De nieuwe standaarden: 

  • Zijn op elkaar afgestemd en vereenvoudigd 
  • Benadrukken de kwaliteit en toegevoegde waarde van de IAF
  • Helpen internal auditors partners te zijn voor het bestuur en senior management 
  • Borgen effectieve assurance- en adviesdiensten

In dit artikel wordt ingegaan hoe dit dan wordt gedaan, en worden de belangrijkste veranderingen beschreven. 

Het proces 

De release van de nieuwe GIAS op 9 januari 2024 is het resultaat van een omvangrijk driejarig proces, waarin niet alleen de standaarden zelf zijn geëvalueerd, maar ook het proces zelf. Daartoe is ook gekeken naar hoe andere ‘standard setting bodies’ (zoals IFAC, INTOSAI, ISO) dat doen.  

De International Internal Audit Standards Board (IIASB), de architect van de nieuwe standaarden, verzamelde input via enquêtes, webinars en rondetafelgesprekken met leden en bij de IAF betrokken functies, waaronder toezichthouders en wetgevers. Via een publieke consultatie zijn de gehele interne auditgemeenschap en haar belanghebbenden uitgenodigd om een concept van de standaarden te beoordelen en er commentaar op te geven. Deze comments zijn in detail bekeken en hebben geleid tot behoorlijke aanpassingen van het concept. 

De volgende stap voor het IIA is de uitwerking van de nieuwe standaarden in de diverse instrumenten, zoals de Quality Assessment Manual en de CIA-training. De leden hebben een jaar om GIAS te implementeren. Zij worden in januari 2025 van kracht. 

Hierna worden de belangrijkste wijzigingen beschreven, eerst in de structuur, daarna in de inhoud. 

IPPF
Figuur: het oude en nieuwe PPPF = International Professional Practices (IPPF) 

Wijzigingen in de structuur 

Het eerste dat opvalt is dat de nieuwe structuur de standaarden veel toegankelijker en duidelijker maakt; de verschillende elementen zijn logisch op elkaar afgestemd. Het nieuwe International Professional Practices Framework bestaat uit drie delen: GIAS, Global Guidance (de oude Supplemental Guidance) en de nieuwe, nog te ontwikkelen Topical Requirements. De laatste zijn vereisten die gelden bij het uitvoeren van audits op specifieke onderwerpen, met als doel de consistentie en kwaliteit van het auditen van die belangrijke, veel onderzochte objecten te bevorderen. Ze zullen in 2024 worden ontwikkeld, onder andere voor Cybersecurity en IT Governance. 

Een eenduidig geheel van 5 domeinen, met principes en daaruit afgeleide standaarden

De standaarden zelf, GIAS, zijn een eenduidig geheel van vijf domeinen:  

  1. De doelstelling of ‘purpose’ van internal audit, ter vervanging van de huidige Missie en Definitie; te zien als  ‘elevator pitch’ waarmee de toegevoegde waarde van de IAF wordt beschreven. Dit domein kent geen principes of standaarden, maar vormt de basis voor het geheel; 
  1. Ethiek en professionaliteit, te zien als de nieuwe gedragscode; 
  1. Besturen van de IAF; 
  1. Managen van de IAF; 
  1. Uitvoeren van internal auditdiensten. 

De domeinen 3 t/m 5 zijn ingedeeld naar de onderscheiden functies: respectievelijk het bestuur en senior management, het hoofd van de IAF en alle internal auditors in de uitvoering van audits. 

Uit Domein 1: 
Internal auditing versterkt het vermogen van de organisatie om waarde te creëren, te beschermen en te behouden door het bestuur en het management te voorzien van onafhankelijke, op risico gebaseerde en objectieve assurance, advies, inzicht en vooruitzichten. 

Binnen de domeinen, zijn 15 principes benoemd, die vervolgens zijn uitgewerkt in 52 standaarden. 
Per standaard worden de vereisten beschreven, maar ook de handvatten (‘considerations’) om deze te implementeren en de naleving daarvan aan te tonen. Het kan daardoor lijken dat de standaarden substantieel in omvang zijn toegenomen, maar dat is niet zo. De eerder gescheiden implementatierichtlijnen zijn nu direct achter de verplichtingen zijn opgenomen, om daarmee beter toegankelijk te zijn. Die zijn dus niet verplicht. Dat komt ook tot uitdrukking in het woordgebruik: ‘must’ (moeten) voor de vereisten, ‘should’ (zullen) en ‘may’ (kunnen) voor de handvatten. 

Wijzigingen in de inhoud 

De nieuwe standaarden zijn geen revolutie; het is niet dat het vakgebied opnieuw wordt uitgevonden. Wel is sprake van een update van alle standaarden, vanuit de nieuwe eisen aan de professie en vanuit de insteek om op korte en langere termijn waarde te blijven toevoegen aan de organisatie.  

GIAS helpt auditors bij de aansluiting van de IAF bij de doelen van de organisatie en bij het borgen van de relevantie en deugdelijkheid van de audits. En het helpt de functie internal auditing nog beter uit te dragen naar alle stakeholders.

Op hoofdlijnen zijn drie ontwikkelingen belangrijk om de nieuwe standaarden goed te kunnen plaatsen. De eerste betreft het ‘principle-based’ karakter. Zoals al gezegd zijn alle standaarden gerelateerd aan bovenliggende principes. In aanvulling daarop, komt dat tot uiting in: 

  • De beschrijving van de vereisten: steeds is de vraag gesteld of een statement gaat over het ‘wat/waarom’ of over het ‘hoe’. ‘Hoe’-statements zijn allemaal verplaatst naar de handvatten, dus uit de verplichtingen gehaald. Een mooi voorbeeld hiervan is het geven van een rating bij de bevindingen. Het doel van een rating is de organisatie inzicht te geven in de belangrijkste punten van aandacht. Dat kan echter op verschillende manieren, waarvan een rating-systeem er één is. Zodoende is het geven van een rating onder de considerations opgenomen. 
  • Het ‘conform or explain’ principe: hiermee wordt erkend dat de bedoeling boven de regels gaat. Hoewel naleving van de vereisten wordt verwacht, wordt erkend dat er situaties mogelijk zijn waarin internal auditors er niet in slagen om aan een vereiste te voldoen, maar toch de bedoeling van de Standaard realiseren. In die bijzondere situaties worden dan alternatieve maatregelen verwacht inclusief een vastlegging daarvan met de redenen voor de afwijking.

‘Quality =  conformance + performance’ 

De tweede belangrijke verandering betreft de nieuwe definitie van kwaliteit, als zijnde ‘conformance (met de standaarden) plus performance’. Met performance wordt gedoeld op de efficiency en effectiviteit van de auditfunctie, inclusief de impact of toegevoegde waarde. Die aanvullende focus op de ‘performance’ komt terug in diverse vernieuwingen, zoals: 

  • De nieuwe ‘purpose statement’ in domein 1. 
  • Domein 3, waarin Hoofd Audit wordt gevraagd in gesprek te gaan met bestuur, auditcommissie en senior management over het gewenste mandaat van de IAF en de condities om de effectiviteit van de IAF te optimaliseren. Belangrijke overwegingen daarbij zijn ook de afstemming met andere in- en externe functies die (aanvullende) zekerheid verschaffen en de periodieke evaluatie om mogelijke gewijzigde omstandigheden om een aanpassing vragen. 
  • In domein 4, het management van de IAF, zijn twee instrumenten toegevoegd die mogelijk nieuw zijn voor veel IAF’s: het opstellen van een strategie voor de IAF (om op langere termijn de strategische doelen van de organisatie te ondersteunen) en ‘performance measurement’. Hoofd Audit wordt geacht daarvoor doelen en KPI’s te ontwikkelen en de realisatie te bewaken. 

 
Tenslotte, als derde generieke wijziging, zijn er geen aparte standaarden meer voor assurance- en adviesdiensten. Alle vereisten gelden in beginsel voor beide soorten opdrachten, tenzij anders is aangegeven. 

De implementatie 

Internal auditfuncties hebben een jaar om de GIAS te implementeren. Middels een ‘gap assessment’ kunnen de voor de IAF benodigde wijzigingen worden vastgesteld. 
Strategisch gezien bieden de nieuwe standaarden ook een mooi moment van ‘bezinning’ en bespreking met het bestuur en de auditcommissie, ook gezien de dynamiek en complexiteit van risico’s waarmee organisaties geconfronteerd worden en de nieuwe verplichtingen die zich aandienen. Denk hierbij aan de CSRD en de VOR. Het (mogelijke nieuwe) strategisch plan en domein 3 kunnen worden gebruikt om te spreken over zaken als het mandaat, de afstemming met andere functies en de interactie met bestuur, auditcommissie en senior management. 

Als IIA Nederland helpen we graag bij de implementatie. Op de website worden diverse instrumenten aangeboden, waaronder de Nederlandse vertaling. De helpdesk staat open voor vragen via vaktechniek@iia.n

Disclaimer

Alleen de auteurs zijn verantwoordelijk voor de standpunten die in dit artikel worden geuit en vertegenwoordigen niet noodzakelijk de standpunten, besluiten of het beleid van het ISACA NL Chapter. De standpunten die in dit artikel worden geuit kunnen op geen enkele manier worden opgevat als een weergave van een officieel standpunt van het bestuur van ISACA NL Chapter.

De auteurs hebben alle redelijke voorzorgsmaatregelen genomen om de informatie in deze publicatie te verifiëren. Het gepubliceerde materiaal wordt echter verspreid zonder enige vorm van garantie, expliciet of impliciet. De verantwoordelijkheid voor de interpretatie en het gebruik van het materiaal ligt bij de lezer. De auteurs en het bestuur van ISACA NL Chapter zijn in geen geval aansprakelijk voor schade die voortvloeit uit het gebruik ervan.