Kwaliteit van de internal audit functie bij banken en verzekeraars : een verkennend onderzoek naar de hedendaagse verwachting van proceseigenaren over de kwaliteit van de dienstverlening van de internal audit functie bi

(1)

[2014]

Document: referaat EAIP

Auteur: A.J.L. Ensink

Begeleider: Studentennummer: Instelling:

E. Amersfoort 9306218

Universiteit van Amsterdam

Opleiding: EIAP

Datum: 03-04-2014

KWALITEIT VAN DE INTERNAL AUDIT FUNCTIE BIJ

BANKEN EN VERZEKERAARS

EEN VERKENNEND ONDERZOEK NAAR DE HEDENDAAGSE VERWACHTING VAN PROCESEIGENAREN OVER DE KWALITEIT VAN DE DIENSTVERLENING VAN DE INTERNAL AUDIT FUNCTIE BIJ NEDERLANDSE BANKEN EN VERZEKERAARS.

(2)

Inhoudsopgave

Voorwoord ... 3 Samenvatting ... 4 Hfdst 1. Onderzoeksopzet ... 6 1.1 Aanleiding en relevantie ... 6 1.2 Doelstelling ... 6

1.3 Scope en afbakening van het onderzoek ... 6

1.4 Probleemstelling ... 6

1.5 Onderzoeksvragen ... 7

1.5.2 Leeswijzer ... 8

1.6 Onderzoek model ... 8

Hfdst 2. Internal Audit Maturity Model (CIAMM) ...10

2.1 Inleiding ...10

2.2 Raamwerk voor volwassenheid IAF ...10

2.3 Conclusie ...12

Hfdst 3. De werkzaamheden van Internal Audit Functie volgens de huidige weten regelgeving ...13

3.1 Inleiding ...13

3.2 Historie ...13

3.3 Periode begin jaren negentig begin 21ste eeuw ...13

3.4 Periode begin 21ste eeuw tot en met nu ...14

3.4.1 Toezichtwetgeving ...14

3.4.2 Codes ...15

3.4.3 NBA...16

3.4.4 IIA ...17

3.4.4.a Verplichte richtlijnen ...17

3.4.4.b Sterk aanbevolen richtlijnen ...19

3.5 Traditionele werkzaamheden IAF ...20

3.6 Hedendaagse werkzaamheden IAF ...21

3.6.1 Governance ...21

3.6.2 Risicobeheersing ...21

3.7 Proactieve aanpak ...22

3.8 Conclusie ...22

Hfdst 4. Hoe zijn de werkzaamheden van de Internal Audit Functie ingevuld bij middelgrote tot grote banken/ verzekeraars? ...24

4.1 Inleiding ...24

4.2 Keuze Respondenten ...24

4.3 Resultaten uit interviews ...24

4.4 Conclusie ...27

Hfdst 5. Wat vindt de proceseigenaar bij middelgrote tot grote banken/verzekeraars van de werkzaamheden van de IAF. ...29

5.1 Inleiding ...29

5.2 Keuze Respondenten ...29

5.2.1 Who is being satisfied?...30

5.2.2 What is being satisfied?...30

5.2.3 How are customer needs satisfied? ...30

(3)

5.4 Conclusie ...33

Hfdst 6. Analyse resultaten en conclusies ...34

6.1 Inleiding ...34

6.2 Verschil in verwachtingen ...34

6.2.1 Onderzoeken in het verleden ...34

6.2.2.a Perceptiekloof ...34

6.2.2.b Prestatiekloof ...34

6.2.2.c Communicatiekloof ...34

6.3 Vergelijking resultaten onderzoeksvragen ...34

Hfdst 7. Aanbevelingen ...38

7.1 Inleiding ...38

7.2 How are needs satisfied? ...38

Bijlage 1: Geraadpleegde bronnen ...40

Bijlage 2: Koppeling interviewvragen met dimensies CIAMM...41

Bijlage 3: Resultaten interviews ...42

Bijlage 4: Resultaten Surveys ...46

(4)

Voorwoord

Dit referaat is geschreven in het kader van de postdoctorale opleiding ‘Executive Internal Auditing Programme’ (EIAP) aan de UvA te Amsterdam.

Audit is over het algemeen niet een beroep waar velen van jongs af aan al een idee van hebben. Ook ikzelf ben er bij toeval mee in aanraking gekomen tijdens mijn afstudeerstage. Doordat ik langzaam aan naar de rol van interne auditor ben toegegroeid heb ik het zelf niet echt in de gaten gehad, maar audit schijnt een vak apart te zijn. Nu wordt het vakgebied audit steeds belangrijker in een wereld waar de behoefte aan control toeneemt. Graag wilde ik daarom weten of dat wat mij in al die jaren is geleerd en verteld ook hetgeen is dat er in de praktijk wordt uitgevoerd. Doen we hetgeen wat we moeten doen en wordt hetgeen we doen ook van ons verwacht en/of vereist? Is er mogelijk sprake van een verwachtingskloof tussen het vakgebied audit en de afnemers van onze diensten in de vorm van proceseigenaren en hoe kan die kloof worden overbrugd? Dat is iets wat ik tijdens dit onderzoek wilde uitzoeken. Hierbij wil ik ook van de gelegenheid gebruik maken om een dankwoord uit te spreken richting allen die een bijdrage hebben geleverd aan dit referaat. Dat zijn allereerst degenen die ik heb mogen interviewen. Boven mijn verwachting waren alle benaderde organisaties zeer behulpzaam ondanks het feit dat hun tijd kostbaar is. De gesprekken heb ik als zeer aangenaam en leerzaam ervaren. Hierbij kon ik hetgeen me in de afgelopen jaren is geleerd, toepassen tijdens de interviews.

Tot slot wil ik mijn vrouw, na twee studies en een zoon later, bedanken voor haar geduld tijdens de vele uren dat ik boven zat te studeren.

(5)

Samenvatting

Het doel van het verkennend onderzoek is antwoord te verkrijgen op mijn probleemstelling ‘Sluiten de huidige geleverde diensten van de Internal Audit Functie (IAF) bij middelgrote tot grote banken/verzekeraars in Nederland aan bij de verwachtingen van de proceseigenaar?’ Vanuit de literatuur wordt bij een groot verschil in verwachting over een perceptiekloof, prestatiekloof en communicatiekloof gesproken. De opzet van mijn onderzoeksvragen is gebaseerd op deze drie soorten verwachtingskloven.

Om antwoord te verkrijgen op mijn onderzoeksvragen heb ik mijn onderzoek opgebouwd uit een theoretisch onderzoek, interviews met de IAF’s en gehouden surveys bij de proceseigenaren. Om de verschillen in verwachtingen te categoriseren heb ik daarbij gebruik gemaakt van het Internal Audit Maturity Model (CIAMM). Op basis van de dimensies ‘Rol, taken en aandachtsgebieden’, ‘Personeel’, ‘Professional practices’, ‘Prestatiemanagement en accountability’, ‘Relatiemanagement en cultuur’ en ‘Governancestructuur’ uit dit model heb ik de verschillen per dimensie zichtbaar gemaakt.

Op basis van het theoretisch onderzoek concludeer ik dat de huidige weten regelgeving voldoende inzicht geeft in de werkzaamheden van een IAF. Aan de in de Wft geldende richtlijnen is middels zelfregulering een verdere invulling gegeven. Hierbij heeft het IIA de benoemde werkzaamheden zodanig gespecificeerd dat duidelijk is wat wel en wat niet door een IAF behoort te worden uitgevoerd. Wel zijn bij de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Relatiemanagement en cultuur’ verbeterpunten op de door het IIA gehanteerde definitie en het relatiemanagement.

Aan de hand van de interviews is tot een helder beeld gekomen hoe de werkzaamheden van de IAF binnen middelgrote tot grote banken/verzekeraars zijn ingevuld. De geïnterviewde IAF’s zien zichzelf als een volwaardige gesprekspartner van het senior management. Hierbij zien zij voornamelijk hun toegevoegde waarde terug bij inzet bij projecten. Wel kan de IAF meer bijdragen aan een betere control environment door te participeren bij het uitvoeren van een Control Self-Assessment (CSA). Daarnaast lijkt het ‘Three Lines of Defence model’ niet optimaal te werken. Deze punten hebben betrekking op de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional Practices’.

Op basis van de resultaten uit de surveys kan gesteld worden dat de mening van de proceseigenaren bij middelgrote tot grote banken/verzekeraars overwegend positief is over de werkzaamheden van de IAF. De resultaten laten zien dat de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional practices’ lagere scores hadden doordat daar de onderliggende vragen minder goed scoorde of soms zelfs slecht. De aandachtsgebieden van de IAF, de wijze waarop de natuurlijke adviesrol wordt vervult en de verwachting van de proceseigenaren met betrekking tot de delivery’s veroorzaken de lagere score.

(6)

De onderlinge vergelijking van de resultaten vanuit het theoretisch onderzoek, de interviews en de surveys onderling geven antwoord op de probleemstelling. De conclusie is dat de door de IAF geleverde diensten bij middelgrote tot grote banken/verzekeraars grotendeels aansluiten bij de verwachtingen van de proceseigenaar. Verschillen in verwachtingen zijn wel waar te nemen, maar het stellen van een verwachtingskloof is te voorbarig. Bij de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional practices’ zijn voordelen te behalen voor de IAF. Met name bij de laatste kan het rendement van de IAF omhoog door meer aandacht te besteden aan klantgerichtheid en communicatie.

Op basis van het antwoord op de probleemstelling heb ik een drietal aanbevelingen opgenomen.

1. Maak ruimte beschikbaar in de planning voor Control Self-Assessments; 2. Stel een auditovereenkomsten op met de proceseigenaar;

3. Vervang auditterminologie voor begrippen die beter aansluiten bij de belevingswereld van de proceseigenaar.

(7)

Hfdst 1. Onderzoeksopzet

1.1 Aanleiding en relevantie

Periodiek wordt binnen mijn organisatie SNS REAAL een onderzoek uitgevoerd naar de klanttevredenheid van de Internal Audit Functie (IAF). Hieruit blijkt soms dat de door de IAF uitgevoerde werkzaamheden niet aansluiten op de verwachtingen. Hierbij kwam het voor dat wij ons als interne auditors niet konden vinden in deze uitkomsten. Dit bracht mij tot de vraag of de door de IAF uitgevoerde werkzaamheden aansluit met de perceptie van de stakeholders van de IAF en of dit volgens de huidige weten regelgeving ook verplicht wordt om uit te voeren.

1.2 Doelstelling

In de jaren ‘70 en ‘80 van de 20ste werd het woord audit nog vaak geassocieerd met het werk dat vanuit de certificerende functie door bijvoorbeeld de externe accountant wordt uitgevoerd. Voor de verdere ontwikkeling van de IAF is het van belang geweest dat deze associatie steeds minder werd gelegd. Met name bij banken en verzekeraars wordt de nadruk gelegd op de specifieke meerwaarde die de IAF kan leveren door onafhankelijk van de lijn assurance te geven over de beheersing van de kritische bedrijfsprocessen binnen de organisatie. De meerwaarde vertaalt zich in een kwaliteitsverhoging in het stelsel van beheersmaatregelen binnen de organisatie (Driessen & Molenkamp 2012). Mijn vraag hierbij is of de stakeholders bij banken en verzekeraars op deze meerwaarde zitten te wachten en of de IAF ook waarmaakt wat zij belooft. Om hierover inzicht te krijgen heb ik een onderzoek uitgevoerd bij diverse banken en verzekeraars uit Nederland om vast te stellen of al dan niet aan de verwachtingen wordt voldaan.

1.3 Scope en afbakening van het onderzoek

Het onderzoek is gericht op de werkzaamheden van de IAF binnen banken en verzekeraars binnen Nederland. Voor de probleemstelling heb ik de scope nader gespecificeerd. Om een goed inzicht te verkrijgen bij banken en verzekeraars op basis van een beperkt aantal cases, is de focus gelegd op middelgrote tot grote banken/verzekeraars. Het criteria voor middelgroot tot groot was voor banken het percentage assets ten opzichte van het totaal aan assets van banken in Nederland en voor de verzekeraars de grootte van de verzekeringsportefeuille ten opzichte van de totale verzekeringsportefeuille in Nederland. In beide gevallen zijn alleen banken en verzekeraars uit de top tien in aanmerking gekomen. De IAF heeft meerdere stakeholders zoals de Raad van Bestuur (RvB), de Auditcommissie (AC), diverse overheidsinstellingen (AFM en DNB), externe accountant en het lijnmanagement. Voor wat betreft de stakeholders is door mij de focus gelegd op de lijnmanagement in de vorm van de proceseigenaar. De proceseigenaar wordt in deze scriptie gezien als de eindverantwoordelijke manager van een (werk)proces. Een proceseigenaar heeft een globaal zicht op het geheel van een proces. Hij legt de grote lijnen vast, bepaalt de doelstellingen en stuurt het proces. In hoofdstuk 6 is deze keuze verder door mij toegelicht. In de literatuur is het onderscheid tussen banken/verzekeraars en overige instellingen niet altijd goed te maken. In de literatuurstudie van dit onderzoek is daarom, enkel wanneer mogelijk, onderscheid aangebracht. Voor de afbakening van de interviews en surveys heb ik mij specifiek op de banken en verzekeraars gericht.

1.4 Probleemstelling

De aanvullende zekerheid die de IAF kan verstrekken kan op meerdere manieren worden omschreven. De wat ouderwetse wijze betreft het vaststellen dat de RvB, die maatregelen

(8)

neemt en heeft genomen opdat voorgespiegelde toekomstige kasstromen ook gerealiseerd zullen worden. De wat moderne benadering wordt goed beschreven door Driessen en Molenkamp. Volgens hun verstrekt de IAF de RvB aanvullende zekerheid over de kwaliteit van sturing, inrichting en beheer binnen de organisatie. De IAF houdt door haar onafhankelijke, reflecterende functie het management op de hoogte van de kwaliteit van het control framework en levert daarmee een essentiële bijdrage aan het inzicht in, en de verbetering van, de beheersing van de organisatie op het gebied van risicomanagement, beheersing en governance.

Mijn probleemstelling is er op gericht of de geleverde diensten ook aansluiten met de verwachtingen van de proceseigenaar. De kwaliteit van een dienst in het algemeen wordt bepaald door de mate waarin het betreffende product of betreffende dienst voldoet aan de verwachtingen van de gebruikers. (Limperg, 1926)

De probleemstelling van het verkennend onderzoek is als volgt geformuleerd:

Sluiten de huidige geleverde diensten van de Internal Audit Functie bij middelgrote tot grote banken/verzekeraars in Nederland aan bij de verwachtingen van de proceseigenaar?

1.5 Onderzoeksvragen

Om te komen tot een antwoord van deze probleemstelling, dient antwoord gegeven te worden op de volgende onderzoeksvragen:

1. Hoe worden de werkzaamheden van een IAF omschreven volgens weten regelgeving?

2. Hoe zijn de werkzaamheden van de IAF ingevuld binnen middelgrote tot grote banken/verzekeraars?

3. Wat is de mening van de proceseigenaar over de werkzaamheden van de IAF bij middelgrote tot grote banken/verzekeraars?

4. Sluiten de huidige geleverde diensten van de IAF bij middelgrote tot grote banken/verzekeraars in Nederland aan bij de verwachtingen van de proceseigenaar? 5. Zijn acties noodzakelijk om de werkzaamheden van de IAF aan te sluiten met

verwachtingen van de proceseigenaren?

1.5.1 Onderzoekverantwoording

Onderzoeksvraag 1 en 2 worden beantwoord op basis van een literatuurstudie. Deze literatuurstudie bestaat uit onder andere uit de ontwikkeling in de weten regelgeving zoals deze is voorgeschreven door instanties zoals de DNB en AFM en door de diverse beroepsgroepen die verbonden zijn aan de IAF zoals de IIA en NBA. Dit is aangevuld met gepubliceerde artikelen van experts binnen het vakgebied.

Onderzoeksvraag 3 wordt beantwoord door middel van interviews. Voor de interviews heb ik gesproken met het management van de IAF’s van zes middelgrote tot grote banken/verzekeraars, te weten:

1. ABN AMRO (Bert Ide); 2. Achmea (Wim Schouten). 3. AEGON (Marleen Lemmens); 4. Delta Loyd (Jos Motzheim); 5. NIBC (Marc Verberne);

6. SNS REAAL (John Bendermacher);

Voor de beantwoording van onderzoeksvraag 4 is gebruik gemaakt van de resultaten uit ontvangen surveys. De resultaten van zowel de interviews als de surveys zijn, veelal op verzoek van de organisatie, geanonimiseerd.

(9)

Onderzoeksvraag 5 (probleemstelling) wordt op basis van de vergelijking van de uitkomsten van de eerste drie onderzoekvragen beantwoord. Hierbij zal de input van de beantwoording van onderzoeksvraag 5 gebruikt worden om invulling te geven aan onderzoeksvraag 6.

1.5.2 Leeswijzer

In hoofdstuk 2 wordt het Internal Audit Maturity Model (CIAMM) toegelicht wat de basis vormt voor de beantwoording van de onderzoeksvragen.

In hoofdstuk 3 wordt op basis van een literatuurstudie de ontwikkeling van de IAF’s met name binnen banken/verzekeraars toegelicht. Dit geeft antwoord op onderzoeksvraag 1. In dit hoofdstuk wordt inzicht gegeven in de ontwikkeling van de IAF en de bijbehorende weten regelgeving die hier een rol bij heeft gespeeld. Hierbij is gebruik gemaakt van de beschikbare documentatie van beleidsbepalende instanties zoals de DNB, AFM, NBA, IIA en studiemateriaal zoals deze tijdens mijn studie aan de Universiteit van Amsterdam voor ‘Executive Internal Audit Programme’ is gedoceerd, aangevuld met gepubliceerde artikelen van experts binnen het vakgebied.

In hoofdstuk 4 wordt op basis van literatuurstudie beschreven wat de werkzaamheden van een IAF zijn volgens de huidige weten regelgeving. Dit geeft antwoord op onderzoeksvraag 2. Hierbij maak ik gebruik van de huidige weten regelgeving zoals deze is opgesteld en wordt getoetst door beleidsbepalende instanties zoals de DNB, AFM, NBA, IIA.

In hoofdstuk 5 wordt aan de hand van interviews beschreven hoe de werkzaamheden van de IAF zijn ingevuld binnen middelgrote tot grote banken/verzekeraars. Dit geeft antwoord op onderzoeksvraag 3. Dit komt tot stand aan de hand van interviews die gehouden zijn bij de IAF’s van zes middelgrote tot grote banken/verzekeraars. Hierbij heb ik de gestelde vragen die zijn geformuleerd uitgewerkt op basis van de dimensies van het CIAMM. Naast de resultaten uit de interviews heb ik de ontvangen documentatie zoals auditcharters en jaarplannen als onderbouwing gebruikt.

In hoofdstuk 6 zijn de resultaten uitgewerkt van de ontvangen surveys. Dit geeft antwoord op onderzoeksvraag 4. Met behulp van deze surveys wordt beschreven wat de mening is van de proceseigenaren bij middelgrote tot grote banken/verzekeraars over de werkzaamheden van de IAF. Deze surveys komen bij dezelfde organisaties vandaan als waar de interviews hebben plaatsgevonden. De resultaten worden verwerkt in het CIAMM.

In hoofdstuk 7 worden de resultaten vanuit de interviews en de surveys onderling vergeleken met de literatuurstudie en anderzijds de resultaten vanuit de interviews. Dit hoofdstuk geeft antwoord op mijn probleemstelling. Op basis hiervan wordt vastgesteld of de uitgevoerde werkzaamheden van de IAF aansluiten met de verwachtingen van de proceseigenaar om de overeenkomsten en/of verschillen zichtbaar te maken. De overeenkomsten en/of verschillen worden in dit hoofdstuk nader geanalyseerd. Hierbij is het doel om vast te stellen of eventuele verschillen die zijn waar te nemen betrekking hebben op één van de benoemde verwachtingskloven.

In hoofdstuk 8 wordt op basis van de uitkomsten uit hoofdstuk 7 vastgesteld of acties noodzakelijk zijn om de werkzaamheden van de IAF beter aan te laten sluiten met verwachtingen van de proceseigenaar. Dit geeft antwoord op onderzoeksvraag 6. Op basis van deze benoemde acties worden door mij aanbevelingen gedaan die de eventueel vastgestelde verwachtingskloof kan verkleinen of mogelijk in zijn geheel kan dichten.

1.6 Onderzoek model

Het verschil in verwachting wordt in deze scriptie omschreven als een verwachtingskloof. De onderzoeksvragen zijn gebaseerd op drie soorten verwachtingskloven die zich kunnen voordoen.

(10)

1. Perceptiekloof: (onderzoeksvraag 1, 3 en 4) respondenten zijn van mening zijn dat de IAF de taken, die zij conform bestaande weten regelgeving dient uit te voeren, niet naar verwachting van de respondenten uitvoert.

2. Prestatiekloof: (onderzoeksvraag 1,2, 3 en 4) respondenten verwachten dat de IAF bepaalde taken uitvoert, die ook mogelijk zouden zijn voor de IAF om uit te voeren, echter conform vigerende weten regelgeving niet tot het reguliere takenpakket van de IAF behoort.

3. Communicatiekloof: (onderzoeksvraag 2, 3 en 4) respondenten verwachten dat de IAF bepaalde taken uitvoert, die geheel niet door de IAF zijn waar te maken.

In hoofdstuk 2 licht ik de ontwikkeling van de IAF toe. Hierbij introduceer ik een model dat de mate van volwassenheid van de auditfunctie aangeeft. Dit model betreft het Internal Audit Maturity Model (CIAMM). Dit model heeft zeven dimensies benoemd op basis waarvan je de volwassenheid van een auditafdeling kan meten. Deze dimensies houd ik aan om bij een eventuele verwachtingskloof vast te stellen op welk vlak dit zich manifesteert. Voor de

beantwoording van mijn onderzoeksvragen worden de resultaten steeds onder één van deze dimensies geplaatst.

Om de doelstelling te bereiken is het onderzoek opgesteld conform onderstaand schema:

Onderzoeksvraag 4 Onderzoeksvraag 5 Hfdst. 7 Aanbevelingen. Hfdst. 4 Invulling werkzaamheden IAF. 5Hfdst. 5 Mening proces-eigenaar over werkzaamheden IAF. Hfdst. 6 Analyse resultaten en conclusies. Onderzoeksvraag 1 Hfdst. 3 werkzaamheden IAF volgens huidige wet-

en regelgeving Onderzoeksvraag 2 Onderzoeksvraag 3 Hfdst. 2 Internal Audit Maturity Model (CIAMM) Figuur 1: onderzoekschema

(11)

Hfdst 2. Internal Audit Maturity Model

(CIAMM)

2.1 Inleiding

In dit hoofdstuk introduceer ik het model dat de basis vormt voor mijn onderzoeksvragen. De Interne Audit Functie (IAF) heeft een zekere volwassenheid bereikt. Deze volwassenheid is onder te verdelen in 5 niveaus.

2.2 Raamwerk voor volwassenheid IAF

ConQuaestor heeft een raamwerk ontwikkeld waarmee de volwassenheid van een IAF in kaart kan worden gebracht. (L.Z. Nagy, R.J. van Leijden, 2012) Het model, genaamd Internal Audit Maturity Model (CIAMM), biedt een referentiekader en ontwikkelmodel waarmee de IAF kan worden beoordeeld. Het model onderscheidt een vijftal niveaus:

Figuur 2: Volwassenheidsniveau ’s Internal Audit Functie

Initieel – Interne auditactiviteiten worden op adhoc basis uitgevoerd;

Opkomend – De IAF vormt een vast organisatieonderdeel dat gericht is op ontwikkeling; Gestructureerd – De IAF kenmerkt zich door een gestructureerde rol, aanpak en uitvoering; Geïntegreerd – De IAF is geïntegreerd in het beheerskader van de organisatie;

Partner in Business – De IAF wordt gezien als een volwaardige gesprekspartner van het senior management.

Limperg stelde dat de kwaliteit van een dienst in het algemeen wordt bepaald door de mate waarin de betreffende dienst voldoet aan de verwachtingen van de gebruikers. Na elke beantwoording van een onderzoeksvraag heb ik een score per dimensie toegekend van 1 tot en met 5. Indien de score bij één van de dimensies ten opzichte van de andere onderzoeksvragen lager uitvalt kan dit wijzen op een verschil in verwachtingen. De score wordt tevens gedeeld door het aantal dimensies waardoor een totaalscore tot stand komt overeenkomstig met één van de bovenstaande niveaus.

Op de volgende pagina wordt op basis van de score per dimensie een ‘maturityprofiel’ geschetst. De onderliggende dimensies worden vervolgens kort toegelicht.

(12)

Figuur 3: Maturityprofiel CIAMM (ideaal)

1. Rol, taken en aandachtsgebieden

Hier wordt beoordeeld op welke wijze de auditfunctie invulling geeft aan haar primaire functie als onafhankelijke en objectieve assurance provider en daarnaast aan haar natuurlijke adviesrol.

2. Personeel

Bij personeel gaat het om de mate waarin er aandacht wordt gegeven aan de professionele en persoonlijke ontwikkeling van de medewerkers van de auditfunctie, hun achtergrond, specialisaties en deskundigheid.

3. Professional practices

Professional practices omvat het beleid, de procedures, werkwijzen, maar ook de bijdrage die de auditfunctie levert aan de interne organisatie en aan de verdere ontwikkeling van het vakgebied. Hierbij wordt gekeken naar de inrichting van de werkzaamheden, de rapportagemethodiek en de mate waarin de auditfunctie gebruikmaakt van best practices en beschikbare beroepsstandaarden.

4. Automatisering en softwarematige ondersteuning

Hierbij gaat het om de mate waarin auditprocedures zijn geautomatiseerd door gebruik te maken van beschikbare auditsoftware en computer-assisted audit techniques (CAATs, continuous auditing). Het gaat hierbij om automatisering die de effectiviteit en efficiency van de auditwerkzaamheden bevordert.

De rol van Computer-assisted audit techniques in de vorm van continuous auditing is tijdens dit onderzoek niet aan bod gekomen. Hoewel het gaat om automatisering die de effectiviteit en efficiency van de auditwerkzaamheden bevordert, heeft dit met name betrekking de invulling van de werkzaamheden van de IAF en niet op de soort werkzaamheden. Deze dimensie is dan ook niet gebruikt tijdens dit onderzoek.

5. Prestatiemanagement en accountability

Door het beoordelen van de geleverde prestaties, de bereikte resultaten, de bijbehorende informatievoorziening en de verantwoordingslijnen, kunnen de activiteiten van de IAF op een effectieve en efficiënte wijze worden aangestuurd, bewaakt en bijgestuurd. Belangrijk is de mate waarin er sprake is van prestatiesturing, kwaliteitsbewaking en verbetering van de eigen auditpraktijk.

(13)

6. Relatiemanagement en cultuur

Ook de auditfunctie dient zich te profileren, zowel binnen als buiten de organisatie. Het doel hiervan is belanghebbenden bekend te maken met de dienstverlening en kwaliteit van de auditfunctie en de toegevoegde waarde van de auditfunctie te waarborgen.

7. Governancestructuur

Hier speelt de wijze waarop de auditfunctie is gepositioneerd in de governancestructuur van de organisatie en de rol die zij daarin vervult. Ook de structuur en frequentie van de formele rapportagelijnen zijn hiervan onderdeel, alsmede de vraag of en hoe escalatielijnen zijn ingericht. Ten slotte is de mate waarin tussen de auditfunctie en externe toezichthouders afstemming plaatsvindt, een punt van onderzoek.

2.3 Conclusie

Het CIAMM biedt niet alleen een referentiekader en ontwikkelmodel waarmee de auditfunctie kan worden beoordeeld, maar geeft ook inzicht in de verwachtingen die aan de IAF gesteld. De uitkomsten vanuit verschillende perspectieven zoals wetgeving, mening IAF en proceseigenaren kunnen hierdoor onderling vergeleken worden. Verschillen kunnen duiden op een verschil in verwachtingen.

(14)

Hfdst 3. De werkzaamheden van

Internal Audit Functie volgens de

huidige wet- en regelgeving

3.1 Inleiding

Om vast te stellen of het verwachtingspatroon van proceseigenaren afwijkt van hetgeen dat in de praktijk wordt gefaciliteerd, zal eerst duidelijk moeten zijn wat onder de werkzaamheden van de Internal audit functie (IAF) wordt verstaan. (onderzoeksvraag 1) Het doel van dit hoofdstuk is inzicht verkrijgen in de omschreven werkzaamheden van een IAF volgens de huidige weten regelgeving. Hierbij is ingegaan op de weten regelgeving waar de IAF aan is gebonden en aanvullend de visie en achtergronden van betrokken personen op deze taken.

3.2 Historie

De aanloop naar een IAF is redelijk lang geweest. Waarbij in de jaren zestig audit nog een externe aangelegenheid was gericht op de zwaktes van een organisatie, werd de basis voor internal audit gelegd in de jaren tachtig. De hierbij uitgevoerde financial audits aangevuld met toetsing van de interne beheersing (controle-plus) kan gezien worden als de eerste stap richting audit als internal audit. De grote stappen zijn gemaakt in de periodes van begin jaren negentig tot begin 21ste eeuw. (Driessen & Molenkamp 2012) Het gehele ontwikkelingsproces tot de huidige functie van de IAF is in een aantal periodes onder te verdelen. (Driessen & Molenkamp 2012)

• Periode eind jaren zestig tot midden jaren tachtig;

• Periode midden jaren tachtig tot begin jaren negentig;

• Periode begin jaren negentig tot begin 21ste eeuw;

• Periode begin 21ste eeuw tot en met nu.

3.3 Periode begin jaren negentig begin 21ste eeuw

Volgens Driessen & Molenkamp luidden de jaren negentig de periode in waarbij internal auditing en de IAF een belangrijke schakel in de strategische processen van organisaties werden. Door de groei van veel organisaties en de verandering in de wijze waarop de structuur werd opgezet, werd de complexiteit en daarmee ook de behoefte aan toetsing en evaluatie en dus de interne beheersing groter. Internal Audit vormde daarom steeds vaker een onderdeel van het managementproces. In deze periode verschoof de voorkeur steeds meer richting een eigen invulling waarbij internal audit door eigen medewerkers werd uitgevoerd. Het betekende een voortzetting van de trendbreuk die zich in de jaren tachtig had gemanifesteerd. De IAF nam nu een structureel onderdeel in binnen het management proces van organisaties, wat als een belangrijke ontwikkeling kan worden gezien.

Deze ontwikkeling was in eerste instantie vooral vanuit praktijk tot stand gekomen. De jaren negentig was ook de periode dat vanuit de theorie meer aandacht voor de invulling van de rol van internal audit kwam. In eerdere jaren was er nauwelijks aandacht voor het vakgebied. Boyle (1993) onderzocht zes gerenommeerde wetenschappelijke journals en vond slechts 21 artikelen over internal auditing in de periode van 1975 tot 1990. Vinten (1996) onderzocht nog een aantal andere journals maar kwam niet tot andere conclusies. Dit strookt niet met de aandacht die er vanuit de praktijk binnen organisaties aan dit onderwerp werd gegeven. In de jaren negentig zou dit aantal drastisch toenemen. In deze periode is ook IIA Nederland opgericht (1997) ter behartiging van de belangen van de interne auditor. Daarnaast was dit

(15)

ook het tijdperk dat vanuit onderwijs internal audit als een apart vakgebied werd gezien. Dit was de aanzet voor de opleiding(en) voor postdoctoraal operational auditing onderwijs’. Hierbij neemt IIA Nederland een specifieke plaats in ten opzichte van IIA wereldwijd doordat het, naast Noorwegen, de opleiding Operational/Internal Auditing heeft gekoppeld aan relevante werkervaring dat heeft geleid tot de titel tot Register Operational Auditor(RO). Dit register van RO's is ingebracht bij IIA Nederland waarop permanente educatie van toepassing is.

In de wetgeving die in deze periode van toepassing was, is de rol van de IAF nog niet specifiek benoemd. In een aantal, voor banken en verzekeraars, van belang zijnde wetten komt het toezicht op de administratieve organisatie beperkt voor. Hieronder volgen een aantal voorbeelden van wetgeving met betrekking tot het toezicht op de administratieve organisatie volgens een aantal voor deze scriptie van belang zijnde wetten uit deze tijd.

Bron: wetten.overheid.nl

Voortvloeiend uit de Wet toezicht kredietwezen 1992 is begin van de 21ste eeuw de Regeling Organisatie en beheersing opgesteld (ROB) (2001). Hierin worden voor het eerst duidelijk de contouren van een IAF zichtbaar. In artikel 21 en 22 van deze regeling staan richtlijnen ten opzichte van de toetsing, beoordeling en bijstelling van de organisatie-inrichting en beheersing. Naast de richtlijnen worden twee belangrijke aanbevelingen gegeven die de basis leggen voor de IAF als onderdeel uit van het beheerskader:

• Neem de doelstelling en het mandaat van de IAF op in een audit charter en laat deze door het bestuur goedkeuren en binnen de organisatie communiceren;

• Institutionaliseer de interne-auditfunctie als interne-accountantsdienst binnen de organisatie zodra organisatie en middelen dit toelaten.

3.4 Periode begin 21ste eeuw tot en met nu

De laatste periode speelt zich af begin van de 21ste eeuw. In deze periode is het belang van de IAF onmiskenbaar gegroeid en zijn de taken van de IAF, mede als gevolg van nieuwe (wettelijke) eisen op het gebied van corporate governance, een stuk duidelijker geworden. Zowel commissarissen, bestuurders als toezichthouders zochten naar meer zekerheden om hun aansprakelijkheidsrisico’s te beheersen wat aangeeft dat de invulling van de rol van de IAF niet alleen vanuit een interne organisatiedoelstelling is ontstaan. In de volgende paragrafen worden opvolgend de instellingen genoemd die de invulling van de werkzaamheden van de IAF bepalen.

3.4.1 Toezichtwetgeving

Leidend voor de IAF is momenteel de geldende wetgeving waar door de overheidsinstanties DNB en AFM toezicht op de uitvoering hiervan wordt gehouden. Dit betreft de Wet op het financieel toezicht (Wft) uit 2007.

Bron: wetten.overheid.nl

Wet toezicht kredietwezen 1992 (Wtk 1992)

De Bank kan aan de kredietinstellingen regels stellen met betrekking tot de administratieve organisatie – met inbegrip van de financiële administratie – en de interne controle.

Wet toezicht verzekeringsbedrijf 1993 (Wtv 1993)

Indien voor de eerste maal een vergunning wordt aangevraagd, legt de verzekeraar tevens aan de Pensioen- & Verzekeringskamer over gegevens waaruit blijkt dat de verzekeraar zowel in zijn bijkantoor als in de staat van zijn zetel beschikt over een goede administratieve organisatie en adequate interne controleprocedures.

Ingevolge artikel 17 Bpr wordt de effectiviteit van de organisatie-inrichting en van de procedures en maatregelen van een betaalinstelling, clearinginstelling, elektronisch-geldinstelling, entiteit voor risico-acceptatie, bank, premie-pensioeninstelling of verzekeraar met zetel in Nederland ten minste jaarlijks op

onafhankelijke wijze getoetst. Daartoe dient de entiteit te beschikken over een organisatieonderdeel dat deze interne controlefunctie uitoefent. De entiteit moet erin voorzien dat gesignaleerde

(16)

De Wft heeft acht toezichtwetten vervangen. Waar eerst moest worden voldaan aan de Wet financiële dienstverlening (Wfd), Wet toezicht kredietwezen (Wtk) en de richtlijnen voor de uitvoering van toezicht, zoals de Regeling Organisatie en Beheersing (ROB), moet sinds 1 januari 2007 enkel worden voldaan aan de wetgeving in de Wft en de daaraan gekoppelde regelgeving. Hieronder is schematisch weergegeven hoe de diverse wetgeving uiteindelijk is opgegaan in de Wft.

Figuur 4: De weg naar de Wet op het financieel toezicht.

Artikel 17 bpr van de Wft geeft duidelijk aan dat er een jaarlijkse onafhankelijke toetsing dient te worden uitgevoerd door een organisatieonderdeel dat een interne controlefunctie uitoefent. Een belangrijk uitgangspunt van de Wft is het feit dat het ‘principle based’ is. Dit kenmerkt zich door het benadrukken van het beginsel, zonder detailvoorschrift. Toezicht op uitoefening van deze wetgeving is als volg verdeeld:

• De Nederlandsche Bank (DNB) voert het prudentieel toezicht, dat wil zeggen dat DNB de financiële stabiliteit (solvabiliteit en liquiditeit) en de betrouwbaarheid van financiële ondernemingen controleert.

• De Autoriteit Financiële Markten (AFM) voert het gedragstoezicht, wat inhoudt dat de AFM de marktwerking, de toetreding en het vertrouwen daarin controleert en bevordert.

3.4.2 Codes

De behoefte om de rol van aandeelhouders te versterken, boekhoudschandalen en onvrede over de gehanteerde beloningspakketten was in 2003 aanleiding om de corporate governance van beursgenoteerde bedrijven te verbeteren. Vanuit deze code (Tabaksblat) is aan de IAF een belangrijke rol toegedicht in het beoordelen en toetsen van interne risicobeheersings- en controlesystemen.

Bron: L. Paape, Internal Audit on the rise, 2005

In de code wordt vereist dat deze functie onder de verantwoordelijkheid van het bestuur functioneert. De regering heeft de Corporate Governance Code ook aangewezen als code voor beursgenoteerde bedrijven met een statutaire zetel in Nederland. Net als de Wft is deze code ‘principle based’. Dit principe doet een groot beroep op de eigen verantwoordelijkheid van een financiële onderneming. Hierbij wordt een uitwerking verwacht op basis van eigen inzichten. De Nederlandse Vereniging van Banken (NVB), het Verbond van Verzekeraars,

‘Nagenoeg elk land had zijn eigen corporate governance code. Op Europese Unie niveau kwam men niet verder dan het ‘Winter rapport’ (2002) waarin internal audit slechts in een bijzin werd genoemd en dan nog als ‘proces’ en niet als functie. Nederland mocht met recht worden gezien als een achterblijver in het peloton. De situatie veranderde dankzij de commissie Tabaksblat. Over internal audit staat slechts vermeld dat de IAF is opgehangen aan de RvB en dat de Raad van Commissarissen (RvC) dient toe te zien op de wijze waarop de RvB met deze functie omgaat; een indirecte vorm van toezicht. Bovendien moet het AC betrokken worden bij de opstelling van de planning van de IAF. De situatie in de diverse landen overziende kan worden geconcludeerd dat de IAF van voetnoot tot vermelding in de hoofdtekst is opgeklommen en bijna een verplicht karakter heeft gekregen. Verder is het AC nadrukkelijker in beeld gebracht en dient toe te zien op het functioneren van de IAF. Er dienen rechtstreekse lijnen te zijn tussen het AC en de CAE.'

(17)

Zorgverzekeraars Nederland en de Federatie Onderlinge Verzekeraars zijn hier op ingesprongen door de branche zelfregulering op te leggen die verdere invulling geeft aan hetgeen in de Wft beschreven is.

Deze zelfregulering, in de vorm van de Code Banken en Code Verzekeraars, bevat een aantal principes die onder andere van invloed zijn op de positionering en taakstelling van de IAF. Deze betreffende principes zijn hieronder beschreven:

• Volgens principe 5.2 is binnen de organisatie een interne auditfunctie werkzaam die onafhankelijk is gepositioneerd. Het hoofd interne audit rapporteert aan de voorzitter van het bestuur en heeft een rapportagelijn naar de voorzitter van de auditcommissie.

• Volgens principe 5.3 heeft de interne auditfunctie tot taak te beoordelen of de interne beheersmaatregelen in opzet, bestaan en in werking effectief zijn. Daarbij ziet de interne auditfunctie onder meer toe op de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen. De interne auditfunctie rapporteert over de bevindingen aan het bestuur en de auditcommissie.

• Volgens principe 5.4 vindt tussen de interne auditfunctie, de externe accountant en de risico- of audit-commissie van de raad van commissarissen periodiek informatie-uitwisseling plaats. In het kader van deze informatie-informatie-uitwisseling is ook de risicoanalyse en het auditplan van de interne auditfunctie en van de externe accountant onderwerp van overleg.

• Volgens principe 5.6 neemt de interne auditfunctie het initiatief om met DNB en de externe accountant ten minste jaarlijks in een vroegtijdige fase elkaars risicoanalyse en bevindingen en auditplan te bespreken.

3.4.3 NBA

In zowel de toezichtwetgeving als de codes zijn taken en verplichtingen opgenomen voor de interne auditfunctie en voor de externe accountant die de jaarrekening of de staten ten behoeve van de toezichthouder controleert. Bij financiële ondernemingen werken de externe accountant en de interne auditfunctie doorgaans intensief samen om aan deze verplichtingen te kunnen voldoen. Om uitleg te geven over de wettelijke verplichtingen en de taken van de volgens de Code Banken en de Governance Principes verzekeraars voor zowel de interne auditfunctie als de externe accountant heeft het NBA de handreiking 1104 (2013) opgesteld. De externe accountant steunt bij zijn werkzaamheden waar relevant op de werkzaamheden van de interne auditfunctie in overeenstemming met Standaard 610 “Gebruikmaken van de werkzaamheden van interne auditors”. Om deze reden is de handreiking ook van belang voor de IAF. (NBA-handreiking 1104, 2013)

De ISA 610 (2013) stelt, naast de objectiviteit en de deskundigheid, aanvullende eisen aan de IAF. De tot nu toe nog voorgeschreven professionele zorgvuldigheid is hierbij vervangen door de eis dat de IAF een 'systematische en gedisciplineerde aanpak' moet hebben en daarbij een systeem van kwaliteitsbeheersing moet toepassen. (accountant, november 2012) Als niet aan deze voorwaarden is voldaan, kan de externe accountant geen gebruikmaken van de IAF bij de jaarrekeningcontrole. Op basis van ISA 610 wordt duidelijk dat de taken en doelstellingen van interne auditfuncties uiteen kunnen lopen. Alle interne auditdiensten houden zich zonder uitzondering bezig met onderzoeken naar de naleving van interne beheersing en de werking van het risicomanagement systeem. Dit kunnen als de algemene taakgebieden worden beschouwd van een IAF.

De verschillen doen zich voor op de meer specifieke taakgebieden zoals integriteits- en fraudeonderzoeken of compliance gerichte onderzoeken. Zo hebben sommige IAF’s voor zo’n taakgebied een aparte eenheid. Daarnaast voeren sommige IAF’s de beheersing van de processen en de risico’s op zo’n specifiek taakgebied frequenter en op een gedetailleerder niveau uit dan andere organisaties. Dit is veelal afhankelijk van de grootte en structuur van de entiteit en van de eisen gesteld door het management en, voor zover van toepassing, degenen belast met Governance.

(18)

3.4.4 IIA

Het interne auditberoep is bijna uitsluitend onderhevig aan zelfregulering. Het IIA houdt zich als internationale organisatie bezig met de belangen van het interne auditberoep. De door IIA benoemde definitie van interne audit kan daarom als gezaghebbend worden beschouwd. Het aantal hoofdtaken dat het IIA benoemt, zijn belangenbehartiging van internal auditors, kwaliteitsbewaking, educatie, het delen van kennis en als laatste profilering van het vak. Het IIA heeft in deze periode voor de beroepsuitoefening van de IAF een internationaal raamwerk (International Professional Practices Framework (IPPF)) ontwikkeld dat internal auditors een verzameling richtlijnen biedt (verplicht en (sterk) aanbevolen) op het gebied van internal audit. Het IPPF vormt een leidraad voor de interne auditors en bestaat uit verplichte richtlijnen en sterk aanbevolen richtlijnen.

Verplichte richtlijnen

• De definitie ven Internal Auditing;

• De gedragscode;

• Internationale Standaarden. Sterk aanbevolen richtlijnen

• Position Papers;

• Praktijkadviezen;

• Praktijkgidsen.

Hoewel deze allemaal van belang voor de invulling van de werkzaamheden van de IAF zijn, richt ik me hier op de definitie, de standaarden en de Position Paper ‘The rol of Internal Auditing in Enterprise-Wide Risk Management’ en ‘The three lines of defence in effective management and control’ en het praktijkadvies ‘PA 2110-2: Governance: Relationship With Risk and Control’. Ik heb deze keuze gemaakt omdat deze stukken een goed inzicht geven in de verwachting van het IIA doordat de soort werkzaamheden die vallen onder de processen van risicomanagement, beheersing en governance hierin verder zijn gespecificeerd.

3.4.4.a Verplichte richtlijnen

In eerste instantie heb je de geldende definitie van IIA Nederland die in hoofdlijnen de elementen weergeeft die Interne Audit vormgeven.

Bron: www.iia.nl/vaktechniek/beroeps-normen/definitie

Wat mij direct opvalt en waar ik me over verbaas is het feit dat de Nederlandse definitie aangeeft dat interne audit zekerheid verschaft en niet aanvullende zekerheid. Dit schept al een bepaalde verwachting van de functie die een IAF naar mijn mening lastig waar kan maken. De interne auditactiviteit maakt onderdeel uit van een systeem van interne controle en draagt bij tot de governancestructuur van een organisatie. Uitgaande van het Three Lines of defence model zou ik zelf veronderstellen dat interne audit aanvullende zekerheid

verschaft, uitgaande van een goede werkende eerste en tweede lijn. De first line of defence zou de zekerheid moeten verschaffen dat zij het inherent risico acceptabel houden door het invoeren van beheersmaatregelen. Als audit zouden wij als derde lijn aanvullende zekerheid verschaffen doordat we deze beheersmaatregelen toetsen.

‘Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren’.

Bron: IIA Nederland

(19)

Als je de internationale definitie vergelijkt met de Nederlandse, blijkt dat bij de internationale definitie geen duidelijke stelling over zekerheid wordt genomen.

Bron: /na.theiia.org/about-us/about-ia/Pages/About-the-Profession.aspx

Vrij vertaald staat er in de internationale definitie dat interne audit een onafhankelijke, objectieve assurance en consulting activiteit ontwikkelt om waarde toe te voegen en de bedrijfsactiviteiten van een organisatie te verbeteren. Centraal bij het geven van assurance staat het wekken van vertrouwen bij de beoogde gebruikers, niet-zijnde de verantwoordelijke partij. (Elementaire theorie accountantscontrole - Algemene beginselen, 2011)

Mijn gevoel dat er een verkeerde verwachting met de Nederlandse definitie wordt geschept, wordt versterkt door een artikel over de Libor fraude bij de Rabobank. In dit artikel (Rabo en het Tree Lines of Defence Model’, MCA december 2013, Leen Paape, nummer 6) wordt gesteld dat bij het falen van de eerste lijn op basis van het ‘three lines of defence’ systeem verondersteld wordt dat de tweede of derde lijn dat manco opvangt. Hiermee wordt naar mijn idee geïmpliceerd dat de IAF dus altijd de zekerheid verschaft als laatste vangnet te fungeren. Ik ben van mening dat het ‘Tree Lines of Defence Model’ geen model is dat moet worden geïnterpreteerd als drie losstaande lijnen die pas gaan werken als de voorgaande lijn faalt. Het model heeft zijn robuustheid door een goede samenwerking en communicatie tussen de verschillende lijnen. Het gevoel dat interne audit als derde lijn de klappen opvangt kan er ook toe leiden dat de eerste lijn zijn verantwoording niet neemt. Hoewel de discussie over het ‘Tree Lines of Defence Model’ verder gaat dan het onderwerp van deze scriptie vind ik wel dat dit soort interpretatieverschillen ook het verwachtingspatroon kunnen beïnvloeden. Een tweede belangrijk element in de ‘verplichte richtlijnen’ betreft de standaarden. De

standaarden geven op een systematische wijze weer hoe een IAF behoort te functioneren en hoe de kwaliteit geborgd moet worden zodat de IAF ook goed blijft functioneren.

Kenmerkstandaarden

• 1000 – Doel, bevoegdheid en verantwoordelijkheid;

• 1100 – Onafhankelijkheid en objectiviteit;

• 1200 – Vakbekwaamheid en beroepsmatige zorgvuldigheid;

• 1300 – Programma voor kwaliteitsbewaking en –verbetering. Prestatiestandaarden

• 2000 – Management van de internal auditfunctie;

• 2100 – Aard van het werk;

• 2200 – Planning van de opdracht;

• 2300 – Uitvoering van de opdracht;

• 2400 – Communicatie van resultaten;

• 2500 – Toezicht op de opvolging;

• 2600 – Het aanvaarden van risico's door het senior management.

Vanuit de IIA standaarden is aan de werkzaamheden van een IAF invulling gegeven onder standaard 2100 – Aard van het werk. Hier staat dat de IAF de processen van governance, risicomanagement en interne beheersing moet evalueren en bijdragen aan de verbetering daarvan door middel van een systematische en gedisciplineerde aanpak. De aard van de auditdiensten die aan de organisatie geleverd worden, moeten echter wel conform standaard 1000 – Doel, bevoegdheid en verantwoordelijkheid gedefinieerd zijn in het internal

‘internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.’

(20)

auditcharter in overeenstemming met de definitie van internal audit, de gedragscode en de Standaarden.

3.4.4.b Sterk aanbevolen richtlijnen

De standaarden geven gestructureerd aan hoe de kwaliteit van de IAF geborgd kan worden en wat de aard van de werkzaamheden behoren te zijn. In hoofdlijnen betreft dit risicomanagement, beheersing en governance. De position paper ‘The three lines of defence in effective management and control’ geeft voor de in de standaarden benoemde aard van de werkzaamheden een zekere reikwijdte aan die bestaat uit een breed scala aan doelstellingen zoals onder efficiency en effectiviteit van de bedrijfsvoering, bescherming van activa, betrouwbaarheid en integriteit van rapportage processen, naleving van weten regelgeving, beleid, procedures en alle elementen van het risicomanagement en interne controle kader zoals risico-identificatie, risicobeoordeling en communicatie en monitoring. Een verdiepingsslag op risicomanagement is vervolgens terug te vinden in de position paper ‘The rol of Internal Auditing in Enterprise-Wide Risk Management’. Hierin wordt op een duidelijke wijze aan de hand van een waaier weergegeven wat een IAF wel, mogelijk of zeker niet mag uitvoeren. Dit zijn soortgelijke fases die zich bij een verwachtingskloof kunnen manifesteren.

1. Core roles - taken die de IAF conform bestaande weten regelgeving dient uit te voeren, maar niet aan verwachting van de respondenten voldoen;

2. Legitimate roles with safeguards - taken die zijn uit te voeren, echter conform vigerende weten regelgeving niet tot het reguliere takenpakket van IAF behoren; 3. Roles should not undertake - taken die geheel niet door de IAF zijn waar te maken.

Figuur 5: Internal auditing’s role in ERM

Voor governance zijn de taken minder exact te omschrijven. Volgens het praktijkadvies ‘PA 2110-2 bestaat governance niet als een geheel van onderscheiden en aparte processen en structuren. Er zijn juist relaties tussen governance, risicomanagement en interne controle. Bij effectief bestuur worden risico’s overwogen bij het bepalen van de strategie en risicomanagement werkt optimaal bij een effectief bestuur (Tone at the top, risicobereidheid en tolerantie, risico-cultuur, en het toezicht op het risicobeheer). Kortom het komt er op neer dat het op te stellen auditplan wordt ontwikkeld op basis van een beoordeling van de risico's voor de organisatie. Hierbij moeten alle governance gerelateerde onderwerpen worden overwogen bij de risicobeoordeling. In hoofdlijnen is governance opgebouwd uit de onderstaande bouwstenen.

(21)

Figuur 6: Bouwstenen governance binnen een organisatie

De IAF dient zich ook te profileren met het doel belanghebbenden bekend te maken met de dienstverlening en kwaliteit van de auditfunctie en de toegevoegde waarde van de auditfunctie te waarborgen. Dit zijn geen zaken die vanuit weten regelgeving kunnen worden opgelegd. Wel heeft het IIA hiervoor een strategisch plan opgezet voor 2012 – 2016 waar onder andere een sterkere profilering, sterke waarde propositie van IIA NL en het verbeteren van de professionaliteit op de agenda staan. (Accelerating the relevance of Internal Audit, 2012) De visie is dat de internal auditfunctie wordt gezien als onmisbaar in effectieve governance, risicomanagement en interne beheersing.

3.5 Traditionele werkzaamheden IAF

Op basis van de hiervoor beschreven weten regelgeving maak ik onderscheid tussen de traditionele taken en de hedendaagse taken. De onderstaande genoemde activiteiten zie ik als de activiteiten die in het traditionele takenpakket van de IAF thuishoren. Deze traditionele insteek heeft een sterk cyclisch opgelegd karakter, waarbij periodiek de kritische organisatieprocessen worden doorgelicht:

• Het monitoren van de interne beheersing waarbij de interne beheersingsmaatregelen worden beoordeeld, hun werking wordt gemonitord en aanbevelingen voor verbeteringen worden gedaan;

• Het onderzoeken van financiële en operationele informatie zoals middelen beoordelen die worden gehanteerd om de financiële en operationele informatie te onderkennen, te meten, te classificeren en daarover te rapporteren;

• Het beoordelen van operationele activiteiten zoals kostenefficiëntie en de doelmatigheid en doeltreffendheid van de operationele activiteiten.

Het monitoren is ontstaan in de jaren ‘90 doordat bij veel organisaties de structuur anders werd opgezet. (R. de Korte, Operational auditing: van containerbegrip naar een methodologisch ondersteunende auditvorm, 2003) Door onder andere resultaat-verantwoordelijkheid en decentralisatie is bij de centrale leiding de behoefte ontstaan aan onderzoeken naar de wijze waarop het decentraal management omgaat met de geboden vrijheden (tight controls) en naar de betrouwbaarheid van de stuur- en verantwoordingsinformatie die aan de centrale leiding wordt gezonden. Het begrip monitoring is hier ook van toepassing. Het is ook niet verrassend dat in deze zelfde periode het eerste COSO internal control framework werd opgezet. Hier wordt de term monitoring specifiek benoemd waarmee voor de IAF een podium ontstond.

Eén van de andere traditionele taken van de IAF in de jaren ‘80 en ‘90 van de vorige eeuw was gericht op het geven van zekerheid over de interne beheersing in het kader van de financiële jaarrekening. Tegenwoordig ligt de nadruk meer op het geven van zekerheid aan het management over de mate waarin risico’s worden begrepen en beheerst. De IAF is daarbij een belangrijke steunpilaar die door velen voor vol wordt aangezien en dat is wel

(22)

eens anders geweest. Dat is positief voor het vak, maar het leidt ook onvermijdelijk tot een spanningsveld.

Steeds minder hoofden van een IAF rapporteren nog aan de CFO. Tegenwoordig rapporteren ze veelal aan de CEO, en in een aantal gevallen aan het Audit Committee. (2007, Nivra Trends in accountancy) Het gevolg hiervan is dat aan de werkzaamheden van de IAF met betrekking tot de financiële informatievoorziening een andere invulling zal worden gegeven. Hier gaat men niet terug naar de financial audit zoals deze in deze jaren werd uitgevoerd, maar is men meer gericht op het operationele aspect van financial audit. In de eerste plaats trekken interne auditors alle audits van processen door naar de impact van die processen op het grootboek. Dit is een link die vroeger niet werd gelegd. In de tweede plaats focust men zich meer op de afsluitprocessen. Hierbij ligt de nadruk ook op de processen zelf en niet de resultaten. (Thijs Smit, 2006 Reflecties op internal audit) Ook tijdige, betrouwbare en functionele informatie behoort tot een adequaat beheerssysteem. Het geven van zekerheid dient daarbij te worden gezien in het licht van de dynamiek waarmee organisaties worden geconfronteerd.

Het beoordelen van operationele activiteiten zoals kostenefficiëntie en de doelmatigheid en doeltreffendheid van de operationele activiteiten zijn activiteiten die meer geënt zijn op de publieke sector en zijn voor deze scriptie minder relevant.

3.6 Hedendaagse werkzaamheden IAF

De onderstaande genoemde activiteiten zie ik als de activiteiten die in het hedendaagse takenpakket van de IAF thuishoren. Deze hedendaagse insteek heeft een sterk cyclisch opgelegd karakter, waarbij periodiek de kritische organisatieprocessen worden doorgelicht:

• Governance waarbij de IAF een beoordeling geeft over alle facetten binnen het governanceproces bij het bereiken van doelstellingen zoals ethiek en waarden, performance management en het afleggen van verantwoording, het communiceren van risico- en interne beheersingsinformatie en de effectiviteit van communicatie tussen diegenen belast met governance, externe accountants, interne auditors en management.

• Het beoordelen van het naleven van weten regelgeving en overige externe voorschriften, alsmede de beleidslijnen en aanwijzingen van het management en van andere intern gestelde eisen;

• Risicobeheersing waarbij de IAF voor de organisatie een hulpmiddel vormt bij het onderkennen en evalueren van significante blootstellingen aan risico’s en bijdragen aan het verbeteren van systemen inzake risicobeheersing en interne beheersing;

3.6.1 Governance

Voor Governance is de IAF primair gericht op het interne perspectief van corporate governance. Dit houdt in dat de interne auditors zich vooral bezig houden met de wijze waarop de onderneming wordt bestuurd en beheerst alsmede de verantwoording die daarover intern wordt afgelegd. Deze focus op het interne perspectief is ingegeven door het feit dat de interne auditors primair functioneren ten behoeve van de Raad van Bestuur (RvB) en het decentrale management.

3.6.2 Risicobeheersing

Risicobeheersing in combinatie met internal audit is een activiteit die de afgelopen jaren bij meerdere onderzoeken en gepubliceerde artikelen ter discussie stond. Al in het begin van deze eeuw was uitkomst vanuit een onderzoek onder 53 grote Nederlandse ondernemingen (IIA, 2000 Competency Framework for Internal Auditing) naar de inrichting van de IAF dat de rol van internal audit verschuift van 'controleur' naar 'facilitator', hetgeen betekent dat internal audit een meer belangrijke rol gaat spelen in het overdragen van kennis aan de organisatie op het gebied van risico en beheersing.

(23)

Bron: IIA - De inrichting van de Internal Audit Functie in Nederland anno 2000, 2002

Binnen organisaties zijn verschillende functies ingericht die zich in meer of mindere mate kunnen bezighouden met risicobeheersing. Uiteraard is risicobeheer primair de verantwoordelijkheid van het lijnmanagement, maar er zijn ook specifieke functies die daarin een rol kunnen spelen:

• risicomanagementfunctie;

• controllingfunctie;

• auditfunctie.

Deze drie functies hebben allen een rol bij het risicobeheer van een organisatie. Hoewel niet vanzelfsprekend is het wel denkbaar dat het implementeren van self assessments of het begeleiden van de workshops door één of enkele van deze functies wordt uitgevoerd. Welke rol de functies hebben, is mede afhankelijk van de specifieke invulling die men er binnen de organisatie aan heeft gegeven. Hoe de taken zijn verdeeld is afhankelijk van de fase waarin een organisatie zich bevindt. De rollen zullen namelijk veranderen naarmate de organisatie langzaam verschuift van het nadenken over het nut van Control Self-Assessment (CSA) naar het operationaliseren van het instrument.

3.7 Proactieve aanpak

Naast het onderscheid tussen traditionele en hedendaagse werkzaamheden zie ik ook een verschil in de aanpak van deze werkzaamheden. Als men naar de definitie van de IIA kijkt, wordt de pro-activiteit benadrukt door het helpen realiseren van de doelstellingen door de effectiviteit van processen te evalueren en verbeteren. Het gaat er dus minder om dat assurance gegeven wordt door te wijzen op vastgestelde fouten, maar dat juist wordt gekeken hoe dit in de toekomst beter kan. Het verbeterpotentieel krijgt hierdoor meer de nadruk. Ook Bas Wakkerman (director Internal Audit Services bij PwC) stelt dat: ‘De SAP’s en Oracle’s van deze wereld zorgen voor gestandaardiseerde processen met ingebakken controls, waardoor minder interne auditors nodig zijn om de waarde van een bedrijf te beschermen. Dat komt goed uit, want als de reguliere bedrijfsprocessen goed worden beheerst, kunnen interne auditors vooruit kijken. Zij beschikken over de kennis van financiën en processen waarmee ze ook waarde kunnen toevoegen.’ (pwc.nl, april 2013) Ook de crisis heeft er toe geleid dat een proactieve houding gevraagd wordt om risicovolle of niet beheerste situaties tijdig te herkennen en bespreekbaar te maken. (R. Schouten en K. van Hulsen, 2009) Zoals al eerder vermeld gaat de externe accountant hierdoor sterker gebruik maken van de bevindingen van de IAF.

3.8 Conclusie

De afgelopen decennia is het belang van de IAF duidelijk toegenomen. De IAF maakt in deze tijd echt onderdeel uit van het beheerskader van een financiële organisatie. De huidige weten regelgeving geeft voldoende inzicht in de werkzaamheden van een IAF. Deze werkzaamheden worden vanuit de overheid op hoofdlijnen omschreven in de vorm van de Wft. In de Wft worden de kaders aangegeven waarbij de overheid het aan de ondernemingen over laat om te bepalen op welke wijze zij hieraan voldoen. Met de opgestelde Codes is hier een verdere invulling aan gegeven. Het IIA heeft volgens mij door onder andere enkele position papers, een praktijkadvies en de standaarden zodanig de in de Codes benoemde werkzaamheden gespecificeerd dat duidelijk is wat wel en wat niet door

‘Internal audit wordt dus in verband gebracht met risicomanagement en met de effecten van verandering op risico’s en beheersmaatregelen. Hierbij worden als operationele kerntaken gezien: het adviseren inzake risicomanagement en beheerssystemen, het realiseren van bewustwording over risico’s en beheersing binnen organisaties, het faciliteren bij verandering, het bijdragen aan continue verbetering van beheerssystemen en het verschaffen van zekerheid aan het management over de doeltreffendheid van beheerssystemen.’

(24)

een IAF behoort te worden uitgevoerd. Hierdoor is van principle-based regulering door middel van zelfregulering een aanpak gedefinieerd met een meer rule-based karakter.

Op basis van de informatie uit dit hoofdstuk kom ik binnen het Internal Audit Maturity Model (CIAMM) op een gemiddelde score uit van 4,33 voor de IAF bij middelgrote tot grote bank/verzekeraars. Dat betekent dat het niveau op 4 ‘Geïntegreerd’ staat. Hierbij zie ik bij de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Relatiemanagement en cultuur’ verbeterpunten. Bij de eerste dimensie weeg ik het feit dat de definitie van de IIA mogelijk verwachtingen schept die hoger liggen dan dat de IAF waar kan maken zwaar mee. Net als in de accountancy is er bij internal auditing sprake van axiomatisch voorbehoud. Op basis van de uitvoering van onze werkzaamheden is de betrouwbaarheid en nauwkeurigheid niet zo groot dat we daarmee volledige zekerheid kunnen afgeven. De tweede genoemde dimensie schaal ik tevens lager in omdat eigenlijk al uit het strategisch plan van de IIA zelf blijkt dat hier nog werk is te verzetten.

Figuur 7: Maturityprofiel CIAMM (weten regelgeving))

De taken van de IAF kunnen, algemeen beschouwd, onderverdeeld worden in traditionele taken en hedendaagse taken. De traditionele taken vormen met name het bestaansrecht van de IAF en zijn geen onderwerp van discussie. De hedendaagse taken kunnen worden gezien als een toegevoegde waarde binnen de organisatie. Daarnaast kunnen de taken op verschillende wijzen worden ingestoken waarbij een onderscheid is tussen de van oudsher reactieve houding en de meer proactieve houding. Hierbij is de verwachting dat de proactieve houding juist een aanpak is die zal worden toegejuicht door de proceseigenaren. De combinatie van een proactieve houding en de hedendaagse taken zouden het verschil kunnen maken tussen niveau 4 en niveau 5 uit het CIAMM. Hierbij betreft niveau 5 een volwaardige gesprekspartner van het senior management.

(25)

Hfdst 4. Hoe zijn de werkzaamheden van

de Internal Audit Functie ingevuld bij

middelgrote tot grote banken/

verzekeraars?

4.1 Inleiding

Het doel van dit hoofdstuk is vast te stellen hoe de werkzaamheden van de Internal Audit Functie (IAF) zijn ingevuld binnen middelgrote tot grote banken/verzekeraars. (onderzoeksvraag 3) Aan de hand van de verwerkte resultaten uit de gehouden interviews, bij de zes middelgrote tot grote banken/verzekeraars opererend op de Nederlandse markt, is een beeld geschetst van de huidige invulling van de werkzaamheden van de IAF bij deze organisaties.

4.2 Keuze Respondenten

De onderzoeksvraag is gericht op de werkzaamheden van de IAF bij middelgrote tot grote banken/verzekeraars in Nederland. Zoals in hoofdstuk 1 is verwoord is hiervoor bij banken het percentage assets ten opzichte van het totaal aan assets van banken in Nederland en voor de verzekeraars de grootte van de verzekeringsportefeuille ten opzichte van de totale verzekeringsportefeuille als criterium genomen. De Nederlandse bankensector kent een grote mate van concentratie. Zo wordt de markt gedomineerd door de vier grootbanken (ING, Rabobank, ABN AMRO en SNS Bank), die meer dan circa 90% van de totale assets van Nederlandse banken voor hun rekening nemen. Op basis van deze verdeling is gekozen voor de twee grootbanken ABN AMRO en SNS en de middelgrote bank NIBC die gezamenlijk circa 25% van de totale assets voor hun rekening nemen.

Figuur 8: 10 grootste Nederlandse banken in 2013

Voor de verzekeraar is de concentratie minder sterk waarbij de tien grootste Nederlandse verzekeraars zo’n negentig procent van de totale verzekeringsmarkt in hun portefeuille hebben. Van kleine verzekeraars is in Nederland bijna geen sprake. Uit de top tien is naast de grootste verzekeraar, Eureko / Achmea, gekozen voor Delta Lloyd en Aegon. Tevens is REAAL als onderdeel van de bank verzekeraar SNS REAAL vertegenwoordigd. (financieel.infonu.nl/verzekering/28074-grootste-verzekeraars-van-nederland.html)

4.3 Resultaten uit interviews

De resultaten vanuit de gehouden interviews aangevuld met ontvangen stukken vanuit de organisatie zijn in dit hoofdstuk verwerkt. Op basis van een set van vijftien vragen is invulling gegeven aan dezelfde dimensies zoals gehanteerd in het Internal Audit Maturity Model

(26)

(CIAMM) van hoofdstuk 2. De correlatie tussen de vragen en de zes gehanteerde dimensies is in bijlage 4 weergegeven.

4.3.1 Rol, taken en aandachtsgebieden

De functie van de IAF komt volgens het management bij de geïnterviewde organisaties in hoofdlijnen uit op het al dan niet proactief toevoegen van waarde aan de organisatie. Dit wordt bewerkstelligd door zorgvuldig, deskundig en objectief toetsen van governance, beheersing, risicomanagement en het adviseren van de Raad van Bestuur (RvB). Uiteindelijk heeft dit als doel de organisatie zijn doelstellingen te laten realiseren.

De nuanceverschillen zitten met name in de wijze waarop de IAF de nadruk legt op bepaalde taken of aandachtsgebieden. Met name de grotere auditafdelingen dragen steeds meer hun proactieve rol uit. Dit komt ook expliciet tot uitdrukking tijdens de interviews en blijkt ook uit de ontvangen audit charters van de betreffende organisaties. De IAF werkt regelmatig met het operationeel management aan nieuwe initiatieven om te zorgen dat passende controles worden uitgevoerd binnen nieuwe processen. Ook de rol van audit gedurende projecten zodat projecten worden uitgevoerd op een gecontroleerde manier is een steeds

terugkomend onderwerp. Opvallende uitkomst is dat van de voorgestelde taken die behoren tot takenpakket van de IAF, geen van de IAF’s het tot zijn taak ziet te ondersteunen bij Control Self-Assessments (CSA).

4.3.2 Personeel

Niet geheel onverwacht, maar hoe meer personeel binnen een IAF werkzaam is hoe meer er sprake is van specialisatie van werkzaamheden. Deze specialisatie bestaat enerzijds in de vorm van interne auditors die naast algemene audit vaardigheden ook diepgaande kennis van een of meerdere business domeinen hebben. Een belangrijk voorbeeld van een specifiek domein is bijvoorbeeld het actuariaat binnen de verzekeringswereld. Door de ontwikkelingen als Solvency II en IFRS 4 fase 2 waarbij marktwaardemodellen de basis vormen voor de financiële interne en externe rapportages is actuariële kennis onmisbaar in de audit teams.

Naast de specifieke kennis over business domeinen verschilt ook de achtergrond van de interne auditor zelf. De wijze hoe de IAF’s van de geïnterviewde organisaties dit invullen vertoont verschillen. Hierbij geven sommige organisaties invulling aan specialisme op basis van de verschillende soorten opleidingen tot interne auditor (RA, RE, RO, AA, CISA of CIA). Andere organisaties hechten waarde aan medewerkers met een achtergrond in projectenorganisatie of sociale psychologie. Dit komt voort uit het feit dat de professionaliteit van de interne auditor, naast zijn technische deskundigheid, vooral is gelegen in het kunnen inschatten van de (inter)menselijke component als onderdeel van de bedrijfscultuur. Het komt meer aan op het kunnen inschatten van cultuuraspecten, gedragingen, integriteit en andere meer soft control-achtige aspecten. Ook laten bepaalde organisaties heel bewust de IAF als kweekvijver-functie onderdeel uitmaken van management-development programma’s.

4.3.3 Professional practices

Qua beleid, procedures en werkwijzen verschilt dit niet veel onderling. Vanuit de IIA is met het International Professional Practices Framework (IPPF) invulling gegeven waar elke interne auditor zich aan dient te houden. De inrichting van de werkzaamheden verschilt onderling wel waarbij, mede afhankelijk van de aanwezige specialisaties, de traditionele taken zoals genoemd in hoofdstuk 2 worden aangevuld met de hedendaagse. Een belangrijke bevinding is dat de scheidslijn tussen de werkzaamheden vanuit met name de 1ste en 3de lijn niet altijd even helder is. Werkzaamheden met betrekking tot interne controle worden (deels) uitgevoerd door de bij de organisatie betreffende IAF. Op basis van het ‘Three Lines of Defence model’ horen deze werkzaamheden in de eerste lijn thuis.