Welkom op de nieuwe website van IIA Nederland. Bekijk hier de walkthrough om je gegevens te controleren.

Download
FAQ

Veelgestelde vragen

Toezicht kwaliteitstoetsingen

Vragen over de toetsende partijen en toetsers

Door wie kunnen leden van het IIA de externe kwaliteitstoetsing laten uitvoeren?
Leden van IIA zijn verplicht om tenminste eens in de vijf jaar een externe kwaliteitstoets te laten uitvoeren. Hiervoor zijn meerdere partijen beschikbaar. Deze staan vermeld op de website van het IIA.

Bekijk ze hier
 

Welke eisen zijn gesteld aan de toetsers en het toets-team?
De toetsers dienen deskundig en onafhankelijk van de te toetsen organisatie te zijn. De opdrachtleider en het opdrachtteam hebben:

  • inzicht in en praktische ervaring met externe kwaliteitstoetsingen, verkregen door middel van passende training (bij voorkeur de QA Review-training van het IIA) en participatie
  • management ervaring op Chief Audit Executive niveau (m.n. de opdrachtleider), • een CIA kwalificatie,
  • inzicht in de IPPF beroepsnormen, 
  • kennis van de relevante bedrijfstak waarin de IAF actief is. Voor kwaliteitstoetsingen aan de normenkaders van de NBA en/of NOREA zijn aanvullende specifieke vereisten van toepassing; die kunt u vinden op de betreffende websites.

Wie toetst de toetser?
Het TKT ziet toe op het proces en de naleving van alle regels en voorschriften inzake de externe kwaliteitstoetsingen, inclusief de beoordeling van de onafhankelijkheid en deskundigheid van de toetsende partijen. De CAE dient zich er van te overtuigen dat de toetsende partij is opgenomen op de website van IIA Nederland en vast te stellen dat de toetsende partij voldoende onafhankelijk is van de IAF en geen tegenstrijdige belangen heeft a.g.v. betrokkenheid bij de IAF en haar organisatie, in lopende of voorbije twee kalenderjaren.

Ik ben RA en/of RE en wil mij laten toetsen op de beroepsnormen van NBA en/of NOREA, ….. 

Als er ook RA/AA’s en/of RE’s werkzaam zijn bij de interne audit afdeling, …. Kan een toetsende partij dan ook de toetsing op de beroepsnormen van NBA en/of NOREA uitvoeren?
Nee, de op de IIA-website genoemde toetsende partijen kunnen, met uitzondering van het KOA, alleen de toetsing uitvoeren op basis van de beroepsnormen van het IIA. Dat is ongeacht de samenstelling van de afdeling. Per 1 januari 2024 is het IIA niet meer geaccrediteerd door NBA en NOREA voor het uitvoeren van de kwaliteitstoetsingen op hun beroepsnormen. Voor de toetsing op de beroepsnormen van het NBA en/of NOREA dient contact te worden opgenomen met NBA en/of NOREA. 

Een uitzondering hierop is het samenwerkingsverband Kwaliteitsonderzoek Overheidsauditors (KOA). Zij zijn geaccrediteerd door NBA en NOREA en kunnen, bij de overheidsorganisaties die bij het KOA zijn aangesloten, op alle drie de beroepsnormen toetsen.

Welke organisatie/instellingen zijn geaccrediteerd door de NBA en NOREA om namens hen kwaliteitstoetsingen op basis van de NBA of NOREA normenkaders uit te voeren?
Het samenwerkingsverband Kwaliteitsonderzoek Overheidsauditors (KOA) is geaccrediteerd door de NBA en door NOREA, om namens hen kwaliteitstoetsingen op basis van de NBA of NOREA normenkaders uit te voeren. Zij doet dat alleen bij de bij het KOA aangesloten (overheids)organisaties.

Door wie worden RA’s of AA’s en RE’s die lid zijn van IIA Nederland getoetst?
RA’s of AA’s die lid zijn van het IIA worden op de beroepsnormen van NBA getoetst door de NBA. RE’s die lid zijn van IIA Nederland worden op de beroepsnormen van NOREA getoetst door NOREA.

Door wie worden RA’s of AA’s en RE’s die geen lid zijn van IIA Nederland getoetst? RA’s of AA’s, die geen lid zijn van IIA Nederland worden getoetst door de NBA. RE’s, die geen lid zijn van IIA Nederland, worden getoetst door NOREA.

Vragen over de gebruikte normenkaders

Wat zijn de normenkaders waaraan wordt getoetst?
Het internationale raamwerk voor de beroepsuitoefening van Internal Auditors (IPPF) van het IIA is de basis voor de kwaliteitstoetsing bij leden van IIA. Er wordt getoetst aan de daarin opgenomen Gedragscode en International Standards for the Professional Practice of Internal Auditing. Vanaf 9 januari 2025 dient de IAF te voldoen aan de nieuwe Global Internal Auditing Standards (GIAS).

Ik ben RA – moet dan altijd ook een toets aan de NBA-normen plaatsvinden?
Ja, volgens de Verordening op de Kwaliteitsbeoordelingen van het NBA moet dat. Hierbij dient onderscheid te worden gemaakt tussen de toetsing van het kwaliteitssysteem van de IAF en andere, persoonsgebonden NBA-normen. Voor de toetsing van het kwaliteitssysteem mag u zich onder voorwaarden baseren op alleen het IPPF. Conform art. 3 van de NV COS is namelijk een ander kwaliteitssysteem dan de Nadere voorschriften kwaliteitssystemen (NVKS) mogelijk. De voorwaarden om de toetsing uitsluitend te verrichten onder de IIA Kwaliteitsstandaarden zijn als volgt: 

  • Er worden geen controle- of beoordelingsopdrachten uitgevoerd, waarbij een verklaring aan externe partijen (buiten uw eigen organisatie) wordt verstrekt; Ter toelichting: de kernvraag is of sprake is van een externe werking. Daarbij wordt opgemerkt dat ook verspreiding van een verklaring aan beperkte en vooraf gedefinieerde ontvangers buiten de eigen organisatie door het NBA als externe werking wordt beschouwd.
  • Het besluit de werkzaamheden uitsluitend te verrichten onder de IIA Kwaliteitsstandaarden is in het internal audit charter vastgelegd, met toestemming van het hoogste governance orgaan van de organisatie; 
  • Er is geen verwijzing naar de NV COS in het internal audit charter opgenomen; 
  • Er is geen verwijzing naar de NV COS in de opdrachtformuleringen en/of internal audit rapportages opgenomen. 

Ook al behoeft de IAF niet volgens het NVKS te worden getoetst, dan nog moet wel worden beoordeeld of de betreffende RA/AA’s voldoen aan de andere van toepassing zijnde persoonsgebonden NBA-normen, zoals VGBA, ViO en NOCLAR. Die toetsing kan alleen plaatsvinden door de NBA of de door NBA geaccrediteerde partijen, zoals het KOA.

Ik ben een RA en onze IAF voert enkel en alleen wettelijke controles c.q. financial audits c.q. de controle van de jaarrekening uit, die leiden tot een verklaring aan externe partijen. Moeten wij, gezien ons lidmaatschap van het IIA dan toch ook worden getoetst aan het IPPF?
Nee, dat hoeft niet, omdat in dit geval de IAF taken uitvoert waarvoor het normenkader van het NBA het meest geëigende normenkader is. Ter toelichting: voor IIA staat het doel van de externe kwaliteitstoets voorop, te weten het vaststellen dat de IAF voor alle activiteiten voldoet aan de aan haar (gezien haar rol) te stellen eisen en het verbeteren van haar functioneren. Dat betekent dat de in de externe toets gehanteerde normenkaders voor de beroepsuitoefening zo goed als mogelijk moeten aansluiten bij de uitgevoerde werkzaamheden. Anders gezegd: de functie moet werken volgens de geaccepteerde normenkaders voor die werkzaamheden.

Ik ben een RA en onze IAF voert zowel intern gerichte werkzaamheden als wettelijke controles c.q. financial audits c.q. de controle van de jaarrekening uit, die leiden tot een verklaring aan externe partijen. Aan welk normenkader moeten wij dan worden getoetst? 
In dit geval zijn zowel de normenkaders van IIA als NBA van toepassing. De organisatie van de IAF moet dan worden getoetst aan beide normenkaders, waarbij de dossiers (om de feitelijke performance vast te stellen) separaat worden getrokken en getoetst aan de respectievelijke normenkaders van het NBA en het IIA.

Wij zijn als IAF betrokken bij een NV COS / assurance opdracht van de externe accountant (bijv. wij verzorgen materiële werkzaamheden voor de ISAE3402-verklaring door de externe accountant): vereist de NVKS dan dat wij getoetst moeten worden aan de NBA standaarden?
Nee, dat hoeft niet. U geeft hierbij niet zelf een assurance-rapportage uit aan partijen buiten uw organisatie. Dat betekent dat u voldoet aan de NBA-normen inzake het kwaliteitssysteem indien u expliciet aangeeft het IPPF als (algemeen geaccepteerd) normenkader te gebruiken, dat vastlegt in het Charter van de IAF en daarin (en in uw input aan de externe accountant) niet verwijst naar de NV COS. In dat geval is toetsing aan het IPPF voldoende.

Ik ben RE – moet dan altijd ook een toets aan de NOREA-normen plaatsvinden?
Ja, volgens de beroepsnormen van het NOREA moet dat. In tegenstelling tot de NV COS van het NBA bieden de beroepsnormen van NOREA geen mogelijkheid dat de IAF zich, onder voorwaarden, mag baseren op alleen het IPPF als kwaliteitssysteem.

Welke rol speelt het Internal Audit Ambition Model (IA AM) in de externe kwaliteitstoetsing?
Het IA AM is primair een hulpmiddel voor de periodieke zelfevaluatie, ofwel voor de interne evaluatie. Bij voorkeur vindt deze jaarlijks plaats, als onderdeel van het programma voor kwaliteitsbewaking en -verbetering, en bijvoorbeeld als basis voor het opstellen van het Jaarplan van de IAF. 
Aanvullend is met alle toetsende partijen is afgesproken dat de analyse o.b.v. het IA AM gebruikt kan worden als input voor de externe kwaliteitstoetsing. In dat geval is een nieuwe zelfevaluatie, op basis van de aanpak van de externe toetser, die gebruikelijk als startpunt van de externe kwaliteitstoetsing wordt gevraagd, dus niet meer nodig.

Vragen over de vorm van de kwaliteitstoetsing

Wat is het belangrijkste verschil tussen de Self Assessment with Independent Validation (SAIV) en de volledige externe toets? 
Bij een SAIV worden meer activiteiten door de organisatie zelf worden gedaan, in de gedachte dat zo de kosten kunnen worden verlaagd t.o.v. de volledige externe toetsing. Het eigen onderzoek (self assessment) wordt gevolgd door een independent validation door een extern toetser. Om de lagere kosten te realiseren is het belangrijk vooraf goed met de independent validator af te stemmen over de taakverdeling en de op te leveren stukken. Beide vormen van externe toetsing zijn gelijk als het gaat om het toetsen aan de IIA-normen (inclusief de daartoe te voeren gesprekken met stakeholders en de analyse en documentatie daarvan).

Als ik kies voor een SAIV en zoveel mogelijk zelf wil doen, wat doet de externe toetser (validator) dan nog?
In de SAIV dient een gekwalificeerde, onafhankelijke externe beoordelaar tot een gefundeerd en onafhankelijk oordeel te komen over conformiteit met de IIA standaarden. De externe toetser beoordeelt dus de uitgevoerde, gedocumenteerde werkzaamheden van de zelfevaluatie, aan de hand van een review van de planning, uitvoering en documentatie van de evaluatie, inclusief het steekproefsgewijs re-performen van elementen van de evaluatie, het uitvoeren van interviews met de belangrijkste stakeholders en een analyse van de conclusies. Aandachtspunt: het is belangrijk dat de self-assessor en de independent validator goede afspraken maken over het geheel en specifiek over de interviews met de key stakeholders. Om de belasting (en daarmee de kosten) zoveel mogelijk te beperken, is het logisch dat de independent validator de gesprekken met de ‘key stakeholders’ (zoals AC voorzitter, CEO, external audit partner) voor zijn/haar rekening neemt.

Kan voor een kleine IAF een vereenvoudigde toetsing plaatsvinden?
Voor alle IAF’s geldt hetzelfde normenkader. Vanzelfsprekend zullen voor een kleine IAF de uit te voeren werkzaamheden in het kader van de externe kwaliteitstoetsing, zoals de dossierreviews, wel minder zijn.

Vragen over internationaal werkende organisaties

Mijn internal audit afdeling opereert internationaal. In welk land dient de kwaliteitstoetsing op de internal auditafdeling plaats te vinden? 
De eis tot kwaliteitstoetsing vloeit voort uit de Standaarden van het IIA en is internationaal geldend voor IIA-leden. Toetsing dient vanuit Nederland plaats te vinden voor de internal audit werkzaamheden die vanuit Nederland worden aangestuurd.

Ik werk voor een multinational. Het hoofdkantoor is gevestigd in het buitenland. Waarom word ik ook door het IIA NL onderworpen aan een kwaliteitsonderzoek? Alle leden van IIA Nederland dienen zorg te dragen voor een externe kwaliteitstoets op basis van het IIA normenkader. Er kan worden volstaan met één kwaliteitstoets als bij een toets vanuit het hoofdkantoor de Nederlandse activiteiten in scope van de kwaliteitstoets zijn en dat de resultaten daarvan gedeeld kunnen worden met IIA Nederland (TKT).

Ik werk voor een multinational. Het hoofdkantoor is gevestigd in het buitenland. Wat moet ik doen als de CAE op het hoofdkantoor geen externe toetsing organiseert?
U kunt in overleg gaan om voor de gehele organisatie een externe toetsing te organiseren; in ieder geval dient u, als lid van IIA Nederland, een toetsing van uw IAF in Nederland te organiseren.

Indien mijn IAF reeds getoetst is door IIA in een ander land, is een toetsing in Nederland dan nog nodig?
In dat geval wordt in beginsel gebruik gemaakt van de bevindingen van de kwaliteitstoetsing in het andere land. Het TKT zal aan de hand van het beschikbaar te stellen kwaliteitstoetsingsrapport desgevraagd beoordelen of de Nederlandse internal audit activiteiten inderdaad deel uitmaakten van de toetsing, inclusief dossierreviews, of de toetsing adequaat was en heeft geleid tot een oordeel “voldoet”. Daartoe is inzicht nodig in de betreffende rapportage. Indien deze rapportage niet ter beschikking wordt gesteld aan het TKT, dienen in dat geval alsnog de Nederlandse internal audit activiteiten, uitgevoerd door leden van IIA Nederland, te worden getoetst.

E.e.a. is weergegeven in een beslissingsboom.

Vragen over de kosten en toegevoegde waarde

Wat is nog de toegevoegde waarde van een externe kwaliteitstoetsing als ik al jaarlijks een interne toetsing uitvoer? 
Zoals voor alle professionele organisaties, is het goed om van tijd tot tijd door een onafhankelijke partij een spiegel te worden voorgehouden. De IIA standaarden vereisen dit ook. Dat biedt de mogelijkheid te leren van andere good practices, voorkomt het optreden van blinde vlekken en biedt ook uw stakeholders aanvullende waarde als dat is gebeurd door een gekwalificeerde, onafhankelijke partij.

Ik doe geen assurance of daaraan verwante werkzaamheden. Waarom word ik toch onderworpen aan een kwaliteitstoetsing?
Alle leden van IIA NL die internal audit werkzaamheden, zoals in de IIA definitie van internal audit zijn beschreven, uitvoeren, zijn verplicht een externe kwaliteitstoetsing te laten verrichten. Wanneer er geen assurance of daaraan verwante werkzaamheden worden uitgevoerd, kan men zich afvragen of wel sprake is van een internal auditfunctie.

Is de uitvoering van de kwaliteitstoetsing niet met name “form over substance”? En draagt dit wel bij aan het doel van de Internal Audit werkzaamheden? Doorlopende verbetering van de kwaliteit van internal audit werkzaamheden is het doel dat wordt nagestreefd, en dat streven wordt niet bereikt door regels boven de inhoud te stellen. De IIA Standaarden zijn in belangrijke mate ‘principle’-based. Bij de beoordeling zullen dus altijd de achterliggende doelen van de Standaarden leidend zijn.

Wat zijn de kosten voor een externe kwaliteitstoetsing?
De kosten zijn afhankelijk van de omvang en soort IAF en de door de IAF verrichte werkzaamheden en natuurlijk van de specifieke afspraken die u maakt met de toetsende partij. Daarbij zal in het algemeen een SAIV goedkoper zijn dan een volledige externe toetsing. Het is raadzaam offertes bij meerdere toetsende partijen aan te vragen.

Hoe kan ik aan de Raad van Bestuur en/of Audit Commissie van de Raad van Commissarissen duidelijk maken wat de toegevoegde waarde van de kwaliteitstoetsing is?
Eigenlijk is een kwaliteitstoets een kenmerk van elke professionele organisatie. Juist vanuit het perspectief van de Raad van Bestuur (RvB) en Audit Commissie (AC) is het belangrijk om van tijd tot tijd een onafhankelijke deskundige mee te laten kijken. Dit belang is ook onderlijnd in de Nederlandse Corporate Governance code in paragraaf 1.3.2 “Het functioneren van de interne audit functie wordt ten minste vijfjaarlijks beoordeeld door een onafhankelijke derde partij.” 

Een kwaliteitstoets geeft bestuurders en commissarissen aanvullende zekerheid en biedt de organisatie de mogelijkheid te leren van anderen. We zien in de praktijk dat de RvB en AC dit zeer op prijs stellen, ook omdat dit voor hen een lastig vakgebied is, waarbij zij graag met onafhankelijke deskundigen spiegelen. Naast de toegevoegde waarde, het nut en de werkwijze zijn met name ook de positionering van de IAF en de inpassing in de organisatie belangrijke attentiepunten. Vragen die aan de orde komen bij de stakeholders zijn bijvoorbeeld:

  • Hoe kunt u optimaal gebruikmaken van de Internal Auditfunctie als RvB en AC? Haalt de organisatie de optimale toegevoegde waarde uit de Internal Auditfunctie? 
  • Hoe kan de RvB en AC vaststellen en waarborgen dat de Internal Auditfunctie de juiste dingen doet? 
  • Wordt er voldoende gekeken naar de hoog risico gebieden van de organisatie? 
  • Werkt de Internal Auditfunctie effectief samen met de externe accountant en andere assurance verleners (zoals kwaliteitsafdelingen), zodat er geen overlap van werkzaamheden is en de ‘auditcoverage’ adequaat en effectief is? 
  • Sluiten de risicoanalyse en auditplanning in voldoende mate aan op de strategie van de organisatie en de behoeften van de stakeholders? 
  • Is de onafhankelijkheid van de Internal Auditfunctie voldoende gewaarborgd ? 
  • Werkt de Internal Auditfunctie professioneel conform de standaarden en de (best) practices, zoals gepubliceerd door de beroepsorganisaties? 
  • Hoe zijn de leesbaarheid, helderheid en relevantie van de communicatie en rapportages van de Internal Auditfunctie? Komt oordeelsvorming door de Internal Auditfunctie op een gedegen wijze tot stand? 
  • Is de capaciteit van de Internal Auditfunctie kwalitatief en kwantitatief voldoende? 
  • Wordt er door de Internal Auditfunctie niet teveel of juist te weinig afstand bewaard t.o.v. de organisatie en wordt er voldoende invulling gegeven aan de adviesfunctie gezien de verwachtingen, cultuur en het volwassenheidsniveau van de organisatie?

Vragen over de periodiciteit, inhoud en reikwijdte

Hoe vaak moet de externe kwaliteitstoetsing worden uitgevoerd?
Conform de IIA Standaarden en het Reglement Kwaliteitstoetsing van IIA Nederland is een externe kwaliteitstoetsing eenmaal in de vijf jaar verplicht. Dit is ook de termijn die in de Nederlandse corporate governance code wordt benoemd.

Is uitstel van de externe kwaliteitstoetsing mogelijk?
TKT kan eenmalig uitstel verlenen van de externe kwaliteitstoetsing van maximaal één jaar. Dat kan bijvoorbeeld het geval zijn als de IAF in een situatie van grote verandering is, waardoor de huidige situatie niet representatief is voor hoe er de komende tijd gewerkt zal worden.

Wat gebeurt er als de toetsing niet of niet tijdig plaatsvindt?
Vanzelfsprekend zal dan eerst overleg plaatsvinden over de achtergronden, van u en van de verplichte toetsing aan het normenkader van het IIA. Indien er uiteindelijk geen kwaliteitstoetsing uitgevoerd wordt binnen de gestelde termijn, zal het TKT het IIA- bestuur hierover informeren. Het bestuur kan op basis van het advies van het TKT besluiten de leden van de IAF te ontzetten uit het lidmaatschap. Afhankelijk van de situatie, maar zeker als u werkt voor een OOB, informeert het IIA tevens het Bestuur / Audit Commissie van uw organisatie over de ontzetting uit het lidmaatschap.

Is de inhoud van de ‘volledige toetsing’ en de SAIV gelijk?
Beide vormen van externe toetsing zijn gelijk als het gaat om het vaststellen van de conformiteit met alle IIA-normen (inclusief de daartoe te voeren gesprekken met stakeholders en de analyse en documentatie daarvan). Er is verschil in de wijze van uitvoering. Bij een SAIV worden meer activiteiten door de organisatie zelf worden gedaan, in de gedachte dat zo de kosten kunnen worden verlaagd t.o.v. de volledige externe toetsing. Het eigen onderzoek (self assessment) wordt gevolgd door een independent validation door een extern toetser. Om de lagere kosten te realiseren is het belangrijk vooraf goed met de independent validator af te stemmen over de taakverdeling en de op te leveren stukken.

Het werkveld van de internal auditor is behoorlijk divers: worden de daarbinnen gemaakte keuzes meegenomen in de kwaliteitstoetsing?
De scope die in de kwaliteitstoetsing wordt onderzocht, is breed. Getoetst wordt met name aan de in de Standaarden van het IIA gedefinieerde werkzaamheden van de Internal Audit Functie (IAF). De werkelijke scope van de IAF kan inderdaad variëren. Uit het Internal Audit Charter moet duidelijk blijken wat de werkzaamheden van de internal auditor inhouden. Bestuur en Audit Committee dienen ingestemd te hebben met een eventuele beperking van de scope. Afwijkingen ten opzichte van de definitie van Internal Audit van het IIA zullen echter altijd in het kwaliteitstoetsingsrapport vermeld worden.

Het kwaliteitsonderzoek betreft ook de dossiervorming door de interne auditfunctie. Hoe wordt daar in de praktijk mee omgegaan?
Het is van belang dat uit de audit dossiers op basis van “evidence” duidelijk wordt, welke audit werkzaamheden zijn uitgevoerd en de conclusies kunnen worden herleid uit de onderliggende evidence (de audittrail). Vanuit de professionaliteit van de IAF is, zeker met de toegenomen regel- en wetgeving, volledigheid van dossiervorming en transparantie van groot belang, waarbij het dossier ook dient om verantwoording af te kunnen leggen over het werk van de IAF.

Kan het kwaliteitsonderzoek leiden tot opmerkingen over het functioneren van de Audit Commissie van de Raad van Commissarissen?
Ja, dat kan. Het reglement van de Audit Commissie en het Charter van een IAF worden in het onderzoek betrokken. In deze documenten behoort namelijk de relatie tussen Internal Audit en de Audit Commissie vastgelegd te zijn. Als bijvoorbeeld geconstateerd wordt dat de Audit Commissie niet optimaal gebruikmaakt van de IAF dan zal dit zeker opgemerkt worden. Ook punten ter versterking van het functioneren van de Audit Commissie en de IAF zullen aan de orde kunnen komen.

Vragen over de werkwijze

Hoe kan ik mij het best voorbereiden op een kwaliteitsonderzoek?
Het beste kan dat met behulp van een self-assessment. De IIA Standaarden vereisen ook een periodieke interne toetsing; bij voorkeur wordt deze jaarlijks uitgevoerd; deze kan dan dienen als startpunt en input voor de externe toetsing. Voor de interne toetsing zijn verschillende mogelijkheden en hulpmiddelen. Een zeer bruikbaar tool voor de interne toetsing is het IA Ambition Model, ook omdat de resultaten daarvan, in de vorm van een ‘spiderweb’ en/of barchart geschikt zijn voor bespreking met de RvB en AC. Andere hulpmiddelen zijn het Document Oordeelsvorming, waarin de diverse Standaarden nader zijn geconcretiseerd, beschikbaar op de pagina Kwaliteitstoetsingen, en het handboek Quality Assurance, te bestellen bij IIA Nederland.

Wat is het tijdsbeslag voor mijn afdeling?
Dat hangt af van de vorm (in een SAIV doet de organisatie meer zelf) en van de mate waarin het Quality Assessment & Improvement Program (QA&IP) is ontwikkeld. Als er periodieke interne toetsingen plaatsvinden, kunnen deze worden gebruikt als input voor de externe toetsing. Hierbij wordt vermeld dat elke CAE eigenlijk al een goed gefundeerd inzicht in de inhoud en werking van het QA&IP en de eventuele tekortkomingen zou moeten hebben voordat een externe kwaliteitstoets start. Soms gebruiken CAE’s de toets om hier meer inzicht in te krijgen. Gebruikelijk is dat de CAE (en enkele direct betrokken internal auditors) tijdens de toetsing enkele dagdelen beschikbaar zijn. Daarnaast zullen diverse interviews met de stakeholders en internal auditors plaatsvinden en een aantal dossiers worden onderzocht, waarbij het van belang is dat de betrokken internal auditors beschikbaar zijn. In de planningsfase van de toetsing wordt de tijdsplanning nader gekwantificeerd. Het onderzoek ter plaatse duurt ongeveer een week.

In de kwaliteitstoetsing vinden interviews plaats met stakeholders zoals de Voorzitter Auditcommissie, CEO, CFO en soms de externe accountant. Wat is het nut daarvan?
Deze interviews geven de toetsers inzicht in het functioneren van een IAF vanuit het perspectief van belanghebbenden en andere assuranceproviders; daarbij hebben zij ook rollen in het goed laten functioneren van de IAF. 
In het algemeen verlenen stakeholders graag hun medewerking aan de interviews, omdat men overtuigd is van de toegevoegde waarde van de kwaliteitstoetsing en men graag ook eens van andere deskundigen hoort dat de interne auditors werken conform de geldende beroepsnormen.

Hoe wordt het aantal en de keuze van de dossiers voor de dossiercontrole bepaald?
Het aantal te beoordelen dossiers dient in een redelijke verhouding te staan tot de omvang van de IAF die wordt getoetst, en representatief te zijn voor de diverse soorten werkzaamheden (soorten opdrachten en gebieden van onderzoek) die worden uitgevoerd. Het merendeel van de te beoordelen opdrachten dient recent te zijn, d.w.z. afgerond in een periode van maximaal 5 maanden voorafgaand aan het toetsingsmoment. De toetsing dient immers een beeld te geven van de huidige (en de verwachte toekomstig) werkwijze. Op basis van lokale wetgeving kan het noodzakelijk zijn dat er bepaalde minimale aantallen worden beoordeeld.

Ter indicatie: er wordt uitgegaan van een minimum van 3 voor kleine IAF’s. Dat minimum neemt toe naarmate de omvang van de IAF toeneemt. Voor IAF met meer dan 15 FTE wordt uitgegaan van een minimum van 8 en een maximum van 25.

Vragen over (verspreiding van de) Resultaten

Ik ben het niet eens met de conclusie van de kwaliteitstoetsing. Hoe kan ik daar bezwaar tegen aantekenen?
Vanzelfsprekend bespreekt u uw bezwaren in eerste instantie met de externe kwaliteitstoetser. Daarna kunt u dit kenbaar maken bij het TKT. Het TKT zal uw bezwaar nader onderzoeken. Tenslotte kunt u ook bij het IIA Bestuur een klacht indienen. Iedere belanghebbende kan tevens een klacht indienen bij de Raad van Tucht van IIA Nederland, die belast is met de behandeling van klachten tegen leden van IIA Nederland overeenkomstig het Reglement op de Tuchtrechtspraak voor leden van IIA Nederland.

Op welke wijze komt de conclusie tot stand?
De zwaarte van de bevindingen van de toetsing is bepalend. Het TKT ziet toe op een consistente uitvoering van kwaliteitstoetsingen. Om deze vooraf zoveel mogelijk te borgen, heeft het TKT het Document Oordeelsvorming uitgegeven. Dit is primair bedoeld als instrument voor de toetsers (zodat iedereen een vergelijkbare situatie, gelijk waardeert), maar is beschikbaar voor alle leden.

Hoe verloopt de distributie van het rapport?
Het rapport wordt door de toetsende partij verzonden aan het hoofd van de IAF (CAE). Er wordt verwacht dat deze, conform de Standaarden, voor de verdere interne distributie zorgt, bijvoorbeeld naar de CEO, de Audit Commissie en andere interne betrokkenen en het rapport. Daarnaast dient de CAE, ongeacht het resultaat, het rapport binnen één maand na de afronding van de kwaliteitstoetsing naar het TKT te sturen, zodat TKT het proces van de toetsing kan beoordelen. Indien het TKT vragen heeft over de gehanteerde werkwijze of uitkomst, kan zij contact opnemen met de toetsende partij e/o CAE. De CAE van de getoetste organisatie wordt over dit voornemen geïnformeerd door het TKT. Omdat in het uiterste geval dit nog kan leiden tot aanvullende werkzaamheden of enige nuancering van het resultaat, is de aanbeveling dat het rapport z.s.m. en wellicht zelfs voor de interne verspreiding aan het TKT wordt gestuurd.

Worden de resultaten van de onderzoeken (in geanonimiseerde vorm) met derden gedeeld?
Op de website van IIA worden de positieve uitkomsten (alleen de overall conclusie) van de externe kwaliteitstoetsingen gepubliceerd, met het jaar waarin de IAF de externe kwaliteitstoetsing heeft ondergaan. De lijst is via het niet afgeschermde deel van de IIA-website te raadplegen. Daarbij worden de resultaten anoniem en zonder verwijzing naar de organisatie periodiek door het IIA geanalyseerd in het kader van de rapportage ‘Leerpunten uit de Kwaliteitstoetsingen’. Indien een derde daaraan meewerkt wordt daartoe een strikte non-disclosure overeenkomst ondertekend door alle betrokkenen.

Vragen over een negatieve uitkomst

Wat zijn de gevolgen wanneer een oordeel “voldoet niet” of “voldoet gedeeltelijk” wordt verkregen?
In dat geval zal de IAF de gelegenheid krijgen om een verbeterplan op te stellen en te implementeren. In geval van “Voldoet niet” dient binnen 12 maanden een volledige hertoetsing plaats te vinden. In geval van “Voldoet gedeeltelijk” dient binnen 12 maanden een hertoetsing van de verbeterpunten te bevestigen dat de IAF alsnog “Voldoet”.

En als de uitkomst van de hertoetsing weer “voldoet niet” of “voldoet gedeeltelijk” is?
Als na de hertoetsing het oordeel nog steeds “Voldoet niet” of ‘Voldoet gedeeltelijk’ is, zal het TKT dit melden aan het Bestuur van IIA. In het bestuur zal besluitvorming plaats vinden over de te nemen maatregelen. In het uiterste geval zal de maatregel bestaan uit de ontzetting uit het lidmaatschap van de betreffende leden / IAF. Het Bestuur van IIA zal de CAE in kennis stellen van deze maatregel. Afhankelijk van de situatie, maar zeker als u werkt voor een OOB, informeert het IIA ook het Bestuur en Audit Commissie van uw organisatie over de ontzetting uit het lidmaatschap.

Wat gebeurt er als ik lid van het IIA, de toetsing aan het normenkader van het IIA niet laat uitvoeren? 
Wat gebeurt er als ik als RA en/of RE én lid van het IIA, de toetsing aan het normenkader van het IIA niet laat uitvoeren? 
Vanzelfsprekend zal dan eerst overleg plaatsvinden over de achtergronden, van u en van de verplichte toetsing aan het normenkader van het IIA. Indien u een toetsing aan het IIA-normenkader blijft weigeren, terwijl dit wel als verplichting volgt uit de Standaarden, zal het IIA-bestuur de leden van de IAF ontzetten uit het lidmaatschap. Afhankelijk van de situatie, maar zeker als u werkt voor een OOB, informeert het IIA tevens het Bestuur / Audit Commissie van uw organisatie over de ontzetting uit het lidmaatschap. 
Indien u tevens RA en/of RE ben, zal het IIA ook de NBA en/of NOREA hierover informeren.