De Commissie Vaktechniek van IIA zorgt voor het ontwikkelen van specifieke activiteiten en het onderhouden van het netwerk van actieve leden op vaktechnisch gebied. De ontwikkeling van deze activiteiten vindt meestal projectmatig plaats. De verantwoordelijkheid van de commissie omvat het coördineren en aansturen van deze projecten en het functioneren als vaktechnisch geweten.

In de afgelopen tijd zijn de volgende projecten afgerond:

• Competency Framework
• Cobit: projectomschrijving en eindrapport
• In Control Statements

Momenteel lopen er de volgende projecten:

Werkgroep Fraude
De Commissie Vaktechniek van het IIA heeft dit voorjaar een nieuwe werkgroep geformeerd, te weten: "Frauderisico's en de interne auditor". Deze werkgroep heeft zich ten doel gesteld een handreiking op te leveren hoe de interne auditor zou moeten omgaan met het onderwerp "Fraude".
Hierbij worden de door IIA Inc eind 2009 uitgebrachte guidelines over fraude, alsmede best practices en ervaringen van beroepsgenoten als input gebruikt.

Op deze site willen wij jullie informeren over de voortgang van de werkgroep.
De werkgroep bestaat uit :

· Nicole den Hartigh EMIA RO CPI, Deloitte Forensic & Dispute Services
· Karoline Muijs-de Graaf RA RO EMIA, Risk-Audit Consultant, 2B In Control
· Revenne Autar RE RO, Hoofd auditing & Quality Control, VTS Politie Nederland
· Johan Scheffe RA RO CIA, Vaktechnisch medewerker NIVRA
· Marcel Scholte RA, Head of Group SOX, Syngenta
· Serge van Verseveld RA RO, Audit Mmanager Eureko Achmea
· Bas Vis RA CIA, Senior Audit Manager ING Groep

Voor meer informatie over deze werkgroep of voor het leveren van input, kunt u contact opnemen met Bas Vis.

Integrated auditing
Integrated Auditing is een onderwerp dat reeds lange tijd in de belangstelling staat, maar dat in de praktijk nog relatief weinig concrete invulling heeft gekregen. Ook zien wij diverse definities. Als eerste stap op weg naar een werkbaar model heeft de Commissie Vaktechniek in 2006 een Round Table georganiseerd over de mogelijke invulling van Integrated Auditing in de praktijk. Hiertoe zijn een aantal organisaties die reeds enige ervaring op dat gebied hebben uitgenodigd. Deze Round Table heeft geleid tot een verslag dat in het (decembernummer) Audit Magazine zal worden gepubliceerd.
Op basis van de resultaten zal in 2007 een nadere verdieping plaatsvinden met als doel een Practice Advisory op te stellen, als verdieping van het Position Paper. Onderwerpen daarin zijn bijvoorbeeld:

• Het belang en de mogelijke voordelen van integratie resp. samenwerking;
• De mogelijkheden en onmogelijkheden, gegeven de diverse rollen die de diverse toetsende functies kunnen spelen in de ‘governance’ van de organisatie (de diverse ‘lines of defense’)
• De aspecten waarop samen te werken;
• De consequenties voor instrumentarium, organisatie en bemensing;
• De invoering.

Rol internal audit bij afgeven In Control Statement (ICS)
De rol van internal audit bij het afgeven van een ICS is een onderwerp dat reeds enige tijd de aandacht heeft van de Commissie Vaktechniek. In 2005/2006 is als VRO/IIA-onderzoek een inventariserend onderzoek uitgevoerd naar de inhoud en totstandkoming een ICS. De resultaten hiervan zijn medio 2006 op de website van het IIA gepubliceerd.

Als vervolg hierop is in augustus 2006 een vervolgonderzoek gestart waarin nader invulling zal worden gegeven aan de rol van de Internal Auditor bij de totstandkoming en het afgeven van ICS. Dit onderzoek zal ook voortborduren op de Position Paper van het IIA over de rollen van de Internal Auditor in het kader van SOx secties 302 en 404. De doelstelling van het onderzoek is praktische handvatten te geven (welke activiteiten uit te voeren, hoe deze uit te voeren, met welke tools, hoe samen te werken met de externe accountant, etc.). Het onderzoek omvat de ICS in het kader van SOx, Tabaksblat en de Mededeling Bedrijfsvoering (overheid).

Dit onderzoek wordt uitgevoerd in het kader van de samenwerking tussen VRO en IIA, waarbij de feitelijk uitvoering wordt gedaan door Ernst & Young in het kader van de sponsorovereenkomst. Naar verwachting zal dit onderzoek begin 2007 worden afgerond. De resultaten van het onderzoek zullen via de websites van het IIA en de VRO zijn te benaderen. Vervolgens zullen de resultaten worden verwerkt in een Practice Advisory, als verdieping van de Position Paper. Deze zal medio 2007 worden opgeleverd.

Internal Audit en Corporate Governance
Sinds het inwerking treden van de Nederlandse Corporate Governance Code is nauwlettend gekeken op welke wijze het bedrijfsleven de voorschriften en voorkeuren heeft geïmplementeerd en welke ervaringen het daarmee heeft. Al tijdens het vaststellen van de code werd gewezen op de geringe rol die aan de Internal Audit functie werd toebedeeld op het gebied van Corporate Governance, in het bijzonder in de verantwoording over de toereikendheid en effectiviteit van interne beheerssystemen.

Veelal werd gewezen op de rol van de externe auditor in de governance trias Bestuur, Toezichthouders/Stakeholders en Accountant of CEO/CFO, Audit Committee en Accountant. Te weinig op de essentiële, soms onmisbare rol en functie van de Internal Auditor. Om daaraan toch meer duidelijkheid te geven is in 2005 de IIA position paper “De internal auditor in Nederland” uitgegeven.

Omdat de plaats en functie van Internal Audit in de interne governance in belang toenemen, is het nuttig de rol en verantwoordelijkheid van Internal Audit ter zake en de reikwijdte van haar werkzaamheden weer te geven in een position paper. Het komt de profilering van het vakgebied ten goede, en biedt CAE’s en Internal Auditors een handvat in hun discussies met en verhouding tot senior management en auditcommittee. Publicatie is gepland in juni 2007.

Internal Audit en External Audit
Ontwikkelingen als joint auditing, integrated auditing, elkaar aanvullende werkzaamheden op gebied van de jaarrekeningcontrole of het gezamenlijk uitbrengen van een management letter zorgen ervoor dat de rolverdeling en dus ook de relatie tussen internal en external auditor gewijzigd zijn of nog aan het  wijzigen zijn. Van een voorbereidende, input leverende auditor ten dienste van de external auditor wijzigt die in een breed scala aan auditwerkzaamheden coördinerende, monitorende of zelfs de externe auditor (aan)sturende auditor. Dat heeft een praktische kant en een principiële kant.

Veldonderzoek naar de praktische en principiële aspecten uitmondend in een roundtable en vervolgens een handreiking is het doel van deze activiteit. Een roundtable biedt de gelegenheid tot ervaringsuitwisseling en de resultaten van het veldonderzoek aan de orde te stellen. De daaruit op te stellen handreiking biedt CAE’s en Internal Auditors een handvat in hun discussies met en verhouding tot bestuur en external auditor over dit onderwerp. Dit past zo binnen de algemene beleidslijn van het bestuur. Roundtable wordt gepland in mei 2007, handreiking op de website in juni 2007.

Continuous auditing 
Organisaties hebben een sterk toegenomen behoefte om tijdig zekerheid te krijgen over de effectieve werking van beheersingsmaatregelen. De Sarbanes Oxley  (SOx) regelgeving heeft hierop een katalyserende werking gehad. De traditionele audits zijn vaak (te) beperkt van omvang en te laat om echte toegevoegde waarde aan de organisatie te bieden. Met inschakeling van geautomatiseerde tools kunnen op permanente basis "audits" worden uitgevoerd met 100% auditcoverage. Dergelijke geautomatiseerde audits kosten relatief weinig auditcapaciteit.

Alle reden dus om eens te kijken naar de praktische (on)mogelijkheden om continuous auditing in onze dagelijkse praktijk te gebruiken. De Commissie Vaktechniek stelt zich voor in 2007 een round table te organiseren om de voetangels en klemmen rondom continuous auditing met elkaar te delen. De gedachte daarbij is enkele organisaties over hun ervaringen met continuous auditing te laten vertellen en best practice ervaringen uit te wisselen, hierbij voortbordurend op het kader van de IIA’s Global Technology audit guide.

Testen in het kader van vaststelling werking bij operational auditing.
Doelstelling van het uitvoeren van operational audits is het voorzien van het management van een oordeel over de kwaliteit van (bepaalde aspecten) van de beheersing. Daarbij wordt zowel gekeken naar de opzet als werking van de beheersmaatregelen. Met name bij het onderzoeken van de werking wordt vaak getwijfeld aan de deugdelijkheid van de evidence. Reden hiervoor zijn bijvoorbeeld:

• Beheersmaatregelen zijn niet altijd kwantitatief;
• Evidence is lang niet altijd in gebruik;
• Vaak is het aantal bruikbare bronnen beperkt.

Dit onderzoek gaat in op de volgende vragen:

• Wat zijn de bijzondere kenmerken van evidence in een operational audit?
• Wat zijn de eisen aan evidence bij het vaststellen van de werking in een operational audit?
• Wat zijn de eisen aan deelwaarnemingen in dat kader?
• Wat zijn de eisen die kunnen worden gesteld aan een uitspraak over de werking van beheersmaatregelen. (bijv. in termen van verondersteld onderzoek risico, verantwoording over de gehanteerde veronderstellingen)?
• Op welke wijze kan over de werking worden gerapporteerd?

Enterprise Risk Management (ERM)
Op 29 september 2004 heeft de COSO-commissie een nieuw raamwerk voor risicobeheersing gelanceerd. Het document genaamd Enterprise Risk Management-Integrated Framework is gebaseerd op het COSO-model. Sinds 1992 is het COSO-model gezaghebbend bij het oplossen van vraagstukken omtrent de beheersing van bedrijfsrisico’s. Het ERM-model zal een waardevolle leidraad zijn voor risicobeheersing in de huidige periode. Een periode die zich kenmerkt door een veelheid van wettelijke regels en richtlijnen (bijvoorbeeld SOx, Tabaksblat).

Het management is verantwoordelijk voor risicobeheersing. De kerntaak van de internal auditor is om een uitspraak te doen over de kwaliteit van deze risicobeheersing. Daarnaast kan de internal auditor het management adviseren bij de opzet, bestaan en werking van risicobeheersing. Ten aanzien van beide rollen stelt de Commissie Vaktechniek zich de volgende vragen:

• Welke betekenis heeft het ERM-model voor de internal auditor in zijn rol als assurance provider?
• Hoever kan een internal auditor gaan bij het adviseren van management zonder zijn onafhankelijkheid en objectiviteit in gevaar te brengen?

Op 29 september 2004 heeft IIA Inc een position paper gelanceerd genaamd The Role of Internal Auditing in Enterprise-wide Risk Management. De Commissie Vaktechniek zal bij het beantwoorden van beide vragen voor de Nederlandse praktijk, uitdrukkelijk rekening houden met de inhoud van dit gezaghebbende document.

Lerend vermogen van organisaties - Hoe kan de audit functie hieraan een bijdrage leveren?
Leren is heel belangrijk in een organisatie. Hoe vaak moeten we niet constateren dat steeds weer dezelfde fouten worden gemaakt waarbij in meer of mindere mate nadelige gevolgen resulteren voor de betreffende organisatie en haar omgeving. Ook fouten die door andere organisaties worden gemaakt kunnen gebruikt worden om binnen de eigen organisatie lering hiervan te trekken.

Doelstelling is een handreiking bieden voor de internal auditors over hoe aan dit proces een bijdrage te kunnen leveren binnen haar organisatie. Er wordt door de COmmissie Vaktechniek een wergroep geformeerd die hierover een reeks van artikelen publiceert die de auditors een handreiking moeten geven. Een artikelenreeks gedurende het jaar 2007 is gepland.