Hoe kunnen CAE’s de samenwerking tussen IAF en EA het best inrichten?

Hoe richt de CAE de samenwerking tussen de internal auditfunctie (IAF) en de externe accountant (EA) in om te kunnen komen tot een effectieve en duurzame samenwerking? Hiertoe zijn in elk geval twee invalshoeken relevant: welke verwachtingen zijn er vanuit de maatschappij en wat schrijven de internal auditstandaarden voor?

In de Nederlandse Corporate Governance Code (hierna: de Code), die zich richt op de governance van beursgenoteerde vennootschappen, krijgt de IAF pas bij de update in december 2008 door de Commissie Frijns een belangrijke plaats. Als best practice is onder meer opgenomen dat ‘de openbare accountant wordt betrokken bij het opstellen van het werkplan van de IAD’. In verschillende governancecodes, zoals voor banken en verzekeraars, heeft de IAF ook een meer prominente rol.

Apart principe

De wijziging van de Code in december 2016 door de Commissie Van Manen bevat voor het eerst een apart principe (1.3), volledig gewijd aan de IAF. In de Code is bepaald dat de IAF bij het opstellen van haar jaarplan (werkplan) de EA vraagt om input. Daarnaast is bepaald dat de IAF bij uitvoering van haar werkzaamheden directe toegang heeft tot de EA. Ten slotte schrijft de Code voor dat de IAF de EA informeert over de belangrijkste onderzoeksresultaten. De CAE’s van Nederland moeten principe 1.3 in de Code nu waar gaan maken!

Naar aanleiding van de updates van de Code in 2008 en 2016 zijn door IIA en NBA LIO een tweetal onderzoeken uitgevoerd over de impact op de governance en de samenwerking van de auditcommissie (AC), de IAF en de EA. Het rapport Impact op Governance – Interne en externe auditor; samen een nog sterkere bijdrage aan de governance gepubliceerd in 2009, trekt de conclusie dat de samenwerking IAF en EA een gevarieerde intensiteit heeft en in de praktijk goed is, maar zowel qua effectiviteit als efficiency nog verder kan worden verbeterd. Het rapport geeft ook een heldere opsomming van een groot aantal best practices in de samenwerking IAF en EA.

Relevante standaarden

Standaard 1210 inzake vakbekwaamheid geeft aan dat bij het verwerven van vakkundig advies en ondersteuning gebruikgemaakt mag worden gemaakt van de specifieke kennis, ervaring en vaardigheden van de EA en andere interne en externe assurance providers en adviseurs als de eigen interne auditstaf bepaalde kennis, ervaring, technische- of sociale vaardigheden mist om een opdracht uit te kunnen voeren. De CAE moet vaststellen of de ingeleende accountants en adviseurs de gewenste kennis, ervaring en vaardigheden bezitten om het IAF-team te kunnen complementeren. De eindverantwoordelijkheid voor de opdracht blijft bij de IAF.

Standaard 1320 inzake rapportering over het kwaliteitsbewakings- en verbeterprogramma (QAIP) adviseert om de resultaten van interne en externe kwaliteitstoetsingen te delen met de EA. De EA kan mede op basis van de resultaten beoordelen of gesteund kan worden op de werkzaamheden van de IAF, zoals in het kader van COS610.

Standaard 2050 inzake coördinatie schrijft voor dat de CAE informatie dient te delen en activiteiten moet coördineren met andere interne assurance providers, de EA en externe adviseurs, om een adequate dekking van interne beheersing van de risico’s te verzekeren en het dubbel uitvoeren van werk tot een minimum te beperken. De IAF mag gebruikmaken van de werkzaamheden van de EA ten aanzien van activiteiten en processen, om te komen tot een adequate dekking. Hiertoe moet de CAE wel kennis nemen van de aard, omvang, diepgang, methodiek en timing van de uitgevoerde werkzaamheden van de EA.

Om inzage te krijgen in de werkzaamheden van de EA moeten (aanvullende) afspraken gemaakt worden tussen IAF en EA. Om het voor beide partijen mogelijk te maken om te steunen op elkaars werkzaamheden, kan het efficiënt zijn als beide teams gebruikmaken van vergelijkbare audittechnieken, -methoden en -terminologie. De IAF-rapportages, inclusief managementreactie en toegezegde acties, kunnen, daar waar van toepassing, worden gedeeld met de EA. Deze rapportages vormen mede input voor de EA voor de bepaling van de aard, omvang en timing van hun werkzaamheden. De CAE ontvangt dan weer de presentaties en management letters van de EA die zijn gedeeld met de RvB en AC. De CAE heeft hierbij een verantwoordelijkheid om de samenwerking en coördinatie tussen IAF en EA periodiek te evalueren.

Standaarden 2110 en 2120 schrijven voor dat de IAF evaluaties moet uitvoeren en passende aanbevelingen moet formuleren om respectievelijk de governanceprocessen en risk-managementprocessen van de organisatie te verbeteren, inclusief de coördinatie van de activiteiten van de RvB, de EA, de IAF en het management. De afgelopen jaren hebben diverse IAF’s, gebaseerd op deze standaarden, het proces van wisseling van de EA binnen hun organisatie gecoördineerd of zijn daar intensief bij betrokken geweest.

Standaard 2330 inzake dossiervorming schrijft voor dat de CAE expliciet goedkeuring moet verlenen aan de EA om inzage te krijgen in IAF dossiers en dat een procedure wordt opgesteld op welke wijze de EA inzage verkrijgt. Deze procedure moet voldoen aan de richtlijnen van de organisatie en met alle toepasselijke regelgeving of andere vereisten.

Standaard 2500 ten slotte moet de IAF conform standaard 2500 toezicht houden op de opvolging van auditresultaten, adviezen en verbeteracties, zoals gecommuniceerd aan het management. Dit betreft het toezicht op de opvolging van zowel de auditresultaten en adviezen van IAF als EA, toezichthouders en andere interne en externe assuranceproviders.

Nieuwe benadering

Het onderzoek Bondgenoten in Governance 2.0; Op weg naar een duurzame relatie tussen de Auditcommissie en de Internal Auditfunctie uit 2016 trekt de conclusie dat de samenwerking tussen de IAF en de EA een nieuwe benadering dient te krijgen, draaiend om de vraag waar ze elkaar treffen en aanvullen in het totaalveld van financiële en niet-financiële informatie. Het optimaliseren van de relatie tussen de IAF en de EA en kansen om in complementariteit de governance van de organisatie te verbeteren, dient op de agenda van de AC te worden geplaatst.

Kortom, werk aan de winkel voor CAE. Gelukkig bieden de IIA-standaarden en richtlijnen, zoals vastgelegd in de nieuwe IPPF standaarden 2017 en de Implementatie Richtlijnen 2017 (voorheen Practice Advisories) en Aanvullende Handreikingen (voorheen Practice Guides), voldoende aanknopingspunten voor de inrichting van een duurzame samenwerking tussen IAF en EA. In volgorde van de IPPF-nummering zijn hierna de relevante standaarden en de implementatierichtlijnen, die relevant voor een duurzame samenwerking van IAF en EA, nader toegelicht.

Samenwerking

De conclusie die getrokken kan worden op basis van uitgevoerd onderzoek van IIA en NBA LIO naar de samenwerking van de IAF en de EA is dat er in het algemeen sprake is van een goede samenwerking, maar dat deze wel verder verbeterd kan worden. De verwachtingen ten aanzien van deze samenwerking zijn mede door de gewijzigde Corporate Governance Code in 2016 sterk toegenomen. De Code, de IPPF standaarden en de implementatierichtlijnen bieden de CAE’s een goede basis voor het inrichten van een effectieve en duurzame samenwerking tussen de IAF en de EA. De best practices, zoals verwoord in het rapport uit 2009, zijn hierbij nog steeds relevant.