auditcommissie ondersteunt de raad van commissarissen bij het toezicht op de effectiviteit van de opzet en werking van de interne
2. Monitoren van de interne risicobeheersings- en controlesystemen
Op basis van de risicobeoordeling ontwerpt, implementeert en onderhoudt het bestuur adequate interne risicobeheersings- en controlesystemen. De systemen worden geïntegreerd in de werkprocessen van de organisatie en zijn bekend bij de medewerkers voor wie deze relevant zijn.
Het bestuur monitort de werking van de interne
risicobeheersings- en controlesystemen en voert ten minste jaarlijks een systematische beoordeling uit van de opzet en de werking van de systemen. Deze monitoring heeft betrekking op alle materiële beheersingsmaatregelen, gericht op strategische, operationele, compliance- en verslaggevingsrisico’s. Hierbij wordt onder meer rekening gehouden met geconstateerde zwaktes, misstanden en onregelmatigheden, signalen van klokkenluiders, geleerde lessen en bevindingen van de interne auditfunctie en de externe accountant. Waar nodig worden verbeteringen in interne risicobeheersings- en controlesystemen doorgevoerd.
& CORE VALUES BUSINESS
OBJECTIVE
& Revision Information,
Communication, 2. Establishes Operating Structures
3. Defines Desired Culture 4. Demonstrates Commitment to Core Values 5. Attracts, Develops, and Retains Capable Individuals
6. Analyzes Business Context
7. Defines Risk Appetite 8. Evaluates Alternative Strategies 9. Formulates Business Objectives
10. Identifies Risk 11. Assesses Severity of Risk 12. Prioritizes Risks 13. Implements Risk Responses 14. Develops Portfolio View
15. Assesses Substantial Change
16. Reviews Risk and Performance 17. Pursues Improvement in Enterprise Risk Management
18. Leverages Information and Technology 19. Communicates Risk Information 20. Reports on Risk, Culture, and Performance
COSO Enterprise Risk Management
Bron: COSO, Enterprise Risk Management - Integrating with Strategy and Performance.
Wel stelt de Code dat het voor de hand ligt dat het bestuur bij de beschrijving van de opzet en de werking van de systemen in het jaarverslag aangeeft welk raamwerk of normenkader (bijvoorbeeld het COSO-raamwerk voor interne beheersing) is gehanteerd bij de evaluatie daarvan. Dat impliceert de verwachting dat Nederlandse beursgenoteerde ondernemingen voor de inrichting en
evaluatie van het organisatie-specifieke
risicomanagementsysteem aansluiting zoeken bij
algemeen erkende, internationaal geaccepteerde raamwerken, zoals het COSO Integrated Internal Control Framework (2013), of COSO Enterprise Risk Management (ERM) Framework (2017).
Zie pwc.nl voor meer informatie.
Als de organisatie nog geen algemeen erkend risicoraamwerk hanteert, moet de auditcommissie onderzoeken wat de reden daarvan is en of het alternatief garant staat voor een even goede inrichting en evaluatie van 1. Commissie
2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
de risicobeheersings- en controlesystemen.
Als dit laatste niet het geval blijkt, moet de auditcommissie staan op aanpassing van het risicoraamwerk. Wanneer de organisatie wel een dergelijk raamwerk hanteert, kan de auditcommissie dit ook zelf als richtlijn gebruiken voor de monitoring van de risicosystemen.
Best practice
Inzet data-analyse voor risicobeheer en interne controle
De auditcommissie kan het bestuur vragen of en hoe de organisatie gebruikmaakt van (voorspellende) data-analyse voor het identificeren en managen van risico’s.
Het draait bij data-analyse om het
samenbrengen van informatie waarover de organisatie al beschikt ‒ zowel van interne als externe bronnen ‒ tot waardevolle analyses. Dat kan helpen bij de beheersing en de monitoring van risico’s.
Uit de praktijk
Twee voorbeelden van datagestuurd risicomanagement
• Een groothandel in consumentengoederen maakt zich zorgen over het risico dat de inkoopketen besmet wordt door namaakproducten. Deze kunnen immers leiden tot problemen op het gebied van veiligheid en kwaliteit en schade toebrengen aan merk en reputatie. Door het vergelijken van sales- en marketinggegevens met sociale media en internetactiviteit is het bedrijf in staat om de landen of regio’s te identificeren waar de kans dat namaakgoederen de inkoopketen binnenkomen het grootst is. Die landen of regio’s kunnen vervolgens zorgvuldiger gemonitord worden.
• Veel organisaties maken zich zorgen over de naleving van aanbestedingsregels. Voor het beheersen van dit compliancerisico kan data-analyse worden ingezet: door transacties per leverancier te linken aan de betrokken inkoopmanagers kunnen ongewenste patronen in het inkoopgedrag worden ontdekt.
Waarop let een effectieve auditcommissie op bij het toezicht op de interne beheersing?
Verantwoordelijkheden en de bijbehorende vragen Verantwoordelijkheden van
de auditcommissie
Aandachtspunten
Inzicht hebben in de mate van interne controle binnen de organisatie
• In welke mate begrijpt de auditcommissie wat de belangrijkste bedrijfsprocessen zijn en waar strakke interne controles nodig zijn?
• Ontvangt de auditcommissie betrouwbare informatie over fraude-incidenten of grootschalige tekortkomingen op het gebied van control?
• Verschaft het bestuur op enige wijze inzicht aan de auditcommissie over de effectiviteit van de interne controle van de belangrijkste bedrijfsprocessen? In hoeverre houdt het bestuur voldoende contactmomenten om deze inzichten te ondersteunen?
• Verkrijgt de auditcommissie voldoende onafhankelijke terugkoppeling aangaande de uitvoering van de belangrijkste controles door de interne auditor en de externe accountant van de organisatie?
• Hoe bewaakt de auditcommissie de implementatie door het bestuur van corrigerende acties naar aanleiding van zwakke plekken binnen de interne controle?
1. Commissie 2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
Risico’s voor effectieve interne beheersing: de auditcommissie vraagt het bestuur periodiek hoe wordt omgegaan met potentiële risico’s voor de effectiviteit van de interne beheersing van organisaties:
Management doorbreekt beheersingsmaatregelen:
auditcommissies moeten zorgvuldig in de gaten houden of – en hoe – het management vastgelegde beheersings-maatregelen kan doorbreken, en welke procedures die risico’s kunnen verkleinen.
Externe dienstverleners: auditcommissies van organisaties die (een gedeelte van) belangrijke taken uitbesteden – zoals de administratie, de verwerking van informatiesystemen, de ontwikkeling van systemen of het testen van interne beheersingsmaatregelen – moeten zich ervan vergewissen dat het management deze externe dienstverleners op de juiste wijze monitort en zich ervan verzekert dat de geleverde diensten volstaan.
Informatietechnologie: de auditcommissie moet zich ervan vergewissen dat haar leden over de kennis beschikken of hiervoor kunnen leunen op interne of externe experts, om de complexe informatietechnologie te begrijpen die ten grondslag ligt aan de interne beheersingsmaatregelen.
Auditcommissies moeten in staat zijn inzichtelijke vragen te stellen over beheersingsmaatregelen met betrekking tot de
integriteit van klantgegevens, privacy, beveiliging en toegang.
Daarnaast kunnen nieuwe technologieën en ontwikkelingen op gebieden als sociale media en cloudcomputing zowel tot kansen als tot risico’s leiden, die misschien ook door het management nog niet ten volle worden ingezien.
Fusies en overnames: auditcommissies moeten aan het management vragen hoe zij de interne beheersingsmaatregelen van de overnamekandidaat beoordelen bij het overwegen van een dergelijke transactie. Tijdens het due-diligenceonderzoek moet er specifiek aandacht zijn voor het systeem van interne beheersingsmaatregelen en de gevolgen hiervan voor de externe rapportagevereisten – met name voor de staat van de interne-controleomgeving van de overnamekandidaat en de plannen van de organisatie om de operationele activiteiten samen te voegen en de mogelijkheid om de beheersingsmaatregelen te standaardiseren na de acquisitie..
Impact van herstructurering: de controleomgeving kan significant veranderen door afname van het
personeelsbestand, veranderingen van het bedrijfsmodel, consolidatie van de operationele activiteiten, de verkoop van activa, en uit deze activiteiten resulterende veranderingen van processen en informatiesystemen. Auditcommissies moeten zich op de hoogte stellen van hoe het management de impact van zulke veranderingen op de interne controle aanpakt.
1. Commissie 2. Continuïteit
3. Corporate impact 4. Control & Compliance
1. Beoordelen van de risico’s 2. Monitoren van de interne
risicobeheersings- en controlesystemen
3. Afstemmen met Internal Audit 4. Afstemmen met de externe
accountant 5. Interne en externe
verantwoording
6. Enkele risicocategorieën uitgelicht
Bijlagen
5. Cultuur en gedrag 6. Checks & Balances 7. Corporate Reporting 8. Crisis
9. Communicatie
De rol van de auditcommissie
De auditcommissie keurt jaarlijks het werkplan van Internal Audit goed, evenals tussentijdse wijzigingen daarin. Aanleidingen voor bijstelling van het werkplan kunnen zijn:
• een veranderend risicoprofiel door een bijstelling van de strategie;
• een wijziging in externe omstandigheden
• signalen uit de organisatie;
• een vermoeden van misstanden en onregelmatigheden;
• tussentijdse bevindingen van Internal Audit.
De auditcommissie kan Internal Audit ook zelf proactief vragen aandacht te besteden aan bepaalde aspecten van risicobeheer en interne controle. De auditcommissie kan Internal Audit (namens de raad van commissarissen) verder expliciet vragen om het verlenen van assurance over de opzet en de werking van (onderdelen van) de interne risicobeheersings- en controlesystemen. Gebruikelijk is dat Internal Audit rapporteert over de in het afgelopen kwartaal uitgevoerde onderzoeken.
De auditcommissie kan vervolgens een dialoog aangaan met het bestuur en andere functionarissen over de onderzoeksresultaten van Internal Audit, bijvoorbeeld over geconstateerde zwakke plekken of gebreken in risicobeheer of interne controle.
(Zie verder hoofdstuk 6, deel I, over de relatie van de auditcommissie met Internal Audit.)
De auditcommissie mag voor de beoordeling van de interne controle en de monitoring daarvan niet alleen afhankelijk zijn van de informatie van het bestuur. Om deze informatie in perspectief te zetten, kan de auditcommissie een beroep doen op een andere interne informatiebron:
Internal Audit. Deze functie of afdeling, indien aanwezig, heeft volgens de Code expliciet tot taak om de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen en doet daarnaar een eigen onderzoek. De resultaten van dat onderzoek worden niet alleen gerapporteerd aan het bestuur, maar ook aan de auditcommissie (de kernpunten).
Overigens is er in de praktijk niet altijd sprake van de taken en verantwoordelijkheden van een interne auditfunctie zoals bedoeld in de Code.
(Zie ook hoofdstuk 6, deel I, over de relatie van de auditcommissie met Internal Audit.)