Samenvatting Internal Auditing
1 – Ontwikkelingen in en rondom organisatie
1.1 – Ontwikkelingen in het besturen van organisaties
Om zich naar externe partijen te kunnen verantwoorden over de mate van ‘in control’ zijn heeft de raad
van bestuur behoefte aan informatie van de verschillende management niveaus.
Besturen, beheersen, verantwoording afleggen en toezicht houden moet in essentie naar twee
invalshoeken worden gekeken:
• External governance: marktaandeel, groeimogelijkheden, duurzaamheid, productrange en
innovatief
• Interne besturing en beheersing: ook wel internal governance; het geheel van de bestuurlijke
verhoudingen tussen de raad van bestuur en het management van de operationele eenheden.
Doel systeem internal governance = Om de waarde van de onderneming op een zo efficiënt mogelijke
wijze te realiseren onder borging van de onderneming als going concern.
Interne sturing staat vooral in het teken van:
• Realiseren van het complex aan doelstellingen
• Inventariseren en managen van risico’s
• Voldoen aan externe wet en regelreving
• Maken van keuzen met betrekking tot tight control en loose contol
• Doorvoeren van besturingsmodellen zoals control self-assessment
• Het op top niveau verkrijgen van informatie over het beheersen van de processen
• Doorvoeren van ‘in control statements’
• Informeren van en afleggen verantwoording aan de toezichthouders
• Vermogen om beter te kunnen inspelen op de ontwikkelingen die zich in de omgeving voordoen
• Beschikken over mechanismen om continu te kunnen leren en verbeteren
Procesbenadering = dat de voortbrenging van een product in een (primair) proces zo veel mogelijk
onder de verantwoordelijkheid van 1 functionaris valt. De procesgerichte benadering maakt het
mogelijk alle beheersvraagstukken van een proces in hun onderlinge samenhang te beschouwen en het
geheel aan beheersmaatregelen zo effectief en efficiënt mogelijk op elkaar af te stemmen.
Integraal management = als het lijn management binnen de door de raad van bestuur gestelde centrale
kaders verantwoordelijk is voor een overeengekomen set beheers aspecten. Diegene is dus
verantwoordelijk voor een bedrijfsproces, een markt, een product of een product-marktcombinatie.
Bij een beursgang krijgt men te maken met:
• Nieuwe stakeholders
• Aanpak met investeerders
• Eis tot transparantie
• Noodzaak voor waarde creatie door business units
• Betrouwbare informatievoorziening is een voorwaarde voor de noodzakelijk kwaliteit van
externe verantwoording
,Loose control = bepaalde risico’s mogen worden gelopen en ondernemerschap is nodig, een relatief
grote autonomie.
Tight control = strakke besturingsvorm voor die aspecten van de bedrijfsvoering die de toegevoegde
waarde van het samenwerkingsverband vertegenwoordigen
Binnen de centraal vastgestelde en verplicht opgelegde (tight controls) kaders behoren de kwaliteit van
de procesinrichting, de wijze van structurering van taken en de methode van aansturing en beheersing
van de bedrijfsprocessen tot de verantwoordelijkheid van het lijnmanagement.
Als consequentie van de integraal management gedachten zijn vooral de taken van de decentrale staven
geleidelijk aan in de lijn opgeschoven.
De centraal niveau benodigde stafcapaciteit kan worden ingekrompen, daar staan wel hogere eisen op
het gebied van kennis, ervaring en houding aan de ‘afgeslankte’ stafeenheid tegenover.
Enterprise Risk Management (ERM) = organisatie brede aanpak om onzekerheden en risico’s top-down
te identificeren, beoordelen, communiceren en te managen op een koste efficiënte manier.
Het filteren van risico’s volgens Reding (2009):
• De meest cruciale risico’s voor de organisatie moeten worden beheerst via entity-level controls
• Risico’s die niet worden afgevangen door de entity-level controls, moeten worden beheerst via:
o Processlevel controls = maatregelen die de proceseigenaar treft om het proces zodanig
te laten functioneren dat het gewenste eindresultaat beheerst kan worden
o Transaction level controls = controls ingebouwd in het proces (functiescheiding,
procedurevoorschriften etc)
• Aanvullende maatregelen (mitigating and compensating controls) te treffen om de resterende
risico’s te mitigeren.
• In theorie zullen er altijd wat kleine risico’s overblijven die kunnen worden geacepteerd omdat
ze kleiner zijn dan de risico bereidheid (risk appetite) van de organisatie
,Voordelen van een adequaat ERM systeem:
• Verkrijgen van inzicht in de belangrijkste organisatiebrede risico’s en in de gerelateerde
beheersmaatregelen
• Verkrijgen van inzicht in de effectiviteit en volledigheid van de belangrijkste
beheersmaatregelen die de realisatie van de doelstellingen moeten waarborgen
• Bieden van een basis voor de introductie van ‘in control statement’
• Transparant maken van de intenties van de raad van bestuur
• Implementatie van gestructureerde rapportages over de belangrijkste risico’s
• Verbeteren van het leervermogen binnen de organsatie
De rollen van internal audit bij risicomanagement zijn opgesteld door het Institute of Internal Auditors
UK met een ‘waaier’. Hierin staan de rollen voor internal audit
Vormen van zelforganisatie:
• Het integreren van maatregelen van interne contorle
• Het instellen van peer reviewing
• Het invoeren van opvattingen over sociale controle
• Het bevorderen van zelfcontrole
‘In control’ = de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiente
realisatie van strategische en operationele doelstellingen alsmede de manier waarop hierover op een
open wijze worden gecommuniceerd en verantwoording wordt afgelegd (Driessen, Kamstra &
Molenkamp 2003).
Horizontaal toezicht = de invloed van die stakeholders (raad van toezicht) zelf kunnen uitoefenen op die
organisaties, waarvoor de overheid in zekere mate verantwoordelijkheid draagt.
Verticaal toezicht = oefent de overheid meer invloed uit. Start bij de minister en eindigt met het
uitvoeren van inspecties ‘te velde’.
Met name in de financiële sector zien we dat naast stafafdelingen ook specifieke committees in het
leven worden geroepen three lines of defence komen bij elkaar om de kwaliteit van de risk & control
frameworks te bewaken.
, 1.2 – Corporate Governance
Het resultaat van de inspanningen van corporate governance commissies hebben ertoe geleid dat er
meer aandacht bij de raad van bestuur voor de inzichtelijkheid en effectiviteit van de besturings- en
beheersstructuur.
Corporate governance = de beheersing van de organisatie met als uiteindelijke doel de continuïteit te
kunnen waarborgen. Dus de wijze waarop, en de mate waarin, diverse participanten invloed kunnen
uitoefenen op het besluitvormingsproces in de onderneming.
Sarbanes-Oxley Act = van toepassing op alle ondernemingen die verplicht zijn kwartaal en
jaarrapportages in te dienen bij de SEC.
1.3 Toetsing van de infrastructuur van de organisatie
De internal auditfunctie is aldus gericht op de kwaliteit van het aanpassingsvermogen van de
organisatie.
1.4 Reikwijdte en legitimatie van de auditfunctie
De reikwijdte van de onderzoeken wordt in principe bepaald door de besturingsfilosofie en door
datgene wat in de centrale beheerskaders is opgenomen.
Internal auditing is gericht op het toetsen van de kwaliteit van de beheersing van de organisatie en
houdt zich bezig met de (in)consequenties in of de effectiviteit en efficiency van het geheel aan
beheersmaatregelen.
Elke uit te voeren internal audit begint met het formuleren van de doestelingen van dat onderzoek.
1 – Ontwikkelingen in en rondom organisatie
1.1 – Ontwikkelingen in het besturen van organisaties
Om zich naar externe partijen te kunnen verantwoorden over de mate van ‘in control’ zijn heeft de raad
van bestuur behoefte aan informatie van de verschillende management niveaus.
Besturen, beheersen, verantwoording afleggen en toezicht houden moet in essentie naar twee
invalshoeken worden gekeken:
• External governance: marktaandeel, groeimogelijkheden, duurzaamheid, productrange en
innovatief
• Interne besturing en beheersing: ook wel internal governance; het geheel van de bestuurlijke
verhoudingen tussen de raad van bestuur en het management van de operationele eenheden.
Doel systeem internal governance = Om de waarde van de onderneming op een zo efficiënt mogelijke
wijze te realiseren onder borging van de onderneming als going concern.
Interne sturing staat vooral in het teken van:
• Realiseren van het complex aan doelstellingen
• Inventariseren en managen van risico’s
• Voldoen aan externe wet en regelreving
• Maken van keuzen met betrekking tot tight control en loose contol
• Doorvoeren van besturingsmodellen zoals control self-assessment
• Het op top niveau verkrijgen van informatie over het beheersen van de processen
• Doorvoeren van ‘in control statements’
• Informeren van en afleggen verantwoording aan de toezichthouders
• Vermogen om beter te kunnen inspelen op de ontwikkelingen die zich in de omgeving voordoen
• Beschikken over mechanismen om continu te kunnen leren en verbeteren
Procesbenadering = dat de voortbrenging van een product in een (primair) proces zo veel mogelijk
onder de verantwoordelijkheid van 1 functionaris valt. De procesgerichte benadering maakt het
mogelijk alle beheersvraagstukken van een proces in hun onderlinge samenhang te beschouwen en het
geheel aan beheersmaatregelen zo effectief en efficiënt mogelijk op elkaar af te stemmen.
Integraal management = als het lijn management binnen de door de raad van bestuur gestelde centrale
kaders verantwoordelijk is voor een overeengekomen set beheers aspecten. Diegene is dus
verantwoordelijk voor een bedrijfsproces, een markt, een product of een product-marktcombinatie.
Bij een beursgang krijgt men te maken met:
• Nieuwe stakeholders
• Aanpak met investeerders
• Eis tot transparantie
• Noodzaak voor waarde creatie door business units
• Betrouwbare informatievoorziening is een voorwaarde voor de noodzakelijk kwaliteit van
externe verantwoording
,Loose control = bepaalde risico’s mogen worden gelopen en ondernemerschap is nodig, een relatief
grote autonomie.
Tight control = strakke besturingsvorm voor die aspecten van de bedrijfsvoering die de toegevoegde
waarde van het samenwerkingsverband vertegenwoordigen
Binnen de centraal vastgestelde en verplicht opgelegde (tight controls) kaders behoren de kwaliteit van
de procesinrichting, de wijze van structurering van taken en de methode van aansturing en beheersing
van de bedrijfsprocessen tot de verantwoordelijkheid van het lijnmanagement.
Als consequentie van de integraal management gedachten zijn vooral de taken van de decentrale staven
geleidelijk aan in de lijn opgeschoven.
De centraal niveau benodigde stafcapaciteit kan worden ingekrompen, daar staan wel hogere eisen op
het gebied van kennis, ervaring en houding aan de ‘afgeslankte’ stafeenheid tegenover.
Enterprise Risk Management (ERM) = organisatie brede aanpak om onzekerheden en risico’s top-down
te identificeren, beoordelen, communiceren en te managen op een koste efficiënte manier.
Het filteren van risico’s volgens Reding (2009):
• De meest cruciale risico’s voor de organisatie moeten worden beheerst via entity-level controls
• Risico’s die niet worden afgevangen door de entity-level controls, moeten worden beheerst via:
o Processlevel controls = maatregelen die de proceseigenaar treft om het proces zodanig
te laten functioneren dat het gewenste eindresultaat beheerst kan worden
o Transaction level controls = controls ingebouwd in het proces (functiescheiding,
procedurevoorschriften etc)
• Aanvullende maatregelen (mitigating and compensating controls) te treffen om de resterende
risico’s te mitigeren.
• In theorie zullen er altijd wat kleine risico’s overblijven die kunnen worden geacepteerd omdat
ze kleiner zijn dan de risico bereidheid (risk appetite) van de organisatie
,Voordelen van een adequaat ERM systeem:
• Verkrijgen van inzicht in de belangrijkste organisatiebrede risico’s en in de gerelateerde
beheersmaatregelen
• Verkrijgen van inzicht in de effectiviteit en volledigheid van de belangrijkste
beheersmaatregelen die de realisatie van de doelstellingen moeten waarborgen
• Bieden van een basis voor de introductie van ‘in control statement’
• Transparant maken van de intenties van de raad van bestuur
• Implementatie van gestructureerde rapportages over de belangrijkste risico’s
• Verbeteren van het leervermogen binnen de organsatie
De rollen van internal audit bij risicomanagement zijn opgesteld door het Institute of Internal Auditors
UK met een ‘waaier’. Hierin staan de rollen voor internal audit
Vormen van zelforganisatie:
• Het integreren van maatregelen van interne contorle
• Het instellen van peer reviewing
• Het invoeren van opvattingen over sociale controle
• Het bevorderen van zelfcontrole
‘In control’ = de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiente
realisatie van strategische en operationele doelstellingen alsmede de manier waarop hierover op een
open wijze worden gecommuniceerd en verantwoording wordt afgelegd (Driessen, Kamstra &
Molenkamp 2003).
Horizontaal toezicht = de invloed van die stakeholders (raad van toezicht) zelf kunnen uitoefenen op die
organisaties, waarvoor de overheid in zekere mate verantwoordelijkheid draagt.
Verticaal toezicht = oefent de overheid meer invloed uit. Start bij de minister en eindigt met het
uitvoeren van inspecties ‘te velde’.
Met name in de financiële sector zien we dat naast stafafdelingen ook specifieke committees in het
leven worden geroepen three lines of defence komen bij elkaar om de kwaliteit van de risk & control
frameworks te bewaken.
, 1.2 – Corporate Governance
Het resultaat van de inspanningen van corporate governance commissies hebben ertoe geleid dat er
meer aandacht bij de raad van bestuur voor de inzichtelijkheid en effectiviteit van de besturings- en
beheersstructuur.
Corporate governance = de beheersing van de organisatie met als uiteindelijke doel de continuïteit te
kunnen waarborgen. Dus de wijze waarop, en de mate waarin, diverse participanten invloed kunnen
uitoefenen op het besluitvormingsproces in de onderneming.
Sarbanes-Oxley Act = van toepassing op alle ondernemingen die verplicht zijn kwartaal en
jaarrapportages in te dienen bij de SEC.
1.3 Toetsing van de infrastructuur van de organisatie
De internal auditfunctie is aldus gericht op de kwaliteit van het aanpassingsvermogen van de
organisatie.
1.4 Reikwijdte en legitimatie van de auditfunctie
De reikwijdte van de onderzoeken wordt in principe bepaald door de besturingsfilosofie en door
datgene wat in de centrale beheerskaders is opgenomen.
Internal auditing is gericht op het toetsen van de kwaliteit van de beheersing van de organisatie en
houdt zich bezig met de (in)consequenties in of de effectiviteit en efficiency van het geheel aan
beheersmaatregelen.
Elke uit te voeren internal audit begint met het formuleren van de doestelingen van dat onderzoek.
