Menu Sluiten

Internal audit charter: formeel contract en marketing tool

Het internal audit charter is ontzettend belangrijk, maar krijgt vaak te weinig aandacht. Dat is ook gebleken uit een analyse van de externe kwaliteitstoetsingen die IIA Nederland in 2018 heeft uitgevoerd. Hoewel slechts twee keer een ‘partly conform’ is gegeven op Standaard 1000 en vier keer op Standaard 1010, is in maar liefst tien van de 35 gevallen de aanbeveling gegeven om het charter te verbeteren. Dit betrof met name de volledigheid. Wat kun jij doen om ervoor te zorgen dat jullie internal audit charter de aandacht krijgt die het verdient?

Het belang van het internal audit charter

Het internal audit charter is onderdeel van één van de basis Standaarden van het IPPF. Kijk maar naar de eerste zin van Standaard 1000: “Het doel, de bevoegdheid en de verantwoordelijkheid van de internal auditfunctie (IAF) moeten formeel in een internal auditcharter worden vastgelegd.” Het charter is dé weergave van de functie van de IAF, richting gevend aan alles wat de IAF doet én niet doet.

Het internal audit charter is:

  • De overeenkomst met haar opdrachtgevers.
  • De leidraad en wegwijzer voor de medewerkers.
  • Het document dat duidelijkheid en begrip kan verschaffen voor klanten en andere betrokkenen.

Kortom, het charter is een essentieel onderdeel van de IAF. Zo belangrijk zelfs, dat een ‘does not conform’ op Standaard 1000 in beginsel leidt tot een overall ‘voldoet niet’ op de gehele externe kwaliteitstoetsing.

De eisen aan het internal audit charter

De eisen die gesteld worden aan het internal audit charter, richten zich met name op de (volledigheid van) de inhoud van het charter – alle relevante zaken moeten zijn opgenomen. Ook de actualiteit van het charter is van belang – het charter dient de huidige, feitelijke situatie weer te geven.

De lengte van een charter kan en zal variëren. Dit is sterk afhankelijk van de beoogde gebruikers, de beoogde functie en de verdeling tussen het charter en het handboek. Minimaal beslaat het charter twee pagina’s. In dat geval heeft het charter vooral een formele functie, als vastlegging van het doel, de verantwoordelijkheden en de bevoegdheden. Het charter wordt echter langer als het doel is om deze breder in te zetten, als ‘marketing tool’ in het kader van ‘het relatiemanagement’. Dan wordt het charter dus ook gebruikt om de betrokkenen te informeren en met hen het gesprek te voeren over de toegevoegde waarde en de werkwijze van de IAF. Zelf heb ik goede ervaringen met charters van zo’n acht tot tien pagina’s.

De inhoud van het internal audit charter

Implementatierichtlijn 1000 geeft een duidelijke opsomming van de relevante elementen van het charter, die ook in het Model Charter van IIA Global (Bekijk het Model Internal Audit Activity Charter (NL)) uit 2017 zijn uitgewerkt:

  • De inleiding, waarin de rol van de IAF, haar professionaliteit en de relevantie van het IPPF worden benoemd.
  • De bevoegdheden, voor het specificeren van de volledige toegang van de IAF.
  • De organisatie en rapportagestructuur, met name ter verduidelijking van wie welke besluiten mag nemen ten aanzien van de IAF en haar CAE.
  • De onafhankelijkheid en objectiviteit, om het belang en de wijze van handhaving hiervan te beschrijven.
  • De verantwoordelijkheden, voor het vastleggen van de reikwijdte en werkwijze.
  • De kwaliteitsbewaking en -verbetering, voor het beschrijven van de verwachtingen voor het ontwikkelen, onderhouden, beoordelen en communiceren van de resultaten van de QAIP.
  • De handtekeningen, om overeenstemming te documenteren.

Bovenstaande elementen benadrukken vooral de formele, ‘contractuele’ aspecten. Vaak lijkt de houding ook ‘verdedigend’; geschreven vanuit de IAF zelf, waarbij veel tekst wordt gewijd aan wat de IAF niet doet. In het kader van ‘relatiemanagement’, oftewel het charter als marketing tool, zouden bepaalde aspecten meer aandacht kunnen krijgen danwel worden toegevoegd, zoals:

  • De missie van de IAF, gerelateerd aan de missie en strategie van de organisatie.
  • De functie van de IAF, in relatie tot de verantwoordelijkheden van de andere ‘lines of defense’
  • De ‘klanten’ van de IAF en de aan hen (al dan niet geleverde) diensten.
  • De (betekenis en borging van) deskundigheid en professionaliteit van de IAF (in aanvulling op de onafhankelijkheid en objectiviteit).
  • De werkwijze van de IAF, maar dan vanuit het oogpunt (en de zorgen van) het management en de auditees.
  • De samenwerking met andere assurance functies in 2e lijn en met de externe accountant en mogelijke toezichthouders.

Dergelijke elementen geven het charter een andere toonzetting en positioneren de IAF mijns inziens meer als onderdeel van de totale governance van de organisatie. Dit kan het begrip voor audits versterken, alsmede voor de kwaliteit en de toegevoegde waarde van de IAF. Zo wordt het charter een echt beleidsstuk én marketing tool.

De totstandkoming en actualiteit van het internal audit charter

Zoals gezegd is actualiteit essentieel. Een wijziging van bijvoorbeeld de reikwijdte van de IAF dient aldus direct in het charter te worden verwerkt. Daarnaast wordt vanuit de Standaarden een periodieke review en herbevestiging gevraagd. Een concrete, minimale frequentie wordt niet genoemd, maar dient in overleg met de RvB en AC te worden bepaald.

Overwegingen bij het updaten van het internal audit charter zijn:

  • De onafhankelijkheid van de IAF dient (minimaal) jaarlijks door de CAE aan het bestuur bevestigd te worden.
  • De IAF dient periodiek een zelfevaluatie uit te voeren als onderdeel van het kwaliteitssysteem (Standaard 1311). Als best practice geldt dat dit jaarlijks gebeurt (bijvoorbeeld door middel van een update van het Internal Audit Ambition Model (IA AM)).
  • De IAF zou een jaarplan moeten hebben, met daarin vermeld de voorgenomen activiteiten (audits én interne ontwikkelactiviteiten) en de daartoe benodigde middelen.

Het geheel van deze aspecten zou prima kunnen worden samengevoegd, door jaarlijks, in het kader van het opstellen van het jaarplan, niet alleen een risicoanalyse ten behoeve van de selectie audits uit te voeren, maar ook een sterkte-zwakteanalyse van de IAF zelf. Hierbij kun je dan ook de compliance met de Standaarden en de actualiteit van het charter evalueren.

Als op basis van deze analyse het charter nog in orde blijkt, kan dat worden bevestigd, samen met de onafhankelijkheidsverklaring. Als er ontwikkelingen nodig zijn die actie vereisen, kan dit in het jaarplan van de IAF worden opgenomen, tezamen met het daarvoor benodigde budget. Het jaarplan en het internal audit charter worden zo tegelijk, in elkaars onderlinge samenhang, met het senior management en het bestuur besproken.

Hoe is het gesteld met jullie internal audit charter?

Auteur: Peter Hartog is manager vaktechniek bij IIA Nederland en daarnaast verbonden aan de Erasmus School of Accounting & Assurance als docent aan de postinitiële opleiding Internal Auditing & Advisory.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *