De 'why' van internal audit : over de toegevoegde waarden van de internal auditfunctie

DE ‘WHY’ VAN

INTERNAL AUDIT

OVER DE TOEGEVOEGDE WAARDE VAN

DE INTERNAL AUDITFUNCTIE

Inge van Dijk | Studentnummer: 0610178 Executive Master of Internal Auditing

Universiteit van Amsterdam | Amsterdam Business School Begeleider: Walter Swinkels

1

VOORWOORD

Het kunnen aantonen van de eigen toegevoegde waarde en relevantie voor een organisatie wordt steeds belangrijker geacht. Om aantoonbaar te kunnen maken dat wij als internal auditor toegevoegde waarde hebben geleverd, moeten wij wel weten wat deze toegevoegde waarde is. Daarvoor is het mijns inziens enerzijds belangrijk inzicht te hebben in onze (kern)taken: wat houdt de functie van internal auditor in? Maar belangrijker is mijns inziens het antwoord op de vraag waarom wij deze taken uitvoeren: waartoe dient het en wat brengt het de organisatie?

Met dit onderzoek ben ik gestart met een zoektocht naar de kern van onze toegevoegde waarde. Het heeft voor mij geleid tot nieuwe en interessante inzichten over de toegevoegde waarden van de internal auditfunctie. Alsook over hoe ik mijn eigen toegevoegde waarde binnen mijn organisatie kan vergroten.

Als bijkomend voordeel hoop ik middels dit onderzoek bij te dragen aan het verstevigen van het bestaansrecht van de internal auditor. Tijdens mijn studie heb ik gemerkt dat wij als internal auditors niet goed zijn in het promoten van de eigen toegevoegde waarde. We zijn immers geen verkopers! Door het geven van inzicht in onze (ervaren) toegevoegde waarde, hoop ik dat dit ons als internal auditors de handvatten biedt om duidelijk te kunnen maken waarom wij doen wat we doen: wat is ons doel, wat zijn onze overtuigingen, wat is onze reden van bestaan als internal auditor? Hiermee kunnen we onszelf en ons vakgebied beter ‘aanprijzen’ en ons bestaansrecht verstevigen.

Dank aan eenieder die een bijdrage hebben geleverd aan de totstandkoming van deze scriptie. Dank aan mijn scriptiebegeleider Walter Swinkels voor de waardevolle feedback die ik heb mogen ontvangen. Dank aan Robert Bogtstra en Remko Renes voor het mogen bijdragen aan hun onderzoek en voor het delen van hun onderzoeksdata van de Internal Audit Monitor 2017. Alsook aan de mensen die aan dit onderzoek hebben deelgenomen: dank voor jullie tijd, openheid en (nieuwe) inzichten. Dit onderzoek was nooit mogelijk geweest zonder jullie inbreng!

Ik sluit af met een speciale dank aan mijn vriend. Die heeft de afgelopen drie jaar met minder moeten doen: minder alert, minder attent, minder spontaan. Gewoonweg minder ‘Inge’. Dank voor je steun en geduld. Vanaf nu gaan we gewoon weer vol van het leven (met elkaar) genieten!

2

Veel leesplezier toegewenst! SAMENVATTING

Met dit onderzoek is beoogd inzicht te gegeven in de (ervaren) toegevoegde waarde van de internal auditfunctie. Het onderzoek richt zich op Nederlandse beursgenoteerde bedrijven waar het hebben van een internal auditfunctie geen wettelijke verplichting is. Door inzicht te hebben in de toegevoegde waarde van de internal auditfunctie, kunnen internal auditors met hun dienstverlening aansluiten bij de wensen van de (key) interne stakeholders. Om dit inzicht te verkrijgen is de volgende onderzoeksvraag geformuleerd: Welke toegevoegde waarde van de internal auditfunctie wordt ervaren door Nederlandse beursgenoteerde bedrijven?

Vanuit de principaal-agenttheorie, transactiekostentheorie en institutionele theorie zijn de volgende kwalitatieve variabelen onttrokken die als mogelijke toegevoegde waarde van de internal auditfunctie kunnen worden gezien:

1. Informatie asymmetrie: het verminderen van de informatie asymmetrie tussen opdrachtgever en opdrachtnemer.

2. Externe druk: het wegnemen van de ervaren (formele dan wel informele) externe druk tot het inrichten van een internal auditfunctie.

3. Kostenbesparing: de werkzaamheden van de internal auditfunctie zijn kostenbesparend ten opzichte van de kosten voor de external auditor en voorzien managers van andersoortige informatie voor kostenbesparingen dan alleen de financiële verantwoordingsinformatie geleverd door externe audits.

4. Specifieke kennis van de (interne) organisatie: de specifieke combinatie van onafhankelijkheid en objectiviteit bij het uitvoeren van haar onderzoeken in combinatie met haar kennis van de business, de cultuur en de verhoudingen binnen de organisatie.

Uit onderzoek naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven (niet AEX, AMX en AScX) blijkt dat de toegevoegde waarde van de internal auditfunctie nog niet wordt gezien door het merendeel van de lokale beursfondsen. De aanwezige internal auditfuncties zijn geïnitieerd vanwege externe druk (beursverplichting). Uit de interviews met Nederlandse beursgenoteerde bedrijven met een internal auditfunctie blijkt dat de toegevoegde waarde van de internal auditfunctie wel wordt ervaren. Uit deze interviews blijkt een link met de volgende theoretische variabelen aanwezig te zijn:

 ‘informatie asymmetrie’ → het zijn van de ogen en oren van een raad van bestuur en/of een audit committee.

3

 ‘specifieke kennis van de (interne) organisatie’ → het bijdragen aan de lerende organisatie en procesoptimalisatie.

De invulling van de werkzaamheden is divers doordat de behoeften vanuit de organisaties wisselend zijn. Het is dan ook aan de internal auditor te achterhalen wat de specifieke behoefte van de (key) interne stakeholders is en waar de specifieke toegevoegde waarde van de internal auditfunctie zit binnen die specifieke organisatie. Daarnaast kan het antwoord op de vraag naar de belangrijkste toegevoegde waarde van de internal auditfunctie binnen de eigen organisatie veranderen, omdat ook de organisatie continu verandert en in ontwikkeling blijft. Als internal auditor is het belangrijk hiervan bewust te zijn en op te anticiperen.

4

INHOUDSOPGAVE

1 INLEIDING ... 6

1.1 Doel van onderzoek en onderzoeksvragen ... 8

1.2 Onderzoeksmethode- en model ... 9

1.3 Structuur van de scriptie ... 10

2 THEORETISCH KADER ...12

2.1 Inleiding ... 12

2.2 Elementen van de internal auditfunctie ... 13

2.2.1 Onafhankelijk en objectief ... 13

2.2.2 Audit- en adviesdiensten ... 14

2.2.3 Brede invulling van risicomanagement-, beheersings- en besturingsprocessen 15 2.2.4 Samenvatting ... 16

2.3 Verklaringen voor het bestaan van de internal auditfunctie: een theoretische benadering ... 16

2.3.1 Principaal-agenttheorie ... 17

2.3.2 Institutionele theorie ... 17

2.3.3 Transactiekostentheorie ... 18

2.3.4 Samenvatting ... 19

2.4 De toegevoegde waarde van de internal auditfunctie: een kwalitatieve benadering 20 2.4.1 Principaal-agenttheorie en toegevoegde waarde van de internal auditfunctie . 20 2.4.2 Institutionele theorie en toegevoegde waarde van de internal auditfunctie ... 21

2.4.3 Transactiekostentheorie en toegevoegde waarde van de internal auditfunctie 23 2.5 Samenvatting onderzoekskader ... 24

3 PRAKTIJKONDERZOEK EN ANALYSE ...26

3.1 Onderzoeksmethode praktijkonderzoek ... 26

3.2 Resultaten uit onderzoek naar jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven ... 28

3.3 Resultaten uit interviews ... 29

3.4 Analyse van de resultaten ... 33

3.4.1 Analyse van de resultaten uit onderzoek naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven ... 33

3.4.2 Analyse van de resultaten van de Nederlandse beurgenoteerde bedrijven met een internal auditfunctie aangesteld in 2017 ... 34

3.4.3 Analyse van de resultaten van de Nederlandse beurgenoteerde bedrijven met een internal auditfunctie aangesteld voor 2017 ... 37

5

4 CONCLUSIES EN AANBEVELINGEN ...40

4.1 Conclusies van onderzoek ... 40

4.2 Aanbevelingen ... 43

4.2 Beperkingen ... 44

4.3 Mogelijk vervolgonderzoek ... 44

4.4 Tot slot ... 45

Literatuur ...46

Bijlage 1 Uitnodigingsmail aan geïnterviewden ...51

Bijlage 2 Opzet interview en interviewvragen ...54

6

1 INLEIDING

Op basis van de Nederlandse Corporate Governance Code en het ‘three lines of defence’-model lijkt het logisch dat de internal auditfunctie bij alle grote organisaties een duidelijke eigen positie heeft. Er is echter sprake van een paradox: de ervaren toegevoegde waarde van de internal auditfunctie verschilt per stakeholder. In de financiële sector, zoals voor banken en verzekeraars, is het hebben van een internal auditfunctie verplicht gesteld door de externe toezichthouders. Sommige beursgenoteerde bedrijven kiezen er daarentegen bewust voor om geen internal auditfunctie in te richten. De toegevoegde waarde van de internal auditfunctie wordt kennelijk verschillend ervaren door bestuurders en externe toezichthouders.1

Aanleiding van het onderzoek is de introductie van de herziene Nederlandse Corporate Governance Code in december 2016 waarin meer expliciet aandacht wordt gegeven aan het belang van een internal auditfunctie. De herziene code is wettelijk verankerd per 1 januari 2018. De verankering heeft tot gevolg dat Nederlandse beursgenoteerde bedrijven geacht worden verantwoording af te leggen over de naleving van de herziene code in het jaarverslag middels het ‘pas toe of leg uit’ principe.2 _{Onder de Nederlandse Corporate} Governance Code zijn Nederlandse beursgenoteerde bedrijven verplicht om een internal auditfunctie te hebben, dan wel om uit te leggen waarom er geen internal auditfunctie is ingesteld.

De vraag kan worden gesteld of de herziene Nederlandse Corporate Governance Code, en de aandacht en het belang dat deze code hecht aan het hebben van een interne auditfunctie, een reden is van de stijging in het aantal Nederlandse beursgenoteerde bedrijven met een interne auditfunctie.3 _{Zou het echter niet zo moeten zijn dat als de toegevoegde waarde van} de internal auditfunctie een vanzelfsprekendheid is, deze niet hoeft te worden ‘afgedwongen’ middels een code? Om deze reden is het een geschikt moment om de toegevoegde waarde van internal auditfuncties te onderzoeken.

1 _{Driessen & Wakkerman (2014), p. 6–9.}

2 Staatsblad jaargang 2017, 332. Besluit van 29 augustus 2017 tot wijziging van het Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van het jaarverslag (Stb. 747).

3 _{Bogtstra & Renes (2017). Zie het hoofdstuk 6 voor de onderzoeksresultaten van de Internal Audit}

Monitor 2017, waaruit blijkt dat er sprake is van een stijging in het aantal Nederlands beursgenoteerde bedrijven met een internal auditfunctie sinds de laatste meting in 2014.

8

1.1 Doel van onderzoek en onderzoeksvragen

Met dit onderzoek wordt beoogd inzicht te geven in de (ervaren) toegevoegde waarde van de internal auditfunctie. De gouden cirkel van Simon Sinek4 _{is als rode draad gebruikt in deze} scriptie. Simon Sinek heeft met zijn gouden cirkel namelijk ooit zo pakkend verwoord:

mensen overtuigen doe je niet door te vertellen wát je doet, maar door ze te vertellen waaróm je doet wat je doet.

Bron: De gouden cirkel van Simon Sinek

Naast inzicht geven in de (ervaren) toegevoegde waarde van de internal auditfunctie, biedt het onderzoek de internal auditor houvast om duidelijk te kunnen maken waarom hij doet wat hij doet.

Als hoofdvraag is de volgende onderzoeksvraag geformuleerd:

Welke toegevoegde waarde van de internal auditfunctie wordt ervaren door Nederlandse beursgenoteerde bedrijven?

De hoofdvraag wordt beantwoord aan de hand van de volgende deelvragen:

Theorie

1. Welke criteria uit de literatuur geven invulling aan de toegevoegde waarde van de internal auditfunctie?

Praktijk

2. Wat wordt door lokale Nederlandse beursgenoteerde bedrijven in hun jaarverslag aangegeven over de toegevoegde waarde van het inrichten van een internal auditfunctie?

3. Wat wordt door (hoofden van internal audit of internal auditmanagers van) Nederlandse beursgenoteerde bedrijven aangegeven over de (ervaren) toegevoegde

9

waarde van de internal auditfunctie, vanuit eigen perspectief en vanuit organisatieperspectief?

1.2 Onderzoeksmethode- en model

Het onderzoek bestaat uit twee delen. Allereerst is een literatuurstudie uitgevoerd om vast te stellen wat de theoretische verklaringen zijn van bestaan van de internal auditfunctie en wat volgens de huidige opvattingen de toegevoegde waarde is van het hebben van een internal auditfunctie (het theoretische kader).

Vervolgens is onderzoek gedaan naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven5_{, waarbij onderzocht is wat de overwegingen zijn geweest tot het} al dan niet inrichten van een internal auditfunctie (desk research). Daarnaast is middels interviews - met de hoofden van internal audit of internal auditmanagers van Nederlandse beursgenoteerde bedrijven - achterhaald welke toegevoegde waarde van de internal auditfunctie wordt ervaren binnen Nederlandse beursgenoteerde bedrijven (kwalitatief onderzoek). Qua periode is daarbij onderscheid gemaakt tussen de Nederlandse beursgenoteerde bedrijven die in 2017 een internal auditfunctie hebben ingericht en de Nederlandse beursgenoteerde bedrijven die voor 2017 reeds een internal auditfunctie hebben ingericht. Het onderscheid is gekozen vanwege de invoering van de herziene Nederlandse Corporate Governance Code eind 2016. De herziene Nederlandse Corporate Governance Code van de commissie van Maanen heeft een verhoogde aandacht voor het belang van de internal auditfunctie.

De uitkomsten vanuit het onderzoek naar de jaarverslagen en de uitgevoerde interviews zijn geanalyseerd. Op deze wijze is inzicht verkregen in de overwegingen van (lokale) Nederlandse beursgenoteerde bedrijven om al dan niet een internal auditfunctie in te richten, alsook inzicht in de (gepercipieerde) toegevoegde waarde van de internal auditfunctie binnen Nederlandse beursgenoteerde bedrijven. Daarnaast zijn aanbevelingen gedaan aan internal auditors over de wijze waarop zij de toegevoegde waarde van hun dienstverlening (beter) kunnen laten ervaren door de interne stakeholders. Dit is als volgt vervat in onderstaand onderzoeksmodel:

5 _{Deze resultaten zijn ook input geweest voor de onderzoeksresultaten van de Internal Audit Monitor}

2017 van Bogtstra & Renes (over de mate en verschijningsvormen waarin de intern auditfunctie voorkomt binnen Nederlandse beursgenoteerde bedrijven).

10

Kwalitatief onderzoek middels interviews met Nederlandse beursgenoteerde bedrijven met een

internal auditfunctie vóór 2017

1.3 Structuur van de scriptie

In hoofdstuk 2 wordt kort de elementen van de internal auditfunctie besproken. Wat verstaan wordt onder een internal auditfunctie (waaraan moet worden voldaan om te kunnen kwalificeren als internal auditor) en wat de (kern)taken van de internal auditfunctie - kunnen - zijn (waarvoor staan zij opgesteld). Tevens wordt ingegaan op mogelijke verklaringen voor het bestaan van de internal auditfunctie. Deze verklaringen worden toegelicht vanuit de theoretische perspectieven van de principaal-agenttheorie, transactiekostentheorie en de institutionele theorie. Vervolgens zal vanuit deze theoretische perspectieven – aangevuld met literatuurstudie – onderzocht worden welke kwalitatieve variabelen, die het bestaan van een internal auditfunctie binnen een organisatie kunnen verklaren, tevens als mogelijke toegevoegde waarde(n) van de internal auditfunctie kunnen worden gezien.

L

i

t

e

r

a

t

u

u

r

s

t

u

d

i

e

Kwalitatieve onderzoek middels interviews met Nederlandse beursgenoteerde bedrijven met een

internal auditfunctie in 2017 Vergelijking analyses Analyse resultaten Analyse resultaten Kwalitatieve variabelen Analyse resultaten Onderzoek naar jaarverslagen van lokale Nederlandse beurs-genoteerde bedrijven

Resultaten en analyses

Conclusies & aanbevelingen

11

In hoofdstuk 3 wordt de resultaten gegeven van het onderzoek naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven. Tevens worden de resultaten gegeven van de kwalitatieve interviews. Vervolgens worden de resultaten geanalyseerd en vergeleken met de kwalitatieve variabelen uit het onderzoekskader.

In hoofdstuk 4 wordt geëindigd met een conclusie en zijn aanbevelingen gedaan aan internal auditors over de wijze waarop zij de toegevoegde waarde van hun dienstverlening (beter) kunnen laten ervaren door de interne stakeholders binnen een organisatie.

12

2 THEORETISCH KADER

2.1 Inleiding

In dit hoofdstuk zal een antwoord worden gegeven op de eerste deelvraag: Welke criteria uit de literatuur geven invulling aan de toegevoegde waarde van de internal auditfunctie? Hierbij zal inzicht worden gegeven wat er onder de (werkzaamheden van een) internal auditfunctie wordt verstaan. Hiervoor biedt de gouden cirkel van Sinek als denkmodel houvast6_{: what do}

we do? en how do we do what we do?

Why = purpose

Why do we do what we do? What is our belief? How = The process

How do we do what we do? Specific actions taken to realize the Why.

What = The result

What do we do? The result of why.

Het Institute of Internal Auditors (het IIA)7 _{geeft invulling aan de cirkel van Sinek door hun} definitie van internal audit:

“Internal auditing biedt onafhankelijke en objectieve audit- en adviesdiensten, die bedoeld zijn om meerwaarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de doelmatigheid van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren.”

De definitie verklaart volgens het IIA Nederland het fundamentele doel, de aard en de reikwijdte van internal audit.

De definitie van internal auditing raakt het ‘bestaansrecht’ van de internal auditfunctie, en dat is: het leveren van toegevoegde waarde met als uiteindelijke doel het helpen van de organisatie haar doelstellingen te verwezenlijken. Dit is echter vanzelfsprekend en geldend voor alle functies binnen een organisatie; elke functie dient uiteindelijk bij te dragen aan het

6 _{Sinek (2011).}

13

verwezenlijken van de doelstellingen van de organisatie.8 _{Maar waarin zit dan de specifieke} toegevoegde waarde van de internal auditfunctie?

In de volgende paragrafen zal een korte schets worden gegeven van de genoemde elementen die de internal auditfunctie definiëren. Vervolgens zal een inzicht worden gegeven in mogelijke (theoretische) verklaringen voor het bestaan van de internal auditfunctie (paragraaf 2.3) en de mogelijke toegevoegde waarde(n) van de internal auditfunctie (paragraaf 2.4). Het geheel geeft handvatten voor het duiden van de kerntaak en toegevoegde waarde van de internal auditfunctie.

2.2 Elementen van de internal auditfunctie

Bij het ontleden van de definitie van het IIA komt een aantal elementen naar voren waaraan de internal auditfunctie moet voldoen om toegevoegde waarde te kunnen leveren aan de organisatie:

• de internal auditfunctie is onafhankelijk en objectief (paragraaf 2.2.1); • _{de internal auditfunctie biedt audit- en adviesdiensten (paragraaf 2.2.2);}

• de internal auditfunctie evalueert - middels systematische en gedisciplineerde aanpak - en verbetert de doelmatigheid van risicomanagement-, beheersing- en besturingsprocessen (paragraaf 2.2.3).

Om te begrijpen wat de toegevoegde waarde van de internal auditor is, is het goed om een begrip te krijgen van deze elementen van de internal auditfunctie. In de volgende paragrafen zal een korte schets worden gegeven van de bovengenoemde elementen.

2.2.1 Onafhankelijk en objectief

De internal auditfunctie is een onafhankelijke functie die als taak een objectief oordeel te geven en te adviseren over mogelijke verbeteringen op diverse gebieden van governance, risicomanagement, interne beheersing en compliance. Wat houden deze begrippen ‘onafhankelijk’ en ‘objectief’ eigenlijk in? En zijn zij van belang voor de internal auditfunctie om toegevoegde waarde te kunnen hebben?

Volgens de kwaliteitsstandaarden van het IIA (IPPF 20179_{) betekent ‘onafhankelijk’:}

8 _{Zie bijvoorbeeld de definitie gehanteerd door Paur et al. voor organisatie: “Een organisatie is een}

samenwerkingsverband van mensen die met behulp van inzet van middelen (input) een bepaalde presentatie leveren (output) om daarmee een doelstelling te bereiken.” Paur et al. (2014), p. 21.

14

“Onafhankelijkheid is het vrij zijn van omstandigheden die een bedreiging vormen voor het vermogen van de internal auditfunctie om de verantwoordelijkheden van internal auditing onpartijdig uit te voeren. […] Bedreigingen van de onafhankelijkheid moeten worden beheerst op het niveau van de individuele auditor, opdracht, functioneel en organisatorisch.”

De onafhankelijkheid moet dus gewaarborgd zijn, zodat de internal auditor zijn internal audit verantwoordelijkheden onpartijdig kan uitvoeren. Om dit te waarborgen dient (het hoofd) internal audit - volgens de kwaliteitsstandaarden van het IIA - direct en onvoorwaardelijk toegang te hebben tot het senior management en de raad van bestuur.

Volgens de kwaliteitsstandaarden van het IIA betekent ‘objectief’:

“Objectiviteit is een onbevooroordeelde instelling op basis waarvan internal auditors hun opdracht zodanig kunnen uitvoeren dat zij geloven in de resultaten van hun werkzaamheden en dat er geen compromissen ten aanzien van de kwaliteit worden gemaakt. Objectiviteit vereist dat internal auditors hun oordeel betreffende auditkwesties niet ondergeschikt maken aan anderen. Bedreigingen van de objectiviteit moeten worden beheerst op het niveau van de individuele auditor, opdracht, functie en organisatie.”

Objectiviteit is volgens het IIA dus met name een mentale houding.

Concluderend, om toegevoegde waarde te kunnen leveren dient de internal auditfunctie onafhankelijk en objectief te zijn. Onafhankelijkheid en objectiviteit zijn kennelijk (rand)voorwaarden voor de internal auditfunctie, om middels het uitvoeren van haar kerntaken van toegevoegde waarde te kunnen zijn voor een organisatie.10

2.2.2 Audit- en adviesdiensten

Volgens het IIA Nederland is de kerntaak van de internal auditor het geven van aanvullende zekerheid aan het topmanagement over de mate waarin de risico’s, die de doelstellingen van de organisatie bedreigen, worden beheerst. De internal auditfunctie onderzoekt of processen

9 _{International Standards for the Professional Practice of Internal Auditing van januari 2017. Zie}

standaard 1100.

10 _{IIA Nederland & NBA (2016). In het “Internal Audit Ambition Model” van IIA Nederland haalt een}

15

op het gebied van risicomanagement, beheersing en besturing in opzet en werking toereikend zijn om de doelstellingen van de organisatie te realiseren. Zij geeft daarmee ‘assurance’ aan het verantwoordelijke management, het bestuur en de audit committee.11

De internal auditor kan ook optreden als adviseur op het gebied van interne beheersing. Veel voorkomende voorbeelden van adviesactiviteiten zijn het opzetten van het risicomanagementsysteem, begeleiden van het uitwerken van de beheersingsmaatregelen in een proces en deelname aan een automatiseringsproject als projectmedewerker.12

2.2.3 Brede invulling van risicomanagement-, beheersings- en besturingsprocessen

In de definitie van het IIA wordt internal auditing gekoppeld aan de aandachtsgebieden governance, risicomanagement en beheersing. Daartoe stelt de internal auditor vast dat de governance adequaat is, er een goed werkend risicomanagementsysteem is, beheermaatregelen toereikend zijn en goed werken. Aanvullend geeft het IIA Nederland aan dat de internal auditor ook beoordeeld dat er gehandeld wordt overeenkomstig relevante wet- en regelgeving en dat de informatievoorziening, op basis waarvan het management in staat is om gefundeerde besluiten te nemen, betrouwbaar is.13

Steeds vaker worden ook behaviour controls in audits meegenomen. De internal auditor stelt daarbij vast dat de interne beheersing wordt ondersteund door gedrag en cultuur. Zaken als de ‘tone at the top’, de cultuur en de stijl van leidinggeven worden door het IIA Nederland gezien als de voorwaarden voor een goed functionerende governance structuur.14 _Ook Paape benadrukt het belang van de internal auditor ten aanzien van gedrag en cultuur. Hij geeft aan dat de internal auditor tot taak heeft het aanpassingsvermogen van de organisatie te verhogen door betrokkenen te confronteren met hun verouderde routines, mentale en psychologische blokkades, cognitieve tekortkomingen en toe te zien op een consistente implementatie van beoogde veranderingen.15

11 _{IIA, NIVRA & NOREA (2008), p. 5-6.} 12 _{IIA, NIVRA & NOREA (2008), p. 12.} 13 _{IIA (2014), p. 4.}

14 _{IIA, NIVRA & NOREA (2008), p. 6-10.} 15 _{Paape (2012), p. 14.}

16

2.2.4 Samenvatting

Het IIA geeft aan dat een internal auditfunctie toegevoegde waarde levert wanneer het objectieve en relevante zekerheid biedt en bijdraagt aan de doelmatigheid van governance-, risicobeheer- en controleprocessen. Om toegevoegde waarde te kunnen leveren dient de internal auditfunctie onafhankelijk en objectief te zijn.

Vanuit de gouden cirkel van Sinek focust deze definitie van toegevoegde waarde op de buitenste twee cirkels. What do we do? De internal auditfunctie geeft aanvullende zekerheid dat gestelde doelstellingen worden behaald. How do we do what we do? De internal auditfunctie is een onafhankelijke en objectieve functie die middels een systematische en gedisciplineerde aanpak de doelmatigheid van de risicomanagement-, beheersings- en besturingsprocessen evalueert en verbetert. Hiermee is echter nog geen antwoord gegeven op de middelste en belangrijkste vraag: why do we do what we do? Hier wordt in de volgende paragrafen aandacht aan besteed.

2.3 Verklaringen voor het bestaan van de internal auditfunctie: een theoretische benadering

De definitie van internal audit is breed en omvangrijk, alsook de werkzaamheden die daaronder kunnen vallen. Lenz en Sarens16 _{hebben onderzocht dat duidelijk moet zijn wat de} kerntaak is van de internal auditfunctie. Bij het afstemmen van de verwachtingen is goede communicatie hierover met de stakeholders binnen een organisatie van groot belang. Het doel is een gezamenlijk begrip te hebben van de kerntaak van de internal auditfunctie. Om hierover in gesprek te kunnen gaan met de interne (key) stakeholders is het van belang om een duidelijk begrip te hebben wat de reden is van het bestaan van de internal auditfunctie.

In deze paragraaf wordt inzicht gegeven in mogelijke verklaringen voor het bestaan van de internal auditfunctie, om vervolgens in paragraaf 2.3 verder in te gaan op de mogelijke reden(en) van bestaan. De mogelijke verklaringen voor het bestaan van de internal auditfunctie wordt benaderd vanuit de theoretisch perspectieven van: de ‘Agency Theory’, de ‘Transaction Cost Theory’ en de ‘Institutional Theory’. Of wel - in goed Nederlands - de principaal-agenttheorie, transactiekostentheorie en institutionele theorie. Deze theorieën zijn

17

gekozen vanwege eerder verrichtte onderzoeken naar verklaringen voor het bestaan van de internal auditfunctie met gebruik van deze theorieën.17

2.3.1 Principaal-agenttheorie

De principaal-agenttheorie is de meest voorkomende genoemde verklaring voor het bestaan van de internal auditfunctie.18 _{Tevens heeft de Nederlandse Corporate Governance Code} zijn oorsprong in de principaal-agenttheorie.19 _{Daarom wordt allereerst stilgestaan bij de} theoretische verklaring van de principaal-agenttheorie.

De principaal-agenttheorie betreft de relatie tussen principaal vs. agent respectievelijk opdrachtgever vs. opdrachtnemer. Gedachtegoed is dat in deze relatie de opdrachtnemer wil weten of de opdrachtgever in zijn belang optreedt. De opdrachtgever is echter niet in staat dit te controleren doordat de taken niet door hemzelf uitgevoerd worden en daardoor bepaalde informatie niet heeft. Kortom, er is sprake van informatie asymmetrie in het voordeel van de opdrachtnemer. Door deze informatievoorsprong is de opdrachtnemer in de gelegenheid om tegen het belang van de opdrachtgever het eigen belang na te streven.20

De opdrachtnemer is weliswaar verplicht te rapporteren aan de opdrachtgever, maar informatie kan onjuist of onvolledig zijn. De opdrachtgever dient de uitvoering van de taken van de opdrachtnemer te monitoren en de verkregen informatie te controleren, om vast te stellen dat zijn belangen het beste worden behartigd. In veel gevallen is de opdrachtgever echter niet bereid of in staat om deze monitoringsrol op zich te nemen, en besluit daartoe een gespecialiseerde monitor in te huren. Een interne auditfunctie zou de informatie asymmetrie tussen de agent en de principaal moeten verkleinen en betrouwbaardere informatie moeten verschaffen.21 _{De principaal-agent verhouding kan bestaan tussen de} raad van bestuur en andere lagere managementlagen maar ook tussen de audit committee en de raad van bestuur.22

2.3.2 Institutionele theorie

17 _{Zie Swinkels (2012), p. 133, met verwijzingen naar: Arena & Azzone (2007), Arena & Azzone}

(2009), Carcello et al. (2005), Goodwin-Stewart et al. (2006) en Wallace & Kreutzfeldt (1991).

18 _{Adams (1994); Carcello et al. (2005); Goodwin-Stewart & Kent (2006). Zie Mihret (2014) en Mihret &}

Grant (2017) voor alternatieve theorieën over het bestaansrecht van internal audit.

19 _{Paape (2007), p. 12, p. 70 en p. 99e.v.}

20 _{Paap (2007), p. 105 en Paur et al. (2014), p. 23.} 21 _{Sarens en Abdolmohammadi (2011).}

18

De institutie theorie gaat ervan uit dat organisaties gedreven zijn om de structuren, praktijken en procedures geïnstitutionaliseerd in de samenleving op te nemen om hun legitimiteit en hun overlevingsperspectieven te vergroten, onafhankelijk van de onmiddellijke werkzaamheid daarvan.23 _{DiMaggio en Powell}24 _{concluderen dat het effect van institutionele} druk een toegenomen homogeniteit van organisaties tot gevolg heeft. Coercive isomorphism noemen ze dit. Het betreft de formele dan wel informele druk die door organisaties gevoeld wordt, opgelegd door andere organisaties waar zij afhankelijk van zijn en/of door de verwachtingen van maatschappelijke stakeholders in hun speelveld.

Deze druk kan ook een verklaring geven voor het bestaan van internal auditfunctie. Deze druk is zichtbaar in praktijken met betrekking tot corporate governance richtlijnen over de hele wereld of de regeldruk met betrekking tot het Nederlandse bankreglement met betrekking tot de rol van de internal auditfunctie.25 _{Ook volgens Paape is er een link tussen} de steeds groter wordende roep om meer zekerheid en de - corporate governance - codes die meer terrein winnen.26 _{En ook in het onderzoek van Bogtstra en Renes wordt een link} gelegd naar de steeds prominentere plek die internal auditfunctie inneemt in de codes voor goed bestuur.27 _{Ook met de recente herziening van de Nederlandse Corporate Governance} Code wordt vaak een link gelegd met de groei van het aantal internal auditfuncties bij Nederlandse beursgenoteerde bedrijven, dat weer verband houdt met de institutionele theorie. De vraag is echter of deze gelegde link een terechte is. Hierover meer in hoofdstuk 3.

2.3.3 Transactiekostentheorie

De transactiekostentheorie wordt gebruikt als een verklaring voor het hebben van een internal auditfunctie, als een variatie op de meer voorkomende principaal-agenttheorie.28 Tevens wordt deze theorie vaak gebruikt om het uitbestedingsbesluit van internal audit te verklaren.29 _{Vandaar dat hieronder ook stilgestaan wordt bij deze theorie als mogelijke}

23 _{Meyer (1977), p. 340.} 24 _{DiMaggio & Powell (1983).} 25 _{Swinkels (2012), p. 138-139.} 26 _{Paape (2007), p. 8-9.}

27 _{Bogtstra & Renes (2017), p. 6-7.} 28 _{Spaakman (1997), p. 323-324.}

19

verklaring voor het bestaan - en mogelijk ook toegevoegde waarde - van de internal auditfunctie.

Tussen spelers in het economische verkeer vinden voortdurend transacties plaats, waarbij eigendomsrechten worden gewijzigd of overgedragen. Deze transacties moet worden gecoördineerd. Dat gebeurt in een zogeheten governance structuur - bijvoorbeeld in contracten of een organisatievorm, zoals de onderneming of een strategisch samenwerkingsverband - waarin de rechten en plichten worden vastgelegd. De coördinatie van transacties brengt altijd kosten met zich brengt. Op basis van de hoogte van de transactiekosten beslissen de spelers in het economisch verkeer of een transactie binnen de onderneming of via een marktcontract wordt gecoördineerd.

De transactiekostentheorie probeert contractuele gevaren te identificeren, te expliciteren en te beperken. Volgens Williamson30 _{kunnen alle mogelijke contractuele gevaren in het} algemeen worden toegeschreven aan de gedragsassumpties begrensde rationaliteit en

opportunisme. Begrensde rationaliteit gaat uit van de gedachte dat er grenzen zijn aan het

menselijk vermogen om alle relevante informatie te verwerken ten behoeve van besluitvorming, waardoor er altijd sprake is van onvolledige contracten. Opportunisme is het nastreven van eigen belang (boven het belang van de organisatie). Deze gedragsassumpties lijden tot onvolledige contractvormen, waardoor monitoring van deze contracten achteraf nodig is om zodoende conflicten te voorkomen of weg te nemen. Transactiekostentheorie analyseert de meest economische governance structuur die de negatieve effecten van deze gedragsassumpties moeten verminderen en wederzijds voordeel realiseert.31

2.3.4 Samenvatting

Bovenstaande theorieën geven mogelijke verklaringen voor het bestaan van de internal auditfunctie. Inzicht in deze theorieën is ook van belang voor het onderzoeken van het bestaansrecht van de internal auditfunctie. Zoals aangegeven in de inleiding is daarbij een belangrijke vraag, de vraag naar de toegevoegde waarde van de internal auditfunctie. Dit is de ‘raison d’être’ van de internal auditfunctie: de reden van bestaan in tegenstelling tot een verklaring van het bestaan. De toegevoegde waarde van de internal auditfunctie is het

30 _{Williamson (1996), p.12. Williamson - onder meer Williamson (1981), (1985), (1996) en (2002) -}

bouwde voort op het gedachtegoed van Ronald Coase (1937).

20

antwoord op de ‘why’-vraag uit de gouden cirkel van Sinek: waartoe zijn internal auditors op aarde?

De theorieën over verklaringen voor het bestaan van de internal auditfunctie geven mogelijke aanknopingspunten (zoals het verminderen van informatie asymmetrie). Zou hierin ook de toegevoegde waarde(n) van de internal auditfunctie kunnen zitten? Hierover meer in de volgende paragraaf.

2.4 De toegevoegde waarde van de internal auditfunctie: een kwalitatieve benadering

De toegevoegde waarde van de internal auditfunctie zal onderzocht worden middels de theorieën uit de vorige paragraaf over verklaringen voor het bestaan van de internal auditfunctie, aangevuld met literatuurstudie. Hieruit zullen kwalitatieve variabelen worden ontleend die mogelijk ook als toegevoegde waarde(n) van de internal auditfunctie worden gezien. Aan de hand van het model van Sinek wordt gekeken naar why do we do what we

do? Daarin zit de kracht van overtuiging. Why = purpose

Why do we do what we do? What is our belief? How = The process

How do we do what we do? Specific actions taken to realize the Why.

What = The result

What do we do? The result of why.

2.4.1 Principaal-agenttheorie en toegevoegde waarde van de internal auditfunctie

Paape geeft aan dat de behoefte aan de internal auditfunctie kan ontstaan doordat complexiteit en omvang van een organisatie het onmogelijk maken om alles te overzien en daardoor bij bestuurders de behoefte ontstaat om (stuur)informatie te laten verifiëren en valideren.32 _{Ook Swinkels geeft aan dat internal audit het management kan ondersteunen} rondom potentiële informatie asymmetrie tussen de audit committee, raad van bestuur en lokaal management.33

32 _{Paape (2007), p. 27-28.} 33 _{Swinkels (2012), p. 202.}

21

Volgens het IIA Nederland heeft de internal auditfunctie ook richting een raad van commissarissen een toegevoegde waarde. De raad van commissarissen wordt steeds meer verantwoordelijk gehouden voor de kwaliteit van hun toezicht. Commissarissen zijn voor hun informatievoorziening echter sterk afhankelijk van het bestuur. Om aan deze verantwoordelijkheid te kunnen voldoen maken zij daarom in toenemende mate gebruik van de internal auditor, die hen vanuit zijn onafhankelijke en objectieve functie comfort kan geven over de kwaliteit van de informatieverstrekking door het bestuur en het functioneren van het (risicomanagement-)beheersingssysteem.34 _{Een zelfstandige internal auditfunctie geeft een} extra waarborg voor ‘good governance’. Commissarissen zijn voor hun informatievoorziening afhankelijk van het bestuur, terwijl zij behoefte hebben aan onafhankelijke en zichtbare toetsing. De internal auditfunctie verzorgt de raad van commissarissen met een natuurlijke ingang in de organisatie en voorziet hen van extra ‘ogen en oren’.35 _{Ook Bogtstra en Renes}36 stellen in hun onderzoek dat commissarissen niet volledig afhankelijk mogen zijn van de informatie van bestuurders: ze moeten ook inzichten kunnen krijgen van een onafhankelijke bron in de organisatie. De internal auditfunctie kan fungeren als deze onafhankelijk bron.

Deze veronderstellingen zijn in lijn met de principaal-agenttheorie en veronderstelde informatie asymmetrie. Is het verminderen van informatie asymmetrie een toegevoegde waarde van de internal auditfunctie (onderzoeksvariabel 1)? Het is in ieder geval een van de meest aangehaalde redenen van bestaan van de internal auditfunctie.

2.4.2 Institutionele theorie en toegevoegde waarde van de internal auditfunctie

In de gedachtegang van de Monitoring Commissie Corporate Governance Code heeft iedere beursvennootschap een internal auditor op grond van ‘best practice’-bepaling V.3.1.37 Uitgangspunt in de Nederlandse Corporate Governance Code is dat beursvennootschappen een interne auditfunctie inrichten. Indien een beursvennootschap niet aan dit uitgangspunt voldoet, wordt van de raad van commissarissen verwacht dat zij beoordeelt of adequate alternatieve maatregelen zijn getroffen en uitlegt waarom daarmee kan worden volstaan.38

34 _{IIA (2014), p. 9.}

35 _{Driessen & Wakkerman (2014).} 36 _{Bogtstra & Renes (2017).}

37 _{MCCG (2008). Zie de het hoofdstuk ‘Verantwoording van het werk van de Commissie’, onder}

nummer 48.

22

Volgens de Commissie van Manen vervult de internal auditfunctie een belangrijke rol in de risicobeheersing van de vennootschap. Zij wordt namelijk geacht op een objectieve wijze de implementatie en effectiviteit van de interne risicobeheersings- en controlesystemen te beoordelen. De Commissie benadrukt hiermee het belang van een internal auditfunctie als essentieel onderdeel van de risicobeheersing van de vennootschap.39

Paape geeft aan dat door de toegenomen snelheid van (organisatorische) veranderingen, de diverse boekhoudschandalen en het toegenomen aantal regels, behoefte is aan aanvullende bevestiging op de vraag of de organisatie (in toereikende mate) wordt beheerst.40 _Volgens Paape is er een link tussen de steeds groter wordende roep om meer zekerheid en de corporate governance codes die meer terrein winnen.41 _{Dit wordt bevestigd in het onderzoek} recentelijk uitgevoerd door Bogtstra en Renes, waarin is te zien dat steeds meer Nederlandse beursgenoteerde bedrijven een internal auditfunctie hebben en daarmee compliant zijn met de Nederlandse Corporate Governance Code. Zij leggen in hun onderzoek een link naar de steeds prominentere plek die internal audit inneemt in de codes voor goed bestuur.42

Ook volgens Smit en Chuah43 _{heeft de herziene Nederlandse Corporate Governance Code} ertoe geleid dat er meer internal auditfuncties zijn ingericht binnen Nederlandse beursgenoteerde bedrijven. Zij verklaren nader dat dit volgens hen bewijst dat de Nederlandse beursgenoteerde bedrijven de toegevoegde waarde en noodzaak van de internal auditfunctie zien en zij daarnaast niet onder willen doen voor hun concurrenten of hun stakeholders teleurstellen. Het risico op waardbeperkingen op de langere termijn zou te groot zijn. Smit en Chuah concluderen aanvullend dat de toename van de internal auditfuncties binnen verscheidene organisaties een bevestiging is van een goed werkende en algemeen geaccepteerde code.

Het is een kwestie van de kip en het ei verhaal. Zijn er meer internal auditfuncties omdat dit zo wordt ‘afgedwongen’ middels de Nederlandse Corporate Governance Code of is de internal auditfunctie in de code opgenomen omdat het steeds meer een goed gebruik is onder organisaties voor het borgen van goed ondernemingsbestuur? Als we Chuah en

39 _{MCCG (2016b), p. 14.} 40 _{Paape (2007), p. 8.} 41 _{Paape (2007), p. 8-9.}

42 _{Bogtstra & Renes (2017), p. 6-7.} 43 _{Smit & Chuah (2017), p. 211.}

23

Bendermacher mogen geloven is het met name de externe druk van toezichthouders en stakeholders geweest die de plek van de internal auditfunctie in de herziene code heeft verstevigd.44 _{Het onderzoek van Bogtstra en Renes bevestigen dit beeld. In dit onderzoek} wordt aangeven dat twee van de zeven Nederlandse beursgenoteerde bedrijven met een nieuwe internal auditfunctie in 2017 expliciet in hun jaarverslag hebben aangegeven dat dit is in lijn met de (aangescherpte) vereisten vanuit de Nederlandse Corporate Governance Code.45

Bovenstaande biedt in ieder geval ruimte voor een link tussen de institutionele theorie en de toegevoegde waarde van de internal auditfunctie: het wegnemen van deze gevoelde (formele dan wel informele) externe druk tot het inrichten van een internal auditfunctie (onderzoeksvariabel 2).

2.4.3 Transactiekostentheorie en toegevoegde waarde van de internal auditfunctie

De transactiekostentheorie kan worden gebruikt voor het bepleiten van de internal auditfunctie ten behoeve van (transactie)kostenbesparingen, wanneer de werkzaamheden van de internal auditor kostenbesparend is ten opzichte van de external auditor. Aanvullend geeft de transactiekostentheorie nog een extra verklaring voor het bestaan van de internal auditor. Interne auditors voorzien managers van meer nuttige informatie voor (transactie)kostenbesparingen dan alleen de financiële verantwoordingsinformatie geleverd door externe audits, aangezien bij interne audits ook gebruik wordt gemaakt van operationele informatie en niet alleen financiële boekhoudkundige informatie. Internal auditors kunnen alle operaties en systemen onderzoeken, en streven naar formele en informele manieren om cruciale informatie over de organisatie en zijn activiteiten te verzamelen. Tevens kunnen internal auditors als medewerkers van de organisatie gemakkelijker de medewerking van medewerkers van de organisatie verkrijgen, dit in tegenstelling tot externe auditors. Internal auditors hebben lange termijn relaties met deze werknemers en worden niet gezien als ‘buitenstaanders’ zoals externe accountants vaak wel worden gezien.46

Volgens het IIA Nederland zit de toegevoegde waarde van de internal auditfunctie richting het management vooral in het signaleren en aandragen van verbeteringen ten aanzien van

44 _{Chuah & Bendermacher (2016a), p. 56-57 alsook Chuah & Bendermacher (2016b).} 45 _{Bogtstra & Renes (2017), p. 19.}

24

de doelmatigheid van processen, primair op het gebied van governance, risicomanagement, interne beheersing en compliance.47 _{Dit is, zoals aangegeven in hoofdstuk 2, de taken die de} internal auditor uitvoert: how do we do what we do. Het is echter niet de reden waarom deze taken worden uitgevoerd, de: why do we do what we do. Daarnaast zou de internal auditfunctie echter ook bedragen aan transparantie, integriteit, risicobewustzijn en verantwoording binnen de organisatie.48 _{Dit geeft wel antwoord op de ‘why’-vraag en zou} daarmee een mogelijke toegevoegde waarde van de internal auditfunctie kunnen zijn.

Ook Carey et al49 _{beargumenteren in hun onderzoek dat de interne internal auditors meer} ‘commitment’ en diepgaande bedrijfsspecifieke kennis hebben. Daarnaast geeft ook Roth50 aan dat een diepgaande kennis van de organisatie - waaronder de cultuur, de belangrijkste stakeholders en de (competitieve) omgeving waarin zij zich bevinden - een belangrijke factor is die van invloed is op de toegevoegde waarde van de internal auditfunctie. Dit baseert hij op meer dan 10 jaar onderzoek naar internal audit ‘best practices’.

Bovengenoemde veronderstellingen sluiten aan bij de transactiekostentheorie en het verschaffen van formele en informele (bedrijfsspecifieke) informatie, die bijvoorbeeld voor buitenstaanders lastig te achterhalen is. Daarmee zou een toegevoegde waarde van de internal auditor kunnen zitten in kostenbesparing (onderzoeksvariabel 3) of in haar specifieke kennis van de business, de cultuur en de verhoudingen binnen de organisatie51 (onderzoeksvariabel 4).

2.5 Samenvatting onderzoekskader

Vanuit de literatuurstudie naar de toegevoegde waarde van de internal auditfunctie zijn onderstaande vier kwalitatieve variabelen onttrokken. Dit zijn de kwalitatieve variabelen verkregen vanuit de bovenstaande theorieën en aangevuld middels literatuurstudie. Deze variabelen kunnen een verklaring bieden voor de reden van het bestaan van de internal auditfunctie in een organisatie, maar kunnen mogelijk ook de (gepercipieerde) toegevoegde waarde(n) van de internal auditfunctie zijn.

47 _{IIA (2014), p. 6.} 48 _{IIA (2014), p. 6.} 49 _{Carey et al. (2006).}

50 _{Roth (2003). In zijn onderzoek heeft hij de gemeenschappelijke kenmerken onderzocht van de}

toonaangevende en goed gewaardeerde audit afdelingen.

25

Variabelen Toelichting

1 Informatie asymmetrie Zit de toegevoegde waarde van de internal auditfunctie in het verminderen van informatie asymmetrie tussen opdrachtgever en opdrachtnemer?

2 Externe druk Zit de toegevoegde waarde van de internal auditfunctie in het wegnemen van ervaren (formele dan wel informele) externe druk tot het inrichten van een internal auditfunctie? 3 Kostenbesparing Zit de toegevoegde waarde van de internal auditfunctie in

het feit dat haar werkzaamheden kostenbesparend is ten opzichte van de kosten voor de external auditor? Voorzien interne audits managers van andersoortige informatie voor kostenbesparingen dan alleen de financiële

verantwoordingsinformatie geleverd door externe audit? 4 Specifieke kennis van de

(interne) organisatie

Zit de toegevoegde van de internal auditfunctie in haar specifieke combinatie van onafhankelijkheid en objectiviteit bij het uitvoeren van haar onderzoeken in combinatie met haar kennis van de business, de cultuur en de

26

3 PRAKTIJKONDERZOEK EN ANALYSE

3.1 Onderzoeksmethode praktijkonderzoek

In dit hoofdstuk zal een antwoord worden gegeven op de tweede en derde deelvraag: Wat wordt door lokale Nederlandse beursgenoteerde bedrijven in hun jaarverslag aangegeven over de toegevoegde waarde van het inrichten van een internal auditfunctie? én Wat wordt door (hoofden van internal audit of internal auditmanagers van) Nederlandse beursgenoteerde bedrijven aangegeven over de (ervaren) toegevoegde waarde van de internal auditfunctie, vanuit eigen perspectief en vanuit organisatieperspectief?

Er is onderzoek gedaan naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven, niet zijnde AEX, AMX of AScX. Deze doelgroep is tot op heden niet onderzocht.52 Onderzocht is welke lokale Nederlandse beursgenoteerde bedrijven een internal auditfunctie hebben ingericht en wat zij daarover melden in hun jaarverslag. Alsook wat door lokale beursfondsen zonder internal auditfunctie in het jaarverslag wordt aangeven over de overweging(en) tot niet inrichten van een internal auditfunctie, conform de verplichting daartoe van de Nederlandse Corporate Governance code vanwege het ‘pas toe of leg uit’ principe.

Daarnaast is gekozen voor kwalitatieve interviews voor het onderzoek naar de (ervaren) toegevoegde waarde van de internal auditfunctie. Qua periode is daarbij onderscheid gemaakt tussen de Nederlandse beursgenoteerde bedrijven die in 2017 een internal auditfunctie hebben ingericht en de Nederlandse beursgenoteerde bedrijven die voor 2017 reeds een internal auditfunctie hebben ingericht. Het onderscheid is gekozen vanwege de invoering van de herziene Nederlandse Corporate Governance Code eind 2016. De herziene Nederlandse Corporate Governance Code van de commissie van Maanen heeft een verhoogde aandacht voor het belang van de internal auditfunctie. Door het interviewen van de bovengenoemde twee groepen Nederlandse beursgenoteerde bedrijven kan een vergelijk worden gemaakt tussen de interviewuitkomsten in wat als toegevoegde waarde wordt gezien om een internal auditfunctie in te richten.

52 _{De onderzoeksdata over het bestaan van een internal auditfunctie bij de lokale Nederlandse}

beursvennootschappen is tevens ingebracht in het onderzoek van Bogtstra & Renes (2017). Zie voor onderzoeksresultaten van de AEX, AMX en AScX beursfondsen het uitgevoerde onderzoek over de verschijningsvormen van de internal auditfunctie binnen Nederlandse beursgenoteerde bedrijven (Internal Audit Monitor 2017 - Bogtstra & Renes (2017).

27

Aspecten zoals persoonlijke inzichten en opinie spelen een belangrijke rol in de interviews en het onderzoek. Daarom is gekozen voor semigestructureerd interviews53_{. Het interview is} afgenomen met:

• _{Recent aangestelde internal auditors} • Hoofden van de internal auditfuncties

• _{Internal auditmanagers binnen een organisatie met een grote internal auditfunctie,} met een eigen aandachtsgebied, internal audit team, rapportagelijnen en (key) interne stakeholder

Om te borgen dat de geïnterviewden zich vrij voelden alles te kunnen zeggen en verklaren, is ervoor gekozen de geïnterviewde bedrijven en personen niet te vermelden in deze scriptie. Voorafgaand aan het interview is met de geïnterviewden afgesproken dat er een geluidsopname wordt gemaakt. Deze geluidsopnames zijn vervolgens samenvattend getranscribeerd en gebruikt voor onderzoeksanalyse. Het samengevatte verslag van de interviews is aan de geïnterviewden voorgelegd voor akkoord. Alle geïnterviewden zijn akkoord gegaan met de (verkorte) weergave van hetgeen besproken. Gegevens en concrete antwoorden zijn vervolgens anoniem verwerkt in deze scriptie.

De gouden cirkel van Sinek is als rode draad gebruikt in het onderzoek. De gouden cirkel is daarom ook als rode draad gebruikt voor de interviews. Aan de geïnterviewde is aan het begin het van interview een uitleg gegeven over de gouden cirkel van Sinek. Vervolgens is gezamenlijk deze cirkel doorlopen. Te beginnen met vragen over wat de internal auditor doet en hoe hij zijn werkzaamheden uitvoert. Om vervolgens te komen tot de vraag waaróm hij de dingen doet die hij doet. De gouden cirkel van Sinek is geen gevalideerd onderzoekmodel. Het is daarom ook alleen gebruikt als denkmodel, om tezamen met de geïnterviewden te komen tot de vraag wat de (belangrijkste) toegevoegde waarde van de internal auditfunctie is. De achterliggende gedachte hierbij is dat de geïnterviewden vrij zijn om na te denken over de eigen toegevoegde waarde(n) respectievelijk die van de auditfunctie binnen de eigen organisatie, en niet al gelijk in het kader van de gebruikte theorieën en daaruit gehaalde variabelen te denken.

Volgens is aan de geïnterviewden uitleg gegeven over de theorieën gebruikt in het literatuuronderzoek (principaal-agenttheorie, institutionele theorie en transactiekostentheorie) en de (4) variabelen die uit het literatuuronderzoek naar voren zijn gekomen, welke mogelijk een antwoord kunnen zijn op de vraag naar de toegevoegde waarde van de internal auditor binnen een organisatie. Daarbij is aan de geïnterviewden gevraagd in hoeverre dit ook als

28

toegevoegde waarde van de internal auditfunctie kan worden gezien binnen de eigen organisatie van de geïnterviewde, vanuit het eigen perspectief als vanuit het perspectief van de organisatie. Met eigen perspectief wordt bedoeld: de toegevoegde waarde van de internal auditfunctie voor zijn organisatie bezien vanuit zijn eigen optiek. Met het perspectief van de organisatie wordt bedoeld: het perspectief bezien vanuit de key stakeholder binnen de eigen organisatie. Daarbij is aan de geïnterviewden gevraagd om deze variabelen te rangschikken van ‘meest waarschijnlijk‘ tot ‘minst waarschijnlijk‘ - waarbij 1 meest waarschijnlijk is en 4 minst waarschijnlijk - en gevraagd dit toe te lichten.

3.2 Resultaten uit onderzoek naar jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven

Uit onderzoek naar de jaarverslagen van de in totaal 29 lokale Nederlandse beursgenoteerde bedrijven, blijkt dat 3 lokale beursfondsen (Kardan N.V., Core Laboratories N.V. en Neways Electronics N.V.) beschikken over een internal auditfunctie. Hiermee is het totaal aan lokale Nederlandse beursgenoteerde bedrijven zonder internal auditfunctie 26, wat neerkomt op 90%.

Door de lokale beursfondsen die een internal auditfunctie hebben ingesteld wordt hierover het volgende aangegeven. Kardan heeft hun internal auditfunctie geoutsourcet aan een derde partij. Kardan geeft in haar jaarverslag 2016 aan dat de internal auditfunctie een belangrijke rol speelt in het monitoren van het risicomanagement framework, met name gericht op de operationele niveau van de dochterondernemingen. Zij zijn aan het kijken hoe de internal auditfunctie ook kan worden ingezet op het niveau van de holding dat effectief bijdraagt aan een toename van de interne risicobeheersing.54

Core Laboratories geeft in hun jaarverslag en corporate governance verklaring55 _{weinig aan} over de rol en reden van inrichten van een internal auditfunctie. Vanuit een vacaturetekst op LinkedIn56 _{blijkt dat internal audit zich bezighoudt met het leveren van toegevoegde waarde}

54 _{Zie het jaarverslag 2016 van Kardan N.V. (te raadplegen via:}

https://www.kardan.nl/images/annual-report/annual-reports/AR2016.pdf) en de Corporate Governance Verklaring 2016 (te raadplegen via: https://www.kardan.nl/images/annual-report/annual-reports/CorporateGovernance2016.pdf).

55 _{Zie het jaarverslag 2016 van Core Laboratories N.V. (te raadplegen via:}

https://www.corelab.com/investors/cms/docs/annual_report/2016_annual_report.pdf) en de Corporate Governance Verklaring (te raadplegen via:

https://www.corelab.com/cr/cms/docs/corporate_governance_guidelines.pdf).

29

door het uitvoeren van audit werkzaamheden resulterend in geverifiërende financiële data, gereduceerde kosten, behalen van operationele efficiëntie, versterken van internal controls en verbeterend bedrijfsbeleid. Daarnaast speelt internal audit een belangrijke rol ten aanzien van naleving van de SOX-wetgeving en het bijstaan van het management in hun beoordeling van de interne controle van de financiële verslaggeving.

Neways Electronics geeft in hun jaarverslag 201757 _{hierover het volgende aan: “Het doel van}

de internal auditfunctie is om de opzet en werking van het interne risicobeheersings- en controlesysteem te beoordelen en verder te versterken.” De internal auditor wordt gezien als

een actieve adviseur die door zijn aanbevelingen bijdraagt aan het verbeteren van het ontwerp van een controlesystemen. Tevens voorziet de internal auditfunctie de Raad van Bestuur van een objectieve beoordeling van de kwaliteit en de naleving van verbeteringen en standaardisering van bedrijfsprocessen.

In de jaarverslagen van de overige 26 lokale Nederlandse beursgenoteerde bedrijven wordt, in strijd met het ‘pas toe of leg uit’ principe, vaak niet uitgelegd waarom er geen internal auditfunctie is ingericht. Slechts 14 van de 26 lokale Nederlandse beurgenoteerde bedrijven leggen dit in hun jaarverslag uit, maar beperken zich daarbij veelal slechts tot de uitleg dat ‘gegeven de omvang van de organisatie’ er geen noodzaak is tot het instellen van een internal auditfunctie.

Concluderend, slechts 3 van de 29 lokale Nederlandse beursgenoteerde bedrijven (omgerekend 10%) heeft een internal auditfunctie ingericht. Het merendeel van de lokale Nederlandse bedrijven lichten – in strijd met het ‘pas toe of leg uit’ principe – niet of slechts beperkt toe waarom zij geen internal auditfunctie hebben ingericht. Hierdoor zijn de overwegingen van deze lokale Nederlandse beursgenoteerde bedrijven om geen internal auditfunctie in te richten niet inzichtelijk.

3.3 Resultaten uit interviews

In totaal zijn er in 2017 zeven Nederlandse beursgenoteerde bedrijven geweest die in hun jaarverslag hebben aangegeven een internal auditfunctie te zullen inrichten. Dit waren:

1. Basic Fit 2. IMCD Group

57 _{Zie het jaarverslag 2017 van Neways Electronics N.V., p. 40 (te raadplegen via:}

30

3. Sligro Food Group 4. Beter Bed

5. Brunel 6. ForFarmers

7. Neways Electronics

Van deze zeven bedrijven vallen twee buiten de populatie:

- één bedrijf heeft zijn internal auditfunctie geoutsourcet; en

- één bedrijf heeft, ondanks dit te hebben aangegeven in hun jaarverslag, begin van het jaar 2018 nog geen internal auditfunctie ingericht.

Twee recent aangestelde auditors van een Nederlandse beursgenoteerde bedrijven hebben niet gereageerd op het verzoek voor een interview. De overige drie Nederlandse beursgenoteerde bedrijven met een recent aangestelde internal auditor in 2017 stonden open voor een interview.

Daarnaast is contact gezocht met drie hoofden van internal audit of internal auditmanagers van Nederlandse beursgenoteerde bedrijven waarvan de internal auditfunctie al vóór 2017 is ingesteld. Daarbij is convenience sampling58 _{gekozen voor de interviews met betrekking tot} deze - in totaal 32 - Nederlandse beursgenoteerde bedrijven.

Als de resultaten van de totale groep geïnterviewden wordt bekijken, dan geeft dit het volgende beeld. 58 _{Saunders et al. (2012).} 2 3 2 2 2 1 3 3 2 1 2 2 1 2 3 A B C

Informatie asymmetrie

Eigen perspectief Organisatie perspectief

3 4 3 4 3 4 2 4 3 4 3 4 1 2 3 A B C

Externe druk

31

Per variabel staat horizontaal aangegeven de geïnterviewden, waarbij 1 t/m 3 de geïnterviewden zijn met een in 2017 aangestelde internal auditor en A t/m C de geïnterviewden met een internal auditfunctie ingericht vóór 2017. In de eerste donkerblauwe balk is de score gegeven vanuit eigen perspectief en de tweede blauwgrijze balk de score gegeven vanuit het organisatie perspectief, waarbij score 1 ‘meest waarschijnlijk’ en score 4 ‘minst waarschijnlijk’ is.

Daarbij is te zien dat variabel 4 ‘specifieke kennis van de (interne) organisatie’ het hoogst gescoord. Alle geïnterviewden hebben dit zowel vanuit eigen perspectief als vanuit perspectief van de organisatie gescoord met een 1 of 2.

• 5 van de 6 geïnterviewden geven vanuit het eigen perspectief aan dat specifieke kennis van de (interne) organisatie een belangrijke toegevoegde waarde is van de internal auditfunctie. Dit komt overeen met het organisatieperspectief, waarbij ook de specifieke kennis van de (interne) organisatie wordt gezien als belangrijke toegevoegde waarde van de internal auditfunctie (dit wordt ook door 5 van de 6 geïnterviewden aangegeven).

• De 2 geïnterviewden (A en C) die de specifieke kennis van de interne organisatie vanuit eigen perspectief respectievelijk organisatieperspectief niet hebben gescoord met een 1 maar met een 2, hebben in plaats daarvan de informatie asymmetrie gescoord met een 1.

Ook variabel 1 ‘informatie asymmetrie’ scoort hoog.

• 4 van de 6 geïnterviewden scoren de informatie asymmetrie met een 2 vanuit het eigen perspectief. Eén van de geïnterviewden geeft zelfs vanuit het eigen perspectief 4 2 4 3 4 3 4 2 4 3 4 3 1 2 3 A B C

Kostenbesparing

Eigen perspectief Organisatie perspectief

1 1 1 1 1 2 1 1 1 2 1 1 1 2 3 A B C

Specifieke kennis organisatie

32

aan dat deze variabel de grootste toegevoegde waarde van de internal auditfunctie is.

• 4 van de 6 geïnterviewden scoren de informatie asymmetrie ook vanuit organisatieperspectief hoog, met een score 1 of 2.

• Eén van de geïnterviewden geeft informatie asymmetrie vanuit organisatieperspectief een score 3, daar waar deze vanuit eigen perspectief een 2 scoort. Slechts één van de geïnterviewden scoort de informatie asymmetrie laag vanuit zowel eigen als organisatieperspectief, beiden met een score 3 (zie voor toelichting paragraaf 3.4.3).

Variabel 2 ‘externe druk’ en variabel 3 ‘kostenbesparing’ scoort laag.

• 6 van de 6 geïnterviewden scoren de ‘externe druk’ vanuit eigen perspectief laag, met een score 3 of 4. Slechts één van de geïnterviewden heeft aangegeven dat dit vanuit organisatieperspectief wel een ervaren toegevoegde waarde is.

• _{5 van de 6 geïnterviewden geven zowel vanuit eigen perspectief als vanuit} organisatieperspectief aan dat ‘kostenbesparing’ niet een toegevoegde waarde van de internal auditfunctie is.

• Slechts één van de geïnterviewden heeft kostensparing hoger gescoord – met een score 2 – zowel vanuit eigen perspectief als vanuit organisatieperspectief (zie voor toelichting eveneens paragraaf 3.4.3).

Hieronder de uitkomsten vanuit het eerste deel van de interviews, waarin wordt gevraagd naar (belangrijkste) toegevoegde waarde van de internal auditfunctie met gebruik van de gouden cirkel van Sinek. De interviews zijn met elkaar vergelijken, waarbij is opgemerkt dat de volgende terugkomende omschrijvingen gebruikt zijn als belangrijkste toegevoegde waarde(n) van de internal auditfunctie:

Omschrijvingen van de belangrijkste toegevoegde waarde van de internal auditfunctie

Aantal keer genoemd

Bijdragen aan een lerende organisatie 5

Bijdragen aan procesoptimalisatie 5

Het voorhouden van een kritische spiegel 5

Het zijn van de ‘ogen en oren’ van de (key) interne stakeholders 4

De uitkomsten zijn te linken aan de theoretische variabelen. Het zijn van de ogen en oren van de (key) interne stakeholders wordt door de geïnterviewden gelinkt aan de variabel 1 ‘informatie asymmetrie’. Het kunnen bijdragen aan een lerende organisatie en

33

procesoptimalisatie wordt gelinkt aan de variabel 4 ‘specifieke (interne) kennis van de organisatie’. Door specifieke kennis van de organisatie, de cultuur en de verhoudingen binnen een organisatie kan men volgens de geïnterviewden komen tot aanbevelingen die bijdragen aan het lerend vermogen van de organisatie of bijdragen aan procesoptimalisatie.

Concluderend, de grootste (ervaren) toegevoegde waarde van de internal auditfunctie wordt vooral gezien in de variabelen 1 ‘informatie asymmetrie’ en 4 ‘specifieke kennis van de (interne) organisatie’. Daarbij steekt deze laatste variabel er met kop en schouders bovenuit. Er is hierin weinig tot geen verschil in de toegevoegde waarde zoals gezien vanuit eigen perspectief en zoals deze wordt ervaren door de interne stakeholders binnen de organisatie. Over de vraag naar de toegevoegde waarde van de internal auditfunctie binnen de eigen organisatie, wordt aangegeven dat dit zit in: het voorhouden van een kritische spiegel, het bijdragen aan een lerende organisatie en procesoptimalisatie. Tevens wordt een belangrijke toevoegde waarde gezien in het zijn van de ogen en oren van de (key) interne stakeholders. Hierbij wordt door de geïnterviewden een link gemaakt met de volgende theoretische variabelen:

 _{‘informatie asymmetrie’ → het zijn van de ogen en oren van een raad van bestuur} en/of een audit committee.

 ‘specifieke kennis van de (interne) organisatie’ → bijdragen aan de lerende organisatie en procesoptimalisatie.

3.4 Analyse van de resultaten

3.4.1 Analyse van de resultaten uit onderzoek naar de jaarverslagen van lokale Nederlandse beursgenoteerde bedrijven

Zoals aangegeven hebben slechts 3 (van de 29) lokale Nederlandse beursgenoteerde bedrijven een internal auditfunctie ingericht, zijnde: Kardan N.V., Core Laboratories N.V. en Neways Electronics N.V. Zowel Kardan als Core Laboratories handelen, naast dat zij handelen op de Nederlandse effectenbeurs, op effectenbeurzen waar het hebben van een internal auditfunctie verplicht wordt gesteld (zijnde de Tel-Aviv Stock Exchange en de New York Stock Exchange). Dit verklaart voor deze organisatie het hebben van de internal auditfunctie.59 _{In de notulen van de Algemene Vergadering van Aandeelhouders van Neways}

59 _{Zie sectie 303A.07 van de Listed Company Manual van de NYSE en sectie 146(a) van de Israel}

34

Electronics van 18 april 201760 _{geeft een van de leden van de Raad van Commissarissen} aan: “dat het aanstellen van een internal auditor in de Corporate Governance Code zoals deze per 1 januari 2018 wordt ingevoerd een voorwaarde wordt”. Kennelijk wordt door Neways Electronics het hebben van een internal auditor gezien als voorwaarde van de herziene Nederlandse Corporate Governance Code.

Geconcludeerd wordt dat de toegevoegde waarde van de internal auditfunctie kennelijk nog niet wordt gezien door het merendeel van de lokale Nederlandse beursfondsen. Daar waar de verplichting voor het hebben van een internal auditfunctie er niet is of niet als zodanig wordt ervaren, is er geen internal auditor aangesteld. Tevens wordt dit vaak niet of slechts beperkt toegelicht in het jaarverslag. Daar waar een internal auditfunctie is ingesteld, is dit een verplichting vanwege de beurs waarop zij hun aandelen verhandelen of wordt het als een verplichting gezien. Kortom, daar waar een internal auditfunctie aanwezig is, is deze geïnitieerd vanwege een externe druk (beursverplichting).

3.4.2 Analyse van de resultaten van de Nederlandse beurgenoteerde bedrijven met een internal auditfunctie aangesteld in 2017

Hieronder de resultaten van de geïnterviewden van Nederlandse beurgenoteerde bedrijven die recentelijk (in 2017) een internal auditor hebben aangesteld.

60 _{Zie notulen AvA van 18 april 2017 (te raadplegen via:}

https://www.newayselectronics.com/app/uploads/2017/12/Notulen-AVA-18-april-2017.pdf). 2 3 2 3 3 2

Geinterviewde 1 Geinterviewde 2 Geinterviewde 3

Informatie asymmetrie

Eigen perspectief Organisatie perspectief

3 4 3 2 4 3

Geinterviewde 1 Geinterviewde 2 Geinterviewde 3

Externe druk

35

Daarbij is onmiskenbaar dat de toegevoegde waarde van de internal auditor zit in de ‘specifieke kennis van de (interne) organisatie’. De variabel staat voor deze specifieke groep van recent aangestelde internal auditors met stip op nummer 1., zowel vanuit eigen

perspectief als vanuit het perspectief van de organisatie.

Door de geïnterviewde die de variabel 1 ‘informatie asymmetrie’ zowel vanuit eigen perspectief als organisatieperspectief niet hoog scoort (met een score 3), werd een andere visie gegeven op de informatie asymmetrie als reden van bestaan van de internal auditfunctie. Hij gaf aan dat gezien de huidige digitale maatschappij, waarbij data vrij toegankelijk is en er goede data-analyse tools op de markt zijn, er niet meer gesproken kan worden van een informatie asymmetrie. De principaal-agenttheorie en informatie asymmetrie is daarmee een achterhaalde reden voor het hebben van een internal auditfunctie, laat staat dat daarin de toegevoegde waarde van de internal auditfunctie zit. Daarmee wordt een terecht punt gemaakt. Het is niet zozeer de ‘klassieke’ informatie asymmetrie, in de zin dat informatie niet doorkomt of bewust dan wel onbewust achtergehouden wordt. Vandaag de dag zal informatie asymmetrie eerder voortkomen uit het feit dat er te veel informatie beschikbaar is; een raad van bestuur of audit committee raakt overspoelt en ziet door de bomen het bos niet meer. Of dat niet de juiste informatie een raad van bestuur of een audit committee bereikt. Doordat er zoveel informatie is, moet deze informatie worden gefilterd. Dit betekent dat een raad van bestuur of audit committee slechts – en terecht – een deel van de beschikbar informatie ontvangen of tot zich kunnen nemen. De hoeveelheid aan informatie moet nog op juiste wijze gefilterd en vertaald worden. De internal auditor kan een rol vervullen in het verifiëren en valideren of de juiste informatie doorkomt en deze op een juiste wijze vertaald is naar stuurinformatie op basis waarvan gedegen besluitvorming kan plaatsvinden. 4 2 4 4 2 4

Geinterviewde 1 Geinterviewde 2 Geinterviewde 3

Kostenbesparing

Eigen perspectief Organisatie perspectief

1 1 1 1 1 1

Geinterviewde 1 Geinterviewde 2 Geinterviewde 3

Specifieke kennis organisatie