Internal audit door de ogen van een toezichthouder

Een sterke internal auditfunctie (IAF) is onmisbaar voor effectief bestuur. Bianca Tjon Atsoi en Olgu Tatar van De Nederlandsche Bank (DNB) reflecteren op hun ervaringen als toezichthouders en schetsen hun beeld van een toekomstbestendige IAF binnen de financiële sector.

Hoe kijken jullie naar de rol van internal audit binnen financiële instellingen?

Olgu Tatar: “Internal auditors combineren het beste van twee werelden. Ze zijn vertrouwd met de organisatie en behouden voldoende afstand om kritisch te blijven. Als insider begrijpen auditors de context en dynamiek van de organisatie. Juist doordat zij niet volledig opgaan in de dagelijkse gang van zaken, zijn zij in staat om knelpunten en risico’s te signaleren die anderen mogelijk over het hoofd zien. Dankzij deze onafhankelijke en objectieve positie kunnen zij niet alleen issues identificeren, maar ook concrete aanbevelingen geven die de organisatie helpen om het risicobeheer naar een hoger niveau te tillen. Bovendien fungeert internal audit als een belangrijke informatiebron en als escalatielijn richting het bestuur en de raad van commissarissen.”

Bianca Tjon Atsoi: “Precies, auditors zijn de ogen en oren van het bestuur en de commissarissen van de organisatie. De IAF heeft het mandaat onafhankelijk te onderzoeken in hoeverre organisatieonderdelen belangrijke risico’s beheersen. Als het bestuur de IAF ook zo ziet en waardeert – dat is namelijk van wezenlijk belang wil de IAF echt optimaal bijdragen – dan profiteert de organisatie hiervan. Het stelt het bestuur namelijk in staat om op basis van gedegen en professioneel onderzoek bij te sturen op de belangrijkste risico’s.”

Bianca: “We kijken ook naar het mandaat en de positie van de IAF, onafhankelijkheid en objectiviteit. Deze aspecten zijn essentieel”

Hoe maken jullie gebruik van internal audit?

Olgu: “Voor ons als externe toezichthouder is de internal auditor een essentiële informatiebron. Tijdens onderzoeken, maar ook bij andere kwesties, bestuderen we de rapporten en bevindingen van de internal auditor zorgvuldig. We beoordelen bovendien altijd of de inrichting van de IAF voldoende onafhankelijk en objectief is. Dit governanceperspectief is cruciaal om te waarborgen dat auditors hun rol effectief kunnen vervullen.”

Bianca: “DNB houdt onder meer toezicht op de risicobeheersing van financiële instellingen en kijkt daarbij naar het functioneren van alle interne controlefuncties, waaronder de IAF. We kijken onder andere naar de kwaliteit van het werk, bijvoorbeeld de individuele audits, het auditjaarplan en de rapportagelijnen. Maar ook naar het mandaat en de positie van de IAF, onafhankelijkheid en objectiviteit. Deze aspecten zijn essentieel, juist omdat de IAF een cruciale rol speelt bij signaleren en oordelen over de mate waarin de financiële instelling haar risico’s beheerst. Als deze functie tekortschiet, heeft dit invloed op ‘de integere en beheerste bedrijfsvoering’ zoals door de Wet op het financieel toezicht (Wft) vereist.”

Waar moeten auditors in de financiële sector meer op focussen?

Olgu: “Gedrag en cultuur binnen financiële instellingen verdienen volgens mij meer aandacht van internal audit. Door te onderzoeken hoe gedrag en cultuur, waaronder leiderschap, besluitvorming en communicatie, invloed hebben op risico’s, kan de IAF de onderliggende oorzaken van problemen blootleggen. Dit inzicht helpt om herhaling van incidenten te voorkomen en draagt bij aan duurzame verbetering.”

Bianca: “In bredere zin is het belangrijk dat IAF’s een breed scala aan relevante risico’s meenemen in het audit universe, jaarplan en scopebepaling van individuele audits. Dat is een enorme uitdaging, de wereld om ons heen verandert razendsnel en ook nieuwe risico’s duiken op. Voor financiële instellingen denk ik bijvoorbeeld aan geopolitieke risico’s die van invloed kunnen zijn op economische onzekerheid (bijvoorbeeld oorlogen en handelsconflicten) en daarmee op de stabiliteit van financiële markten. Of aan concentratierisico’s (afhankelijkheid van enkele grote leveranciers). Maar ook klimaatrisico’s. En digitale risico’s omdat de kans op cyberaanvallen toe lijkt te nemen. De interne auditor moet dus van al deze nieuwe risico’s voldoende kennis hebben en ervaring opdoen om in te kunnen schatten wat de impact is op de beheersomgeving.”

Olgu: “Gedrag en cultuur binnen financiële instellingen verdienen meer aandacht van internal audit”

Hij kijkt DNB naar het jaarplan van een IAF?

Olgu: “Tijdens onze eigen onderzoeken vragen wij aan internal auditors waarom bepaalde thema’s wel of niet zijn opgenomen. Zo stimuleren we een kritische blik op de keuzen die worden gemaakt binnen de IAF. En krijgen wij inzicht in hun werkwijze en mindset.”

Bianca: “Klopt, DNB beoordeelt het functioneren van de IAF. Daarbij kan DNB bijvoorbeeld wel nader inzoomen op de audituniverse en auditplanning, inclusief de daarin opgenomen audits. Wij kijken dan of de auditplanning en de daarin opgenomen audits onderbouwd en valide zijn, gegeven de interne en externe context en ontwikkelingen van de financiële instelling en uiteraard de vereisten vanuit wet- en regelgeving.”

Kan DNB maatregelen nemen als een IAF niet goed functioneert?

Bianca: “DNB toetst de financiële instelling op basis van wet- en regelgeving. Als de IAF niet goed functioneert, kan dat invloed hebben op de integere en beheerste bedrijfsvoering zoals bedoeld onder de Wet financieel toezicht (Wft). Dit is onwenselijk en daarom kan DNB bijsturen wanneer de IAF niet goed functioneert.”

Zien jullie verschillen tussen IAF’s in de financiële sector?

Olgu: “Ja, er zijn zeker verschillen tussen IAF’s binnen de financiële sector. Bijvoorbeeld in de mate van onafhankelijkheid, de focus van het auditplan en de volwassenheid van de auditprocessen. Sommige IAF’s zijn sterk ingebed in de governancestructuur terwijl andere nog in ontwikkeling zijn en zich vooral richten op het opbouwen van basisprocessen en het vergroten van hun toegevoegde waarde. Bij sommige instellingen ligt de nadruk op financiële processen en compliance, terwijl andere organisaties juist meer aandacht besteden aan strategische risico’s, cultuur en gedrag. Daarnaast zie je verschillen in de mate van samenwerking met andere sleutelfuncties, zoals risicomanagement en compliance. En ook in de manier waarop auditbevindingen worden opgevolgd en geborgd in de organisatie.”

Welke vaardigheden zijn cruciaal voor de internal auditor van de toekomst?

Olgu: “De auditor van de toekomst moet niet alleen objectief en onafhankelijk blijven, maar ook bruggen kunnen slaan naar de auditee om effectief te zijn. Daarnaast is reflecteren op de onderzoeksvraag en adaptief kunnen inspelen op veranderende omstandigheden essentieel. Vaardigheden als communicatieve behendigheid, data-analyse en het vermogen om complexe vraagstukken te doorgronden worden steeds belangrijker.”

Als jullie één aanbeveling zouden mogen geven aan chief audit executives binnen financiële instellingen, wat is dat dan?

Olgu: “Richt je niet alleen op het oplossen van actuele problemen, maar kijk ook naar structurele verbeteringen die de organisatie op de lange termijn sterker en wendbaarder maken.”

Bianca: “Zorg ervoor dat je de externe omgeving goed in beeld hebt en organiseer manieren om externe signalen op te vangen. Richt ook je interne auditomgeving zodanig in, dat je wendbaar blijft en acuut kunt inspelen op nieuwe en relevante risico’s.