Internal Audit draagt bij aan het comfort van commissarissen

Internal Audit draagt bij aan het comfort van commissarissen

Auteur: Drs. Bas Wakkerman RA MGA - Drs. Jan Driessen RO CIA
Beeld: Adobe Stock
4 min

Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten aan een herkenbare en relevante interne auditfunctie. Bestuurders zien daarentegen alternatieven om deze toetsende functie elders binnen het three-lines-of-defensemodel te beleggen.

Dat is een van de conclusies uit ons onderzoek Meer winst uit internal governance.1 Voor dit onderzoek hebben wij gesproken met dertien commissarissen en bestuurders van verschillende organisaties en sectoren waarbij de vraag van de meerwaarde van de interne auditfunctie centraal stond. Bij organisaties die geen interne auditfunctie kennen onderzochten wij hoe zij de ontbrekende derde line of defense hebben ingericht en of dit toereikend is in het internal-governancesysteem.

Interne audit is wel belangrijk, maar niet heilig

Het uitgangspunt van ons onderzoek is het three-lines-of-defensemodel dat gangbaar is voor de inrichting van de internal governance van organisaties. Daarbij vervult de interne auditfunctie zoals bekend de derde line of defense.2 Dat het three-lines-of-defensemodel voor de interne auditfunctie niet heilig is, blijkt echter duidelijk uit ons onderzoek. Bij organisaties waar geen afzonderlijke interne auditfunctie aanwezig is, bestaan alternatieven om tot een adequate internal governance te kunnen komen. Aan de hand van de gevoerde gesprekken onderscheiden wij de volgende alternatieven voor de invulling van de derde line of defense:
­

  1. De raad van bestuur (RvB) die vanuit haar eigen expertise een aanvullende kritische toetsende rol vervult binnen het systeem van internal governance.
  2. Het management (eerste lijn) dat veelal binnen een projectmatige organisatiestructuur zelfstandig verantwoordelijk is voor de invulling van hun internal governance, daarbij vaak ondersteund én kritisch bevraagd door sterke ‘hoofdkantoorfuncties’.
  3. De controlfunctie (tweede lijn) die vooral door de toegenomen professionaliteit van business controllers ingezet wordt als een extra onafhankelijke en kritische blik richting de vaak complexe business.
  4. De externe accountant (‘vierde lijn’), vooral als een efficiënter en effectiever alternatief voor de interne auditfunctie als het gaat om het uitvoeren van financial of IT-auditwerkzaamheden in het kader van de jaarrekeningcontrole.

‘Internal audit matters, however… the internal audit function differs’

De genoemde alternatieven zijn binnen de specifieke context en achtergrond vaak logisch verklaarbaar. Wij hebben geen voorkeur voor een bepaalde inrichting van de internal governance, vooral omdat in de praktijk goede mogelijkheden bestaan om de three lines of defense anders in te richten. Wel zien we dat een interne auditfunctie steeds vaker het dominante governanceprincipe is en in sommige sectoren zelfs verplicht.3 Daarbij heeft een afzonderlijke en zichtbare interne auditfunctie duidelijk voordelen ten opzichte van de hiervoor genoemde alternatieven, vooral wat betreft kwaliteitsborging en onafhankelijkheid. In onze eigen woorden: ‘Internal audit matters, however… the internal audit function differs’.

Waardering voor interne auditfunctie

Een duidelijke uitkomst uit ons onderzoek is dat de geïnterviewde commissarissen meer waarde hechten aan een interne auditfunctie als derde line of defense dan de ondervraagde bestuurders. Wij zijn daar niet verbaasd over omdat het aansluit bij internationaal onderzoek.4 Bestuurders hebben veelal korte lijnen met de werkvloer, veel gevoel voor de business en weten hoe hun mensen werken. Praktisch gezien maakt het voor bestuurders vaak niet uit of de interne toetsing door andere lines of defense plaatsvindt dan de interne auditfunctie.

Ook het standpunt van de commissarissen is herkenbaar. Commissarissen staan verder van de dagelijkse praktijk af en hebben steeds meer behoefte aan onafhankelijke informatie over de internal governance. Dit komt mede door de veranderende rol van de commissaris. De druk op hen neemt toe en vele partijen kijken over hun schouder mee. Commissarissen zijn voor hun informatievoorziening afhankelijk van de RvB, terwijl zij behoefte hebben aan onafhankelijke en zichtbare toetsing.5 Rapportages van een onafhankelijke interne auditfunctie dragen bij aan hun comfort.

De interne auditfunctie is een natuurlijke, extra ingang in de organisatie en voorziet commissarissen daarmee van ‘extra ogen en oren’. We zien daarom steeds vaker dat interne auditors rechtstreeks rapporteren aan de auditcommissie. Wel geven onze gesprekspartners aan dat de RvB altijd de primaire ontvanger van auditrapportages moet zijn. Rechtstreekse rapportage is volgens hen dan ook alleen mogelijk bij de noodzaak tot escalatie of als het bestuursaangelegenheden betreft. Het is daarom belangrijk dat deze rapportage- en communicatielijnen in het audit charter geregeld zijn.

Een lastige functie door bedienen verschillende ‘klanten’

Volgens de theorie heeft de interne auditfunctie als derde line of defense een onafhankelijke positie binnen de organisatie met een rechtstreekse lijn naar de RvB en een ‘dotted line’ naar de raad van commissarissen (RvC). In de praktijk zien wij dat een interne auditfunctie door verschillende stakeholders wordt benaderd, wat kan leiden tot lastige keuzen. In figuur 1 zijn beide situaties, theorie én praktijk, naast elkaar afgebeeld.

Figuur 1. Theorie en praktijk

In de praktijk moet de interne auditfunctie dus, naast de RvB als reguliere opdrachtgever, ook aansluiting houden met het lijnmanagement. Zij moeten de risico’s beheersen en hebben soms specifieke verzoeken aan de interne auditfunctie. Daarnaast ziet de RvC, zoals hiervoor al aangegeven, de interne auditfunctie meer en meer als natuurlijke gesprekspartner om de informatie, die ze van de RvB hebben ontvangen, te kunnen wegen. Ten slotte zien we, vooral in de financiële sector, dat toezichthoudende instanties opdrachten, via de RvB, expliciet bij de interne auditfunctie neerleggen. Het is dan aan de interne auditfunctie om een goede balans te vinden en deze vier klanten adequaat te bedienen.

Niet alleen het vinden van de juiste balans tussen de verschillende stakeholders is lastig, maar ook  het vinden en behouden van het hoofd Internal Audit zelf. Volgens de bestuurders en commissarissen is bestuurlijke sensitiviteit daarbij een belangrijke competentie, naast – vanzelfsprekend – diepgaande kennis over auditing en de business. Vooral aan de bestuurstafel is het belangrijk om breder te kijken dan alleen naar de harde feiten en koele cijfers. De van origine inhoudelijk georiënteerde auditors hebben volgens onze gesprekspartners soms moeite om los te komen van de auditbevindingen en vinden het lastig om het management en de RvB te voorzien van gerichte adviezen over procesoverstijgende, organisatiebrede zaken. Wellicht beschouwen commissarissen en bestuurders daarom het hoofd Internal Audit niet als hun meest geëigende strategisch adviseur. Wat ons betreft duidelijke feedback waar we als interne auditors lering uit kunnen trekken.

Noten

  1. Meer winst uit internal governance: commissarissen en bestuurders over de rol van internal audit, PwC, november 2014.
  2. De interne auditfunctie, één van de pijlers van good governance, IIA Nederland, november 2014.
  3. Basel Committee on Banking Supervision, The internal audit function in banks, June 2012.
  4. State of the internal audit profession survey, PwC, 2014.
  5. Zie ook ‘Dilemma’s rond informatievoorziening voor bestuur en toezicht’, door Bas Wakkerman en Hans Dijkstra, TPC, 2012.

Over
Jan Driessen (l) en Bas Wakkerman (r) zijn binnen PwC Risk Assurance verantwoordelijk voor de dienstverlening op het gebied van internal auditing, internal governance en business resilience.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp: