Door Peter Hartog
Het Instituut van Internal Auditors (IIA) heeft de nieuwe Global Internal Audit Standards (GIAS) uitgebracht. Zij beogen het beroep naar een hoger niveau tillen, en de grondslag te zijn voor de internal auditfunctie (IAF) van de toekomst. De nieuwe standaarden:- Zijn op elkaar afgestemd en vereenvoudigd
- Benadrukken de kwaliteit en toegevoegde waarde van de IAF
- Helpen internal auditors partners te zijn voor het bestuur en senior management
- Borgen effectieve assurance- en adviesdiensten.
Het proces
De release van de nieuwe GIAS op 9 januari 2024 is het resultaat van een omvangrijk driejarig proces, waarin niet alleen de standaarden zelf zijn geëvalueerd, maar ook het proces zelf. Daartoe is ook gekeken naar hoe andere ‘standard setting bodies’ (zoals IFAC, INTOSAI, ISO) dat doen. De International Internal Audit Standards Board (IIASB), de architect van de nieuwe standaarden, verzamelde input via enquêtes, webinars en rondetafelgesprekken met leden en bij de IAF betrokken functies, waaronder toezichthouders en wetgevers. Via een publieke consultatie zijn de gehele interne auditgemeenschap en haar belanghebbenden uitgenodigd om een concept van de standaarden te beoordelen en er commentaar op te geven. Deze comments zijn in detail bekeken en hebben geleid tot behoorlijke aanpassingen van het concept. De volgende stap voor het IIA is de uitwerking van de nieuwe standaarden in de diverse instrumenten, zoals de Quality Assessment Manual en de CIA-training. De leden hebben een jaar om GIAS te implementeren. Zij worden in januari 2025 van kracht. Hierna worden de belangrijkste wijzigingen beschreven, eerst in de structuur, daarna in de inhoud.Wijzigingen in de structuur
Het eerste dat opvalt is dat de nieuwe structuur de standaarden veel toegankelijker en duidelijker maakt; de verschillende elementen zijn logisch op elkaar afgestemd. Het nieuwe International Professional Practices Framework bestaat uit drie delen: GIAS, Global Guidance (de oude Supplemental Guidance) en de nieuwe, nog te ontwikkelen Topical Requirements. De laatste zijn vereisten die gelden bij het uitvoeren van audits op specifieke onderwerpen, met als doel de consistentie en kwaliteit van het auditen van die belangrijke, veel onderzochte objecten te bevorderen. Ze zullen in 2024 worden ontwikkeld, onder andere voor Cybersecurity en IT Governance.
Een eenduidig geheel van 5 domeinen, met principes en daaruit afgeleide standaarden
De standaarden zelf, GIAS, zijn een eenduidig geheel van vijf domeinen:
- De doelstelling of ‘purpose’ van internal audit, ter vervanging van de huidige Missie en Definitie; te zien als ‘elevator pitch’ waarmee de toegevoegde waarde van de IAF wordt beschreven. Dit domein kent geen principes of standaarden, maar vormt de basis voor het geheel;
- Ethiek en professionaliteit, te zien als de nieuwe gedragscode;
- Besturen van de IAF;
- Managen van de IAF;
- Uitvoeren van internal auditdiensten.
De domeinen 3 t/m 5 zijn ingedeeld naar de onderscheiden functies: respectievelijk het bestuur en senior management, het hoofd van de IAF en alle internal auditors in de uitvoering van audits.
Uit Domein 1:
Internal auditing versterkt het vermogen van de organisatie om waarde te creëren, te beschermen en te behouden door het bestuur en het management te voorzien van onafhankelijke, op risico gebaseerde en objectieve assurance, advies, inzicht en vooruitzichten.
Binnen de domeinen, zijn 15 principes benoemd, die vervolgens zijn uitgewerkt in 52 standaarden.
Per standaard worden de vereisten beschreven, maar ook de handvatten (‘considerations’) om deze te implementeren en de naleving daarvan aan te tonen. Het kan daardoor lijken dat de standaarden substantieel in omvang zijn toegenomen, maar dat is niet zo. De eerder gescheiden implementatierichtlijnen zijn nu direct achter de verplichtingen zijn opgenomen, om daarmee beter toegankelijk te zijn. Die zijn dus niet verplicht. Dat komt ook tot uitdrukking in het woordgebruik: ‘must’ (moeten) voor de vereisten, ‘should’ (zullen) en ‘may’ (kunnen) voor de handvatten.
Wijzigingen in de inhoud
De nieuwe standaarden zijn geen revolutie; het is niet dat het vakgebied opnieuw wordt uitgevonden. Wel is sprake van een update van alle standaarden, vanuit de nieuwe eisen aan de professie en vanuit de insteek om op korte en langere termijn waarde te blijven toevoegen aan de organisatie.
“GIAS helpt auditors bij de aansluiting van de IAF bij de doelen van de organisatie en bij het borgen van de relevantie en deugdelijkheid van de audits. En het helpt de functie internal auditing nog beter uit te dragen naar alle stakeholders.”
- De beschrijving van de vereisten: steeds is de vraag gesteld of een statement gaat over het ‘wat/waarom’ of over het ‘hoe’. ‘Hoe’-statements zijn allemaal verplaatst naar de handvatten, dus uit de verplichtingen gehaald. Een mooi voorbeeld hiervan is het geven van een rating bij de bevindingen. Het doel van een rating is de organisatie inzicht te geven in de belangrijkste punten van aandacht. Dat kan echter op verschillende manieren, waarvan een rating-systeem er één is. Zodoende is het geven van een rating onder de considerations opgenomen.
- Het ‘conform or explain’ principe: hiermee wordt erkend dat de bedoeling boven de regels gaat. Hoewel naleving van de vereisten wordt verwacht, wordt erkend dat er situaties mogelijk zijn waarin internal auditors er niet in slagen om aan een vereiste te voldoen, maar toch de bedoeling van de Standaard realiseren. In die bijzondere situaties worden dan alternatieve maatregelen verwacht inclusief een vastlegging daarvan met de redenen voor de afwijking.
- De nieuwe ‘purpose statement’ in domein 1.
- Domein 3, waarin Hoofd Audit wordt gevraagd in gesprek te gaan met bestuur, auditcommissie en senior management over het gewenste mandaat van de IAF en de condities om de effectiviteit van de IAF te optimaliseren. Belangrijke overwegingen daarbij zijn ook de afstemming met andere in- en externe functies die (aanvullende) zekerheid verschaffen en de periodieke evaluatie om mogelijke gewijzigde omstandigheden om een aanpassing vragen.
- In domein 4, het management van de IAF, zijn twee instrumenten toegevoegd die mogelijk nieuw zijn voor veel IAF’s: het opstellen van een strategie voor de IAF (om op langere termijn de strategische doelen van de organisatie te ondersteunen) en ‘performance measurement’. Hoofd Audit wordt geacht daarvoor doelen en KPI’s te ontwikkelen en de realisatie te bewaken.
De implementatie
Internal auditfuncties hebben een jaar om de GIAS te implementeren. Middels een ‘gap assessment’ kunnen de voor de IAF benodigde wijzigingen worden vastgesteld. Strategisch gezien bieden de nieuwe standaarden ook een mooi moment van ‘bezinning’ en bespreking met het bestuur en de auditcommissie, ook gezien de dynamiek en complexiteit van risico’s waarmee organisaties geconfronteerd worden en de nieuwe verplichtingen die zich aandienen. Denk hierbij aan de CSRD en de VOR. Het (mogelijke nieuwe) strategisch plan en domein 3 kunnen worden gebruikt om te spreken over zaken als het mandaat, de afstemming met andere functies en de interactie met bestuur, auditcommisie en senior management . Als IIA Nederland helpen we graag bij de implementatie. Op de website worden diverse instrumenten aangeboden, waaronder de Nederlandse vertaling. De helpdesk staat open voor vragen via vaktechniek@iia.nl.Over
Peter Hartog
Peter Hartog is Directeur Vaktechniek van IIA Nederland, en was lid van de International Internal Audit Standards Board gedurende het opstellen van de nieuwe standaarden. Hij doceert ook aan de Internal Auditing & Advisory opleiding van de EUR. In het verleden werkte hij onder andere bij de SVB, ACS en KPMG.