• No results found

Internal audit draagt bij aan comfort van commissarissen

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Internal audit draagt bij aan comfort van commissarissen"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

31 Governance en toezicht

Spotlight | Governance en toezicht

Internal audit draagt bij aan comfort van commissarissen

1. Meer winst uit internal governance

Het hebben van een internal-auditfunctie is voor veel organisaties in Nederland niet verplicht. Wel moet, volgens de Nederlandse corporate governance code die geldt voor beursgenoteerde ondernemingen, het audit committee jaarlijks evalueren of er behoefte is aan een internal-auditfunctie. Aan de hand van deze evaluatie doet de raad van commissarissen (rvc) een aanbeveling aan de raad van bestuur (rvb) en neemt deze aanbeveling op in het verslag van de rvc.

Daarbij kan de vraag gesteld worden wat de meerwaarde is van een internal-auditfunctie in de besturing, de beheersing, het toezicht houden en de verantwoording van een organisatie. De opvattingen en overwegingen zijn op basis van dertien gesprekken met commissarissen en bestuurders van verschillende grotere organisaties (meer dan 250 werknemers) en sectoren (financiële instellingen, productie, retail, bouw en overheid) door ons onderzocht. Bij organisaties die geen internal-auditfunctie kennen, is onderzocht hoe zij de ontbrekende derde ‘line of defence’ hebben

Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie. Bestuurders zien alternatieven om deze toetsende functie elders binnen de organisatie te beleggen.

Jan Driessen - Risk Assurance Services, Assurance Bas Wakkerman - Risk Assurance Services, Assurance

Samenvatting

Het hebben van een internal-auditfunctie is voor veel organisaties niet verplicht. In de praktijk zien wij een interessante paradox. Sommige - zelfs beursgenoteerde - bedrijven kiezen er bewust voor om geen internal- auditfunctie in te richten, terwijl het in de financiële sector verplicht is om een internal-auditfunctie te hebben. Uit gesprekken met bestuurders en commissarissen komen deze verschillende opvattingen terug. Vooral bestuurders zien voldoende alternatieven om de toetsende functie van internal audit binnen het

‘three lines of defence’-model anders in te richten.

Zij geven aan dat de internal-auditfunctie, volgens dit model als derde lijn aangeduid, ook door de eerste, tweede of zelfs vierde lijn ingevuld kan worden.

Commissarissen hechten duidelijk(er) meer waarde aan een zelfstandige internal-auditfunctie, vooral als een onafhankelijke en extra waarborg binnen de internal governance.

ingericht en of dit toereikend is in het internal-go- vernancesysteem. Bij organisaties die wel over een internal-auditfunctie beschikken, is nagegaan wat de waarde van deze functie voor bestuurders en commissa- rissen is. Uit ons onderzoek blijkt duidelijk dat hun opvattingen verschillen. Commissarissen hechten meer waarde aan een zelfstandige internal-auditfunctie, terwijl bestuurders andere alternatieven werkbaar achten. Deze bevindingen

hebben geresulteerd in de rapportage “Meer winst uit internal governance”, waarop dit artikel is gebaseerd. Voor het rapport verwijzen wij naar

www.pwc.nl/nl/publicaties/

meer-winst-uit-internal- governance.jhtml.

Paradox: inschatting meerwaarde internal-auditfunctie verschilt per sector In de praktijk zien we een interessante paradox. Sommige beurs genoteerde bedrijven kiezen er bewust voor om geen internal-auditfunctie in te richten, terwijl het voor banken en verzekeraars juist verplicht is om een internal-auditfunctie te hebben.

Organisaties kunnen dus bewust afzien van

een internal-auditfunctie, terwijl het in andere sectoren is opgelegd. Dit betekent dat de (meer)waarde van een internal-auditfunctie kennelijk verschillend wordt ervaren door bestuurders en toezichthouders.

(2)
(3)

33

2. Internal audit is wel belangrijk,

maar niet heilig

Het uitgangspunt voor de vraagstelling over de meerwaarde van de internal-auditfunctie is het ‘three lines of defence’-model. Dit model is gangbaar voor de inrichting van de internal governance van organisaties en wordt geïllustreerd in figuur 1.

Het lijnmanagement is verantwoordelijk voor het ondervangen van risico’s

In dit model geldt dat, gegeven de strategie en het beleid dat de rvb heeft geformuleerd, het lijnmanagement als eerste aan zet is. Het lijnmanagement treft maatregelen en voert deze uit om de risico’s en kansen adequaat te beheersen respectievelijk te realiseren. Met andere woorden, het lijnmanagement is verantwoordelijk voor het inrichten en functioneren van het systeem van interne beheersing.

Tweede linie adviseert en ondersteunt het management

De tweede linie heeft specifiek als rol het lijnmana- ge ment te adviseren en te ondersteunen bij de realisatie van de strategie en het ontwerpen, inrichten en laten werken van de beheersmaatregelen. Er zijn verschil- lende redenen om een tweede ‘line of defence’ in te richten:

• De bedrijfsvoering vereist specifieke expertise.

• Een tweede ‘line of defence’ werkt efficiënter.

• De continuïteit kan beter worden gewaarborgd.

Voorbeelden van dergelijke tweedelijnsafdelingen zijn Compliance, Risicomanagement en HR. Een afdeling Risicomanagement kan het lijnmanagement faciliteren tijdens de uitvoering van risk assessments, adviseren over de risicobereidheid (risk appetite), de kans van optreden van het risico, de mogelijke impact van een risico dat zich voordoet, de strategieën om met die risico’s om te gaan en het beheren van het organisatie- brede risicoregister.

Internal audit geeft zekerheid over de effectiviteit van beheersingsmaatregelen De derde ‘line of defence’ betreft de internal- auditfunctie. De internal-auditfunctie verstrekt het lijnmanagement, de rvb en het audit committee informatie over de opzet, het bestaan en de werking van het systeem van interne beheersing en beoordeelt daarmee samenhangend of de risico’s op een effectieve en efficiënte wijze worden beheerst. Dat houdt in dat, naast het functioneren van de eerste lijn, ook de activiteiten van de tweede ‘line of defence’ onderdeel vormen van de reikwijdte van de internal-auditfunctie.

3. Alternatieven voor de derde ‘line of defence’

In de praktijk is het ‘three lines of defence’-model een dominant governanceprincipe geworden. Dit geldt in het bijzonder voor de financiële sector, waarvoor het Basel Committee het model als guidance heeft opgenomen.

Maar ook in andere sectoren zien wij dat dit model steeds breder wordt toegepast. Dat het ‘three lines of defence’-model echter niet heilig is, bleek duidelijk uit de gesprekken met bestuurders en commissarissen. Zij geven aan dat bij organisaties waar geen afzonderlijke internal-auditfunctie aanwezig is voldoende alter natieven bestaan om toch tot een adequate internal governance te kunnen komen. Aan de hand van de gevoerde gesprekken worden de volgende alternatieven voor de (invulling van de) derde ‘line of defence’ onderscheiden:

• de rvb die vanuit zijn eigen expertise een aanvullende kritische toetsende rol vervult binnen het systeem van internal governance;

• het lijnmanagement (eerste lijn) dat vooral binnen een projectmatige organisatiestructuur zelfstandig verantwoordelijk is voor de invulling van zijn internal governance, daarbij vaak ondersteund én kritisch bevraagd door sterke ‘hoofdkantoorfuncties’;

• de controlfunctie (tweede lijn) die vooral door de toegenomen professionaliteit van businesscontrollers ingezet wordt als een extra onafhankelijke en kritische blik richting de vaak complexe business;

Figuur 1 Het model van de three lines of defence

Second line of defence First line of

defence Third line of

defence Business unit

management Internal Audit

Raad van Commissarissen/Audit Committee Raad van Bestuur

Risk, Control, Quality, Compliance,

Legal, HR, ...

Governance en toezicht

(4)

• de externe accountant (‘vierde lijn’), vooral als een efficiënter en effectiever alternatief voor de internal-auditfunctie als het gaat om het uitvoeren van financial of IT-controlewerkzaamheden in het kader van de jaarrekeningcontrole.

Alternatieven bieden voordelen

De keuze voor genoemde alternatieven is binnen de specifieke context en achtergrond vaak logisch verklaarbaar. In de praktijk bestaan er dus goede mogelijkheden om de ‘three lines of defence’ anders in te richten. Wel wordt een onafhankelijke internal- auditfunctie steeds vaker het dominante governance- principe en is het in de financiële sector zelfs verplicht.

Daarbij heeft een afzonderlijke en zichtbare internal- audit functie duidelijke voordelen ten opzichte van de hiervoor genoemde alternatieven, vooral wat betreft kwaliteitsborging, professionaliteit en onafhanke- lijkheid. Deze aspecten zijn daarmee logischerwijs onderscheidend van de andere alternatieven voor een duidelijke derde ‘line of defence’.

4. Commissarissen waarderen de

internal-auditfunctie meer dan bestuurders

Een duidelijke uitkomst van het onderzoek is dat de geïnterviewde commissarissen meer waarde hechten aan een internal-auditfunctie als derde ‘line of defence’

dan de ondervraagde bestuurders. Deze verschillende opvattingen sluiten goed aan bij de bevindingen uit het jaarlijkse PwC-onderzoek naar de ‘state of the internal audit profession’. Uit dit onderzoek over 2014 bleek dat 68 procent van de commissarissen significante waarde hecht aan de internal-auditfunctie, terwijl dit slechts geldt voor minder dan de helft van de bestuurders. Bestuurders hebben veelal korte lijnen met de werkvloer, veel gevoel voor de business en weten hoe hun mensen werken. Praktisch gezien maakt het voor

bestuurders vaak niet uit of de toetsing van de interne beheersing door andere ‘lines of defence’ plaatsvindt dan de internal-auditfunctie.

Steeds meer behoefte aan onafhankelijke informatie over internal governance

Commissarissen staan vanzelfsprekend verder af van de dagelijkse praktijk binnen de organisatie dan bestuurders maar hebben wel steeds meer behoefte aan onafhanke- lijke informatie over de internal governance. Dit komt mede door de veranderende rol van de commissaris. De druk op hen neemt toe en vele partijen kijken over hun schouders mee. Commissarissen zijn voor hun informatie- voorziening sterk afhankelijk van de rvb, terwijl zij ook behoefte hebben aan onafhankelijke en zichtbare toetsing. Rapportages van een objectieve en professionele internal-auditfunctie dragen bij aan hun comfort.

De internal-auditfunctie is een natuurlijke ingang in de organisatie en voorziet commissarissen daarmee van ‘extra ogen en oren’. Daarom hebben tegenwoordig interne auditors steeds vaker een een-op-eenoverleg met het audit committee. Het is wel belangrijk dat de rvb de primaire ontvanger van auditrapportages blijft.

Rechtstreekse rapportage aan de commissarissen buiten de rvb om is in de praktijk alleen mogelijk bij de noodzaak tot escalatie of als het bestuursaan- gelegenheden betreft. Het is daarom belangrijk dat deze rapportage- en communicatielijnen in het audit charter geregeld zijn.

5. Een lastige functie door het bedienen van verschillende ‘klanten’

In theorie is het relatief simpel: de internal-auditfunctie heeft als derde ‘line of defence’ een onafhankelijke positie binnen de organisatie met een hiërarchische lijn naar de rvb en een ‘dotted line’ naar de rvc. In de praktijk

Figuur 2 Positie internal-auditfunctie: theorie versus praktijk

Theorie Praktijk

Externe toezichthouders

Interne auditfunctie RvB

RvC / AC

Lijn- management

Externe toezicht

houders RvB

RvC / AC

Lijn- manage-

ment Interne

audit- functie

(5)

35 Governance en toezicht echter wordt de internal-auditfunctie door verschil-

lende belanghebbenden benaderd, wat kan leiden tot lastige keuzes. In figuur 2 zijn beide situaties, theorie én praktijk, naast elkaar afgebeeld.

In de praktijk moet de internal-auditfunctie, naast de rvb als reguliere opdrachtgever, aansluiting houden met het lijnmanagement. Het lijnmanagement moet de risico’s beheersen en heeft soms specifieke verzoeken aan de internal-auditfunctie. Daarnaast ziet de rvc, zoals hiervoor al aangegeven, de internal-auditfunctie meer en meer als natuurlijke gesprekspartner om de informatie, die hij van de rvb heeft ontvangen, te kunnen wegen. Ten slotte leggen toezichthoudende instanties, vooral in de financiële sector, steeds meer opdrachten (in)direct neer bij de internal-auditfunctie.

Het is dan aan de internal-auditfunctie om een goede balans te vinden en deze vier klanten adequaat te bedienen. Kortom, anders dan in de theorie waarin de internal-auditfunctie maar één formele opdrachtgever heeft, is het in de praktijk soms lastig om vier belang - hebbenden goed te bedienen.

Niet alleen het vinden van de juiste balans tussen de verschillende belanghebbenden is lastig, ook het vinden en behouden van het hoofd Internal Audit zelf is lastig.

Volgens de bestuurders en commissarissen is bestuur- lijke sensitiviteit daarbij een belangrijke competentie, naast – vanzelfsprekend – diepgaande kennis van auditing en de business. Vooral aan de bestuurstafel is het belangrijk om breder te kijken dan alleen maar

naar de harde feiten en koele cijfers. De van origine inhoudelijk georiënteerde auditors hebben volgens de geïnterviewde bestuurders en commissarissen soms moeite om los te komen van de auditbevindingen en vinden het lastig om het management en de rvb te voorzien van gerichte adviezen over procesover- stijgende, organisatiebrede zaken. Wellicht beschouwen bestuurders daarom het hoofd Internal Audit niet als hun meest geschikte strategisch adviseur binnen de organisatie.

6. Conclusie: opvattingen over internal-auditfunctie lopen uiteen

Over smaak valt te twisten, maar ook over de waarde van de internal-auditfunctie hebben bestuurders en commissarissen verschillende opvattingen. Beide groepen beschouwen de internal-auditfunctie als een belangrijke bouwsteen binnen de internal governance, maar alternatieven binnen het ‘three lines of defence’- model kunnen volgens bestuurders eveneens goed werken. Daarmee is dit gangbare model voor de inrichting van internal governance geen automatische grondslag voor een onafhankelijke internal-audit- functie. Dit betekent voor internal auditors, en vooral voor hun leidinggevenden, dat zij hun meerwaarde nog duidelijker moeten bewijzen om te voorkomen dat ze vooral als een ‘verplichte’ functie beschouwd worden.

In onze eigen woorden: ‘Internal Audit Matters, however… the internal audit function differs’.

Referenties

Download het nu ( PDF - 5 pagina - 355.78 KB )

GERELATEERDE DOCUMENTEN

Naar een zorgplicht voor bestuurders en commissarissen tot verantwoorde deelname aan het maatschappelijk verkeer

Ons voorstel strekt ertoe te verduidelij- ken dat de verantwoordelijkheid van bestuur en raad van commissarissen niet beperkt is tot het zorgen voor finan- cieel succes van

Hoe vanzelfsprekend is het bestaan van internal audit? Wat is ook alweer de toegevoegde waarde van internal audit? Even terug naar de

Deze resultaten zijn ook input geweest voor het onderzoek van de Internal Audit Monitor 2017 (over de mate en verschijningsvormen waarin de internal auditfunctie voorkomt

Bestuurders en commissarissen zoeken een gesprekspartner op niveau

Mijn pleidooi is dat je niet alleen het goede programma en de goede mensen moet hebben, maar met name in de leiding van de IAF mensen hebt zitten die een serieuze

Internal Audit binnen een bijzondere context

Propertize heeft als opdracht om tot en met 2023 de portefeuil- le aan vastgoedfinancieringen en vastgoed op een beheerste, transparante, professionele en integere wijze af te

D comfort van commissarissen Internal Audit draagt bij aan het

Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden.. Zij hechten aan

Amsterdam, 8 december 2016 PERSBERICHT Van Manen: “Internal Audit belangrijk voor goed functioneren Raad van Commissarissen”

Het Instituut van Internal Auditors (IIA Nederland) is zeer verheugd dat Internal Audit op een voorname plek is opgenomen in de nieuwe Nederlandse Corporate

Commissarissen Symposium

“Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de audit commissie, evenals goede communicatie met de interne audit functie en de

Commissarissen symposium

• intensieve rol AC (benoemen, beoordelen, ontslag, werkplan, interactie externe accountant).