Hoe het allemaal begon met

internal audit in Nederland

John Bendermacher

11 December 2019

Hoe het allemaal begon met internal audit in Nederland

Inhoud

2

Hoe het begon voor mij

Hoe het begon international

Hoe het begon in Nederland

Van toen het begon tot nu en …. Waar gaat het naartoe?

Hoe het allemaal begon met internal audit in Nederland?

Introductie

3

John Bendermacher RA CIA (1961)

• 1979 - 1991 Rijksaccountantsdienst Amsterdam

• 1991 - 1996 Belastingdienst/Grote Ondernemingen Amsterdam

• 1997 - 1998 De Nederlandsche Bank

• 1999 - 2004 NIBC Director Internal Audit & Compliance

• 2005 – 8/2011 Robeco Groep Director Group Internal Audit

• 9/2011 – 9/2013 SNS REAAL Director Group Audit

• 10/2013 – 4/2019 ABN AMRO Chief Audit Executive

• 5/2019 - pensioen Euroclear group Chief Audit Executive

• Laatste 20 jaar: Diverse commissies binnen IIA, NBA, NVB, UvA

• 6 jaar bestuur IIA Nederland (laatste 2 jaar voorzitter, tot mei 2018)

• 4 jaar Board of Directors IIA Global (2016 - 2019)

Chair Global Advocacy Committee

Vice-Chair Professional Practices; Executive Committee - 2018/2019

• Lid IIA België

• Erelid IIA Nederland

Hoe het allemaal begon met internal audit in Nederland?

Hoe het begon voor mij

- 1997 Vanuit DNB naar ABN AMRO Group Audit Services

- Eerste kennismaking met internal audit als toezichthouder – Evert van Dijk

- 1999 NIBC

- van Kredietinspectie/Interne Controle internal audit

- Verbod op aanbeveling / alleen effectief als concrete actie in rapport

- 2005 Robeco

- Planningsfrequentie o.b.v. inherent risico

- Effectiviteit vergroten door Follow-Up Monitoring

- Start gedragsauditing agv scriptie verwondering en impact

- 2011 SNS REAAL

- Onderbuikgevoel en impact van menselijk handelen verdere ontwikkeling behavioral auditing =

boardroom & divisie

- Governance-onderzoek (RvC en risk governance)

- Fraude-onderzoek

- 2013 ABN AMRO

- Belang kwartaalrapportage aan RvB/AC, en van herhaling

- Innovatie C&B, Strategy control cycle auditing, Data analytics, ..

- Belang van het vangnet voorzitter AC 4

- Institute of Internal Auditors (IIA) opgericht in de United States in 1941;

- Conceptueel gelijk aan financial auditing;

- Lawrence Sawyer (1911-2002), "the father of modern internal auditing"; grondlegger van het International

Professional Practices Framework (IPPF);

- Implementatie van Sarbanes-Oxley Act 2002 heeft in de US de professie aanzien gegeven.

5

Internal Audit internationaal

1947

While internal auditing primarily dealt with accounting and financial matters, matters of an operating nature also lay

within its scope of activities.

1957

Broadened to include services such as:

1. Reviewing and appraising soundness, adequacy, and application of accounting, financial, and operating controls.

2. Ascertaining the extent of compliance with established policies, plans, and procedures.

3. Ascertaining the extent to which company assets are accounted for, and safeguarded from, losses of all kinds.

4. Ascertaining the reliability of accounting and other data developed within the organization.

5. Appraising the quality of performance in carrying out assigned responsibilities.

1978

IIA formally approved the Standards for the Professional Practice of Internal Auditing

6

Internal Audit internationaal

Role and purpose; IIA’s Statement of Responsibilities

1993

The scope of internal auditing encompasses the examination and evaluation of the adequacy and effectiveness of

the organization’s system of internal control and the quality of performance in carrying out assigned

responsibilities.”

Scope of internal auditing:

1. Reviewing the reliability and integrity of financial and operating information and the means used to identify,

measure, classify, and report such information.

2. Reviewing the systems established to ensure compliance with those policies, plans, procedures, laws, and

regulations that could have a significant impact on operations and reports, and determining whether the

organization is in compliance.

3. Reviewing the means of safeguarding assets and, as appropriate, verifying the existence of such assets.

4. Appraising the economy and efficiency with which resources are employed.

5. Reviewing operations or programs to ascertain whether results are consistent with established objectives and

goals and whether the operations or programs are being carried out as planned.

7

Internal Audit internationaal

Role and purpose; ; IIA’s Statement of Responsibilities

2002

New definition of internal auditing emphasizes:

1. Objective activity;

2. Assurance and consulting activities;

3. Proactive and customer-focused;

4. Designed to add value and improve an organization’s operations, to have a significant contribution;

5. Considering the whole organization, with a mandate much more broadly, helping the organization accomplish

overall objectives;

6. The horizon of internal auditing to include risk management, control, and governance processes;

7. Documented, disciplined, and systematic process that assures quality performance on internal audit

engagements.

8

Internal Audit internationaal

Role and purpose

Feb 2017; Global Advocacy Platform

The IAF is essential to governance

Effectiveness is key, with ‘conformance’ to IPPF

Hoe het allemaal begon met internal audit in Nederland?

Van interne accountant naar internal auditor

- Grote multinationals en beursgenoteerde

ondernemingen: Interne accountant

- Verlengstuk van de externe accountant

- Soms ook verantwoordelijk voor de financial audit

- Banken en verzekeraars volgden (gereguleerd)

- In begin voor financial audit, interne controle + en

kredietinspectie

- Later – net als de internationaal – bredere scope

- Nog later: industrie, centrale en lagere overheden

- Na financial audit kwamen IT audit en operational

audit er bij, elk los van elkaar

- Later meer en meer integrated

• MAB mei 1995 over een eeuw NIVRA:

Dat het NIVRA zich heeft ontwikkeld tot een

pluriforme beroepsorganisatie van

registeraccountants

Collega R.O.M. de Jaeger RA bespreekt de dynamiek van de internal audit functie in Nederland. In het bijzonder wordt aandacht besteed aan taakverschuivingen van financial naar internal audit-activiteiten en hun betekenis voor de organen van de

vennootschap en het maatschappelijk verkeer

12

- 1997: Oprichting IIA Nederland

- 1991: Startpunt: IIA Benelux - Hans Nieuwlands bestuurslid

- Hans Nieuwlands eerste voorzitter 1997/1998, nu al lang CEO

- Frank Vrolijk mede-oprichter (vz SVRO), nog steeds actief

- Voorzitters Paul Hofstra 1998/2002, Arie den Butter 2002/2003, Thijs Smit 2003/2008, Fred Steenwinkel

2008/2010, Sander Weisz 2010-2012, Michel Kee 2012/2014, Vincent Molenaar 2014-2016, John

Bendermacher 2016-2018 en Jantien Heimel 2018 - heden

13

Hoe het allemaal begon met internal audit in Nederland?

1997: IIA

RA RE RO RI CIA CISA CGIET

- Systke Breedveld 2 x 6 jaar

- Congressen met groeiende deelname

- Commissarissensyposium

- Ledenaantal

- 1997: 560

- 2004: > 1.000 en groepslidmaatschappen

- 2007: > 2.000

- 2017: ~ 3.000

- RA, RO, RE – eigen verenigingen

14

Hoe het allemaal begon met internal audit in Nederland?

1997: IIA

- 2000: CIA in Nederland

- 2002: Oprichting Audit Magazine

- 2007: Internationaal IIA congres – Get into the flow

- 2007: Fusie SVRO/IIA

- 2012: Europees IIA congres

- 2015: Eigen bureau en medewerkers

- 2016: Corporate Governance Code

- 2017: 20 jarig bestaan

2 September 2017, 300 gasten, Ocean Dive

- 2023: Internationaal IIA congres – Titel?

15

Hoe het allemaal begon met internal audit in Nederland?

IIA; mijlpalen

- Nederlandse universiteiten behoren al jaren tot internationale top

- RO-opleidingen vanaf 1994

- UvA: Arie Molenkamp, Jan Driessen – beiden KPMG

boek standaardwerk 2018 Master accreditatie

- Erasmus: Leen Paape, Ron de Korte

16

Hoe het allemaal begon met internal audit in Nederland?

Vaktechnische importantie in Europa en wereldwijd

- Position papers geliefd tot in Australië

- Conformance en kwaliteitstoetsing: Nederland = voorbeeld

- Meest recent: IAAM

17

Hoe het allemaal begon met internal audit in Nederland?

Vaktechnische importantie in Europa en wereldwijd

Rol, mandaat, governance, risk

management, strategy, soft controls, advies/scope

Audit universe, jaarplan evaluatie, prioritering,

goedkeuring, resourcing, follow-up monitoring, IPPF, procedures, audit-proces,

communicatie, data analyse, review

Scope bedrijfsplan, resourcing, budget,

goedkeuring, rapportage maatstaven, stakeholders,

proces

Training en opleiding, team ontwikkeling, vakverenigingen,

performance cycle, beloning, resources

planning

Communicatie over IAF activiteiten,

samenwerkingsverbanden

Rapportagelijnen, bekostiging van de

functie, supervisie van de audit activiteit, 3 LoD,

toegang tot informatie, awareness

1. Initial

2. Infrastructure

3. Integrated

4. Managed

5. Optimizing

Hoe het allemaal begon met internal audit in Nederland?

Internal Audit Ambition Model

2016: Nederlandse Corporate Governance Code

- 1997 Commissie Peters

- 2003 Commissie Tabaksblat

- 2008 Commissie Frijns

- Vanaf 2011: Niet aflatende

lobby van IIA-bestuur richting

schragende partijen

- 2016 Commissie Van Manen

Eindelijk succes

2016: Nederlandse Corporate Governance Code

Filmpje Van Maanen

https://www.youtube.com/watch?v=Vrt5iWdKZ7k

- Definitie: Assurance Consulting Adding value Insight

- Scope: Financial Operational IT Integrated; + Culture and behavior?

- Risicolandschap: Veel complexer geworden

21

Hoe het allemaal begon met internal audit in Nederland?

Wat hebben we zoal zien veranderen?

Hoe het allemaal begon met internal audit in Nederland?

Cyber risk

22

- Definitie: Assurance Consulting Add value Insight

- Scope: Financial Operational IT Integrated ; + Culture and behavior?

- Risicolandschap: Veel complexer geworden

- Benodigde skills: Eisen enorm toegenomen en verbreed

24

Hoe het allemaal begon met internal audit in Nederland?

Wat hebben we zoal zien veranderen?

Hoe het allemaal begon met internal audit in Nederland?

Skills

Moeller & Witt, 1999

Personal attributes to be a successful

internal auditor (in addition to technical and

professional qualifications):

1. Basic fairness and integrity;

2. Dedication to the organization’s interests;

3. Reasonable humility;

4. Professional poise;

5. Empathy;

6. Role consistency;

7. Curiosity;

8. Critical attitude;

9. Alertness;

10. Persistence;

11. Energy;

12. Self confidence;

13. Courage; and

14. Ability to make sound judgments.

Auditors of the 21st century must be prepared to

‘audit’ virtually everything.

1. Analytical and critical thinking skills.

2. Gain an adequate understanding of any

auditee — individual, organization, or

system.

3. New concepts, principles, and techniques of

internal control;

4. Awareness and understanding of risk and

opportunity;

5. Development of general and specific audit

objectives for any audit project;

6. Use a broad array of audit

procedures, including the use of statistical

and non-statistical induction and audit

technology;

7. Reporting audit results in a variety of

formats to a variety of recipients.

8. Audit follow-up.

9. Professional ethics.

25

- Definitie: Assurance Consulting Add value Insight

- Scope: Financial Operational IT Integrated ; + Culture and behavior?

- Risicolandschap: Veel complexer geworden

- Benodigde skills: Eisen enorm toegenomen en verbreed

- Planning: Jaarplan meerjarenplan flexibiliteit

- Producten: Van standard audit naar meer kort cyclisch en non-assurance

- Rol ten opzichte van RvB en AC

- Ontstaan van en samenwerking met 3 Lines of Defense

- Innovatie Impact op ‘time to market’

26

Hoe het allemaal begon met internal audit in Nederland?

Wat hebben we zoal zien veranderen?

Innovatie

Data science is key voor onze toekomst

Lange weg naar volwassenheid

Een paar vragen…..

• Doen we dit al?

• Hoe lang al?

• Wat passen we toe?

• Zijn onze auditors getraind?

• Werken we in silo of samen met 2nd LoD?

• Is CA bedoeld om CM te worden?

Innovatie

Impact (ondermeer op ‘time to market’)• Insight belangrijker dan assurance

• Assurance vooraf i.p.v. achteraf

• Right to audit voor outsourcing; hoe?

• Data analyse; dichter bij 1st en 2nd LoD

• Planning moet snel aanpasbaar zijn

• Meer a tempo auditing

• Auditing change belangrijker dan BaU?

• Communicatie/rapportage real time

• Directer acties bepalen

• Follow-up monitoring belangrijk

• Shift in skill set van auditors

- Definitie: Assurance Consulting Add value Insight

- Scope: Financial Operational IT Integrated ; + Culture and behavior?

- Risicolandschap: Veel complexer geworden

- Benodigde skills: Eisen enorm toegenomen en verbreed

- Planning: Jaarplan meerjarenplan flexibiliteit

- Producten: Van standard audit naar meer kortcyclisch

- Rol ten opzichte van RvB en AC

- Ontstaan van en samenwerking met 3 Lines of Defense

- Innovatie en impact op onze ‘ time to market’

- Effectiviteitsmeting van internal audit

30

Hoe het allemaal begon met internal audit in Nederland?

Wat hebben we zoal zien veranderen?

Effectiviteitsmeting

Voorheen vooral op realisatie van het plan gericht

Effectiviteitsmeting Internal Audit

Meer relevante metrics

Number of

reports

Number of issues

% Realization

of audit plan

% Staff

Certifications

Customer

Satisfaction

% of

recommen-

dations

implemented

Employee

engagement

Employee

turnover

Hours of CPE

training

Internal

Quality

Review

External

Quality

Review

Realization

financial budget

% of

Direct

hours

% or #

Critical

Findings

# of

vacancies

Opinion

of the

external

auditor

Opinion

of the

super-

visor

Opinion of

the Audit

Committee

WAAR WAS DE INTERNAL

AUDITOR?

IMPACT?

GEZEGD WAT JE ZAG?

Effectief zijn vraagt tegenwoordig ook om morele moed

• Auditors voelen druk van

• binnen Internal Audit

• buiten Internal Audit

• Naast budgetdruk

• “FYM”Bron: IIA/Nyenrode