Internationale Normen voor de Professionele Uitoefening van ...

INLEIDING
1
Internationale Normen voor de Professionele
Uitoefening van Interne Audit
Versie van 1 januari 2004
Interne audit is een onafhankelijke en op objectieve wijze zekerheidverstrekkende en raadgevende
activiteit. Deze is in het leven geroepen om een meerwaarde te bieden en een verbetering te
bewerkstelligen van de werking van een organisatie. Zij helpt een organisatie bij het realiseren van
haar doelstellingen door, via een systematische en gedisciplineerde aanpak, de doeltreffendheid
van het risico- en controlebeheer en de beleidsprocessen te evalueren en te verbeteren.
Interne auditactiviteiten worden geleverd tegen verschillende legale en culturele achtergronden: in
organisaties die verschillen qua doel, grootte, complexiteit en structuur en door personen al dan
niet van de organisatie zelf. Terwijl deze verschillen de realisatie van een interne audit tegen een
bepaalde achtergrond kunnen beïnvloeden, is het van essentieel belang dat de Internationale
Normen voor de Professionele Uitoefening van Interne Audit nageleefd worden als de interne
auditoren hun verplichtingen willen vervullen. Als bepaalde wetten of reglementen als gevolg
hebben dat de interne auditoren bepaalde Normen niet kunnen naleven, dan moeten zij alle
andere Normen wel naleven en de gepaste meldingen hierrond maken.
De zekerheidverstrekkende diensten gaan uit van de objectieve beoordeling van bewijsmateriaal
door de interne auditor om een onafhankelijke mening of conclusies te kunnen uitspreken
aangaande een proces, een systeem of andere zaken. De aard en reikwijdte van de
zekerheidverstrekkende opdracht worden door de interne auditor bepaald. In het algemeen zijn er
drie partijen betrokken bij de zekerheidverstrekkende diensten: (1) de persoon of groep direct
betrokken bij het proces, het systeem of de andere zaken – de zogenaamde proceseigenaar, (2)
de persoon of groep die een beoordeling maakt – de interne auditor, en (3) de persoon of groep
die gebruik maakt van deze beoordeling – de gebruiker.
De raadgevende diensten zijn adviserend van aard en worden meestal uitgevoerd op het
specifieke verzoek van een klant. De aard en reikwijdte van de raadgevende opdracht worden
bepaald in overeenstemming met de klant. In het algemeen zijn er twee partijen betrokken bij de
raadgevende diensten: (1) de persoon of groep die advies geeft – de interne auditor, en (2) de
persoon of groep die advies wenst en krijgt – de klant. Bij het uitoefenen van raadgevende
diensten moet de interne auditor objectief blijven en geen beheersverantwoordelijkheid op zich
nemen.
Het doel van de Normen is:
1. de basisprincipes afbakenen die weergeven wat de professionele uitoefening van interne
audit dient te zijn.
2. een kader aanreiken voor het uitoefenen en bevorderen van een brede waaier van interne
auditactiviteiten die een meerwaarde bieden.
3. de basis leggen voor de evaluatie van de functionering van de interne audit.
4. verbeterde organisatorische processen en operaties bevorderen.
De Normen bestaan uit Kwalificatienormen, Functioneringsnormen en Implementatienormen. De
Kwalificatienormen gaan over de kenmerken van organisaties en partijen die interne
auditactiviteiten uitvoeren. De Functioneringsnormen beschrijven de aard van de interne
auditactiviteiten en bieden kwaliteitscriteria om de realisatie van deze diensten te evalueren.
Terwijl de Kwalificatie- en Functioneringsnormen van toepassing zijn op alle interne auditdiensten,
gelden de Implementatienormen slechts voor specifieke opdrachten.
Er is slechts één pakket Kwalificatie- en Functioneringsnormen terwijl er vele pakketten
Implementatienormen zijn: een pakket voor elk van de belangrijkste interne auditactiviteiten. De

Implementatienormen werden opgesteld voor zowel zekerheidverstrekkende (A) als raadgevende
(C) activiteiten.
De Normen maken deel uit van het Referentiekader voor de Professionele Uitoefening van Interne
Audit (The Professional Practices Framework). Het Referentiekader voor de Professionele
Uitoefening van Interne Audit omvat de Definitie van Interne Audit, de Deontologische Code, de
Normen, en andere richtlijnen. Richtlijnen over de mogelijke toepassing van de Normen zijn
opgenomen in de Uitoefeningsraadgevingen (Practice Advisories) die uitgegeven worden door het
Comité voor Professionele Aangelegenheden (Professional Issues Committee).
De Normen maken gebruik van termen die een specifieke betekenis hebben verworven,
opgenomen in de Terminologielijst.
Het opstellen en uitgeven van de Normen is een proces in voortdurende ontwikkeling. De raad
voor Interne Auditnormen (Internal Auditing Standards Board) pleegt uitgebreid overleg en
beraadslaging voor zij de Normen uitgeeft. Hierbij vraagt zij wereldwijd om publieke commentaren
via het proces van bekendmaking van het voorstel.
Al deze voorstellen worden vermeld op de website van het IIA en verspreid bij alle IIA-leden.
Suggesties en opmerkingen aangaande de Normen kunnen gestuurd worden naar:
The Institute of Internal Auditors
Global Practices Center, Professional Practices Group
247 Maitland Avenue
Altamonte Springs, FL 32701-4201, USA
E-mail: standards@theiia.org
Web: http://www.theiia.org
De laatste toevoegingen en wijzigingen van de Normen zijn uitgegeven in december 2003 en
werden van kracht op 1 januari 2004.
2

KWALIFICATIENORMEN 1
1000 – Doel, bevoegdheden en verantwoordelijkheden
Het doel, de bevoegdheden en de verantwoordelijkheden van de interne auditactiviteit moeten
formeel in een auditcharter vastgelegd worden, in overeenstemming zijn met de Normen en
goedgekeurd worden door de raad.
3
1000.A1 - De aard van de zekerheidverstrekkende diensten die aan de organisatie
geleverd worden, moet gedefinieerd zijn in het auditcharter. Indien zekerheid moet verstrekt
worden aan partijen buiten de organisatie, moet de aard van deze activiteiten eveneens in
het charter bepaald zijn.
1000.C1 - De aard van raadgevende diensten moet in het auditcharter bepaald zijn.
1100 – Onafhankelijkheid en objectiviteit
De interne auditactiviteit moet onafhankelijk zijn en interne auditoren moeten objectief zijn in het
uitvoeren van hun taak.
1110 – Organisatorische onafhankelijkheid
Het hoofd van de audit moet ressorteren onder een niveau binnen de organisatie
waardoor de interne auditactiviteit haar verplichtingen kan naleven.
1110.A1 – De interne auditactiviteit moet zonder enige inmenging de reikwijdte van
haar activiteiten, de uitvoering van de werkzaamheden en de communicatie van de
resultaten kunnen bepalen.
1120 – Individuele objectiviteit
Interne auditoren moeten onpartijdig en onbevooroordeeld zijn en belangenconflicten
vermijden.
1130 Schending van Onafhankelijkheid of Objectiviteit
In geval van een feitelijke of ogenschijnlijke schending van de onafhankelijkheid of
objectiviteit, moeten de details daarvan medegedeeld worden aan de aangewezen partijen.
De aard van de kennisgeving is afhankelijk van de schending in kwestie.
1130.A1 – Interne auditoren mogen specifieke operaties waarvoor zij
voorafgaandelijk verantwoordelijk waren niet beoordelen. De objectiviteit wordt
verondersteld geschonden te zijn wanneer een interne auditor
zekerheidverstrekkende diensten verleent voor een activiteit waarvoor hij in het
voorafgaande jaar verantwoordelijk was.
1130.A2 – Zekerheidverstrekkende opdrachten betreffende functies waarvoor het
hoofd van de audit verantwoordelijk is, moeten gesuperviseerd worden door iemand
die geen deel uitmaakt van de interne auditactiviteit.
1130.C1 - Interne auditoren kunnen raadgevende diensten verlenen voor de
domeinen waarvoor zij eerder verantwoordelijk waren.
1130.C2 - Indien de onafhankelijkheid of objectiviteit van de interne auditoren inzake
voorgestelde raadgevende diensten mogelijk geschonden is, moeten zij dit bekend
maken aan de opdrachtgever alvorens de opdracht te aanvaarden.
1
Normen met de vermelding van een letter “A” of “C” in het nummer, hebben betrekking op verschillende
activiteiten. Met name :
- “A” duidt de normen aan voor zekerheidverstrekkende activiteiten (de afkorting “A” is afgeleid van de
Engelse benaming “Assurance activities”), en
- “C” de normen voor raadgevende activiteiten (de afkorting “C” is afgeleid van de Engelse benaming
“Consulting activities”).

1200 – Vakkundigheid en gepaste professionele zorgvuldigheid
De opdrachten moeten met vakkundigheid en gepaste professionele zorgvuldigheid worden
uitgevoerd.
4
1210 – Vakkundigheid
Interne auditoren moeten beschikken over de kennis, vaardigheden en andere
bekwaamheden nodig voor de uitvoering van hun individuele verplichtingen. De interne
auditactiviteit als geheel moet de kennis, vaardigheden en andere bekwaamheden, nodig
om haar verplichtingen na te leven, bezitten of verwerven.
1210.A1 – Het hoofd van de audit moet beroep doen op deskundig advies en
bijstand, indien het de interne auditmedewerkers ontbreekt aan de kennis,
vaardigheden of andere bekwaamheden, die nodig zijn om de gehele opdracht of
een gedeelte ervan uit te voeren.
1210.A2 – De interne auditor moet voldoende kennis hebben om aanwijzingen van
fraude te herkennen. Er wordt van hem echter niet verwacht dat hij de expertise
bezit van een persoon wiens voornaamste verantwoordelijkheid het detecteren en
onderzoeken van fraude is.
1210.A3 – Interne auditoren moeten kennis bezitten van informatie- technologische
sleutelrisico’s en controles, en van beschikbare geïnformatiseerde audittechnieken
om de hen toegewezen werkzaamheden uit te voeren. Evenwel, niet alle interne
auditoren worden verondersteld om de expertise te bezitten van een interne auditor
wiens voornaamste verantwoordelijkheid de informatica-audit is.
1210.C1
Het hoofd van de audit moet de raadgevende opdracht afwijzen of beroep doen op
deskundig advies en bijstand, indien het de interne auditmedewerkers ontbreekt aan
de kennis, vaardigheden of andere bekwaamheden, die nodig zijn om de gehele
opdracht of een gedeelte ervan uit te voeren.
1220 – Gepaste professionele zorgvuldigheid
Interne auditoren moeten hun werkzaamheden uitvoeren met de zorg en kunde die van een
bedachtzame en bekwame interne auditor verwacht worden. De gepaste professionele
zorgvuldigheid houdt geen onfeilbaarheid in.
1220.A1 – De interne auditor moet met de gepaste professionele zorgvuldigheid
handelen door rekening te houden met :
• de omvang van de werkzaamheden, die nodig zijn voor het realiseren van
de doelstellingen van de opdracht ;
• de betrekkelijke complexiteit, de wezenlijkheid of het belang van de
domeinen waarop de zekerheidverstrekkende werkzaamheden uitgevoerd
worden ;
• de adequaatheid en doeltreffendheid van het risico- en controlebeheer en de
beleidsprocessen ;
• de kans op betekenisvolle fouten, onregelmatigheden of non-conformiteit ;
• de kosten van verhoogde zekerheid tegenover de mogelijke baten.
1220.A2 – Gepaste professionele zorgvuldigheid veronderstelt dat de interne
auditor zal overwegen om gecomputeriseerde auditinstrumenten en andere
geïnformatiseerde gegevensanalysetechnieken te gebruiken bij de uitvoering van
zijn taak.
1220.A3 – De interne auditor moet bedacht zijn op belangrijke risico's die de
doelstellingen, de werking en de middelen kunnen beïnvloeden. Nochtans bieden

5
auditprocedures alleen, zelfs indien ze uitgevoerd worden met de gepaste
professionele zorgvuldigheid, niet de absolute zekerheid dat alle belangrijke risico's
onderkend zullen worden.
1220.C1 - De interne auditor moet tijdens een raadgevende opdracht met de
gepaste professionele zorgvuldigheid handelen door rekening te houden met:
• de behoeften en verwachtingen van de klanten, met inbegrip van de aard,
de timing en de communicatie van de resultaten van de opdracht ;
• de betrekkelijke complexiteit en de omvang van de werkzaamheden die
nodig zijn voor het realiseren van de doelstellingen van de opdracht ;
• de kosten van de raadgevende opdracht tegenover de mogelijke baten.
1230 – Voortgezette professionele vorming
Interne auditoren moeten hun kennis, vaardigheden en andere bekwaamheden verbeteren
via voortgezette professionele vorming.
1300 – Programma voor de verzekering en verbetering van de kwaliteit
Het hoofd van de audit moet een programma voor de verzekering en verbetering van de kwaliteit
opbouwen en handhaven. Dit programma dient alle aspecten van de interne auditactiviteit te
bestrijken en de doeltreffendheid ervan voortdurend op te volgen. Het programma omvat
periodieke interne en externe kwaliteitsevaluaties en een ononderbroken interne opvolging. Elk
deel van het programma moet zo opgevat zijn dat het de interne auditactiviteit helpt een
meerwaarde te bieden en een verbetering te zijn voor de werking van de organisatie en verzekert
dat deze interne auditactiviteit conform is met de Normen en de Deontologische Code
1310 – Evaluaties van het kwaliteitsprogramma
De interne auditactiviteit moet een proces invoeren dat toelaat de globale effectiviteit van
het kwaliteitsprogramma op te volgen en te evalueren. Dit proces moet zowel interne als
externe evaluaties omvatten.
1311 – Interne evaluaties
Interne evaluaties moeten omvatten:
• continue beoordeling van de prestaties van de interne auditactiviteit ; en
• periodieke beoordeling uitgevoerd door middel van zelfevaluatie of door
andere personen binnen de organisatie met kennis van de Normen en van
de interne auditpraktijk.
1312 – Externe evaluaties
Externe evaluaties, waaronder de beoordeling van de kwaliteitsverzekering (“quality
assurance reviews”), moeten minstens éénmaal in de vijf jaar uitgevoerd worden
door een ter zake gekwalificeerd en onafhankelijk persoon of team van buiten de
organisatie.
1320 – Rapportering over het kwaliteitsprogramma
Het hoofd van de audit moet de resultaten van de externe evaluaties meedelen aan de
raad.
1330 – Gebruik van de uitdrukking 'Uitgevoerd in overeenstemming met de Normen'
Interne auditoren worden aangemoedigd om te rapporteren dat hun werkzaamheden
worden “uitgevoerd in overeenstemming met de Internationale Normen voor de
Professionele Uitoefening van Interne Audit”. Nochtans mogen interne auditoren deze
verklaring slechts gebruiken indien de evaluaties van het kwaliteitsverbeteringsprogramma
aantonen dat de interne auditactiviteit de Normen naleeft.
1340 – Melding van non-conformiteit

6
Hoewel de interne auditactiviteit volledig conform met de Normen moet zijn en de interne
auditoren de Deontologische Code dienen na te leven, kunnen er zich gevallen voordoen
waarin deze volledige conformiteit niet bereikt wordt. Wanneer non-conformiteit de
reikwijdte of de werking van de interne auditactiviteit beïnvloedt, moeten het hoger
management en de raad hiervan op de hoogte gebracht worden.

FUNCTIONERINGSNORMEN
2000 – Management van de interne auditactiviteit
Het hoofd van de audit moet de interne auditactiviteit effectief besturen, zodat deze een
meerwaarde inhoudt voor de organisatie .
7
2010 – Planning
Het hoofd van de audit moet een op risico gebaseerde planning opstellen teneinde de
prioriteiten van de interne auditactiviteit te bepalen. Deze prioriteiten dienen in
overeenstemming te zijn met de doelstellingen van de organisatie.
2010.A1 – Het interne auditplan moet gebaseerd zijn op een risico-evaluatie, die
minstens een maal per jaar moet worden uitgevoerd. De inbreng van het hoger
management en de raad moet hierbij in overweging genomen worden.
2010.C1 - Het hoofd van de audit moet overwegen voorgestelde adviesopdrachten
te aanvaarden, gebaseerd op het potentieel van de opdracht om het risicobeheer te
verbeteren, waarde toe te voegen en de werking van de organisatie te verbeteren.
De aanvaarde opdrachten moeten opgenomen worden in het plan.
2020 – Voorlegging en goedkeuring
Het hoofd van de audit moet de planning en de vereiste middelen van de interne
auditactiviteit, belangrijke tussentijdse wijzigingen inbegrepen, voor nazicht en goedkeuring
aan het hoger management en aan de raad voorleggen. Het hoofd van de audit moet ook
inzicht verstrekken over de weerslag van elke beperking van middelen.
2030 – Beheer van middelen
Het hoofd van de audit moet ervoor zorgen dat de interne auditmiddelen geschikt en
voldoende zijn en dat ze effectief ingezet worden om het goedgekeurde plan te realiseren.
2040 – Regels en procedures
Het hoofd van de audit moet regels en procedures ontwikkelen om de interne auditactiviteit
te sturen.
2050 – Coördinatie
Het hoofd van de audit moet informatie delen en activiteiten coördineren met andere interne
en externe relevante zekerheidverstrekkende en raadgevende dienstverleners, teneinde
een adequate dekking te verzekeren en dubbele werkzaamheden tot een minimum te
herleiden.
2060 – Rapportering aan de raad en aan het Hoger Management
Het hoofd van de audit moet periodiek rapporteren aan de raad en aan het hoger
management over het doel, de bevoegdheden en de verantwoordelijkheden van de interne
auditactiviteit, alsook over de uitvoering van het interne auditplan. De rapportering moet ook
omvatten: belangrijke blootstellingen aan risico's, aandachtspunten inzake controle en
deugdelijk bestuur, en andere noden of vragen van de raad en van het hoger management.
2100 – Aard van het werk
De interne auditactiviteit moet de risicobeheers-, controle- en beleidsprocessen evalueren en
bijdragen tot hun verbetering via een systematische en gedisciplineerde aanpak.
2110 – Risicobeheer
De interne audit dient de organisatie te helpen door belangrijke potentiële risico’s te
identificeren en te evalueren en risicobeheers- en controlesystemen te helpen verbeteren.
2110.A1 – De interne auditactiviteit moet de doeltreffendheid van het risicobeheer
opvolgen en evalueren.

8
2110.A2 – De interne auditactiviteit dient potentiële risico’s aangaande het beheer,
de werking en informatiesystemen van de organisatie te evalueren met betrekking
tot:
• betrouwbaarheid en integriteit van de financiële en de operationele
informatie ;
• doeltreffendheid en efficiëntie van de werking ;
• bescherming van de activa ;
• naleving van wetten, reglementen en contracten.
2110.C1 - Tijdens adviesopdrachten moeten de interne auditoren zich toeleggen op
risico’s die overeenstemmen met de doelstellingen van de opdracht en bovendien
aandacht hebben voor eventuele andere belangrijke risico's.
2110.C2 - Interne auditoren moeten kennis inzake risico's, verworven uit
adviesopdrachten, opnemen in het identificatie- en evaluatieproces van potentiële
belangrijke risico’s voor de organisatie.
2120 – Controle
De interne auditactiviteit moet de organisatie helpen bij het handhaven van doeltreffende
controles, door hun doeltreffendheid en efficiëntie te evalueren en een voortdurende
verbetering te stimuleren.
2120.A1 – Op basis van de resultaten van de risico-evaluatie, moet de interne
auditactiviteit de adequaatheid en de doeltreffendheid van de controles evalueren
met betrekking tot het beheer, de werking en de informatiesystemen van de
organisatie. Dit omvat:
• betrouwbaarheid en integriteit van de financiële en de operationele
informatie ;
• doeltreffendheid en efficiëntie van de werking ;
• bescherming van de activa ;
• naleving van wetten, reglementen en contracten.
2120.A2 – Interne auditoren moeten zich vergewissen van de mate waarin de
operationele en de programmadoelstellingen werden bepaald en of deze laatste
overeenstemmen met de algemene doelstellingen van de organisatie.
2120.A3 – Interne auditoren moeten de operationele activiteiten en de projecten
nazien om zich te vergewissen van de mate waarin de resultaten overeenstemmen
met de algemene doelstellingen van de organisatie, teneinde te bepalen of de
operationele activiteiten en de projecten geïmplementeerd en uitgevoerd worden
zoals voorzien.
2120.A4 – Adequate criteria zijn nodig om controles te evalueren. Interne auditoren
moeten zich vergewissen van de mate waarin het management adequate criteria
heeft vastgelegd, teneinde te bepalen of de doelstellingen bereikt werden. Indien ze
adequaat bevonden worden, moeten de interne auditoren deze criteria gebruiken bij
hun evaluatie. Indien ze niet adequaat zijn, moeten de interne auditoren
samenwerken met het management teneinde de geschikte evaluatiecriteria te
ontwikkelen.
2120.C1 - Tijdens adviesopdrachten moeten de interne auditoren zich toeleggen op
controles die overeenstemmen met de doelstellingen van de adviesopdracht en
bovendien aandacht hebben voor eventuele belangrijke zwakheden op het vlak van
controle.

9
2120.C2 - Interne auditoren moeten kennis inzake controles, verworven uit
adviesopdrachten, opnemen in het identificatie- en evaluatieproces van belangrijke
risico’s voor de organisatie.
2130 – Beleid
De interne auditactiviteit dient evaluaties uit te voeren en adequate aanbevelingen te
formuleren om het beleidsproces te verbeteren. Aldus bepaalt de interne audit of het
beleidsproces de volgende doelstellingen verwezenlijkt :
• het bevorderen van de gepaste deontologie en waarden binnen de organisatie ;
• het verzekeren van een doeltreffend performantiebeheer en dito verantwoording
binnen de organisatie ;
• het doeltreffend doorgeven van risico- en controle-informatie aan de aangewezen
niveaus binnen de organisatie ;
• het adequaat informeren van de raad, de externe en interne auditoren en het
management, en het doeltreffend coördineren van hun activiteiten.
2130.A1 – De interne auditactiviteit moet het concept, de implementatie, en de
doeltreffendheid evalueren van de ethische doelstellingen, programma’s en
activiteiten van de organisatie.
2130.C1 - De doelstellingen van adviesopdrachten moeten overeenstemmen met de
algemene waarden en doelstellingen van de organisatie.
2200 – Planning van de opdracht
Interne auditoren dienen voor iedere opdracht een plan uit te werken en te documenteren. Dit plan
preciseert per opdracht de reikwijdte, de doelstellingen, de tijdsplanning, en de toewijzing van
hulpmiddelen.
2201 – Overwegingen i.v.m. de planning
Bij het plannen van opdrachten moeten de interne auditoren rekening houden met :
• de doelstellingen van de te onderzoeken activiteit en de wijze waarop deze activiteit
haar werking controleert ;
• de belangrijke risico's, doelstellingen, middelen en werkzaamheden van de activiteit,
en de wijze waarop een potentiële risico-impact op een aanvaardbaar niveau
gehouden wordt ;
• de adequaat- en doeltreffendheid van de risicobeheer- en controlesystemen van de
activiteit, in vergelijking met een relevant controlemodel of -kader ;
• de mogelijkheid tot belangrijke verbeteringen van de risicobeheer- en
controlesystemen van de activiteit.
2201.A1 – Bij het plannen van een opdracht voor partijen buiten de organisatie,
moeten de interne auditoren met deze laatsten een schriftelijke overeenkomst
opstellen aangaande de doelstellingen, de reikwijdte, de respectieve
verantwoordelijkheden en verwachtingen, met precisering van de beperkingen in
verband met de verspreiding van de resultaten van de opdracht en met de toegang
tot de dossiers.
2201.C1 - Interne auditoren moeten tot overeenstemming komen met de klanten
van de adviesopdrachten over de doelstellingen, reikwijdte, respectieve
verantwoordelijkheden en andere verwachtingen van de klant. Voor belangrijke
opdrachten moet deze overeenkomst geformaliseerd worden.
2210 – Doelstellingen van de opdracht
Doelstellingen moeten voor elke opdracht opgesteld worden.

10
2210.A1 – Interne auditoren moeten een voorafgaande evaluatie maken van de
risico’s die relevant zijn voor de te onderzoeken activiteit. De doelstellingen van de
opdracht moeten de resultaten van deze evaluatie omvatten.
2210.A2 – Bij het opstellen van de doelstellingen van de opdracht moet de interne
auditor rekening houden met de waarschijnlijkheid van belangrijke fouten,
onregelmatigheden, gevallen van niet-naleving en andere risico’s zijn.
2210.C1
De doelstellingen van adviesopdrachten moeten betrekking hebben op risico's,
controles en beheersprocessen overeenkomstig de afspraken met de klant.
2220 – Reikwijdte van de opdracht
De vastgelegde reikwijdte moet minstens beantwoorden aan de doelstellingen van de
opdracht.
2220.A1 – Bij het vastleggen van de reikwijdte van de opdracht moet rekening
gehouden worden met relevante systemen, geregistreerde gegevens, personeel en
materiële bezittingen, deze onder controle van derden inbegrepen.
2220.A2 – Als tijdens een zekerheidverstrekkende opdracht belangrijke
raadgevende mogelijkheden naar voor komen, moet er een specifieke schriftelijke
overeenkomst opgesteld worden in verband met de doelstellingen, de reikwijdte, de
respectieve verantwoordelijkheden en verwachtingen. De resultaten van de
raadgevende opdracht dienen gecommuniceerd te worden conform de normen
(hierin aangeduid met de letter “C”) voor dit type opdrachten.
2220.C1
Bij uitvoering van adviesopdrachten moeten de interne auditoren zich ervan
vergewissen dat de reikwijdte minstens beantwoordt aan de overeengekomen
doelstellingen. Indien de interne auditoren tijdens de opdracht voorbehoud maken in
verband met de reikwijdte, dan moet dit voorbehoud besproken worden met de
klant, teneinde te beslissen over de voortzetting van de opdracht.
2230 – Toekenning van middelen aan de opdracht
Interne auditoren moeten beslissen welke middelen vereist zijn om de doelstellingen van de
opdrachten te bereiken. De samenstelling van het team moet steunen op een evaluatie van
de aard en de complexiteit van elke opdracht, de gestelde tijdslimieten en de beschikbare
middelen.
2240 – Werkprogramma van de opdracht
Interne auditoren moeten werkprogramma's ontwikkelen die de doelstellingen van de
opdracht verwezenlijken. Deze werkprogramma's moeten geformaliseerd worden.
2240.A1 – Werkprogramma's moeten de geschikte procedures vastleggen voor
identificatie, analyse, evaluatie en documentatie van informatie tijdens de opdracht.
Het werkprogramma moet vóór de implementatie ervan worden goedgekeurd,
hetgeen tevens zo snel mogelijk moet gebeuren in geval van aanpassingen.
2240.C1
Werkprogramma's voor adviesopdrachten kunnen verschillen qua vorm en inhoud
naargelang de aard van de opdracht.
2300 – Uitvoering van de opdracht
Interne auditoren moeten voldoende informatie identificeren, analyseren, evalueren en
documenteren om de doelstellingen van de opdracht te bereiken.

11
2310 – Identificatie van de informatie
Interne auditoren moeten voldoende, betrouwbare, relevante en nuttige informatie
identificeren om de doelstellingen van de opdracht te realiseren.
2320 – Analyse en evaluatie
Interne auditoren moeten de conclusies en de resultaten van hun opdrachten baseren op
gepaste analyses en evaluaties.
2330 – Documenteren van de informatie
Interne auditoren moeten relevante informatie documenteren ter ondersteuning van de
conclusies en resultaten van de opdracht.
2330.A1 – Het hoofd van de audit moet de toegang tot de dossiers van de
opdrachten controleren. Het hoofd van de audit moet de toestemming verkrijgen van
het hoger management en/of een juridische raadgever alvorens deze dossiers ter
beschikking te stellen van externe partijen, waar nodig.
2330.A.2 – Het hoofd van de audit moet regels opstellen voor de bewaring van de
dossiers van de opdrachten. Deze regels moeten coherent zijn met de richtlijnen
van de organisatie en met alle toepasselijke reglementaire of andere vereisten.
2330.C1
Het hoofd van de audit moet regels opstellen voor zowel de bewaking en bewaring
van de dossiers van de opdrachten als voor de terbeschikkingstelling ervan aan
interne en externe partijen. Deze regels moeten coherent zijn met de richtlijnen van
de organisatie en met alle toepasselijke reglementaire of andere vereisten.
2340 – Supervisie van de opdracht
Opdrachten moeten naar behoren worden gesuperviseerd om zo de doelstellingen te
realiseren, de kwaliteit te waarborgen en het personeel verder te vormen.
2400 – Mededeling van resultaten
Interne auditoren moeten de resultaten van de opdrachten mededelen.
2410 – Inhoud van de mededeling
De mededeling moet de doelstellingen en reikwijdte van de opdracht, alsook de conclusies,
aanbevelingen en actieplannen omvatten.
2410.A1 – De eindmededeling van de resultaten van de opdracht moet, waar nodig,
de globale opinie van de interne auditor en/of zijn besluiten bevatten.
2410.A2 – Interne auditoren worden aangemoedigd om bevredigende prestaties te
erkennen in de communicatie rond de opdracht.
2410.A3 – Bij het vrijgeven van de resultaten van de opdracht aan partijen van
buiten de organisatie, moet de mededeling aan deze partijen beperkingen bevatten
aangaande de verspreiding en het gebruik van de resultaten.
2410.C1 – De mededeling van het verloop en de resultaten van een adviesopdracht
zal qua vorm en inhoud variëren, afhankelijk van de aard van de opdracht en de
noden van de klant.

12
2420 – Kwaliteit van de mededeling
De mededeling moet accuraat, objectief, duidelijk, bondig, constructief, volledig en tijdig
zijn.
2421 – Vergissingen of weglatingen
Indien een eindmededeling een belangrijke vergissing of weglating bevat, moet het hoofd
van de audit de gecorrigeerde informatie overmaken aan alle partijen die de originele versie
van de mededeling ontvingen.
2430 – Kennisgeving over niet-naleving van de Normen tijdens de opdracht
Wanneer de niet-naleving van de Normen een bepaalde opdracht beïnvloedt, moet de
mededeling van de resultaten gewag maken van de:
• Norm(en) die niet geheel werd(en) gerespecteerd,
• reden(en) van de niet-naleving en
• impact van de niet-naleving op de opdracht.
2440 – Verspreiding van de resultaten
Het hoofd van de audit moet de resultaten bij de betrokken partijen verspreiden.
2440.A1 – Het hoofd van de audit is verantwoordelijk voor de mededeling van de
eindresultaten aan de partijen die kunnen verzekeren dat het nodige gevolg eraan
zal worden gegeven.
2440.A2 – Indien er, voorafgaand aan de verspreiding van de resultaten bij partijen
van buiten de organisatie, geen wettelijke, statutaire of reglementaire
belemmeringen zijn, moet het hoofd van de audit :
• het potentiële risico voor de organisatie evalueren;
• het hoger management en/of de juridische raadgever consulteren waar nodig ;
• de verdere verspreiding onder controle houden door het gebruik van de
resultaten te beperken.
2440.C1 - Het hoofd van de audit is verantwoordelijk voor de mededeling van de
eindresultaten van de adviesopdrachten aan de klanten.
2440.C2 - Tijdens de adviesopdrachten kunnen problemen op het gebied van
risicobeheer, controle en beleid naar voor komen. Indien deze belangrijk zijn voor de
organisatie moeten zij meegedeeld worden aan het hoger management en aan de
raad.
2500 – Toezicht op het verloop
Het hoofd van de audit moet een systeem opzetten en handhaven dat toelaat controle uit te
oefenen op het gevolg gegeven aan de resultaten meegedeeld aan het management.
2500.A1 – Het hoofd van de audit moet een opvolgingsproces instellen om na te gaan en te
verzekeren dat het management effectief maatregelen genomen heeft of dat het hoger
management het risico aanvaard heeft om geen maatregelen te nemen.
2500.C1 - De interne auditactiviteit moet toezicht houden op het gevolg gegeven aan de
resultaten van de adviesopdrachten, zoals overeengekomen met de klant.
2600 – Het aanvaarden van risico's door het management
Wanneer het hoofd van de audit meent dat het hoger management een niveau van residueel risico
heeft aanvaard dat ontoelaatbaar zou kunnen zijn voor de organisatie, moet het hoofd van de audit
dit met het hoger management bespreken. Indien de discussie over het aanvaarden van het

esiduele risico niet tot een oplossing leidt, moeten zij samen deze zaak rapporteren aan de raad
die hierover beslist.
13
---------

14
TERMINOLOGIE
Adequate controle – Men kan spreken van “adequate controle” als het management de
werkingsstructuren aldus ontworpen en uitgewerkt heeft, dat zij een redelijke zekerheid bieden
aangaande het doeltreffend risicobeheer van de organisatie en de efficiënte en zuinige realisering
van de beoogde resultaten en doelstellingen. In de technische terminologie verwijst men naar
‘adequate control’.
Belangenconflict – Elke relatie die niet in het belang van de organisatie is of blijkt te zijn. Een
belangenconflict tast iemands mogelijkheid aan om op een objectieve wijze zijn of haar taken te
vervullen en verplichtingen na te leven. In de technische terminologie verwijst men naar’conflict of
interest’.
Beleidsprocessen – De combinatie van processen en structuren, geïmplementeerd door de raad,
teneinde de activiteiten van de organisatie te informeren, te oriënteren, te leiden en op te volgen,
met het oog op het bereiken van haar doelstellingen. In de technische terminologie verwijst men
naar ‘governance’.
Charter – Het charter van de interne auditactiviteit is een formeel geschreven document dat de
opdracht, de bevoegdheden, en de verantwoordelijkheden van bedoelde activiteit definieert. Het
charter dient (a) de plaats van de interne audit binnen de organisatie te bepalen; (b) de toegang te
bevestigen tot documenten, goederen en personeel nodig voor het uitvoeren van de opdrachten ;
en (c) het werkingsveld van de interne auditactiviteit te omschrijven. In de technische terminologie
verwijst men naar ‘charter’.
Controle – Elke maatregel van het management, de raad en andere partijen om de risico’s te
beheersen en de waarschijnlijkheid te verhogen dat de beoogde resultaten en doelstellingen (in de
technische terminologie aangeduid als “goals and objectives”) zullen gerealiseerd worden. Het
management plant, organiseert en leidt de uitvoering van gepaste maatregelen om een redelijke
zekerheid te bieden dat de vooropgestelde resultaten en doelstellingen zullen worden
gerealiseerd. In de technische terminologie verwijst men naar ‘interne controle’ of ’internal control’.
Controleomgeving – De houding en de maatregelen van de raad en het management m.b.t. het
belang van de controle binnen de organisatie. De controleomgeving bepaalt het raam en de
structuur om de primordiale doelstellingen van het systeem van interne controle te realiseren. De
controleomgeving omvat volgende elementen :
- de integriteit en de ethische waarden ;
- de filosofische ingesteldheid en de operationele stijl van het management ;
- de structuur van de organisatie ;
- het toekennen van bevoegdheden en verantwoordelijkheden ;
- de algemene politiek en praktijk rond het menselijk potentieel ;
- de competentie van het personeel.
In de technische terminologie verwijst men naar ‘control environment’.
Controleprocessen – De strategieën, procedures en activiteiten die deel uitmaken van een
controlesysteem ontworpen om de risico’s te laten evolueren binnen de tolerantiegrenzen
vastgelegd door het risicobeheersproces. In de technische terminologie verwijst men naar ‘control
processes’.
Deontologische code – De Deontologische Code van het Instituut van Interne Auditoren (IIA)
omvat de principes voor het beroep en de praktijk van interne audit, en de Gedragsregels die de
interne auditoren verondersteld worden na te leven. De Deontologische Code is zowel op

individuen als op entiteiten die interne auditdiensten verlenen van toepassing. Het doel van de
Deontologische Code is het stimuleren van een ethische cultuur binnen het geheel van de
professionele uitoefening van interne audit. De Deontologische Code wordt in de technische
terminologie aangeduid als ‘Code of Ethics’.
Doelstellingen van de opdrachten – Algemene stellingen van de interne auditoren waarin
gedefinieerd wordt wat gerealiseerd moet worden binnen de opdracht. In de technische
terminologie verwijst men naar ‘engagement objectives’
Externe dienstverlener – Een persoon of een vennootschap, van buiten de organisatie, die
bijzondere kennis, vaardigheden en ervaring bezit in een specifiek domein. In de technische
terminologie verwijst men naar ‘external service provider’.
Fraude – Elke onwettige handeling gekenmerkt door bedrog, verduistering of inbreuk op het
vertrouwen. Deze handelingen zijn onafhankelijk van bedreigingen met of uitoefening van geweld.
Fraude wordt begaan door partijen en organisaties met het oog op het verwerven van geld,
bezittingen of diensten, ter voorkoming van uitgaven of verlies van diensten of om persoonlijke of
zakelijke voordelen veilig te stellen. In de technische terminologie verwijst men naar ‘fraud’.
Hoofd van de audit – Hoogstgeplaatste persoon binnen de organisatie, verantwoordelijk voor de
interne auditactiviteiten. Normaal is dit de directeur interne audit. In het geval dat interne
auditactiviteiten toevertrouwd zijn aan externe dienstverleners, is het hoofd van de audit de
persoon verantwoordelijk voor het opvolgen van de uitvoering van het dienstencontract en de
globale kwaliteitsverzekering van deze activiteiten. In dit laatste geval is zijn verslaggeving gericht
aan het hoger management en aan de raad, over materies betreffende de interne auditactiviteiten
en de opvolging van de resultaten van de opdrachten. Deze term omvat tevens titels zoals auditorgeneraal,
hoofd interne auditor, en inspecteur-generaal. In de technische terminologie wordt het
hoofd van de audit aangeduid als “chief audit executive” afgekort CAE.
Interne auditactiviteit – Een dienst, een afdeling, een team van consultants, of elke andere
beoefenaar, die onafhankelijke en op objectieve wijze zekerheidverstrekkende en raadgevende
diensten levert, om een meerwaarde te bieden en de werking van een organisatie te verbeteren.
De interne auditactivteit helpt een organisatie bij het realiseren van haar doelstellingen door, via
een systematische en gedisciplineerde aanpak, de doeltreffendheid van het risico- en
controlebeheer en de beleidsprocessen te evalueren en te verbeteren. In de technische
terminologie verwijst men naar ‘internal audit activity’.
Meerwaarde – Een meerwaarde ontstaat door het verhogen van de mogelijkheden om de
doelstellingen van de organisatie te realiseren, het identificeren van operationele verbeteringen,
en/of het verminderen van de blootstelling aan risico’s via zowel zekerheidverstrekkende als
raadgevende diensten. In de technische terminologie verwijst men naar ‘added value’.
Naleving – Het naleven en in acht nemen van strategieën, plannen, procedures, wetten,
reglementen, contracten, of andere vereisten. In de technische terminologie verwijst men naar
‘compliance’.
Normen – Een professionele verklaring verspreid door de “International Auditing Standards Board”
die de vereisten afbakent voor de uitvoering van een brede waaier van interne auditactiviteiten, en
voor evaluatie van de functionering van de interne audit. In de technische terminologie verwijst
men naar ‘Standards’.
Objectiviteit – Een onbevooroordeelde mentale ingesteldheid die interne auditoren toelaat om
eerlijke werkproducten af te leveren zonder belangrijke toegevingen op het vlak van de kwaliteit.
Objectiviteit vereist dat interne auditoren hun oordeel over auditaangelegenheden niet
ondergeschikt maken aan dat van derden. In de technische terminologie verwijst men naar
‘objectivity’.
15

Onafhankelijkheid – Niet onderworpen zijn aan voorwaarden die een bedreiging vormen voor de
objectiviteit of schijnbare objectiviteit. Dergelijke bedreigingen van de objectiviteit moeten beheerst
worden op het niveau van de individuele auditor, de opdracht, het functionele en het
organisatievlak. In de technische terminologie verwijst men naar ‘independence’.
Opdracht – Een specifieke opdracht, taak, of nazicht, zoals een interne audit, een zelfbeoordeling
(“Control Self-Assessment Review”), een fraudeonderzoek of een raadgeving. Een opdracht kan
meerdere taken of activiteiten omvatten om een specifiek geheel van doelstellingen die daarop
betrekking hebben te verwezenlijken. In de technische terminologie verwijst men naar
‘engagement’.
Raad – Een raad is het beleidsorgaan van een organisatie, zoals een raad van bestuur, een raad
van toezicht, het hoofd van een overheidsinstelling of een wetgevend orgaan, het bestuur van een
non-profitorganisatie, of elke relevante bestuursentiteit van de organisatie, met inbegrip van het
auditcomité, waaraan het hoofd van de audit functioneel rapporteert. In de technische terminologie
verwijst men naar ‘board’.
Raadgevende diensten – Raadgevende diensten betreffen advies en aanverwante activiteiten
van dienstverlening aan de klanten. De aard en de gerichtheid van deze diensten worden
overeengekomen met de klanten, en zijn bedoeld om een meerwaarde te leveren en binnen een
organisatie de werking te verbeteren van de beleidsprocessen, het risicobeheer, en de
controleprocessen, zonder dat de interne auditor beheersverantwoordelijkheid draagt.
Voorbeelden omvatten raadgeving, adviesverstrekking, begeleiding en training. De raadgevende
diensten worden in de technische terminologie aangeduid als ’consulting services’.
Residueel risico – Het risico dat overblijft nadat het management acties en controlemaatregelen
ondernomen heeft om de impact en de waarschijnlijkheid van een schadegeval te verminderen. In
de technische terminologie verwijst men naar ‘residual risks’.
Risico – De mogelijkheid dat een gebeurtenis zich voordoet die de verwezenlijking van de
doelstellingen beïnvloedt. Risico wordt gemeten in termen van impact en van kans van optreden.
In de technische terminologie verwijst men naar ‘risk’.
Risicobeheer – Een proces voor het identificeren, evalueren, beheren en controleren van
potentiële gebeurtenissen of situaties, teneinde redelijke zekerheid over het realiseren van de
doelstellingen van de organisatie te verkrijgen. In de technische terminologie verwijst men naar
‘risk management’.
Schending van objectiviteit en onafhankelijkheid – De schending van de individuele
objectiviteit en onafhankelijkheid binnen de organisatie, kan betrekking hebben op persoonlijke
belangenconflicten, beperkingen van het werkingsveld van de audit, restricties voor de toegang tot
dossiers, personeel en bezittingen, en beperking van middelen (bijvoorbeeld financiële). In de
technische terminologie verwijst men naar ‘impairments’.
Werkprogramma van de opdracht – Een document dat de procedures opsomt, die nageleefd
moeten worden tijdens het uitvoeren van een auditopdracht om haar doelstellingen te kunnen
verwezenlijken. In de technische terminologie verwijst men naar ‘engagement work program’.
Zekerheidverstrekkende diensten - Een objectief onderzoek van bewijsmateriaal met de
bedoeling een onafhankelijke beoordeling te maken van het risico- of controlebeheer of de
beleidsprocessen voor de organisatie. Mogelijke opdrachten betreffen onder andere financieel of
operationeel onderzoek, naleving, systeembeveiliging en ‘due diligence’. De
zekerheidverstrekkende diensten worden in de technische terminologie aangeduid als ‘assurance
services’.
16