Skip to main content

De geschiedenis en evolutie van Internal Audit

19 februari 2024

Inleiding

De geschiedenis van Internal Audit is diepgeworteld in de ontwikkeling van (in eerste instantie) financiële en administratieve controles door de eeuwen heen. In dit artikel maken we een interessante tijdreis. Die tijdreis begint met de oorsprong van het woord ‘audire‘, wat in het Latijn ‘luisteren’ betekent, en eindigt bij de moderne rol van Internal Audit in het kader van de regelgeving vanuit DNB, de nieuwe Nederlandse Corporate Governance Code (CGC) en de Verklaring Omtrent Risicobeheersing (VOR). Als laatste gaan we nog kort in op het ‘ver-agilen’ van Internal Audit activiteiten. Reis je met ons mee?

Oorsprong van het woord ‘Audit’ en vroege voorbeelden van auditing

De oorsprong van het woord ‘audit’ ligt in het Latijnse ‘audire’, wat ‘luisteren’ betekent. Deze terminologie weerspiegelt de vroege praktijken van auditing, die voornamelijk gericht waren op het mondeling verifiëren van financiële informatie. Oorspronkelijk was auditing een proces waarbij mondelinge verslagen van financiële transacties werden aangehoord en gecontroleerd. Naarmate de tijd vorderde, evolueerde de praktijk van auditing van deze eenvoudige mondelinge rapportage naar meer gestructureerde en gedocumenteerde processen.

In de oudheid werd later ook gebruik gemaakt van vastleggingen van boekhoudingen, voornamelijk in de vorm van kleitabletten en papyrusrollen. Deze documenten getuigen van de ontwikkelde boekhoudkundige praktijken die al in oude beschavingen zoals die van de Sumeriërs, Babyloniërs, Egyptenaren en later de Grieken en Romeinen bestonden. De kleitabletten uit Mesopotamië bijvoorbeeld, daterend van rond 3300 v.Chr., behoren tot de vroegste voorbeelden van geschreven boekhoudkundige records en omvatten gedetailleerde lijsten van goederen, transacties en inventarissen. Deze documenten zijn cruciaal voor het vastleggen en vervolgens controleren/auditen van de gegevens. Hoewel zichtbare tekenen van controles of auditing ontbreken, is het zeker dat die er waren. In veel gevallen wijzen de nauwgezetheid en systematiek van de vastleggingen namelijk op een vorm van controle en verificatie. In sommige oude samenlevingen waren er bijvoorbeeld functionarissen verantwoordelijk voor het controleren van de nauwkeurigheid van deze records, wat een vroege vorm van auditing vertegenwoordigt.

Andere voorbeelden van auditing in oude beschavingen:

  • Het Oude Egypte: In het Oude Egypte waren er functionarissen bekend als ‘scribes’ die verantwoordelijk waren voor het opnemen en controleren van de inkomsten en uitgaven van de staat en tempels. Zij voerden audits uit door het controleren van graanopslagen en andere voorraden, en zorgden ervoor dat de hoeveelheden overeenkwamen met de opgetekende records. Dit soort auditing was essentieel voor het beheer van de grote landbouw- en bouwprojecten van het rijk, zoals de bouw van piramides en tempels.
  • Het Oude Griekenland: In het klassieke Griekenland bestonden er openbare functionarissen, bekend als ‘logistai’, die belast waren met het auditen van andere ambtenaren. Na het voltooien van hun termijn moesten ambtenaren een gedetailleerd verslag van hun financiële handelingen voorleggen aan deze logistai, die de verslagen vervolgens controleerden op juistheid en integriteit.
  • Het Romeinse Rijk: In het Romeinse Rijk werden auditors of ‘quaestors’ aangesteld om toezicht te houden op de financiële zaken van de staat. Deze quaestors hadden de taak om inkomsten en uitgaven te registreren en te zorgen voor de integriteit van de staatsfinanciën. Hun rol omvatte zowel het verzamelen van belastingen als het controleren van de overheidsuitgaven.
  • Auditors in deze tijd hadden vaak aanzienlijke macht en verantwoordelijkheid, omdat zij de taak hadden de juistheid van financiële records te verifiëren en daarmee bedrog en corruptie tegen te gaan.

Ontwikkeling van auditing door de middeleeuwen en Renaissance

Tijdens de middeleeuwen en de Renaissance, een periode gekenmerkt door de opkomst van handel en de vorming van machtige staten, evolueerde de praktijk van auditing aanzienlijk. In deze tijd werden meer gestructureerde methoden voor het bijhouden en controleren van rekeningen ontwikkeld, mede door de opkomst van dubbel boekhouden.

Voorbeelden van Auditing in de middeleeuwen en Renaissance:

  • Luca Pacioli en Dubbel Boekhouden: In 1494 publiceerde de Italiaanse wiskundige Luca Pacioli zijn werk ‘Summa de arithmetica, geometria, proportioni et proportionalita’i, dat een gedetailleerde beschrijving bevatte van het dubbel boekhouden. Dit systeem verbeterde de nauwkeurigheid van de financiële administratie.
  • De Hanze: De Hanze, een handelsnetwerk dat Noord-Europa in de middeleeuwen domineerde, maakte gebruik van gedetailleerde boekhoudkundige systemen. Handelaars en steden die deel uitmaakten van de Hanze, hielden nauwkeurige boeken bij van hun transacties. Audits werden uitgevoerd om de betrouwbaarheid van deze financiële administraties te waarborgen.
  • Engelse overheidsinstellingen: In Engeland, tijdens de late middeleeuwen en de vroege Renaissance, werd de ‘Exchequer’ verantwoordelijk voor het beheren van de overheidsfinanciën. Ambtenaren van de Exchequer voerden audits uit om ervoor te zorgen dat belastingen correct werden geïnd en uitgegeven, en om fraude of wanbeheer aan het licht te brengen.
  • Katholieke kerk: In de middeleeuwen speelde de Katholieke kerk een prominente rol in Europa. Kloosters en kerkelijke instellingen hadden uitgebreide landbezittingen en rijkdommen. Om de financiën te beheren, werden regelmatige audits uitgevoerd. Deze controles waren bedoeld om de juistheid van de financiële administratie te verzekeren en om corruptie binnen de kerkelijke hiërarchie tegen te gaan.
  • Stedelijke overheden: In stadsrepublieken zoals Venetië en Florence werden auditors aangesteld om de boekhouding van de stad te controleren.

De opkomst van moderne auditing

Het boekhouden tijdens de periode van de Nederlandse Verenigde Oost-Indische Compagnie (VOC), die actief was van de 17e tot de 18e eeuw, was geavanceerd voor zijn tijd en speelde een cruciale rol in het succes van de onderneming. De VOC was een van de eerste bedrijven die gebruikmaakte van dubbel boekhouden, een methode die een meer accurate en gedetailleerde financiële administratie mogelijk maakte. Deze methode hielp bij het beheren van de complexe handels- en financiële activiteiten van de VOC, die betrekking hadden op meerdere continenten en een grote variëteit aan goederen.

Het boekhoudsysteem van de VOC omvatte gedetailleerde journaals en grootboeken, die transacties registreerden zoals handelsaankopen, verkopen, scheepskosten, en winst- en verliesrekeningen. Deze nauwkeurige administratie was essentieel voor het beheren van de risico’s en winsten in de vaak onvoorspelbare omgeving van de internationale handel in die tijd.

De industrialisatieperiode begon in de tweede helft van de 18e eeuw en duurde tot het begin van de 20e eeuw. De industrialisatieperiode bracht grote veranderingen met zich mee in de zakelijke wereld, wat leidde tot de ontwikkeling van moderne auditpraktijken. Deze veranderingen waren een reactie op de groeiende complexiteit van bedrijfsoperaties en de noodzaak van betrouwbaardere financiële rapportage.

Belangrijke ontwikkelingen in de industrialisatieperiode

  • Opkomst van grootbedrijven: De industrialisatie leidde tot de opkomst van grootbedrijven met uitgebreide financiële netwerken. Dit maakte de behoefte aan formele auditprocessen en -procedures duidelijk, om investeerders en aandeelhouders te verzekeren van de juistheid van de financiële verslaggeving.
  • Introductie van wetgeving voor bedrijven: In reactie op de toenemende complexiteit van het bedrijfsleven en financiële schandalen, werden in verschillende landen wetten aangenomen om de financiële transparantie en verantwoording van bedrijven te verhogen. Een voorbeeld is de “Joint Stock Companies Act” in het Verenigd Koninkrijk, die in 1844 werd ingevoerd en waarin de verplichting van jaarlijkse audits werd vastgelegd.
  • Oprichting van professionele auditorganisaties: De behoefte aan gespecialiseerde kennis in auditing leidde tot de oprichting van professionele organisaties. Een vroeg voorbeeld is het Institute of Chartered Accountants in England and Wales (ICAEW), opgericht in 1880. Deze organisaties stelden normen vast voor de auditpraktijk en boden training en certificering aan voor auditors.
  • Ontwikkeling van auditing technieken: Gedurende deze periode werden ook nieuwe auditing technieken ontwikkeld. De focus verschoof van een eenvoudige verificatie van transacties naar een meer analytische benadering, waarbij de effectiviteit van interne controles en het risicomanagement van een organisatie werden beoordeeld.

De evolutie van internal audit in de 20e eeuw

In de 20e eeuw onderging de praktijk van audit aanzienlijke veranderingen en werd ook gesproken over het verschil tussen External/Financial en Internal Audit (IA), waarbij de focus zich uitbreidde van louter financiële controles naar een meer geïntegreerde benadering van risicobeheer. Interne accountants ontwikkelden zich gaandeweg tot de hedendaagse interne/operational auditors met een brede focus op allerhande risicogebieden. In tegenstelling tot de klassieke/financieel gedreven external audit focus. Deze evolutie werd gedeeltelijk gedreven door veranderingen in de markt en industrienormen, waarbij een verschuiving plaatsvond van een documentgerichte naar een datagerichte aanpak, waardoor interne audit in staat werd gesteld technologie te benutten die het enterprise risk management (ERM) kon verbeteren​​.

Een belangrijke mijlpaal in de geschiedenis van internal auditing is de oprichting van The Institute of Internal Auditors (IIA) in 1941 in de Verenigde Statenii. Het IIA wordt beschouwd als de mondiale stem en erkende autoriteit, leider, belangrijkste pleitbezorger en voornaamste opleider voor het beroep van internal auditing. De oprichting van het IIA markeerde een keerpunt in de professionalisering van internal auditing, met de ontwikkeling van professionele educatieve en ontwikkelingsmogelijkheden, standaarden en andere professionele praktijkrichtlijnen​​. Het Instituut van Internal Auditors (IIA) in Nederland is opgericht in 1968. Het recent toegenomen belang van Internal Audit in bijvoorbeeld de Nederlandse Corporate Governance code kan voor een belangrijk deel worden toegeschreven worden aan de activiteiten van het IIA.

De volgende voorbeelden van evolutie van internal auditing zijn waarneembaar in de 20e eeuw:

  • Van financiële informatie naar geïntegreerde audits: Internal auditing is verschoven van een focus op het beoordelen van financiële informatie naar een meer geïntegreerde benadering, waarbij auditors zekerheid bieden over een combinatie van financiële, operationele, IT- en compliance-audits. Integrated audits stellen internal auditors in staat om informatie vanuit verschillende perspectieven te beoordelen, waarbij zij de gebruikte systemen, ingevoerde gegevens en opgeslagen informatie in hun nauwkeurigheid en de efficiëntie van de gevolgde procedures beoordelen.
  • Toename van het belang van IT-Audits: Met de opkomst van informatietechnologie is IT-auditing een steeds belangrijker onderdeel geworden van de internal auditfunctie. IT-audits richten zich op de beoordeling van de algemene en specifieke IT-controles binnen een organisatie.
  • Groeiende nadruk op risicomanagement: De rol van internal auditing in risicomanagement is in de loop der tijd aanzienlijk gegroeid. Auditors beoordelen nu niet alleen de effectiviteit van risicobeheersingsprocessen, maar bieden ook inzichten en aanbevelingen om deze processen te verbeteren.
  • Uitbreiding naar Compliance en Governance: Naast financiële controles, spelen internal auditors een cruciale rol in het verzekeren van naleving van wet- en regelgeving en het ondersteunen van goede governance binnen organisaties.

Internal Audit en de Nederlandse Corporate Governance Code

De Nederlandse Corporate Governance Code (CGC) van 2022 heeft de Internal Audit Functie (IAF) expliciet opgenomen als een essentieel onderdeel van risicomanagement binnen organisaties. Dit houdt in dat bedrijven nu worden aangemoedigd of zelfs verplicht zijn om een IAF in te richten, of anders adequate alternatieve maatregelen te nemen en deze te verantwoorden. Uit onderzoek van Bogstraiiiet al. (2020) blijkt dat sinds de herziening van de Code in 2016, steeds meer kleine beursfondsen (AMX & AScX) een IAF hebben ingericht. Echter, in 2020 had nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF​​.

Voor organisaties die te klein zijn om een volledige IAF in te richten, biedt de CGC 2022 de mogelijkheid tot uitbesteding van de interne auditfunctie als een adequaat alternatief. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder concessies te doen aan de kwaliteit van de audit.

De CGC 2022 is inhoudelijk een stap dichter bij de kwaliteitsstandaarden van het IIA, met name de International Professional Practices Framework (IPPF) standaarden en de recent uitgebrachte Global Internal Audit Standards (GIAS). De GIAS zijn ontwikkeld door het IIA en vervangt de IPPF van 2017. Dit nieuwe raamwerk is gestructureerd rond vijf domeinen en bevat 15 leidende principes die de kwaliteit en effectiviteit van interne auditdiensten wereldwijd bevorderen. De kernprincipes van integriteit, objectiviteit, competentie, professionele zorgvuldigheid, en vertrouwelijkheid zijn fundamenteel voor dit raamwerk. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen.

De verwachting is dat het aantal Internal Audit Functies zal toenemen vanwege de aanpassingen in de Code die een Internal Audit Functie als essentieel onderdeel van de risicobeheersing aanwijzen.

Internal Audit en regelgeving vanuit De Nederlandsche Bank

De Nederlandsche Bank (DNB) speelt een cruciale rol in het toezicht op de financiële sector in Nederland, waarbij het zich richt op de soliditeit van financiële instellingen en de stabiliteit van het financiële systeem. Een belangrijk instrument in dit toezicht is de uitgifte van good practices, zoals de “Good Practice Informatiebeveiliging 2023” (GP IB 2023), die bedoeld zijn om financiële instellingen te begeleiden bij het inrichten van hun interne beheersingspraktijken, met een specifieke focus op informatiebeveiliging. De GP IB 2023 bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. Echter, de herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s.

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen vastgesteld in de 2019-versie. Ook hier is duidelijk de toename van belang van Internal Audit te merken. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen, vooral in het licht van de steeds evoluerende cyberdreigingen en technologische ontwikkelingen.

Deze specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen. Internal Audit speelt een essentiële rol in het waarborgen dat de instellingen niet alleen voldoen aan de huidige standaarden van informatiebeveiliging maar ook proactief anticiperen op en zich aanpassen aan toekomstige uitdagingen.

Verklaring Omtrent Risicobeheersing (VOR) en Internal Audit

De Verklaring Omtrent Risicobeheersing (VOR) is een recente toevoeging aan de Nederlandse Corporate Governance Code, ontstaan uit de behoefte om organisaties beter voor te bereiden op de toenemende risico’s die ze tegenwoordig ervaren. Deze risico’s omvatten financiële risico’s, cyberrisico’s, en de naleving van wet- en regelgeving, die allemaal significante gevolgen kunnen hebben voor een organisatie.De nieuwe VOR benadrukt de cruciale rol van de Interne Audit Functie (IAF) binnen organisaties.

Volgens principe 1.3 van de corporate governance code heeft de IAF de verantwoordelijkheid om de opzet en werking van de interne risicobeheersings- en controlesystemen te beoordelen. Deze beoordeling is van fundamenteel belang, aangezien het directe inzichten verschaft aan het bestuur voor de samenstelling van de VOR. De IAF functioneert hierbij als een onafhankelijke en objectieve partij die niet alleen de effectiviteit van de bestaande systemen evalueert, maar ook aanbevelingen doet voor verbeteringen. Deze rol gaat verder dan enkel het controleren van naleving; het omvat ook het adviseren over en bijdragen leveren aan de verbetering van risicomanagement, controle en governance processen. De IAF biedt daarmee een waardevolle bijdrage aan de algehele risicobeheersingscultuur binnen de organisatie, waardoor deze niet alleen compliant is, maar ook veerkrachtiger en aanpasbaar aan veranderende omstandigheden.

In de nieuwe VOR wordt de rol van de IAF nog belangrijker. Naast het beoordelen van financiële verslaggevingsrisico’s, wat al in de code was opgenomen, moet er nu ook aandacht besteed worden aan duurzaamsheidsverslaggeving en de beheersing van operationele en compliance risico’s. Deze risico’s vormen traditioneel een belangrijk object van internal audits. De in de nieuwe VOR opgenomen grondige beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen is bij uitstek het domein en de competentie van de IAF. Doordat de IAF gedurende het jaar al aandacht besteedt aan de belangrijkste risico’s, is de IAF de logische partij om deze grondige beoordeling uit te voeren.

Agile Internal Audit

In een tijdperk waarin de zakelijke omgeving sneller dan ooit evolueert, staan Internal Audit Functies voor de uitdaging hun auditmethoden aan te passen om relevant en effectief te blijven. Het adopteren van Agile-principes biedt een goede oplossing om het auditproces nog flexibeler en responsiever te maken. Agile Internal Audit benadrukt de waarde van snelle aanpassingen, continue feedback en nauwere samenwerking met stakeholders. Deze aanpak moedigt het gebruik van sprints aan, waarbij auditprioriteiten worden afgestemd op de meest significante risico’s en kansen voor de organisatie. Door kortere auditcycli te implementeren, kunnen auditors tijdig inzichten leveren die de bedrijfsvoering (en snelle verbetering daarvan) direct ondersteunen. Dit Agile paradigma transformeert de Internal Audit Functies van een statische naar een dynamische functie, waarmee het niet alleen de risicobeheersing verbetert, maar ook strategische waarde toevoegt aan de organisatie.

De uitdaging voor alle Internal Audit Functies zal zijn om, in het licht van agile concepten en technieken, toch nog steeds compliant te blijven aan de Global Internal Audit Standaarden van het IIA. Dat is goed mogelijk, maar vraagt wel specifieke kennis en aandacht.

Afsluiting

Dankjewel dat je deze tijdreis met ons maakte. Overigens verwachten we dat de tijdreis hier niet definitief eindigt. Het vakgebied zal zich namelijk blijven ontwikkelen. Wij zullen die ontwikkeling gepassioneerd blijven volgen en daaraan gerichte bijdragen blijven leveren.

Wil je het met ons hebben over een moderne invulling van de Interne Audit Functie, aarzel dan niet! De bevlogen professionals van ARC People helpen u graag bij het snel en effectief beheersen van de risico’s. Op meerdere risicogebieden en in verschillende vormen, zoals interim collega’s, trainees, co-sourcing, outsourcing en werving. Ook met actuele onderwerpen zoals DORA/NIS2 en ESG helpen we u graag op weg.

Carlo Bavius, Associate Partner 
Sander van Oosten,
Partner