De juridische positie van de internal auditor in Nederland

(1)

De juridische positie van de internal auditor in Nederland

Louis de Bruijn

(2)

De juridische positie van de internal auditor

in Nederland

The Legal Position of the Internal Auditor

in the Netherlands

Proefschrift

ter verkrijging van de graad van doctor aan de Erasmus Universiteit Rotterdam op gezag van de

rector magnificus Prof.dr. H.G. Schmidt en volgens besluit van het College voor Promoties.

De openbare verdediging zal plaatsvinden op donderdag 10 juni 2010 om 13.30 uur

door

Louis Pascal Laurent de Bruijn

geboren te ’s-Gravenhage

(3)

Promotiecommissie Promotoren:

Prof.mr.dr. H. Beckman Prof.mr.dr. J.B. Wezeman Overige leden:

Prof.mr.dr. H.M. Vletter-van Dort Prof.dr.mr. P.M. van der Zanden RA Prof. J.G.A. Gortemaker RA

(4)

Inhoud

Schema’s ... 8

Omschrijving van enkele veelgebruikte termen ... 9

Lijst van afkortingen ...15

Voorwoord ... 17

1 Algemene inleiding ...19

1.1 De aanleiding ...19

1.2 Probleemstelling, deelvragen en opzet ... 20

1.3 Enkele keuzes toegelicht ... 22

2 Internal auditing als onderzoeksobject...27

2.1 Inleiding...27

2.2 De beroepsorganisaties en het optreden als internal auditor...27

2.2.1 De beroepsorganisaties ...27

2.2.2 Het optreden als internal auditor of intern accountant ...33

2.3 De internal auditfunctie ...38

2.3.1 De binnen de organisatie samenwerkende internal auditors ...38

2.3.2 Taken ...41

2.3.3 Bevoegdheden ... 45

2.3.4 Verantwoordelijkheden ... 46

2.3.5 Taken, bevoegdheden en verantwoordelijkheden in een audit charter 49 2.3.6 Verplichting tot het instellen...50

2.4 Beginselen van het beroep...52

2.4.1 Conceptueel raamwerk, bedreigingen en beginselen ...52

2.4.2 Organisatorische onafhankelijkheid ...55

2.4.3 Integriteit ...57

2.4.4 Objectiviteit ... 60

2.4.5 Deugdelijke grondslag voor werkzaamheden ... 62

2.5 Conclusies ... 64

3 Beroepsregels en wetten ...67

3.1 Inleiding...67

3.2 Van toepassing zijnde beroepsregels...67

3.2.1 IIA Nederland ...67

3.2.2 NIVRA...70

3.2.3 NOREA... 82

3.2.4 Overige wetten en regels ... 84

3.3 Regels bij (werkzaamheden ten aanzien van) fraude ...85

3.3.1 Inleiding...85

3.3.2 Verantwoordelijkheid en werkzaamheden...85

3.3.3 Meldplicht ... 88

3.3.4 Wet ter voorkoming van witwassen en financieren van terrorisme ... 90

3.4 Relatie met de openbaar accountant...91

3.5 Relatie met toezichthouders... 95

(5)

DE JURIDISCHE POSITIE VAN DE INTERNAL AUDITOR IN NEDERLAND

4 Personeel van de internal auditfunctie ... 99

4.1 Inleiding... 99

4.2 De internal auditor als werknemer...101

4.2.1 De relevante elementen van een arbeidsovereenkomst ...101

4.2.2 Beëindiging van de arbeidsovereenkomst...103

4.2.3 Uitzendovereenkomst ...105

4.3 De internal auditor als niet-werknemer ... 107

4.3.1 Overeenkomst van opdracht ... 107

4.3.2 Ontbinding bij een overeenkomst van opdracht ...109

4.4 De verantwoordelijke internal auditor ...110

4.4.1 Inleiding...110

4.4.2 Totstandkoming van de overeenkomst ...110

4.4.3 Ontbinding van de overeenkomst ... 111

4.4.4 De kwalificatie... 113

4.5 Kwalitatieve aansprakelijkheid werkgever/opdrachtgever ...116

4.6 Geheimhouding ...118

4.6.1 Geheimhoudingsregels voor de internal auditor ...118

4.6.2 De ‘klokkenluidende’ internal auditor ...125

4.7 Andere functies of nevenwerkzaamheden ...129

5 Werkzaamheden van een internal auditor... 137

5.1 Inleiding... 137

5.2 De bevoegdheid tot het uitvoeren van werkzaamheden...139

5.2.1 Het belang...139

5.2.2 Werkzaamheden bij het groepshoofd ...140

5.2.3 Werkzaamheden bij groepsmaatschappijen ...142

5.2.4 Werkzaamheden bij derde rechtspersonen ...144

5.3 Eisen en beperkingen aan werkzaamheden ...146

5.3.1 Consequenties van het benoemen van auditvormen ...146

5.3.2 Scopebeperkingen ...150

5.4 Te leveren diensten door internal auditors ... 153

5.4.1 Inleiding... 153

5.4.2 Te leveren diensten volgens IIA ... 153

5.4.3 Te verlenen diensten volgens NIVRA... 157

5.4.4 Te verlenen diensten volgens NOREA ...160

5.4.5 Fraude ...163

5.4.6 Combinatie van beroepsregels ...166

5.5 Civiele aansprakelijkheid jegens derden ...169

5.5.1 Voorzienbaarheid en gerechtvaardigd vertrouwen ...169

5.5.2 Interne werkzaamheden kenbaar voor de derde... 170

5.5.3 Werkzaamheden bij de derde ... 171

(6)

INHOUD

6 Beroepsfouten, tuchtrecht en kwaliteitsmaatregelen... 175

6.1 Inleiding... 175

6.2 Beroepsfouten en civiele aansprakelijkheid... 175

6.2.1 Tuchtrechtelijk perspectief ... 175

6.2.2 Civielrechtelijk perspectief... 177

6.2.3 Twee soorten beroepsfouten...179

6.2.4 Typen beroepsfouten...180

6.2.5 Beroepsfout en civielrechtelijke aansprakelijkheid...182

6.2.6 Regres van de organisatie op de internal auditor...184

6.3 Tucht(proces)recht... 187

6.3.1 Tuchtrecht... 187

6.3.2 Samenloop van tuchtprocedures...196

6.3.3 Tuchtprocesrecht ...198

6.4 Beroepsfouten en kwaliteitsmaatregelen... 202

6.4.1 Begripsomschrijvingen en van toepassing zijnde regels... 202

6.4.2 Interne kwaliteitsmaatregelen... 204

6.4.3 (Externe) kwaliteitstoetsing...207

6.5 Conclusies ...214

Samenvatting...219

Summary... 229

Literatuur ... 237

Curriculum vitae ...250

Register ...251

(7)

1 Algemene inleiding

1.1 De aanleiding

Door een grotere aandacht voor corporate governance is ook de rol van de internal auditor de afgelopen jaren prominenter geworden. Op verschillende plaatsen kunnen hier aanwijzingen voor worden gevonden. Zo wordt in de gezamenlijke position paper van de drie beroepsorganisaties van auditors in Nederland (IIA Nederland, NIVRA en NOREA)³ gesteld dat de rollen en verantwoordelijkheden van de raad van bestuur, de raad van commissarissen en zijn auditcommissie en de internal auditfunctie in essentie hetzelfde blijven, waarbij de eisen aan de governance van organisaties echter groeien. De toege- voegde waarde van de internal auditfunctie neemt toe wanneer de internal auditfunctie adequaat inspeelt op deze veranderende eisen.⁴ Daarbij komt dat door de toegenomen snelheid van (organisatorische) veranderingen, de schandalen en het toegenomen aantal regels er volgens Paape behoefte is aan zekerheid of bevestiging (‘assurance’) van de vraag of de organisatie (in toereikende mate) wordt beheerst (‘in control’ is).⁵ De behoefte aan de internal auditfunctie kan ontstaan doordat complexiteit en omvang het onmo- gelijk maken om alles te overzien. Daarnaast kan er bij bestuurders van een organisatie een behoefte ontstaan om informatie en interpretatie van berichten waarop belangrijke beslissingen gebaseerd zijn, te laten verifiëren.⁶ In de Nederlandse corporate governance code is op verschillende plaatsen aandacht besteed aan de internal auditfunctie. Het audit committee houdt toezicht op het bestuur wat betreft de rol en het functioneren van de internal auditfunctie,⁷ waarbij de internal auditor moet functioneren onder de verantwoordelijkheid van het bestuur.⁸ In de gedachtegang van de Monitoring Commissie corporate governance code heeft iedere beursvennootschap een internal auditor op grond van best practice-bepaling V.3.1.⁹ In het concernrecht is volgens Raaijmakers de aandacht verschoven naar de beurs-NV en de regulering van transparantie, governance en uitbreiding van aandeelhoudersrechten; de schijnwerpers staan “vooral gericht op de beurs-NV en haar plicht om centrale leiding te geven aan en toezicht te houden op de groep, daarvoor strategische en financiële doelstellingen vast te stellen en te monitoren, richtlijnen en instructies te geven voor de financiering, controle uit te oefenen op de uitvoering daarvan, instructies te geven voor de interne administratie, de organisatie van de controle door de interne accountant [...].”¹⁰

Door de maatschappelijk prominentere rol worden internal auditors in hun werkzaamheden nadrukkelijker geconfronteerd met de juridische aspecten bij en van hun

3 Zie paragraaf 1.3 voor de keuze van de beroepsorganisaties die ik betrek in deze studie.

4 IIA position paper update 2008, p. 4.

5 Paape, p. 14.

6 Paape, p. 27-28.

7 Best practice-bepaling III.5.4 onder d Nederlandse corporate governance code.

8 Principe V.3 Nederlandse corporate governance code.

9 Zie de Verantwoording van het werk van de Commissie onder nummer 48 Nederlandse corporate governance code.

10 Raaijmakers, p. 332.

(8)

beroepsuitoefening.¹¹ Daarmee worden ook de van toepassing zijnde beroepsregels belangrijker. Met deze studie wil ik voor verschillende deelgebieden voor (de beroepsuitoefening van) de internal auditor het juridische kader bepalen, waarbij echter niet de verschillende regels centraal staan die van toepassing zijn op het object dat door de internal auditor onderzocht wordt. Het oogmerk is om door de beoordeling van het juridisch kader de internal auditor beter in staat te stellen de maatschappelijk prominentere rol te vervullen.

In deze studie heb ik de regels en de literatuur kunnen betrekken zoals die golden en gepubliceerd waren tot juni 2009.¹²

1.2 Probleemstelling, deelvragen en opzet

Doordat de rol van de internal auditor tegenwoordig steeds meer aandacht krijgt, wordt de internal auditor nadrukkelijker geconfronteerd met (meer) wettelijke regels en beroepsregels waarmee hij rekening dient te houden. De centrale vraag van deze studie is daarom:

Wat is het juridisch kader waarbinnen de internal auditor zijn beroep uitoefent?

Op basis van deze vraag zijn de volgende deelvragen te stellen:

• Wat zijn voor de internal auditor de relevante wettelijke regels en beroepsregels?

• Zijn de verschillende regels gezamenlijk toepasbaar of conflicteren de regels?

• Verschaffen de verschillende regels voldoende duidelijkheid?

De hoofdstukken van deze studie hebben telkens betrekking op een deel van de beroepsuitoefening van de internal auditor. De deelvragen liggen telkens ten grondslag aan de inhoud van de verschillende hoofdstukken.

Internal auditing als onderzoeksobject

In hoofdstuk 2 staat de activiteit internal auditing als onderzoeksobject centraal. Aan de hand van drie elementen is het onderzoeksobject nader af te bakenen. Eerst zal ik nagaan op welke wijze de beroepsorganisaties bepalen wanneer een persoon optreedt als internal auditor. Vervolgens onderzoek ik wat de taken, bevoegdheden en verantwoordelijkheden zijn van de binnen de organisatie samenwerkende internal auditors, oftewel een internal auditfunctie. Ten slotte zal ik het onderzoeksobject vanuit de voor de internal auditor specifieke geldende eisen, die naar ik meen essentieel zijn voor een adequate beroepsuitoefening, nader trachten te beschrijven door toetsbare elementen te formuleren.

11 In vergelijkbare zin constateert Luttikhuis, p. 117, dat door de verjuridisering van het economisch verkeer en de maatschappij het recht een groeiend onderdeel is van de beroepsuitoefening van de accountant.

12 Gezien het belang heb ik hier alleen een uitzondering gemaakt voor de Nadere voorschriften inzake onafhankelijkheid van de intern accountant ter zake van assurance-opdrachten en het ontwerp Nadere voorschriften accountantsafdelingen van intern accountants ter zake van assurance- en aan assurance verwante opdrachten. Zie paragraaf 3.2.2.

(9)

1. ALGEMENE INLEIDING

Beroepsregels en wetten

De centrale vraag in hoofdstuk 3 is welke beroepsregels er gelden voor de internal auditor bij de uitoefening van zijn beroep. Hierbij is te denken aan de gedrags- en beroepsregels en deskundigheidsvereisten vanwege de beroepsorganisaties. Ook is te denken aan welke beroepsregels van toepassing zijn op bepaalde soorten werkzaamheden. Bovendien is van belang welke beroepsregels van toepassing zijn in specifieke situaties, zoals bij werkzaamheden ten aanzien van fraude, in de relatie met de openbaar accountant en in de relatie met de toezichthouder.

Personeel van de internal auditfunctie

In hoofdstuk 4 staat het personeel van de internal auditfunctie centraal. Allereerst zal dat een beoordeling zijn van de voor de internal auditor specifieke karakteristieken van de twee verschillende rechtsverhoudingen met het personeel: de arbeidsovereenkomst en de overeenkomst van opdracht. Gezien de specifieke rol van de verantwoordelijke internal auditor zal ik specifieke aandacht besteden aan de regels bij de totstandkoming en ontbinding van de overeenkomst, alsmede regels voor de kwalificatie van de verantwoordelijke internal auditor. Ten aanzien van het personeel is verder relevant de kwalitatieve aansprakelijkheid van de organisatie jegens derden voor fouten van werknemers, geheimhouding, inclusief de situatie van een ‘klokkenluidende’ internal auditor, die voor misstanden binnen de organisatie aandacht vraagt door de publiciteit te zoeken, en de regels voor andere functies en nevenwerkzaamheden.

Werkzaamheden van de internal auditor

Hoofdstuk 5 heeft betrekking op de werkzaamheden van de internal auditor. Verschil- lende juridische vragen kunnen worden gesteld. Ten eerste is van belang op welke wijze de bevoegdheid voor het mogen uitvoeren van werkzaamheden is of kan worden geregeld. Vooral als minder ‘behoefte’ bestaat aan onderzoek van de internal auditor, is de vraag op welke wijze deze bevoegdheid geregeld is. Nadat de internal auditor de bevoegdheid is toegekend, zal hij onderzoeken, of audits, uitvoeren. Er bestaan verschillende auditvormen, zodat enerzijds de vraag rijst wat de gevolgen zijn van het gebruik van een bepaald type auditvorm, en anderzijds de vraag zich voordoet of grenzen bestaan ten aanzien van het beperken van de omvang van de onderzoeken.

De internal auditor legt zijn bevindingen en aanbevelingen vast in rapportages, oftewel de door de internal auditor te leveren dienst. Ter waarborging van een goede beroepsuitoefening formuleren de beroepsorganisaties eisen en leggen zij beperkingen op voor de verschillende te leveren diensten. De vraag is welke diensten de internal auditor kan leveren op grond van en beperkt door de beroepsregels. Ten slotte staat de civiele aansprakelijkheid jegens derden centraal voor werkzaamheden bij of ten behoeve van derden.

Beroepsfouten, tuchtrecht en kwaliteitsmaatregelen

In hoofdstuk 6 staan de beroepsfouten centraal. Wanneer is er, in juridische zin, daadwerkelijk sprake van een beroepsfout? Zijn tuchtrechtelijke beroepsfouten verschillend van civielrechtelijke beroepsfouten, en zijn alle beroepsfouten wat betreft karakter gelijk? Daarna zal ik ingaan op het tuchtrecht voor internal auditors van de verschillende beroepsorganisaties, op de toetsing van het tuchtrecht aan artikel 6 EVRM, op de relatie tussen tuchtrecht en strafrecht en op de vraag hoe de belasting van samenloop van tucht-

(10)

procedures te verminderen is. Daarna sta ik stil bij de reikwijdte van de beoordeling door de tuchtrechter, het belang van bewijslastverdeling en het subject van het tuchtrecht.

Vervolgens staat de relatie tussen kwaliteitsmaatregelen en beroepsfouten centraal. Bij de verschillende regelingen van de beroepsorganisaties inzake kwaliteitsmaatregelen kan de vraag gesteld worden of omissies in kwaliteitsmaatregelen betrekking hebbend op de uitvoering van opdrachten en de bewaking van dit systeem, of ‘interne kwaliteitsmaatregelen’, zelf een beroepsfout inhouden. Ook rijzen met betrekking tot (externe) kwaliteitstoetsing vragen over het toetsingsobject, de mate van zekerheid door kwaliteitstoetsing en de samenloop van kwaliteitstoetsingen. Ten slotte zal ik bezien of de organisatie, wanneer gehouden tot vergoeding van schade aan derden toegebracht door de internal auditor, regres kan proberen te nemen voor deze schade op de internal auditor.

Samenvatting

De bevindingen uit de voorgaande hoofdstukken vormen de basis voor het laatste hoofdstuk met de samenvatting.

1.3 Enkele keuzes toegelicht

Ter afbakening van de studie heb ik een aantal keuzes gemaakt waarvan de belangrijkste de volgende zijn.

Corporate governance en de internal auditfunctie

Uit de inleiding mag duidelijk zijn geworden dat de internal auditfunctie een rol heeft in het bouwwerk van goede corporate governance. Volgens mij wordt dit belang ook meer en meer onderkend.

Als object van onderzoek voor deze studie heb ik de internal auditfunctie en de internal auditor gekozen. Verschillende elementen van de juridische positie van de internal auditor zijn echter relevant voor (een nadere uitwerking van) goed ondernemingsbestuur. Op een aantal plaatsen zal ik daar dan ook naar verwijzen.

Verschillende disciplines en beroepsorganisaties

Bij de internal auditfunctie kunnen personen werkzaam zijn met een verschillende opleidingsachtergrond. Te denken is aan registeraccountants, register IT-auditors, register operational auditors, juristen, bedrijfskundigen, controllers, ingenieurs, etc.¹³ Allen kunnen van waarde zijn voor de verschillende onderzoeken, of audits, die worden uitgevoerd. Dit onderzoek zou te omvangrijk worden als beroepsregels van alle genoemde, en eventueel nog andere disciplines erbij worden betrokken. Daarom heb ik ervoor gekozen om de regels van die beroepsorganisaties in de studie te betrekken waarvan de leden zijn ingeschreven op basis van een opleiding waarin auditing centraal staat. Dit zijn de beroepsorganisaties IIA Nederland, NIVRA en NOREA.

13 Zie ook Bondgenoten in governance, p. 4.

(11)

Juridisch kader en status van beroepsregels

De beroepsregels van IIA Nederland, NIVRA en NOREA vormen het juridisch kader dat ik via de probleemstelling centraal stel.

Deze beroepsorganisaties hebben een verschillend karakter:¹⁴ het NIVRA is een publiekrechtelijk lichaam, terwijl IIA Nederland en NOREA privaatrechtelijke verenigingen zijn. Dit heeft ook zijn weerslag op de status van de beroepsregels. Verschillende regels relevant voor de registeraccountant zijn wettelijk geregeld of op grond van de verorde- nende bevoegdheid van het NIVRA. De regels van IIA Nederland en NOREA zijn gebaseerd op een privaatrechtelijke grondslag. Het verschil tussen het publiekrechtelijke lichaam en de privaatrechtelijke verenigingen is van invloed op de totstandkoming van regels. Daarnaast wordt het verschil ook zichtbaar in de manier waarop bepaalde procedures zijn geregeld (zoals het tuchtrecht).¹⁵ In deze studie richt ik mij hoofdzakelijk op het materiële effect van de beroepsregels, en niet of in veel mindere mate op de formele totstandkoming van de beroepsregels.

Omwille van de leesbaarheid kies ik er in deze studie voor om zo veel als mogelijk de beroepsregels van de verschillende beroepsorganisaties in een vaste volgorde te beoordelen. Ondanks het verschil in status van de beroepsregels heb ik ervoor gekozen doorgaans te beginnen met de beroepsregels van IIA (Nederland), vervolgens komen de regels aan de orde die gelden voor de registeraccountant, die werkzaam is als internal auditor, en als laatste de relevante regels van NOREA. Een eerste argument dat ik daarvoor heb, is dat IIA (Nederland) een beroepsorganisatie is voor alleen internal auditors, zodat in beginsel alle regels van deze beroepsorganisatie relevant zijn. Bij de andere twee beroepsorganisaties zijn de internal auditors een bepaalde groep binnen de beroepsorganisaties, zodat niet alle regels relevant (hoeven te) zijn. Het tweede argument, samenhangend met de nadruk op het materiële effect van de beroepsregels, is dat voor de internal auditor gebondenheid aan alle (relevante) beroepsregels geldt, ongeacht de status van de regels.

Operational auditors

Binnen de beroepsorganisatie IIA Nederland vergt de positie van de register operational auditor (RO), en in samenhang daarmee de Stichting Verenigde Operational Auditors (SVRO), nadere toelichting. Een lid van IIA Nederland kan tevens RO-lid zijn.¹⁶ Het register van RO-leden wordt beheerd door de SVRO.¹⁷ Deze stichting heeft voornamelijk als taak het beheren van het register voor register operational auditors en het accrediteren van opleidingen. De register operational auditors zijn voor het overige gebonden aan de beroepsregels van IIA Nederland, omdat zij lid zijn van IIA Nederland.

Om deze reden zal ik slechts in paragraaf 2.2.1 (over beroepsorganisaties) en in paragraaf 3.2.1 (wat betreft deskundigheid) aandacht besteden aan de juridische aspecten betreffende register operational auditors.

14 Zie hiertoe paragraaf 2.2.1.

15 Zie paragraaf 6.3.1.

16 Artikel 4 lid 1 onder b Statuten Instituut van Internal Auditors Nederland.

17 Artikel 3 Statuten SVRO.

(12)

Accountants-Administratieconsulenten (AA)

Nadere toelichting vergt ook de beroepsgroep van Accountants-Administratieconsu- lenten (AA), verenigd in de Nederlandse Orde van Accountants-Administratieconsulenten (NOvAA). Gezien de intentieverklaring van 17 november 2008 tot fuseren en omdat de regels, zoals de Nadere voorschriften controle- en overige standaarden, nagenoeg gelijk zijn en de gedragscodes van NIVRA en NOvAA beide zijn gebaseerd op Code of ethics van het IFAC,¹⁸ zal ik de beroepsregels van de NOvAA niet in mijn studie betrekken.

Strafrecht

Het strafrecht zal ik slechts op enkele plaatsen in deze studie betrekken omdat strafrechtelijke voorschriften vooral negatieve gedragsverplichtingen inhouden, die voor alle rechtsgenoten gelden. Deze verboden zijn daarmee niet specifiek voor een internal auditor.¹⁹ In enkele gevallen zijn strafrechtelijke voorschriften wel relevant (bijvoorbeeld voor geheimhouding), waar ik de strafrechtelijke voorschriften dan wel in de studie betrek. Daarbij komt dat strafrechtelijke voorschriften, afgezien van de juridische bewijs- problematiek, naar hun aard ‘duidelijk’ zijn of een actieve rol verlangen;²⁰ iedere internal auditor zal onderkennen dat bijvoorbeeld valsheid in geschrift strafrechtelijk verwijtbaar is.²¹ Voor de beoordeling van het beroepshandelen van de internal auditor schieten deze algemeen geldende regels daarom veelal tekort.²²

Nederlandse wet- en regelgeving

Vele organisaties hebben door activiteiten of een beursnotering aan een buitenlandse beurs te maken met buitenlandse wetten. In deze studie zal ik waar nodig uitgaan van een organisatie waarop Nederlandse wetten van toepassing zijn. Buitenlandse wetten laat ik in het algemeen buiten beschouwing. Hierop maak ik in enkele gevallen een uitzondering, namelijk voor enkele Amerikaanse wetten of regels. De reden is dat als een onderneming een beursnotering in het buitenland heeft, dit doorgaans (ook) in Amerika is en dat door de extraterritoriale werking deze regels vaak een verstrekkende invloed hebben.

Organisaties waar de internal auditor werkzaam is

Naast de regels van de beroepsorganisaties, zijn ook regels relevant die voortvloeien uit het type organisatie waar de internal auditor werkzaam is. Bij de verschillende typen organisaties is allereerst te denken aan publieke en private organisaties.

Omdat voor verschillende publieke organisaties vele specifieke regels bestaan, zal ik in deze studie alleen private organisaties betrekken. Dit houdt tevens in dat ik de specifieke situatie van de overheidsaccountant niet belicht. Hoewel verschillende (beroeps)regels van overeenkomstige toepassing zijn, bestaan ook (juridische) verschillen, bijvoorbeeld

18 Een andere reden is dat per december 2008 ongeveer 121 AA’s werkzaam waren als intern accountant (van in totaal ca. 6.500 AA’s), in tegenstelling tot ca. 700 registeraccountants (van ca. 6.300 controlerende accountants en ca. 12.000 actieve RA’s).

19 Beleidsuitgangspunten wettelijk geregeld tuchtrecht, p. 14.

20 Scharenborg 2003, p. 21.

21 Van der Neut, p. 150, concludeert dat vooral het opzetvereiste (de voorwaarde dat de accountant zich willens en wetens met kwalijke praktijken moet hebben ingelaten) een duidelijke drempel vormt: “Een accountant die te goeder trouw is, loopt beslist geen risico’s. Het is een misvatting dat een accountant ook met succes zou kunnen worden vervolgd als hij uitsluitend onzorgvuldig te werk gaat of fraudesignalen binnen de onderneming miskent.” Zie ook Van Wijngaarden, p. 12.

22 Beleidsuitgangspunten wettelijk geregeld tuchtrecht, p. 14.

(13)

op het gebied van arbeidsrecht en het verstrekken van accountantsverklaringen.²³ Deze en andere verschillen zal ik niet onderzoeken.

Vervolgens zijn als private organisaties onder andere besloten en naamloze vennootschappen te onderkennen. Onder andere door de omvang zijn bepaalde regels van toepassing. Ik heb ervoor gekozen om, waar nodig, in deze studie uit te gaan van de situatie van een beursgenoteerde onderneming met een nv-structuur, waar de Neder- landse corporate governance code op van toepassing is.²⁴ Bij de beursvennootschap ga ik vervolgens uit van een structuur met een gescheiden raad van commissarissen en raad van bestuur (two tier-bestuursstructuur).

Voor de leesbaarheid zal ik de algemene term ‘organisatie’ hanteren.

Andere of aanvullende regels

Naast beroepsregels of regels van toepassing op de organisatie, bestaat veel aanvullende documentatie. Te denken is aan praktijkhandleidingen, Practice advisories, studierap- porten en handleidingen. Vaak zal ik deze in deze studie achterwege laten, omdat er dikwijls geen gebondenheid aan bestaat. In de gevallen dat ik dergelijke aanvullende documentatie wel bij het onderzoek betrek, zal ik vermelden waarom de documentatie van belang is.

23 IIA Position paper, p. 13: “Het afgeven van interne accountantsverklaringen door overheidsaccountants bij de rijksoverheid is usance. Externe accountantscontrole door de openbare accountant, zoals bij het bedrijfsleven, het grootste deel van de publieke sector en door de overheidsaccountant bij de drie grote gemeenten, vindt bij de rijksoverheid niet plaats. De Algemene Rekenkamer is formeel geen externe (register)accountant, maar de externe controleur van het Rijk. De interne accountantsverklaring bij het jaarverslag van een ministerie afgegeven, door een overheidsaccountant van de departementale auditdienst aan de Minister, wordt niet actief openbaar gemaakt, maar kan onder andere door toepassing van de Wet openbaarheid van bestuur en op verzoek van de Tweede Kamer door de Minister wel openbaar worden gemaakt.” Op grond van artikel 1 onder b en c Verordening kwaliteitsonderzoek en de definitie onder c VGC valt de overheidsaccountant ook onder het kwaliteitsonderzoek van het NIVRA.

24 Volgens de Nederlandse corporate governance code is de code van toepassing op “op alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen zijn toegelaten tot een effectenbeurs, of meer specifiek tot de handel van een gereglementeerde markt of een daarmee vergelijkbaar systeem en op alle grote vennootschappen met statutaire zetel in Nederland (> € 500 miljoen balanswaarde) waarvan de aandelen of certificaten zijn toegelaten tot de handel op een multilaterale handelsfaciliteit of een daarmee vergelijkbaar systeem.” Zie preambule onder 2.

(14)

Samenvatting

In de afgelopen jaren is een grotere aandacht voor corporate governance ontstaan. Als onderdeel van de totale corporate governance is tevens de rol van de internal auditor prominenter geworden. Ook door de toegenomen snelheid van (organisatorische) veranderingen, schandalen en het toegenomen aantal regels neemt de behoefte toe aan een internal auditfunctie, die zekerheid of bevestiging (‘assurance’) geeft als antwoord op de vraag of de organisatie (in toereikende mate) wordt beheerst (‘in control’ is).

Door deze maatschappelijke prominentere rol worden internal auditors in hun werkzaamheden ook in sterkere mate geconfronteerd met de juridische aspecten bij en van hun beroepsuitoefening, en daarmee worden ook de van toepassing zijnde beroepsregels belangrijker. De centrale vraag van deze studie is hiervan afgeleid en luidt: wat is het juridisch kader waarbinnen de internal auditor in Nederland zijn beroep uitoefent? Deze vraag is relevant voor verschillende aspecten van de beroepsuitoefening van de internal auditor en geeft aanleiding tot drie subvragen: wat zijn voor de internal auditor de relevante wettelijke regels en beroepsregels? Zijn de verschillende regels gezamenlijk toepasbaar of conflicteren de regels? En: verschaffen de verschillende regels voldoende duidelijkheid? Per hoofdstuk staat steeds een ander aspect centraal.

Wat is internal auditing?

Vanuit drie perspectieven is het onderzoeksobject ‘internal auditing’ te bepalen: de persoon die deze activiteiten uitvoert, de rol van internal auditing-activiteiten binnen een organisatie en de (fundamenten voor) beroepsuitoefening.

Ter bepaling van het ‘optreden als internal auditor’ moet allereerst opgemerkt worden dat er geen verplichting bestaat om lid te zijn van een beroepsorganisatie. Dit maakt het juridisch kader niet eenduidig. In deze studie ga ik er echter van uit dat de internal auditor lid is van de beroepsorganisatie IIA Nederland en/of NIVRA en/of NOREA. Vervolgens behandel ik de vraag wanneer een persoon optreedt als internal auditor, waarbij slechts de regels van de genoemde beroepsorganisaties relevant zijn. Voor IIA Nederland treedt een persoon op als internal auditor, wanneer – kort gezegd – auditwerkzaamheden worden uitgevoerd binnen een organisatie. Voor het NIVRA is een intern accountant de persoon die werkzaam is bij een organisatorische eenheid van een organisatie en professionele diensten verricht, zoals assurance- en non-assurancediensten. NOREA kent geen omschrijving voor het optreden als internal auditor, slechts als auditor. Hoewel internal auditor door de beroepsorganisaties niet eenduidig wordt gedefinieerd, en daardoor onduidelijkheid kan ontstaan, conflicteren de regels niet. In deze studie zal ik internal auditor gebruiken in de zin van ‘een natuurlijk persoon, veelal lid van de beroepsorganisaties IIA Nederland, NIVRA en/of NOREA, die werkzaam is bij de internal auditfunctie van een organisatie en ten behoeve van deze organisatie onafhankelijke, objectieve ‘assurance’- (geven van zekerheid) en ‘consulting’- (geven van advies) diensten verleent’. Hoewel specifieke benamingen voorkomen ter aanduiding van de hiërarchie tussen internal auditors, zal ik slechts onderscheid maken tussen internal auditors en de verantwoordelijke internal auditor, de persoon die verantwoordelijk is voor de gehele internal auditfunctie, en die in die functie verantwoording af dient te leggen. In verband met het vergroten van de duidelijkheid voor gebruikers, kan de vraag gesteld worden of verschillende beroepsorganisaties noodzakelijk zijn. Indien sprake zou zijn van één beroepsorganisatie, die de belangen van alle (soorten) auditors behartigt, dan zouden ten

(15)

minste twee aspecten toereikend moeten worden geregeld: de deskundigheid van auditors en een indeling naar gebruikers van de werkzaamheden.

Een tweede perspectief ter bepaling van het onderzoeksobject is dat van de binnen de organisatie samenwerkende internal auditors, oftewel: de internal auditfunctie. Naast regels van de beroepsorganisaties, zijn ook andere regels relevant, bijvoorbeeld de Nederlandse corporate governance code. Op te maken is uit de verantwoording van de commissie corporate governance dat uit principe V.3 van de Nederlandse corporate governance code gelezen moet worden dat een internal auditfunctie is ingesteld, en dat die daarmee welhaast verplicht is. Verder zijn de toezichthouder De Nederlandsche Bank, en een effectenbeurs, de NYSE voor Amerikaanse organisaties, expliciet in het verplicht stellen van de internal auditfunctie. Gezien de waarde van de internal auditfunctie voor een organisatie, zou de internal auditfunctie inderdaad verplicht moeten zijn, tenzij er een goede reden bestaat om hiervan af te wijken. Maar wat verstaan de beroepsorganisaties onder een internal auditfunctie? Over de taak van de internal auditfunctie, volgens de regels van IIA vast te leggen in een audit charter, bestaat bij de beroepsorganisaties geen eenduidigheid. Daarnaast bepaalt een organisatie de taak van de internal auditfunctie, afhankelijk van de behoeften. Relevante regels bieden voor een eigen invulling van taken voldoende mogelijkheid, zijn daarmee dan ook onderling niet conflicterend, maar dragen naar ik meen daardoor wel bij aan het diffuse beeld van de internal auditfunctie. Omwille van de duidelijkheid zou een standaardtypologie van de taken en activiteiten van de internal auditfunctie kunnen worden bepaald. Een organisatie kan met gegronde reden hiervan afwijken. Volgens de beroepsorganisatie en de Nederlandse corporate governance code legt de internal auditfunctie verantwoording af aan het bestuur op grond van een hiërarchische verhouding en aan het audit committee volgens een functionele relatie. Op grond van het ondernemingsrecht is geen voorkeur voor een hiërarchische relatie tussen de internal auditfunctie en de voorzitter van de raad van bestuur of bijvoorbeeld de financieel bestuurder af te leiden.

De andere betekenis van verantwoordelijkheid is de verantwoordelijkheid in de zin van zorg dat iets goed functioneert, zoals voor de internal auditor de zorg voor een goede beroepsuitoefening. Deze verantwoordelijkheid vormt tevens het derde perspectief vanwaaruit de activiteit internal auditing is te bepalen. Ook hier zijn slechts de regels van de beroepsorganisaties van belang. Voor een adequaat functioneren zijn namelijk enkele beginselen voor de beroepsuitoefening essentieel. De verschillende beroepsorganisaties onderkennen verschillende fundamentele beginselen voor de beroepsuitoefening die in grote mate (inhoudelijk) vergelijkbaar zijn, en niet conflicteren. Op grond hiervan beschouw ik de volgende beginselen als essentieel voor een goede beroepsuitoefening:

organisatorische onafhankelijkheid, integriteit, deugdelijke grondslag voor werkzaamheden, objectiviteit en geheimhouding. Gezien het belang en omwille van de duidelijkheid benadruk ik, ten opzichte van de beroepsorganisaties, de organisatorische onafhankelijkheid sterker. Hoewel dit beginsel als een verbijzonderde vorm van objectiviteit is te beschouwen, wordt door het separaat onderkennen niet alleen een objectiviteit ten opzichte van specifieke werkzaamheden verlangd, maar ook een ‘organisatorische onafhankelijkheid’ voor het vellen van oordelen, los van beïnvloeding, benadrukt. Omdat de beginselen de basis zijn van een goede beroepsuitoefening heb ik, zonder de pretentie volledig te zijn, de beginselen aan de hand van een aantal toetsbare elementen nader trachten te beschrijven, specifiek gericht op (de beroepsuitoefening door) de internal auditor. Daarbij wil ik overigens niet pleiten voor meer gedetailleerde regels, maar ben ik

(16)

SAMENVATTING

er voorstander van aan de hand van toetsbare elementen de beginselen nader te beschrijven en te verduidelijken. Toetsbare elementen van de beginselen kunnen dienen om een tekortschieten, oftewel een beroepsfout, nader te kunnen duiden.

Op de internal auditor van toepassing zijnde regels

Bij de uitoefening van zijn beroep is de internal auditor gebonden aan wetten en aan regels uitgevaardigd door de beroepsorganisaties. De internal auditor is echter niet altijd gebonden aan alle regels uitgevaardigd door de beroepsorganisaties. Enerzijds hoeven niet alle regels van toepassing te zijn op een internal auditor en anderzijds bestaat er een hiërarchie in regels, zodat niet alle beroepsregels strikte gebondenheid tot gevolg hebben.

Aangezien IIA Nederland de beroepsorganisatie is voor internal auditors, zijn in beginsel alle beroepsregels van toepassing op de internal auditor. Uitzondering hierop betreft de hiërarchie van regels, waarbij gedacht kan worden aan richtlijnen, handreikingen en position papers. In verband met de wettelijke controletaak zijn de beroepsregels vanwege het NIVRA (en de wetgever) niet op alle registeraccountants van toepassing. Onder andere is dit onderscheid van belang voor de gedragsregels. Normaliter, en daar ga ik in deze studie ook van uit, zijn de delen A (fundamentele beginselen van toepassing op elke registeraccountant) en B2 (van toepassing op intern accountants) van de VGC relevant.

Ook het NIVRA kent een hiërarchie van gebondenheid aan beroepsregels. NOREA kent enerzijds geen onderscheid dat ziet op internal auditors, zodat in beginsel ook alle beroepsregels van toepassing zijn, en anderzijds is het lid van NOREA gebonden aan bijna alle regels vanwege het NOREA, tenzij het overige publicaties betreft.

De beroepsregels van de drie beroepsorganisaties vertonen in essentie veel gelijkenis, zijn duidelijk, maar er valt daarbij wel op dat er verschil bestaat tussen de mate van detail waarmee onderwerpen worden geregeld. Daaruit kan worden geconcludeerd dat de regels uitgevaardigd door de beroepsorganisaties niet onderling conflicterend zijn, hoewel de regels van een beroepsorganisatie wel beperkingen bij de uitoefening van het beroep kunnen opleveren. De mate van detail in regels komt namelijk voornamelijk voort uit de functies die leden van verschillende beroepsorganisaties hebben. Zo kent het NIVRA meer beroepsregels vanwege de wettelijke taak voor onderzoeken van de jaarrekening. Dit werkt ook door in verschillende soorten werkzaamheden; er zijn beperkingen voor de intern accountant die registeraccountant is voor het verstrekken van verklaringen. De intern accountant mag niet of met beperkingen in de verspreidingskring verklaringen verstrekken inzake wettelijke controles en vrijwillige controles. Beoordelingsverklaringen kunnen worden verstrekt aan derden zolang de verklaring voor een derde toereikend is, voorziet in een eigen behoefte en de derde onderkent dat de accountant niet optreedt als openbaar accountant. Dezelfde voorwaarden gelden voor een assuranceopdracht anders dan opdracht tot controle of beoordeling van historische financiële informatie, die uitmondt in een (assurance)rapport. Voor aan assurance verwante opdrachten en overige opdrachten leggen de beroepsregels geen restricties op.

De regels ten aanzien van fraude, uitgevaardigd door de beroepsorganisaties, zijn in het algemeen summier. Voor werkzaamheden ten aanzien van fraude kent met name het NIVRA concrete (verplichte) beroepsregels, in de vorm van NV COS 240-250. Hoewel de standaard onderdeel uitmaakt van de werkzaamheden voor een jaarrekeningcontrole, moet de standaard ook worden toegepast voor andere onderzoeken. Hoewel de internal auditor geen externe meldplicht heeft in geval van fraude, kan wel op grond van de beroepsregels worden aangenomen dat de internal auditor volgens IIA Nederland en

(17)

NIVRA een interne meldplicht heeft in geval fraude wordt geconstateerd. Het explicieter formuleren van de werkzaamheden ten aanzien van fraude, inclusief een dergelijke interne meldplicht, zou naar ik meen (verder) bijdragen aan best practices voor goed ondernemingsbestuur.

Zoals in het IIA position paper gesteld, dient de relatie met de openbaar accountant te worden bepaald. Ook de Nederlandse corporate governance code kent best practice- bepalingen die de relatie tussen de externe accountant en de internal auditor tot onder- werp hebben. Het NIVRA is het meest expliciet over deze relatie, en kent een standaard die toeziet op de beoordeling van werkzaamheden van de internal auditor door de openbaar accountant. Deze beroepsregels benadrukken echter de situatie van de externe accountant, die gebruik maakt van (de werkzaamheden van) de internal auditor. De activiteiten van de internal auditor ten aanzien van de werkzaamheden van de externe accountant blijven echter onderbelicht. Voorbeelden van activiteiten waarbij de internal auditor een duidelijkere rol ten aanzien van de openbaar accountant kan hebben, zijn het behulpzaam zijn bij de risico-inschatting van onderzoeksobjecten op basis van eigen werkzaamheden en het beoordelen van de kwaliteit van de door de externe accountant uitgevoerde werkzaamheden. Nadere regels over de vorm van samenwerking ontbreken grotendeels en/of kunnen verduidelijkt worden.

Onder andere in de financiële sector staat een organisatie onder toezicht van een toezichthouder. De (formele beroeps)regels over de relatie met de toezichthouder zijn summier.

Onderwerpen waarvoor nadere handreikingen voor de relatie tussen de toezichthouder en internal auditfunctie kunnen worden opgesteld, en daarmee de verhouding verduidelijken, zijn: bepaling van functie en taak van de internal auditfunctie, invulling van de organisatorische onafhankelijkheid, bepaling van de inhoud van onderzoeken, mogelijkheid voor onderzoeken op uitdrukkelijk verzoek van de toezichthouder.

Personeel van de internal auditfunctie

Het personeel van de internal auditfunctie kan in twee verschillende rechtsverhoudingen tot de organisatie staan: de arbeidsovereenkomst of de overeenkomst van opdracht. Deze wettelijk geregelde rechtsverhoudingen gelden ook voor andere personen, en zijn niet specifiek voor de internal auditor. Binnen de rechtsverhoudingen met personeel zijn de volgende twee beginselen wel specifiek voor de internal auditor van belang: organisatorische onafhankelijkheid en geheimhouding.

Voor zowel de arbeidsovereenkomst als de overeenkomst van opdracht geldt een wettelijk geregelde gebondenheid aan voorschriften of aanwijzigen. Waar gebondenheid aan voorschriften die zien op een goede beroepsuitoefening, bijvoorbeeld vastgelegd in een intern handboek, geen bezwaren oplevert, geldt dit niet voor voorschriften die betrekking hebben op bijvoorbeeld beperking van de reikwijdte van onderzoeken. Voor de laatste situatie kunnen waarborgen noodzakelijk zijn, bijvoorbeeld vastlegging in een audit charter van de door de internal auditor zelfstandig bepaalde reikwijdte van onderzoeken.

Het beginsel van organisatorische onafhankelijkheid vindt geen vanzelfsprekende waarborging in de wettelijke regels. De noodzaak tot waarborging van de organisatorische onafhankelijkheid komt het meest duidelijk tot uiting in geval van beëindiging van de overeenkomst met de internal auditor. Bij een arbeidsovereenkomst zou rapportage aan de raad van commissarissen in het algemeen en het audit committee in het bijzonder een waarborg kunnen zijn om oneigenlijke beïnvloeding van de internal auditor tegen te gaan.

Bij de overeenkomst van opdracht geldt dat de opdrachtgever te allen tijde de mogelijk-

(18)

SAMENVATTING

heid heeft de overeenkomst op te zeggen. Juist in een dergelijke situatie kunnen aanvullende maatregelen worden getroffen, zoals betrokkenheid van de verantwoordelijke internal auditor en melding van opzegging van de overeenkomst voor afronding van een onderzoek aan het audit committee. Het te allen tijde kunnen opzeggen van de overeenkomst is overigens ook de voornaamste reden om het gebruik van uitzendover- eenkomsten, als specifieke vorm van een arbeidsovereenkomst, als een overeenkomst- vorm te beschouwen die in beginsel niet gebruikt zou moeten worden. Het meest pregnant komt de waarborging van organisatorische onafhankelijkheid naar voren bij de verantwoordelijke internal auditor. In geval van een arbeidsovereenkomst kan een aanvullende waarborg worden gevonden in het verlangen van goedkeuring van de raad van commissarissen of het audit committee van het bestuursbesluit tot beëindiging van de arbeidsovereenkomst. Deze goedkeuring door de raad van commissarissen in het algemeen en het audit committee in het bijzonder kan door het Uitvoeringsinstituut werknemersverzekeringen in zijn goedkeuring worden betrokken. Hoewel bij een overeenkomst van opdracht de mogelijkheid bestaat van onverwijlde ontbinding, kan ook hier de goedkeuring worden verlangd van de raad van commissarissen of het audit committee.

Bij beëindiging is echter geen goedkeuring noodzakelijk van het Uitvoeringsinstituut werknemersverzekeringen, wat het geheel minder sterk maakt dan bij een arbeidsovereenkomst. Dit is ook een belangrijke reden waarom een situatie waarbij de verantwoordelijke internal auditor voor langere tijd werkzaam is op basis van een overeenkomst van opdracht, minder wenselijk is.

De beroepsorganisaties kennen eisen voor de (algemene) kwalificatie van de internal auditor. Eerder bleek echter al dat een internal auditor geen lid hoeft te zijn van een beroepsorganisatie. Op grond van argumenten betrekking hebbend op persoonlijke naleving van beroepsregels, arbeidsrechtelijke conflicten, gerechtvaardigd vertrouwen van opdrachtgevers en de beoordeling van de toezichthoudende rol van de raad van commissarissen in het algemeen en het audit committee in het bijzonder, meen ik dat in ieder geval de verantwoordelijke internal auditor lid dient te zijn van een beroepsorganisatie en ook een meerderheid van de internal auditors lid dient te zijn van een beroepsorganisatie.

Wanneer de organisatie wordt aangesproken tot vergoeding van schade veroorzaakt door (werkzaamheden van) de internal auditor, dan heeft die organisatie in beginsel een risicoaansprakelijkheid jegens derden. Hierbij bestaat geen verschil of de internal auditor werkzaam is op basis van een arbeidsovereenkomst of een overeenkomst van opdracht.

Geheimhouding is het andere beginsel van de beroepsuitoefening dat in dit kader relevant is. Naast regels vanwege de beroepsorganisaties zijn ook wettelijke regels van toepassing.

Uiteraard dient de internal auditor zorgvuldig om te gaan met (vertrouwelijke) informatie van de organisatie. Strikte geheimhouding is echter minder wenselijk als de organisatie beheersmaatregelen wil verbeteren op basis van onderzoeken van de internal auditor.

Met name twee situaties behoeven de aandacht van de internal auditor, omdat de wettelijke regels en de beroepsregels mogelijk conflicterend zijn. Enerzijds zal de internal auditor op voorhand duidelijk de voorwaarden voor geheimhouding binnen de organisatie kenbaar moeten maken. Hierbij is van belang dat met interne, geheime informatie zeer zorgvuldig wordt omgegaan, maar dat die informatie wel wordt gebruikt (in de zin van bekend of openbaar maken). De reden is dat de wettelijke geheimhoudingsartikelen naar ik meen ook betrekking kunnen hebben op vertrouwelijke informatie binnen de organisatie. Anderzijds dient de internal auditor, hoewel de geheimhoudingsplicht door beroepsorganisaties tegenover beroepsorganisaties is opgeheven, wel rekening te houden

(19)

met artikel 272-273 WvSr. Wanneer de ontheffing niet gebaseerd is op een wettelijke regeling, zoals bij IIA Nederland en NOREA, kan onvoldoende rechtvaardiging bestaan voor het schenden van de geheimhoudingsplicht. De internal auditor zal daarom niet zonder meer kunnen overgaan tot het verstrekken van informatie aan (organen van) de beroepsorganisaties. Een dergelijke situatie kan voorkomen worden door in de arbeidsovereenkomst, de overeenkomst van opdracht of het audit charter op te nemen dat informatieverstrekking, zij het met de nodige zorgvuldigheid, op grond van (wettelijke en) beroepsregels aan de internal auditor toegestaan is.

In het kader van geheimhouding verdient bijzondere aandacht een internal auditor die aandacht vraagt voor misstanden binnen de organisatie door ‘de klok te luiden’ en die de publiciteit zoekt. In verband met civiele aansprakelijkheid dient de internal auditor (formele en materiële) zorgvuldigheid te betrachten. Deze zorgvuldigheid blijkt uit het overwegen of de misstand een grove schending van wet- en regelgeving is, het onder- bouwen dat objectief sprake is van een misstand en de misstand vervolgens op de juiste wijze aanhangig maken. Vanuit tuchtrechtelijk perspectief is van belang dat de internal auditor kan aantonen dat hij zorgvuldig te werk is gegaan en een adequate afweging heeft gemaakt ten aanzien van het schenden van de beroepsmatige geheimhoudingsplicht. Ook voor uitsluiting van strafbaarheid lijkt de door de internal auditor in acht te nemen (formele en materiële) zorgvuldigheid van aanzienlijk belang.

De wet stelt regels voor andere functies of nevenwerkzaamheden. Daarnaast kennen de beroepsorganisaties regels voor belangentegenstellingen, waarbij de regels van het NIVRA het meest expliciet zijn. Deze regels conflicteren niet. Nevenwerkzaamheden kunnen van invloed zijn op de werkzaamheden van de internal auditor, met name vanwege de mogelijke gevolgen voor de objectiviteit van de internal auditor. Vooral bij registeraccountants kunnen, gezien de wettelijke regels, conflicterende situaties zich voordoen in geval van andere controlerende functies of nevenwerkzaamheden. Aangezien in de praktijk vele situaties zich kunnen voordoen, is duidelijkheid vooraf niet mogelijk. De meeste conflicten kunnen worden voorkomen, indien ervoor gewaakt wordt dat de nevenwerkzaamheden geen betrekking hebben op hetzelfde (onderzoeks)object.

De werkzaamheden van de internal auditor

Gebaseerd op de taakopdracht voor de internal auditfunctie zijn de internal auditors verantwoordelijk voor het uitvoeren van onderzoeken, of ‘audits’. De bevoegdheid gebaseerd op wettelijke regels verschilt voor het groepshoofd, groepsmaatschappijen en derden. Het belang van deze bevoegdheid is met name prominent in geval van weerstand tegen onderzoeken. De bevoegdheid bij het groepshoofd is gebaseerd op een arbeidsovereenkomst of een overeenkomst van opdracht, die de internal auditor heeft met het groepshoofd. In relatie tot groepsmaatschappijen is de bevoegdheid op verschillende wijzen te regelen. Ten eerste kan de bevoegdheid van de internal auditfunctie worden vastgelegd in de statuten van de groepsmaatschappij. Ten tweede kan de bevoegdheid volgen uit een beheersovereenkomst tussen het bestuur van de groepsmaatschappij en het groepshoofd. In relatie tot derden ontstaat de bevoegdheid door een overeenkomst met de derde, ontstaan door een langdurige overeenkomst tussen de organisatie en de derde of door een ‘eenmalige’ overeenkomst tussen de internal auditfunctie en de derde. Uit de definitie van de accountantsafdeling van de VGC van het NIVRA is overigens wel een beperking voor werkzaamheden bij derden af te leiden. Het NIVRA onderkent slechts bij derden uit te voeren verbijzonderde toetsende activiteiten

(20)

SAMENVATTING

ter zake van een door de derde af te leggen financiële verantwoording. Het is daarmee de vraag of het beoordelen van bijvoorbeeld beheersmaatregelen die geen duidelijke relatie hebben met een financiële verantwoording, toegestaan is.

Veelal zal de soort audit worden benoemd bij de uitvoering van de onderzoeken. Door een gewekt vertrouwen bij de opdrachtgever leidt dit tot juridische gevolgen. Bij het gebruik van de term ‘financial audit’ ontstaan verplichtingen over het toepassen van beroepsregels, ten aanzien van de daarvan afgeleide te gebruiken controletechnieken en over de verantwoordelijkheid van een registeraccountant voor de werkzaamheden. Dit geldt ook bij het gebruik van de term ‘EDP-’ of ‘ICT-audit’. Mede door het veel minder specifieke auditobject kan, naar ik meen, bij het gebruik van de term ‘operational audit(ing)’ de opdrachtgever echter niet gerechtvaardigd erop vertrouwen dat de audit door register operational auditors of op basis van voor operational audits specifieke controlemethoden wordt uitgevoerd. Overigens moet er wel van worden uitgegaan dat de opdrachtgever ook bepaalde (gerechtvaardigde) verwachtingen heeft, hetgeen overigens ook het geval is bij het in het geheel niet benoemen van een specifieke auditvorm.

Dergelijke verwachtingen hebben betrekking op het handelen van de internal auditor en zij komen overeen met de beginselen van het beroep.

Gebruikmakend van de bevoegdheid tot onderzoek wordt de internal auditor doorgaans de ruimte gelaten om het onderzoek vorm te geven, wat kan leiden tot ‘oneigenlijke’

scopebeperkingen. De beroepsregels hebben wel betrekking op waarborging van toe- gang tot documenten, faciliteiten en dergelijke, maar verstrekken weinig handreikingen ten aanzien van scopebeperkingen. Alleen toezichthouder DNB stelt enkele grenzen aan scopebeperkingen. Aan de hand van een aantal toetsbare criteria heb ik getracht invulling te geven aan een beoordelingsnorm om duidelijk(er) te kunnen maken of sprake zou zijn van oneigenlijke scopebeperkingen. De criteria hebben betrekking op inventarisatie van risico’s, een subjectieve en objectieve toets en de taakopdracht.

De te verlenen diensten door de internal auditor zijn gebonden zijn aan beroepsregels.

Ook hier blijkt dat de regels van het NIVRA het meest gedetailleerd zijn. Overigens is dit betrekkelijk: veel werkzaamheden van de internal auditor zullen volgens de regels van het NIVRA als ‘assuranceopdracht’ moeten worden aangemerkt. Deze regels zijn gebaseerd op de standaard 3000 van IFAC. Aangezien ook NOREA de richtlijn voor assurance- opdrachten hierop heeft gebaseerd, zullen geen grote verschillen mogen ontstaan. Voor dergelijke assurancewerkzaamheden zijn daarnaast de performance standards van IIA relevant. Op voorhand conflicteren deze beroepsregels niet. Hoewel voor een internal auditfunctie het mogelijk niet altijd noodzakelijk is om de beroepsregels van de drie beroepsorganisaties toe te passen vanwege het onderzoeksonderwerp of het lidmaat- schap van de internal auditors, zal het (gedeeltelijk) combineren veelal nodig zijn, en dit lijkt ook efficiënter en duidelijker.

Werkzaamheden bij of kenbaar voor derden brengt het risico van schade bij derden met zich mee veroorzaakt door werkzaamheden van de internal auditor. Bij de beoordeling van de wettelijke aansprakelijkheid is de voorzienbaarheid of kenbaarheid voor de internal auditor dat (derden)belangen in het spel zijn en het gerechtigd vertrouwen (de derde dient voor zijn wilsvorming gerechtvaardigd te hebben vertrouwd op het werk van de internal auditor) van belang. Op grond hiervan moet worden geconcludeerd dat in beide situaties aansprakelijkheid jegens derden bij beroepsfouten mogelijk is. Op grond van de risicoaansprakelijkheid van de organisatie zal in beginsel de organisatie de schade moeten vergoeden.

(21)

Beroepsfouten, tuchtrecht en kwaliteitstoetsing

Beroepsfouten hebben in het civiele recht en in het tuchtrecht een andere achtergrond.

Naar ik meen komen ‘civiele beroepsfouten’ en ‘tuchtrechtelijke beroepsfouten’ echter inhoudelijk overeen, namelijk als een handelen of nalaten in strijd met regels van de beroepsorganisatie en/of wettelijke regels die relevant zijn voor de beroepsuitoefening.

Dat betekent niet dat alle beroepsfouten gelijk zijn. Voor de beoordeling van verschillende beroepsfouten heb ik een onderscheid gemaakt naar formele beroepsfouten, directe en indirecte materiële beroepsfouten. De eerste categorie omvat beroepsfouten gerelateerd aan de organisatie van de internal auditfunctie, van de internal auditors of van de werkzaamheden. De tweede categorie beroepsfouten zijn die fouten waarbij de onjuistheid direct kenbaar is voor de derde en de laatste categorie zijn beroepsfouten die niet direct kenbaar zijn voor de derde. Een dergelijk onderscheid kan behulpzaam zijn bij de sanctiebepaling bij beoordeling van beroepsfouten, bewijslastverdeling en bijvoorbeeld bij de verwachtingen over kwaliteitstoetsing.

Overigens leidt de constatering dat een beroepsfout is begaan, nog niet tot de con- sequentie dat daarmee ook de civiele aansprakelijkheid gegeven is. Dit houdt verband met de bijkomende vereisten voor civiele aansprakelijkheid, namelijk omvang van de schade en causaal verband. Hoewel een tuchtrechtelijke veroordeling geen vereiste is voor civiele aansprakelijkheid, zal de civiele rechter wel moeten motiveren waarom hij van het oordeel van een tuchtrechter afwijkt. Dit pleit ervoor de beoordeling of een beroepsfout is gemaakt in beginsel over te laten aan de (gespecialiseerde) tuchtrechter. Een gebleken beroepsfout kan tevens aanleiding zijn voor de organisatie om regres trachten te nemen op de internal auditor. Een succesvolle actie lijkt het meest waarschijnlijk in geval van opzet of bewuste roekeloosheid, waarvoor een ‘zware tekortkoming’ van de ondergeschik- te noodzakelijk is. Naar ik meen kan dit zich (slechts) voordoen in geval schade door een directe materiële beroepsfout in combinatie met een indirecte materiële beroepsfout is ontstaan, omdat het achterwege laten van (essentiële) ‘hulpmiddelen’ ter voorkoming van beroepsfouten bewust is genomen, althans ernstig verwijtbaar is.

De leden van de drie beroepsorganisaties zijn onderworpen aan tuchtrecht, hoewel daar ten aanzien van de internal auditor geen of weinig gebruik van wordt gemaakt. Hoewel alleen het tuchtrecht voor registeraccountants, geregeld in de Wtra, dient te voldoen aan de vereisten van artikel 6 EVRM, kan bij toetsing van de verschillende tuchtregelingen aan de vereisten van artikel 6 EVRM worden geconcludeerd dat de beslissing door de Raden van Tucht voor leden van IIA Nederland en NOREA niet in het openbaar wordt gewezen en behandeling binnen een redelijke termijn in het reglement van IIA Nederland niet is vastgelegd. Voor het overige voldoet het tuchtrecht van toepassing op de leden van de drie beroepsorganisaties aan de vereisten van artikel 6 EVRM.

Indien een persoon lid is van meer dan één beroepsorganisatie, kan samenloop van tuchtprocedures plaatsvinden. De regels conflicteren niet maar het gevolg – verschillende tuchtprocedures – is wel belastend voor de internal auditor. Een inhoudelijke beoordeling zou door één tuchtrechter kunnen plaatsvinden, waarna een sanctie door de verschillende tuchtrechters kan worden bepaald.

Uit de weinige tuchtzaken tegen internal auditors lijkt de reikwijdte van de beoordeling door de tuchtrechter geen probleem in de praktijk op te leveren. Naar ik meen kan en zal een tuchtrechter in procedures tegen een internal auditor een klacht in volle omvang beoordelen. Daarbij kan verwacht worden dat de internal auditor zowel bewijs zal moeten leveren dat het onderzoek naar relevante maatstaven goed is uitgevoerd, alsmede dat de

(22)

SAMENVATTING

rapportage geen onjuistheden bevat. Voor de klager zal het in vele gevallen echter niet eenvoudig zijn om vast te stellen of de internal auditor in de fout is gegaan, omdat de eiser een informatieachterstand heeft of onvoldoende deskundig is. Als we uitgaan van de algemene regel dat degene die stelt, ook dient te bewijzen, kan de eiser snel in bewijsnood raken. Regels voor bewijslastverdeling kunnen deze onevenwichtigheid verminderen, en deze zijn daarmee van aanzienlijk belang voor het rechtsgeding in het algemeen en de eiser in het bijzonder. Op basis van de indeling in verschillende typen beroepsfouten is een handreiking mogelijk voor de bewijslastverdeling.

Hoewel de tuchtregelingen van toepassing op de leden van de drie beroepsorganisaties sancties kennen, kan de vraag gesteld worden wat de effectiviteit daarvan is. Doorgaans zal een tuchtmaatregel de uitvoering van werkzaamheden niet belemmeren, omdat er geen verplichting bestaat voor de internal auditor om lid te zijn van een beroepsorganisatie.

Hoewel de tuchtmaatregelen een afschrikkend effect hebben, zijn de maatregelen voor het daadwerkelijk verhinderen dat werkzaamheden worden uitgevoerd minder of niet effectief, tenzij ook de organisatie consequenties verbindt aan de tuchtsanctie.

De drie beroepsorganisaties kennen beroepsregels voor interne kwaliteitsmaatregelen.

De beroepsorganisaties IIA Nederland en NIVRA kennen daarnaast ook regels voor externe kwaliteitstoetsing.

De beroepsorganisaties hebben de normen voor de interne kwaliteitsmaatregelen vastgelegd. Deze normen conflicteren niet, maar de beoordeling of een voldoende invulling aan de verschillende normen is gegeven, is op voorhand moeilijk te bepalen.

Ten behoeve van de externe kwaliteitstoetsing wordt door IIA Nederland en het NIVRA de internal auditfunctie in plaats van de individuele internal auditor als toetsingobject beschouwd, hetgeen voor de hand ligt aangezien bij onderzoeken doorgaans meer dan één internal auditor betrokken is. Indien de verantwoordelijke internal auditor lid is van IIA Nederland of het NIVRA, zullen geen gecompliceerde situaties ontstaan, omdat de verantwoordelijke internal auditor verantwoordelijk is voor het implementeren en hand- haven van een stelsel van kwaliteitsbeheersing. In andere situaties kunnen echter wel complexe situaties ontstaan, bijvoorbeeld wanneer beroepsregels van een beroepsorganisatie slechts op een enkele internal auditor van toepassing zijn. Daarbij rijst ook de vraag of het niet, of althans in onvoldoende mate, implementeren van een kwaliteitsbeheer- singsstelsel zelf een beroepsfout is. Omdat interne kwaliteitsmaatregelen echter een hulpmiddel zijn ter bewaking van de kwaliteit van de beroepsuitoefening, kan differen- tiatie in de beoordeling van de zwaarte van de beroepsfout overwogen worden, omdat het aanrekenen van omissies in interne kwaliteitsmaatregelen, bij afwezigheid van directe materiële beroepsfouten, als zware overtreding een aanzienlijke stap is.

Het doel van externe kwaliteitstoetsing, zijnde een toetsing uitgevoerd door personen die niet verbonden zijn aan de organisatie, is vast te stellen of het interne stelsel van kwaliteitsbeheersing in opzet en werking voldoet aan de normen gesteld door de beroepsorganisatie. Aan de hand van de drie soorten beroepsfouten is nauwkeuriger te duiden wat van een (externe) kwaliteitstoetsing kan worden verwacht. Voor formele beroepsfouten zal kwaliteitstoetsing een hoge mate van zekerheid kunnen opleveren. Kwaliteits- toetsing zou ten aanzien van de afwezigheid van indirecte materiële beroepsfouten in redelijke mate zekerheid moeten kunnen geven. Tegen directe materiële beroepsfouten zal een kwaliteitstoetsingsteam, door de gekozen werkwijze van selectie van opdrachten, in het algemeen in beperkte mate een waarborg kunnen bieden.

(23)

In verband met de externe kwaliteitstoetsing vanwege IIA Nederland en NIVRA is samenloop van toetsingen mogelijk. Deze beroepsorganisaties trachten de belasting van kwaliteitstoetsing te verminderen. Wel bestaat nog de mogelijkheid dat kwaliteitstoetsing wordt geïnitieerd vanwege een buitenlandse beroepsorganisatie, omdat een internal auditor daarvan lid is. Door een inspanning zowel van de internal auditfunctie als van de respectievelijke kwaliteitstoetsers zal samenloop van externe kwaliteitstoetsing voor het grootste deel te voorkomen zijn.

(24)