Beste bezoeker, u bezoekt onze website met Internet Explorer. Deze browser wordt niet meer actief ondersteund door Microsoft en kan voor veiligheids- en weergave problemen zorgen. Voor uw veiligheid raden wij u aan om een courante browser te gebruiken, zoals Google Chrome of Microsoft Edge.
Zoeken
Sluit dit zoekvak.

Nieuwe IIA-standaarden tillen het beroep naar een hoger niveau

Door Peter Hartog

Het Instituut van Internal Auditors (IIA) heeft de nieuwe Global Internal Audit Standards (GIAS) uitgebracht. Zij beogen het beroep naar een hoger niveau tillen, en de grondslag te zijn voor de internal auditfunctie (IAF) van de toekomst. De nieuwe standaarden:
  • Zijn op elkaar afgestemd en vereenvoudigd
  • Benadrukken de kwaliteit en toegevoegde waarde van de IAF
  • Helpen internal auditors partners te zijn voor het bestuur en senior management
  • Borgen effectieve assurance- en adviesdiensten.
In dit artikel wordt ingegaan hoe dit dan wordt gedaan, en worden de belangrijkste veranderingen beschreven.

Het proces

De release van de nieuwe GIAS op 9 januari 2024 is het resultaat van een omvangrijk driejarig proces, waarin niet alleen de standaarden zelf zijn geëvalueerd, maar ook het proces zelf. Daartoe is ook gekeken naar hoe andere ‘standard setting bodies’ (zoals IFAC, INTOSAI, ISO) dat doen. De International Internal Audit Standards Board (IIASB), de architect van de nieuwe standaarden, verzamelde input via enquêtes, webinars en rondetafelgesprekken met leden en bij de IAF betrokken functies, waaronder toezichthouders en wetgevers. Via een publieke consultatie zijn de gehele interne auditgemeenschap en haar belanghebbenden uitgenodigd om een concept van de standaarden te beoordelen en er commentaar op te geven. Deze comments zijn in detail bekeken en hebben geleid tot behoorlijke aanpassingen van het concept. De volgende stap voor het IIA is de uitwerking van de nieuwe standaarden in de diverse instrumenten, zoals de Quality Assessment Manual en de CIA-training. De leden hebben een jaar om GIAS te implementeren. Zij worden in januari 2025 van kracht. Hierna worden de belangrijkste wijzigingen beschreven, eerst in de structuur, daarna in de inhoud.

Wijzigingen in de structuur

Het eerste dat opvalt is dat de nieuwe structuur de standaarden veel toegankelijker en duidelijker maakt; de verschillende elementen zijn logisch op elkaar afgestemd. Het nieuwe International Professional Practices Framework bestaat uit drie delen: GIAS, Global Guidance (de oude Supplemental Guidance) en de nieuwe, nog te ontwikkelen Topical Requirements. De laatste zijn vereisten die gelden bij het uitvoeren van audits op specifieke onderwerpen, met als doel de consistentie en kwaliteit van het auditen van die belangrijke, veel onderzochte objecten te bevorderen. Ze zullen in 2024 worden ontwikkeld, onder andere voor Cybersecurity en IT Governance.

Een eenduidig geheel van 5 domeinen, met principes en daaruit afgeleide standaarden

De standaarden zelf, GIAS, zijn een eenduidig geheel van vijf domeinen:

  1. De doelstelling of ‘purpose’ van internal audit, ter vervanging van de huidige Missie en Definitie; te zien als ‘elevator pitch’ waarmee de toegevoegde waarde van de IAF wordt beschreven. Dit domein kent geen principes of standaarden, maar vormt de basis voor het geheel;
  2. Ethiek en professionaliteit, te zien als de nieuwe gedragscode;
  3. Besturen van de IAF;
  4. Managen van de IAF;
  5. Uitvoeren van internal auditdiensten.

De domeinen 3 t/m 5 zijn ingedeeld naar de onderscheiden functies: respectievelijk het bestuur en senior management, het hoofd van de IAF en alle internal auditors in de uitvoering van audits.

Uit Domein 1:
Internal auditing versterkt het vermogen van de organisatie om waarde te creëren, te beschermen en te behouden door het bestuur en het management te voorzien van onafhankelijke, op risico gebaseerde en objectieve assurance, advies, inzicht en vooruitzichten.

Binnen de domeinen, zijn 15 principes benoemd, die vervolgens zijn uitgewerkt in 52 standaarden.
Per standaard worden de vereisten beschreven, maar ook de handvatten (‘considerations’) om deze te implementeren en de naleving daarvan aan te tonen. Het kan daardoor lijken dat de standaarden substantieel in omvang zijn toegenomen, maar dat is niet zo. De eerder gescheiden implementatierichtlijnen zijn nu direct achter de verplichtingen zijn opgenomen, om daarmee beter toegankelijk te zijn. Die zijn dus niet verplicht. Dat komt ook tot uitdrukking in het woordgebruik: ‘must’ (moeten) voor de vereisten, ‘should’ (zullen) en ‘may’ (kunnen) voor de handvatten.

Wijzigingen in de inhoud

De nieuwe standaarden zijn geen revolutie; het is niet dat het vakgebied opnieuw wordt uitgevonden. Wel is sprake van een update van alle standaarden, vanuit de nieuwe eisen aan de professie en vanuit de insteek om op korte en langere termijn waarde te blijven toevoegen aan de organisatie.

“GIAS helpt auditors bij de aansluiting van de IAF bij de doelen van de organisatie en bij het borgen van de relevantie en deugdelijkheid van de audits. En het helpt de functie internal auditing nog beter uit te dragen naar alle stakeholders.”

Op hoofdlijnen zijn drie ontwikkelingen belangrijk om de nieuwe standaarden goed te kunnen plaatsen. De eerste betreft het ‘principle-based’ karakter. Zoals al gezegd zijn alle standaarden gerelateerd aan bovenliggende principes. In aanvulling daarop, komt dat tot uiting in:
  • De beschrijving van de vereisten: steeds is de vraag gesteld of een statement gaat over het ‘wat/waarom’ of over het ‘hoe’. ‘Hoe’-statements zijn allemaal verplaatst naar de handvatten, dus uit de verplichtingen gehaald. Een mooi voorbeeld hiervan is het geven van een rating bij de bevindingen. Het doel van een rating is de organisatie inzicht te geven in de belangrijkste punten van aandacht. Dat kan echter op verschillende manieren, waarvan een rating-systeem er één is. Zodoende is het geven van een rating onder de considerations opgenomen.
  • Het ‘conform or explain’ principe: hiermee wordt erkend dat de bedoeling boven de regels gaat. Hoewel naleving van de vereisten wordt verwacht, wordt erkend dat er situaties mogelijk zijn waarin internal auditors er niet in slagen om aan een vereiste te voldoen, maar toch de bedoeling van de Standaard realiseren. In die bijzondere situaties worden dan alternatieve maatregelen verwacht inclusief een vastlegging daarvan met de redenen voor de afwijking.
‘Quality =  conformance + performance’ De tweede belangrijke verandering betreft de nieuwe definitie van kwaliteit, als zijnde ‘conformance (met de standaarden) plus performance’. Met performance wordt gedoeld op de efficiency en effectiviteit van de auditfunctie, inclusief de impact of toegevoegde waarde. Die aanvullende focus op de ‘performance’ komt terug in diverse vernieuwingen, zoals:
  • De nieuwe ‘purpose statement’ in domein 1.
  • Domein 3, waarin Hoofd Audit wordt gevraagd in gesprek te gaan met bestuur, auditcommissie en senior management over het gewenste mandaat van de IAF en de condities om de effectiviteit van de IAF te optimaliseren. Belangrijke overwegingen daarbij zijn ook de afstemming met andere in- en externe functies die (aanvullende) zekerheid verschaffen en de periodieke evaluatie om mogelijke gewijzigde omstandigheden om een aanpassing vragen.
  • In domein 4, het management van de IAF, zijn twee instrumenten toegevoegd die mogelijk nieuw zijn voor veel IAF’s: het opstellen van een strategie voor de IAF (om op langere termijn de strategische doelen van de organisatie te ondersteunen) en ‘performance measurement’. Hoofd Audit wordt geacht daarvoor doelen en KPI’s te ontwikkelen en de realisatie te bewaken.
Tenslotte, als derde generieke wijziging, zijn er geen aparte standaarden meer voor assurance- en adviesdiensten. Alle vereisten gelden in beginsel voor beide soorten opdrachten, tenzij anders is aangegeven.

De implementatie

Internal auditfuncties hebben een jaar om de GIAS te implementeren. Middels een ‘gap assessment’ kunnen de voor de IAF benodigde wijzigingen worden vastgesteld. Strategisch gezien bieden de nieuwe standaarden ook een mooi moment van ‘bezinning’ en bespreking met het bestuur en de auditcommissie, ook gezien de dynamiek en complexiteit van risico’s waarmee organisaties geconfronteerd worden en de nieuwe verplichtingen die zich aandienen. Denk hierbij aan de CSRD en de VOR. Het (mogelijke nieuwe) strategisch plan en domein 3 kunnen worden gebruikt om te spreken over zaken als het mandaat, de afstemming met andere functies en de interactie met bestuur, auditcommisie en senior management . Als IIA Nederland helpen we graag bij de implementatie. Op de website worden diverse instrumenten aangeboden, waaronder de Nederlandse vertaling. De helpdesk staat open voor vragen via vaktechniek@iia.nl.

Over

Foto van Peter Hartog

Peter Hartog

Peter Hartog is Directeur Vaktechniek van IIA Nederland, en was lid van de International Internal Audit Standards Board gedurende het opstellen van de nieuwe standaarden. Hij doceert ook aan de Internal Auditing & Advisory opleiding van de EUR. In het verleden werkte hij onder andere bij de SVB, ACS en KPMG.

Gerelateerde berichten

  • ISACA NL Journal ·

Balancing Privacy and Security: Navigating the Future of Federated Learning and AI

By Armin Shokri Kalisa and Robbert Schravendijk - Artificial intelligence is infiltrating more and more applications. This raises privacy concerns regarding the vast amounts of data required to train these AI models. One of the proposed solutions is a framework called Federated Learning. This framework does, however, not guarantee security from attacks. This article covers how attackers can use backdoor attacks to poison the model resulting from Federated learning and what steps can be taken to make it more robust against these attacks.

Plaats een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

We gebruiken functionele en analytische cookies om ervoor te zorgen dat de website optimaal presteert. Als u doorgaat met het gebruik van deze site, gaan we ervan uit dat u hiermee akkoord gaat. Meer informatie vindt u in onze Privacyverklaring.