De commissaris zonder internal audit: ra(a)deloos?

Toezicht houden op de interne beheersings- en controlesystemen is een kerntaak van een raad van commissarissen (RvC). Een afdeling die goed inzage kan geven in de interne beheersing is een internal auditafdeling. Bij veel instellingen ontbreekt een internal auditafdeling. Hoe krijgt een RvC bij dit soort instellingen dan inzicht in de mate van interne beheersing?

Een RvC heeft vier taken, te weten (Schuit en Jaspers, 2017):

1. het houden van toezicht;
2. het geven van advies;
3. het goedkeuren van besluiten;
4. het uitoefenen van de functie van werkgever.

In dit artikel wordt gefocust op het toezicht houden. Toezicht houden is het toetsen of de handelingen van het bestuur voldoen aan de daaraan gestelde eisen, en zo nodig ingrijpen om de handelingen te corrigeren (Strikwerda en ten Wolde, 2017). Toezicht houden op de opzet en werking van de interne beheersings- en controlesystemen is daarbij een kerntaak (Kersten, 2016). Ook in de Corporate Governance Code is vastgelegd dat het bestuur verantwoordelijk is voor de strategie met bijbehorend risicoprofiel en het beheersen van de risico’s.

Om goed invulling te geven in de toezichthoudende taak is focus op interne beheersing van groot belang

Oorzaak falend toezicht

Falend toezicht vindt veelal zijn oorsprong in falend risicomanagement (Reumkens, 2021). Reumkens benoemt dertien gevarenzones waar het mis kan gaan bij het toezicht houden. Ongeveer de helft heeft betrekking op de risicobeheersing:

• te risicovol beleid;
• beslissingen zonder onderzoek naar mogelijke risico’s;
• de systemen van risicobeheersing en interne controle zijn ontoereikend;
• het gewraakte risico wordt niet geconstateerd of onvoldoende materieel geacht;
• het ontbreken van criteria en richtlijnen voor beheersing van geconstateerde risico’s;
• geen periodieke beoordeling van feitelijke exposure.

Kortom, om goed invulling te geven in de toezichthoudende taak is focus op interne beheersing van groot belang.

Toenemende risico’s voor een commissaris

De Wet bestuur en toezicht rechtspersonen, die sinds 1 juli 2021 van kracht is, geeft een wettelijk taakomschrijving en verscherping van de persoonlijke aansprakelijkheid van toezichthouders bij stichtingen en verenigingen. Dit zijn organisaties waar over het algemeen geen tweede- en derdelijnsfuncties aanwezig zijn.

Bij het Meavita-debacle is de RvC ook aansprakelijk gesteld voor de inadequate risicobeheersing en het ontbreken van goede stuurinformatie op concernniveau (Ondernemingskamer, 2015). Toezicht houden op risicomanagement is daarmee niet meer vrijblijvend. Klaassen stelt dan ook terecht dat de taakopvatting van een raad van toezicht in een zorgstichting niet wezenlijk verschilt met die van de RvC van een (beursgenoteerde) vennootschap (Klaassen, 2016).

Relevantie internal audit

Een afdeling die bij uitstek inzage geeft in de interne beheersing is internal audit. Internal audit geeft onafhankelijke en objectieve assurance en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement. Bij financiële instellingen is deze afdeling verplicht. Internal audit rapporteert aan het bestuur maar ook aan de RvC, vaak via een audit committee. Hiermee krijgt de RvC zicht op de mate van interne beheersing. Strikwerda en ten Wolde (2017) noemen internal audit een nuttige – zo niet noodzakelijke – functie voor de RvC bij het toezicht houden.

Producten internal audit

Internal audit levert specifieke producten die een beeld geven over de interne beheersing van een organisatie. Voordat een auditrapport wordt opgeleverd, is er een scala aan voorbereidende producten aan vooraf gegaan die een RvC inzage geeft in de interne beheersing zoals het bepalen van de audit universe en de risicoanalyse daarop.

Voordat een auditrapport wordt opgeleverd, is er een scala aan voorbereidende producten aan vooraf gegaan die een RvC inzage geeft in de interne beheersing

Een internal auditrapport geeft een oordeel over de mate van interne beheersing over een specifiek onderwerp. Verder neemt het hoofd van de internal auditafdeling over het algemeen ook deel aan de audit-committeevergaderingen waar zijn mening kan worden gevraagd. Tot slot is er een jaarlijks gesprek met de voorzitter van het audit committee.

Positionering internal audit

Naast deze producten, is ook de positionering en werkwijze van de internal auditafdeling relevant. Kernbegrippen van internal audit zijn objectief en onafhankelijk en systematisch onderzoek. Chuah en Bendermacher onderschrijven het belang van de objectiviteit en onafhankelijkheid van een internal auditfunctie voor de RvC. Zij stellen dat ‘de IAF kan als geen ander een wezenlijke rol spelen, door objectieve en ongefilterde informatie te verstrekken aan de auditcommissie, zodat zij in staat wordt gesteld om haar toezichtstaken op adequate wijze uit te voeren’ (Chuah en Bendermacher, 2017).

De hiervoor genoemde producten en positionering en werkwijze bieden de RvC goede inzichten in de interne beheersing en vormen daarmee een belangrijk onderdeel voor het kunnen houden van goed toezicht.

Erkenning rol internal audit

Onderzoek toont inderdaad aan dat internal audit een comfort provider is voor het audit committee (Sarens, De Beelde en Everaert, 2009). Wallage en van Leeuwen hebben aan de hand van eerder uitgevoerde (internationale) onderzoeken uiteengezet dat een internal auditafdeling en grote bijdrage kan leveren aan de interne risicobeheersing (Wallage en van Leeuwen, 2017). Ook Driessen en Wakkerman onderkennen het nut van een internal auditfunctie voor de RvC: ‘Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal auditfunctie.’

De monitoring commissie stelt sinds 2016 dat een organisatie een internal auditafdeling zou behoren te hebben. In principe 1.3 van de Corporate Governance Code stelt de monitoring commissie onder andere dat de RvC jaarlijks dient vast te stellen dat, indien voor de interne auditfunctie geen interne auditdienst is ingericht, er adequate alternatieve maatregelen zijn getroffen en beziet of er behoefte bestaat om een interne auditdienst in te richten. De code richt zich weliswaar op beursgenoteerde ondernemingen, maar is steeds vaker een leidraad voor niet-beursgenoteerde ondernemingen en ook andere codes, onder andere voor de cultuursector.

Risico’s bij niet-financiële en niet-beursgenoteerde instellingen zijn niet per se minder of kleiner, maar hoe krijgen zij dan inzicht in de mate van interne beheersing, wanneer een internal auditfunctie ontbreekt?

De externe auditor als alternatief

Het nut van een internal auditfunctie voor een RvC is duidelijk. Maar welke compenserende maatregelen heeft een RvC voorhanden als er geen internal auditfunctie aanwezig is? Binnen een organisatie is veel informatie voorhanden waarmee een beeld kan worden verkregen over de beheersing (Paape, 2021). Denk hierbij aan:

• managementletter externe accountant;
• medewerkerstevredenheid-onderzoeken;
• vaststelling of er (veel) rechtszaken zijn;
• klanttevredenheid;
• AVG-meldingen;
• et cetera.

Al deze zaken geven een beeld van de interne beheersing. Echter, het is geen gestructureerd samenvattend beeld hiervan. Genoemde zaken zijn vaak input voor een risicoanalyse van internal audit of worden gebruikt bij een internal audit zelf in de vooronderzoeksfase waar een beeld wordt verkregen van waar de focus in de audit moet komen te liggen. Dit is een duidelijk voorbeeld van het voordeel van het hebben van een internal auditfunctie.

Literatuuronderzoek

Over hoe een RvC de mate van interne beheersing kan vaststellen, is niet veel geschreven in de literatuur. Van Leeuwen en Wallage stellen dat de RvC het management moet vragen om een verklaring dat zij zowel de opzet als de werking van de interne beheersingsomgeving getoetst heeft (van Leeuwen en Wallage, 2011). De RvC zal deze verklaring met het management bespreken.

Uit onderzoek blijkt dat de RvC een voorkeur heeft voor een uitspraak van een internal auditor boven die van een externe accountant

Een dergelijke zelfcontrole biedt onvoldoende waarborgen en daarom zal de RvC ook kennis moeten nemen van de werkzaamheden die ten grondslag hebben gelegen aan de verklaring. Daarbij tekenen Van Leeuwen en Wallage ook aan: ‘Uiteraard neemt de RvC ook kennis van constateringen van in- en externe accountants op het vlak van de interne beheersomgeving’. Toch een verwijzing naar een internal auditfunctie. Ook Stolp en de Nijs Bik stellen dat wanneer de RvC niet kan vertrouwen op de door het bestuur verstrekte informatie, zij kritische vragen moet stellen en aanvullende informatie moet vragen en zich laten informeren door de externe accountant (Stolp en de Nijs Bik, 2015).

Opvallend is dat vaak naar de externe accountant wordt verwezen. Uit recent onderzoek blijkt namelijk dat de RvC een voorkeur heeft voor een uitspraak van een internal auditor boven die van een externe accountant. Behalve voor uitspraken over de betrouwbaarheid van de financiële rapportages en sommige financiële risico’s (Commissarissen benchmarkonderzoek risicomanagement 2019-2020, Grant Thornton). Uit jaarverslagen blijkt veelal dat de externe accountant wordt gezien als vervangende maatregel voor het niet hebben van een internal auditfunctie (Chuah en Bendermacher, 2017).

Samenvattend kan worden gesteld dat in de literatuur de externe accountant vaak wordt gezien als dé compenserende maatregel voor het ontbreken van een internal auditfunctie. Een beperkte maatregel omdat de externe accountant zich richt op de jaarrekening en ook vooral terugkijkt, en niet zoals de internal auditor, insight en foresight biedt (van Heese, 2021).

Onderzoek bij de commissaris

De literatuur geeft beperkt suggesties hoe een commissaris het gebrek aan een internal auditafdeling kan compenseren. Daarom is een klein aantal interviews gehouden met commissarissen die zowel ervaring hebben met een RvC bij een organisatie zonder een internal auditafdeling als ervaring met een RvC bij een organisatie met een internal auditafdeling (dan wel ruim ervaring hebben met een internal auditafdeling). Het aantal actieve commissariaten varieert tussen de twee en vier en het aantal jaar ervaring als commissaris tussen de vijf en twintig.

De geïnterviewde commissarissen onderschrijven dat de risico’s voor de organisaties zonder een internal auditafdeling niet kleiner zijn vergeleken met de organisaties mét een dergelijke afdeling. ‘Helemaal niet. Alle organisaties zijn druk met ICT- en wetgevingsrisico’s.’

Maatregelen commissaris

Uit de interviews blijkt dat, om meer zicht te houden op de interne beheersing van een organisatie waar geen three lines is, de commissaris de volgende maatregelen neemt:

• hij doet zelf meer aan controle;
• de samenstelling van de raad wordt belangrijk(er);
• hij stuurt bij in de organisatie;
• hij vraagt de externe accountant meer;
• hij huurt externe expertise in.

‘Je doet meer als er geen three lines of defense is. Je hebt meer vergaderingen over specifieke onderwerpen waar je je meer in moet verdiepen.’

Geïnterviewden onderschrijven dat de rol van de accountant belangrijker is wanneer de internal auditor ontbreekt, zoals de literatuur stelt. Maar de commissaris is ook kritisch op de rol van de externe accountant en zijn toegevoegde waarde op het gebied van interne beheersing: ‘De accountantsverklaring is a: negatief geformuleerd en b: ze kijken naar de continuïteit en financiële risico’s. Al het andere nemen ze niet mee.’

Samenvattend

Onderzoeken tonen aan dat de internal auditor een belangrijke rol speelt bij het toezicht houden op de interne beheersing van een organisatie. De commissaris moet dus op zoek naar alternatieven bij het ontbreken van een internal auditafdeling, want de risico’s zijn niet per se kleiner bij organisaties zonder een internal auditafdeling.

De (beperkte) literatuur wijst met name naar de externe accountant als dé compenserende maatregel voor het ontbreken van een internal auditfunctie. In de praktijk wordt de externe accountant als compenserende maatregel deels onderschreven, maar is men ook kritisch c.q. realistisch over de mate waarop hier kan worden gesteund ten behoeve van een oordeel over de interne beheersing van een organisatie.

Belangrijke compenserende maatregelen zijn volgens hen:

• als commissaris meer zelf navragen c.q. onderzoek doen;
• ingrijpen in de interne beheersing van de organisatie om de interne beheersing te verbeteren;
• zorgen voor een evenwichtige samenstelling van de raad zodat alle kritische aandachtsgebieden worden afgedekt;
• inhuren van externe expertise.

Met de hiervoor genoemde maatregelen, inclusief steunen op de externe accountant, wordt het ontbreken van een internal auditor gecompenseerd.

De commissaris moet op zoek naar alternatieven bij het ontbreken van een internal auditafdeling, want de risico’s zijn niet per se kleiner bij organisaties zonder een internal auditafdeling

Meer internal audit?

Mogelijk zal ook in die organisaties de internal auditor alsnog zijn intrede doen. Naar aanleiding van dit onderzoek zei één geïnterviewde: ‘Het is eigenlijk een terechte challenge die je bij me neerlegt: wanneer zouden we een internal auditor moeten nemen? Het is nu allemaal wel heel erg ad hoc. Je moet het eigenlijk structureel borgen. Bij een goede interne beheersing ga je excessen voorkomen.’ Een andere commissaris zei: ‘Misschien zijn wij als commissarissen nog onbekend met wat het (internal audit) ons allemaal zou kunnen opleveren. Dat zou voor mij hier nog weleens de conclusie kunnen zijn. Het triggert mij wel.’

Kortom, er gloort (nog meer) hoop voor de internal auditor, maar er is ook nog aardig wat werk aan de winkel om de bekendheid verder te vergroten.