Internal Audit Charter

Transcriptie

1 Interne Audit Dienst Versie 3.0 (vervangt bij vaststelling door RvB vorige versie 2.0) Pagina 1 van 5

2 Artikel 1 Het doel, de bevoegdheden en verantwoordelijkheden van de internal auditfunctie zijn in dit internal audit charter vastgelegd. Artikel 2 Doel Internal Audit Internal audit is een onafhankelijke, objectieve functie die aanvullende zekerheid verschaft en adviesopdrachten uitvoert. De internal auditfunctie helpt haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de kwaliteit en effectiviteit van de processen van risicomanagement, interne beheersing, compliance en besturing te evalueren en aanbevelingen ter verbetering te doen. Artikel 3 Deskundigheid en professionaliteit De internal auditfunctie voldoet aan de normen, gedragscode en standaarden van het Instituut van Internal Auditors (IIA) en is ingeschreven in minimaal één register op het gebied van auditing (RA, RE, RO, CIA, CISA). De internal auditfunctie beschikt over de middelen om aan de eisen van registerinschrijving te kunnen blijven voldoen, zoals budget voor permanente educatie en periodieke (externe) kwaliteitsreviews. Manager en medewerker(s) binnen de auditfunctie moeten voldoende kennis en ervaring hebben om de meest voorkomende werkzaamheden te kunnen uitvoeren. De formatie als collectiviteit moet haar verantwoordelijkheid kunnen dragen. Eventueel kan aanvullende specialistische kennis worden ingehuurd. De internal auditfuctie implementeert een kwaliteitsbeheersingssysteem dat doorlopend de naleving van de door beroepsorganisatie IIA vastgestelde normen en professionele standaarden bewaakt. Eenmaal per jaar vindt zelfevaluatie plaats. Periodiek vindt een toets plaats door de beroepsorganisatie. Artikel 4 Positionering en objectiviteit Om maximale objectiviteit te waarborgen is de internal auditfunctie belegd in een aparte afdeling, de Interne Audit Dienst (hierna IAD). De IAD functioneert onder de verantwoordelijkheid van de Raad van Bestuur. De IAD is door deze positionering onafhankelijk van de lijn en staat los van de auditobjecten. Onafhankelijkheid en objectiviteit zijn essentieel voor de effectiviteit van de IAD en vormen voor de IAD een solide basis voor het voorkomen van belangentegenstelling (in schijn en wezen). De manager IAD wordt benoemd door de Raad van Bestuur. De Raad van Bestuur informeert de Raad van Commissarissen over benoeming en (reden van) uitdiensttreding van de manager IAD. De manager IAD heeft minimaal 2 jaar voorafgaand aan zijn aanstelling geen uitvoerende functie (1 e of 2 e lijn) vervuld. Pagina 2 van 5

3 De Raad van Bestuur stelt de taakopdracht van de IAD vast, op basis van het risicoprofiel van de organisatie. De taakopdracht en randvoorwaarden zijn vastgelegd in dit charter. De beloning van de internal auditor is niet afhankelijk van de uitkomsten van audits en/of andere typen onderzoeken. Om de onafhankelijkheid en objectiviteit verder te waarborgen, heeft de manager IAD toegang tot de voorzitter van de Raad van Commissarissen. Artikel 5 Toezicht op de internal audit functie De auditplanning (jaarplan inclusief meerjarenplanning) en realisatie worden periodiek doch minimaal één keer per jaar besproken met de Raad van Bestuur. Onderzoeksrapporten worden besproken met het verantwoordelijk lid van MT Woonstad. Definitieve rapporten worden aangeleverd aan de Raad van Bestuur. De Auditcommissie bespreekt het jaarplan en het verslag van de werkzaamheden van de IAD, welke ingebracht worden door de Raad van Bestuur. De Auditcommissie bepaalt of en wanneer de manager IAD bij zijn vergaderingen aanwezig dient te zijn. Artikel 6 Werkterrein Het werkterrein van de IAD omvat alle activiteiten en alle onderdelen van Stichting. Dit houdt onder meer in dat dochters en deelnemingen tot het werkterrein van de IAD behoren. Door de IAD wordt een Audit Universe (totaal van de periodiek te onderzoeken objecten) opgesteld. De frequentie en prioriteitsstelling van de uit te voeren audits wordt in overleg met de Raad van Bestuur vastgesteld. De Raad van Bestuur stelt aan de manager IAD voldoende middelen ter beschikking om werkzaamheden op verantwoorde wijze, naar eigen inzicht en waar nodig op eigen initiatief te verrichten. Artikel 7 Relatie met andere assurance functies De IAD beoordeelt de opzet en werking van andere interne assurance functies, zoals risicomanagement, compliance, controlling en (verbijzonderde) interne controle. Indien de opzet en werking van deze functies daartoe aanleiding geven, zal de IAD de werkzaamheden hierop afstemmen om doublures in werkzaamheden te voorkomen. De externe accountant kan de auditbevindingen van de IAD gebruiken ten behoeve van zijn werkzaamheden die voortvloeien uit de wettelijke controleplicht. Het auditplan, de werkprogramma s en de bevindingen zullen door de IAD worden afgestemd met de accountant. Pagina 3 van 5

4 Artikel 8 Bevoegdheden De medewerkers van de IAD hebben ongelimiteerde toegang tot alle gegevens, locaties en personen binnen de reikwijdte van hun functie, voor zover noodzakelijk voor de uitoefening van hun functie. Alle verkregen informatie zal de IAD als vertrouwelijk behandelen in overeenstemming met de professionele standaarden. In het geval dat het bestuur onvoldoende maatregelen neemt om door de IAD geconstateerde problemen in de interne beheersing (in brede zin) op te lossen, is de manager IAD bevoegd om direct te rapporteren aan de voorzitter van Raad van Commissarissen. Artikel 9 Verantwoordelijkheden De IAD stelt een jaarplan op per kalenderjaar met uit te voeren werkzaamheden op basis van het Audit Universe (zie artikel 6), interne en externe ontwikkelingen, reeds uitgevoerde audits en een risicoanalyse. Het jaarplan wordt besproken met de Raad van Bestuur. Na instemming van de Raad van Bestuur wordt het jaarplan ter consultatie voorgelegd aan de Auditcommissie. Hierna stelt de Raad van Bestuur het jaarplan definitief vast. De door de IAD uit te voeren audits zijn gebaseerd op het jaarplan, verzoeken van de Raad van Bestuur en op eigen inzicht. De IAD hanteert voor onderzoeken een systematische werkwijze. De IAD adviseert de opdrachtgever bij de vaststelling van de scope van de werkzaamheden en de wijze en diepgang van de uit te voeren werkzaamheden. De resultaten van een onderzoek worden eerst besproken met de auditee (altijd een MTlid). Op elke bevinding volgt (indien mogelijk en noodzakelijk) een aanbeveling tot verbetering van de beheersing van een gesignaleerd risico. De auditee (MT-lid) voegt een implementatieplan toe (actie + verantwoordelijke + realisatiedatum) en bespreekt dit met de verantwoordelijke portefeuillehouder binnen de Raad van bestuur. De verbeteracties worden vervolgens formeel vastgesteld door de Raad van bestuur. Ieder tertaal rapporteren MT-leden schriftelijk aan de RvB over de status van de verbeteracties. De manager IAD informeert de Raad van Bestuur ieder tertaal over de realisatie van het jaarplan. Twee keer per jaar stelt de IAD een samenvatting op van de auditbevindingen ten behoeve van de Raad van Bestuur, inclusief de status van de opvolging van aanbevelingen. De Raad van Bestuur verstrekt deze samenvatting aan de auditcommissie als onderdeel van de verantwoording over het functioneren van de aanwezige risico- en beheerssystemen. Vastgesteld door de Raad van Bestuur op 18 november 2015 Bijlage: RACI-schema Interne Audit Functie Pagina 4 van 5

5 Bijlage: RACI-schema Internal Audit functie Externe Accountant Voorzitter RvC RvC (Auditcommissie) RvB Lid RvB Manager IAD MT Woonstad Manager F&C Manager R&C Auditee (MT-Lid) Manager I&A Internal audit charter 1. Opstellen en evalueren auditcharter I I I A R Opstellen auditplan(ning) 1. Opstellen integrale risicoanalyse Woonstad A R Rotterdam 2. Opstellen frauderisicoanalyse A R 3. Actualiseren proceshuis A 4. Opstellen (risk-based) meerjaren auditplanning A R 5. Opstellen auditjaarplan IAD I C A R I Uitvoeren audits/onderzoeken 1. Opstellen opdrachtbrief A R 2. Opstellen werkprogramma / datamatrix A 3. Uitvoeren onderzoeksactiviteiten A 4. Opstellen conceptrapportages A 5. Reviewen dossiers A 6. Opstellen definitieve rapportages I A 7. Opstellen managementreacties A I R 8. Vaststellen verbeteracties A I R 9. Informeren MT A R 10. Evalueren audits/onderzoeken A C Opvolgen verbeteracties 1. Voortgang acties verantwoorden in T-rapportages A R 2. Periodieke check volledigheid verantwoording acties A R 3. Ingrijpen bij onvoldoende voortgang A R P&C-cyclus 1. Opstellen T-rapportages IAD cf format F&C A R 2. Opstellen halfjaarlijkse IAD rapportage I A R 3. Periodieke afstemming Bestuur A R 4. Verantwoording voortgang verbeteracties A R Opstellen en implementeren kwaliteitsbeleid IAD 1. Opstellen en implementeren kwaliteitsbeleid IAD A 2. Evalueren kwaliteitsbeleid A 3. Periodieke peer-review laten uitvoeren A 3. Periodieke onafhankelijke kwaliteitstoets laten A uitvoeren Maatregelen ihkv good governance 1. Escaleren in geval van onvoldoende ingrijpen RvB I A 2. Informeren over benoeming/uitdiensttreding manager IAD I A R Pagina 5 van 5