De geschiedenis en evolutie van Internal Audit

De geschiedenis van Internal Audit is diepgeworteld in de ontwikkeling van (in eerste instantie) financiële en administratieve controles door de eeuwen heen. In dit artikel maken we een interessante tijdreis. Die tijdreis begint met de oorsprong van het woord ‘audire‘, wat in het Latijn ‘luisteren’ betekent, en eindigt bij de moderne rol van Internal Audit in het kader van de regelgeving vanuit DNB, de nieuwe Nederlandse Corporate Governance Code (CGC) en de Verklaring Omtrent Risicobeheersing (VOR). Als laatste gaan we nog kort in op het ‘ver-agilen’ van Internal Audit activiteiten. Reis je met ons mee? 

De oorsprong van het woord ‘audit’ ligt in het Latijnse ‘audire’, wat ‘luisteren’ betekent. Deze terminologie weerspiegelt de vroege praktijken van auditing, die voornamelijk gericht waren op het mondeling verifiëren van financiële informatie. Oorspronkelijk was auditing een proces waarbij mondelinge verslagen van financiële transacties werden aangehoord en gecontroleerd. Naarmate de tijd vorderde, evolueerde de praktijk van auditing van deze eenvoudige mondelinge rapportage naar meer gestructureerde en gedocumenteerde processen. 

In de oudheid werd later ook gebruik gemaakt van vastleggingen van boekhoudingen, voornamelijk in de vorm van kleitabletten en papyrusrollen. Deze documenten getuigen van de ontwikkelde boekhoudkundige praktijken die al in oude beschavingen zoals die van de Sumeriërs, Babyloniërs, Egyptenaren en later de Grieken en Romeinen bestonden. De kleitabletten uit Mesopotamië bijvoorbeeld, daterend van rond 3300 v.Chr., behoren tot de vroegste voorbeelden van geschreven boekhoudkundige records en omvatten gedetailleerde lijsten van goederen, transacties en inventarissen. Deze documenten zijn cruciaal voor het vastleggen en vervolgens controleren/auditen van de gegevens. Hoewel zichtbare tekenen van controles of auditing ontbreken, is het zeker dat die er waren. In veel gevallen wijzen de nauwgezetheid en systematiek van de vastleggingen namelijk op een vorm van controle en verificatie. In sommige oude samenlevingen waren er bijvoorbeeld functionarissen verantwoordelijk voor het controleren van de nauwkeurigheid van deze records, wat een vroege vorm van auditing vertegenwoordigt. 

Auditors in deze tijd hadden vaak aanzienlijke macht en verantwoordelijkheid, omdat zij de taak hadden de juistheid van financiële records te verifiëren en daarmee bedrog en corruptie tegen te gaan. 

Tijdens de middeleeuwen en de Renaissance, een periode gekenmerkt door de opkomst van handel en de vorming van machtige staten, evolueerde de praktijk van auditing aanzienlijk. In deze tijd werden meer gestructureerde methoden voor het bijhouden en controleren van rekeningen ontwikkeld, mede door de opkomst van dubbel boekhouden. 

Het boekhouden tijdens de periode van de Nederlandse Verenigde Oost-Indische Compagnie (VOC), die actief was van de 17e tot de 18e eeuw, was geavanceerd voor zijn tijd en speelde een cruciale rol in het succes van de onderneming. De VOC was een van de eerste bedrijven die gebruikmaakte van dubbel boekhouden, een methode die een meer accurate en gedetailleerde financiële administratie mogelijk maakte. Deze methode hielp bij het beheren van de complexe handels- en financiële activiteiten van de VOC, die betrekking hadden op meerdere continenten en een grote variëteit aan goederen. 

Het boekhoudsysteem van de VOC omvatte gedetailleerde journaals en grootboeken, die transacties registreerden zoals handelsaankopen, verkopen, scheepskosten, en winst- en verliesrekeningen. Deze nauwkeurige administratie was essentieel voor het beheren van de risico’s en winsten in de vaak onvoorspelbare omgeving van de internationale handel in die tijd.  

De industrialisatieperiode begon in de tweede helft van de 18e eeuw en duurde tot het begin van de 20e eeuw. De industrialisatieperiode bracht grote veranderingen met zich mee in de zakelijke wereld, wat leidde tot de ontwikkeling van moderne auditpraktijken. Deze veranderingen waren een reactie op de groeiende complexiteit van bedrijfsoperaties en de noodzaak van betrouwbaardere financiële rapportage. 

In de 20e eeuw onderging de praktijk van audit aanzienlijke veranderingen en werd ook gesproken over het verschil tussen External/Financial en Internal Audit (IA), waarbij de focus zich uitbreidde van louter financiële controles naar een meer geïntegreerde benadering van risicobeheer. Interne accountants ontwikkelden zich gaandeweg tot de hedendaagse interne/operational auditors met een brede focus op allerhande risicogebieden. In tegenstelling tot de klassieke/financieel gedreven external audit focus. Deze evolutie werd gedeeltelijk gedreven door veranderingen in de markt en industrienormen, waarbij een verschuiving plaatsvond van een documentgerichte naar een datagerichte aanpak, waardoor interne audit in staat werd gesteld technologie te benutten die het enterprise risk management (ERM) kon verbeteren​​. 

Een belangrijke mijlpaal in de geschiedenis van internal auditing is de oprichting van The Institute of Internal Auditors (IIA) in 1941 in de Verenigde Statenⁱⁱ. Het IIA wordt beschouwd als de mondiale stem en erkende autoriteit, leider, belangrijkste pleitbezorger en voornaamste opleider voor het beroep van internal auditing. De oprichting van het IIA markeerde een keerpunt in de professionalisering van internal auditing, met de ontwikkeling van professionele educatieve en ontwikkelingsmogelijkheden, standaarden en andere professionele praktijkrichtlijnen​​. Het Instituut van Internal Auditors (IIA) in Nederland is opgericht in 1968. Het recent toegenomen belang van Internal Audit in bijvoorbeeld de Nederlandse Corporate Governance code kan voor een belangrijk deel worden toegeschreven worden aan de activiteiten van het IIA. 

De Nederlandse Corporate Governance Code (CGC) van 2022 heeft de Internal Audit Functie (IAF) expliciet opgenomen als een essentieel onderdeel van risicomanagement binnen organisaties. Dit houdt in dat bedrijven nu worden aangemoedigd of zelfs verplicht zijn om een IAF in te richten, of anders adequate alternatieve maatregelen te nemen en deze te verantwoorden. Uit onderzoek van Bogstraⁱⁱⁱet al. (2020) blijkt dat sinds de herziening van de Code in 2016, steeds meer kleine beursfondsen (AMX & AScX) een IAF hebben ingericht. Echter, in 2020 had nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF​​. 

Voor organisaties die te klein zijn om een volledige IAF in te richten, biedt de CGC 2022 de mogelijkheid tot uitbesteding van de interne auditfunctie als een adequaat alternatief. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder concessies te doen aan de kwaliteit van de audit.  

De CGC 2022 is inhoudelijk een stap dichter bij de kwaliteitsstandaarden van het IIA, met name de International Professional Practices Framework (IPPF) standaarden en de recent uitgebrachte Global Internal Audit Standards (GIAS). De GIAS zijn ontwikkeld door het IIA en vervangt de IPPF van 2017. Dit nieuwe raamwerk is gestructureerd rond vijf domeinen en bevat 15 leidende principes die de kwaliteit en effectiviteit van interne auditdiensten wereldwijd bevorderen. De kernprincipes van integriteit, objectiviteit, competentie, professionele zorgvuldigheid, en vertrouwelijkheid zijn fundamenteel voor dit raamwerk. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen. 

De verwachting is dat het aantal Internal Audit Functies zal toenemen vanwege de aanpassingen in de Code die een Internal Audit Functie als essentieel onderdeel van de risicobeheersing aanwijzen.  

De Nederlandsche Bank (DNB) speelt een cruciale rol in het toezicht op de financiële sector in Nederland, waarbij het zich richt op de soliditeit van financiële instellingen en de stabiliteit van het financiële systeem. Een belangrijk instrument in dit toezicht is de uitgifte van good practices, zoals de “Good Practice Informatiebeveiliging 2023” (GP IB 2023), die bedoeld zijn om financiële instellingen te begeleiden bij het inrichten van hun interne beheersingspraktijken, met een specifieke focus op informatiebeveiliging. De GP IB 2023 bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. Echter, de herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s. 

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen vastgesteld in de 2019-versie. Ook hier is duidelijk de toename van belang van Internal Audit te merken. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen, vooral in het licht van de steeds evoluerende cyberdreigingen en technologische ontwikkelingen. 

Deze specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen. Internal Audit speelt een essentiële rol in het waarborgen dat de instellingen niet alleen voldoen aan de huidige standaarden van informatiebeveiliging maar ook proactief anticiperen op en zich aanpassen aan toekomstige uitdagingen. 

De Verklaring Omtrent Risicobeheersing (VOR) is een recente toevoeging aan de Nederlandse Corporate Governance Code, ontstaan uit de behoefte om organisaties beter voor te bereiden op de toenemende risico’s die ze tegenwoordig ervaren. Deze risico’s omvatten financiële risico’s, cyberrisico’s, en de naleving van wet- en regelgeving, die allemaal significante gevolgen kunnen hebben voor een organisatie.De nieuwe VOR benadrukt de cruciale rol van de Interne Audit Functie (IAF) binnen organisaties.  

Volgens principe 1.3 van de corporate governance code heeft de IAF de verantwoordelijkheid om de opzet en werking van de interne risicobeheersings- en controlesystemen te beoordelen. Deze beoordeling is van fundamenteel belang, aangezien het directe inzichten verschaft aan het bestuur voor de samenstelling van de VOR. De IAF functioneert hierbij als een onafhankelijke en objectieve partij die niet alleen de effectiviteit van de bestaande systemen evalueert, maar ook aanbevelingen doet voor verbeteringen. Deze rol gaat verder dan enkel het controleren van naleving; het omvat ook het adviseren over en bijdragen leveren aan de verbetering van risicomanagement, controle en governance processen. De IAF biedt daarmee een waardevolle bijdrage aan de algehele risicobeheersingscultuur binnen de organisatie, waardoor deze niet alleen compliant is, maar ook veerkrachtiger en aanpasbaar aan veranderende omstandigheden. 

In de nieuwe VOR wordt de rol van de IAF nog belangrijker. Naast het beoordelen van financiële verslaggevingsrisico’s, wat al in de code was opgenomen, moet er nu ook aandacht besteed worden aan duurzaamsheidsverslaggeving en de beheersing van operationele en compliance risico’s. Deze risico’s vormen traditioneel een belangrijk object van internal audits. De in de nieuwe VOR opgenomen grondige beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen is bij uitstek het domein en de competentie van de IAF. Doordat de IAF gedurende het jaar al aandacht besteedt aan de belangrijkste risico’s, is de IAF de logische partij om deze grondige beoordeling uit te voeren. 

In een tijdperk waarin de zakelijke omgeving sneller dan ooit evolueert, staan Internal Audit Functies voor de uitdaging hun auditmethoden aan te passen om relevant en effectief te blijven. Het adopteren van Agile-principes biedt een goede oplossing om het auditproces nog flexibeler en responsiever te maken. Agile Internal Audit benadrukt de waarde van snelle aanpassingen, continue feedback en nauwere samenwerking met stakeholders. Deze aanpak moedigt het gebruik van sprints aan, waarbij auditprioriteiten worden afgestemd op de meest significante risico’s en kansen voor de organisatie. Door kortere auditcycli te implementeren, kunnen auditors tijdig inzichten leveren die de bedrijfsvoering (en snelle verbetering daarvan) direct ondersteunen. Dit Agile paradigma transformeert de Internal Audit Functies van een statische naar een dynamische functie, waarmee het niet alleen de risicobeheersing verbetert, maar ook strategische waarde toevoegt aan de organisatie. 

De uitdaging voor alle Internal Audit Functies zal zijn om, in het licht van agile concepten en technieken, toch nog steeds compliant te blijven aan de Global Internal Audit Standaarden van het IIA. Dat is goed mogelijk, maar vraagt wel specifieke kennis en aandacht. 

Dankjewel dat je deze tijdreis met ons maakte. Overigens verwachten we dat de tijdreis hier niet definitief eindigt. Het vakgebied zal zich namelijk blijven ontwikkelen. Wij zullen die ontwikkeling gepassioneerd blijven volgen en daaraan gerichte bijdragen blijven leveren. 
 
Wil je het met ons hebben over een moderne invulling van de Interne Audit Functie, aarzel dan niet! De bevlogen professionals van ARC People helpen u graag bij het snel en effectief beheersen van de risico’s. Op meerdere risicogebieden en in verschillende vormen, zoals interim collega’s, trainees, co-sourcing, outsourcing en werving. Ook met actuele onderwerpen zoals DORA/NIS2 en ESG helpen we u graag op weg. Meer weten? Neem contact op >
 
Carlo Bavius, Associate Partner 
Sander van Oosten, Partner