met de strategie en doelstellingen van de onderneming.

39

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

2120 – Risicomanagement De internal auditfunctie moet de effectiviteit van de risicomanagementprocessen evalueren en bijdragen aan het verbeteren daarvan. Interpretatie: Om te kunnen vaststellen of de risicomanagementprocessen effectief zijn, moet de internal auditor beoordelen in hoeverre:

A. De internal auditfunctie evalueert de doeltreffendheid van de risicomanagementprocessen en draagt bij aan het verbeteren daarvan. B. De internal auditfunctie stelt vast of organisatorische doelstellingen aansluiten op de missie van de organisatie.

Bij de onderzoeken is alleen de opzet beoordeeld en niet de effectieve werking van de maatregelen.

Kader: Aandacht voor risicomanagement kan bestaan uit het uitvoeren van audits op het functioneren van de risicomanagement functies als wel in de uit te voeren audits aandacht besteden aan de in de Nalevingscriteria genoemde elementen van risicomanagement.

DNC:  Risicomanagement maakt nagenoeg geen deel uit van de C. De internal auditfunctie stelt vast of er auditplanning, m.a.w. er ontbreekt een systematische aanpak van  De organisatorische doelstellingen de missie van de belangrijke risico’s zijn geïdentificeerd en de IAF op het onderwerp risicomanagement. beoordeeld. organisatie ondersteunen en daarop aansluiten. Bij audits op onderdelen (processen, systemen) wordt het D. De internal auditfunctie stelt vast of er passende functioneren van risicomanagement meerdere malen niet  Belangrijke risico's zijn vastgesteld en beoordeeld. maatregelen zijn genomen, zodat de risico’s in betrokken, waarbij risicomanagement volgens het Internal Control Passende risicobeheermaatregelen worden overeenstemming zijn met de risicobereidheid van Framework van de organisatie wel een belangrijke pijler is. gekozen waarbij risico’s in overeenstemming de organisatie.  Bij een DNC voor Standaard 2120 A1 of A2. worden gebracht met de risicobereidheid van de E. De internal auditfunctie stelt vast of er relevante organisatie. risico-informatie wordt verzameld en tijdig wordt PC:  Relevante risico-informatie wordt vastgelegd en gecommuniceerd in de gehele organisatie, zodat Risicomanagement maakt weliswaar deel uit van de scope/planning tijdig wordt verspreid binnen de organisatie, zodat medewerkers, management en het bestuur hun van de IAF en van individuele opdrachten, maar: personeel, management en het bestuur hun verantwoordelijkheden kunnen uitoefenen.  Risicomanagement wordt beperkt als audit objective betrokken bij verantwoordelijkheden kunnen uitoefenen. onderzoeken. F. Risicomanagementprocessen worden bewaakt De internal auditfunctie kan gedurende meerdere  De IAF rapporteert niet over het functioneren van door doorlopende managementactiviteiten, opdrachten informatie verzamelen ter onderbouwing risicomanagement. afzonderlijke evaluaties of een combinatie daarvan. van deze evaluatie. Wanneer de resultaten van deze  Bij een PC voor Standaard 2120 A1 of A2 (zonder een DNC op opdrachten in hun onderlinge samenhang worden één van beide). beschouwd, bieden ze inzicht in de 40

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

risicomanagementprocessen van de organisatie en de effectiviteit daarvan.

OORDEELSVORMING 

Bij een DNC voor Standaard 2120 C1, 2 of 3.

 Risicomanagementprocessen worden bewaakt door doorlopende managementactiviteiten, afzonderlijke evaluaties of een combinatie daarvan. DNC: G. De internal auditfunctie evalueert potentiële risico’s aangaande de governance, de operationele  Meerdere risicoanalyses t.a.v. de in de Standaard genoemde activiteiten en de informatiesystemen van de doelen/aspecten komen (nagenoeg) niet terug in het auditplan of organisatie op het gebied van: de auditwerkzaamheden.  De IAF heeft geen analyse gemaakt van het frauderisico op a. Verwezenlijking van de strategische doelstellingen a. de verwezenlijking van de strategische organisatieniveau en/of verricht geen onderzoek naar de van organisatie. doelstellingen van de organisatie; effectiviteit van de maatregelen die fraude voorkomen. b. Betrouwbaarheid en integriteit van de financiële en b. de betrouwbaarheid en integriteit van de Door de toetser wordt bij de audits (Standaard 2200) nagegaan of operationele informatie. financiële en operationele informatie; aandacht is besteed aan fraude indicatoren). Doelmatigheid en efficiëntie van de c. de doeltreffendheid en doelmatigheid van de PC: bedrijfsactiviteiten en -programma's. bedrijfsactiviteiten en -programma's;  Eén van de vijf in de Standaard genoemde doelen/aspecten komt c. Bescherming van de activa. d. de bescherming van activa; niet terug in de risicoanalyse/auditplanning. d. Naleving van wet- en regelgeving, e. de naleving van wet- en regelgeving,  De IAF verricht beperkt onderzoek naar de effectiviteit van fraude beleidsmaatregelen, procedures en contracten. beleidsmaatregelen, procedures en contracten. beheersmaatregelen binnen de organisatie. Er blijkt dat, gegeven de inherente frauderisicofactoren, te weinig 2120.A2 – De internal auditfunctie moet de kans op het (2120.A1) gedaan wordt aan dergelijke onderzoeken. bestaan van fraude en hoe de organisatie frauderisico’s H. De internal auditfunctie evalueert hoe de beheert, evalueren. organisatie frauderisico's beheerst en of er kans bestaat op fraude. (2120.A2) 2120.A1 – De internal auditfunctie moet potentiële risico’s aangaande de governance, de operationele activiteiten en de informatiesystemen van de organisatie evalueren op het gebied van:

2120.C1 – Tijdens adviesopdrachten moeten de internal I. Tijdens adviesopdrachten leggen de internal auditors zich toe op risico’s die binnen de auditors zich toeleggen op risico’s die binnen de doelstellingen van de opdracht vallen en hebben doelstellingen van de opdracht vallen en aandacht

41

DNC:  Er blijkt uit dossiers dat ernstige risico’s die samenhangen met het object van de opdracht, in onvoldoende mate zijn onderzocht en

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD hebben voor eventuele andere belangrijke risico's. 2120.C2 – Internal auditors moeten kennis op het gebied van risico's die zij hebben opgedaan uit adviesopdrachten, verwerken in hun evaluatie van de risicomanagementprocessen van de organisatie. 2120.C3 – Wanneer interne auditors het management ondersteunen bij het vaststellen en verbeteren van de risicomanagementprocessen, moeten zij zich onthouden van elke managementverantwoordelijkheid voor het daadwerkelijke beheer van risico’s.

2130 – Beheersing De internal auditfunctie moet de organisatie ondersteunen bij het handhaven van doeltreffende interne beheersmaatregelen, door de effectiviteit en efficiëntie daarvan te beoordelen en een continue verbetering te bevorderen.

NALEVINGSCRITERIA zij aandacht voor eventuele andere belangrijke risico's. (2120.C1) J. Internal auditors verwerken kennis die zij op het gebied van risico's hebben opgedaan tijdens adviesopdrachten in hun evaluatie van de risicomanagementprocessen van de organisatie. (2120.C2) K. Wanneer interne auditors het management ondersteunen bij het vaststellen en verbeteren van de risicomanagementprocessen, onthouden zij zich van elke managementverantwoordelijkheid voor het daadwerkelijke beheer van risico’s. (2120.C3) A. De internal auditfunctie ondersteunt de organisatie bij het handhaven van doeltreffende interne beheersmaatregelen, door de effectiviteit en efficiëntie daarvan te evalueren en een continue verbetering te bevorderen.

OORDEELSVORMING gerapporteerd.

Kader: de focus ligt op de doeltreffendheid van de beheersing; zodoende leidt het niet beoordelen van de effectiviteit tot een DNC en het niet beoordelen van de efficiency tot een PC. DNC:  De beoordeling van de effectiviteit van beheersmaatregelen maakt nagenoeg geen deel uit van de auditplanning en uit te voeren audits, m.a.w. er ontbreekt een systematische aanpak van de IAF op het onderwerp Beheersing. (Met effectiviteit wordt bedoeld: opzet + werking + realiseren effect van de maatregelen.) PC:  De beoordeling van beheersmaatregelen maakt weliswaar deel uit

42

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING van de scope/planning van de IAF en van individuele opdrachten, maar: • Ze worden met onvoldoende diepgang beoordeeld voor wat betreft effectiviteit. • Ze worden niet of nauwelijks beoordeeld op efficiency.

2130.A1 – De internal auditfunctie moet de toepasselijkheid en de doeltreffendheid van de beheersmaatregelen evalueren bij het inspelen op risico’s binnen de governance en de operationele- en informatiesystemen van de organisatie met betrekking tot:

B. De internal auditfunctie evalueert de adequaatheid en de doeltreffendheid van de beheersmaatregelen als antwoord op de risico’s, binnen de besturing, operationele bedrijfsvoering en de informatiesystemen van de organisatie met betrekking tot:

 verwezenlijking van de strategische doelstellingen van organisatie;

a. de verwezenlijking van de strategische doelstellingen van de organisatie;

 betrouwbaarheid en integriteit van de financiële en operationele informatie;

b. de betrouwbaarheid en integriteit van de financiële en operationele informatie;

 doelmatigheid en efficiëntie van de bedrijfsactiviteiten en -programma's;

c. de doeltreffendheid en doelmatigheid van de bedrijfsactiviteiten en -programma's;

 bescherming van de activa;

d. de bescherming van activa;

 naleving van wet- en regelgeving, beleidsmaatregelen, procedures en contracten.

e. de naleving van wet- en regelgeving, beleidsmaatregelen, procedures en contracten. (2130.A1)

2130.C1 – Internal auditors moeten de kennis inzake beheersmaatregelen die zij hebben opgedaan tijdens eerdere opdrachten verwerken in hun beoordeling van de beheersprocessen van de organisatie.

C. Internal auditors verwerken de kennis op het gebied van beheersmaatregelen die zij hebben opgedaan tijdens adviesopdrachten in hun beoordeling van de beheersprocessen van de organisatie. (2130.C1)

43

Voor deze Standaard geldt hetzelfde als is opgemerkt bij 2120.A1. DNC:  Van meerdere in de Standaard genoemde doelen/aspecten worden de controls (nagenoeg) niet onderzocht, terwijl deze wel als risico zijn benoemd. PC:  Aan de controls van één van de vijf doelen/aspecten wordt, ondanks dat het relevant is voor de organisatie en deze is opgenomen in de auditplanning, geen aandacht besteed in de werkzaamheden.

DNC:  De IAF heeft kennis vanuit adviesopdrachten van (zwakke) punten in de beheersmaatregelen niet meegenomen in de evaluatie van beheersprocessen.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

PC:  Deze kennis is slechts gedeeltelijk meegenomen. 2200 – Planning van de opdracht Internal auditors moeten voor iedere opdracht een plan uitwerken en documenteren. Dit plan bevat de doelstellingen, de reikwijdte, de tijdsplanning en de toewijzing van middelen. Het plan moet rekening houden met de strategieën, doelstellingen en risico's van de organisatie met betrekking tot de opdracht.

Voor substandaarden 22XX geldt dat eerst op dossierniveau wordt A. Internal auditors werken voor iedere opdracht een plan uit en documenteren dit. Dit plan bevat de nagegaan of wordt voldaan aan de Standaarden of niet. doelstellingen, de reikwijdte, de tijdsplanning en de Uitslagen van de representatieve selectie van individuele dossiers toewijzing van middelen. kunnen uitmonden in een DNC/PC op Standaard-niveau. B. Het plan voor iedere opdracht houdt rekening Bij een DNC op een van de dossiers (desnoods aan te vullen met een gehouden met de strategieën, doelstellingen en deelwaarneming van additionele dossiers, die alleen op deze risico's van de organisatie met betrekking tot de standaard(en) worden beoordeeld) wordt onderzocht of sprake is van opdracht. een incidenteel of structureel probleem. Deze root cause analyse zal leiden tot een oordeel op Standaard-niveau. Bij een structureel probleem: DNC. Indien meer dan 1 dossier een DNC betreft, is het oordeel op Standaard-niveau altijd een DNC. Bij een incidenteel probleem (1 dossier DNC en andere GC): PC of GC, dit afhankelijk van de root cause. Hierbij wel na te gaan of voldoende dossiers (of onderdelen van dossiers) zijn beoordeeld bij het toetsproces. Breid eventueel de deelwaarneming uit.

2201 – Overwegingen bij de planning Bij het plannen van opdrachten moeten de internal auditors rekening houden met:

DNC op dossierniveau: A. Bij het plannen van opdrachten moeten de internal auditors rekening houden met strategieën In één of meer van onderstaande situaties wordt geconstateerd dat er: en doelstellingen van de te beoordelen activiteit en  Geen aandacht is geschonken aan de doelstellingen van het met de middelen waarmee de activiteit de eigen object en de wijze waarop het beheerst wordt. 44

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD 







De strategie en doelstellingen van de te onderzoeken activiteit en de wijze waarop deze activiteit haar prestaties beheerst. De belangrijkste risico’s, doelstellingen, middelen en werkzaamheden van de activiteit en de wijze waarop de potentiele impact van een risico op een aanvaardbaar niveau gehouden wordt. De toereikendheid en doeltreffendheid van de processen van risicomanagement en beheersing van de activiteit, afgezet tegen een relevant intern beheersingsmodel of –raamwerk. De mogelijkheden om aanzienlijke verbeteringen te realiseren ten aanzien van de processen van governance, risicomanagement en/of beheersing.

2201.A1 – Bij het plannen van een opdracht voor partijen buiten de organisatie moeten de internal auditors met deze partijen een schriftelijke overeenkomst opstellen over de doelstellingen, reikwijdte, respectieve verantwoordelijkheden en overige verwachtingen, inclusief de beperkingen in de verspreiding van de resultaten van de opdracht en in de

NALEVINGSCRITERIA prestaties beheert.

OORDEELSVORMING 

B. Bij het plannen van opdrachten moeten de internal auditors rekening houden met de  belangrijke risico’s ten aanzien van de doelstellingen, middelen en werkzaamheden van de activiteit, en de middelen waarmee de potentiële impact van een risico op een aanvaardbaar niveau gehouden wordt.

Geen aandacht is geschonken aan de specifieke risico’s van het auditobject, in relatie tot haar doelstellingen, middelen en processen. Geen aandacht is geschonken aan de effectiviteit van governance, risicomanagement en control processen, vergeleken met een relevant raamwerk of model inzake het auditobject, waarbij het volwassenheidsniveau van de 2e lijn in ogenschouw wordt genomen. Aandacht is overigens meer dan enkel en alleen benoemen. Er dient een afweging gemaakt te zijn en de afwegingsuitkomsten dienen tot uiting te komen in het werkprogramma.

C. Bij het plannen van opdrachten moeten de internal auditors rekening houden met de adequaatheid en doeltreffendheid van de processen van besturing, risicomanagement en beheersing van de activiteit, in vergelijking met een PC op dossierniveau:  Er is wel aandacht geschonken aan de risico's of aan de relevant intern raamwerk of model. beheersing, maar de afweging is onvoldoende gedocumenteerd D. Bij het plannen van opdrachten moeten de en/of meegenomen in het werkprogramma. internal auditors rekening houden met de  Bij een DNC/PC voor Standaard 2201.A1. mogelijkheden tot belangrijke verbeteringen van de  Eventueel bij een DNC voor Standaard 2201.C1 processen van besturing, risicomanagement en (hangt af van de mate waarin adviesopdrachten worden beheersing van de activiteit. uitgevoerd). E. Bij het plannen van een opdracht voor partijen buiten de organisatie stellen de internal auditors met deze partijen een schriftelijke overeenkomst op over de doelstellingen, reikwijdte, respectieve verantwoordelijkheden en overige verwachtingen, inclusief de beperkingen in de verspreiding van de resultaten van de opdracht en in de toegang tot de

45

DNC op dossierniveau:  Schriftelijke afstemming ontbreekt.  Er is een schriftelijke afstemming, maar op essentiële punten (zijnde doel, scope, verantwoordelijkheden, distributie) voldoet deze niet aan de Standaard. PC op dossierniveau:

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

toegang tot de opdrachtdossiers.

opdrachtdossiers.

2201.C1 – Internal auditors moeten tot overeenstemming komen met de klanten van de adviesopdrachten over de doelstellingen, reikwijdte, respectieve verantwoordelijkheden en overige verwachtingen van de opdrachtgever. Voor belangrijke opdrachten moet deze overeenkomst schriftelijk vastgelegd worden.

DNC op dossierniveau: F. Internal auditors komen met klanten van de  Schriftelijke afstemming ontbreekt, terwijl sprake is van een adviesopdrachten tot overeenstemming over de belangrijke, substantiële opdracht. doelstellingen, reikwijdte, respectieve  Er is een schriftelijke afstemming maar op essentiële punten verantwoordelijkheden en overige verwachtingen (zijnde doel, scope, verantwoordelijkheden, klantverwachtingen) van de opdrachtgever. Voor belangrijke opdrachten voldoet deze niet aan de Standaard. wordt deze overeenkomst schriftelijk vastgelegd.



Er is een schriftelijke afstemming, maar op een enkel punt voldoet die niet.

PC op dossierniveau:  Er is een schriftelijke afstemming maar op een enkel punt voldoet die niet. 2210 – Doelstellingen van de opdracht Voor elke opdracht moeten doelstellingen worden bepaald.

A. Voor iedere opdracht worden doelstellingen vastgesteld.

DNC op dossierniveau:  Bij een DNC voor Standaard 2210 A1 of A2. PC op dossierniveau:  Bij een PC voor 2210 A1 of A2.  Bij een DNC/PC voor 2210 A3

B. Internal auditors maken een voorlopige evaluatie van de risico’s die van belang zijn voor de te onderzoeken activiteit. De doelstellingen van de opdracht zijn gebaseerd op de resultaten van deze evaluatie. (2210.A1) C. Bij het opstellen van de doelstellingen van de 2210.A2 – Bij het opstellen van de doelstellingen van de opdracht houden de internal auditors rekening met 2210.A1 – Internal auditors moeten een voorlopige evaluatie maken van de risico’s die van belang zijn voor de te onderzoeken activiteit. De doelstellingen van de opdracht moeten gebaseerd zijn op de resultaten van deze evaluatie.

46

2210.A1 DNC op dossierniveau:  Er is geen voorlopige inschatting van de risico’s van het auditobject.  Er is wel een voorlopige inschatting, maar deze heeft ten onrechte niet geleid tot consequenties voor de doelstellingen van de opdracht.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

opdracht moeten internal auditors rekening houden met de waarschijnlijkheid van belangrijke fouten, de waarschijnlijkheid van belangrijke fouten, fraude, fraude, gevallen van niet-naleving en andere gevallen van niet-naleving en andere risico’s. risico’s. (2210.A2) D. De internal auditors stellen vast in hoeverre het 2210.A3 – Er zijn adequate criteria benodigd om de management en/of het bestuur adequate criteria governance, het risicomanagement en de heeft vastgelegd, teneinde te bepalen of de beheersingsprocessen te evalueren. Internal auditors moeten vaststellen in hoeverre het management en/of doelstellingen en doelen bereikt zijn. Indien ze het bestuur adequate criteria heeft vastgelegd, teneinde adequaat bevonden worden, hanteren de internal auditors deze criteria bij hun evaluatie. Indien ze te bepalen of de doelstellingen en doelen bereikt zijn. niet adequaat zijn, ontwikkelen de internal auditors Indien ze adequaat bevonden worden, moeten de samen met het management en/of het bestuur internal auditors deze criteria gebruiken bij hun alsnog geschikte evaluatiecriteria. (2210.A3) evaluatie. Indien ze niet adequaat zijn, moeten de internal auditors samen met het management en/of het bestuur alsnog geschikte evaluatiecriteria ontwikkelen. Interpretatie: Soorten criteria zijn onder meer:  intern (bijv. de beleidsmaatregelen en procedures van de organisatie);  extern (bijv. wet- en regelgeving die wordt opgelegd door wettelijke instanties);  markt leidende praktijken (bijv. industriële en professionele richtsnoeren).

OORDEELSVORMING PC op dossierniveau:  De voorlopige inschatting en vertaling naar de doelstellingen van de opdracht hebben weliswaar plaatsgevonden, maar voldoen niet geheel aan de daaraan te stellen eisen, door onvolledigheid of te weinig diepgang in de analyse en/of documentatie. 2210.A2 DNC op dossierniveau:  Er is geen gedocumenteerde voorlopige inschatting op de in de Standaard genoemde facetten.  Er is wel een voorlopige inschatting, maar deze heeft ten onrechte niet geleid tot consequenties voor de doelstellingen van de opdracht. PC op dossierniveau:  De voorlopige inschatting en vertaling naar de doelstellingen van de opdracht hebben weliswaar plaatsgevonden, maar voldoen niet geheel aan de daaraan te stellen eisen, door onvolledigheid of te weinig diepgang in de analyse en/of documentatie. 2210.A3 DNC op dossierniveau:  Er zijn criteria (een normenkader) vanuit het management maar de auditor heeft ze niet betrokken in zijn onderzoek.  Er zijn geen criteria (een normenkader) vanuit het management beschikbaar, en de auditor heeft geen/onvoldoende overleg gepleegd met het management over het te hanteren c.q. door de auditor ontwikkelde normenkader in de audit.

47

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING PC op dossierniveau:  Afstemming over normenkader heeft niet tijdig en/of niet met alle belanghebbenden plaats gevonden.

2210.C1 – De doelstellingen voor adviesopdrachten moeten ingaan op governance, risicomanagement en controleprocedures voor zover dit is overeengekomen met de opdrachtgever. 2210.C2 – De doelstellingen voor adviesopdrachten moeten in overeenstemming zijn met de waarde, strategieën en doelstellingen van de organisatie.

2210.C1 en C2 E. De doelstellingen voor adviesopdrachten hebben betrekking op de processen van besturing, DNC op dossierniveau: risicomanagement en beheersing voor zover dit is  De relevante governance, risicomanagement en controleprocedures hebben geen rol gespeeld bij het opstellen van overeengekomen met de opdrachtgever. (2210.C1) de doelstellingen van de opdracht of zijn niet benoemd zoals ze F. De doelstellingen voor adviesopdrachten sluiten zijn besproken met de klant. aan op de waarden, strategieën en doelstellingen  De doelstellingen voor adviesopdrachten zijn niet consistent en in van de organisatie. (2210.C2) overeenstemming met de waarde, strategieën en doelstellingen van de organisatie. PC op dossierniveau:  De gevraagde aspecten komen tot uiting in de doelstellingen voor adviesopdrachten en er is consistentie, maar de uitwerking kent minder diepgang dan met de klant is besproken (of dan deze verwacht) of is qua documentatie in het dossier niet goed navolgbaar.

2220 – Reikwijdte van de opdracht De vastgestelde reikwijdte moet voldoende zijn om de doelstellingen van de opdracht te verwezenlijken.

A. De vastgestelde reikwijdte is voldoende om de doelstellingen van de opdracht te verwezenlijken.

DNC op dossierniveau:  Bij een DNC voor Standaard 2220.A1, m.a.w.. de scope is ontoereikend om de auditdoelstelling te bereiken. PC op dossierniveau:  Bij een PC voor Standaard 2220.A1.  Bij een PC of DNC voor Standaard 2220.A2.

48

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

2220.A1 – De reikwijdte van de opdracht moet rekening houden met relevante systemen, dossiers, personeel en fysieke eigendommen, waaronder die onder beheer van derden.

B. De reikwijdte van de opdracht omvat de overweging van relevante systemen, dossiers, personeel en fysieke eigendommen, waaronder die onder beheer van derden. (2220.A1) C. Als zich tijdens een assuranceopdracht belangrijke adviesmogelijkheden voordoen, wordt er een specifieke schriftelijke overeenkomst opgesteld met de doelstellingen, reikwijdte, respectieve verantwoordelijkheden en overige verwachtingen. De resultaten van de adviesopdracht worden gecommuniceerd conform de standaarden voor advieswerkzaamheden. (2220.A2)

2220.A1 DNC:  De scope/reikwijdte (breedte en diepgang) van de opdracht bevat gelet op de auditdoelstelling - niet of in onvoldoende mate de relevante systemen, dossiers, personeel en fysieke eigendommen, waaronder die onder beheer van derden.  Er zijn materiële tekortkomingen in de scope om de auditdoelstellingen te behalen.

2220.A2 – Als zich tijdens een audit belangrijke adviesmogelijkheden voordoen, dient een specifieke schriftelijke overeenkomst te worden opgesteld met de doelstellingen, reikwijdte, respectieve verantwoordelijkheden en overige verwachtingen. De resultaten van de adviesopdracht dienen gecommuniceerd te worden conform de standaarden voor advieswerkzaamheden.

PC op dossierniveau:  De scope bepaling is onvoldoende gedocumenteerd.  De scope is onvolledig op niet-materiële aspecten. 2220.A2 DNC op dossierniveau:  Er wordt voorbijgegaan aan de adviesmogelijkheden. PC op dossierniveau:  Er is een overeenkomst maar deze is niet gedocumenteerd.  Er is een gedocumenteerde overeenkomst, maar deze schiet op relevante punten tekort.

2220.C1 – Bij de uitvoering van adviesopdrachten moeten de internal auditors zich ervan verzekeren dat de reikwijdte voldoende is om de overeengekomen doelstellingen te bereiken. Indien de internal auditors tijdens de opdracht gaan twijfelen aan de reikwijdte, dan moet deze twijfel besproken worden met de opdrachtgever om te beslissen of de opdracht wordt

D. Bij de uitvoering van een adviesopdracht verzekeren de internal auditors zich ervan dat de reikwijdte voldoende is om de overeengekomen doelstellingen te bereiken. Indien de internal auditors tijdens de opdracht gaan twijfelen aan de reikwijdte, wordt deze twijfel besproken met de opdrachtgever om te beslissen of de opdracht

49

2220.C1 DNC op dossierniveau:  De scope van de opdracht sluit niet aan op de overeengekomen doelstellingen van de opdracht.  Gedurende de uitvoering is de scope niet aangepast, terwijl dat wel noodzakelijk was.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD voortgezet.

NALEVINGSCRITERIA

OORDEELSVORMING

wordt voortgezet. (2220.C1)

PC op dossierniveau: 2220.C2 – Tijdens adviesopdrachten moeten de internal E. Tijdens adviesopdrachten benaderen de internal  Niet van toepassing. auditors de beheersmaatregelen benaderen conform de auditors de beheersmaatregelen conform de doelstellingen van de opdracht, maar ook alert zijn op doelstellingen van de opdracht en zijn ze alert op 2220.C2 overige belangrijke controlekwesties. belangrijke beheers issues. (2220.C2) DNC op dossierniveau:  Beheersmaatregelen die relevant zijn voor het doel van de opdracht worden niet onderzocht. PC op dossierniveau:  Niet van toepassing. 2230 – Toewijzing van middelen aan de opdracht Internal auditors moeten bepalen wat passende en toereikende middelen zijn om de doelstellingen van de opdracht te verwezenlijken, op basis van een evaluatie van de aard en de complexiteit van elke opdracht, de gestelde tijdslimieten en de beschikbare middelen. Interpretatie:

A. Internal auditors bepalen wat passende en voldoende middelen zijn om de doelstellingen van de opdracht te verwezenlijken, uitgaande van een evaluatie van de aard en de complexiteit van elke opdracht, de gestelde tijdslimieten en de beschikbare middelen.

‘Passend’ verwijst naar de mix van kennis, vaardigheden en overige competenties die nodig zijn voor het uitvoeren van opdracht. ‘Toereikend’ verwijst naar de hoeveelheid middelen die nodig is voor het uitvoeren van de opdracht op basis van beroepsmatige zorgvuldigheid.

6

DNC op dossierniveau6:  Het team ontbeert de benodigde kennis, ervaring, vaardigeden, competenties of bedrijfskennis.  Gezien de aard en de omvang van de audit (complexiteit), met inachtneming van de audit doelstellingen en de audit scope, vindt er geen of onvoldoende afweging plaats inzake de bepaling en samenstelling qua competenties van het benodigde auditteam. PC op dossierniveau:  Documentatie over de evaluatie van de allocatie van middelen aan opdrachten is niet adequaat of niet beschikbaar, waardoor achteraf niet aannemelijk kan worden gemaakt dat de geschikte persoon bij een opdracht is betrokken.

Essentie bij deze standard is dat de toewijzing voor elke audit bewust heeft plaatsgevonden; dat kan ook al op moment van het Jaarplan.

50

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

2240 – Werkprogramma van de opdracht Internal auditors moeten werkprogramma's ontwikkelen en documenteren op grond waarvan de doelstellingen van de opdracht worden verwezenlijkt.

NALEVINGSCRITERIA

A. Internal auditors ontwikkelen en documenteren werkprogramma's op basis waarvan de doelstellingen van de opdracht kunnen worden verwezenlijkt.

OORDEELSVORMING DNC op dossierniveau:  Er ontbreekt een werkprogramma.  Er is een werkprogramma aanwezig, maar deze is te generiek, waardoor er onvoldoende aandacht is voor de risico’s en auditdoelstellingen.  Het werkprogramma heeft geen aandacht voor de opdrachtdoelstellingen en geen link met de in de voorfase uitgevoerde risicoanalyse, waardoor die risico’s in de uitvoering niet gerealiseerd c.q. gedekt worden.  Er is een werkprogramma, maar deze is aantoonbaar na uitvoering van de audit opgesteld en toegeschreven naar de uitgevoerde werkzaamheden. PC op dossierniveau:  Er is een werkprogramma en de opdrachtdoelstellingen kunnen op basis daarvan gerealiseerd worden, maar het werkprogramma vertoont op ondergeschikte onderdelen lacunes.

2240.A1 – Werkprogramma's moeten de procedures bevatten voor identificatie, analyse, evaluatie en documentatie van informatie tijdens de opdracht. Het werkprogramma moet vóór de implementatie ervan worden goedgekeurd, en aanpassingen moeten direct worden goedgekeurd.

B. Werkprogramma's bevatten procedures voor de DNC op dossierniveau:  Tijdige (voordat met het veldwerk is begonnen) goedkeuring identificatie, analyse, evaluatie en documentatie ontbreekt. van informatie tijdens de opdracht.  Goedkeuring ontbreekt op significante aanpassingen van het C. Het werkprogramma wordt vóór de werkprogramma. implementatie ervan goedgekeurd en PC op dossierniveau: n.v.t. aanpassingen worden direct goedgekeurd.

2240.C1 – Werkprogramma's voor adviesopdrachten kunnen verschillen qua vorm en inhoud al naargelang

D. Werkprogramma's voor adviesopdrachten kunnen verschillen qua vorm en inhoud

51

DNC op dossierniveau:  Een werkprogramma ontbreekt.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD de aard van de opdracht.

NALEVINGSCRITERIA naargelang de aard van de opdracht.

2300 – Uitvoering van de opdracht

A. Internal auditors identificeren, analyseren, evalueren en documenteren voldoende informatie Internal auditors moeten voldoende informatie om de doelstellingen van de opdracht te identificeren, analyseren, evalueren en documenteren om de doelstellingen van de opdracht te verwezenlijken. verwezenlijken.

OORDEELSVORMING 

Er is een te generiek werkprogramma, gegeven de aard van de opdracht. PC op dossierniveau: n.v.t. Voor substandaarden 23XX geldt dat eerst op dossierniveau wordt nagegaan of wordt voldaan aan de Standaard of niet. Uitslagen van de representatieve selectie van individuele dossiers kunnen uitmonden in een DNC/PC op Standaard-niveau. Bij een DNC op een van de dossiers (desnoods aan te vullen met een deelwaarneming van additionele dossiers, die alleen op deze Standaard(en) worden beoordeeld) wordt onderzocht of sprake is van een incidenteel of structureel probleem. Deze root cause analyse zal leiden tot een oordeel op Standaard-niveau. Bij een structureel probleem: DNC. Indien meer dan 1 dossier een DNC betreft, is het oordeel op Standaard-niveau altijd een DNC. Bij een incidenteel probleem (1 dossier DNC en de andere GC): PC. Hierbij dient wel nagegaan te worden of er voldoende dossiers (of onderdelen van dossiers) zijn beoordeeld bij het toetsproces. Breidt eventueel het aantal deelwaarnemingen uit.

2310 – Identificatie van de informatie Internal auditors moeten voldoende, betrouwbare, relevante en nuttige informatie verkrijgen om de doelstellingen van de opdracht te realiseren.

Op basis van professional judgement dient nagegaan te worden of A. Internal auditors verkrijgen voldoende, betrouwbare, relevante en nuttige informatie om de voldaan is aan 1. voldoende, 2. betrouwbare, 3. relevante en 4. bruikbare informatie. doelstellingen van de opdracht te realiseren. Beoordeel deze Standaard in samenhang met 2320 en 2330. B. Voldoende informatie is feitelijk, adequaat en 52

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

Interpretatie: Voldoende informatie is feitelijk, adequaat en overtuigend, zodat een verstandig, zorgvuldig handelend en goedgeïnformeerde persoon tot dezelfde conclusies zou komen als de auditor. Betrouwbare informatie is de best denkbare informatie die is verkregen door het gebruik van passende audittechnieken. Relevante informatie ondersteunt de opdrachtbevindingen en aanbevelingen en is in overeenstemming met de doelstellingen van de opdracht. Nuttige informatie helpt de organisatie haar doelen te bereiken.

overtuigend, zodat een verstandig en goed geïnformeerd persoon tot dezelfde conclusies zou komen als de internal auditor.

DNC op dossierniveau:  Er is geen of onvoldoende informatie (‘betrouwbaar’ en ‘relevant’ ) voor meerdere risk-(objective-)control-test steps in de werkdocumenten opgenomen.  Er is onvoldoende informatie meegenomen in de uitvoering van de werkzaamheden om het doel van de auditopdracht te bereiken.

2320 – Analyse en evaluatie

A. Internal auditors baseren de conclusies en de resultaten van hun opdrachten op passende analyses en evaluaties.

Internal auditors moeten de conclusies en de resultaten van hun opdrachten baseren op passende analyses en evaluaties.

C. Betrouwbare informatie is de hoogst haalbare informatie verkregen door het gebruik van passende audittechnieken. D. Relevante informatie ondersteunt de opdrachtbevindingen en aanbevelingen en is in overeenstemming met de doelstellingen van de opdracht. E. Bruikbare informatie helpt de organisatie haar doelen te bereiken.

PC op dossierniveau:  Er is bij meerdere risk-(objective-)control-test steps niet expliciet in de werkdocumenten toegelicht in hoeverre, en op welke wijze, de bijgesloten informatie heeft bijgedragen aan de oordeelsvorming (‘betrouwbaar’ en ‘relevant’). Deze Standaard hangt nauw samen met 2310. DNC op dossierniveau:  In het rapport staan conclusies die onvoldoende worden onderbouwd vanuit de bevindingen en analyses.  In het dossier ontbreekt de audit trail tussen de bevindingen en de uiteindelijke conclusies. PC op dossierniveau:  Er heeft op onderdelen van het werkprogramma onvoldoende analyse en evaluatie plaatsgevonden.

2330 – Documenteren van de informatie Internal auditors moeten toereikende, betrouwbare,

Het adagium voor het bijhouden van het dossier is “Niet A. Internal auditors documenteren voldoende, gedocumenteerd is niet gedaan”. betrouwbare, relevante en nuttige informatie ter ondersteuning van de resultaten en conclusies van

53

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD relevante en nuttige informatie documenteren ter ondersteuning van de resultaten en conclusies van de opdracht.

NALEVINGSCRITERIA de opdracht.

OORDEELSVORMING In de audithandleiding dient gedefinieerd te staan wat het dossier (minimaal) omvat. Alles wat er buiten de definitie van het dossier valt, maakt geen deel uit van het minimale auditdossier (bijv. mailbox is veelal niet gedefinieerd als dossier). DNC op dossierniveau:  Er is geen of onvolledig ondersteunende documentatie in het dossier op materiële audit steps/audit objectives/key risk’s.  De door de IAF verrichte werkzaamheden zijn niet heruitvoerbaar (cruciale documenten e/o conclusies ontbreken).  Conclusies op deelvragen ontbreken in het dossier. Er is geen duidelijk spoor van werkprogramma, work done, bevinding/ deel conclusie naar rapport. PC op dossierniveau:  Ondersteunende documentatie ontbreekt met betrekking tot nietmateriële audit steps / audit objectives / key risks. (risk(objective-)control-test steps).  De werkzaamheden van de IAF zijn in mindere mate heruitvoerbaar door bijvoorbeeld slechte verwijzingen. Nadere toelichting op de samenhang 2310, 2320 en 2330:  Indien het dossier onvolkomenheden heeft (doordat bijv. dossierstukken ontbreken), maar er heeft wel een goede analyse/evaluatie plaatsgevonden, dan is dat een PC/DNC op 2330 en GC op 2320.  Indien het dossier onvolkomenheden heeft en er blijkt dat de analyse onvoldoende is geweest, dan leidt dat tot een PC/DNC op 2320 en 2330.

54

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

2330.A1 – Het hoofd van de internal auditfunctie moet de toegang tot de dossiers van de opdrachten bewaken. Het hoofd van de internal auditfunctie moet, waar nodig, de toestemming van het senior management en/of de juridische afdeling verkrijgen, alvorens dergelijke dossiers ter beschikking te stellen van externe partijen. 2330.A2 – Het hoofd van de internal auditfunctie moet regels opstellen voor de bewaartermijn van de dossiers van de opdrachten, ongeacht het medium waarin het dossier wordt opgeslagen. Deze regels moeten in overeenstemming zijn met de richtlijnen van de organisatie en met alle toepasselijke reglementaire of overige vereisten.

B. De CAE beheert de toegang tot de dossiers van de opdracht. De CAE verkrijgt, waar nodig, de toestemming van het senior management en/of de juridische afdeling, alvorens dergelijke dossiers ter beschikking te stellen aan externe partijen. (2330.A1)

Indien blijkt dat onjuiste/onvolledige informatie is betrokken in de analyse, leidt dat tot een PC/DNC op 2310 en kan dit eveneens leiden tot een PC/DNC op 2320.

Beoordeel deze Standaard niet op dossierniveau, maar voor het geheel. De rating voor 2330 A1en A2 tellen niet zonder meer mee voor de rating op 2330. Eventuele bevindingen separaat vermelden in het rapport.

DNC:  Verzoeken van externe partijen om dossierstukken worden zonder C. De CAE heeft regels opgesteld voor de overleg gehonoreerd. bewaartermijn van de dossiers van de opdrachten,  Er is geen retentieperiode vastgesteld en gedocumenteerd ongeacht het medium waarin het dossier wordt waarbinnen auditdossiers bewaard dienen te blijven. opgeslagen. Deze regels zijn in overeenstemming  Er zijn geen archiefprocedures die waarborgen dat dossiers met de richtlijnen van de organisatie en met alle gedurende de retentieperiode kunnen worden geraadpleegd. toepasselijke regelgeving of overige vereisten.  Er zijn geen (logische en/of fysieke toegangsbeveiligings-) (2330.A2) maatregelen genomen die auditdossiers (huidige en archief) afschermen tegen niet-geautoriseerde inzage.  De procedures sluiten niet aan bij de AVG (Algemene verordening gegevensbescherming) en andere van toepassing zijnde regelgeving. PC:  De IAF heeft niet voldoende onderzocht of de archiefprocedures bij het verkrijgen van dossier uit het (digitale) archief in orde zijn.  De verkregen toestemming tot het verstrekken van rapporten aan derden is niet gedocumenteerd.

55

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 

2330.C1 – Het hoofd van de internal auditfunctie moet beleid opstellen voor zowel de bewaking en bewaring van de dossiers van de adviesopdrachten als de terbeschikkingstelling ervan aan interne en externe partijen. Deze regels moeten overeenstemmen met de richtlijnen van de organisatie en met alle toepasselijke regelgeving of overige vereisten.

D. De CAE heeft beleid opgesteld voor zowel de bewaking en bewaring van de dossiers van de adviesopdrachten als de terbeschikkingstelling ervan aan interne en externe partijen. Deze regels stemmen overeen met de richtlijnen van de organisatie en met alle toepasselijke regelgeving of overige vereisten. (2330.C1)

De werking van (logische en/of fysieke toegangsbeveiligings-) maatregelen met betrekking tot niet-geautoriseerde inzage van auditdossiers (huidige en archief) wordt niet periodiek getest.

Zie 2330A1 en A2. DNC:  Er zijn geen maatregelen (beleid en procedures) gedefinieerd voor het bewaren van adviesdossiers, en/of het verstrekken van adviesdossiers of rapportages aan derde partijen.  Er zijn geen archiefprocedures aanwezig die waarborgen dat dossiers gedurende de vastgestelde retentie periode kunnen worden geraadpleegd.  Er zijn geen (logische en/of fysieke toegangsbeveiligings-) maatregelen (opzet) die adviesdossiers (huidige en archief) afschermen tegen niet geautoriseerde inzage.  De procedures sluiten niet aan bij AVG (Algemene verordening gegevensbescherming) en andere van toepassing zijnde regelgeving. PC:  Maatregelen (beleid en procedures) voor het bewaren van adviesdossiers, en/of het verstrekken van adviesdossiers of rapportages aan derde partijen zijn niet eenduidig vastgelegd en/of worden niet periodiek geüpdatet (opzet, bestaan).  De verkregen toestemming tot het verstrekken van rapporten aan derden is niet gedocumenteerd.

56

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

2340 – Supervisie van de opdracht Er moet naar behoren supervisie worden gegeven van de opdrachten, om de doelstellingen te realiseren, de kwaliteit te waarborgen en het personeel verder te vormen. Interpretatie: De benodigde mate van toezicht zal afhangen van de vakbekwaamheid en ervaring van de internal auditors en de complexiteit van de opdracht. Het hoofd van de internal auditfunctie heeft de eindverantwoordelijkheid voor de supervisie van op de opdracht, ongeacht of deze wordt uitgevoerd door of voor de internal auditfunctie, maar mag voldoende ervaren leden van internal auditfunctie aanwijzen voor het geven van supervisie. Passend bewijs van dit toezicht wordt gedocumenteerd en bewaard.

NALEVINGSCRITERIA

OORDEELSVORMING

A. Er wordt naar behoren toezicht gehouden op de opdrachten om de doelstellingen te realiseren, de kwaliteit te waarborgen en het personeel verder te vormen.

Hier gelden dezelfde regels als bij 2330, d.w.z. niet gedocumenteerd is niet gedaan. De wijze waarop de CAE zijn verantwoordelijkheid kan nemen, is bekend bij de medewerkers van de IAF, veelal via de handleiding.

B. Passend bewijs van dit toezicht wordt gedocumenteerd en bewaard.

DNC op dossierniveau:  De supervisie is niet adequaat uitgevoerd; kent weinig diepgang (bijvoorbeeld in het geval van het ontbreken van bewijs van voortgangsbesprekingen of ontbreken van reviewaantekeningen .  Het dossier is niet voorafgaand (tijdigheid) aan de verzending van de conceptrapportage volledig gereviewd volgens de procedures die in het IAF handboek zijn opgenomen.  Uit het dossier blijkt dat de ‘supervisor’ onvoldoende betrokken is geweest bij de uitvoering van de materiële stappen in het auditproces. Deze stappen zijn preliminary assessment, auditplan, werkprogramma, opdrachtbrief). PC op dossierniveau:  Er zijn in opzet geen kaders (beleid en procedures) waarbinnen de supervisie op auditwerkzaamheden is ingeregeld, maar in de praktijk (werking) wordt supervisie wel goed uitgevoerd.

2400 – Communicatie van resultaten Internal auditors moeten de resultaten van de opdrachten communiceren.

A. Internal auditors communiceren de resultaten van de opdrachten.

Voor substandaarden 24XX geldt dat eerst op dossierniveau wordt nagegaan of wordt voldaan aan de Standaard of niet. Uitslagen van de representatieve selectie van individuele dossiers kunnen uitmonden in een DNC/PC op Standaard-niveau.

57

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING Bij een DNC op een van de dossiers (desnoods aan te vullen met een deelwaarneming van additionele dossiers, die alleen op deze Standaard(en) worden beoordeeld) wordt onderzocht of sprake is van een incidenteel of structureel probleem. Deze root cause analyse zal leiden tot een oordeel op Standaard-niveau. Bij een structureel probleem: DNC. Indien meer dan 1 dossier een DNC betreft, is het oordeel op Standaard-niveau altijd een DNC. Bij een incidenteel probleem (1 dossier DNC en andere Complies): PC. Hierbij dient wel nagegaan te worden of er voldoende dossiers (of onderdelen van dossiers) zijn beoordeeld bij het toetsproces. Breidt eventueel het aantal deelwaarnemingen uit. DNC op dossierniveau:  Er wordt naar aanleiding van opdrachten niet gerapporteerd.  De rapportage naar aanleiding van de uitgevoerde werkzaamheden kent één een of meerdere ernstige tekortkomingen, zoals: materiële bevindingen worden niet gerapporteerd, de auditrating staat niet in verhouding tot de bevindingen, aanbevelingen ontbreken, er wordt niet gerapporteerd over het (oorspronkelijke) doel van de opdracht.  Het rapport bevat bevindingen die relevant zijn voor de eindconclusie, maar die zijn niet in het dossier terug te vinden.  Bij een DNC op Standaard 2410.A1, 2420, 2430, 2440 of 2450.

58

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING PC op dossierniveau:  Het rapport bevat bevindingen die niet relevant zijn voor de eindconclusie en die niet terug te vinden zijn in het auditdossier.  Bij een PC op Standaard 2410.A1, 2420, 2430, 2440 of 2450.  Bij een DNC op één van de andere Standaarden uit de categorie 24xx.

2410 – Criteria voor de communicatie Communicatie moet de doelstellingen en reikwijdte van de opdracht, evenals de resultaten daarvan omvatten.

A. Communicatie omvat de doelstellingen en reikwijdte van de opdracht, evenals de resultaten daarvan.

DNC op dossierniveau:  De rapportage bevat één of meerdere van de 3 in Standaard 2410 genoemde elementen niet.  De rapportage over de elementen wijkt significant af van de feitelijke verrichte werkzaamheden en sluit niet aan op de opdrachtdoelstelling en/of het auditdossier. PC op dossierniveau:  De rapportage bevat alle 3 de in Standaard 2410 genoemde elementen, maar kent geringe diepgang

2410.A1 – Communicatie van de uiteindelijke resultaten moet de desbetreffende conclusies en aanbevelingen en/of actieplannen omvatten. Waar van toepassing, dient de internal auditor zijn oordeel te geven. Een dergelijk oordeel moet rekening houden met de verwachtingen van het senior management, het bestuur en de overige stakeholders, en moet uitgaan van toereikende, betrouwbare, relevante en nuttige informatie.

B. De communicatie van de uiteindelijke resultaten van de opdracht omvat de van toepassing zijnde conclusies en aanbevelingen en/of actieplannen. (2410.A1) C. Waar van toepassing wordt het oordeel van de internal auditor verstrekt. Een dergelijk oordeel moet rekening houden met de verwachtingen van het senior management, het bestuur en de overige stakeholders, en moet onderbouwd worden door voldoende, betrouwbare, relevante en nuttige

59

Kader:  Zie ook het gestelde bij 2450 over overall opinions.  In de gevallen dat een overall opinion op auditniveau wordt afgegeven, zal deze onderbouwd moeten zijn door toereikende, betrouwbare, relevante informatie. Zie ook en stem af met 2320 inzake de identificatie en analyse van de informatie, om overlap te voorkomen.  De handleiding van de IAF zal guidance moeten geven welke overall opinions gehanteerd worden en welke methodologie/ afweging daarbij wordt gehanteerd.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

Interpretatie:

NALEVINGSCRITERIA informatie. (2410.A1)

OORDEELSVORMING Dit moet ook voor de lezer van het rapport duidelijk zijn.

Oordelen op opdrachtniveau kunnen classificaties, conclusies of overige omschrijvingen van de resultaten zijn. Een dergelijke opdracht kan betrekking hebben op beheersmaatregelen omtrent een specifiek proces, een specifiek risico of een specifieke bedrijfsentiteit. Het opstellen van dergelijke adviezen vereist dat de resultaten van de opdracht en hun specifieke belang worden overwogen.

DNC op dossierniveau:  De overall opinion is gebaseerd op onvoldoende, onbetrouwbare, of niet relevante informatie.  Bij de bepaling van de overall opinion is de voorgeschreven IAF methodologie niet gevolgd waardoor een onjuiste conclusie / rating is verstrekt.  De overall opinion is niet conform de voorgeschreven bewoording opgesteld en daarmee verwarrend of zelfs misleidend.  Er wordt een overall opinion verstrekt zonder dat in de ’procedures van de IAF (manual) guidance wordt verstrekt. PC op dossierniveau:  De documentatie over de strekking van de overall opinion kent hiaten van niet-ernstige aard (maar een re-performance leidt niet tot een andere conclusie/rating).  Bij de bepaling van de overall opinion is de voorgeschreven IAF methodologie niet gevolgd, maar is uiteindelijk wel een juiste conclusie / rating verstrekt.  De overall opinion is niet conform de voorgeschreven bewoording opgesteld, maar is niet verwarrend of misleidend.

2410.A2 – Internal auditors worden aangemoedigd om bevredigende resultaten te onderkennen in de communicatie over de opdracht. 2410.A3 – Bij het vrijgeven van de auditresultaten aan

D. Internal auditors onderkennen bevredigende resultaten in de communicatie over de opdracht. (2410.A2) E. Bij het vrijgeven van de auditresultaten aan partijen buiten de organisatie, bevat de 60

2410.A2:  Indien dit niet het geval is, hiervoor een aanbeveling opnemen. Geen implicaties voor rating op 2410/2400. 2410.A3:

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD partijen buiten de organisatie, moeten ook de beperkingen worden aangegeven voor de verspreiding en het gebruik van de resultaten.

NALEVINGSCRITERIA communicatie de beperkingen voor de verspreiding en het gebruik van de resultaten. (2410.A3)

OORDEELSVORMING DNC:  De beperkingen in de verspreiding en het gebruik zijn niet aangegeven. PC: n.v.t. DNC op dossierniveau:  Uit de terugkoppeling van de opdrachtgever blijkt dat de rapportage in grote mate niet voldoet aan de verwachtingen van de opdrachtgever.

2410.C1 – De communicatie van het verloop en de resultaten van een adviesopdracht zal qua vorm en inhoud variëren, afhankelijk van de aard van de opdracht en de wensen van de opdrachtgever.

PC op dossierniveau:  Uit de terugkoppeling van de opdrachtgever blijkt dat de rapportage op punten mate niet voldoet aan de verwachtingen van de opdrachtgever. 2420 – Kwaliteit van de communicatie

DNC op dossierniveau:  De rapportage voldoet aantoonbaar en op kernpunten niet aan De communicatie moet nauwkeurig, objectief, helder, één of meerdere in de Standaard en de interpretatie opgenomen beknopt, opbouwend, volledig en tijdig zijn. aspecten. B. De communicatie is objectief, eerlijk, onpartijdig Interpretatie: en onbevooroordeeld, en is het resultaat van een PC op dossierniveau: 'Nauwkeurige' mededelingen zijn vrij van fouten en eerlijke en evenwichtige beoordeling van alle  De rapportage voldoet niet geheel aan de interpretatie van de in verdraaiingen en onderbouwd met de onderliggende relevante feiten en omstandigheden. de Standaard opgenomen aspecten maar dit is niet dermate feiten. 'Objectieve' communicatie is eerlijk, onpartijdig wezenlijk dat een verkeerd beeld van de uitkomsten van het en onbevooroordeeld en is het resultaat van een eerlijke C. De communicatie is helder, gemakkelijk te onderzoek wordt verkregen. en evenwichtige beoordeling van alle relevante feiten en begrijpen en logisch, vermijdt onnodig jargon en omstandigheden. 'Heldere' communicatie is gemakkelijk levert alle belangrijke en relevante informatie. Nadere aanwijzing: te begrijpen en logisch, vermijdt onnodig jargon en D. De communicatie is beknopt, to-the-point en Subjectiviteit bij beoordeling van deze Standaard is te voorkomen door levert alle belangrijke en relevante informatie. vermijdt onnodige uitweiding, overbodige details, in de oordeelsvorming de feedback van RvB/AC/RvC van de 'Beknopte' communicatie is to-the-point en vermijdt A. De communicatie is accuraat, vrij van fouten en verdraaiingen en onderbouwd met de onderliggende feiten.

61

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

onnodige uitweiding, overbodige details, een te grote woordenvloed en langdradigheid. 'Opbouwende' communicatie is nuttig voor de opdrachtgever van de opdracht en de organisatie en leidt waar nodig tot verbeteringen. 'Volledige' communicatie betekent dat niets ontbreekt dat essentieel is voor de doelgroep en dat alle belangrijke en relevante informatie en bevindingen ter ondersteuning van de aanbevelingen en conclusies zijn opgenomen. 'Tijdige' communicatie komt op het juiste ogenblik en is passend, afhankelijk van de ernst van het probleem, zodat het management de juiste corrigerende maatregelen kan nemen.

een te grote woordenvloed en wijdlopigheid.

2421 – Fouten of omissies

A. Indien een definitief rapport een belangrijke vergissing of nalatigheid bevatte, heeft de CAE de gecorrigeerde informatie doorgegeven aan alle partijen die de originele versie van het rapport hebben ontvangen.

Indien een definitief rapport een belangrijke fout of omissie bevat, moet het hoofd van de internal auditfunctie de gecorrigeerde informatie doorgeven aan alle partijen die de originele versie van het rapport hebben ontvangen. 2430 – Gebruik van de term ‘Uitgevoerd in overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing' Internal auditors mogen alleen melden dat hun opdrachten zijn ‘uitgevoerd in overeenstemming met de

E. De communicatie is opbouwend, nuttig voor de opdrachtgever en de organisatie en leidt waar nodig tot verbeteringen.

OORDEELSVORMING organisatie bij de IAF te betrekken of door gebruik te maken van gehouden evaluaties van de audit. Ga ook na welke handvatten de manual geeft over de rapportage en of daaraan wordt voldaan.

F. De communicatie is volledig, er ontbreken geen zaken die essentieel zijn voor de doelgroep en alle belangrijke en relevante informatie en bevindingen ter ondersteuning van de aanbevelingen en conclusies zijn erin opgenomen. G. De communicatie is tijdig, komt op het juiste ogenblik, is passend, afhankelijk van de ernst van het probleem, zodat het management de juiste corrigerende maatregelen kan nemen. Deze Standaard zal slechts in uitzonderingsgevallen, als er daadwerkelijk sprake is van definitieve rapporten met fouten, van toepassing zijn. DNC: er is sprake van belangrijke omissies in de definitieve rapportage en de CAE heeft nagelaten om de nodige maatregelen te nemen. PC: n.v.t. A. Het vermelden dat opdrachten zijn “Uitgevoerd in overeenstemming met de internationale Standaarden voor de beroepsuitoefening van internal auditing”, is alleen passend indien de resultaten van het kwaliteitsbewakings- en verbeterprogramma de uitspraak onderbouwen.

62

Zie ook Standaard 1321. Algemeen: veelal niet van toepassing omdat in de Nederlandse internal auditwereld de passage vrijwel niet wordt opgenomen. DNC op dossierniveau:  Het blijkt dat de genoemde passage wel is gebruikt in auditrapportages, terwijl er geen externe kwaliteitstoets met het resultaat ‘voldoet’ is.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

internationale standaarden voor de beroepsuitoefening van internal auditing’, indien de resultaten van het kwaliteitsbewakings- en verbeterprogramma de uitspraak onderbouwen. 2431 – Melding van niet-naleving tijdens de opdracht Wanneer het niet-naleven van de definitie van internal auditing, de gedragscode of de Standaarden gevolgen heeft voor een bepaalde opdracht, moet de communicatie van de resultaten melding maken van:  Het principe of de gedragsregel van de gedragscode of de Standaard(en) die niet geheel werd(en) nageleefd.  De reden(en) van het niet-naleven.  De gevolgen van het niet-naleven voor de opdracht en de gecommuniceerde resultaten van de opdracht. 2440 – Verspreiding van de resultaten Het hoofd van de internal auditfunctie moet de resultaten aan de juiste partijen communiceren. Interpretatie: Het hoofd van de internal auditfunctie beoordeelt de definitieve communicatie, keurt deze goed voor verspreiding en beslist aan wie en hoe de informatie zal worden verspreid. Indien het hoofd van de internal

A. Wanneer het niet-naleven van de definitie van internal auditing, de gedragscode of de Standaarden gevolgen heeft voor een bepaalde opdracht, maakt de communicatie van de resultaten melding van: a. het beginsel of de regel van de gedragscode of de Standaarden die niet geheel werd nageleefd; b. de reden(en) van het niet-naleven; c. de gevolgen van het niet-naleven voor de opdracht en de gecommuniceerde resultaten van de opdracht. (2431)

Zie ook Standaard 1322. Maak onderscheid tussen de uiting van wel voldoen (en dan speelt 2430) en niet voldoen (Standaard 2431). In het laatste geval dient dat altijd gemeld te worden. DNC op dossierniveau:  Er wordt niet voldaan aan de Standaarden (overall oordeel DNC/Voldoet Niet) terwijl dat niet wordt vermeld.  In de situatie wordt niet voldaan aan essentiële Standaarden en dit wordt niet gemeld (professioneel judgement van de toetser). PC op dossierniveau:  Aan enkele Standaarden wordt niet voldaan, maar er is nagelaten dit te melden.

DNC op dossierniveau:  De rapportage is niet gereviewd en goedgekeurd door of namens de CAE voorafgaande aan het uitbrengen van het (finale) rapport. B. De CAE beoordeelt de definitieve communicatie,  Bij een DNC op Standaard 2440.A1 of A2. keurt deze goed voor verspreiding en beslist aan wie en hoe de informatie zal worden verspreid. Wanneer de CAE deze taken delegeert, blijven ze PC op dossierniveau:  Bij een PC op Standaard 2440.A1 of A2 of DNC op Standaard onder zijn eindverantwoordelijkheid vallen. 2440.C1-C2. A. De CAE communiceert de resultaten aan de juiste partijen.

63

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

auditfunctie deze taak delegeert, behoudt hij of zij de eindverantwoordelijkheid.



C. De CAE communiceert de eindresultaten aan partijen die kunnen bewerkstelligen dat aan de resultaten de nodige aandacht zal worden gegeven. (2440.A1) D. Indien er geen andere wettelijke, statutaire of reglementaire vereisten zijn, gaat de CAE 2440.A2 – Indien er geen andere wettelijke, statutaire of voorafgaand aan het verspreiden van de resultaten reglementaire vereisten zijn, moet het hoofd van de aan partijen buiten de organisatie over tot internal auditfunctie voorafgaand aan het verspreiden (aanbeveling – geen verplichting): van de resultaten aan partijen buiten de organisatie: a. evaluatie van het potentiële risico voor de  Het potentiële risico voor de organisatie evalueren. organisatie;  Indien nodig, het senior management en/of de b. indien nodig, raadpleging van het senior juridische afdeling raadplegen. management en/of de juridische afdeling;  De verdere verspreiding beheersen door het gebruik c. beheersing van de verdere verspreiding door het gebruik van de resultaten te beperken. (2440.A2) van de resultaten te beperken.

DNC op dossierniveau:  De rapportage wordt alleen verstrekt aan de auditee en wordt niet door de CAE naar een volgend managementniveau gestuurd (2440.A1), terwijl de auditee onvoldoende opvolging aan de bevindingen geeft.  Er wordt niet voldaan aan de maatregelen die de CAE behoort te nemen voor het extern publiceren van een rapportage (2440.A2).

2440.A1 – Het hoofd van de internal auditfunctie is verantwoordelijk voor het communiceren van de eindresultaten aan de partijen die kunnen bewerkstelligen dat aan de resultaten de nodige aandacht zal worden gegeven.

2440.C1 – Het hoofd van de internal auditfunctie is verantwoordelijk voor de communicatie van de eindresultaten van adviesopdrachten aan de opdrachtgevers. 2440.C2 – Tijdens de adviesopdrachten kunnen kwesties op het gebied van governance, risicomanagement en beheersing worden ontdekt. Indien deze problemen belangrijk zijn voor de

E. De CAE communiceert de eindresultaten van de adviesopdrachten aan de opdrachtgevers. (2440.C1) F. Tijdens de adviesopdrachten kunnen kwesties op het gebied van governance, risicomanagement en beheersing worden ontdekt. Indien deze problemen belangrijk zijn voor de organisatie, worden zij meegedeeld aan het senior management en het bestuur. (2440.C2) 64

Bij een review door of namens CAE die beperkt inhoudelijk is en meer een formaliteit.

PC op dossierniveau:  De rapportage is niet uitgebracht conform het gestelde in de opdrachtbrief en hierover wordt geen nadere toelichting gegeven (2440.A1).

DNC op dossierniveau:  De resultaten worden niet of gedeeltelijk gecommuniceerd.  Er blijkt dat belangrijke issues op het gebied van governance, risicomanagement en control niet zijn gerapporteerd aan senior management. PC op dossierniveau:  Minder belangrijke, maar niet onbelangrijke punten zijn niet gecommuniceerd.

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

organisatie, moeten zij meegedeeld worden aan het senior management en het bestuur. 2450 – Overall Opinions

A. Bij het afgeven van een algemeen oordeel wordt rekening gehouden met de verwachtingen van het Indien een overall opinion wordt gegeven, moet hierbij senior management, het bestuur en de overige rekening worden gehouden met de strategieën, doelstellingen en risico's van de organisatie, alsook de stakeholders, en het oordeel wordt onderbouwd verwachtingen van het senior management, het bestuur door voldoende, betrouwbare, relevante en nuttige informatie. en de overige stakeholders. De overall opinion moet worden gebaseerd op toereikende, betrouwbare, B. Bij de communicatie van een algemeen oordeel relevante en nuttige informatie. wordt de reikwijdte, met inbegrip van de periode waarop het oordeel betrekking heeft, aangegeven. Interpretatie: De communicatie moet het volgende omvatten:  De reikwijdte, inclusief de tijdsperiode waar de opinie betrekking op heeft.  Beperkingen aan de reikwijdte.  Overwegingen ten aanzien van alle gerelateerde projecten, inclusief vertrouwen op overige auditors.  Een overzicht van de informatie waarop de conclusie is gebaseerd;  Het risico- of beheersingsraamwerk of de overige criteria die zijn gebruikt als basis voor de overall opinion.  De overall opinion, het oordeel of de conclusie.  De redenen waarom een ongunstige overall opinion moet worden gegeven.

C. Bij de communicatie van een algemeen oordeel worden beperkingen in de reikwijdte aangegeven.

Kader:  Zie ook het gestelde bij 2410.A1.  De manual van de IAF zal guidance moeten geven welke overall opinions gehanteerd worden en welke methodologie daarbij wordt gehanteerd.  In de gevallen dat een overall opinion wordt afgegeven, zal deze onderbouwd moeten zijn door toereikende, betrouwbare, relevante informatie. Daarbij zal het audit rapport een passage dienen te bevatten waarin de ranking en methodologie wordt uiteengezet dan wel een verwijzing naar een algemeen toegankelijke website).

DNC op dossierniveau: D. Bij de communicatie van een algemeen oordeel  De overall opinion is gebaseerd op onvoldoende, onbetrouwbare, worden alle gerelateerde projecten aangegeven, of niet relevante informatie. waaronder het inschakelen van andere auditors.  Bij de bepaling van de overall opinion is de voorgeschreven IAF E. Bij de communicatie van een algemeen oordeel methodologie niet gevolgd waardoor een onjuiste conclusie / rating worden het risico- of beheerskader of andere is verstrekt. criteria aangegeven die als basis voor het  De overall opinion is niet conform de voorgeschreven bewoording algemene oordeel hebben gediend. opgesteld en daarmee verwarrend of zelfs misleidend. F. Bij de communicatie van een algemeen oordeel  Er wordt een overall opinion verstrekt zonder dat in de IAF’s worden het algemene oordeel, de beoordeling of procedures (manual) guidance wordt verstrekt. de getrokken conclusie aangegeven.  De organisatie (senior management, RvB en RvC/AC) is G. Een algemeen oordeel vermeldt de redenen onvoldoende bekend met het stelsel van overall opinions. voor een afwijzend algemeen oordeel. PC op dossierniveau:

65

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING 



 

2500 – Monitoren van de opvolging

A. De CAE heeft een systeem opgezet en onderhoudt dit om toe te zien op de opvolging van Het hoofd van de internal auditfunctie moet een systeem opzetten en onderhouden om toe te zien op de de resultaten die zijn gecommuniceerd aan het opvolging van de bevindingen, zoals gecommuniceerd management. aan het management.

De documentatie over de strekking van de overall opinion kent hiaten van niet ernstige aard (maar re-performance leidt niet tot een andere conclusie/rating). Bij de bepaling van de overall opinion is de voorgeschreven IAF methodologie niet gevolgd, maar er is uiteindelijk wel een juiste conclusie/rating verstrekt. De overall opinion is niet conform de voorgeschreven bewoording opgesteld maar is niet verwarrend of misleidend. Een van de andere elementen, zoals aangegeven in de Nalevingscriteria ontbreekt.

Kader: Het is mogelijk dat, op initiatief van of in overleg met de CAE, de monitoring (mogelijk ook in relatie tot actiepunten vanuit andere assurance providers) wordt ingevuld door een andere functie, bijvoorbeeld vanuit de tweede lijn. De CAE dient dan zowel de resultaten daarvan als de werking van dit systeem te bewaken. DNC:  Er ontbreekt een monitoringsysteem waarin de opvolging van de afgesproken actiepunten duidelijk is.  Er is een monitoringsysteem aanwezig, maar deze wordt niet gehanteerd of niet adequaat bijgehouden.  Er ontbreekt een regelmatige rappel.  Er ontbreekt een rapportage over de follow-up aan senior management en RvB/AC/RvC.  Bij een DNC op Standaard 2500.A1.

66

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

PC:  Bij een PC op Standaard 2500.A1.  Bij een DNC op Standaard 2500.C1. 2500.A1 – Het hoofd van de internal auditfunctie moet een vervolgproces opzetten om te controleren en te waarborgen dat beheersmaatregelen doeltreffend zijn geïmplementeerd of dat het senior management het risico heeft aanvaard om geen maatregelen te nemen.

B. De CAE heeft een follow up-proces opgezet om te controleren en te waarborgen dat beheersmaatregelen doeltreffend zijn geïmplementeerd of dat het senior management het risico heeft aanvaard om geen maatregelen te nemen.

Kader: De auditor neemt niet de verantwoordelijkheid of het eigenaarschap van een actie over, maar heeft een rappelfunctie. DNC:  Er ontbreekt een gestructureerd en periodiek stelselmatig bijgewerkt follow-up proces.  Er is een follow-up proces, maar deze wordt niet regelmatig uitgevoerd.  Er is een follow-up proces, en deze wordt regelmatig uitgevoerd, maar hoger management wordt niet regelmatig en stelselmatig over de voortgang gerapporteerd. PC:  Er is een follow-up proces ingericht, maar er wordt niet structureel gemonitord of de openstaande actieplannen adequaat zijn opgevolgd.

2500.C1 – De internal- auditfunctie moet de plannen als gevolg van de resultaten van de adviesopdrachten bewaken, voor zover overeengekomen met de opdrachtgever.

C. De internal auditfunctie bewaakt de plannen als DNC: gevolg van de resultaten van de adviesopdrachten,  Er vindt geen monitoring plaats.  Er vindt wel monitoring plaats maar geen signalering. voor zover overeengekomen met de opdrachtgever. PC:  De monitoring vindt niet systematisch plaats.

67

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

OORDEELSVORMING

DNC: A. Wanneer de CAE meent dat het management een risiconiveau heeft aanvaard dat ontoelaatbaar  De CAE bespreekt geaccepteerde risico’s hoger dan de risk Wanneer het hoofd van de internal auditfunctie meent appetite niet met betrokken senior management. zou kunnen zijn voor de organisatie, bespreekt de dat het management een risiconiveau heeft aanvaard  De CAE doet geen verslag van geaccepteerde risico’s hoger dan dat ontoelaatbaar zou kunnen zijn voor de organisatie, CAE dit met het senior management. Indien de de risk appetite aan de RvB/CEO en AC/RvC. CAE bepaalt dat de kwestie niet is opgelost, legt hij moet het hoofd van de internal auditfunctie dit met het of zij de zaak voor aan het bestuur. senior management bespreken. Als het hoofd van de internal auditfunctie vaststelt dat deze kwestie niet is B. De rapportages en mededelingen van de CAE PC:  De CAE heeft de discussie met senior management niet opgelost, moet het hoofd van de internal auditfunctie aan het senior management en het bestuur gedocumenteerd, maar doet wel verslag aan de RvB/CEO en deze kwestie communiceren aan het bestuur. bevatten informatie over het inspelen op risico's AC/RvC over geaccepteerde risico’s hoger dan de risk appetite. die, naar het oordeel van de CAE, onaanvaardbaar Interpretatie:  Het management verschuift de deadline van een oplossing voor De identificatie van een door het management aanvaard voor de organisatie zijn. (2060, 2600) belangrijke audit issues en dit wordt door de CAE niet expliciet risico kan worden waargenomen op grond van een gemeld aan de AC (of RvB). audit- of een adviesopdracht, het controleren van de voortgang van door het management genomen maatregelen als gevolg van eerdere opdrachten, of anderszins. Het beslissen over het omgaan met het risico valt niet onder de verantwoordelijkheid van het hoofd van de internal auditfunctie. 2600 – Communicatie van de risicoacceptatie

68

Handleiding voor de kwaliteitsbeoordeling van de internal auditfunctie

STANDAARD

NALEVINGSCRITERIA

De beginselen van de gedragscode

A. Het beleid van de afdeling gaat uit van de Van internal auditors wordt verwacht dat zij de volgende verwachting dat medewerkers van de internal auditfunctie voldoen aan de vereisten van de beginselen toepassen en hooghouden: gedragscode. 1. Integriteit De integriteit van internal auditors geeft B. Aantoonbaar is dat het beleid aan de vertrouwen en vormt aldus het fundament voor het medewerkers van de internal auditfunctie wordt vertrouwen dat wordt gesteld in diens oordeel. gecommuniceerd en door hen wordt begrepen. 2. Objectiviteit Internal auditors moeten bij het C. Internal auditors hanteren en respecteren de verzamelen, evalueren en communiceren van beginselen integriteit, objectiviteit, vertrouwelijkheid informatie over de activiteit die of het proces dat en competentie. wordt onderzocht, de hoogste mate van professionele objectiviteit ten toon spreiden. Internal auditors maken een evenwichtige afweging van alle relevante omstandigheden en laten zich bij het vormen van hun oordeel niet onrechtmatig beïnvloeden door hun eigen belangen of die van anderen. 3. Vertrouwelijkheid Internal auditors hebben respect voor de waarde en het eigendom van de informatie die zij ontvangen. Zij maken geen informatie openbaar zonder daarvoor toestemming te hebben verkregen, tenzij er een wettelijke of professionele plicht daartoe bestaat. 4. Competentie Internal auditors passen de kennis, vaardigheden en ervaring toe die nodig zijn voor het uitvoeren van interne audits.

69

OORDEELSVORMING DNC:  De beleidsdocumenten/handboek beschrijven niet dat de gedragscode van het IIA moet worden nageleefd.  Er is niet per medewerker vastgelegd dat hij/zij bekend is met de gedragscode, deze onderschrijft en zal naleven.  Incidenten worden niet of in onvoldoende mate opgepakt door de CAE en besproken met betreffende medewerker.

Life Enjoy

" Life is not a problem to be solved but a reality to be experienced! "

Get in touch

Social

© Copyright 2013 - 2019 TIXPDF.COM - All rights reserved.