Hoe het allemaal begon met internal audit in Nederland · 2020-08-01 · Hoe het allemaal begon met...
Transcript of Hoe het allemaal begon met internal audit in Nederland · 2020-08-01 · Hoe het allemaal begon met...
Hoe het allemaal begon met
internal audit in Nederland
John Bendermacher
11 December 2019
Hoe het allemaal begon met internal audit in Nederland
Inhoud
2
Hoe het begon voor mij
Hoe het begon international
Hoe het begon in Nederland
Van toen het begon tot nu en …. Waar gaat het naartoe?
Hoe het allemaal begon met internal audit in Nederland?
Introductie
3
John Bendermacher RA CIA (1961)
• 1979 - 1991 Rijksaccountantsdienst Amsterdam
• 1991 - 1996 Belastingdienst/Grote Ondernemingen Amsterdam
• 1997 - 1998 De Nederlandsche Bank
• 1999 - 2004 NIBC Director Internal Audit & Compliance
• 2005 – 8/2011 Robeco Groep Director Group Internal Audit
• 9/2011 – 9/2013 SNS REAAL Director Group Audit
• 10/2013 – 4/2019 ABN AMRO Chief Audit Executive
• 5/2019 - pensioen Euroclear group Chief Audit Executive
• Laatste 20 jaar: Diverse commissies binnen IIA, NBA, NVB, UvA
• 6 jaar bestuur IIA Nederland (laatste 2 jaar voorzitter, tot mei 2018)
• 4 jaar Board of Directors IIA Global (2016 - 2019)
Chair Global Advocacy Committee
Vice-Chair Professional Practices; Executive Committee - 2018/2019
• Lid IIA België
• Erelid IIA Nederland
Hoe het allemaal begon met internal audit in Nederland?
Hoe het begon voor mij
- 1997 Vanuit DNB naar ABN AMRO Group Audit Services
- Eerste kennismaking met internal audit als toezichthouder – Evert van Dijk
- 1999 NIBC
- van Kredietinspectie/Interne Controle internal audit
- Verbod op aanbeveling / alleen effectief als concrete actie in rapport
- 2005 Robeco
- Planningsfrequentie o.b.v. inherent risico
- Effectiviteit vergroten door Follow-Up Monitoring
- Start gedragsauditing agv scriptie verwondering en impact
- 2011 SNS REAAL
- Onderbuikgevoel en impact van menselijk handelen verdere ontwikkeling behavioral auditing =
boardroom & divisie
- Governance-onderzoek (RvC en risk governance)
- Fraude-onderzoek
- 2013 ABN AMRO
- Belang kwartaalrapportage aan RvB/AC, en van herhaling
- Innovatie C&B, Strategy control cycle auditing, Data analytics, ..
- Belang van het vangnet voorzitter AC 4
- Institute of Internal Auditors (IIA) opgericht in de United States in 1941;
- Conceptueel gelijk aan financial auditing;
- Lawrence Sawyer (1911-2002), "the father of modern internal auditing"; grondlegger van het International
Professional Practices Framework (IPPF);
- Implementatie van Sarbanes-Oxley Act 2002 heeft in de US de professie aanzien gegeven.
5
Internal Audit internationaal
1947
While internal auditing primarily dealt with accounting and financial matters, matters of an operating nature also lay
within its scope of activities.
1957
Broadened to include services such as:
1. Reviewing and appraising soundness, adequacy, and application of accounting, financial, and operating controls.
2. Ascertaining the extent of compliance with established policies, plans, and procedures.
3. Ascertaining the extent to which company assets are accounted for, and safeguarded from, losses of all kinds.
4. Ascertaining the reliability of accounting and other data developed within the organization.
5. Appraising the quality of performance in carrying out assigned responsibilities.
1978
IIA formally approved the Standards for the Professional Practice of Internal Auditing
6
Internal Audit internationaal
Role and purpose; IIA’s Statement of Responsibilities
1993
The scope of internal auditing encompasses the examination and evaluation of the adequacy and effectiveness of
the organization’s system of internal control and the quality of performance in carrying out assigned
responsibilities.”
Scope of internal auditing:
1. Reviewing the reliability and integrity of financial and operating information and the means used to identify,
measure, classify, and report such information.
2. Reviewing the systems established to ensure compliance with those policies, plans, procedures, laws, and
regulations that could have a significant impact on operations and reports, and determining whether the
organization is in compliance.
3. Reviewing the means of safeguarding assets and, as appropriate, verifying the existence of such assets.
4. Appraising the economy and efficiency with which resources are employed.
5. Reviewing operations or programs to ascertain whether results are consistent with established objectives and
goals and whether the operations or programs are being carried out as planned.
7
Internal Audit internationaal
Role and purpose; ; IIA’s Statement of Responsibilities
2002
New definition of internal auditing emphasizes:
1. Objective activity;
2. Assurance and consulting activities;
3. Proactive and customer-focused;
4. Designed to add value and improve an organization’s operations, to have a significant contribution;
5. Considering the whole organization, with a mandate much more broadly, helping the organization accomplish
overall objectives;
6. The horizon of internal auditing to include risk management, control, and governance processes;
7. Documented, disciplined, and systematic process that assures quality performance on internal audit
engagements.
8
Internal Audit internationaal
Role and purpose
Feb 2017; Global Advocacy Platform
The IAF is essential to governance
Effectiveness is key, with ‘conformance’ to IPPF
Hoe het allemaal begon met internal audit in Nederland?
Van interne accountant naar internal auditor
- Grote multinationals en beursgenoteerde
ondernemingen: Interne accountant
- Verlengstuk van de externe accountant
- Soms ook verantwoordelijk voor de financial audit
- Banken en verzekeraars volgden (gereguleerd)
- In begin voor financial audit, interne controle + en
kredietinspectie
- Later – net als de internationaal – bredere scope
- Nog later: industrie, centrale en lagere overheden
- Na financial audit kwamen IT audit en operational
audit er bij, elk los van elkaar
- Later meer en meer integrated
• MAB mei 1995 over een eeuw NIVRA:
Dat het NIVRA zich heeft ontwikkeld tot een
pluriforme beroepsorganisatie van
registeraccountants
Collega R.O.M. de Jaeger RA bespreekt de dynamiek van de internal audit functie in Nederland. In het bijzonder wordt aandacht besteed aan taakverschuivingen van financial naar internal audit-activiteiten en hun betekenis voor de organen van de
vennootschap en het maatschappelijk verkeer
12
- 1997: Oprichting IIA Nederland
- 1991: Startpunt: IIA Benelux - Hans Nieuwlands bestuurslid
- Hans Nieuwlands eerste voorzitter 1997/1998, nu al lang CEO
- Frank Vrolijk mede-oprichter (vz SVRO), nog steeds actief
- Voorzitters Paul Hofstra 1998/2002, Arie den Butter 2002/2003, Thijs Smit 2003/2008, Fred Steenwinkel
2008/2010, Sander Weisz 2010-2012, Michel Kee 2012/2014, Vincent Molenaar 2014-2016, John
Bendermacher 2016-2018 en Jantien Heimel 2018 - heden
13
Hoe het allemaal begon met internal audit in Nederland?
1997: IIA
RA RE RO RI CIA CISA CGIET
- Systke Breedveld 2 x 6 jaar
- Congressen met groeiende deelname
- Commissarissensyposium
- Ledenaantal
- 1997: 560
- 2004: > 1.000 en groepslidmaatschappen
- 2007: > 2.000
- 2017: ~ 3.000
- RA, RO, RE – eigen verenigingen
14
Hoe het allemaal begon met internal audit in Nederland?
1997: IIA
- 2000: CIA in Nederland
- 2002: Oprichting Audit Magazine
- 2007: Internationaal IIA congres – Get into the flow
- 2007: Fusie SVRO/IIA
- 2012: Europees IIA congres
- 2015: Eigen bureau en medewerkers
- 2016: Corporate Governance Code
- 2017: 20 jarig bestaan
2 September 2017, 300 gasten, Ocean Dive
- 2023: Internationaal IIA congres – Titel?
15
Hoe het allemaal begon met internal audit in Nederland?
IIA; mijlpalen
- Nederlandse universiteiten behoren al jaren tot internationale top
- RO-opleidingen vanaf 1994
- UvA: Arie Molenkamp, Jan Driessen – beiden KPMG
boek standaardwerk 2018 Master accreditatie
- Erasmus: Leen Paape, Ron de Korte
16
Hoe het allemaal begon met internal audit in Nederland?
Vaktechnische importantie in Europa en wereldwijd
- Position papers geliefd tot in Australië
- Conformance en kwaliteitstoetsing: Nederland = voorbeeld
- Meest recent: IAAM
17
Hoe het allemaal begon met internal audit in Nederland?
Vaktechnische importantie in Europa en wereldwijd
Rol, mandaat, governance, risk
management, strategy, soft controls, advies/scope
Audit universe, jaarplan evaluatie, prioritering,
goedkeuring, resourcing, follow-up monitoring, IPPF, procedures, audit-proces,
communicatie, data analyse, review
Scope bedrijfsplan, resourcing, budget,
goedkeuring, rapportage maatstaven, stakeholders,
proces
Training en opleiding, team ontwikkeling, vakverenigingen,
performance cycle, beloning, resources
planning
Communicatie over IAF activiteiten,
samenwerkingsverbanden
Rapportagelijnen, bekostiging van de
functie, supervisie van de audit activiteit, 3 LoD,
toegang tot informatie, awareness
1. Initial
2. Infrastructure
3. Integrated
4. Managed
5. Optimizing
Hoe het allemaal begon met internal audit in Nederland?
Internal Audit Ambition Model
2016: Nederlandse Corporate Governance Code
- 1997 Commissie Peters
- 2003 Commissie Tabaksblat
- 2008 Commissie Frijns
- Vanaf 2011: Niet aflatende
lobby van IIA-bestuur richting
schragende partijen
- 2016 Commissie Van Manen
Eindelijk succes
2016: Nederlandse Corporate Governance Code
Filmpje Van Maanen
https://www.youtube.com/watch?v=Vrt5iWdKZ7k
- Definitie: Assurance Consulting Adding value Insight
- Scope: Financial Operational IT Integrated; + Culture and behavior?
- Risicolandschap: Veel complexer geworden
21
Hoe het allemaal begon met internal audit in Nederland?
Wat hebben we zoal zien veranderen?
Hoe het allemaal begon met internal audit in Nederland?
Cyber risk
22
- Definitie: Assurance Consulting Add value Insight
- Scope: Financial Operational IT Integrated ; + Culture and behavior?
- Risicolandschap: Veel complexer geworden
- Benodigde skills: Eisen enorm toegenomen en verbreed
24
Hoe het allemaal begon met internal audit in Nederland?
Wat hebben we zoal zien veranderen?
Hoe het allemaal begon met internal audit in Nederland?
Skills
Moeller & Witt, 1999
Personal attributes to be a successful
internal auditor (in addition to technical and
professional qualifications):
1. Basic fairness and integrity;
2. Dedication to the organization’s interests;
3. Reasonable humility;
4. Professional poise;
5. Empathy;
6. Role consistency;
7. Curiosity;
8. Critical attitude;
9. Alertness;
10. Persistence;
11. Energy;
12. Self confidence;
13. Courage; and
14. Ability to make sound judgments.
Auditors of the 21st century must be prepared to
‘audit’ virtually everything.
1. Analytical and critical thinking skills.
2. Gain an adequate understanding of any
auditee — individual, organization, or
system.
3. New concepts, principles, and techniques of
internal control;
4. Awareness and understanding of risk and
opportunity;
5. Development of general and specific audit
objectives for any audit project;
6. Use a broad array of audit
procedures, including the use of statistical
and non-statistical induction and audit
technology;
7. Reporting audit results in a variety of
formats to a variety of recipients.
8. Audit follow-up.
9. Professional ethics.
25
- Definitie: Assurance Consulting Add value Insight
- Scope: Financial Operational IT Integrated ; + Culture and behavior?
- Risicolandschap: Veel complexer geworden
- Benodigde skills: Eisen enorm toegenomen en verbreed
- Planning: Jaarplan meerjarenplan flexibiliteit
- Producten: Van standard audit naar meer kort cyclisch en non-assurance
- Rol ten opzichte van RvB en AC
- Ontstaan van en samenwerking met 3 Lines of Defense
- Innovatie Impact op ‘time to market’
26
Hoe het allemaal begon met internal audit in Nederland?
Wat hebben we zoal zien veranderen?
Innovatie
Data science is key voor onze toekomst
Lange weg naar volwassenheid
Een paar vragen…..
• Doen we dit al?
• Hoe lang al?
• Wat passen we toe?
• Zijn onze auditors getraind?
• Werken we in silo of samen met 2nd LoD?
• Is CA bedoeld om CM te worden?
Innovatie
Impact (ondermeer op ‘time to market’)• Insight belangrijker dan assurance
• Assurance vooraf i.p.v. achteraf
• Right to audit voor outsourcing; hoe?
• Data analyse; dichter bij 1st en 2nd LoD
• Planning moet snel aanpasbaar zijn
• Meer a tempo auditing
• Auditing change belangrijker dan BaU?
• Communicatie/rapportage real time
• Directer acties bepalen
• Follow-up monitoring belangrijk
• Shift in skill set van auditors
- Definitie: Assurance Consulting Add value Insight
- Scope: Financial Operational IT Integrated ; + Culture and behavior?
- Risicolandschap: Veel complexer geworden
- Benodigde skills: Eisen enorm toegenomen en verbreed
- Planning: Jaarplan meerjarenplan flexibiliteit
- Producten: Van standard audit naar meer kortcyclisch
- Rol ten opzichte van RvB en AC
- Ontstaan van en samenwerking met 3 Lines of Defense
- Innovatie en impact op onze ‘ time to market’
- Effectiviteitsmeting van internal audit
30
Hoe het allemaal begon met internal audit in Nederland?
Wat hebben we zoal zien veranderen?
Effectiviteitsmeting
Voorheen vooral op realisatie van het plan gericht
Effectiviteitsmeting Internal Audit
Meer relevante metrics
Number of
reports
Number of issues
% Realization
of audit plan
% Staff
Certifications
Customer
Satisfaction
% of
recommen-
dations
implemented
Employee
engagement
Employee
turnover
Hours of CPE
training
Internal
Quality
Review
External
Quality
Review
Realization
financial budget
% of
Direct
hours
% or #
Critical
Findings
# of
vacancies
Opinion
of the
external
auditor
Opinion
of the
super-
visor
Opinion of
the Audit
Committee
WAAR WAS DE INTERNAL
AUDITOR?
IMPACT?
GEZEGD WAT JE ZAG?
Effectief zijn vraagt tegenwoordig ook om morele moed
• Auditors voelen druk van
• binnen Internal Audit
• buiten Internal Audit
• Naast budgetdruk
• “FYM”Bron: IIA/Nyenrode