De rol van (internal) Audit in integraal risicomanagement

De rol van (internal) Audit in

integraal risicomanagement

Een onderzoek naar de voorwaarden waaraan moet worden voldaan om

een onafhankelijk en effectief oordeel te kunnen vormen omtrent de

De rol van (internal) Audit in integraal

risicomanagement

Een onderzoek naar de voorwaarden waaraan moet worden voldaan om een onafhankelijk en

effectief oordeel te kunnen vormen omtrent de toepassing van integraal risicomanagement

Afstudeerscriptie in het kader van de studie bedrijfskunde, afstudeerrichting Accountancy aan de Rijksuniversiteit te Groningen

Afstudeerscriptie K.J. van der Lei Stud.nr.: s1176692

Begeleiding

Rijksuniversiteit Groningen Bedrijf x

Drs.ing. G.H. Keppels Drs. ***** RA

Dr. E.P. Jansen Kimswerd, april 2006

Voorwoord

Wacht maar tot jij zover bent…Het is drie uur ’s nachts. De dag dat de scriptie ingebonden en verzonden moet worden is al een paar uur oud. Momenten van vertwijfeling, verwondering en ontzetting zijn elkaar de afgelopen periode in rap tempo opgevolgd. Ik denk dat ik nu ongeveer weet wat er bedoeld werd. Toch zou ik het iedereen aanraden, want wat is er mooier dan jezelf weer een beetje beter leren kennen, nieuwe ervaringen op te doen en misschien zelfs wel een beetje verstandiger te worden.

Een unieke leerervaring die hoogstwaarschijnlijk nog langer had geduurd zonder de hulp van mijn begeleiders van dit onderzoek. Bij deze wil ik dan ook als eerste Herbert Keppels en de begeleider van het bedrijf bedanken voor hun tijd en ondersteuning. Ik hoop dat de ruimte en flexibiliteit om mijn eigen invulling aan dit onderzoek te geven zich uitbetaald in een goed en praktisch product. Ook wil ik Pieter Jansen bedanken voor de extra tijd die hij voor mij heeft genomen.

Naast de begeleiding wil ik iedereen bedanken die me heeft geholpen tijdens deze scriptieperiode. Of het nu gaat om een slaapplek, een goed advies of een Word-probleem jullie hebben allemaal meegeholpen aan deze scriptie. Een heel speciaal woord van dank wil ik tenslotte nog richten tot mijn ouders. Niemand kan vooraf zijn ouders en opvoeding kiezen, maar anders was ik toch elke keer weer bij jullie teruggekomen.

MANAGEMENT SAMENVATTING

Interne en externe ontwikkelingen maken het voor Bedrijf x steeds belangrijker te beschikken over een adequaat en effectief functionerend risicomanagementsysteem. Het bestuur van Bedrijf x onderschrijft dit belang en heeft dan ook besloten tot de invoering van integraal risicomanagement (ERM) binnen de organisatie.

Er moet aanvullende zekerheid aan de bestuurder en het management van een organisatie worden gegeven over de effectiviteit en de beheersing van de bedrijfsvoering. Daarbij heeft internal audit de taak de beheersing van de bedrijfsvoering te evalueren door het uitvoeren van audits, het rapporteren en adviseren hierover aan het verantwoordelijke management en de auditcommissie, en het afleggen van verantwoording aan de bestuurder.

Het hoofd van de Afdeling y vindt het van belang deze taak zo goed mogelijk uit te voeren om de Bedrijf x organisatie te helpen bij het zich ontwikkelen. Daarom wil hij weten wat de rol van auditing is met betrekking tot integraal risicomanagement is en aan welke voorwaarden de afdeling moet voldoen om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement, zodat er tijdig en adequaat ingespeeld kan worden op de invoering van integraal risicomanagement. Dit onderzoek heeft tot doel dit inzicht te verschaffen. Hiervoor is de volgende centrale vraagstelling voor het onderzoek geformuleerd:

In hoeverre voldoet de afdeling y, binnen Bedrijf x, aan de voorwaarden om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement en met welke factoren moet rekening worden gehouden bij de invulling van haar natuurlijke adviesrol?

Om antwoord te geven op deze vraag is eerst een literatuuronderzoek gedaan naar de begrippen integraal risicomanagement en internal auditing en vervolgens naar de rol van auditing met betrekking tot integraal risicomanagement. Hieruit bleek dat de belangrijkste rollen van auditing met betrekking tot integraal risicomanagement zijn:

- het geven van objectieve zekerheid dat de belangrijkste bedrijfsrisico’s adequaat worden beheerst en;

- het geven van zekerheid dat het risicomanagement en internal control framework effectief functioneert.

Naast het geven van objectieve zekerheid wordt van een hedendaagse Afdeling y steeds meer verwacht dat ze waarde toevoegt aan de organisatie door het helpen verbeteren van de effectiviteit en efficiency van processen. Voor een Afdeling y wordt operational auditing dan ook steeds belangrijker. Naast het uitvoeren van de bovenstaande rollen heeft audit ook een rol de organisatie te helpen bij het verbeteren van de effectiviteit van risicomanagement door het geven van advies en ondersteuning.

Nadat bepaald was wat de rol van audit is met betrekking tot integraal risicomanagement zijn er vanuit de theorie voorwaarden onderkend die van invloed zijn op het geven van een onafhankelijk en

effectief oordeel omtrent de toepassing van integraal risicomanagement. Hieruit bleek dat voor het vormen van een effectief oordeel het van belang is dat de Afdeling y een risk based aanpak en een brede audit scope hanteert. Daarnaast worden er van de werknemers afdeling y andere vaardigheden verwacht. Om de aanbevelingen van afdeling y optimaal te benutten en een effectief oordeel mogelijk te maken is het van belang dat er wederzijds begrip is tussen de werknemers afdeling y en de “ klanten”. Tenslotte blijkt de acceptatie over het belang van risico’s een belangrijke voorwaarde te zijn bij een optimale koppeling van internal audit met risicomanagement.

Voor het vormen van een onafhankelijk oordeel zijn er zogenaamde “safeguards” onderkend waaraan voldaan moet zijn. De mate waarmee voldaan wordt aan deze “safeguards” bepaalt of er advies kan worden gegeven zonder dat de onafhankelijkheid in gevaar komt.

De onderkende voorwaarden en de relatie met een effectief en onafhankelijk oordeel hebben als input gediend voor de dataverzameling.

Om de benodigde data te verzamelen zijn er interviews afgenomen met zowel werknemers afdeling y als managers en directeuren. Het interview bestond uit een gestructureerd (stellingen) en ongestructureerd gedeelte. Het doel ervan was om inzicht te krijgen in hoeverre de onderkende voorwaarden van belang werden gevonden en in hoeverre ze in de praktijk al aanwezig waren.

Uit de analyse van de onderkende voorwaarden blijkt dat er in hoge mate voldaan wordt aan de voorwaarden (“safeguards”) die van invloed zijn op een onafhankelijk oordeel. De hoge mate waaraan voldaan wordt aan de “safeguards” maakt het voor afdeling y mogelijk advieswerkzaamheden met betrekking tot integraal risicomanagement uit te voeren en eventueel uit te breiden zonder de onafhankelijkheid te verliezen.

Aan de voorwaarden voor het vormen van een effectief oordeel wordt nog niet in voldoende mate voldaan. Bij alle voorwaarden is ruimte voor verbetering. Er komen echter twee ontbrekende voorwaarden naar voren die essentieel lijken voor het geven van een effectief oordeel omtrent de toepassing van integraal risicomanagement door de Afdeling y. Dit zijn het ontbreken van een centraal gecoördineerd (integraal) risicomanagement systeem binnen de organisatie en een beperkte “scope”, waarbij geen zekerheid is dat alle belangrijke bedrijfsrisico’s op elk gebied door afdeling y worden beoordeeld.

Op basis van de analyse zijn de volgende aanbevelingen aan de Afdeling y gedaan (samenvatting):

Promoten en verbeteren (integraal) risicomanagement

Het ontbreken van een organisatiebreed centraal gecoördineerd (integraal) risicomanagement framework is een van de belangrijkste redenen voor het niet kunnen geven van een effectief oordeel. Gezien het feit dat de afdeling y voldoet aan de “safeguards” kan het de adviserende en ondersteunende activiteiten met betrekking tot integraal risicomanagement uitbreiden. Het is daarom aan te bevelen dit te doen. Mogelijke activiteiten zijn het coördineren van ERM activiteiten, voorloper zijn in de totstandkoming van ERM en het behouden en ontwikkelen van het ERM framework.

Verbreding scope

Afdeling y beoordeelt nog niet alle gebieden, processen en activiteiten. Hierdoor is het niet zeker of audit wel zicht heeft op alle belangrijke bedrijfsrisico’s en dus zekerheid geeft over een adequate beheersing van deze risico’s. Om de organisatie te helpen bij het behalen van haar doelen zal afdeling y haar werkzaamheden moeten afstemmen op de strategie en doelen van de organisatie. Consequentie hiervan zal zijn dat de afdeling y zich ook op een breder vlak moet richten, iets wat als belangrijk verbeterpunt wordt gezien door zowel afdeling y als het management.

Verbetering wederzijds begrip en communicatie

Uit de analyse blijkt dat er nog geen sprake is van wederzijds begrip over wat internal audit tot een waardetoevoegende activiteit maakt. Het gevolg daarvan kan zijn dat de diensten van afdeling y niet worden benut en aanbevelingen worden genegeerd. Als belangrijkste reden voor het onbegrip tussen de managers en de werknemers afdeling y wordt de communicatie genoemd. Het besteden van aandacht aan de communicatievaardigheden van de werknemers afdeling y zal kunnen helpen het onderkende “gat” tussen afdeling y en het management te dichten.

Meer aansluiting behoeften organisatie (waarde toevoegen)

Met meer aandacht voor de effectiviteit en efficiency van processen zal de afdeling waarschijnlijk tegemoetkomen aan de vraag naar advies en ondersteuning vanuit de organisatie. De beweging om meer aan de voorkant mee te werken is al ingezet en wordt als positief ervaren door zowel de werknemers afdeling y als het managent. Deze beweging zou door moeten worden gezet. Uitbreiding van operational audit activiteiten en pro-activiteit zal de toegevoegde waarde van de Afdeling y voor de organisatie waarschijnlijk vergroten.

Het is de mening van de onderzoeker dat het volgen van deze aanbevelingen de Afdeling y zal helpen bij het geven van een onafhankelijk en effectief oordeel omtrent de toepassing van integraal risicomanagement. Daarnaast wordt met het volgen van deze aanbevelingen tegemoet gekomen aan de vraag van het management naar meer advies en ondersteuning van de Afdeling y. De toegevoegde waarde van Audit voor de organisatie zal op deze manier duidelijker worden.

Inhoudsopgave

1

INLEIDING ... 1

1.1

I

NLEIDING

... 1

1.2

B

EDRIJF X

... 1

1.2.1

Veranderende omgeving... 1

1.2.2

Organisatorische eenwording ... 1

1.3

D

E AANLEIDING

... 2

1.3

C

ONCLUSIE

... 3

2

PROBLEEMSTELLING... 5

2.1

I

NLEIDING

... 5

2.2

P

ROBLEEMSTELLING

... 5

2.2.1

Doelstelling ... 5

2.2.2

Vraagstelling ... 5

2.2.3

Deelvragen ... 6

2.3

M

ETHODEN VAN ONDERZOEK

... 7

3

ROL AUDITING IN ERM: EEN LITERATUURVERKENNING ... 8

3.1

I

NLEIDING

... 8

3.2

I

NTEGRAAL RISICOMANAGEMENT

... 8

3.2.1

Risico ... 8

3.2.2

Risicomanagement ... 10

3.2.3

Verschil traditioneel risicomanagement en ERM ... 12

3.2.4

Voordelen ERM ... 13

3.2.5

Kanttekeningen bij ERM ... 13

3.2.3

Conclusie en samenvatting... 14

3.3

I

NTERNAL AUDITING

... 14

3.3.1

De internal auditor en internal auditing ... 15

3.3.2

Taak en functie ... 16

3.3.3

Ontwikkeling internal auditing... 16

3.3.4

Financial en operational audits ... 18

3.3.6

Conclusie en samenvatting... 18

3.4

R

OL AUDIT IN

ERM... 19

3.4.1

Kernrollen auditing in ERM... 19

3.4.2

Adviesactiviteiten van internal audit in ERM ... 20

3.4.3

“Safeguards” ... 21

3.4.4

Rollen die internal audit niet zou moeten ondernemen ... 22

3.4.5

Conclusie en samenvatting... 22

3.5

O

NAFHANKELIJK EN EFFECTIEF OORDEEL

... 23

4

VOORWAARDEN ONAFHANKELIJK EN EFFECTIEF OORDEEL ... 24

4.1

I

NLEIDING

... 24

4.2

O

NDERZOEK NAAR VOORWAARDEN EFFECTIEF OORDEEL

... 24

4.2.1

Onderzoek Selim en Mcnamee (1)... 24

4.2.2

Onderzoek Selim McNamee (2)... 26

4.2.3

Onderzoek Flesher en Zanzig... 26

4.3

V

OORWAARDEN EFFECTIEF EN ONAFHANKELIJK OORDEEL

... 27

4.3.2

Risk based... 28

4.3.3

Acceptatie belang risico’s ... 29

4.3.4

Wederzijds begrip... 30

4.3.5

Brede audit scope ... 30

4.3.6

Vaardigheden internal audit werknemers ... 31

4.4

R

ELATIE VOORWAARDEN EN EFFECTIEF OORDEEL

... 31

4.5

C

ONCLUSIE EN SAMENVATTING

... 32

5 OPZET EN UITVOERING VAN HET ONDERZOEK ... 34

5.1 I

NLEIDING

... 34

5.2

K

EUZE VAN DE ONDERZOEKSEENHEDEN

... 34

5.3

B

ESCHRIJVING EN VERANTWOORDING VAN DE DATAVERZAMELING

... 35

5.4

M

ATERIAALVERZAMELING

... 36

5.5

R

EGISTRATIE

,

VERWERKING EN PREPARATIE VAN DE GEGEVENS

... 36

5.6

B

ESCHRIJVING EN VERANTWOORDING VAN DE ANALYSEBESLISSINGEN

... 36

5.7

B

ETROUWBAARHEID EN GELDIGHEID

... 38

5.8

C

ONCLUSIE

... 40

6

ANALYSE... 41

6.1

I

NLEIDING

... 41

6.2

E

FFECTIEF OORDEEL

... 41

6.2.1

Kernrollen ... 42

6.2.2

Adviesrol afdeling y... 47

6.2.3

Conclusie en samenvatting effectief oordeel ... 48

6.3

O

NAFHANKELIJKHEID

... 49

6.3.1

Inleiding ... 49

6.3.2

“Safeguards” ... 49

6.3.3

Risico adviesrol ... 50

6.3.4

Conclusie en samenvatting onafhankelijkheid ... 51

6.4

V

OORWAARDEN EFFECTIEF OORDEEL

... 51

6.4.1

Inleiding ... 51

6.4.2

Risk based... 52

6.4.3

Brede audit scope ... 54

6.4.4

Wederzijds begrip... 55

6.4.5

Vaardigheden werknemers afdeling y ... 57

6.4.6

Belang risico’s... 59

6.4.7

Conclusie en samenvatting voorwaarden effectief oordeel... 60

6.5

A

ANVULLENDE ANALYSERESULTATEN

... 61

6.6

C

ONCLUSIE

... 62

7

CONCLUSIES EN AANBEVELINGEN ... 64

7.1

I

NLEIDING

... 64

7.2

C

ONCLUSIE ONDERZOEK

... 64

7.3

D

ISCUSSIE RESULTATEN

... 65

7.4

A

ANBEVELINGEN

... 66

LITERATUURLIJST ... 69

BIJLAGE 1 INTERVIEW EN STELLINGEN ...FOUT! BLADWIJZER NIET

GEDEFINIEERD.

1

Inleiding

1.1 Inleiding

Het doel van dit hoofdstuk is om de directe aanleiding van het onderzoek duidelijk te maken. Om deze aanleiding beter te begrijpen zal eerst een korte introductie over Bedrijf x en over de ontwikkelingen in de markt gegeven worden.

1.2 Bedrijf x

Bedrijf x is een landelijk werkende onderneming. Vanuit de vestigingen wordt bewust gestreefd naar een sterke positie in de regio.

Vanaf september 2004 zijn de werkmaatschappijen ondergebracht in één functionele Bedrijf x organisatie, die klaar moet zijn per 1 januari 2006. Dat betekent, dat per 1 januari 2006 deze werkmaatschappijen zijn getransformeerd naar één functioneel aangestuurde organisatie. De nieuwe Raad van Bestuur kent 3 portefeuilles.

1.2.1 Veranderende omgeving

De laatste jaren zijn er tal van maatschappelijke ontwikkelingen geweest. Voornamelijk op het gebied van de sociale zekerheid zijn er diverse veranderingen geweest of staan nog aan te komen. Vanuit deze veranderende omgeving blijkt dat de overheid de bedrijven een andere rol toekent waarvoor de wetgeving wordt aangepast.

De voorgenomen wijzigingen zijn voor de organisatie zeer ingrijpend, uniformering van processen en systemen, het veranderende toezicht en de transparantie naar de maatschappij over goed bestuur zijn belangrijke aandachtsgebieden voor de veranderingsactiviteiten in 2005 en verder. Al deze ontwikkelingen hebben sterk bijgedragen aan het besluit tot organisatorische eenwording.

Om adequaat op de ontwikkelingen in te spelen zijn er verschillende projectenprogramma’s per sector gerealiseerd. Daarnaast blijven de ‘going concern’ activiteiten natuurlijk doorgaan.

1.2.2 Organisatorische eenwording

Voor de aansturing en organisatie is uitgegaan van uitgangspunten als; één visie, één marktstrategie, één besturingsfilosofie, één cultuur en één geïntegreerde organisatie. Voor de verdere uitwerking is gekozen voor een aansturing van de organisatie door een meerhoofdige Raad van Bestuur, waarbij de eindverantwoordelijkheid ligt op het gebied van externe profilering (o.a. politiek bestuurlijke lobby), het bevorderen van innovatie en de afstemming tussen de functionele gebieden op strategisch niveau. De Raad van Bestuur stuurt de functionele organisatie aan via de tussen de onderling verdeelde portefeuilles.

De sectordirecteuren en managers leggen verantwoording af aan hun portefeuillehouder in de Raad van Bestuur. Verantwoordelijkheden zijn vastgelegd in een statuut. De sectordirecteuren en managers van de (staf)afdelingen functioneren locatie overstijgend. Alle aansturende taken bij de locaties worden geconcentreerd binnen functionele eenheden. Het uitgangspunt is dat onder de RvB sprake is van een drietal managementlagen (directeuren, managers, teammanagers). Op het beleid van de Raad van Bestuur en de algemene gang van zaken wordt toezicht gehouden door een Raad van Commissarissen.

1.3 De aanleiding

Door de huidige ontwikkelingen verandert er veel voor Bedrijf x. Daarnaast vergen de eenwording van Bedrijf x en de vergrote aandacht voor corporate governance vergaande inspanningen van de organisatie.

Gezien de bovengenoemde ontwikkelingen in zowel de markt alsook de organisatie en de verstrekkende gevolgen die hieruit voortvloeien heeft de Raad van Bestuur van Bedrijf x het volgende aangegeven:

- Vanaf 2006 moet Bedrijf x Tabaksblat proof zijn om daarmee transparant te zijn naar de stakeholders toe.

- De Raad van Bestuur wil een samenhangend totaalbeeld van de risico’s van de eigen organisatie verkrijgen.

- De Raad van Bestuur vindt het van essentieel belang dat beheersing en controle van alle onderkende risico’s zijn verankerd in de organisatie.

Ook externe ontwikkelingen maken het steeds belangrijker dat een onderneming beschikt over een adequaat en effectief functionerend risicomanagementsysteem. Met ingang van 1 januari 2004 is de Nederlandse corporate governance code in werking getreden. In deze code is onder meer de verantwoordelijkheid van het bestuur vastgelegd voor het beheersen van de risico’s verbonden aan de ondernemingsactiviteiten. Volgens best practice-bepaling II.1.4 van de code moet het bestuur in het jaarverslag verklaren dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en daarvan moet een duidelijke onderbouwing worden gegeven. Het bestuur moet daarbij tevens rapporteren over de werking van de interne risicobeheersings- en controlesystemen in het boekjaar (E&Y 2005).

Om aan deze doelstellingen te voldoen zal de organisatie moeten beschikken over een adequaat intern risicobeheersings- en controlesysteem. Om hieraan tegemoet te komen heeft de RvB het voornemen over te gaan tot de invoering van integraal risicomanagement binnen Bedrijf x.

De Afdeling y heeft formeel als functie het geven van aanvullende zekerheid aan de bestuurder en het management van een organisatie over de effectiviteit en de beheersing van de bedrijfsvoering (IIA 2005). Integraal risicomanagement valt hier ook onder. De vele veranderingen gaan dan ook niet

hieraan moeten worden aangepast. De veranderende eisen aan de afdeling y zijn zowel intern als extern van aard. De verwachtingen van (interne) klanten van afdeling y veranderen door de vele ontwikkelingen. Daarnaast ontwikkelt de professie zich continu. De afdeling y heeft zich gerealiseerd dat de veranderingen van invloed zijn op hun functioneren en heeft middels een integratieplan de veranderingsrichting voor de komende jaren aangegeven.

De in het integratieplan opgenomen missie en doelstelling van de afdeling y zijn (Integratieplan afdeling y):

Missie:

De Bedrijf x organisatie helpen zich te ontwikkelen tot een eersteklas bedrijf in termen van optimaal functionerende bedrijfsprocessen en een goed beheerste proces- en informatieomgeving en aansluitend bij de uitgangspunten, zoals vastgelegd in de meerjarenstrategie/ strategische plan van de Raad van Bestuur.

Doelstelling Bedrijf x afdeling y:

Vanuit een onafhankelijke rol toetsen of de risico’s die verbonden zijn aan de activiteiten van Bedrijf x, geïdentificeerd en beheerst worden door het verantwoordelijke management.

Daartoe heeft afdeling y voor 2005 het volgende uitgangspunt geformuleerd (Integratieplan afdeling y):

Afdeling y geeft de eerste aanzet tot ondersteuning van het bedrijfsbrede risico’s/ integraal raamwerk risicomanagement (personeel, financiën en control, kwaliteitsbeheersing, verzekeringen/ actuarieel, regelgeving, informatietechnologie, arbo en milieuzorg, handhaving (compliance), ethiek &integriteit en fysieke beveiliging).

In 2006 wil afdeling y dit hele proces in de volle breedte ondersteunen. Het hoofd van de Afdeling y vindt het van belang om de Bedrijf x organisatie te helpen bij het ontwikkelen tot een eersteklas bedrijf (zie missie). Daarom wil hij inzicht in de rol van internal audit met betrekking tot integraal risicomanagement is en aan welke voorwaarden de afdeling moet voldoen om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement. Dit met als doel om tijdig en adequaat in te spelen op de invoering van integraal risicomanagement en eventuele verbeteringen door te voeren, zodat de Afdeling y klaar is om het hele proces in de volle breedte te ondersteunen.

1.3 Conclusie

In dit hoofdstuk is een beknopte beschrijving van de organisatie en de huidige ontwikkelingen. Deze ontwikkelingen zijn aanleiding geweest tot het voornemen om integraal risicomanagement in te voeren. De Afdeling y heeft vanuit haar functie een rol met betrekking tot integraal risicomanagement.

Daarnaast vindt het hoofd van de Afdeling y het de taak van zijn afdeling om voortijdig in te springen op de komende veranderingen en ondersteuning te bieden aan het risicomanagement om de organisatie optimaal te kunnen ondersteunen. Hierdoor is er de behoefte om inzicht te krijgen in de rol van internal audit met betrekking tot integraal risicomanagement is en aan welke voorwaarden de afdeling moet voldoen om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement. In het volgende hoofdstuk zal de probleemstelling van onderzoek worden behandeld.

Inzicht geven op welke wijze de afdeling y binnen Bedrijf x een effectief oordeel kan vormen omtrent de toepassing van integraal risicomanagement en daarnaast invulling kan geven aan de natuurlijke adviesrol met behoud van onafhankelijkheid.

2

Probleemstelling

2.1 Inleiding

Na de inleiding in het vorige hoofdstuk wordt in dit hoofdstuk de probleemstelling gepresenteerd. Het doel van dit hoofdstuk is om duidelijk te maken wat onderzocht word en hoe dit onderzoek vorm zal krijgen.

2.2 Probleemstelling

Een probleemstelling bestaat uit doelstelling, vraagstelling en randvoorwaarden (de Leeuw, 1996) en geeft aan wat er in het onderzoek wordt onderzocht (Baarda, 1998). In deze probleemstelling zal de doelstelling van dit onderzoek worden aangegeven en de daarmee samenhangende vraagstelling. Vervolgens zal een afbakening van het onderwerp besproken worden en de methode om op de vraagstelling antwoord te kunnen geven, behandeld worden.

2.2.1 Doelstelling

Het hoofd van de afdeling y wil dat zijn afdeling optimaal voorbereid is op de invoering van integraal risicomanagement. Daarom wil hij inzicht in de voorwaarden waaraan een hedendaagse Afdeling y dient te voldoen om een effectief en onafhankelijk oordeel over de uitvoering van integraal risicomanagement te kunnen geven. Dit leidt tot de volgende doelstelling:

2.2.2 Vraagstelling

Uit de doelstelling valt de volgende vraagstelling af te leiden:

In de komende hoofdstukken komen de begrippen uit de vraagstelling nog ruimschoots aan bod. Voor de begrijpelijkheid van dit hoofdstuk wordt de belangrijkste hier alvast besproken.

Integraal risicomanagement. In dit onderzoek wordt de volgende definitie van integraal risicomanagement gebruikt: ‘Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives’. In deze scriptie wordt meestal de afkorting ERM gebruikt.

In hoeverre voldoet de afdeling y, binnen Bedrijf x, aan de voorwaarden om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement en met welke factoren moet rekening worden gehouden bij de invulling van haar natuurlijke adviesrol?

Internal auditing: “Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”

2.2.3 Deelvragen

Om de vraagstelling te kunnen beantwoorden, moeten een aantal deelvragen worden beantwoord. Uit de probleemstelling volgen de volgende deelvragen:

1) Wat is integraal risicomanagement en uit welke onderdelen bestaat het? 2) Wat is internal audit?

3) Wat is de rol van internal audit met betrekking tot integraal risicomanagement?

4) Aan welke voorwaarden dient een hedendaagse afdeling y te voldoen om een onafhankelijk en effectief oordeel te vormen omtrent de toepassing van integraal risicomanagement?

5) In hoeverre voldoet de afdeling y aan de voorwaarden om een onafhankelijke en effectief oordeel omtrent de toepassing van integraal risicomanagement te vormen?

De eerste drie vragen zijn richtinggevende vragen en komen in de literatuurverkenning (hoofdstuk 3) aan bod. Uit de literatuurverkenning zal blijken wat de rol van afdeling y is met betrekking tot integraal risicomanagement en wordt er invulling gegeven aan de begrippen onafhankelijk en effectief oordeel. Uit de literatuurverkenning blijkt dat er voorwaarden te onderkennen zijn die van invloed zijn op het geven van een onafhankelijk en effectief oordeel. De vierde vraag heeft dan ook betrekking op de voorwaarden die vanuit de theorie onderkend kunnen worden bij het geven van een effectief en onafhankelijk oordeel door de Afdeling y. De beantwoording van deelvraag vier zal input geven aan de interviews en een nadere afbakening van het onderzoek met zich meebrengen. De voorwaarden voor een effectief en onafhankelijk oordeel omtrent de toepassing van integraal risicomanagement zal in hoofdstuk 4 uitgewerkt worden.

Antwoord op de vijfde onderzoeksvraag dient inzicht te verschaffen over de mate waaraan de Afdeling y binnen Bedrijf x aan de onderkende voorwaarden voldoet en in hoeverre afdeling y in staat is een effectief oordeel te vormen omtrent integraal risicomanagement. Deze analyse zal plaats vinden in hoofdstuk 6. Voordat de analyse plaatsvindt wordt er in hoofdstuk 5 eerst aandacht besteed aan de opzet en de uitvoering van het onderzoek.

2.2.4 Afbakening

Dit onderzoek richt zich op de Afdeling y binnen Bedrijf x. De probleemstelling en de daaruit afgeleide onderzoeksvragen bepalen welke dataverzamelingsmethode je nodig hebt. Het open en topicinterview is hierbij geschikt aangezien het doel van de dataverzameling in dit onderzoek het achterhalen van ideeën, opvattingen en meningen van de betrokkenen in het veld is (Baarda en De Goede, 1998, blz. 94). Om de voorwaarden te onderzoeken zal er derhalve gebruik worden gemaakt van interviews met zowel werknemers afdeling y als management en directeuren. Voor een verdere afbakening, de keuze

van de onderzoekseenheden en de beschrijving en verantwoording van de dataverzameling wordt verwezen naar hoofdstuk 5: Opzet en uitvoering van het onderzoek.

2.3 Methoden van onderzoek

In deze paragraaf zal nader worden ingegaan op het soort onderzoek dat wordt uitgevoerd. Dit onderzoek is bedoeld voor Bedrijf x en in het bijzonder voor de afdeling y. Het zal inzicht geven, aan de afdeling y, in de voorwaarden voor een onafhankelijk en effectief oordeel omtrent de toepassing van integraal risicomanagement.

De Leeuw (1996) onderscheidt verschillende soorten onderzoek. Hij gebruikt hiervoor twee indelingen waaronder verschillende soorten onderzoek vallen. Ten eerste maakt hij onderscheid naar het product van het onderzoek. Dit hangt samen met het doel van het onderzoek. In de tweede plaats bestaat de indeling naar de methode van onderzoek.

Typering onderzoek naar product

Het onderzoek betreft een praktijkonderzoek omdat er een concreet aanwijsbare klant is die behoefte heeft aan kennis. Praktijkonderzoek kan verder worden onderscheiden in beleidsondersteunend onderzoek en probleemoplossend onderzoek. Beleidsondersteunend onderzoek beoogt concrete (in de probleemstelling gespecificeerde) kennis op te leveren die bruikbaar is in een specifieke situatie van (een) aanwijsbare klant(en) en een gedeelte van de totale kennisbehoefte bevredigt. Dit sluit aan op het doel van dit onderzoek.

Typering onderzoek naar onderzoeksmethode

In deze paragraaf wordt beoogd een globale typering te geven waarmee op algemeen niveau de aanpak van het onderzoek wordt vastgelegd. De onderzoeksmethode die hierbij aansluit is exploratief onderzoek. Het geeft antwoord op een open vraag. Bij exploratief onderzoek is er altijd kans dat de verworven inzichten alleen maar toevallig in het in het onderzoek geëxploreerde geval gelden. Omdat hier echter niet wordt beoogd algemene beweringen te doen, maar juist inzichten over de specifieke situatie ligt het in het geval van praktijk onderzoek anders en hoeft dit geen nadeel te zijn.

3

Rol auditing in ERM: een literatuurverkenning

3.1 Inleiding

Uit de inleiding en de probleemstelling wordt duidelijk dat er een eerste onderscheid kan worden gemaakt tussen drie onderdelen waarover informatie moet worden gezocht. Deze onderdelen worden weergegeven in figuur 1 weergegeven met daarbij de paragraven waarin ze behandeld gaan worden.

Het doel van dit hoofdstuk is ook inzicht te krijgen in de rol van internal auditing met betrekking tot integraal risicomanagement. Dit inzicht is nodig om te bepalen wanneer er sprake is van een effectief en onafhankelijk oordeel omtrent de toepassing van intergraal risicomanagement door de Afdeling y. Hiervoor wordt eerst ingegaan op de begrippen integraal risicomanagement en internal auditing. Vervolgens zal aandacht worden besteed aan de rol van auditing met betrekking tot integraal risicomanagement. Met dit hoofdstuk wordt antwoord gegeven op de eerste drie deelvragen:

1) Wat is integraal risicomanagement en uit welke onderdelen bestaat het? 2) Wat is internal audit?

3) Wat is de rol van internal audit met betrekking tot integraal risicomanagement?

De deelvragen worden per paragraaf behandeld. Op basis van het verkregen inzicht zal in de laatste paragraaf geconcludeerd worden wanneer er sprake is van een onafhankelijk en effectief oordeel. 3.2 Integraal risicomanagement

In deze paragraaf wordt uiteengezet wat integraal risicomanagement is, uit welke componenten het bestaat en wat de voordelen ervan zijn. Hiermee wordt antwoord gegeven op de eerste deelvraag:

1. Wat is integraal risicomanagement en uit welke onderdelen bestaat het?

Maar voordat er in wordt gegaan op het integraal risicomanagementframework worden de onderliggende concepten behandeld, te weten risico en risicomanagement.

3.2.1 Risico

Risico nemen is inherent aan ondernemen. De mate waarin organisaties te maken hebben met risico’s 3.4 Rol auditing in ERM

3.2 Integraal risicomanagement

3.3 Internal auditing

bedrijfsrisico’s beïnvloeden zijn onder andere: de dynamiek in de omgeving van de organisatie, de snelheid waarmee de organisatie is gegroeid, de organisatiecultuur en de mate van concurrentie (Vaassen 2004).

Er zijn verschillende definities van risico. Een definitie die vaak opgang doet is: ‘de kans op iets negatiefs’ (Vaassen 1004). Iets specifieker is de definitie van Knechel (Knechel 2001): ‘a threat to an organization that reduces the likelihood that the organization will achieve one or more of its objectives’. Moore stelt dat er twee dimensies zijn waaruit risico bestaat: de hoeveelheid of ernst van een niet gewenste uitkomst (magnitude) en de kans dat het risico zich voordoet (frequency) (Ramamoorti 1999). Dit wordt weergegeven in de volgende formule:

Risico = Kans X Gevolg1

Twee elementen waaruit risico bestaat komen in vrijwel elke definitie terug. Allereerst de onzekerheid over het wel of niet voordoen van de gebeurtenis en ten tweede gaat het om een ongewild gevolg, namelijk beïnvloeding van het behalen van doelstellingen Daarmee kan een risico niet alleen een bedreiging zijn, maar ook een gemiste kans. Dit blijkt onder andere uit de stelling van Vaughan (1997) dat risico’s voort komen uit onzekerheid. Onzekerheid over de uitkomst van het ondernemen van een actie of het achterwege laten daarvan. De uitkomst van een actie kan daarbij zowel positief als negatief zijn. De onzekerheid met betrekking tot het zich voordoen van een gebeurtenis en de mogelijkheid dat die gebeurtenis een negatief effect heeft, maakt die potentiële gebeurtenis tot een risico. Sommige onzekerheden worden bewust opgeroepen. Rekening houdend met de mogelijkheid van een negatief effect wordt er bij het accepteren van deze onzekerheid gespeculeerd op een positieve uitkomst. In dit geval spreekt men van een ‘speculatief risico (ook wel dynamisch risico of ondernemingsrisico) (Claes 2000). Bij een speculatief risico zijn er dus zowel kansen op winst als op verlies. Deze risico’s vormen dus niet zondermeer een bedreiging. In tegendeel, ze vormen de motor van het ondernemerschap en moeten genomen worden om groei en vooruitgang mogelijk te maken.

Volgens COSO (COSO ERM, 2004, p.16) komen risico’s of kansen voort uit gebeurtenissen. Een gebeurtenis is een incident of “occurrence” van interne of externe bronnen die van invloed zijn op het bereiken van doelen. Gebeurtenissen kunnen een negatieve, positieve impact hebben of een combinatie van beiden. Gebeurtenissen met een negatieve impact zijn risico’s. COSO (2004, p.16) definieert risico als volgt:

Risk is the possibility that an event will occur and adversely affect the achievement of objectives.

Gebeurtenissen met een averechtse impact voorkomen waardecreatie of doen afbreuk aan bestaande waardes. Gebeurtenissen met een positieve impact kunnen negatieve gevolgen te niet doen of een

kans (opportunity) zijn. Kansen ondersteunen het creëren van waarde en het behoud ervan.Een kans wordt door COSO (COSO ERM, 2004, p.16) als volgt gedefinieerd:

Opportunity is the possibility that an event will occur and positively affect the achievement of objectives.

Elke actie in een mensenleven kent een zeker risico en dus een zekere mate van onzekerheid. Een van de belangrijkste behoeften van de mens is de behoefte aan zekerheid. Als gevolg hiervan wil men risico’s zover mogelijk terugdringen, maar wanneer je alle risico’s afdekt is vooruitgang onmogelijk. Daarom wordt niet elk risico onvrijwillig gelopen, aangezien het nemen van risico ook een positieve uitkomst kan hebben (Claes 2000).

Dit principe geldt ook voor organisaties. Een organisatie die haar risico’s niet goed beheerst zal op termijn verdwijnen (Van Moorsel 2003). Maar ook wanneer zij geen risico’s neemt is een organisatie een kort leven beschoren. Ondernemen is immers verantwoord risico’s nemen. De kunst is nu om hier een balans te zoeken. Dit kan door het in kaart brengen van alle risico’s waar een organisatie mee te maken heeft en het daarna maken van een afgewogen keuze voor het beheersen daarvan. Dit staat bekend als risicomanagement (Claes 2000).

3.2.2 Risicomanagement

Het is vrijwel onmogelijk om alle bedrijfsrisico’s op een bepaald moment te kennen, laat staan deze volledig te beschrijven en te beheersen. Om die reden zal een risicobeheersings- en controlesysteem zich moeten richten op de belangrijkste risico’s. Belangrijk betekent hier dat deze risico’s van wezenlijke invloed kunnen zijn op de uitkomsten van geformuleerde doestellingen, of van belang zijn voor de kwaliteit van de verslaggeving (E&Y 2005).

Bij de weging van de risico’s, zal op basis van vastgestelde criteria, in kaart moeten worden gebracht welke kans er bestaat dat het risico zich voordoet en wat de gevolgen zijn voor het behalen van de doelstellingen indien het risico zich daadwerkelijk manifesteert. De samenhang tussen kans en gevolgen bepaalt de risicokwalificatie. De risico’s met de zwaarste weging zijn de risico’s die de onderneming in ieder geval moet beheersen (E&Y 2005).

Net als risico kent risicomanagement verschillende definities. Risicomanagement heeft vaak impliciet een financiële betekenis. Lavine stelt: ‘Risk management is a way to minimize the adverse effects of possible financial losses by identifying potential sources of loss; measuring the financial consequences of loss; and using controls to minimize actual losses or their financial consequences’. Maar we zien ook andere vormen van risicomanagement. Turner & Gelles bestuderen risk management vanuit het perspectief van aantastingen van de veiligheid in organisaties. Goszczynska & Tadeusz, in een poging de literatuur uit verschillende disciplines en culturen samen te vatten, concluderen: ‘... risk is emergent and multidimensional’. Hieruit mag worden afgeleid dat we te allen tijde moeten aangeven over welk risicodomein we spreken als we aan risicomanagement gaan doen (Vaassen 2004).

Uit het voorgaande blijkt dat risicomanagement diverse invalshoeken kent en dat er geen overkoepelende afbakening is waarover consensus bestaat. In een poging enige duidelijkheid te verschaffen heeft het Committee of Sponsoring Organizations of the Treadway Commission (COSO ERM, 2004) een rapport gepresenteerd waarin het begrip Enterprise Risk Management (ERM) aan een grondige analyse wordt onderworpen. Doordat het rapport een synthese is van wat er de laatste decennia op het terrein van ERM is gebeurd, zijn tal van aanbevelingen uit het rapport herkenbaar in andere geschriften. Enterprise Risk Management wordt in het COSO rapport als volgt gedefinieerd (COSO ERM, 2004, p. 16):

‘Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives’.

De acht componenten waaruit ERM bestaat zijn opgenomen in Figuur 2. (COSO ERM, 2004, p. 22). De COSO ERM definitie bevat een aantal fundamentele concepten (COSO ERM 2004, p. 17). Enterprise risk management is:

• een proces;

• beïnvloed door mensen op elk niveau van een organisatie; • toegepast in strategiebepaling;

• toegepast door (across) de hele onderneming heen, op elk niveau en eenheid;

• ontworpen om potentiële gebeurtenissen, die van invloed zijn op de organisatie, te identificeren en te managen tot binnen de ‘risk appetite’;

• in staat om redelijke zekerheid te geven aan het management en raad van bestuur;

• toegepast op het bereiken van doelen in een of meer afzonderlijke maar overlappende categorieën.

De componenten van ERM moeten er tezamen toe leiden dat de doelstellingen (strategic, operations, reporting, compliance) van ERM worden gehaald. De relatie tussen de doelen en componenten worden in Figuur 2 weergegeven. Het COSO ERM rapport hanteert een brede opvatting van risico waarin negatieve gebeurtenissen op allerlei terreinen een plaats hebben, waaronder: financieel verlies, fraude, diefstal, reputatieschade, persoonlijke ongevallen, systeemstoringen en rechtszaken. 3.2.3 Verschil traditioneel risicomanagement en ERM

Nieuw in de ERM-aanpak – voorzover tot op heden over een gestandaardiseerde aanpak kan worden gesproken – is de geïntegreerde aanpak van alle risico’s in een onderneming en de systematische aanpak om deze expliciet te maken. Walker, Shenkir en Barton merken hierover op: ‘ERM has emerged as a new paradigm for managing risk. Instead of relying on a traditional, intra-departmental strategy, where each area of the organization manages its own risk, ERM adopts a broader perspective that integrates and coordinates risk management across the entire organization’. Belangrijk is te constateren dat risicomanagement zelf niet nieuw is, de expliciete en gecoördineerde aanpak wel (Rijken 2004).

Binnen ERM worden de risico’s geïntegreerd beheerst in plaats van gefragmenteerd. Bij het traditionele risicomanagement zijn binnen de organisatie vaak verschillende afdelingen, onafhankelijk van elkaar bezig met risicobeheersing. Hierdoor ontstaat het gevaar dat bepaalde risico’s meer dan eens en andere risico’s helemaal niet worden beheerst. Integraal risicomanagement daarentegen vereist dat risicomanagement in alle organisatieonderdelen wordt geïntegreerd en alle activiteiten op dit gebied binnen een organisatie worden gecoördineerd door het hoogste management. Daarbij wordt verzekerd dat elk risico één eigenaar heeft.

Ten tweede is het van belang dat risicomanagement een continu proces is, wat zich permanent verder ontwikkelt en aanpast aan de actuele situatie. Het springt dus tijdig in op veranderingen, zowel in de interne als externe omgeving en er wordt tijdig vooruit gekeken. Traditioneel risicomanagement vindt meer op een ad hoc basis plaats op het moment dat het bestuur dit nodig acht of het eigenlijk al te laat is. Als laatste onderscheidt ERM zich van traditioneel risicomanagement doordat het een breed aandachtgebied heeft voor alle risicosoorten, terwijl veel organisaties zich nu nog vaak op bepaalde risicosoorten richten. De belangrijkste verschillen worden weergegeven in Figuur 3.

Figuur 3 Verschil traditioneel risicomanagement en ERM (Van Moorsel 2003)

3.2.4 Voordelen ERM

Het effectief toepassen van ERM door een organisatie brengt volgens COSO grote voordelen met zich mee. Enterprise risk management maakt het mogelijk om effectief om te gaan met onzekerheden en de daarbij behorende risico’s en kansen en vergroot daarmee de mogelijkheid om waarde te creëren voor een organisatie. De mogelijkheden die voortvloeien uit het effectief toepassen van ERM helpt het management zijn doelen te behalen en voorkomt het verlies van waarde voor de onderneming. Het helpt bij het verzekeren van een effectieve rapportage en ‘compliance’ met wet en regelgeving en vermijdt schade aan de reputatie en daarmee gerelateerde consequenties van een onderneming. Samenvattend komt het erop neer dat ERM een onderneming helpt daar te komen waar het wil gaan en daarbij valkuilen en verrassingen onderweg helpt te vermijden (COSO ERM 2004, p.3).

Verder worden een succesvollere strategie, lagere kosten van risicobeheersing, hogere marges en een verbeterde corporate governance als belangrijkste voordelen van het toepassen van ERM gezien (E&Y 2003). Ook Walker (2003) signaleert een significante verbetering van corporate governance. Verbeteringen bestaan uit een vergrote “management accountability”, betere rapportage naar de RvB en audit comité en “the establishment of chief risk officers and risk champions”. Verder worden verbeterde management “follow up on risks and risk scorecards”, verbeterde informatiestromen over grote risico’s en het managen hiervan door de organisatie als voordelen genoemd. Tenslotte merkt Van Moorsel (2003) op dat de verankering van risicomanagement in reeds bestaande organisatiestructuren, processen en (controle)systemen een sterke invloed heeft op de efficiency en effectiviteit hiervan.

3.2.5 Kanttekeningen bij ERM

Ondanks de vele positieve geluiden zijn er ook kanttekeningen te plaatsen bij de invoering van ERM. Rijken (2004) stelt dat veel voorgestelde ERM-managementconcepten een generiek en daardoor

abstract karakter hebben. De hoge mate van abstractie – inherent aan een generieke benadering – geeft weinig richting aan een concrete praktische invulling. Daarnaast is het belangrijk te beseffen dat risicomanagement niet nieuw is. De essentie van ERM is de expliciete aandacht voor risicomanagement en de geïntegreerde aanpak van risico’s, maar de noodzaak van een geïntegreerde aanpak van risicomanagement moet daarbij niet worden overschat. Het is de kunst om de bestaande risicomanagementpraktijk, impliciet aanwezig in elke onderneming, te lokaliseren. Daarna kan de risicomanagementpraktijk op zijn prestaties worden beoordeeld en eventueel worden aangevuld en verbeterd.

Tevens geeft Rijken (2004) aan dat de noodzaak van een groots opgezette geïntegreerde aanpak niet geheel duidelijk is. Efficiënter is een goede aanpak per risicocategorie met afstemming tussen de verschillende organisatieonderdelen. Een uitzondering vormt de integratie van de strategische risico’s en financieringsrisico’s.

COSO (COSO ERM 2004, p. 93) geeft ook drie belangrijke beperkingen aan van het eigen framework. De eerste beperking richt zich erop dat niemand de toekomst met zekerheid kan voorspellen, de tweede erkent dat sommige gebeurtenissen simpelweg buiten het control-bereik van het management vallen en de derde beperking van ERM onderkent dat geen enkel proces altijd doet wat het zou moeten doen.

Daarnaast is er nog de menselijke inbreng binnen het ERM proces. Het oordeel van mensen bij het maken van beslissingen kan verkeerd zijn, bij beslissingen over hoe te reageren op risico’s en het instellen van controls moeten de kosten en baten worden afgewogen, simpele fouten en vergissingen van mensen kunnen “breakdowns” tot gevolg hebben, controls kunnen omzeild worden en het management heeft de mogelijkheid enterprise risk management beslissingen te negeren. Deze beperkingen hebben tot gevolg dat een RvB of het management nooit absolute zekerheid heeft over het behalen van de organisatiedoelen.

3.2.3 Conclusie en samenvatting

In deze paragraaf is een overzicht gegeven van de onderliggende concepten van integraal risicomanagement, namelijk risico en risicomanagement. De ontwikkelingen op het gebied van risicomanagement hebben uiteindelijk geleid tot ERM. Risicomanagement is niet nieuw, maar de expliciete en gecoördineerde aanpak van ERM wel.

De toepassing van ERM levert veel voordelen op. Samenvattend komt het erop neer dat ERM een onderneming helpt daar te komen waar het wil gaan en daarbij valkuilen en verrassingen onderweg helpt te vermijden.

3.3 Internal auditing

In deze paragraaf wordt beschreven wat internal auditing en wat het verschil is met traditioneel internal audit is. Daarvoor wordt eerst stilgestaan bij het begrip internal auditing, vervolgens wordt de ontwikkeling van het vakgebied internal auditing beschreven. Tenslotte wordt ingegaan op de

verschillende terreinen waar internal auditing zich op richt en welke rol afdeling y daarbij kan innemen. Hiermee wordt antwoord gegeven op de tweede deelvraag:

2. Wat is internal audit?

3.3.1 De internal auditor en internal auditing

The institute of Internal Werknemers afdeling y inc. (IIA) is opgericht in 1941 en telt ongeveer 85.000 leden in internal auditing, governance en internal control, IT audit, opleiding en beveiliging wereldwijd. De IIA zorgt voor certificering, opleiding, onderzoek en technologische ondersteuning, daarnaast doet het dienst als waakhond voor de professie en dient als bron voor significante auditing onderwerpen over de hele wereld (www.theiia.org).

In 1999 heeft de IIA een nieuwe definitie en een Professional Practices Framework (PPF) ontwikkeld. Het PPF is bedoeld om internal werknemers afdeling y wereldwijd te ondersteunen en te reageren op de uitbreidende markt voor internal audit diensten van hoge kwaliteit (IIA Standards, 2002). The Professional Practices Framework bestaat uit drie categorien van ondersteuning: Standards and Ethics, Practice Advisories en Development and Practice Aids. In de Code of Ethics staat opgenomen dat internal werknemers afdeling y hun internal audit diensten uitoefenen in overeenstemming met de Standards. Deze leidraad geldt voor alle leden van de internal audit professie, al dan niet lid van de IIA.

The Institute of Internal Werknemers afdeling y Inc, gevestigd te Altamonte Springs (FL) in de Verenigde Staten van Amerika heeft de volgende, internationaal algemeen aanvaarde definitie van internal auditing, vastgesteld (IIA 2005):

“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”

Het wezenlijke van controleren (auditing) is het toetsen van een gegeven aan een norm en het inschatten van het risico als de norm niet gehaald wordt. De internal audit functie zal daarbij in de regel ook een aanbeveling geven over het terugdringen van het risico. Een goed functionerende internal audit functie helpt dus het management om een organisatie met een goed stelsel van normen te beheersen (IIA 2005).

Internal audit activiteiten worden doorgaans door de internal audit afdeling uitgevoerd. Werknemers van de internal audit worden veelal auditors genoemd. Het is echter ook mogelijk dat externe accountants of consultants deze taken overnemen. De twee belangrijkste kwaliteiten voor een auditor zijn onafhankelijkheid en competentie (Arens 2005).

3.3.2 Taak en functie

In een position paper van het Instituut van Internal Auditing Nederland wordt de volgende invulling aan de functie en taak van de internal audit functie gegeven (IIA 2005):

De functie van de internal audit functie bestaat uit het geven van aanvullende zekerheid aan de bestuurder en het management van een organisatie over de effectiviteit en de beheersing van de bedrijfsvoering.

Het management en de bestuurder zijn primair verantwoordelijk voor toereikende risicomanagement-, beheersings- en besturingsprocessen. De internal auditor verschaft het management en de bestuurder als objectieve waarnemer aanvullende zekerheid en maakt een wezenlijk onderdeel uit van de corporate governance structuur van de organisatie. De functie draagt hierdoor bij aan de realisatie van de organisatiedoelstellingen.

De taak van de internal audit functie is het evalueren van de beheersing van de bedrijfsvoering door het uitvoeren van audits, het rapporteren en adviseren hierover aan het verantwoordelijke management en de auditcommissie, en het afleggen van verantwoording aan de bestuurder.

De internal auditor voert diverse soorten audits uit om zich een oordeel te vormen over de mate waarin risicomanagement-, beheersings- en besturingsprocessen toereikend zijn om de doelstellingen van de organisatie te realiseren. Hij rapporteert de uitkomsten van zijn audits aan het verantwoordelijke management, waarbij hij bij de geconstateerde leemten aanbevelingen ter verbetering geeft.

3.3.3 Ontwikkeling internal auditing

De interne audit professie is drastisch veranderd gedurende de laatste zes decennia sinds de originele definitie opgenomen in “the statement of responsibilities of internal auditing”. Gedurende deze periode heeft er een verschuiving plaatsgevonden van het meten en evalueren van de effectiviteit van controles naar een veel breder spectrum van activiteiten (Krogstad 1999). Deze veranderingen hebben uiteindelijk tot de in 3.3.1 opgenomen definitie geleid. Het is de bedoeling van de nieuwe definitie om de manier waarop het beroep zichzelf ziet te verbreden en het bevorderen van de volle participatie in de uitbreidende markt van de internal audit diensten. Enerzijds sluit de nieuwe definitie beter aan bij de huidige invulling van internal auditing in de praktijk, anderzijds dient het als een communicatiemiddel naar klanten van internal audit. In Tabel 1 worden de belangrijkste verschillen tussen de oude en de nieuwe definitie van internal audit weergegeven.

De nieuwe definitie verschuift de focus van internal auditing naar het organisatorische niveau in tegenstelling tot de eerdere focus op het ondersteunen van individuele verantwoordelijkheden (Krogstad 1999). Daarnaast laat de definitie de veranderende rol van internal werknemers afdeling y zien. Er wordt verwacht dat de internal auditor waarde toevoegt aan de organisatie door het

beoordelen van de betrouwbaarheid en integriteit van informatie, verzekeren dat er overeenkomstig met de wet- en regelgeving wordt gehandeld en het veiligstellen van bezit (Arens 2005).

Oude definitie Nieuwe definitie

Internal auditing is an independent appraisal function extablished within an organization to examine and evaluate its activities and a service to the organization. The objective of internal auditing is to assist members of the organization in the effective discharge of their responsibilities. To this end, the internal auditing furniches them with analyses, appraisals, recommendations, counsel, and information concerning the activities reviewed. The audit objective includes promoting effective control at reasanable cost.

Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organizations operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

Key concepts old Key concepts new

- independent…function established within an organization

- appraisal function

- examine and evaluate its activities as a service to the organization

- assist members of the organization in the effective discharge of their responsibilities

- analyses, appraisals, recommendations, counsel and information concerning the activities reviewed and promoting effective control at reasonable cost

- independent, objective…activity

- assurance and consulting activity

- designed to add value and improve an organization’s operations

- helps an organization accomplish its objectives

- bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes

Tabel 1 Verschil oude en nieuwe definitie internal audit (Krogstad 1999)

Traditioneel internal auditing was vooral gericht op controle en operaties, maar geïntegreerde management control frameworks zoals COSO en COCO hebben de controle activiteiten van de organisatie meer in lijn gebracht met bredere organisatorische doelen en de risico’s van het niet behalen van deze doelen. Met de nieuwe definitie wordt benadrukt dat controls zich niet in een vacuüm bevinden, maar dat controls bestaan om de organisatie te helpen in het managen van de risico’s en het promoten van effectieve governance processen. Er wordt niet langer uitgegaan van “one size fits all” en de dagen van “generic controls” en “checklists”zijn voorbij (Krogstad 1999).

3.3.4 Financial en operational audits

Internal auditors zijn aangenomen om zowel financial als operational audits uit te voeren (Arens 2005). Er bestaat echter verwarring over de verschillende begrippen. Doordat in de USA de interne accountant (internal auditor) geen ‘opinion’ mag geven, geeft de internal auditor daar een meer op de beheersing gerichte invulling aan zijn taakgebied. Het huidige Angelsaksische begrip internal audit komt hierdoor overeen met het operational audit begrip. Het Nederlandse begrip internal auditing is veelal beperkter van aard en blijkt in de praktijk aan te liggen tegen het traditionele financial audit concept.

De ontwikkeling om als auditor waarde toe te voegen door zich te richten op de effectiviteit en efficiency laat zien dat het belang van operational auditing groeiende is. Het is algemeen aanvaard dat operational auditing zich richt op effectiviteit en efficiency (Arens 2005). Driessen (1997) geeft de volgende definitie van operational audit: onder operational audit wordt verstaan het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex van beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingkaders die door het bovenliggende managementniveau zijn geformuleerd.

Er bestaan drie grote verschillen tussen financial en operational auditing (Arens 2005):

1. Financiële audit richt zich op de betrouwbaarheid van de verslaggeving, terwijl de internal audit zich richt op de effectiviteit en efficiency van de beheersingsmaatregelen. De internal audit is hiermee toekomst georiënteerd in tegenstelling tot de financiële audit die enkel uitspraken kan doen over het verleden.

2. De bevindingen van de internal audit worden aan een veel beperktere groep belanghebbenden gerapporteerd dan bij financiële audits, doorgaans alleen aan het management en de raad van commissarissen en / of audit committee. De rapportage van een internal audit is bedoeld voor intern gebruik en kent daarom niet de vereisten vanuit de wetgeving waaraan de rapportage van een financiële audit moet voldoen.

3. Door de focus op de effectiviteit en efficiency van bedrijfsprocessen kan de internal audit niet-financiële gebieden omvatten, bijvoorbeeld de effectiviteit van een reclamecampagne of de efficiency van de werknemers. Financiële audit zijn daarentegen beperkt tot de gebieden welke direct van invloed zijn op de betrouwbaarheid van de financiële verslaggeving.

De “scope” van de beoordeling van internal control voor financial audits is gelimiteerd tot de effectiviteit van internal control over de financiële rapportage en het effect ervan op de “fair presentation” van de jaarrekening, terwijl operational audit elke control meeneemt die de effectiviteit of efficiency beïnvloedt.

3.3.6 Conclusie en samenvatting

In deze paragraaf is inzicht gegeven in wat internal auditing inhoudt en welke ontwikkeling het heeft doorgemaakt. Hieruit blijkt dat de internal auditor het management en de bestuurder als objectieve waarnemer aanvullende zekerheid verschaft en een wezenlijk onderdeel uitmaakt van de corporate

governance structuur van de organisatie. De functie draagt hierdoor bij aan de realisatie van de organisatiedoelstellingen. Daartoe voert de internal auditor diverse soorten audits uit om zich een oordeel te vormen over de mate waarin risicomanagement-, beheersings- en besturingsprocessen toereikend zijn om de doelstellingen van de organisatie te realiseren.

De internal audit functie maakt een ontwikkeling door van een op controle gerichte rol naar een waardetoevoegende activiteit. Gezien de nieuwe definitie wordt er steeds meer belang gehecht aan operational audits. Er wordt verwacht dat de internal auditor waarde toevoegt aan de organisatie door het verbeteren van de operationele effectiviteit naast de traditionele verantwoordelijkheden zoals het beoordelen van de betrouwbaarheid en integriteit van informatie, verzekeren dat er overeenkomstig met de wet- en regelgeving wordt gehandeld en het veiligstellen van bezittingen.

Met de nieuwe definitie wordt benadrukt dat controls zich niet in een vacuüm bevinden, maar dat controls bestaan om de organisatie te helpen in het managen van de risico’s en het promoten van effectieve governance processen. Door internal audit in de nieuwe definitie een rol te geven bij het helpen behalen van de organisatie doelstellingen worden de werkzaamheden van audit in lijn gebracht met de kritieke succesfactoren en processen van het bedrijf. Hiermee geeft het audit de kans een bijdrage te leveren daar waar de grootste mogelijkheden liggen om een verschil te maken en waarde voor de organisatie te creëren.

3.4 Rol audit in ERM

In dit hoofdstuk zal worden ingegaan op de rol die internal audit heeft met betrekking tot ERM. Hiermee wordt antwoord gegeven op de derde deelvraag:

3. Wat is de rol van internal audit met betrekking tot integraal risicomanagement? 3.4.1 Kernrollen auditing in ERM

Uit de definitie en beschrijving van de functie en taak van internal audit werd duidelijk dat risicomanagement behoort tot de gebieden waar internal audit zekerheid en advies over dient te verstrekken. De IIA heeft aan de hand van een position statement (Position statement IIA) een verdere invulling gegeven over de rol van audit met betrekking tot ERM. De belangrijkste bevindingen worden hier weergegeven.

De kerntaak van internal audit met betrekking tot ERM is het geven van objectieve zekerheid aan de RvB over de effectiviteit van risicomanagement. De RvB en internal werknemers afdeling y hebben overeenstemming over het feit dat de twee belangrijkste manieren waarop internal auditing waarde toevoegt aan de onderneming zijn (Position statement IIA):

1) het geven van objectieve zekerheid dat de belangrijkste bedrijfsrisico’s adequaat worden beheerst en;

2)

het geven van zekerheid dat het risicomanagement en internal control framework effectief functioneert.

Figuur 4 laat de ERM activiteiten van audit zien en geeft aan welke rollen een effectieve professionele internal audit functie moet en welke ze niet zou moeten ondernemen. De belangrijkste overwegingen bij het bepalen welke rol internal audit in zou moeten nemen zijn of de activiteit een bedreiging vormt voor de onafhankelijkheid en de objectiviteit en of het waarschijnlijk is dat het risicomanagement, de control en de governance processen erdoor worden verbeterd (Position statement IIA).

Figuur 4 The role of internal audit in enterprise-wide risk management (Position statemen IIA)

De activiteiten aan de linkerkant van de figuur zijn alle activiteiten die zekerheid geven. Ze vormen onderdeel van het doel om zekerheid te geven over het risicomanagement. Een internal afdeling y die in overeenstemming met de internationale standaarden werkt kan en zou minstens een aantal van deze activiteiten uit moeten voeren (Position statement IIA)

3.4.2 Adviesactiviteiten van internal audit in ERM

Internal audit kan advies geven over het verbeteren van governance, risicomanagement en control processen binnen de organisatie. De mate waarin internal audit adviseert met betrekking tot integraal risicomanagement hangt af van de andere middelen, intern en extern, waar het bestuur de beschikking over heeft en het stadium waarin de risico’s zich bevinden (risk maturity). Het is waarschijnlijk dat de rol van internal audit met betrekking tot integraal risicomanagement verandert in de tijd. De ervaring van internal audit met risico’s betekent dat internal audit in een goede positie is om te functioneren als “champion” (voorloper). Audit kan zelfs projectmanager zijn van integraal risicomanagement in het beginstadium van de introductie ervan. Als het risicomanagement meer verankerd is in de bedrijfsvoering kan de voortrekkersrol van audit wellicht verminderen. In het geval