Vaktechnische Publicaties

De continue evaluatie en verbetering van de dienstverlening is een belangrijk kenmerk van professionele organisaties. Dergelijke reflectie en ontwikkeling draagt sterk bij aan het vertrouwen in en de toegevoegde waarde van de dienstverlening. Dit geldt ook voor internal auditfuncties (IAF’s). De beroepsnormen van het Instituut van Internal Auditors (IIA) hebben dan ook een verplicht programma voor kwaliteitsbewaking en -verbetering. Hier hoort tevens een externe, onafhankelijke kwaliteitstoetsing bij, die tenminste eens in de vijf jaar dient plaats te vinden. Dit rapport beschrijft de resultaten van de analyse van de uitgevoerde externe kwaliteitstoetsingen in 2018. Het verschaft inzicht in de conclusies en aanbevolen verbeterpunten die frequent voorkomen. Hiermee beoogt IIA Nederland IAF’s handvatten te geven voor een volgende stap in hun kwaliteitsverbetering. Tevens is dit rapport een hulpmiddel voor IAF’s bij de voorbereiding op een externe kwaliteitstoetsing.

Continuous evaluation and improvement of the service provision is a key feature of professional organisations. Such reflection and development strongly contribute to the confidence in and added value of the services. This also holds true for internal audit functions (IAFs). The professional standards of the Institute of Internal Auditors (IIA) therefore include a mandatory programme for quality assurance and improvement. This includes an external, independent quality assessment, which must take place at least once every five years. This report describes the results of the analysis of the external quality assessments performed in the Netherlands in 2018. It provides insight into the conclusions and recommended points for improvement that surface frequently. With this report IIA Netherlands intends to provide IAFs with points of reference for the next step in their quality improvement. The report is also an aid for IAFs in preparations for external quality reviews.

The IIA’s Global Perspectives and Insights: 5G and the 4th Industrial Revolution, part one of a two-part series, looks at keys issues that are bound to arise once 5G is a reality. From implementation challenges, legal issues, and regulatory tests to disruptive technologies, data management, and cybersecurity concerns, the report seeks to prepare organizations for the potential impacts of 5G so they can proactively address the issues. This is for members only. To access it and other valuable resources, become a member today. You can find part 2 here.

The Internal Audit Foundation announced the release of a new research report, Striking an Optimal Balance Between Assurance and Consulting Services – Practical Insights from Internal Audit Leaders, based on the Foundation’s comprehensive Common Body of Knowledge study. As part of the research for this report, chief audit executives (CAEs) were asked to provide insight into how they balance assurance responsibilities with the types of consulting and advisory work that boards and management teams increasingly are requesting from their internal audit function. Audit executives described an ironclad commitment to maintaining internal audit objectivity and prioritizing internal audit’s assurance services over all other activities. However, the need for internal audit objectivity does not preclude them from successfully providing a wide range of internal audit advisory services, according to the report.

Now is the time to commit to the journey to evolve into a next-generation internal audit function. While this journey will be prolonged and marked with steep challenges, it is absolutely imperative given the intensifying nature of the digital transformation underway in the rest of the organization and the overall market. The results of the 2019 Internal Audit Capabilities and Needs Survey, in which Protiviti takes an in-depth look at the adoption of next-generation internal audit competencies such as agile auditing, artificial intelligence (AI), machine learning (ML), robotic process automation (RPA) and continuous monitoring, among many others, provide a detailed assessment of how internal audit groups are progressing on their next-generation journeys. 

Risk management is driven by more than regulations and external forces. Implementing efficient and effective risk management benefits organizations of any type and size by helping them to achieve operational and strategic objectives and to increase value and sustainability, ultimately better safeguarding their stakeholders. Internal auditors must evaluate the effectiveness and contribute to the improvement of risk management process (Standard 2120 – Risk Management). Benchmarking the current state of the organization’s risk management against a risk management maturity model is a good place to start this type of assessment. Benchmarking may help the internal audit activity communicate with senior management and the board about the organization’s level of risk management maturity and about aspiring to improve the process and advance in maturity. This information also enables internal auditors to appropriately tailor each engagement, taking into account the maturity of the area or process under review. This guidance provides examples of risk management maturity models and a basic methodology internal auditors may use to provide independent assurance that the organization’s risk management process is effective. Applying the guidance will help internal auditors protect and enhance organizational value and fulfill the expectations of the board and senior management.

Leaders of organizations in virtually every industry, size of organization and geographic location are reminded all too frequently that they operate in what appears to many to be an increasingly risky global landscape. Protiviti and North Carolina State University's ERM Initiative provided this report focusing on the top risks currently on the minds of global boards of directors and executives. The report contains results from the seventh annual risk survey of directors and executives to obtain their views on the extent to which a broad collection of risks is likely to affect their organizations over the next year. The respondent group provided their perspectives about the potential impact in 2019 of 30 specific risk across three dimensions: Macroeconomic risks likely to affect their organization's growth opportunities Strategic risks the organization faces that may affect the validity of its strategy for pursuing growth opportunities Operational risks that might affect key operations or the organizaion in executing its strategy

ESG, ofwel Environmental, Social en Governance gerelateerde risico’s, kunnen een grote invloed hebben op het succes en zelfs de continuïteit van een organisatie. COSO en de World Business Council for Sustainable Development (WBCSD) hebben guidance ontwikkeld om deze risico’s in kaart te brengen en effectief te managen: Enterprise Risk Management. Daartoe wordt het (nieuwe) COSO ERM-model toegespitst op de ESG-risico’s: "Applying enterprise risk management to environmental, social and governance-related risks." This guidance is designed to help risk management and sustainability practitioners apply enterprise risk management (ERM) concepts and processes to ESG-related risks. The purpose of this guidance is to help an entity achieve: Enhanced resilience: An entity’s medium- and long-term viability and resilience will depend on the ability to anticipate and respond to a complex and interconnected array of risks that threaten the strategy and objectives. A common language for articulating ESG-related risks: ERM identifies and assesses risks for potential impact to the strategy and business objectives. Articulating ESG-related risks in these terms brings ESG issues into mainstream processes and evaluations. Improved resource deployment: Obtaining robust information on ESG-related risks enables management to assess overall resource needs and helps optimize resource allocation. Enhanced pursuit of ESG-related opportunities: By considering both positive and negative aspects of ESG-related risks, management can identify ESG trends that lead to new opportunities. Realized efficiencies of scale: Managing ESG-related risks centrally and alongside other entity-level risks helps to eliminate redundancies and better allocate resources to address the entity’s top risks.

IIA Global heeft een nieuwe Practice Guide uitgebracht over het auditen van het risicomanagement van het uitbesteden van activiteiten (Auditing third party risk management). De timing daarvan is heel passend, nu samenwerkingsverbanden steeds meer toenemen en het rapport Risk in Focus juist third parties als belangrijk aandachtsgebied voor cybersecurity benoemt.  Uit onderzoek blijkt namelijk dat 63% van de cybersecurity-inbreuken is terug te herleiden naar derde partijen aan wie taken zijn uitbesteed. Dat maakt third party management een belangrijk onderwerp voor auditors. Deze praktijkgids biedt daar de handvatten voor. The Practice Guide: Auditing Third Party Risk Management is a useful tool to become better informed on risks related to third-party provider management. Risks across the full vendor life cycle are considered, including the appropriate sourcing, ongoing management, and termination of vendors. Further exploration into risks resulting from the types of services being provided and the sensitivity of data being shared is covered. Sample audit guidance is offered, making this a robust resource with tangible tools. The eBook Practice Guide: Practice Guide: Auditing Third-party Risk Management costs $25.00  

Protiviti heeft een wereldwijd onderzoek uitgevoerd naar de status van cybersecurity. Het rapport The Cybersecurity Imperative geeft een breed overzicht van de huidige status van de risico’s en de maatregelen om deze te beheersen: The Cybersecurity Imperative: Managing Cyber Risks in a World of Rapid Digital Change. "By 2021, cybercrime is likely to cost the world $6 trillion annually – more than the combined GDP of the UK and France, but as companies embrace new technologies, so do hackers, and the reluctance of organizations to share cybersecurity information makes benchmarking and planning more challenging – Until now."

De Practice Guide Auditing Model Risk Management (Supplemental Guidance) is in het Nederlands vertaald als Auditing Modelrisicomanagement. Deze uitgave over Auditing Modelrisicomanagement (MRM) geeft een overzicht van de verantwoordelijkheden van de internal auditfunctie met betrekking tot MRM en beschrijft de methoden en processen die internal auditors kunnen gebruiken om het ontwerp, de implementatie en de werking van het MRM-raamwerk van hun organisatie te beoordelen. Modelrisicomanagement is opgenomen in de regelgeving op het gebied van financiële dienstverlening die door toezichthouders over de hele wereld is uitgevaardigd. Verbeterde regels voor kapitaal, liquiditeit en hefboomwerking zijn bedoeld om de negatieve effecten te verzachten die onvoldoende gekapitaliseerde organisaties kunnen hebben op de economie. Als reactie hierop hebben organisaties in de sector financiële dienstverlening hun activiteiten aangepast en blijven zij hun activiteiten aanpassen om aan deze voorschriften te voldoen. Omdat modeloutput bepaalde beslissingen van het senior management beïnvloedt en soms zelfs bepaalt, kunnen modelfouten een organisatie aan een aanzienlijk risico blootstellen. Bovendien worden modellen steeds belangrijker, complexer en gevarieerder. Als gevolg hiervan zijn organisaties voor het voorkomen, opsporen en corrigeren van modelfouten afhankelijk van interne controlesystemen. De internal auditfunctie (IAF) speelt een sleutelrol in het verzekeren van het senior management en de raad van bestuur dat het interne controlesysteem binnen het MRM kader op optimale niveaus werkt in het hele proces van risicomodellering en dat de resultaten overal in de organisatie juist worden geïnterpreteerd.

The Internal Audit Foundation has just released The Role of Internal Audit in Integrated Reporting: A South African Case Study. The case study highlights the importance of internal audit’s ability to maintain a dual focus on both the integrated report as well as the integrated reporting process as a whole. The case study includes insights from stakeholders on what they view as internal audit’s role in integrated reporting and what they view as current gaps. The case study also delves into key skills and attributes necessary for internal auditors to fulfill their role, including: Independence and objectivity Business acumen Specialist skills Integrated thinking Materiality  As this case study attests, as the role of internal audit continues to extend beyond the realm of financial reporting across the globe, it is critical for practitioners to ensure their thinking and their practice evolve simultaneously towards a more integrated approach.

Op 4 oktober 2018 presenteerde de taskforce IA AM namens IIA Nederland en NBA-LIO de nieuwe versie van het Internal Audit Ambition Model op het European Conference for Super Internal Auditors in Madrid. Met het Internal Audit Ambition Model kunnen internal auditors niet alleen het huidige kwaliteitsniveau van hun internal auditfunctie (IAF) visualiseren, maar ook hun ambitieniveau bepalen om de IAF verder te professionaliseren. Het model wordt sinds kort actief betrokken bij de uitvoering van kwaliteitstoetsingen en geeft een mooie kapstok bij de opleidingen over internal audit. De beroepsverenigingen willen alle internal auditors inspireren en aansporen het IA AM toe te passen. Het model kan op basis van zes thema’s, onder andere Professional Practices, Accountability en People Management, gebruikt worden als self-assessment tool, als roadmap om de ambities van de IAF te realiseren en als communicatiemiddel naar stakeholders.

Accountants in business kunnen op verschillende manieren te maken krijgen met fraude: zelf fraude plegen, mogelijke fraude toedekken of zelf vermoedens hebben van fraude binnen de organisatie waar men werkzaam of bij betrokken is. De vraag óf en hoe men moet handelen als er een vermoeden van fraude is, kan erg ingewikkeld te beantwoorden zijn. De Ledengroep Accountants in Business van de NBA heeft in de afgelopen jaren een aantal moresprudentie-werksessies georganiseerd om over dit onderwerp te discussieren. Deze sessies hebben geleid tot de uitgave Omgaan met vermoedens van fraude. Het document biedt als helpende hand het Moreel Intervisiemodel aan, dat bestaat uit zes stappen, in de vorm van duidelijk te beantwoorden vragen. Het model wordt verduidelijkt aan de hand van een drietal dilemma’s en biedt weloverwogen tips en adviezen over hoe te handelen bij het omgaan met vermoedens van fraude. Tevens vindt u in deze moresprudentie een aantal interviews met accountants in business die het podium durfden te pakken om iets te vertellen over hun persoonlijke ervaringen met het omgaan met vermoedens van fraude. 

De Internal Audit Foundation heeft een nieuw onderzoeksrapport uitgebracht: Aligning Internal Audit Activities and Scope to Organizational Strategy – How the Business Environment and Organizational Strategy Impact Internal Audit. De centrale vraag in het onderzoek was hoe internal audit haar activiteiten kan het beste afstemmen op de strategie van de organisatie. Dit is des te belangrijker gezien de huidige snelheid van veranderingen, waarop organisaties moeten reageren. In de resultaten kan een onderscheid worden gemaakt naar de betekenis voor de inhoud van de audit activiteiten en voor de inrichting van de auditfunctie. Voor wat betreft de inhoud worden de belangrijkste (strategische) risico’s benoemd. Voor de inrichting van de functie worden nuttige handvaten gegeven voor het dynamiseren van de auditplanning, de benodigde capaciteiten (het groeiende belang van IT vaardigheden) en het stijgende belang van consulting activities om de toegevoegde waarde te vergroten.