In deze bijlage zijn de resultaten van de zes gevoerde interviews samengevat waarbij afwijkende antwoorden zijn toegelicht. 1. Waarvoor is volgens u de Internal Audit Functie (IAF) ingericht binnen jullie
organisatie?
De algemene mening is dat de IAF is ingericht om te ondersteunen in het realiseren van de bedrijfsdoelstellingen. Aanvullende redenen zijn:
Meegaan in doelstellingen organisatie algemeen. Maatschappelijk betrokken, klantbelang (intern/extern) en transparantie. Toename participatie in projecten en assurance opdrachten proactief aanvliegen.
Daarnaast is de IAF een strategische business partner voor de Raad van Bestuur (RvB).
Met name is een rol weggelegd als management tool van managing board en CEO en ‘politieagent’ waarbij het bestaan van de functie voor een ‘helende’ werking zorgt.
Proactief feedback geven op ontwikkelingen binnen de organisatie.
Hoofdzakelijk om aan de standaarden van de IIA. Zo staat het ook nadrukkelijk vastgelegd in de audit charter. 2. Waar is IAF gepositioneerd in uw organisatie?
Direct gepositioneerd onder de RvB waarbij gerapporteerd wordt aan de Chief Executive Officer (CEO). Tevens een directe lijn naar voorzitter van de audit en risk committee. Gezien de grootte van sommige afdelingen nog onderstaande
aanvullingen:
Audit Nederland valt onder global Audit waarbij Amerika en Engeland de grootste afdelingen zijn, maar qua invloed Nederland op de 2de plaats komt.
Het hoofd van de IAF heeft de verantwoording voor internal audit over Nederland en de enkele vestigingen in het buitenland. De buitenlandse vestigingen hebben geen eigen auditafdeling wat betekent dat vanuit Nederland periodiek bezoeken worden afgelegd.
Onder audit vallen meerdere onderdelen verdeeld naar aandachtsgebied.
Het hoofd van de IAF heeft de verantwoording over vestigingen in meerdere landen. De processen zijn geheel gestandaardiseerd wat inhoud dat de audit approach in alle landen hetzelfde is.
3. Heeft de IAF een auditcharter opgesteld waarin de doelstelling en het bereik van de IAF zijn vastgelegd?
Van vier organisaties is een audit charter ontvangen. Hieronder de missie:
Het is de missie om waarde toe te voegen aan de organisatie door het uitvoeren van objectieve
controlewerkzaamheden en het geven van adviezen op het gebied van governance, risk management en interne beheersing (en voor zover niet strijdig met de auditrol). Hierbij helpt de IAF zijn doelstellingen te realiseren door het uitvoeren van een systematische controle- aanpak ter evaluatie en verbetering van de effectiviteit van risk management-, interne beheersing- en governance-activiteiten.
The Internal Audit mission is to provide independent objective assurance and advisory services designed to add value and improve the organization’s operations, and help management accomplish its business goals and objectives. This is achieved by bringing a systematic, disciplined and balanced approach to evaluate and improve the effectiveness of governance, internal controls and risk management processes.
The mission of Internal Audit is to provide an independent, objective assurance function and consulting activity designed to add value and improve operations. Through a systematic and disciplined approach, Internal Audit helps to accomplish its objectives by evaluating and improving the effectiveness of risk management, control, and governance processes.
De missie van Internal Audit is om proactief waarde aan de organisatie toe te voegen door het zorgvuldig, deskundig en objectief toetsen van governance, beheersing en risicomanagement, alsmede het adviseren van de Raad van Bestuur daarover, gerelateerd aan de strategische doelstellingen. Wij doen dit vanuit de motivatie dat de organisatie de eindklant goed en maatschappelijk verantwoord moet kunnen bedienen.
De auditcharter bevestigd ook het feit dat men voor wat betreft hun rol, taken en aandachtsgebieden advisory en projecten van belang vindt:
onderzoeken gericht op de beoordeling van en advisering in belangrijke programma’s en projecten, zowel a tempo als achteraf en zowel ten aanzien van de beheersing als ten aanzien van de inhoudelijke uitvoering. Audit periodically works with management (pro-actively) on new initiatives to ensure appropriate controls are implemented within new processes or project initiatives are executed in a controlled manner.
Internal Audit objectives for consulting and advisory services are to provide management with assessments and advice for improving processes that will advance the goals and objectives of the organization. In particular for projects, the objectives are to provide the assessments and advice on the front-end of projects, so that risks may be identified, managed and internal controls may be designed at the beginning of a project.
De beheersing van kritieke bedrijfsprocessen en -projecten; in het bijzonder de beheersing van de daarin geïdentificeerde key risks met behulp van daarin opgenomen key controls. Een bedrijfsproces wordt als kritisch aangemerkt wanneer dit een sterke relatie heeft met de strategische doelstellingen, een hoog
inherent risicoprofiel kent (o.a. door aard en complexiteit), danwel dat vanuit wet- en regelgeving belangrijke eisen aan de inrichting worden gesteld.
In sommige charters wordt expliciet ingegaan op het opleidingsniveau:
Internal Audit stelt medewerkers in staat om beroepsopleidingen binnen het auditvak (RA, RE, RO, CIA of CISA opleiding), inclusief de benodigde praktijkopleiding te voltooien en zich permanent professioneel te blijven ontwikkelen.
de hoofden en de senior managers dienen RA, RE, RO, AA, CISA of CIA te zijn; en de samenstelling van de overige formatieplaatsen moet zodanig zijn dat de kwaliteit van de uit te voeren activiteiten is gewaarborgd.
Bij de overige organisaties staat het niet expliciet vermeld, maar werd tijdens interview aangegeven dat bovenstaande geen vereiste is. Zeker gezien toenemende betrokkenheid in projecten, thema’s zoals soft controls en advisory worden opleidingen of ervaringen vanuit andere disciplines ook van belang geacht.
4. Is er een strategisch plan opgesteld voor de IAF, waarin de rol en functie binnen de organisatie zijn vastgelegd?
Strategisch meerjarenplan is opgesteld waarbij in sommige gevallen de opzet hiervan verschilt:
Tevens algemeen een doelstelling richting 2020. (Business plan 2020 > klantbelang voorop) Richt zich op de klant waarbij werkzaamheden daarop zijn afgestemd. Lean Sig Sigma doorgevoerd in organisatie.
Audit voert geen financial (externe accountant) en SoX- audits (Risk Management) meer uit. Werkzaamheden geadresseerd bij partijen die daar in zijn gespecialiseerd of waarbij het tot hun eigenlijke takenpakket behoort. Daarnaast zijn de ketens binnen de organisatie gedefinieerd. Op basis van deze ketens is ook het auditjaarplan
afgestemd. Hierbij wordt gesteund op 2de -lijns werkzaamheden. Echter nog niet in alle gevallen zijn de werkzaamheden van voldoende kwaliteit dat dit mogelijk is.
In 2012 Performance Results Improvement Objects (PRIO) opgestart. Hierbij is de strategie afgestemd met alle stakeholders. Alles is uitgewerkt op basis van strategie van de organisatie. Dit heeft geresulteerd in 80% meer audits. Planning wordt ook in MT’s door het jaar heen besproken.
5. Door wie is dit strategisch plan geautoriseerd?
Door de RvB en Risk Commitee wordt periodiek het strategisch plan geaccordeerd. Hierbij in sommigen gevallen nog nuanceverschillen:
Voor het jaarplan wordt steeds meer gesteund op kwaliteit werkzaamheden 1ste en 2de lijn. Hierdoor wordt verminderde capaciteit opgevangen binnen audit. Hiervoor is een goed control framework opgezet in samenwerking met audit.
Elk kwartaal wordt voortgang gerapporteerd en planning voor het volgende kwartaal vastgesteld, goedgekeurd door RvB en Audit Committee. Deze wijze van werken geeft een flexibele planningsaanpak, die continue kan worden bijgesteld.
6. Wie zijn volgens u de opdrachtgevers van de IAF?
De opdrachtgevers zijn divers. Naast formeel de RvB kan dat in principe iedere afdeling binnen de organisatie zijn. Daarnaast zijn de externe partijen niet direct opdrachtgever, maar worden er wel werkzaamheden uitgevoerd n.a.v. wet en- regelgeving vanuit DNB of AFM.
7. Aan welke stakeholders (gebruikers) binnen jullie organisatie levert de IAF zijn diensten? De stakeholders kunnen zijn afhankelijk van de soort audit variëren van RvB, Raad van Commissarissen of Audit Committee tot 2de lijn risk en compliance en lijnmanagement. Daarnaast de externe partijen zoals DNB, AFM. Tevens indirect de klanten via bijvoorbeeld klachtenmanagement.
8. Ten opzichte van welk managementniveau heeft de IAF rapportageverantwoordelijkheden? In de meeste gevallen wordt aangegeven dat auditrapporten worden verstuurd naar het lokale management. Een samenvatting van elk rapport wordt opgenomen in een overall rapportage dat wordt verstrekt aan de RvB en Audit Comité. Aanvullend bij organisaties nog onderstaande rapportagelijnen.
In principe rapportages voor onderdeeldirectie met acties nooit lager dan senior management. Voor divisiedirectie wordt twee keer per half jaar een Management Letter opgesteld waarin alle belangrijke issues worden genoemd. Afhankelijk van wie het verzoek komt. In ieder geval zal altijd de Chief Risk Officer (CRO) en de externe accountant worden meegenomen in de CC van een rapportage. Indien een rapportage op verzoek van lijnmanagement is aangevraagd zal daar niet tot aan RvB over worden gerapporteerd. (Bedrijf kritische bevindingen buiten beschouwing gelaten)
9. Zijn er regelmatig discussies bij de afstemming met audittee die niet over de bevindingen zelf gaan maar over de uiteindelijke delivery’s vanuit het onderzoek?
Over het algemeen is de mening dat er momenteel weinig discussies zijn. Discussies die er zijn werden veroorzaakt door onderstaande redenen:
Met name in het verleden door perverse prikkels waarbij management werd beoordeeld op het aantal actiepunten op zijn naam. Daarnaast voert audit niet altijd meer volledige (full scope) audits uit (indien beheersing 1ste en 2de lijn goed is).
Adviesopdrachten of quick scans is wennen waarbij vaak om werkzaamheden wordt verzocht terwijl men niet verwacht dat dat ook kan leiden tot acties.
Afdelingen die de discussie aangaan over het oordeel van een bepaald proces dat plaatsvindt bij een andere afdeling. Verantwoordelijkheid nog wel eens een issue tussen 1e en 2de lijn.
Voorgaande jaren wel discussies met als voornaamste oorzaak een gehanteerd normenkader wat niet was afgestemd met de audittee. Vervolgens is er een Control Framework afgestemd met de audittee. Hierbij is vooraf Control Framework bediscussieerd alvorens het als een rechtmatig normenkader kon worden gehanteerd. Hierdoor duidelijkheid vanuit zowel de business als de IAF over het te hanteren normenkader.
10. Op welk gebied ziet u meerwaarde voor de IAF binnen uw organisatie?
Meerwaarde wordt voornamelijk gezien in advieswerkzaamheden en projecten. Daarnaast wordt traditioneel procesverbetering ook als een meerwaarde gezien:
De organisatie verder helpen met het oog op de strategische doelstellingen. Hierbij voor ondersteuning zorgen. Bij projecten niet alleen maar toehoren, maar onderdeel uitmaken van stuurgroep.
Advieswerkzaamheden waarbij audit zowel de adviserende (niet vrijblijvend) rol als vervolgens de toetsende rol op zich nemen. Daarnaast is de betrokkenheid in projecten een duidelijke meerwaarde. Audit wordt steeds vaker betrokken in projecten en indien dit niet het geval is zorgt men dat men wel betrokken raakt.
Procesverbetering om zo de doelstellingen te bereiken van de organisatie, maar ook zeker de ‘helende’ werking van de aanwezigheid van de afdeling. Als audits worden aangekondigd heeft dit al zijn effect op de kwaliteit van de werkzaamheden op een afdeling.
Transparantie binnen Lines of Defence verbeteren door goede afbakening 2de-lijns werkzaamheden en de toepassing van real time auditing bij projecten.
Procesverbetering om zo de doelstellingen te bereiken van de organisatie.
11. Wat zijn volgens u de kritische succesfactoren voor de meerwaarde van uw AIF? De kritische succesfactoren wisselen per organisatie:
Inlevingsvermogen en de ML die door RvB wordt ontvangen. (foto organisatie)
Voor projecten met name het behoeden voor de organisatie om stappen te nemen die het belemmeren de doelstellingen van de organisatie te behalen. Voor advies is dit enerzijds Assurance te geven richting de stakeholders, maar ook de organisatie een duwtje de juiste richting in te geven.
Aantal issues en aantal klachten/verzoeken vanuit de lijn. Daarnaast is een KSF het aantal rapporten en het uitvoeren van het audit plan.
Risicomanagement instrumenten moeten goed werken en een goed inzicht in projecten en het belang van projecten. De zichtbaarheid van audit binnen de organisatie.
Het belangrijkste betreft een goede communicatie. Tevens is snelheid en flexibiliteit in handelen gericht naar de RvB en de AC ook erg belangrijk. Aanvullend zijn een kritische houding, kennis, vaardigheden ook van belang.
12. De IAF heeft het afgelopen jaar wel/geen/weinig verzoeken op ad hoc basis vanuit de business uitgevoerd.
Verzoeken worden over het algemeen regelmatig gedaan binnen de organisaties. Verzoeken worden hierbij beoordeeld op haalbaarheid en ook aan een risicoanalyse onderworpen. Afhankelijk van de uitkomst worden ze in het audit (meer)ja(a)renplan opgenomen. Wel verschil in beschikbare capaciteit:
Veel aangezien de organisatie op zijn kop is gezet. Ondanks de teruggang in capaciteit heeft men evengoed een reserve capaciteit beschikbaar van 10/15% voor verzoeken. Dit is mogelijk doordat men kan steunen op de 1ste en 2de lijns werkzaamheden.
In het jaarplan is 15% ingeregeld, maar in praktijk is deze ruimte er niet. +/- 3 per maand komt er een verzoek vanuit de lijn wat betekent dat andere audits moeten wijken. Hierover beslist de RvB.
In principe is er geen ruimte voor verzoeken, mits daar andere onderzoeken uit het jaarplan uit sneuvelen. Dit gebeurt wel, waarbij de RvB achteraf wordt ingelicht. Toestemming is niet vooraf vereist.
13. Waarom zijn er verzoeken op ad hoc basis bij internal audit ingediend? Verscheidene redenen dat verzoeken zijn ingediend:
Vanuit de ketengedachte werden er business plannen opgesteld waarbij trekkers werden aangesteld. Audit heeft meegekeken bij de opgestelde plannen en heeft, indien nodig, adviezen gegeven. Dit werd erg gewaardeerd vanuit de business waaruit veel verzoeken zijn voortgekomen.
Enerzijds als bepaald onderwerp niet door audit wordt uitgevoerd terwijl een stakeholder vindt dat het wel van belang is. Anderzijds hebben zich incidenten voorgedaan die aandacht vereisen.
Oude opzet van de IAF functioneerde onvoldoende. Mede door PRIO is het aantal audits met 80% toegenomen. PRIO bevat het gehele spectrum van verbetering binnen de IAF van planning tot aan vak techniek. Waarbij periodiek (tweewekelijks) in MT voortgang wordt besproken.
14. Welke taken behoren volgens u tot takenpakket van de IAF?
De resultaten waren overeenkomend waarbij duidelijk het faciliteren control self-assessmentsdoor iedereen als een ‘NEE’ werd beantwoord. Niet dat het niet zou kunnen, maar zagen het niet als hun taak om dit uit te voeren.
• Beheersing bedrijfsrisico’s (JA) • Efficiëntie van bedrijfsprocessen (JA) • Betrouwbaarheid van informatie (JA) • Compliance (JA)
• Betrouwbaarheid van geautomatiseerde systemen (JA) • Beveiliging van bedrijfsmiddelen (JA)
• Kwaliteit van processen (JA)
• Faciliteren control self-assessments (NEE)
• Due diligence (Overwegend JA of op onderdelen echter geen voortrekkersrol)
15. Kunt u per type audit aangeven op welk deel van de internal audit capaciteit ze beslag leggen?
Op basis van de antwoorden ligt de nadruk bij de meeste organisaties op operational en IT-audits (al dan niet integrated). Slechts bij één organisatie was het aandeel projecten het grootst (+/- 25%). Overige IAF’s voeren ook project audits uit, maar het percentage schommelt daarbij tussen de 5% en 15% van het budget in.