Actualiteit

Internal auditors often face challenges to their judgment and to their core ethical values. How they handle those challenges determines the value of the profession. his report provides an overview of results from the 2015 Global Internal Audit Common Body of Knowledge (CBOK) Practitioner Survey regarding ethics in internal auditing. It also provides a framework that can be used to analyze internal audit professional ethics and related pressures. While all internal auditors are likely to face ethical pressures at some point during their careers, the CBOK practitioner survey data indicates that there are distinct diferences in pressures on internal auditors in various regions across the globe. here are also diferences in the strength of support for the function when internal auditors face ethical dilemmas. Both the strength of ethical codes and internal audit responsibilities related to those codes have increased in the ive years since the last CBOK survey was conducted, but the 2015 survey demonstrates that there are many ways in which the ethical environment can be improved. Too many organizations, especially in the public sector, do not have organizational codes of conduct or codes of ethics, and many internal auditors receive little or no training regarding he IIA’s Code of Ethics. Relatively few ethics audits are taking place and the data suggests that it may be diicult to perform an audit of the ethical environment if an organization does not have a code of ethics. In an ideal environment, internal auditors should always be able to present indings without the threat of personal recrimination. Unfortunately, internal auditors do not always operate in such environments. Internal auditors who resist pressure to change their indings are at times subjected to negative consequences such as pay cuts, involuntary transfers to other positions, or even termination of employment. he internal audit profession could not exist without a strong foundation based on a commitment to ethical conduct. he framework provided by this report demonstrates a clear need for all internal auditors to adopt he IIA’s Code of Ethics to help guide performance when they face ethical pressures.   

Hier een teaser in te vullen

This report provides an overview of the results from the 2015 Global Internal Audit Common Body of Knowledge (CBOK) Practitioner Survey regarding internal audit quality assurance and improvement programs (QAIPs), and evaluates the internal audit profession’s conformance with professional standards related to QAIPs. The 2015 CBOK practitioner survey found significant and troubling differences between approved professional standards and actual internal audit practices. Although The International Standards for the Professional Practice of Internal Auditing requires development and maintenance of QAIPs covering all aspects of internal audit activity, only 34% of participating chief audit executives (CAEs) stated that they fully conform with this requirement. Many CAEs who reported that they do not conform with this requirement also do not disclose their nonconformance to their audit committees or other governing bodies. The internal audit profession’s failure to abide by its own quality standards may have profound consequences because internal audit functions with fully developed QAIPs tend to be different from other internal audit functions. Compared to other CAEs in the CBOK study, those reporting conformance to professional standards related to internal audit quality: Were more likely to report functionally to a board, audit committee, or equivalent Were more likely to have complete and unrestricted access to information as appropriate for the performance of audit activities Worked in organizations with more highly developed risk management processes Used a wider variety of resources to develop audit plans Made more use of technology in internal audit processes Were more likely to have documented procedures in an internal audit manual Received more hours of training and were more likely to have formalized training programs Were more likely to report that funding for the internal audit function was “completely sufficient”

Organizations of all types are becoming more vulnerable to cyber threats due to their increasing reliance on computers, networks, programs and applications, social media, and data. Security breaches can negatively impact organizations and their customers, both financially and in terms of reputation. Global connectivity and accessibility to information by users outside the organization increase risk beyond what has been historically addressed by IT general and application controls. Organizations’ reliance on information systems and the development of new technologies render traditional evaluations of IT general and application controls insufficient to provide assurance over cybersecurity. Cybersecurity refers to the technologies, processes, and practices designed to protect an organization’s information assets — computers, networks, programs, and data — from unauthorized access. With the frequency and severity of cyberattacks on the rise, there is a significant need for improved cybersecurity risk management. The internal audit activity plays a crucial role in assessing an organization’s cybersecurity risks by considering: Who has access to the organization’s most valuable information? Which assets are the likeliest targets for cyberattacks? Which systems would cause the most significant disruption if compromised? Which data, if obtained by unauthorized parties, would cause financial or competitive loss, legal ramifications, or reputational damage to the organization? Is management prepared to react timely if a cybersecurity incident occurred? This practice guide discusses the internal audit activity’s role in cybersecurity, including: The role of the chief audit executive (CAE) related to assurance, governance, risk, and cyber threats. Assessing inherent risks and threats. The first, second, and third lines of defense roles and responsibilities related to risk management, controls, and governance. Where gaps in assurance may occur. The reporting responsibilities of the internal audit activity. In addition, the guide explores emerging risks and common threats faced by all three lines of defense and presents a straightforward approach to assessing cybersecurity risks and controls.

In een goed gebalanceerde en gestructureerde corporate governance zijn de Auditcommissie (AC), de Interne Audit Functie (IAF) en de externe accountant (EA) op elkaar aangewezen. De IAF wordt steeds vaker gezien als een essentieel onderdeel van de governance van de organisatie. De IAF ondersteunt de AC door het verschaffen van inzicht in en assurance over de opzet en effectiviteit van de governance, het risicomanagement en de interne beheersingsmaatregelen. De AC kan de juiste randvoorwaarden en condities voor de IAF creëren, die het onafhankelijk en objectief functioneren van de IAF optimaliseren en het complementair functioneren van de IAF en de EA bevorderen. De relatie tussen de AC en de IAF werd voor het eerst geformaliseerd in de eerste Nederlandse Corporate Governance Code (de Code) in 2003. Vijf jaar daarna onderzochten de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) (destijds NIVRA) en het Instituut van Internal Auditors Nederland (IIA) de toenmalige praktijk en publiceerden de bevindingen en best practices in ‘Bondgenoten in Governance’ (2008). In het voorjaar van 2016 stelden het IIA en de NBA een werkgroep samen om de relatie tussen de AC en de IAF opnieuw te onderzoeken. In verband met het voorstel tot herziening van de Code, waarin de driehoek AC, IAF en EA prominent naar voren komt, heeft de werkgroep ook aandacht besteed aan de relatie tussen de IAF en de EA. De belangrijkste conclusies uit het onderzoek zijn: De formele relatie tussen de AC en de Chief Audit Executive (CAE) is over het algemeen goed ingevuld. Deze relatie is gedefinieerd in het charter van de IAF. De meeste AC’s zijn zich bewust van het belang van het benoemen van een gekwalificeerde CAE. Zij zijn dan ook actief betrokken bij diens aanstelling of het ontslag. Deze betrokkenheid kan nog worden verbeterd indien elke voorzitter van een AC een gesprek heeft met de beoogde CAE, voorafgaand aan diens aanstelling. Bijna alle AC’s (80%) zijn betrokken bij de beoordeling van de CAE. Dit verbetert diens functioneren omdat zijn objectiviteit beter is gewaarborgd als zijn beoordeling niet uitsluitend wordt opgesteld door direct betrokkenen. De CAE wordt gezien als een volwaardige gesprekspartner en is bij de meeste organisaties aanwezig bij de gehele vergadering van de AC. Daardoor kan de CAE zijn inzichten delen met de AC, ook op terreinen die hij (nog) niet heeft onderzocht. Tevens levert dit de CAE belangrijke informatie op die hij bij de invulling van zijn functie nodig heeft. Bij de meeste organisaties spreken de voorzitter van de AC en de CAE elkaar meerdere malen per jaar bilateraal. Dit versterkt de onafhankelijkheid en de vertrouwensband. Om goed te kunnen functioneren als ‘trusted advisor’ van zowel de voorzitter van het bestuur als die van de AC is transparantie over de inhoud van deze gesprekken belangrijk. De AC bespreekt het auditplan en de beschikbaar gestelde middelen. De wijzigingen in de auditplanning worden (tenminste) jaarlijks besproken met de CAE. Beperking van beschikbaar gestelde middelen heeft impact op de keuzes die moeten worden gemaakt bij het opstellen van het auditplan. Het is belangrijk dat de AC begrijpt welke risico’s niet kunnen worden afgedekt met de beschikbare middelen. Beter inzicht bij de AC kan leiden tot een aanpassing van de beschikbare middelen, zodat de gewenste ‘audit coverage’ wordt bereikt. De AC kan de beoordeling van de effectiviteit van de IAF verbeteren door in overleg met de CAE een breed scala aan KPI’s af te spreken. Het programma voor de kwaliteitsbeheersing en -verbetering van de IAF behoort daarvan onderdeel uit te maken. Gezien het toenemende belang van cultuur en gedrag als onderdeel van de governance van organisaties dienen AC’s de aanpak van audits op dit terrein te bespreken met de CAE. Niet alle CAE’s achten zich op dit moment in staat om deze handschoen op te pakken. Het IIA en de NBA dienen de leden op dit gebied te ondersteunen, door ze te helpen met het ontwikkelen van een aanpak via opleidingen en publicaties. Naar aanleiding van het voorstel tot herziening van de Code dient de samenwerking tussen de IAF en de EA een nieuwe benadering te krijgen, draaiend om de vraag waar ze elkaar treffen en aanvullen in het totaalveld van financiële en niet-financiële informatie. Het optimaliseren van de relatie tussen de IAF en de EA en kansen om in complementariteit de governance van de organisatie te verbeteren, dient op de agenda van de AC te worden geplaatst. Te overwegen valt om jaarlijks gezamenlijk aan het bestuur en de AC te rapporteren over de opzet, het bestaan en de werking van de governance en risicobeheersing- en interne controlesystemen.