IAF en de nieuwe Code

IAF en de nieuwe Code

Auteur: Thijs Smit
Beeld: NFP Photography
3 min

De geactualiseerde Corporate Governance Code is op 20 december 2022 gepubliceerd. Is de nieuwe Code goed nieuws voor onze beroepsgroep, de internal auditors?

In de Code uit 2016 werd voor het eerst de internal auditfunctie (IAF) uitgewerkt. Het lobbywerk van IIA Nederland bleek succesvol. In de pers ging het de afgelopen maanden na de introductie van de nieuwe Code vooral over duurzaamheid, inclusie en diversiteit in de bestuurskamer. Belangrijke onderwerpen, maar wat zijn de veranderingen in het domein van internal audit? Een vijftal, te weten:

  1. de rapportagelijn naar het Audit Committee (AC);
  2. de externe, onafhankelijke vijfjaarlijkse beoordeling van de IAF;
  3. de hiërarchische positionering van de IAF;
  4. de uitbesteding van de IAF;
  5. de melding van een materiële misstand of onregelmatigheid.­
  1. De rapportagelijn naar het AC is versterkt. De rapportage aan het AC krijgt in de nieuwe Code veel aandacht, waarbij wordt gesteld dat het rapporteren aan de AC maatwerk is dat in overleg tussen de IAF en AC wordt bepaald. Het is zeker zo dat de relatie tussen AC en IAF verbeterd is in de nieuwe Code, maar het had nog beter gekund. In de praktijk zie je de relatie tussen de IAF en AC al een stuk sterker zijn dan in de Code is omschreven.
  1. De vijfjaarlijkse kwaliteitstoetsing is het pareltje in de nieuwe Code. De beroepsuitoefening in Nederland is mede sterk verbeterd door het uitvoeren van kwaliteitstoetsingen. Helaas zijn er nog heel wat IAF’s die zich onttrekken aan deze verplichting door geen lid te zijn van het IIA. Het nu wettelijk verplicht stellen van de kwaliteitstoetsing zal tot verdere kwaliteitsverbetering van het beroep leiden.
  1. Dit punt betreft de positie van de IAF binnen de onderneming. Gepositioneerd bij het bestuur, en als het even kan aan de CEO. Zeker een sterke verbetering.
  1. Dit punt in de nieuwe Code, het vraagstuk van de uitbesteding van de IAF, is een compleet nieuw punt. Hierbij wordt gesteld dat je kunt uitbesteden, maar dat met name het AC betrokken moet blijven bij de taakuitvoering van de IAF. Op zich een goed punt, maar teleurstellend is dat de verantwoordelijkheid van het bestuur zelf niet wordt uitgewerkt. Een gemiste kans, wat mij betreft.
  1. Het melden van een misstand of onregelmatigheid is een nieuw punt in de Code. Het wordt uitgewerkt voor meerdere partijen waaronder de IAF. Indien een lid van het bestuur hierbij betrokken is, wordt standaard ingesteld dat rapportage rechtstreeks aan de voorzitter van de RvC moet plaatsvinden. Op zich een begrijpelijke keuze, want de hoogste toezichthouder. Echter, voor de IAF niet de meest logische stap. Rapporteren aan de voorzitter van het AC lag meer voor de hand.

En dan nog twee andere punten die vermeldenswaardig zijn. Ten eerste de cruciale rol van de leider van de IAF, de CAE.  Het wordt in de Code zeer summier genoemd bij aanname en ontslag. Gezien het belang van deze functie zou ik deze paragraaf verder uitwerken waarbij eveneens de maximale zittingstermijn wordt aangegeven.

Mijn laatste observatie betreft de externe accountant. Ook deze Code wekt de indruk dat de IAF ondergeschikt is aan de externe accountant. Jammer dat dit niet is bijgesteld.

De eindconclusie is dat de positie van internal audit is verbeterd in de nieuwe Code, maar er is nog wel wat te wensen. Voor de volgende actualisatieronde pleit ik ervoor dat de volgende punten recht wordt gedaan: de samenwerking met de externe accountant, de rol van de CAE, de link met de voorzitter van het AC en de uitbesteding van de IAF.

De advocacy-activiteiten van het IIA kunnen van start!

Over
Thijs Smit is auditconsultant en docent internal auditing aan de universiteit van Amsterdam. Daarnaast is hij geassocieerd partner bij One Risk Advisory. Daarvoor was hij voorzitter van het IIA, president van ECIIA, bestuurslid IIA Global en CAE bij PostNL, Corus, Ahold, SNS Reaal en SHV.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.