Vaktechnische Publicaties

Dit rapport bevat de resultaten van een praktijkonderzoek uitgevoerd in opdracht van de Commissie Professional Practices van IIA Nederland. Hiermee hopen we de inzet van analytics binnen Internal Audit Functies te bevorderen en te ondersteunen. Analytics behoort al jarenlang tot ons ‘gereedschap’, maar de beschikbare technieken hebben een snelle ontwikkeling doorgemaakt. “The world hates change, yet it is the only thing that has brought progress” (Charles Franklin). Het vakgebied Auditing is ontstaan ten tijde van de industriële revolutie met als doel het verschaffen van (additionele) zekerheid aan opdrachtgevers zoals bestuurders en commissarissen en andere belanghebbenden zoals externe toezichthouders en het ‘maatschappelijk verkeer’. Sinds die tijd heeft het vakgebied diverse ontwikkelingen en professionaliseringslagen doorgemaakt. Echter, de laatste jaren lijken veel auditen controlefuncties de voortgaande digitalisering en ‘real-time ontwikkelingen’ in de economie niet meer goed te kunnen ‘bijbenen’. Traditioneel auditen in de zin van ‘achteraf kijken of de cijfers kloppen’ voldoet steeds minder (2012, AICPA whitepaper). Oplossingen worden gezocht in onder meer: het betrekken van niet-financiële perspectieven zoals klanten, bedrijfsvoering en innovatie, het meer systeemgericht (vooraf) gaan auditen en het nadrukkelijker daarbij betrekken van de ‘zachte kant’ (cultuur en gedrag). Dit alles is nuttig, maar niet afdoende. Een veelbelovende en voor veel auditfuncties inmiddels bereikbare oplossing is de inzet van ‘analytics’. De verwachting is dat de auditor door de inzet daarvan substantiële verbeteringen in effectiviteit en efficiëntie kan realiseren. En dat analytics daarbij al snel niet meer het exclusieve domein van IT-auditors is, maar meer en meer verbreedt naar andere auditdisciplines zoals financial en operational auditing en ‘tweedelijns’ functies zoals interne controle, risk management en compliance. Kortom, tijd voor een onderzoek dat de wensen en behoeftes vanuit Internal Audit functies combineert met ervaringen uit de praktijk. We hopen dat dit onderzoek inspireert en ondersteunt bij de inzet van analytics en dat het bijdraagt aan de verdere ontwikkeling en inbedding van analytics in het vakgebied van internal audit.  U kunt het rapport hier downloaden. 

Voor een Internal Auditdienst is het een uitdaging om met juiste aanbevelingen te komen bij het management. Aanbevelingen die oplossingsrichtingen bieden om de kernoorzaak van een tekortkoming weg te nemen. Immers dan is er sprake van een structurele aanpak van de tekortkoming. Het is een uitdaging om een goede oorzaakanalyse uit te voeren. Men moet over voldoende kennis van de oorzaakanalyse methoden beschikken om, afhankelijk van de context, een geschikte methode te kunnen kiezen en over voldoende vaardigheden om die vervolgens goed toe te passen. In het IIA-artikel ‘Oorzaakanalyses in het kader van audits’ d.d. december 2014  is aandacht besteed aan een aantal methoden/technieken die gebruikt kunnen worden bij een oorzaakanalyse. In bijgaand artikel gaan we hierop verder door een beschrijving te geven van onze ervaringen met het toepassen van enkele root cause analyses in de praktijk. De overeenkomst tussen deze ervaringen is dat het root cause analyses zijn die betrekking hebben op complexe bevindingen. Hiermee willen wij aangeven dat het ook mogelijk is om bij ingewikkelde problematieken een deugdelijke root cause analyse uit te voeren. We beschrijven in dit artikel zes voorbeelden voor het uitvoeren van een oorzaakanalyse, ieder vanuit een ander gezichtspunt gestart. De methoden geven bij elk voorbeeld inzicht in de grondoorzaken van de onderkende problematieken. Kenmerkend is dat bij deze aanpakken sprake is van een complexe bevinding c.q. problematiek. Een algemene definitie van ‘complex’ is: “zeer samengesteld en daardoor moeilijk te doorgronden”. In het kader van dit artikel breiden we deze definitie uit met elementen van oorzaakanalyses en komen we tot de volgende omschrijving van ‘een complexe bevinding’: “Een complexe bevinding is een uitkomst van een onderzoek waarbij de oorzaak niet eenvoudig (bij één partij) te achterhalen is. Het is mogelijk dat er sprake is van meerdere oorzaken, die eventueel een relatie met elkaar hebben en in samenhang een probleem hebben veroorzaakt. Kenmerkend is dat er een diepgaande analyse nodig is, hetzij met behulp van meerdere deskundigen, hetzij door het toepassen van meerdere methoden en technieken om de oorzaak/oorzaken te kunnen achterhalen”. In dit artikel zullen we, na een inleiding in hoofdstuk 1, in hoofdstukken 2 en 3 achtereenvolgens een beschrijving geven van de verschillende aanpakken voor oorzaakanalyses en een voorbeeld van de toepassing. Uit onze ervaring blijkt tevens dat de rol van de auditor bij het uitvoeren van de oorzaakanalyse kan verschillen. We zullen hier dan ook in hoofdstuk 4 specifieke aandacht aan besteden. 

De Rijksoverheid en Gemeenten hechten steeds meer waarde aan de gedragseffecten van beleid en communicatie. Aandacht voor het inzicht dat kennis niet de belangrijkste drijfveer van gedrag is, neemt toe. Gedrag verandert niet vanzelf in de goede richting, wanneer je zorgt voor informatie. Onderzoeken die de effectiviteit van gedragsbeïnvloedende communicatie onderschrijven strekken van de gezondheidszorg (Johnson en Goldstein 2003), educatie (Castleman 2003), tot het stimuleren van naleving van wet en regelgeving (Blumenthal et al. 2001). Lezers van auditrapportages wordt (impliciet) gevraagd de boodschap van het rapport over te nemen. Ontvankelijkheid voor communicatie is voor de effectiviteit van rapportages een randvoorwaarde (Renes e.a. 2011: 13). Dit roept de vraag op in hoeverre wij als auditors gebruik maken van kennis over gedragsbeïnvloedende communicatie. Het voorbeeld waar dit onderzoek zich op richt is het bewuste, of onbewuste gebruik framing in auditrapportages. 

The IIA (“Institute of internal auditors”) in cooperation with the University of Amsterdam performed an exploratory research into personality traits of internal auditors in relation to specific aspects of their work. This research was led by projectleader Dr. J.R.H.J. van Kuijck RA RC (Director of Lime Tree Research and Education). This thesis is part of this project and describes the study on source personality traits of persuasive internal auditors. I would like to thank my coach Dr. J.R.H.J. van Kuijck RA RC for giving me the opportunity to participate in this research and for his guidance and feedback during my dissertation trajectory. I would like to thank Talentlens for their expertise and their professional help with collecting and preparing the data. Off course I would like to thank all the Dutch members of the Institute of Internal Audit (IIA) that have filled out the questionnaires. Many thanks to my employer MN, and especially to my manager Hans Manson, for investing in my development as an internal auditor and providing me the opportunity and the time to study. I would like to thank Jan van Praat and Anita Fijnekam-Schoffelmeer for their useful comments and suggestions and for always making time for me. Mom and dad, I would really like to thank you for always having faith in my abilities and for your endless support. It really means the world to me. Finally I would like to thank Alex, my love and best friend, for his support in everything I do, and for cheering me up when I needed it the most. Without him, this thesis would not have been what it is today

Dit referaat is de weerslag van mijn onderzoek naar tone of voice in Nederlandstalige geschreven tekst. Voor zover de aanduiding van dat onderwerp nog geen ontzag inboezemt zal de toegepaste methode van subjectivity analysis dat toch doen: geautomatiseerd zoeken naar patronen die moeten duiden op iets subjectiefs in ongestructureerde dataverzamelingen. Dapperder dan zo'n zoektocht naar de Heilige Graal van de Digital Humanities is toch nauwelijks denkbaar. Dapper of niet, mijn onderzoek, hoe spannend, leuk en boeiend ík het ook vond, is niet meer gebleken dan een houterige vingeroefening. Op een onderzoeksterrein dat voorlopig misschien wel meer pretenties heeft dan prestaties. Of, zoals Ewoud Sanders het verwoordde in zijn Woordhoek-column in het NRC Handelsblad van 31 maart 2016: "De verwachtingen van automatische patroonherkenning zijn erg hooggespannen [...] maar mijn ervaring is dat handmatig slim en creatief zoeken in big data tot nu toe gemiddeld twee keer zoveel nuttige bronnen oplevert." Na afloop van het onderzoek deel ik die visie maar had ik mijzelf de lol van de poging niet willen ontzeggen. In de voorbereiding en uitvoering van het onderzoek heb ik van velen hulp gehad. Om te beginnen ben ik dank verschuldigd aan collega's bij De Nederlandsche Bank, die hebben geholpen bij het samenstellen van lexicons of bij het selecteren van toezichtbrieven of bij het meedenken over het schrijven van dit referaat zonder de vertrouwelijkheid van toezichtinformatie te schenden. Verder wil ik in het bijzonder Michiel Boswinkel, Jolanda Breedveld, Maarten Hoornweg, Miranda Snel, en Tigran Spaan bedanken voor hun procesmatige en inhoudelijke medewerking tijdens de afgelopen maanden. En, last but not least, degenen uit mijn privéomgeving de me de afgelopen jaren met raad, daad en veel geduld hebben gesteund.

Een onderzoek naar de relatie tussen het leiderschap, de afdelingscultuur en het type interne auditdienst in Nederland. 

Big data is a popular term used to describe the exponential growth and availability of data created by people, applications, and smart machines. The term is also used to describe large, complex data sets that are beyond the capabilities of traditional data processing applications. The proliferation of structured and unstructured data, combined with technical advances in storage, processing power, and analytic tools, has enabled big data to become a competitive advantage for leading organizations that use it to gain insights into business opportunities and drive business strategies. However, the challenges and risks associated with big data must also be considered. Increased demand, immature frameworks, and emerging risks and opportunities that are not widely understood or systematically managed by organizations have created a need for more guidance in this area. Internal auditors, in particular, must develop new skill sets and obtain knowledge of big data principles to effectively provide assurance that risks are addressed and benefits are realized. Risks associated with big data include poor data quality, inadequate technology, insufficient security, and immature data governance practices. Internal auditors working with big data should engage with the organization’s chief information officer (CIO) and other key leaders to better understand the risks in terms of data collection, storage, analysis, security, and privacy. This guidance provides an overview of big data: its value, components, strategies, implementation considerations, data governance, consumption, and reporting, as well as some of the risks and challenges these may present. This guide also explains internal auditors’ roles and responsibilities when performing assurance or advisory procedures related to big data efforts.

The internal audit department is an essential part of a successful organization, and the chief audit executive (CAE) has a critical role in leading that function. As internal audit becomes more visible and more essential to an organization, so does the demand for effective CAEs—audit leaders who drive high-performing teams and deliver value by consistently addressing stakeholder needs, top-down risks, and the expectations of an evolving marketplace. Boards and executive management expect CAEs to bring innovation, strategic thinking, leadership, and expertise to the internal audit function—inspiring strong and effective internal audit departments. However, while CAEs are expected to have all of these qualities, there may be room for improvement. What advice does senior leadership have for their CAE to help them improve, continue to grow, and better serve the organization and its stakeholders? The results of the 2015 Global Internal Audit Common Body of Knowledge (CBOK) Stakeholder Study—specifically, the results from the questions asked of executives and board members who work closely with internal auditors—reveal four key messages for the CAE on how they can perform better in their roles, lead high-performing internal audit teams, and positively impact their organizations. The points of advice from stakeholders to CAEs:  Exhibit strong business acumen, including knowledge of the industry, the ability to understand business strategy, and the insight to understand and assess risks. Demonstrate leadership skills, technical competence, innovation, and relational competence with audit staff and stakeholders. Manage competing priorities, demands, and conflicts within the organization, including communication with all areas of the organization with objectivity and integrity. Seek to influence the culture of the organization. Modeling right behavior and thinking, inspiring discussion, and acting as a change agent is crucial to helping improve organizational culture.

Pulse of internal audit In last year’s Pulse of Internal Audit report, The IIA challenged internal auditors to “move out of their comfort zone” beyond annual planning and typical audit areas to audit at the speed of risk. Today, with increasing pressure on organizational governance and additional burdens placed on audit committees and boards, it is critical that chief audit executives (CAEs) lead with courage and take actions that could instill: Internal auditor’s self-confidence. Management and the board’s confidence in internal audit. Stakeholders’ confidence in the organization.  Improving the effectiveness of risk management is a defining characteristic of internal auditing, yet even experienced CAEs may overlook some risks. This report looks at four areas where internal audit should take a closer look — both for the organization as a whole and for the internal audit function in particular. Not all risks are new or emerging. In fact, many critical risks have been around for a long time and perhaps have fallen just below or somehow dropped off the radar. CAEs need to have the courage to revisit these areas while ensuring their audit coverage aligns with what is important and top-of-mind to key stakeholders. In this report, we address two such areas: Company communications not traditionally subject to independent assurance (e.g., analyst presentations, sustainability reporting, some operational reporting). Environmental, health and safety risks. According to The IIA’s International Professional Practices Framework, internal audit’s mission is to enhance and protect organizational value by providing risk-based and objective assurance, advice, and insight. To do this effectively, leaders must have the courage to look inward with the same objective, professional skepticism used when assessing others. This report covers two areas where internal audit leaders have identified ongoing challenges: Internal audit’s use of data analytics. Interpersonal dynamics between internal audit and others in the organization. Using survey results, this report shows how CAEs in North America are currently looking at these areas, and where there are reasons for concern. The report also provides insights on how CAEs can instill confidence by “evaluating and improving the effectiveness of risk management, internal control, and governance processes.”2

In this white paper, we will look at how auditors can assess, respond to and analyze the risks they encounter during a risk-based audit.

As cyberattacks grow in frequency, severity, and complexity, cybersecurity professionals are urging organizations to move beyond a defensive and reactive approach to a more proactive approach, allowing for the prediction and anticipation of cybersecurity threats. Recognizing this emerging trend, the Institute of Internal Auditors’ Audit Executive Center (AEC), in collaboration with the Internal Audit Foundation, elected to supplement recent research by conducting a Quick Poll survey of chief audit executives (CAEs) to ask specific questions about their organizations’ use of security operations centers (SOCs) as part of their cybersecurity strategies. Responses were received from 130 CAEs, representing organizations of various size from many industries. In addition to providing insights into specific SOC policies and practices, the AEC Quick Poll survey results also suggest that some conclusions can be drawn about CAEs’ general levels of involvement in monitoring and reviewing their SOC operations. In order to assure complete anonymity, the survey respondents were not asked to provide identifying or qualifying information about their organizations. Using the survey findings as a starting point, researchers from Crowe Horwath conducted a series of follow-up interviews with information security executives in various organizational structures and geographic locations, and with various sensitivities to cybersecurity threats. The objective was to gather first-hand examples of current best practices. To protect the companies’ identities, the interview responses were normalized intom three general types of organizations: 1) large companies with global operations, 2) large companies with national operations, and 3) medium-size companies with regional operations. The responses were summarized along those lines in this report. The research team also interviewed representatives of a number of leading vendors that offer cybersecurity intelligence solutions and services. In addition to offering a summary of that research, this report is intended to help cybersecurity professionals, CAEs, and other stakeholders to explore broader issues and to answer two questions: 1) How can organizations move beyond merely reacting and responding to cybersecurity incidents and instead start to identify, anticipate, and actively defend against known and emerging threats? 2) What role can CAEs play in encouraging and facilitating this shift from a reactive to a proactive stance? By addressing—and ultimately answering—these questions, organizations can take the critical first steps to advancing their cybersecurity initiatives regardless of whether they are first establishing a SOC, or advancing further and establishing a fully functioning security intelligence center (SIC). 

Hoe meet je cultuur en gedrag? Hoe gaan we om met de toenemende invloed van IT? En wat is de oplossing voor de schaarste op de arbeidsmarkt? In de auditwereld is verandering een van de weinige constanten. Iedere organisatie zoekt op haar eigen manier naar de antwoorden op deze vragen. Daarbij staat elke discipline voor eigen uitdagingen: de accountant in business, de openbaar accountant en de interne en overheidsaccountant. Welke ontwikkelingen zien zij? Hoe spelen ze hierop in? En hoe ziet de toekomst van het auditvak eruit? De afgelopen tijd vroegen we een aantal vooraanstaande professionals met een auditachtergrond naar hun visie. Het resultaat: vier verhalen die – ieder vanuit een eigen perspectief – een interessante inkijk in een veranderende wereld bieden. Dat de kijk op de ontwikkelingen per discipline en per persoon verschilt, bleek overduidelijk toen we het onderwerp ‘beroepseed’ ter sprake brachten. De meningen over de invoering hiervan liepen uiteen van ‘onzin’ tot ‘een goede zaak’. Hoe dan ook: voor 1 mei 2017 moet elke accountant de beroepseed hebben afgelegd. Het is een van de 53 maatregelen die het vertrouwen in de beroepsgroep moeten herstellen. Naast alle trends en ontwikkelingen in het vakgebied zelf, gebeurt er ook veel op de arbeidsmarkt. Audit is voor Yacht Finance een focusgebied en een discipline waarin we veel expertise hebben, ook vanwege de alsmaar toenemende schaarste op de arbeidsmarkt. Daarbij zetten we vooral in op de combinatie van audit en finance & control. Enerzijds omdat onze opdrachtgevers veel baat hebben bij professionals die beide beheersen, anderzijds omdat juist deze combinatie medewerkers een unieke positie op de arbeidsmarkt geeft en carrières in een stroomversnelling brengt. Hoe de nieuwe realiteit er precies uitziet weet niemand. Toch tekenen de contouren zich langzaam af. Graag nemen wij u in deze whitepaper mee in de ontwikkelingen, uitdagingen en vraagstukken in de auditwereld. 

Given expectations for slow growth and economic and political uncertainty, technology advances and business model disruption, cyber threats, greater regulatory scrutiny, and investor demands for transparency, it’s hardly surprising that most audit committees around the world point to risk management as the top challenge facing the company in the year ahead. More than 40 percent of respondents say their risk management systems require substantial work. Audit committees, by and large, continue to express confidence in financial reporting and audit quality; yet, along with risk management, our 2017 Global Audit Committee Pulse Survey highlights ongoing concerns about legal and regulatory compliance, managing cyber security risk, and managing the control environment in the company’s extended organization. Of the more than 800 audit committee members responding to our survey, nearly 4 in 10 said the committee’s effectiveness would be most improved by having a “better understanding of the business and key risks,” while nearly a third said additional expertise related to technology or cyber security would be helpful. Overall, audit committees are largely satisfied that their agendas are properly focused on legal and regulatory compliance issues, maintaining internal controls over financial reporting, and key assumptions underlying critical accounting estimates. However, they see room for improvement when it comes to focusing on CFO succession planning, talent and skills in the finance organization, tone at the top and culture, and aligning the company’s short- and long-term priorities. Most audit committees say their organizations have a long way to go in their efforts to implement major new accounting standards. Fewer than 15 percent report a clear implementation plan for the new revenue recognition standard, and fewer than 10 percent reported a clear plan for implementation of the new leasing standard. And of those whose companies are affected by the Organisation for Economic Co-operation and Development’s (OECD) country-by-country tax reporting, many expressed concern about the lack of clarity or communication with their committee on that issue. Survey respondents also cited ongoing opportunities to improve their company’sability to manage cyber risks. Of course, these challenges will vary by company and by country (and it is difficult to compare data from 15 countries, often with markedly different business environments, regulatory requirements, and corporate governance practices). But our survey findings offer insights that audit committees around the world can use to sharpen the committee’s focus, benchmark its responsibilities and practices, and strengthen its oversight.

Competing in a rapidly changing world, companies must grapple with emerging challenges seemingly every day: cyber threats, emerging and potentially disruptive technologies, business performance risk and more. In this increasingly complex environment, Internal Audit (“IA”) has a crucial role to play to help the organization in managing risks associated with these diverse business trends. This is also in line with the UK and Dutch Corporate Governance Codes. An impactful IA function will stay current with these wide-ranging business issues as they emerge so it can help monitor related risks and their potential effects on the organization. To provide the greatest value, IA must find opportunities to challenge the status quo to reduce risk, improve controls and identify potential efficiencies and cost benefits across the organization. To help IA functions achieve these goals, KPMG surveyed IA functions from companies in multiple industries globally and in the Netherlands. The result is KPMG Internal Audit: Top 10 Considerations for 2017, which outlines areas where IA should focus so it can effectively add value across the organization and maximize its influence on the company. Top 10 Considerations for 2017: Cybersecurity Culture/Soft Controls Integrated Assurance Regulatory compliance Third party relationships Anti-bribery/anti-corruption Emerging technologies Data analytics and continuous auditing Performance risk Strategic alignment

The increasing importance of internal audit’s role as the third line of defense in effective risk management and control has raised its visibility both within and outside of the organization. As a result, chief audit executives (CAEs) and internal audit departments are looking for ways to utilize their unique expertise to enhance their value to the overall corporate mission. This leads to the question — asked by all high performing support areas such as finance, human resources, IT, and legal — how can we have a strategic impact on the organization? Internal audit is uniquely positioned to be a strategic partner. With reporting relationships to the chief executive officer (CEO) or other executive officer, audit committee, and the board, high performing CAEs combine intelligence, expertise, diligence, and curiosity in a manner that positions internal audit for a critical strategic role. Despite this, CAEs are not generally recognized for the potential strategic impact that they can have on their organizations. For CAEs looking to elevate the strategic role of internal audit, several questions should be answered to take this next logical and desired step. Does the CAE understand the strategic mission of the organization at a deep level? Does the CAE understand the perspective of the CEO and board and make the effort to become a trusted partner, offering advice and solutions that address key problems? Is internal audit aligned with the strategic mission? Is internal audit anticipatory and proactive (rather than reactive)? Does the CAE provide assurance on risk management? Unfortunately, traditional perceptions of internal auditing can lead to wariness on the part of others to embrace internal audit as a strategic partner. Further, internal audit must balance the independence that is required for its role against the level of involvement in the tactical duties necessary to achieve the organization’s goals. After all, it is the mandate of internal audit to assess these tactics. But proactively addressing these challenges can lead to a real opportunity for internal audit to be recognized as a strategic partner and contributor.