AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors...

22
DE INTERNATIONALE STANDAARDEN VOOR DE BEROEPSUITOEFENING VAN INTERNAL AUDITING Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal auditors hun diensten uitvoeren in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing. Het doel van de Standaarden is: 1. De basisprincipes afbakenen die weergeven wat de werkwijze van internal audit dient te zijn; 2. Een raamwerk aanreiken voor het uitoefenen en bevorderen van een breed aanbod van interne auditdiensten die meerwaarde bieden; 3. De basis leggen voor de evaluatie van het functioneren van de internal auditfunctie; 4. Het bevorderen van verbeterde organisatorische processen en operaties. De Standaarden bestaan uit standaarden voor de kenmerken en prestaties. De standaarden voor de kenmerken beschrijven de eigenschappen van organisaties en personen die internal audits uitvoeren. De prestatiestandaarden beschrijven de aard van de internal auditdiensten en bieden kwaliteitscriteria om de resultaten van deze diensten te evalueren. De standaarden voor kenmerken en prestaties zijn van toepassing op alle internal auditfuncties. De Standaarden zijn onderdeel van het International Professional Practices Framework (IPPF). Dit raamwerk is goedgekeurd door het bestuur van het IIA in juli 2007. Het IPPF bestaat uit de definitie van internal auditing, de gedragscode, de Standaarden en andere richtlijnen. De Standaarden bevatten termen met specifieke betekenissen, die zijn opgenomen in de verklarende woordenlijst. Kenmerkstandaarden 1000 – Doel, bevoegdheid en verantwoordelijkheid 1010 – Erkenning van de definitie van internal audit, de gedragscode en de Standaarden in het internal auditcharter 1100 – Onafhankelijkheid en objectiviteit 1110 – Organisatorische onafhankelijkheid 1111 – Interactie met het bestuur 1120 – Individuele objectiviteit 1130 – Aantasting van onafhankelijkheid of objectiviteit

Transcript of AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors...

Page 1: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

DE INTERNATIONALE STANDAARDEN VOOR DE BEROEPSUITOEF ENING VAN INTERNAL

AUDITING

Inleiding

De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging.

De gedragscode stelt dat internal auditors hun diensten uitvoeren in overeenstemming met de

Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing.

Het doel van de Standaarden is:

1. De basisprincipes afbakenen die weergeven wat de werkwijze van internal audit dient te zijn;

2. Een raamwerk aanreiken voor het uitoefenen en bevorderen van een breed aanbod van interne

auditdiensten die meerwaarde bieden;

3. De basis leggen voor de evaluatie van het functioneren van de internal auditfunctie;

4. Het bevorderen van verbeterde organisatorische processen en operaties.

De Standaarden bestaan uit standaarden voor de kenmerken en prestaties.

De standaarden voor de kenmerken beschrijven de eigenschappen van organisaties en personen die

internal audits uitvoeren. De prestatiestandaarden beschrijven de aard van de internal auditdiensten en

bieden kwaliteitscriteria om de resultaten van deze diensten te evalueren. De standaarden voor

kenmerken en prestaties zijn van toepassing op alle internal auditfuncties.

De Standaarden zijn onderdeel van het International Professional Practices Framework (IPPF). Dit

raamwerk is goedgekeurd door het bestuur van het IIA in juli 2007. Het IPPF bestaat uit de definitie van

internal auditing, de gedragscode, de Standaarden en andere richtlijnen.

De Standaarden bevatten termen met specifieke betekenissen, die zijn opgenomen in de verklarende

woordenlijst.

Kenmerkstandaarden

1000 – Doel, bevoegdheid en verantwoordelijkheid

1010 – Erkenning van de definitie van internal audit, de gedragscode en de Standaarden in het

internal auditcharter

1100 – Onafhankelijkheid en objectiviteit

1110 – Organisatorische onafhankelijkheid

1111 – Interactie met het bestuur

1120 – Individuele objectiviteit

1130 – Aantasting van onafhankelijkheid of objectiviteit

Page 2: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

1200 – Vakbekwaamheid en beroepsmatige zorgvuldighe id

1210 – Vakbekwaamheid

1220 – Beroepsmatige zorgvuldigheid

1230 – Voortdurende vaktechnische ontwikkeling

1300 – Programma voor kwaliteitsbewaking en -verbet ering

1310 –Vereisten van het programma voor kwaliteitsbewaking en -verbetering

1311 – Interne evaluaties

1312 – Externe evaluaties

1320 – Rapportering over het kwaliteitsbewakings- en verbeterprogramma

1321 – Gebruik van de uitdrukking 'In overeenstemming met de Internationale Standaarden voor

de Beroepsuitoefening van Internal Auditing'

1322 – Melding van niet-naleving

Prestatiestandaarden

2000 – Management van de internal auditfunctie

2010 – Planning

2020 – Communicatie en goedkeuring

2030 – Beheer van middelen

2040 – Beleid en procedures

2050 – Coördinatie

2060 – Rapportering aan de directie en Raad van Commissarissen

2100 – Aard van het werk

2110 – Governance

2120 – Risicomanagement

2130 – Beheersing

2200 – Planning van de opdracht

2201 – Overwegingen bij de planning

2210 – Doelstellingen van de opdracht

2220 – Reikwijdte van de opdracht

2230 – Toekenning van middelen aan de opdracht

2240 – Werkprogramma van de opdracht

2300 – Uitvoering van de opdracht

2310 – Identificatie van de informatie

2320 – Analyse en evaluatie

2330 – Documenteren van de informatie

2340 – Toezicht op de opdracht

2400 – Communicatie van resultaten

2410 – Kenmerken van de communicatie

2420 – Kwaliteit van de communicatie

2421 – Vergissingen of nalatigheden

2430 – Gebruik van de uitdrukking ‘Uitgevoerd in overeenstemming met de Internationale

Standaarden voor de Beroepsuitoefening van Internal Auditing’

Page 3: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

2431 – Kennisgeving over niet-naleving tijdens de opdracht

2440 – Distributie van de resultaten

2500 – Toezicht op de opvolging

2600 – Het aanvaarden van risico's door het senior management

Kenmerkstandaarden (Attribute standards)

1000 – Doel, bevoegdheid en verantwoordelijkheid

Het doel, de bevoegdheid en de verantwoordelijkheid van de internal auditfunctie moeten formeel in een

internal auditcharter worden vastgelegd, in overeenstemming met de definitie van internal audit, de

gedragscode en de Standaarden. Het hoofd van de internal auditfunctie moet periodiek het internal

auditcharter beoordelen en het ter goedkeuring voorleggen aan het senior management en het bestuur.

Interpretatie

Het internal auditcharter is een formeel document dat het doel, de bevoegdheid en de

verantwoordelijkheid van de internal auditfunctie definieert. Het internal auditcharter legt de positie van de

internal auditfunctie binnen de organisatie vast; verleent de bevoegdheid tot toegang tot documenten,

personen en fysieke eigendommen, voor zover relevant voor het uitvoeren van de opdrachten, en bepaalt

de reikwijdte van de internal auditfunctie. De uiteindelijke goedkeuring van het internal auditcharter is de

verantwoordelijkheid van het bestuur.

1000.A1 - De aard van de auditdiensten die aan de organisatie geleverd worden, moet

gedefinieerd zijn in het internal auditcharter. Indien zekerheid moet worden verstrekt aan partijen

buiten de organisatie, moet de aard van deze zekerheden eveneens in het internal auditcharter

gedefinieerd zijn.

1000.C1 - De aard van adviesdiensten moet in het internal auditcharter gedefinieerd zijn.

1010 – Erkenning van de definitie van internal audi t, de gedragscode en de Standaarden in het

internal auditcharter

De dwingende aard van de definitie van internal audit, de gedragscode en de Standaarden moet

onderkend worden in het internal auditcharter. Het hoofd van de internal auditfunctie dient de definitie van

internal audit, de gedragscode en de Standaarden te bespreken met het senior management en het

bestuur.

1100 – Onafhankelijkheid en objectiviteit

De internal auditfunctie moet onafhankelijk zijn en internal auditors moeten objectief zijn bij het uitvoeren

van hun werk.

Interpretatie

Onafhankelijkheid is het vrij zijn van beperkingen die de mogelijkheid van de internal auditfunctie of het

hoofd van de internal auditfunctie bedreigen om de verantwoordelijkheden van de internal auditfunctie

onpartijdig uit te voeren. Om het niveau van onafhankelijkheid te waarborgen, dat noodzakelijk is om de

Page 4: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

verantwoordelijkheden van de internal auditfunctie effectief uit te voeren, moet het hoofd van de internal

auditfunctie directe en onbeperkte toegang hebben tot het senior management en het bestuur. Dit kan

gerealiseerd worden door een tweevoudige rapportagelijn. Bedreigingen van de onafhankelijkheid

moeten beheerst worden op het niveau van de individuele auditor, opdracht, functie en organisatie.

Objectiviteit is een onbevooroordeelde mentale instelling die de internal auditors toelaat om hun opdracht

zodanig uit te voeren dat zij geloven in de resultaten van hun werk en dat er geen compromissen ten

koste van de kwaliteit worden gemaakt. Objectiviteit vereist dat de internal auditors hun oordeel

betreffende auditkwesties niet ondergeschikt maken aan anderen. Bedreigingen van de objectiviteit

moeten beheerst worden op het niveau van de individuele auditor, opdracht, functie en organisatie.

1110 – Organisatorische onafhankelijkheid

Het hoofd van de internal auditfunctie moet rapporteren aan een niveau binnen de organisatie dat het

mogelijk maakt dat de internal auditfunctie haar verantwoordelijkheid kan dragen. Het hoofd van de

internal auditfunctie moet, ten minste jaarlijks, de onafhankelijkheid van de internal auditfunctie binnen de

organisatie bevestigen aan het bestuur.

1110.A1 – De internal auditfunctie moet zonder enige inmenging de reikwijdte van de audits, de

uitvoering van de werkzaamheden en de communicatie van de resultaten kunnen bepalen.

1111 – Interactie met het bestuur

Het hoofd van de internal auditfunctie moet rechtstreeks communiceren en samenwerken met het

bestuur.

1120 – Individuele objectiviteit

Internal auditors moeten een onpartijdige en onbevooroordeelde houding hebben en elke

belangenverstrengeling vermijden.

Interpretatie

Belangenverstrengeling is een situatie waarin een internal auditor, die zich in een vertrouwenspositie

bevindt, een strijdig beroepsmatig of persoonlijk belang heeft. Zulke strijdige belangen kunnen het

moeilijk maken om zijn of haar taken onpartijdig te vervullen. Belangenverstrengeling bestaat zelfs indien

er geen onethische of ongepaste daad uit voortvloeit. Belangenverstrengeling kan een schijn van

ongepastheid creëren dat het vertrouwen in de internal auditor, de internal auditfunctie en het beroep kan

ondermijnen. Belangenverstrengeling kan afbreuk doen aan het vermogen van een individu om zijn taken

en verantwoordelijkheden objectief uit te voeren.

1130 Aantasting van onafhankelijkheid of objectivit eit

In geval van een feitelijke of een ogenschijnlijke aantasting van de onafhankelijkheid of de objectiviteit,

moeten de details daarvan medegedeeld worden aan de relevante betrokkenen. De aard van die

mededeling is afhankelijk van de mate van aantasting.

Page 5: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

Interpretatie

Aantasting van de onafhankelijkheid binnen de organisatie en de individuele objectiviteit omvat, maar is

niet beperkt tot, persoonlijke belangenverstrengeling, beperkingen in reikwijdte, beperkingen in toegang

tot documenten, personeel, eigendommen en beperkingen in middelen zoals budget.

De bepaling wie de relevante betrokkenen zijn, aan wie de details van een aantasting van

onafhankelijkheid of objectiviteit gemeld moeten worden, is afhankelijk van de verwachting van de

internal auditfunctie en van de verantwoordelijkheid van het hoofd van de internal auditfunctie ten

opzichte van het senior management en het bestuur, zoals omschreven in het internal auditcharter,

alsmede de aard van de aantasting.

1130.A1 – Internal auditors moeten afzien van het beoordelen van specifieke operationele

activiteiten waarvoor zij in het verleden verantwoordelijk waren. De objectiviteit wordt

verondersteld te zijn aangetast wanneer een internal auditor audits uitvoert op een activiteit

waarvoor de auditor in het voorafgaande jaar verantwoordelijk was.

1130.A2 – Audits betreffende functies waarvoor het hoofd van de internal auditfunctie

verantwoordelijk is, moeten onder leiding staan van iemand die geen deel uitmaakt van de

internal auditfunctie.

1130.C1 - Internal auditors kunnen adviesdiensten verlenen voor de operationele activiteiten

waarvoor zij in het verleden verantwoordelijk waren.

1130.C2 - Indien de onafhankelijkheid of objectiviteit van de internal auditors betreffende

voorgestelde adviesdiensten mogelijk aangetast is, moeten zij dit bekend maken aan de

opdrachtgever alvorens de opdracht te aanvaarden.

1200 – Vakbekwaamheid en beroepsmatige zorgvuldighe id

De opdrachten moeten met vakbekwaamheid en beroepsmatige zorgvuldigheid worden uitgevoerd.

1210 – Vakbekwaamheid

Internal auditors moeten beschikken over kennis, vaardigheden en andere bekwaamheden, die benodigd

zijn voor de uitvoering van hun individuele verantwoordelijkheid. De internal auditfunctie als geheel moet

kennis, vaardigheden en andere bekwaamheden, die benodigd zijn om haar verantwoordelijkheden te

nemen, bezitten of verkrijgen.

Interpretatie

Kennis, vaardigheden en andere bekwaamheden is een collectieve term voor de vakbekwaamheid die

men verwacht van internal auditors om hun professionele verplichtingen doeltreffend uit te voeren.

Internal auditors worden aangemoedigd om hun vakbekwaamheid aan te tonen door het behalen van

Page 6: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

vakinhoudelijke certificaten en kwalificaties zoals de titel van Certified Internal Auditor en andere titels die

aangeboden worden door het IIA en andere relevante beroepsverenigingen.

1210.A1 – Het hoofd van de internal auditfunctie moet deskundig advies en bijstand inhuren,

indien het de internal auditors ontbreekt aan kennis, vaardigheden of andere bekwaamheden, die

benodigd zijn om de gehele opdracht of een gedeelte daarvan uit te voeren.

1210.A2 – Internal auditors moeten voldoende kennis hebben om frauderisico’s en de manier

waarop die risico’s beheerst worden door de organisatie te beoordelen. Er wordt van hen echter

niet verwacht dat zij de expertise bezitten van een persoon wiens voornaamste

verantwoordelijkheid het ontdekken en onderzoeken van fraude is.

1210.A3 – Internal auditors moeten voldoende kennis bezitten van de belangrijkste informatie-

technologische risico’s en beheersmaatregelen en van beschikbare geautomatiseerde

audittechnieken om de hen toegewezen werkzaamheden uit te voeren. Er wordt echter niet van

alle internal auditors verwacht dat zij de expertise te bezitten van een internal auditor wiens

voornaamste verantwoordelijkheid de audit van informatietechnologie is.

1210.C1 - Het hoofd van de internal auditfunctie moet de adviesopdracht afwijzen of deskundig

advies en bijstand inhuren, indien het de internal auditors ontbreekt aan kennis, vaardigheden of

andere bekwaamheden, die nodig zijn om de gehele opdracht of een gedeelte ervan uit te

voeren.

1220 – Beroepsmatige zorgvuldigheid

Internal auditors moeten hun werkzaamheden uitvoeren met de zorg en de kunde die van een

verstandige en bekwame internal auditor verwacht worden. De beroepsmatige zorgvuldigheid houdt geen

onfeilbaarheid in.

1220.A1 – De internal auditor moet met de passende professionele zorgvuldigheid handelen door

rekening te houden met:

• De omvang van de werkzaamheden, die nodig zijn voor het realiseren van de

doelstellingen van de opdracht;

• De relatieve complexiteit, de materialiteit of het belang van de onderwerpen waarop de

auditwerkzaamheden uitgevoerd worden;

• De toepasselijkheid en doeltreffendheid van de processen van governance,

risicomanagement en beheersing;

• De waarschijnlijkheid van belangrijke fouten, fraude of niet-naleving van wet- en

regelgeving, beleid en procedures; en

• De kosten van verhoogde zekerheid tegenover de mogelijke baten.

1220.A2 – De beroepsmatige zorgvuldigheid houdt in dat internal auditors het gebruik van

geautomatiseerde audithulpmiddelen en andere data analysetechnieken moeten overwegen.

Page 7: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

1220.A3 – De internal auditors moeten bedacht zijn op belangrijke risico's die de doelstellingen,

de operationele activiteiten en de middelen kunnen beïnvloeden. Echter, auditprocedures alleen

garanderen niet dat alle belangrijke risico's onderkend zullen worden, zelfs niet wanneer ze

worden uitgevoerd met beroepsmatige zorgvuldigheid.

1220.C1 - De internal auditors moeten tijdens een adviesopdracht met beroepsmatige

zorgvuldigheid handelen door rekening te houden met:

• De behoeften en verwachtingen van de klanten, met inbegrip van de aard, de timing en

de communicatie van de resultaten van de opdracht;

• De betrekkelijke complexiteit en de omvang van de werkzaamheden die nodig zijn voor

het realiseren van de doelstellingen van de opdracht; en

• De kosten van de adviesopdracht tegenover de mogelijke baten.

1230 – Voortdurende vaktechnische ontwikkeling

Internal auditors moeten hun kennis, vaardigheden en andere bekwaamheden verbeteren via

voortdurende vaktechnische ontwikkeling.

1300 – Programma voor kwaliteitsbewaking en -verbet ering

Het hoofd van de internal auditfunctie moet een programma voor kwaliteitsbewaking en - verbetering

ontwikkelen en in stand houden, dat alle aspecten van de internal auditfunctie bestrijkt.

Interpretatie

Een programma voor kwaliteitsbewaking en - verbetering is ontworpen om een beoordeling van de

naleving door de internal auditfunctie van de definitie van internal auditing, de Standaarden en een

evaluatie van de naleving van de gedragscode door de auditors mogelijk te maken. Het programma moet

ook de efficiëntie en effectiviteit van de internal auditfunctie beoordelen en mogelijkheden voor

verbetering identificeren.

1310 –Vereisten van het programma voor kwaliteitsbe waking en -verbetering

Het programma voor kwaliteitsbewaking en - verbetering moet zowel interne als externe evaluaties

omvatten.

1311 – Interne evaluaties

Interne evaluaties moeten omvatten:

• Voortdurende bewaking van de werkzaamheden van de internal auditfunctie; en

• Periodieke beoordelingen uitgevoerd door zelfevaluaties of door andere personen binnen de

organisatie met voldoende kennis van de internal auditpraktijk.

Interpretatie

Voortdurende bewaking is een integraal onderdeel van de dagelijkse leiding, beoordeling en meting van

de internal auditfunctie. Voortdurend toezicht is opgenomen in het dagelijks beleid en wordt gebruikt om

Page 8: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

de internal auditfunctie aan te sturen en gebruikt processen, hulpmiddelen en informatie die nodig zijn om

de naleving van de definitie van internal audit, de gedragscode en de Standaarden te kunnen evalueren.

Periodieke beoordelingen zijn toetsingen op de naleving van de definitie van internal audit, de

gedragscode en de Standaarden.

Voldoende kennis van de internal auditpraktijk vereist ten minste een begrip van alle elementen van het

IPPF.

1312 – Externe evaluaties

Externe evaluaties moeten minstens één maal in de vijf jaar worden uitgevoerd door een ter zake

gekwalificeerd en onafhankelijk persoon of team van buiten de organisatie. Het hoofd van de internal

auditfunctie moet de volgende punten bespreken met het bestuur:

• De noodzaak voor frequentere externe evaluaties;

• De kwalificaties en onafhankelijkheid van de externe beoordelaar of het beoordelingsteam,

inclusief een potentiële belangenverstrengeling.

Interpretatie

Een gekwalificeerd beoordelaar of beoordelingsteam bestaat uit individuen die bekwaam zijn in de

professionele internal auditpraktijk en het externe evaluatieproces. De evaluatie van de bekwaamheid

van de beoordelaar en het beoordelingsteam is een oordeel dat de vakinhoudelijke internal auditervaring

en de vakinhoudelijke kwalificaties van de individuen die geselecteerd zijn om de beoordeling uit te

voeren, in aanmerking neemt. De evaluatie van de kwalificaties houdt ook rekening met de grootte en

complexiteit van de organisaties waarbij de beoordelaars betrokken zijn geweest, in vergelijking met de

organisatie waarvan de internal auditfunctie wordt beoordeeld, en tevens met de behoefte aan specifieke

kennis van een sector, industrie of techniek.

Een onafhankelijke beoordelaar of beoordelingsteam betekent dat er geen echte of schijnbare

belangenverstrengeling bestaat en dat men geen deel mag uitmaken van, of onder invloed staat van, de

organisatie waartoe de internal auditfunctie behoort.

1320 – Rapportering over het kwaliteitsbewakings- e n verbeterprogramma

Het hoofd van de internal auditfunctie moet de uitkomsten van het programma voor kwaliteitsborging en -

verbetering communiceren met het senior management en het bestuur.

Interpretatie

De vorm, inhoud en frequentie van de communicatie van de resultaten van het programma voor

kwaliteitsborging en - verbetering wordt vastgesteld op basis van discussies met het senior management

en het bestuur. Hierbij worden de verantwoordelijkheden van de internal auditfunctie en het hoofd van de

internal auditfunctie zoals omschreven in het internal auditcharter betrokken. Om naleving van de definitie

van internal audit, de gedragscode en de Standaarden aan te tonen, worden de resultaten van de externe

en periodieke interne beoordelingen gecommuniceerd bij de afronding van een dergelijke beoordeling en

Page 9: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

worden de resultaten van het voordurend toezicht minstens eenmaal per jaar gecommuniceerd. De

resultaten bevatten ook de conclusies van de beoordelaar of het beoordelingsteam met betrekking tot het

niveau van naleving.

1321 – Gebruik van de uitdrukking 'In overeenstemmi ng met de Internationale Standaarden voor

De Beroepsuitoefening van Internal Auditing'

Het hoofd van de internal auditfunctie mag alleen vermelden dat de internal auditfunctie voldoet aan de

Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing, als de resultaten van het

programma voor kwaliteitsbewaking en - verbetering deze verklaring ondersteunen.

1322 – Melding van niet-naleving

Wanneer het niet naleven van de definitie van internal audit, de gedragscode of de

Standaarden de reikwijdte of de werking van de internal auditfunctie beïnvloedt, moet het hoofd van de

internal auditfunctie de niet-naleving en de gevolgen daarvan melden aan het senior management en het

bestuur.

Prestatiestandaarden (Performance standards)

2000 – Management van de internal auditfunctie

Het hoofd van de internal auditfunctie moet de internal auditfunctie doeltreffend besturen, zodat deze

meerwaarde biedt aan de organisatie.

Interpretatie

De internal auditfunctie wordt doeltreffend bestuurd wanneer:

• De resultaten van de internal auditfunctie het doel en de verantwoordelijkheid bereiken zoals is

opgenomen in het internal auditcharter;

• De internal auditfunctie de definitie van internal auditing en de Standaarden naleeft; en

• De personen die deel uitmaken van de internal auditfunctie de gedragscode en de Standaarden

aantoonbaar naleven.

2010 – Planning

Het hoofd van de internal auditfunctie moet een op risico gebaseerde planning opstellen om de

prioriteiten van de internal auditfunctie te bepalen, in samenhang met de doelstellingen van de

organisatie.

Interpretatie

Het hoofd van de internal auditfunctie is verantwoordelijk voor het ontwikkelen van een op risico

gebaseerde planning. Het hoofd van de internal auditfunctie houdt rekening met het raamwerk voor het

risicomanagement van de organisatie en met de risicobereidheid die door het management voor de

verschillende activiteiten of onderdelen van de organisatie is bepaald. Als er geen raamwerk bestaat,

vertrouwt het hoofd van de internal auditfunctie op zijn eigen oordeel over de risico’s na overleg met het

senior management en het bestuur.

Page 10: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

2010.A1 – Het internal auditplan moet gebaseerd zijn op een gedocumenteerde risico-evaluatie,

die minstens eenmaal per jaar moet worden uitgevoerd. De input van het senior management en

het bestuur moet hierbij in overweging worden genomen.

2010.C1 – Het hoofd van de internal auditfunctie moet overwegen om ontvangen

adviesopdrachten te aanvaarden, gebaseerd op het potentieel van de opdracht om

risicomanagement te verbeteren, waarde toe te voegen en de werking van de organisatie te

verbeteren. De aanvaarde opdrachten moeten worden opgenomen in het plan.

2020 – Communicatie en goedkeuring

Het hoofd van de internal auditfunctie moet de plannen en de vereiste middelen van de internal

auditfunctie, inclusief belangrijke tussentijdse wijzigingen, ter beoordeling en goedkeuring aan het senior

management en het bestuur sturen. Het hoofd van de internal auditfunctie moet ook de gevolgen van

beperkingen van middelen communiceren.

2030 – Beheer van middelen

Het hoofd van de internal auditfunctie moet ervoor zorg dragen dat de internal auditfunctie beschikt over

passende, toereikende en doelmatig aangewende middelen om het goedgekeurde plan te realiseren.

Interpretatie

‘Passend’ verwijst naar de mix van kennis, vaardigheden en andere competenties die nodig zijn voor het

uitvoeren van het plan. ‘Toereikend’ verwijst naar de hoeveelheid middelen die nodig is voor het uitvoeren

van het plan. Middelen worden doelmatig ingezet wanneer ze worden gebruikt op een manier die de

uitvoering van het goedgekeurde plan optimaliseert.

2040 – Beleid en procedures

Het hoofd van de internal auditfunctie moet beleid en procedures vaststellen om de internal auditfunctie

aan te sturen.

Interpretatie

De vorm en de inhoud van het beleid en de procedures zijn afhankelijk van de omvang en de structuur

van de internal auditfunctie en de complexiteit van de werkzaamheden.

2050 – Coördinatie

Het hoofd van de internal auditfunctie dient informatie te delen en activiteiten te coördineren met andere

interne en externe auditors en adviseurs, om een adequate dekking te verzekeren en het dubbel

uitvoeren van werk tot een minimum te beperken.

2060 – Rapportering aan de directie en Raad van Com missarissen

Het hoofd van de internal auditfunctie moet periodiek rapporteren aan het senior management en het

bestuur over het doel, de bevoegdheden en de verantwoordelijkheden van de internal auditfunctie,

evenals over de uitvoering van het internal auditplan. De rapportering moet ook belangrijke

blootstellingen aan risico’s, inclusief frauderisico’s, omvatten, alsook aandachtspunten op het gebied van

Page 11: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

interne beheersing en governance, en andere noodzakelijke onderwerpen of verzoeken van het senior

management en het bestuur.

Interpretatie

De frequentie en inhoud van de rapportage worden bepaald in overleg met het senior management en

het bestuur en is afhankelijk van het belang van de te verstrekken informatie en van de mate van urgentie

voor het nemen van maatregelen door het senior management en het bestuur.

2100 – Aard van het werk

De internal auditfunctie moet de processen van governance, risicomanagement en interne beheersing

evalueren en bijdragen aan de verbetering daarvan door middel van een systematische en

gedisciplineerde aanpak.

2110 – Governance

De internal auditfunctie moet evaluaties uitvoeren en passende aanbevelingen formuleren om het

governanceproces te verbeteren teneinde de volgende doelstellingen te bereiken:

• Het bevorderen van passende ethische normen en waarden binnen de organisatie;

• Het verzekeren van een doeltreffende prestatiebeheersing en het afleggen van rekenschap

binnen de organisatie;

• Het communiceren van risico- en interne beheersinformatie aan de aangewezen niveaus binnen

de organisatie; en

• Het coördineren van de activiteiten van het bestuur, de externe accountant, de internal auditors

en het management en het uitwisselen van informatie daarover.

2110.A1 – De internal auditfunctie moet het ontwerp, de implementatie, en de doeltreffendheid

van de ethische doelstellingen, programma’s en activiteiten van de organisatie evalueren.

2110.A2 – De internal auditfunctie moet beoordelen of de IT-governance van de organisatie de

strategieën en de doelstellingen van de organisatie ondersteunt.

2110.C1 - De doelstellingen van adviesopdrachten moeten overeenstemmen met de algemene

waarden en doelstellingen van de organisatie.

2120 – Risicomanagement

De internal auditfunctie moet de doeltreffendheid van het risicomanagement evalueren en bijdragen aan

het verbeteren van de processen van risicomanagement.

Interpretatie

Het vaststellen of risicobeheersprocessen doeltreffend zijn, is een oordeel op basis van de evaluatie van

de internal auditor, dat:

• Organisatorische doelstellingen de missie van de organisatie ondersteunen en daarop aansluiten;

Page 12: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

• Belangrijke risico’s zijn geïdentificeerd en beoordeeld;

• Passende maatregelen zijn genomen, zodat de risico’s in overeenstemming zijn met de

risicobereidheid van de organisatie; en

• Relevante risico-informatie wordt verzameld en tijdig wordt gecommuniceerd in de gehele

organisatie, waardoor het personeel, het management en het bestuur hun verantwoordelijkheden

kunnen uitoefenen.

Risicomanagementprocessen worden bewaakt door doorlopende managementactiviteiten, afzonderlijke

evaluaties, of beide.

2120.A1 – De internal auditfunctie moet potentiële risico’s aangaande de governance, de

operationele activiteiten en de informatiesystemen van de organisatie evalueren op het gebied

van:

• Betrouwbaarheid en integriteit van de financiële en de operationele informatie;

• Doeltreffendheid en doelmatigheid van de operationele activiteiten;

• Bescherming van de activa; en

• Naleving van wetten, regelgeving en contracten.

2120.A2 – De internal auditfunctie moet de kans op het bestaan van fraude en hoe de organisatie

frauderisico’s beheert, evalueren.

2120.C1 - Tijdens adviesopdrachten moeten de internal auditors zich toeleggen op risico’s die

binnen de doelstellingen van de opdracht vallen en aandacht hebben voor eventuele andere

belangrijke risico's.

2120.C2 - Internal auditors moeten kennis op het gebied van risico's, verworven uit

adviesopdrachten, verwerken in hun evaluatie van de risicomanagementprocessen van de

organisatie.

2120.C3 – Bij het assisteren van het management bij het opzetten of verbeteren van de

processen van risicomanagement, dienen internal auditors zich te onthouden van elke

managementverantwoordelijkheid voor het daadwerkelijk beheer van risico’s.

2130 – Beheersing

De internal auditfunctie moet de organisatie ondersteunen bij het handhaven van doeltreffende interne

beheersmaatregelen, door de doeltreffendheid en doelmatigheid daarvan te evalueren en een

voortdurende verbetering te stimuleren.

2130.A1 – De internal auditfunctie moet de toepasselijkheid en de doeltreffendheid van de

beheersmaatregelen evalueren bij het inspelen op de risico’s binnen de governance en de

operationele- en informatiesystemen van de organisatie met betrekking tot:

Page 13: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

• Betrouwbaarheid en integriteit van de financiële en de operationele informatie;

• Doeltreffendheid en doelmatigheid van de operationele activiteiten;

• Bescherming van de activa; en

• Naleving van wetten, regelgeving en contracten.

2130.A2 – Internal auditors dienen vast te stellen in welke mate de operationele en de

programmadoelstellingen zijn vastgesteld en of deze overeenstemmen met de algemene

doelstellingen van de organisatie.

2130.A3 – Internal auditors dienen de operationele activiteiten en de programma’s te beoordelen om

vast te stellen in welke mate de resultaten overeenstemmen met de vastgestelde doelstellingen,

teneinde te bepalen of de operationele activiteiten en de programma’s geïmplementeerd en

uitgevoerd worden zoals bedoeld.

2130.C1 - Tijdens adviesopdrachten moeten de internal auditors de interne beheersingsmaatregelen

binnen de doelstellingen van de adviesopdracht beoordelen en waakzaam zijn voor belangrijke

kwesties op het gebied van interne beheersing.

2130.C2 - Internal auditors moeten kennis van beheersmaatregelen, verworven tijdens

adviesopdrachten, verwerken in de evaluatie van de beheersprocessen van de organisatie.

2200 – Planning van de opdracht

Internal auditors moeten voor iedere opdracht een plan uitwerken en documenteren. Dit plan bevat per

opdracht de doelstellingen, de reikwijdte, de tijdsplanning en de toewijzing van capaciteit.

2201 – Overwegingen bij de planning

Bij het plannen van opdrachten moeten de internal auditors rekening houden met:

• De doelstellingen van de te onderzoeken activiteit en de wijze waarop deze activiteit haar prestaties

beheerst;

• De belangrijke risico's, doelstellingen, middelen en werkzaamheden van de activiteit, en de wijze

waarop de potentiële impact van een risico op een aanvaardbaar niveau gehouden wordt;

• De toepasselijkheid en doeltreffendheid van de processen van risicomanagement en beheersing van

de activiteit, in vergelijking met een relevant intern beheersingsmodel of raamwerk; en

• De mogelijkheden tot belangrijke verbeteringen van de processen van risicomanagement en

beheersing van de activiteit.

2201.A1 – Bij het plannen van een opdracht voor partijen buiten de organisatie moeten de internal

auditors met deze partijen een schriftelijke overeenkomst opstellen over de doelstellingen, reikwijdte,

onderlinge verantwoordelijkheden en andere verwachtingen, inclusief de beperkingen in de

verspreiding van de resultaten van de opdracht en in de toegang tot de opdrachtdossiers.

Page 14: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

2201.C1 - Internal auditors moeten tot overeenstemming komen met de klanten van de

adviesopdrachten over de doelstellingen, reikwijdte, onderlinge verantwoordelijkheden en andere

verwachtingen van de klant. Voor belangrijke opdrachten moet deze overeenkomst schriftelijk

vastgelegd worden.

2210 – Doelstellingen van de opdracht

Voor elke opdracht moeten doelstellingen worden bepaald.

2210.A1 – Internal auditors moeten een voorlopige evaluatie maken van de risico’s die relevant

zijn voor de te onderzoeken activiteit. De doelstellingen van de opdracht moeten gebaseerd zijn

op de resultaten van deze evaluatie.

2210.A2 – Bij het opstellen van de doelstellingen van de opdracht moeten internal auditors

rekening houden met de waarschijnlijkheid van belangrijke fouten, fraude, gevallen van niet-

naleving en andere risico’s.

2210.A3 – Toereikende criteria zijn benodigd om beheersmaatregelen te evalueren. Internal

auditors moeten vaststellen in welke mate het management toereikende criteria heeft vastgelegd,

om te bepalen of de doelstellingen bereikt zijn. Indien ze toereikend bevonden worden, moeten

de internal auditors deze criteria gebruiken bij hun evaluatie. Indien ze niet toereikend zijn,

moeten de internal auditors samen met het management geschikte evaluatiecriteria ontwikkelen.

2210.C1 - De doelstellingen van adviesopdrachten moeten betrekking hebben op de processen

van governance, risicomanagement en -beheersing volgens de gemaakte afspraken met de

opdrachtgever. Voor omvangrijke opdrachten moeten de afspraken worden vastgelegd.

2220 – Reikwijdte van de opdracht

De vastgelegde reikwijdte moet voldoende zijn om de doelstellingen van de opdracht te behalen.

2220.A1 – De reikwijdte van de opdracht moet rekening houden met relevante systemen,

vastleggingen, personeel en fysieke eigendommen, waaronder die onder beheer van derden.

2220.A2 – Als tijdens een audit belangrijke adviesmogelijkheden naar voor komen, dient een

specifieke schriftelijke overeenkomst te worden opgesteld met de doelstellingen, reikwijdte,

onderlinge verantwoordelijkheden en andere verwachtingen. De resultaten van de

adviesopdracht dienen gecommuniceerd te worden conform de standaarden voor

advieswerkzaamheden.

2220.C1 – Bij de uitvoering van adviesopdrachten moeten de internal auditors zich ervan

verzekeren dat de reikwijdte voldoende is om de overeengekomen doelstellingen te bereiken.

Indien de internal auditors tijdens de opdracht gaan twijfelen aan de reikwijdte, dan moet deze

twijfel besproken worden met de opdrachtgever om te beslissen of de opdracht wordt voortgezet.

Page 15: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

2230 – Toekenning van middelen aan de opdracht

Internal auditors moeten bepalen wat passende en voldoende middelen zijn om de doelstellingen van de

opdracht te bereiken, gebaseerd op een evaluatie van de aard en de complexiteit van elke opdracht, de

gestelde tijdslimieten en de beschikbare middelen.

2240 – Werkprogramma van de opdracht

Internal auditors moeten werkprogramma’s ontwikkelen en documenteren die de doelstellingen van de

opdracht verwezenlijken.

2240.A1 – Werkprogramma's moeten de geschikte procedures bevatten voor identificatie,

analyse, evaluatie en documentatie van informatie tijdens de opdracht. Het werkprogramma moet

vóór de implementatie ervan worden goedgekeurd, en aanpassingen moeten direct worden

goedgekeurd.

2240.C1 - Werkprogramma's voor adviesopdrachten kunnen verschillen qua vorm en inhoud

naargelang de aard van de opdracht.

2300 – Uitvoering van de opdracht

Internal auditors moeten voldoende informatie identificeren, analyseren, evalueren en documenteren om

de doelstellingen van de opdracht te bereiken.

2310 – Identificatie van de informatie

Internal auditors moeten voldoende, betrouwbare, relevante en nuttige informatie verkrijgen om de

doelstellingen van de opdracht te realiseren.

Interpretatie

Voldoende informatie is feitelijk, adequaat en overtuigend, zodat een verstandig, geïnformeerde persoon

tot dezelfde conclusies zou komen als de auditor. Betrouwbare informatie is de hoogst haalbare

informatie verkregen door het gebruik van passende audittechnieken. Relevante informatie ondersteunt

de opdrachtbevindingen en aanbevelingen en is in overeenstemming met de doelstellingen van de

opdracht. Nuttige informatie helpt de organisatie haar doelen te bereiken.

2320 – Analyse en evaluatie

Internal auditors moeten de conclusies en de resultaten van hun opdrachten baseren op passende

analyses en evaluaties.

2330 – Documenteren van de informatie

Internal auditors moeten relevante informatie documenteren ter ondersteuning van de conclusies en

resultaten van de opdracht.

2330.A1 – Het hoofd van de internal auditfunctie moet de toegang tot de dossiers van de

opdrachten bewaken. Het hoofd van de internal auditfunctie moet -waar nodig- de toestemming

Page 16: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

verkrijgen van de directie en/of juridisch zaken alvorens deze dossiers ter beschikking te stellen

van externe partijen.

2330.A2 – Het hoofd van de internal auditfunctie moet regels opstellen voor de bewaartermijn

van de dossiers van de opdrachten, ongeacht het medium waarin het dossier wordt opgeslagen.

Deze regels moeten in overeenstemming zijn met de richtlijnen van de organisatie en met alle

toepasselijke reglementaire of andere vereisten.

2330.C1 – Het hoofd van de internal auditfunctie moet beleid opstellen voor zowel de bewaking en

bewaring van de dossiers van de adviesopdrachten als voor de terbeschikkingstelling ervan aan interne

en externe partijen. Deze regels moeten overeenstemmen met de richtlijnen van de organisatie en met

alle toepasselijke regelgeving of andere vereisten.

2340 – Toezicht op de opdracht

Er moet voldoende toezicht gehouden worden op de opdrachten, om de doelstellingen te realiseren, de

kwaliteit te waarborgen en het personeel verder te vormen.

Interpretatie

De mate van toezicht dat nodig is, zal afhangen van de vakbekwaamheid en ervaring van de internal

auditors en de complexiteit van de opdracht. Het hoofd van de internal auditfunctie heeft de

eindverantwoordelijkheid voor het toezicht op de opdracht, zowel uitgevoerd door of voor de internal

auditfunctie, maar kan voldoende ervaren leden van internal auditfunctie aanwijzen voor het beoordelen

van de opdracht. Passend bewijs van dit toezicht wordt gedocumenteerd en bewaard.

2400 – Communicatie van resultaten

Internal auditors moeten de resultaten van de opdrachten communiceren.

2410 – Kenmerken van de communicatie

Communicatie moet de doelstellingen en reikwijdte van de opdracht, evenals de conclusies,

aanbevelingen en actieplannen omvatten.

2410.A1 – Communicatie van de uiteindelijke resultaten moet, waar nodig, het totaaloordeel van

de internal auditors en/of hun conclusies bevatten.

2410.A2 – Internal auditors worden aangemoedigd om bevredigende resultaten te onderkennen

in de communicatie over de opdracht.

2410.A3 – Bij het vrijgeven van de auditresultaten aan partijen buiten de organisatie, moet de

communicatie de beperkingen aangeven voor de verspreiding en het gebruikmaken van de

resultaten.

2410.C1 – De communicatie van het verloop en de resultaten van een adviesopdracht zal qua

vorm en inhoud variëren, afhankelijk van de aard van de opdracht en de wensen van de klant.

Page 17: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

2420 – Kwaliteit van de communicatie

De communicatie moet accuraat, objectief, helder, bondig, opbouwend, volledig en tijdig zijn.

Interpretatie

Accurate mededelingen zijn vrij van fouten en verdraaiingen en onderbouwd met de onderliggende feiten.

Objectieve communicatie is eerlijk, onpartijdig en onbevooroordeeld en is het resultaat van een eerlijke

en evenwichtige beoordeling van alle relevante feiten en omstandigheden. Heldere communicatie is

gemakkelijk te begrijpen en logisch, vermijdt onnodig jargon en levert

alle belangrijke en relevante informatie. Beknopte communicatie is to-the-point en vermijdt onnodige

uitwijding, overbodige details, redundantie en langdradigheid. Opbouwende communicatie is nuttig voor

de cliënt en de organisatie en leidt tot verbeteringen waar dat nodig is.

Volledige communicatie betekent dat niets ontbreekt dat essentieel is voor de doelgroep en bevat alle

belangrijke en relevante informatie en bevindingen ter ondersteuning van de aanbevelingen en

conclusies. Tijdige communicatie komt op het juiste ogenblik, is passend, afhankelijk van de ernst van het

probleem, zodat het management de juiste corrigerende maatregelen kan nemen.

2421 – Vergissingen of nalatigheden

Indien een definitief rapport een belangrijke vergissing of nalatigheid bevat, moet het hoofd van de

internal auditfunctie de gecorrigeerde informatie communiceren aan alle partijen die de originele versie

van het rapport ontvingen.

2430 – Gebruik van de uitdrukking ‘Uitgevoerd in ov ereenstemming met de Internationale

Standaarden voor de Beroepsuitoefening van Internal Auditing’

Internal auditors mogen alleen melden dat hun opdrachten zijn ‘uitgevoerd in overeenstemming met de

Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing’, als de resultaten van het

kwaliteitsbewakings- en verbeterprogramma de uitspraak onderbouwen.

2431 – Kennisgeving over niet-naleving tijdens de o pdracht

Wanneer het niet-naleven van de definitie van internal auditing, de gedragscode of de Standaarden

gevolgen heeft voor een bepaalde opdracht, moet de communicatie van de resultaten melding maken

van:

• Het principe of de gedragsregel van de gedragscode of de Standaard(en) die niet geheel werd(en)

nageleefd;

• De reden(en) van het niet-naleven; en

• De gevolgen van het niet-naleven op de opdracht en de gecommuniceerde resultaten van de

opdracht.

2440 – Distributie van de resultaten

Het hoofd van de internal auditfunctie moet de resultaten aan de betrokken partijen communiceren.

Page 18: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

Interpretatie

Het hoofd van de internal auditfunctie of iemand die door hem is aangewezen, beoordeelt de definitieve

communicatie, keurt deze goed voor verspreiding en beslist aan wie en hoe ze zal worden gedistribueerd.

2440.A1 – Het hoofd van de internal auditfunctie is verantwoordelijk voor het communiceren van de

eindresultaten aan de partijen die kunnen bewerkstelligen dat aan de resultaten de nodige aandacht

zal worden gegeven.

2440.A2 – Indien er geen andere wettelijke, statutaire of reglementaire vereisten zijn, moet het hoofd

van de internal auditfunctie voorafgaand aan de communicatie van de resultaten aan partijen buiten

de organisatie:

• Het potentiële risico voor de organisatie evalueren;

• Senior management en/of juridische zaken consulteren wanneer nodig; en

• De verdere verspreiding beheersen door het gebruik van de resultaten te beperken.

2440.C1 – Het hoofd van de internal auditfunctie is verantwoordelijk voor de communicatie van de

eindresultaten van adviesopdrachten aan de klanten.

2440.C2 - Tijdens de adviesopdrachten kunnen kwesties op het gebied van governance,

risicomanagement en interne beheersing worden ontdekt. Indien deze problemen belangrijk zijn voor

de organisatie moeten zij meegedeeld worden aan het senior management en het bestuur.

2500 – Toezicht op de opvolging

Het hoofd van de internal auditfunctie moet een systeem opzetten en onderhouden om toe te zien op de

opvolging van de resultaten zoals gecommuniceerd aan het management.

2500.A1 – Het hoofd van de internal auditfunctie moet een proces opzetten om te bewaken en vast te

stellen dat verbeteracties doeltreffend zijn geïmplementeerd of dat het senior management het risico

heeft aanvaard om geen maatregelen te nemen.

2500.C1 - De internal auditfunctie moet de plannen als gevolg van de resultaten van de

adviesopdrachten bewaken, voor zover overeengekomen met de opdrachtgever.

2600 – Het aanvaarden van risico's door het senior management

Wanneer het hoofd van de internal auditfunctie meent dat het senior management een niveau van

restrisico heeft aanvaard dat ontoelaatbaar zou kunnen zijn voor de organisatie, moet het hoofd van de

internal auditfunctie dit met het senior management bespreken. Indien de beslissing over het aanvaarden

van het restrisico niet wordt opgelost, moet het hoofd van de internal auditfunctie de zaak rapporteren

aan het bestuur, dat hierover beslist.

Page 19: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

Verklarende woordenlijst

Aantasting van objectiviteit en onafhankelijkheid – De aantasting van onafhankelijkheid binnen de

organisatie en de individuele objectiviteit, kan betrekking hebben op persoonlijke belangenverstrengeling,

beperkingen van de reikwijdte van de audit, beperkingen van de toegang tot dossiers, personeel en

bezittingen, en beperking van middelen (bijvoorbeeld budget).

Adviesdiensten – Adviesdiensten betreffen advies en aanverwante dienstverlening aan de

opdrachtgever, waarvan de aard en de reikwijdte worden overeengekomen met de opdrachtgever, en zijn

bedoeld om meerwaarde te leveren en binnen een organisatie de processen van governance,

risicomanagement en beheersing te verbeteren, zonder dat de internal auditor

beheersverantwoordelijkheid draagt. Voorbeelden omvatten consult, adviesverstrekking, begeleiding en

training.

Audits - Een objectief onderzoek van bewijsmateriaal met de bedoeling een onafhankelijke beoordeling

te maken van de processen van governance, risicomanagement en beheersing van de organisatie.

Voorbeelden zijn financiële, operationele, compliance, systeembeveiliging en due diligence-onderzoeken.

Beheersing – Elke actie van het management, bestuur en andere partijen om risico’s te beheersen en de

waarschijnlijkheid te verhogen dat de beoogde resultaten en doelstellingen gerealiseerd worden.

Management plant, organiseert en leidt de uitvoering van voldoende maatregelen om een redelijke

zekerheid te bieden dat de vooropgestelde resultaten en doelstellingen zullen worden gerealiseerd.

Beheersomgeving – De houding en acties van het bestuur en het management met betrekking tot het

belang van de beheersing binnen de organisatie. De beheersomgeving bepaalt de discipline en de

structuur om de voornaamste doelstellingen van het systeem van interne beheersing te realiseren. De

beheersomgeving omvat de volgende elementen:

• De integriteit en de ethische waarden;

• De filosofie en de operationele stijl van het management;

• De structuur van de organisatie;

• Het toewijzen van bevoegdheden en verantwoordelijkheden;

• Personeelsbeleid en procedures;

• De competentie van het personeel.

Beheersprocessen – Het beleid, de procedures en activiteiten die deel uitmaken van een raamwerk voor

beheersingsmaatregelen, ontworpen om de risico’s binnen de tolerantiegrenzen te houden, die zijn

vastgelegd in het risicomanagementproces.

Belang – Het relatieve belang van een zaak binnen de context waarin deze wordt beschouwd, met

inbegrip van kwantitatieve en kwalitatieve factoren, zoals de omvang, aard, gevolgen, relevantie en

impact. Professionele oordeelsvorming helpt internal auditors bij het beoordelen van het belang van

zaken binnen de context van de relevante doelstellingen.

Page 20: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

Belangenverstrengeling – Elke relatie die niet in het belang van de organisatie is of schijnt te zijn.

Belangenverstrengeling tast iemands mogelijkheid aan om op een objectieve wijze zijn of haar taken te

vervullen en verplichtingen na te leven.

Bestuur – In de US wordt ‘Board’ gebruikt om het beleidsorgaan van een organisatie, zoals een raad van

bestuur, een raad van commissarissen, het hoofd van een overheidsinstelling of een wetgevend orgaan,

het bestuur van een non-profitorganisatie of elke relevante bestuursentiteit van de organisatie, met

inbegrip van de auditcommissie, aan te duiden. In de US kan het hoofd van de internal auditfunctie

functioneel aan dit orgaan rapporteren. De Board bestaat uit Executive Director (vergelijkbaar met de

Raad van Bestuur) en Non-Executive Directors (vergelijkbaar met de Raad van Commissarissen). Bij de

vertaling van de ‘Board’ is gekozen voor ‘het bestuur’.

Charter – Het internal auditcharter is een formeel document dat het doel, de bevoegdheid, en de

verantwoordelijkheid van de internal auditfunctie definieert. Het internal auditcharter bepaalt de plaats van

de internal auditfunctie binnen de organisatie, geeft de internal auditfunctie de bevoegdheid tot vrije

toegang tot documenten, goederen en personeel nodig voor het uitvoeren van de opdrachten. Het

omschrijft ook de reikwijdte van de internal auditfunctie.

Dienen – De Standaarden gebruiken het woord ‘dienen’ waar naleving wordt verwacht, tenzij dat bij de

toepassing van een professioneel oordeel, de omstandigheden afwijking rechtvaardigen.

Doelstellingen van de opdrachten – Algemene stellingen van de internal auditors waarin wordt

gedefinieerd wat gerealiseerd moet worden binnen de opdracht.

Externe dienstverlener – Een persoon of een vennootschap, van buiten de organisatie, die bijzondere

kennis, vaardigheden en ervaring bezit op een specifiek gebied.

Fraude – Elke onwettige handeling gekenmerkt door bedrog, verduistering of inbreuk op het vertrouwen.

Deze handelingen zijn onafhankelijk van het dreigen met geweld of van fysiek dwang. Fraude wordt

gepleegd door partijen en organisaties om geld, bezittingen of diensten te verkrijgen, ter voorkoming van

uitgaven of verlies van diensten of om persoonlijke of zakelijke voordelen veilig te stellen.

Geautomatiseerde audittechnieken - Elk geautomatiseerd auditinstrument, zoals algemene

auditsoftware, testdata generatoren, geautomatiseerde auditprogramma’s, gespecialiseerde

auditinstrumenten en audittechnieken geassisteerd door computers (CAATs).

Gedragscode – De gedragscode van het Instituut van Internal Auditors (IIA) omvat de principes voor het

beroep en de praktijk van internal audit, en de gedragsregels die de het gedrag beschrijven dat van

internal auditors verwacht wordt. De gedragscode is van toepassing op zowel individuen als entiteiten die

internal auditdiensten verlenen. Het doel van de gedragscode is het stimuleren van een ethische cultuur

binnen het geheel van de beroepsgroep van internal audit.

Page 21: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

Governance – De combinatie van processen en structuren, geïmplementeerd door het bestuur om de

organisatie te informeren, te oriënteren, te leiden en de activiteiten te monitoren, met het oog op het

bereiken van haar doelstellingen

Hoofd van de internal auditfunctie – Het hoofd van de internal auditfunctie is een hoge positie binnen

de organisatie, verantwoordelijk voor de internal auditfunctie. Normaal is dit de directeur internal audit. In

het geval dat de internal auditfunctie is uitbesteed aan externe dienstverleners, is het hoofd van de

internal auditfunctie de persoon verantwoordelijk voor het opvolgen van de uitvoering van de

dienstverlening en de totale kwaliteitsborging van deze activiteiten, de rapportage aan het senior

management en het bestuur, over de internal auditfunctie en de opvolging van de resultaten van de

opdrachten. Deze term omvat tevens titels zoals auditor-generaal, chief audit executive, chief internal

auditor en inspecteur-generaal.

Internal auditfunctie – De internal auditfunctie is een dienst, een afdeling, een team van consultants, of

elke andere beoefenaar, die onafhankelijk en objectief audits en adviesdiensten levert, om meerwaarde

te leveren en de operationele activiteiten van een organisatie te verbeteren.

De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door, met een

systematische en gedisciplineerde aanpak, de doeltreffendheid van de processen van governance,

risicomanagement en beheersing te evalueren en te verbeteren.

IPPF – Het International Professional Practices Framework: het conceptuele raamwerk dat de

gezaghebbende richtlijnen, uitgevaardigd door het IIA, organiseert. Gezaghebbende richtlijnen bestaan

uit twee categorieën - (1) verplicht en (2) sterk aanbevolen.

IT-governance - Bestaat uit leiderschap, organisatiestructuren en -processen die ervoor zorgen dat de

informatie technologie van de organisatie, de strategieën en doelstellingen van de organisatie mogelijk

maakt en ondersteunt.

IT-beheersmaatregelen - Beheersmaatregelen die ondersteuning bieden voor bedrijfsbeheer

en governance, maar ook algemene en technische beheersmaatregelen gericht op de IT-infrastructuren

zoals applicaties, informatie, infrastructuur en mensen.

Meerwaarde – Meerwaarde ontstaat door het verbeteren van de mogelijkheden om de doelstellingen van

de organisatie te realiseren, het identificeren van operationele verbeteringen, en/of het verminderen van

de blootstelling aan risico’s door zowel audits als adviesdiensten.

Moeten - De Standaarden gebruiken het woord ‘moeten’ voor een onvoorwaardelijke eis.

Naleving – Het in acht nemen van beleid, plannen, procedures, wetten, reglementen, contracten of

andere vereisten.

Objectiviteit – Een onbevooroordeelde mentale houding die internal auditors helpt om opdrachten uit te

voeren op een manier dat zij in de resultaten van hun werk geloven en zonder de kwaliteit in gevaar te

Page 22: AUDITING Inleiding - IIA NL.pdf · Inleiding De gedragscode van het Instituut van Internal Auditors is van toepassing op alle leden van de vereniging. De gedragscode stelt dat internal

brengen. Objectiviteit vereist dat internal auditors hun oordeelsvorming over auditzaken niet

ondergeschikt maakt aan derden.

Onafhankelijkheid – Vrij zijn van voorwaarden die een bedreiging vormen voor de objectiviteit of

schijnbare objectiviteit. Dergelijke bedreigingen van de objectiviteit moeten beheerst worden op het

niveau van de individuele auditor, de opdracht, de functie en de organisatie.

Opdracht – Een specifieke internal auditopdracht, -taak of -beoordeling, zoals een internal audit, een

evaluatie van een zelfbeoordeling, een fraudeonderzoek of een adviesdienst. Een opdracht kan meerdere

taken of activiteiten omvatten om een specifiek geheel van gerelateerde doelstellingen te verwezenlijken.

Restrisico – Het risico dat overblijft nadat het management actie genomen heeft om de impact en de

waarschijnlijkheid van een negatieve gebeurtenis te verminderen, inclusief beheersmaatregelen die een

risico verkleinen.

Risico – De mogelijkheid dat een gebeurtenis zich voordoet die de realisatie van de doelstellingen

beïnvloedt. Risico wordt gemeten in termen van impact en van kans van optreden.

Risicobereidheid – Het risiconiveau dat een organisatie wil accepteren.

Risicomanagement – Een proces voor het identificeren, evalueren, beheren en controleren van

potentiële gebeurtenissen of situaties, om redelijke zekerheid over het realiseren van de doelstellingen

van de organisatie te verkrijgen.

Standaard – Een professionele verklaring verspreid door de Internal Audit Standards Board die de

vereisten definieert voor de uitvoering van een breed aanbod van internal auditactiviteiten en voor

evaluatie van de functionering van de internal auditfunctie.

Toereikende beheersing – Aanwezig als het management de beheersing zodanig heeft gepland en

ontworpen, dat het een redelijke zekerheid biedt dat de risico’s van de organisatie doeltreffend worden

gemanaged, en dat de beoogde resultaten en doelstellingen doelmatig en economisch worden

gerealiseerd.

Werkprogramma – Een document dat de procedures opsomt, die nageleefd moeten worden tijdens het

uitvoeren van een auditopdracht om haar doelstellingen te kunnen verwezenlijken.