Een internal auditfunctie van één tot vijf auditors valt onder dezelfde Global Internal Audit Standards als een afdeling van vijftig. Dezelfde normen, zonder de schaal, de specialisatie en het budget. Het probleem is niet de bedoeling van die standaarden. Het probleem is de uitvoerbaarheid.
Die spanning raakt een grote groep. Wereldwijd heeft 51% van de Chief Audit Executives een team van vijf of minder medewerkers. Europese benchmarkgegevens bevestigen dat beeld: een substantieel deel van de auditfuncties heeft minder dan 4 fte, of zit in de bandbreedte van 4 tot 10 fte.1 Kleine auditfuncties zijn geen uitzondering. Ze vormen de grootste populatie binnen de GIAS.
In Nederland komt daar de Corporate Governance Code bovenop. Die verlangt een internal auditfunctie die opzet en werking van de interne risicobeheersings- en controlesystemen beoordeelt, inclusief een periodieke externe beoordeling.2 IIA Nederland heeft de overgang naar de GIAS concreet ingevuld met transitietabellen, Scaling Guidelines en het Document Oordeelsvorming als kader voor kwaliteitstoetsingen.
De kernvraag voor kleine functies is niet óf de GIAS relevant zijn, maar waar volledige conformance structureel vastloopt. Dit artikel richt zich op de standaarden waar de omvang van de functie zelf het knelpunt vormt. Standaarden die vooral discipline of basisinrichting vragen, blijven buiten scope.
De standaarden waar het echt knelt
Niet alle GIAS wegen even zwaar voor kleine auditfuncties. De grootste druk komt van een beperkte groep standaarden rond kwaliteitsbeoordeling, strategievorming, bezetting en technologie. Daarnaast is er een tweede groep die lastig uitpakt, maar met gerichte keuzes en goede governance beheersbaar blijft.
| Standaard | Onderwerp | Moeilijkheid voor KAFs | Waarom het knelt |
|---|---|---|---|
| 8.4 | Externe kwaliteitstoetsing (EQA/SAIV) | Hoog | EQA-kosten en voorbereiding zijn vrijwel onafhankelijk van teamgrootte; voor 1–3 fte is dit relatief zeer zwaar. |
| 9.2 | Internal auditstrategie (meerjaren) | Hoog | Een formele meerjarenstrategie kost tijd en denkkracht die in kleine teams direct concurreert met uitvoerende audits. |
| 10.2 | Personele middelen | Hoog | Eén of enkele medewerkers moeten een brede set competenties afdekken, terwijl de standaarden expliciet om voldoende en gekwalificeerde bezetting vragen. |
| 10.3 | Technologische middelen | Hoog | Auditsoftware, data-analyse en workflowtools vergen budget en implementatiecapaciteit die kleine functies vaak niet hebben. |
| 12.1 | Intern kwaliteitsborgingsprogramma (QAIP) | Hoog | Doorlopende monitoring en periodieke zelfevaluaties kosten structureel tijd, zonder dat kleine functies daar aparte capaciteit voor hebben. |
| 12.3 | Kwaliteit op opdrachtenniveau | Hoog | Een solo-auditor of klein team heeft niet vanzelfsprekend een onafhankelijk tweede paar ogen voor review en supervisie. |
| 2.2 | Objectiviteit waarborgen | Midden | Nauwe relaties, gecombineerde rollen en beperkte rotatiemogelijkheden vergroten het risico op rolconflicten. |
| 7.1 | Organisatorische onafhankelijkheid | Midden | Functionele rapportage aan bestuur of auditcomité is in kleinere organisaties niet altijd stevig verankerd. |
| 9.4 | Internal auditplan | Midden | Risicogebaseerde planning met zeer beperkte capaciteit leidt onvermijdelijk tot witte vlekken in dekking. |
| 10.1 | Financiële middelen | Midden | Beperkte budgetten zetten druk op opleiding, tooling en externe ondersteuning, terwijl de standaarden expliciet om resourcekeuzes vragen. |
Hieronder bespreken we die zes rode standaarden, gegroepeerd in drie thema's: kosten, capaciteit en onafhankelijkheid. De oranje standaarden zijn relevant als versterker, niet als kern van het probleem.
Kosten die niet meeschalen
De eerste groep knelpunten draait om geld. Externe toetsing (8.4) en technologie (10.3) kosten vrijwel hetzelfde, of je nu twee of twintig auditors hebt. Dat is de kern: de rekening schaalt niet mee met je team.
8.4 Externe kwaliteitstoetsing
Standaard 8.4 vereist dat de internal auditfunctie ten minste eens per vijf jaar een externe kwaliteitsbeoordeling ondergaat door een gekwalificeerde, onafhankelijke beoordelaar of beoordelingsteam. In Nederland wordt dat versterkt door de Corporate Governance Code en het nationale toezicht- en beoordelingskader rond kwaliteitstoetsingen.
Voor kleine auditfuncties is dit een van de zwaarste vereisten. Kosten en voorbereiding schalen nauwelijks mee met de omvang van de functie. Een team van 2 fte doorloopt in de praktijk vrijwel dezelfde voorbereiding als een team van 20 fte, terwijl de relatieve budgetdruk vele malen hoger ligt.
Kleine functies kiezen in de praktijk vaak voor Self-Assessment with Independent Validation (SAIV), peer review of een vroeg opgebouwd conformance-dossier waarin beleid, keuzes, werkprogramma's en afwijkingen worden vastgelegd. Externe kwaliteitstoetsing begint niet pas in jaar vijf. Je bereidt die vanaf dag één voor in de documentatie.
10.3 Technologische middelen
Standaard 10.3 verlangt dat de CAE vaststelt welke technologische middelen nodig zijn en ervoor zorgt dat de auditfunctie daar adequaat toegang toe heeft. Technologie en tooling zijn daarmee een expliciete managementverantwoordelijkheid van de CAE.
Voor kleine functies is dit lastig. Specialistische audittools, data-analyseoplossingen en GRC-platformen kosten geld én implementatiecapaciteit. De standaard eist geen specifiek systeem, maar wél een bewuste, onderbouwde keuze. Juist die onderbouwing schiet er in kleine functies bij in.
Begin met documenteren: welke tools zijn nu in gebruik, waarvoor zijn ze geschikt, waar liggen de grenzen en welke risico's brengt dat mee voor de audituitvoering.1 Vanuit dat overzicht kan een kleine functie gericht beargumenteren waarom een beperkte set tooling volstaat, of waarom aanvullende ondersteuning nodig is.
Capaciteit tegenover de eisen
De tweede groep gaat over capaciteit tegenover eisen. Strategie (9.2), bezetting (10.2) en kwaliteitsborging (12.1) vragen tijd en denkkracht die in een klein team rechtstreeks concurreren met uitvoerend auditwerk.
9.2 Internal auditstrategie
Standaard 9.2 verlangt dat de CAE een meerjarenstrategie opstelt die de visie, doelstellingen, prioriteiten en benodigde middelen van de internal auditfunctie beschrijft, in lijn met de strategie van de organisatie. Die strategie vormt de basis voor latere keuzes in auditplanning, competentieontwikkeling en technologie.
Kleine functies ervaren deze standaard vaak als zwaar. Ze opereren reactief en pragmatisch, niet planmatig drie tot vijf jaar vooruit. Toch heeft juist een kleine functie méér aan een strategie dan een grote. Beperkte capaciteit dwingt tot expliciete keuzes over wat wel en niet geraakt wordt.
Dat hoeft geen dikke nota te zijn. Twee à drie pagina's volstaan. Richting bestuur en auditcomité zijn ze een helder conform-or-explain-document.
10.2 Personele middelen
Standaard 10.2 verplicht de CAE om te zorgen voor voldoende en gekwalificeerd personeel, met de juiste mix van competenties, aandacht voor ontwikkeling en brede inzetbaarheid.3 In kleine teams betekent dat concreet: iedereen moet meer kunnen dan één ding.
Voor kleine auditfuncties is dat een structureel probleem. Grote afdelingen specialiseren. Kleine teams moeten tegelijk verstand hebben van IT, data, governance, gedrag, compliance en operationele processen. Het probleem is niet alleen capaciteit. Je kunt alle relevante expertise onmogelijk duurzaam in eigen huis organiseren.
Maak scherp wat je intern moet hebben en wat je aantoonbaar via cosourcing, gastauditors of reliance op andere assurancefuncties regelt. Weet wat je zelf doet, wat je elders belegt, en leg dat vast.
12.1 Intern kwaliteitsborgingsprogramma
Standaard 12.1 verplicht de CAE tot een intern kwaliteitsborgings- en verbeterprogramma met doorlopende monitoring, periodieke zelfevaluaties en opvolging van verbetermaatregelen. Het kwaliteitsprogramma is een permanente activiteit, geen jaarlijks ritueel.
Voor kleine functies weegt dat zwaar. QAIP-activiteiten concurreren rechtstreeks met uitvoerende auditcapaciteit. Wat in een grotere afdeling door meerdere mensen of een kwaliteitscoördinator wordt opgepakt, moet in een KAF vaak door dezelfde auditor die ook opdrachten uitvoert.
Kwaliteitsborging werkt het best als je het in het dagelijkse werk verweeft: vaste checklists, dossierreviews, lessons-learned per opdracht en periodieke zelfevaluaties met hulpmiddelen als de Conformance Readiness Assessment en het DO. Voor kleine functies is een risicogerichte QAIP-aanpak vrijwel altijd effectiever dan een volledig uitgewerkt intern kwaliteitssysteem.
Maak de keuze expliciet: een team van twee fte dat twintig procent van zijn tijd aan kwaliteitsborging besteedt, auditt twintig procent minder. Of je accepteert dat, of je toont aan dat een lichtere QAIP-aanpak verantwoord is.
Onafhankelijkheid onder druk
De derde groep raakt de kern van auditkwaliteit: onafhankelijke tegenkracht. Kwaliteit op opdrachtniveau (12.3) veronderstelt een tweede paar ogen. In een klein team is dat precies wat ontbreekt.
12.3 Kwaliteit op opdrachtenniveau
Standaard 12.3 gaat over kwaliteit op opdrachtniveau: supervisie, coaching, review van werkpapieren en rapportages, en het verbeteren van prestaties op basis van feedback. De standaard gaat ervan uit dat er binnen of rond de functie voldoende tegenkracht en reflectie beschikbaar is.
Bij kleine auditfuncties klopt die aanname zelden. Een solo-auditor kan zichzelf niet onafhankelijk reviewen. En ook in teams van twee of drie mensen zijn formele reviewrollen lastig objectief te organiseren. Dat levert structurele spanning op tussen wat de standaard verlangt en wat de bezetting toelaat.
Externe dossierreviews, peer review op geselecteerde opdrachten, begeleiding door een meer ervaren auditor of gestandaardiseerde templates met reviewchecklists helpen dit gat te dichten. Een kleine functie moet aantoonbaar maken hoe zij kwaliteit op opdrachtniveau borgt, ook zonder intern vierogenprincipe.
De oranje standaarden in context
Naast deze zes kernstandaarden zijn er standaarden die voor kleine functies lastig zijn, maar zelden het primaire knelpunt vormen: objectiviteit (2.2), organisatorische onafhankelijkheid (7.1), het auditplan (9.4) en financiële middelen (10.1).
Deze standaarden worden vooral problematisch doordat zij de rood gemarkeerde standaarden verzwaren. Een zwakke rapportagelijn maakt kwaliteit en escalatie lastiger. Een beperkt budget verkleint de ruimte voor technologie en externe review. Beperkte objectiviteit of een dun auditplan vergroten de druk op een functie die al krap bezet is.
Nederlandse hulpmiddelen voor proportionaliteit
Kleine auditfuncties hoeven deze afwegingen niet zonder hulpmiddelen te maken. IIA Nederland heeft met de transitietabellen, het Ambition Model en het Document Oordeelsvorming instrumenten beschikbaar gemaakt waarmee kleine functies hun keuzes onderbouwen.
| Probleem | Hulpmiddel |
|---|---|
| Inzicht krijgen in verschillen tussen oude standaarden en GIAS | Two-way Mapping / transitietabellen van IIA Nederland4 |
| Bepalen waar de grootste gaps zitten | Conformance Readiness Assessment en GIAS-checklists5 |
| Proportionaliteit voor kleine functies onderbouwen | Document Oordeelsvorming5 |
| Ambitieniveau en ontwikkelpad bepalen | Ambition Model van IIA Nederland78 |
| Non-conformance en kwaliteitsoordelen structureren | Document Oordeelsvorming en toezichtkader kwaliteitstoetsingen59 |
Voor kleine functies geldt: uitlegbaar en verdedigbaar is haalbaar. Volledig conformant is dat niet altijd.
Bestuur en RvC: wat hierachter schuilgaat
Veel van deze knelpunten zijn geen uitvoeringsvraagstuk voor de CAE alleen. Ze komen voort uit keuzes van bestuur en RvC over positionering, budget en mandaat. De zwaarste standaarden worden nog zwaarder wanneer de functie onvoldoende toegang, middelen of bestuurlijke rugdekking heeft.
Bestuur en RvC die een kleine auditfunctie beoordelen alsof zij groot is, missen het punt. De vraag is: zijn de randvoorwaarden aanwezig voor proportionele conformance? Dat vraagt om keuzes, en vooral duidelijkheid over rapportagelijnen, middelen, externe reviews, cosourcing en acceptatie van blinde vlekken in audit coverage.
Aanbevelingen voor kleine auditfuncties
De prioriteit ligt niet in het gelijkmatig uitwerken van alle 52 standaarden. Wees selectief: pak de standaarden aan waar omvang de grootste uitdaging vormt, en documenteer de rest.
- Begin met een gerichte gap-analyse op 8.4, 9.2, 10.2, 10.3, 12.1 en 12.3, en behandel de oranje standaarden als context en versterkende factor.
- Gebruik Nederlandse hulpmiddelen zoals het DO/Scaling Guidelines en het Ambition Model om proportionaliteit expliciet en verdedigbaar te maken.
- Leg beperkingen in capaciteit, technologie, onafhankelijkheid en review niet impliciet in dossiers vast, maar expliciet in strategie, auditplan en communicatie met bestuur en auditcomité.
Hoe kan Audirium u helpen?
Kleine auditfuncties staan voor de zwaarste GIAS-uitdagingen: kwaliteitsborging, strategische planning, resource-management, governance en het proportioneel invullen én documenteren van non-conformance. Audirium helpt u dat concreet te maken, afgestemd op uw situatie en capaciteit.
- GIAS-advies en gap-analyse. Charter, auditplan en jaarrapport GIAS-conform maken op basis van úw situatie. Proportionaliteit staat centraal, geen vaste mal.
- Coaching voor de CAE. Persoonlijke begeleiding bij competentie-ontwikkeling (Std. 3.1 en 3.2), strategische vraagstukken en non-conformance documenteren en communiceren richting bestuur.
- Externe review (EQA en SAIV). Periodieke kwaliteitstoetsing conform Standaard 8.4 en het DO, kritisch maar constructief. Kennis blijft in uw organisatie. Ondersteund door ons GIAS Assessment-platform, waarmee de EQA-voorbereiding en het conformance-dossier een stuk efficiënter verlopen.
- Peer review-coördinatie. Wij helpen bij het opzetten van samenwerkingsverbanden met andere KAFs: kosten delen, kwaliteit verhogen.
Wil je weten hoe Audirium jouw auditfunctie versterkt richting GIAS-conformiteit? Neem contact op →
Bronnen
- Chartered Institute of Internal Auditors, Internal Audit Benchmarking Part One, december 2024. charterediia.org
- Monitoring Commissie Corporate Governance Code, Dutch Corporate Governance Code 2025, 2025. mccg.nl
- Chartered Institute of Internal Auditors, Small Internal Audit Functions Guidance, 2025. charterediia.org
- IIA Nederland, Effectuering GIAS, 2025. iia.nl
- IIA Nederland, Document Oordeelsvorming o.b.v. GIAS, 2025. iia.nl
- IIA Nederland, Scaling Guidelines, based on GIAS, 2024. iia.nl
- IIA Nederland, Ambition Model – Versterk Interne Auditkwaliteit, geraadpleegd 2026. iia.nl
- IIA Nederland, Updated Ambition Model: Now Aligned with Global Audit Standards, 2025. iia.nl
- IIA Nederland, Antwoord op al uw vragen over toezicht kwaliteitstoetsingen, geraadpleegd 2026. iia.nl