Een prominentere plaats voor de IAF
Samen met Inge Garretsen en Remko Renes stelde Robert Bogtstra de Internal Audit Monitor 2021 op in opdracht van IIA Nederland. Met deze monitor schetsen zij de belangrijkste ontwikkelingen van IAF’s bij in Nederland gevestigde beursgenoteerde vennootschappen. Een gesprek met Robert Bogtstra over de ontwikkelingen.
Wie is Robert Bogtstra?
“Ik heb veel ervaring opgedaan in het aansturen van internal audit- en risicomanagementprofessionals bij de Risk Advisory units van PwC en KPMG. Daarna ben ik verantwoordelijk geweest voor Jefferson Wells Nederland, een wereldwijde onderneming gericht op risk advisory & finance managementondersteuning. Momenteel ben ik partner bij ONE Risk Advisory en parttime docent corporate governance aan de Nyenrode Business Universiteit en geaccrediteerd door het Institute of Internal Auditors in Internal Audit Quality Assessments. Inmiddels heb ik meer dan 25 jaar praktijkervaring met internal auditing en risicomanagement en heb ik veel kennis opgedaan op het gebied van governance en interne beheersing.”
Wat is het doel van de monitor?
“Het doel van de periodieke monitor is drieledig. Allereerst geven we inzicht in het IAF-landschap onder in Nederland gevestigde beursgenoteerde vennootschappen. In het verlengde daarvan willen we ook vooral bestuurders en commissarissen handvatten bieden om de IAF zo goed mogelijk in te richten binnen hun organisatie om de kwaliteit van de governance te verbeteren. We hebben namelijk wederom gezien dat de IAF op verschillende manieren kan worden ingericht. Als laatste dragen we ons steentje bij aan het promoten van het IIA en de IA-beroepsgroep.”
“Het realiseren en inrichten van de functie is niet altijd vanzelfsprekend. Vooral kleinere beursfondsen worstelen bij het opzetten en onderhouden van een effectieve en efficiënte IAF”
En de aanleiding?
“In de herziene Nederlandse Corporate Governance Code (2016, hierna Code) werd de IAF erkend als essentiële schakel in de besturing en de beheersing van een organisatie. Het realiseren en inrichten van de functie is echter niet altijd vanzelfsprekend. Vooral kleinere beursfondsen worstelen bij het opzetten en onderhouden van een effectieve en efficiënte IAF. Sinds 2017 volgt IIA Nederland de realisatie van dit principe uit de Code door middel van deze Internal Audit Monitor.”
Neem ons nog even mee naar de relevante principes van de Code…
“Het opzetten van een IAF is gewenst volgens de Code. Ondernemingen die geen IAF hebben ingericht moeten die keuze nader toelichten, volgens het ‘comply or explain’-principe. Naast de rol en de taken van een internal auditafdeling hebben we geconstateerd dat het hebben van een IAF voor goede besturing en beheersing ook terugkomt in de voorgestelde wijzigingen van de Code zoals de periodieke en onafhankelijke externe toetsing en de plaats van de IAF in de organisatie direct onder de CEO.”
Welke informatie geeft de monitor?
“In de monitor zijn de belangrijkste ontwikkelingen van IAF’s bij de statutair in Nederland gevestigde, beursgenoteerde vennootschappen beschreven. Verder gaan we in op het aantal IAF’s en hoe de rol is ingericht (intern, uitbesteed, gecombineerd). Expliciet in deze monitor gaan we ook in op de combinatie van risicomanagement- en internal-auditactiviteiten. We zien dit in praktijk geregeld en nemen ook discussies waar over de voordelen van en de bedenkingen bij zo’n combinatie. Bij beursgenoteerde vennootschappen hebben we het over ondernemingen die genoteerd zijn aan de Amsterdamse beurs, zowel AEX- als AMX-fondsen als AScX- en lokale fondsen. De peildatum voor de 2021 monitor is 31 december 2020. Als bron voor het onderzoek zijn vooral de jaarverslagen van deze vennootschappen gebruikt, aangevuld met de inzichten vanuit de Internal Audit Quality Assessments.”
En hoe zijn jullie omgegaan met wijzigingen in de indices?
“Periodiek wijzigt de samenstelling van de beurs en haar indices, organisaties gaan naar de beurs, ondernemingen worden van de beurs gehaald en de samenstelling van de indices veranderd. Deze veranderingen hebben we in kaart gebracht en we hebben er zoveel als mogelijk rekening mee gehouden. Indien de uitkomsten van de 2021 monitor niet helemaal te vergelijken zijn met eerdere monitoruitkomsten dan leggen we dat verder uit in de monitor.”
In de monitor refereren jullie aan het Rapport monitoring boekjaar 2020. Waarom eigenlijk?
“Dit rapport van de Monitoring Commissie Corporate Governance Code geeft ook inzicht of en in hoeverre organisaties zich aan de principes van de Code houden.”
Welke belangrijke verschillen hebben jullie vastgesteld ten opzichte van de vorige monitor uit 2017?
“Het aantal IAF’s groeide ten opzichte van 2017, maar deze groei neemt wel af. De sterke groei in 2017 is het gevolg van de Code die in 2016 is herzien, met meer expliciete aandacht voor de IAF. Vooral voor fondsen in de AEX- en AMX-indices is het usance om een IAF te hebben. Voor lokale fondsen is het hebben van een IAF eerder een uitzondering.”
En wat is de kwaliteit van de uitleg dan?
“Indien er geen IAF is geïnstalleerd moeten organisaties dat nader toelichten. De kwaliteit van deze uitleg is verbeterd, maar voldoet in veel gevallen nog niet helemaal. Naast de wijze waarop is afgeweken en de reden daarvan moeten organisaties aangeven wanneer ze het principe conform de Code gaan naleven, welke tussentijdse maatregelen zijn genomen en hoe deze maatregelen ervoor zorgen dat er in de geest van de Code wordt gewerkt.”
Wat is het belangrijkste argument dat wordt gebruikt voor het niet hebben van een IAF?
“In de uitleg waarom er geen IAF is ingericht wordt vaak gerefereerd aan de omvang van de organisatie. De vraag blijft wanneer een onderneming te klein wordt geacht voor een eigen, permanente IAF. Andere opties die in zo’n geval overwogen kunnen worden zijn outsourcing, co-sourcing of inhuur van externe expertise. Zeker als specifieke kennis en vaardigheden van belang zijn voor een adequaat auditonderzoek, zoals bijvoorbeeld op gebied van cybersecurity en cultuur & gedrag. Verder hebben we – aan de hand van de gebruikte argumentatie – gemerkt dat bij enkele organisaties de mogelijke rol van de IAF nog onvoldoende wordt begrepen.”
“Denk vaker vanuit een top-downperspectief, zoom regelmatig uit en maak gebruik van technologie om effectieve en efficiënte audits uit te voeren!”
In het rapport wordt ook aandacht besteed aan de gecombineerde functie van risicomanagement en internal audit, een taboe of goed mogelijk?
“Allereerst is het goed om te benadrukken dat we met risicomanagement de tweedelijnsactiviteiten bedoelen, het monitoren van de actuele risico’s. Het ‘risico-eigenaarschap’ bedoelen we hier echter niet mee, dat is een rol voor de eerste lijn. Het combineren van beide functies kan in de praktijk goed werken, hoewel de strikte scheiding van tweede en derde lijn nog wel steeds zichtbaar is bij organisaties in de financiële sector.”
“Als je als IAF beperkte tweedelijnsactiviteiten uitvoert, betekent dit niet automatisch dat je de tweede lijn niet meer zou kunnen auditen. De derde lijn moet zich wel onthouden van het nemen van tweedelijnsbeslissingen. We merken dat sommige bestuurders ook nadrukkelijk voorstander zijn van de combinatie, ondanks het risico van het vermengen van beide rollen. Zij vinden dat dit namelijk bijdraagt aan de totstandkoming van een integraal beeld over de governance, de risicobeheersing en de controlemaatregelen. Het dwingt de tweede en derde lijn om ‘één taal te spreken’, bijvoorbeeld hoe hoog of hoe laag een risico wordt ingeschat.”
Welke ontwikkelingen verwachten jullie de komende jaren?
“Wij denken dat de IAF een belangrijke positie verwerft in de governancestructuur van een organisatie. In het bijzonder wordt de IAF ook steeds meer gevraagd om naar business- en/ of (andere) strategische vraagstukken te kijken. De populariteit van de IAF groeit en we verwachten dat de groei van het aantal IAF’s doorzet, weliswaar niet zo hard als geconstateerd in de 2017 monitor, maar wel een groei.”
Wat willen jullie nog meegeven aan de internal audit community?
“Probeer je blik als auditor organisatiebreed te houden, dat wil zeggen dat je het object van audit in het licht van de hele organisatie moet bezien. Een aanbeveling van een auditor kan bijdragen aan de beheersing van een enkel procesonderdeel, maar kan tegelijkertijd een negatieve invloed hebben op de effectiviteit en/of efficiency van het hele proces of de hele organisatie. Denk vaker vanuit een top-downperspectief, zoom regelmatig uit en maak gebruik van technologie om effectieve en efficiënte audits uit te voeren!”
Over
Robert Bogtstra is partner bij ONE Risk Advisory, een gespecialiseerde dienstverlener die Advisory Services verleent op het gebied van risk management en internal audit. Hij is tevens docent corporate governance aan de Nyenrode Business Universiteit.
Reacties (0)
Lees meer over dit onderwerp:
Stakeholderarena – stakeholders in een gladiatorenpak?
Het klinkt alsof we het gaan hebben over een Romeinse arena waarin stakeholders in een gladiatorenpak met elkaar het gevecht aangaan, maar niets is minder waar. In een stakeholderarena komen internal auditors en hun stakeholders bijeen om de dialoog aan te gaan.
Lees meerDe compliance officer over audit
Xander Smit, compliance officer bij Rabobank Nederland, heeft een achtergrond als controller en internal auditor bij Rabobank Nederland. Hij schetst het beeld van de compliance officer over audit binnen de context van Rabobank Nederland.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.