Interne auditors onmisbaar in goed ondernemingsbestuur
Het interne auditberoep is de laatste twintig jaar flink in relevantie toegenomen, niet alleen door de rol van de toezichterhouders DNB en AFM, maar ook doordat bestuurders en commissarissen meer en meer het belang zien van een goed functionerende IAF. In dit artikel schetsen we de bijdrage die de Nederlandse Corporate Governance Code heeft geleverd aan de IAF als pijler van goed ondernemingsbestuur, en dat dit terecht is.
In 2003 werd de Nederlandse Corporate Governance Code (de code) door de Commissie Tabaksblat vastgesteld en wettelijk verankerd.1 In de Code Tabaksblat werd voor het eerst de rol van de interne auditor genoemd, zij het op een bijzonder bescheiden plekje en min of meer ondergeschikt aan de externe accountant.
De code is zelfregulerend en principles-based. Organisaties moeten in hun jaarverslag per code-artikel uitleggen waarom zij er eventueel niet aan voldoen, het zogenaamde comply-or-explainprincipe. Voor het goed functioneren van deze zelfregulering is het van belang dat de code actueel blijft. Ook ontwikkelingen op het gebied van wetgeving en lessen die geleerd worden uit incidenten en misstanden, maken dat regelmatige herziening van de code noodzakelijk is.
Aanpassingen
In 2008 werd de Code door de Monitoring Commissie Frijns aangepast, mede op aandringen van het Instituut van Internal Auditors (IIA) Nederland en de NBA Ledengroep Interne en Overheidsaccountants (NBA LIO) die voor een significante(re) rol van de interne auditor pleitten. Frijns formuleerde heldere principes en best practices, waarbij een aantal toezichttaken werd geherformuleerd. Maar hij beperkte ook de scope van de bestuursverklaring tot de financiële rapportageprocessen.
Sinds het ontstaan van de interne auditberoepsgroep richten steeds meer organisaties een IAF in, als antwoord op de roep naar meer onafhankelijke en objectieve assurance en advies
Na de herziening door de Commissie Frijns is de wereld flink veranderd, door bijvoorbeeld technologische ontwikkelingen, cyberrisico’s en big data. En incidenten zoals boekhoudschandalen, tegenvallers bij grote projecten en fraude, zijn helaas niet meer weg te denken in de huidige tijd. Recentelijk zijn de ‘Dieselgate’ en de Euriborfraude hier voorbeelden van. Een ontwikkeling die hier niet los van gezien kan worden, is de opkomst van de IAF binnen vele organisaties. Sinds het ontstaan van de interne auditberoepsgroep richten steeds meer organisaties een IAF in, als antwoord op de roep naar meer onafhankelijke en objectieve assurance en advies. En toch ontbreekt een (adequate) IAF nog te vaak. In 2012 werd de code nogmaals herzien, door de Monitoring Commissie Streppel. Streppel beaamde op dat moment mondeling de toegenomen relevantie van de IAF, maar koos ervoor om de tekst van de code onaangeroerd te laten.
Ondernemingsbesturen faalden
Er moest gewacht worden totdat de jaarlijkse monitoringrapporten van de Monitoring Commissie Van Manen lieten zien dat ondernemingsbesturen faalden in het uitleggen (explain) waarom ze een IAF niet nodig vonden. In het jaar 2014 was hier in 41% van de gevallen sprake van. Bovendien kwam er behalve uit de hoek van IIA en NBA-LIO ook steun van andere stakeholders, zoals de Autoriteit Financiële Markten (AFM), de Vereniging van Effectenbezitters (VEB) en Eumedion (belangenbehartiger institutionele beleggers).
Volgens de VEB zijn in 2013 en 2014 ‘veel ondernemingen geconfronteerd met een zwakke interne beheersing en/of een inadequate administratieve organisatie, hetgeen heeft geleid tot misstanden die beleggers veel geld hebben gekost’. Een adequate IAF zou hier wellicht tot een andere uitkomst hebben geleid. De VEB stelt op aandeelhoudersvergaderingen dan ook steeds vaker kritische vragen aan besturen en Raden van Commissarissen (RvC’s).
Met de herzieningsvoorstellen van Commissie Van Manen is wordt het belang van de IAF in de code verder versterkt
Ook Eumedion, als vertegenwoordiger van institutionele beleggers, roerde zich in deze discussie door in de ‘Speerpuntenbrief 2015’, gericht aan bestuurders en RvC’s, ertoe op te roepen de rol van de IAF te versterken. In deze brief stelt Eumedion dat ondernemingen ten minste jaarlijks de effectiviteit van hun interne risicobeheersing- en controle-systemen moeten beoordelen. Daarbij moet de reikwijdte van de interne systemen in ieder geval ook de operationele, governance- en compliancerisico’s omvatten, naast de financiële verslaggevingsrisico’s. In feite pleitte Eumedion daarmee al voor een terugkeer naar een breder verantwoordingsgebied dan alleen de financiële verslaggevingsprocessen. Met de herzieningsvoorstellen van Commissie Van Manen is hier erkenning voor gekomen en wordt het belang van de IAF in de code verder versterkt.
Nieuwe code
De nieuwe code zal naar verwachting op 1 januari 2017 in werking treden. De herzieningsvoorstellen (februari 2016) tonen een geactualiseerde code met principes en best practices, verdeeld in vijf hoofdstukken:
- Naleving en handhaving van de code;
- Het bestuur;
- De raad van commissarissen;
- De (algemene vergadering van) aandeelhouders;
- De audit van de financiële verslaggeving en de positie van de IAF en de externe accountant.
Het belang van een goed gepositioneerde en kwalitatief goed bemenste IAF is in de voorstellen geherformuleerd en praktischer gemaakt. En dat was ook een van de doelstellingen van de Commissie Van Manen, benadrukt in de Position Paper Code Corporate Governance van 8 juni 2016. De opmars van de IAF krijgt met de nieuwe Code Van Manen een stevige impuls. Hiermee wordt de IAF in Nederland definitief bevestigd als onmisbare pijler van goed ondernemingsbestuur. En het niet hebben van een IAF vanwege puur financiële redenen is voor de Commissie Van Manen niet langer een valide reden.
Bestaansrecht en inrichting adequate IAF
Het IIA, de NBA LIO, DNB, de VEB en Eumedion geven in hun communicatie een duidelijke visie op de positie van de IAF in Nederland. De VEB en Eumedion geven aan te begrijpen dat het voor (te) kleine ondernemingen niet altijd mogelijk is een IAF te hebben. Ze zijn echter streng voor de grotere ondernemingen die complexer zijn en daardoor meer risico’s lopen. Volgens Paul Koster (voorzitter VEB) is een eigen IAF verplicht voor AEX en Midkap- bedrijven en Rients Abma (algemeen directeur Eumedion) stelt dat ondernemingen met veel activiteiten in het buitenland per definitie een eigen IAF moeten hebben.2
Het is de positie, rol, inhoud en uitvoering van de functie die de basis voor het bestaansrecht moeten bieden
Bestaansrecht en versterking
IIA Nederland is van mening dat al vrij snel sprake kan zijn van een acceptabele businesscase voor het instellen van een IAF. Ook is er wet- en regelgeving die het instellen van een IAF in sommige gevallen verplicht. In Nederland heeft DNB een IAF verplicht gesteld voor financiële instellingen, zoals banken, verzekeraars (Solvency II) en trustkantoren (RIB Wtt). Het bestaansrecht en de versterking van de IAF moeten hierbij echter niet in de eerste plaats worden beargumenteerd met een verwijzing naar wet- en regelgeving. IIA Nederland en NBA LIO ontwikkelden gezamenlijk het Internal Audit Ambition Model en organiseerden al tweemaal een commissarissensymposium om het gesprek hierover aan te gaan met commissarissen en om nut en noodzaak van het hebben van een IAF te bespreken.3 Het is immers de positie, rol, inhoud en uitvoering van de functie die de basis voor het bestaansrecht moeten bieden.
Kennis
De IAF combineert een unieke multidisciplinaire samenstelling van bedrijfskundige, financiële en automatiseringskennis en -vaardigheden in een organisatie. In het bijzonder is de kennis omtrent het volledige systeem van governance en interne beheersing van belang. Dat reikt verder dan alleen kennis over interne controles, maar combineert kennis op de terreinen van corporate governance, risicomanagement, interne beheersing en specifieke kennis van de organisatie tot een vaardigheid waarmee de IAF een belangrijke bijdrage levert aan goed ondernemingsbestuur en bijdraagt aan het adequaat uitoefenen van de toezichtstaken door de RvC. Inzicht in cultuur en gedrag (soft controls) en sustainability (duurzaamheid) van de organisatie zijn relatief nieuwe onderwerpen die door de herzieningsvoorstellen aan de Code worden toegevoegd.
In organisaties waar geen IAF actief is, moet de RvC zich de vraag stellen op welke gronden zij kunnen aannemen dat het systeem van governance en interne beheersing naar behoren werkt
Multidisciplinaire bedrijfskundige basis
Geëquipeerd met een multidisciplinaire bedrijfskundige basis kan de IAF als geen ander een bijdrage leveren aan de toezichtstaken van de RvC en de auditcommissie (AC). Waar de RvC en AC voor informatie hoofdzakelijk afhankelijk zijn van het bestuur, is de IAF complementair door ongefilterde, gevraagde en ongevraagde informatie te verstrekken aan de RvC. In organisaties waar geen IAF actief is, moet de RvC zich de vraag stellen op welke gronden zij kunnen aannemen dat het systeem van governance en interne beheersing naar behoren werkt. De beoordeling hiervan is immers bij uitstek het domein van de IAF en tevens een belangrijk aandachtspunt voor de AC, zoals uit een recent onderzoek van de AFM blijkt.4
Conclusie
Als de nieuwe code per 1 januari 2017 wettelijk wordt verankerd, dan doen de begrippen interne audit, de directe rapportagelijn naar het bestuur en een verstevigde band met de AC, maar ook het uitvoeren van audits op cultuur en gedrag en duurzaamheid, definitief hun intrede in de bestuurskamers van beursfondsen, maar ook in die van andere organisaties. De AC zal de relatie met de IAF op eenzelfde niveau als die met de externe accountant brengen. Niet onbelangrijk overigens is ook het feit dat de AC meer expliciet gaat toezien op de voortgang van de implementatie van verbetervoorstellen die zijn gedaan door zowel de externe accountant als de IAF. Dat vormt het sluitstuk van de effectiviteit van de IAF (en de externe accountant). Tot slot zal de IAF het uitdagende gebied van cultuur en gedrag moeten gaan auditen, want het ondernemingsbestuur zal hierover in haar jaarverslag dienen te gaan rapporten.
Mooie uitdagingen, waarmee de IAF meer dan ooit een belangrijk aspect van goed ondernemingsbestuur zal worden. En, vanaf 2017 moeten bestuurders en ook commissarissen dus een heel goed verhaal hebben als ze nog willen uitleggen waarom ze geen IAF hebben.
Noten
- Artikel 2:391, vijfde lid, Burgerlijk Wetboek.
- ‘Internal Audit in Beursland’, de Accountant, Q1-2015.
- Het model maakt inzichtelijk op welke wijze een IAF zich verder kan professionaliseren. Het model behandelt het brede spectrum van het proactief opzetten, inrichten en doorontwikkelen van een IAF binnen een organisatie. Het model is verrijkt met best practices en recente publicaties.
- AFM – Rapport Auditcommissies, ‘Verkenning naar kritisch vermogen audit commissies bij verslaggeving en accountantscontrole’, maart 2015, pag. 7.
Over
Huck Chuah is senior manager bij KPMG Risk Consulting, bestuurslid van IIA Nederland en verbonden aan het Executive Internal Audit Programme van de Universiteit van Amsterdam.
John Bendermacher is chief audit executive bij ABN AMRO, voorzitter van IIA Nederland, lid van de board van IIA Global en lid van de NBA Adviescommissie Governance.
Reacties (0)
Lees meer over dit onderwerp:
Leen Paape: een terugblik op een veelzijdige en bewogen carrière
Op 8 december 2022 gaf Leen Paape zijn emeritaatscollege als hoogleraar Corporate Governance aan Nyenrode Business Universiteit. Stopt hij dan helemaal? Zeker niet! Een terugblik op zijn loopbaan en de ontwikkelingen binnen het vakgebied van internal auditing.
Lees meerZekerheid: een onbereikbare ambitie
Als auditor houden we de organisatie een spiegel voor. We claimen met onze methoden zekerheid te kunnen verschaffen. Maar kan dat wel? De wetenschap blijkt deze ambitie al een eeuw geleden naast zich neer te hebben gelegd.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.