1 Internal Audit en taakverdeling bij Enterprise Risk Management
Versie d.d. 6 jan. 2010
1. Risicomanagement en Internal Audit
In de afgelopen periode heeft een werkgroep van IIA Nederland zich gebogen over twee vragen:
- Wat betekent Enterprise Risk Management (‘ERM’) voor de Internal Audit functie?
- Welke rol speelt Internal Audit binnen het brede terrein van organisatiebreed risicomanagement?
Het doel van de werkgroep is om enkele belangrijke principes en best practices te formuleren en publiceren t.a.v. de verdeling van de
risicomanagement taken, bevoegdheden en verantwoordelijkheden gericht op een optimale interne governance binnen profit en non-profit
organisaties. Op de IIA website zijn inmiddels enkele columns gepubliceerd over dit onderwerp, bijvoorbeeld over de stappen in het risicomanagement proces en verdedigingslinies die hierbij betrokken zijn.
ERM gaat over het vermogen van organisaties om met toekomstige gebeurtenissen om te gaan. Deze zijn per definitie onzeker en kunnen belangrijk zijn, omdat ze de realisatie van de organisatiedoelstellingen kunnen hinderen (risico’s) danwel bevorderen (kansen). In het proces van sturing en beheersing om deze organisatiedoelstellingen te bereiken nemen de getroffen beheersmaatregelen een sleutelrol in. Het is voor organisaties wezenlijk om het beheersraamwerk in te voeren (de goede dingen doen) en om de werking ervan vast te stellen (de dingen goed doen).
In de afgelopen periode hebben verschillende IIA leden hun bijdrage geleverd aan de werkgroep: Ferenc Arts, Joost van de Guchte, Hans Leushuis, Carl Messemaeckers, Hans Nijhuis, Marinus de Pooter, Elly Stroo- Cloeck, Aad Vincenten en Heiko van der Wijk.
2. De taakverdeling ten aanzien van ERM
Zowel vanuit de ‘consulting’ rol (vooral het faciliteren van de inrichting van het beheersraamwerk) als de ‘assurance’ rol (vooral de vaststelling van de werking van de beheersmaatregelen en het geven van een oordeel
hierover) is de beroepsgroep van internal auditors gebaat bij een overzicht
2 met daarin de wenselijke taakverdeling met betrekking tot ERM binnen
organisaties.
In september 2004 heeft IIA Inc een position paper gepubliceerd genaamd
“The Role of Internal Auditing in Enterprise-wide Risk Management”. In dit document wordt aan de hand van een ‘waaier’ aangegeven welke
risicomanagement taken Internal Audit al dan niet zou kunnen vervullen.
Er is echter geen invulling gegeven aan de vraag welke andere functies het meest aangewezen zijn om die taken te vervullen die Internal Audit niet op zich kan nemen. Deze vraag is relevant voor Internal Audit bij het auditen van het risicomanagement proces binnen de organisatie.
De vraag is ook nog om een andere reden belangrijk. Bij veel organisaties zijn meer dan tien verschillende afdelingen en functies betrokken bij het dagelijks managen van risico’s: business continuity, compliance,
(operational) risk management, internal audit, internal control,
kwaliteitsmanagement, planning & control, veiligheid, milieu, treasury, juridische zaken, verzekeringen, controlling, claims management, etc. Het is zinvol om binnen elke organisatie helder te krijgen welke van deze functies zich met welke stappen in het risicomanagementproces zouden moeten bezighouden. Het op die wijze in de praktijk voorkómen van lacunes en overlappingen in het interne beheersraamwerk is een kwestie van zowel effectiviteit als efficiency.
3. Verzoek en vervolgstappen
De bijgevoegde concept matrix is tot stand gekomen na uitvoerige discussies binnen de werkgroep. In de kolommen zijn de standaard
stappen in het risicomanagementproces weergegeven en in de rijen de vier onderscheiden verdedigingslinies. Met behulp van enkele codes is
vervolgens aangegeven wat de verschillende rollen van de spelers in dit veld zijn. Deze rollen zijn in de legenda nader toegelicht.
De werkgroep heeft stilgestaan bij de rol van Internal Audit bij organisaties van geringere omvang en die waarbij ERM nog minder ontwikkeld is. Bij dergelijke organisaties is er doorgaans geen sprake van een gedefinieerd, laat staan geïntegreerd beheersraamwerk. De meerwaarde van de Internal Audit functie in die situaties is vooral gelegen in het helpen van het
bestuur bij het ontwerpen en implementeren van het beheersraamwerk.
Graag roept de werkgroep u op om te reflecteren en reageren op dit concept vanuit uw eigen opvattingen en ervaringen. Zijn er wezenlijke stappen en aspecten met betrekking tot het risicomanagement proces
3 vergeten? Zijn er bezwaren tegen het beleggen van de verschillende rollen
bij de verdedigingslinies zoals nu aangegeven in de matrix? Zijn er sector specifieke zaken die nadere aandacht behoeven? Uw suggesties ter verbetering van de matrix worden zeer op prijs gesteld.
De werkgroep is voornemens om mede op basis van het ontvangen commentaar in het voorjaar van 2010 een ronde tafel bijeenkomst te organiseren.
Marinus de Pooter