Internal audit draagt bij aan comfort van commissarissen

advertisement
Spotlight | Governance en toezicht
Internal audit draagt bij aan
comfort van commissarissen
Jan Driessen - Risk Assurance Services, Assurance
Bas Wakkerman - Risk Assurance Services, Assurance
Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van
de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom
aan een internal-auditfunctie. Bestuurders zien alternatieven om deze toetsende functie
elders binnen de organisatie te beleggen.
1. Meer winst uit internal governance
Het hebben van een internal-auditfunctie is voor veel
organisaties in Nederland niet verplicht. Wel moet,
volgens de Nederlandse corporate governance code
die geldt voor beursgenoteerde ondernemingen, het
audit committee jaarlijks evalueren of er behoefte is
aan een internal-auditfunctie. Aan de hand van deze
evaluatie doet de raad van commissarissen (rvc) een
aanbeveling aan de raad van bestuur (rvb) en neemt
deze aanbeveling op in het verslag van de rvc.
Daarbij kan de vraag gesteld worden wat de
meerwaarde is van een internal-auditfunctie in de
besturing, de beheersing, het toezicht houden en de
verantwoording van een organisatie. De opvattingen
en overwegingen zijn op basis van dertien gesprekken
met commissarissen en bestuurders van verschillende
grotere organisaties (meer dan 250 werknemers) en
sectoren (financiële instellingen, productie, retail, bouw
en overheid) door ons onderzocht. Bij organisaties
die geen internal-auditfunctie kennen, is onderzocht
hoe zij de ontbrekende derde ‘line of defence’ hebben
Paradox: inschatting meerwaarde
internal-auditfunctie verschilt per sector
In de praktijk zien we een interessante
paradox. Sommige beurs­genoteerde
bedrijven kiezen er bewust voor om geen
internal-auditfunctie in te richten, terwijl het
voor banken en verzekeraars juist verplicht
is om een internal-auditfunctie te hebben.
Organisaties kunnen dus bewust afzien van
een internal-auditfunctie, terwijl het in andere sectoren
is opgelegd. Dit betekent dat de (meer)waarde van een
internal-auditfunctie kennelijk verschillend wordt ervaren
door bestuurders en toezichthouders.
Samenvatting
Het hebben van een internal-auditfunctie is voor veel
organisaties niet verplicht. In de praktijk zien wij een
interessante paradox. Sommige - zelfs beursgenoteerde
- bedrijven kiezen er bewust voor om geen internalauditfunctie in te richten, terwijl het in de financiële
sector verplicht is om een internal-auditfunctie
te hebben. Uit gesprekken met bestuurders en
commissarissen komen deze verschillende opvattingen
terug. Vooral bestuurders zien voldoende alternatieven
om de toetsende functie van internal audit binnen het
‘three lines of defence’-model anders in te richten.
Zij geven aan dat de internal-auditfunctie, volgens dit
model als derde lijn aangeduid, ook door de eerste,
tweede of zelfs vierde lijn ingevuld kan worden.
Commissarissen hechten duidelijk(er) meer waarde aan
een zelfstandige internal-auditfunctie, vooral als een
onafhankelijke en extra waarborg binnen de internal
governance.
ingericht en of dit toereikend is in het internal-governancesysteem. Bij organisaties die wel over een
internal-auditfunctie beschikken, is nagegaan wat de
waarde van deze functie voor bestuurders en commissarissen is. Uit ons onderzoek blijkt duidelijk dat hun
opvattingen verschillen. Commissarissen hechten meer
waarde aan een zelfstandige internal-auditfunctie,
terwijl bestuurders andere alternatieven werkbaar
achten. Deze bevindingen
hebben geresulteerd in de
rapportage “Meer winst
uit internal governance”,
waarop dit artikel is
gebaseerd. Voor het rapport
verwijzen wij naar
www.pwc.nl/nl/publicaties/
meer-winst-uit-internal-­
governance.jhtml.
Governance en toezicht
31
32
Spotlight Jaargang 22 - 2015 uitgave 2
Figuur 1 Het model van de three lines of defence
Raad van Commissarissen/Audit Committee
Raad van Bestuur
Business unit
management
First line of
defence
Risk, Control,
Quality, Compliance,
Legal, HR, ...
Second line of
defence
2. Internal audit is wel belangrijk,
maar niet heilig
Het uitgangspunt voor de vraagstelling over de
meerwaarde van de internal-auditfunctie is het ‘three
lines of defence’-model. Dit model is gangbaar voor de
inrichting van de internal governance van organisaties
en wordt geïllustreerd in figuur 1.
Het lijnmanagement is verantwoordelijk
voor het ondervangen van risico’s
In dit model geldt dat, gegeven de strategie en het beleid
dat de rvb heeft geformuleerd, het lijnmanagement als
eerste aan zet is. Het lijnmanagement treft maatregelen
en voert deze uit om de risico’s en kansen adequaat
te beheersen respectievelijk te realiseren. Met andere
woorden, het lijnmanagement is verantwoordelijk voor
het inrichten en functioneren van het systeem van
interne beheersing.
Tweede linie adviseert en ondersteunt het
management
De tweede linie heeft specifiek als rol het lijnmanage­ment te adviseren en te ondersteunen bij de realisatie
van de strategie en het ontwerpen, inrichten en laten
werken van de beheersmaatregelen. Er zijn verschillende redenen om een tweede ‘line of defence’ in te
richten:
• De bedrijfsvoering vereist specifieke expertise.
• Een tweede ‘line of defence’ werkt efficiënter.
• De continuïteit kan beter worden gewaarborgd.
Voorbeelden van dergelijke tweedelijnsafdelingen zijn
Compliance, Risicomanagement en HR. Een afdeling
Risicomanagement kan het lijnmanagement faciliteren
tijdens de uitvoering van risk assessments, adviseren
over de risicobereidheid (risk appetite), de kans van
optreden van het risico, de mogelijke impact van een
risico dat zich voordoet, de strategieën om met die
risico’s om te gaan en het beheren van het organisatiebrede risicoregister.
Internal Audit
Third line of
defence
Internal audit geeft zekerheid over de
effectiviteit van beheersingsmaatregelen
De derde ‘line of defence’ betreft de internal-­
auditfunctie. De internal-auditfunctie verstrekt het
lijnmanagement, de rvb en het audit committee
informatie over de opzet, het bestaan en de werking
van het systeem van interne beheersing en beoordeelt
daarmee samenhangend of de risico’s op een effectieve
en efficiënte wijze worden beheerst. Dat houdt in
dat, naast het functioneren van de eerste lijn, ook de
activiteiten van de tweede ‘line of defence’ onderdeel
vormen van de reikwijdte van de internal-auditfunctie.
3. Alternatieven voor de derde ‘line of defence’
In de praktijk is het ‘three lines of defence’-model een
dominant governanceprincipe geworden. Dit geldt in het
bijzonder voor de financiële sector, waarvoor het Basel
Committee het model als guidance heeft opgenomen.
Maar ook in andere sectoren zien wij dat dit model
steeds breder wordt toegepast. Dat het ‘three lines of
defence’-model echter niet heilig is, bleek duidelijk uit
de gesprekken met bestuurders en commissarissen. Zij
geven aan dat bij organisaties waar geen afzonderlijke
internal-auditfunctie aanwezig is voldoende alter­­natieven
bestaan om toch tot een adequate internal governance te
kunnen komen. Aan de hand van de gevoerde gesprekken
worden de volgende alternatieven voor de (invulling van
de) derde ‘line of defence’ onderscheiden:
• de rvb die vanuit zijn eigen expertise een aanvullende
kritische toetsende rol vervult binnen het systeem van
internal governance;
• het lijnmanagement (eerste lijn) dat vooral binnen
een projectmatige organisatiestructuur zelfstandig
verantwoordelijk is voor de invulling van zijn internal
governance, daarbij vaak ondersteund én kritisch
bevraagd door sterke ‘hoofdkantoorfuncties’;
• de controlfunctie (tweede lijn) die vooral door de
toegenomen professionaliteit van businesscontrollers
ingezet wordt als een extra onafhankelijke en
kritische blik richting de vaak complexe business;
Governance en toezicht
33
• d
e externe accountant (‘vierde lijn’), vooral als
een efficiënter en effectiever alternatief voor de
internal-auditfunctie als het gaat om het uitvoeren
van financial of IT-controlewerkzaamheden in het
kader van de jaarrekeningcontrole.
Alternatieven bieden voordelen
De keuze voor genoemde alternatieven is binnen
de specifieke context en achtergrond vaak logisch
verklaarbaar. In de praktijk bestaan er dus goede
mogelijkheden om de ‘three lines of defence’ anders
in te richten. Wel wordt een onafhankelijke internalauditfunctie steeds vaker het dominante governanceprincipe en is het in de financiële sector zelfs verplicht.
Daarbij heeft een afzonderlijke en zichtbare internalaudit­functie duidelijke voordelen ten opzichte van de
hiervoor genoemde alternatieven, vooral wat betreft
kwaliteitsborging, professionaliteit en onafhankelijkheid. Deze aspecten zijn daarmee logischerwijs
onderscheidend van de andere alternatieven voor
een duidelijke derde ‘line of defence’.
4. Commissarissen waarderen de
internal-auditfunctie meer dan bestuurders
Een duidelijke uitkomst van het onderzoek is dat de
geïnterviewde commissarissen meer waarde hechten
aan een internal-auditfunctie als derde ‘line of defence’
dan de ondervraagde bestuurders. Deze verschillende
opvattingen sluiten goed aan bij de bevindingen uit het
jaarlijkse PwC-onderzoek naar de ‘state of the internal
audit profession’. Uit dit onderzoek over 2014 bleek
dat 68 procent van de commissarissen significante
waarde hecht aan de internal-auditfunctie, terwijl
dit slechts geldt voor minder dan de helft van de
bestuurders. Bestuurders hebben veelal korte lijnen met
de werkvloer, veel gevoel voor de business en weten hoe
hun mensen werken. Praktisch gezien maakt het voor
bestuurders vaak niet uit of de toetsing van de interne
beheersing door andere ‘lines of defence’ plaatsvindt dan
de internal-auditfunctie.
Steeds meer behoefte aan onafhankelijke
informatie over internal governance
Commissarissen staan vanzelfsprekend verder af van de
dagelijkse praktijk binnen de organisatie dan bestuurders
maar hebben wel steeds meer behoefte aan onafhankelijke informatie over de internal governance. Dit komt
mede door de veranderende rol van de commissaris. De
druk op hen neemt toe en vele partijen kijken over hun
schouders mee. Commissarissen zijn voor hun informatie­
voorziening sterk afhankelijk van de rvb, terwijl zij
ook behoefte hebben aan onafhankelijke en zichtbare
toetsing. Rapportages van een objectieve en professionele
internal-auditfunctie dragen bij aan hun comfort.
De internal-auditfunctie is een natuurlijke ingang in
de organisatie en voorziet commissarissen daarmee
van ‘extra ogen en oren’. Daarom hebben tegenwoordig
interne auditors steeds vaker een een-op-eenoverleg
met het audit committee. Het is wel belangrijk dat de
rvb de primaire ontvanger van auditrapportages blijft.
Rechtstreekse rapportage aan de commissarissen
buiten de rvb om is in de praktijk alleen mogelijk bij
de noodzaak tot escalatie of als het bestuursaan­
gelegenheden betreft. Het is daarom belangrijk dat deze
rapportage- en communicatielijnen in het audit charter
geregeld zijn.
5. Een lastige functie door het
bedienen van verschillende ‘klanten’
In theorie is het relatief simpel: de internal-auditfunctie
heeft als derde ‘line of defence’ een onafhankelijke
positie binnen de organisatie met een hiërarchische lijn
naar de rvb en een ‘dotted line’ naar de rvc. In de praktijk
Figuur 2 Positie internal-auditfunctie: theorie versus praktijk
Theorie
Praktijk
RvC / AC
RvC / AC
RvB
Lijnmanagement
34
Spotlight Jaargang 22 - 2015 uitgave 2
Externe
toezichthouders
Interne
auditfunctie
Externe
toezicht
houders
Interne
auditfunctie
Lijnmanagement
RvB
echter wordt de internal-auditfunctie door verschillende belanghebbenden benaderd, wat kan leiden tot
lastige keuzes. In figuur 2 zijn beide situaties, theorie én
praktijk, naast elkaar afgebeeld.
In de praktijk moet de internal-auditfunctie, naast de
rvb als reguliere opdrachtgever, aansluiting houden
met het lijnmanagement. Het lijnmanagement moet de
risico’s beheersen en heeft soms specifieke verzoeken
aan de internal-auditfunctie. Daarnaast ziet de rvc,
zoals hiervoor al aangegeven, de internal-auditfunctie
meer en meer als natuurlijke gesprekspartner om
de informatie, die hij van de rvb heeft ontvangen, te
kunnen wegen. Ten slotte leggen toezichthoudende
instanties, vooral in de financiële sector, steeds meer
opdrachten (in)direct neer bij de internal-auditfunctie.
Het is dan aan de internal-auditfunctie om een goede
balans te vinden en deze vier klanten adequaat te
bedienen. Kortom, anders dan in de theorie waarin de
internal-auditfunctie maar één formele opdrachtgever
heeft, is het in de praktijk soms lastig om vier belang­­
hebbenden goed te bedienen.
Niet alleen het vinden van de juiste balans tussen de
verschillende belanghebbenden is lastig, ook het vinden
en behouden van het hoofd Internal Audit zelf is lastig.
Volgens de bestuurders en commissarissen is bestuurlijke sensitiviteit daarbij een belangrijke competentie,
naast – vanzelfsprekend – diepgaande kennis van
auditing en de business. Vooral aan de bestuurstafel
is het belangrijk om breder te kijken dan alleen maar
naar de harde feiten en koele cijfers. De van origine
inhoudelijk georiënteerde auditors hebben volgens de
geïnterviewde bestuurders en commissarissen soms
moeite om los te komen van de auditbevindingen
en vinden het lastig om het management en de rvb
te voorzien van gerichte adviezen over procesover­
stijgende, organisatiebrede zaken. Wellicht beschouwen
bestuurders daarom het hoofd Internal Audit niet als
hun meest geschikte strategisch adviseur binnen de
organisatie.
6. Conclusie: opvattingen over
internal-auditfunctie lopen uiteen
Over smaak valt te twisten, maar ook over de waarde
van de internal-auditfunctie hebben bestuurders en
commissarissen verschillende opvattingen. Beide
groepen beschouwen de internal-auditfunctie als een
belangrijke bouwsteen binnen de internal governance,
maar alternatieven binnen het ‘three lines of defence’model kunnen volgens bestuurders eveneens goed
werken. Daarmee is dit gangbare model voor de
inrichting van internal governance geen automatische
grondslag voor een onafhankelijke internal-auditfunctie. Dit betekent voor internal auditors, en vooral
voor hun leidinggevenden, dat zij hun meerwaarde nog
duidelijker moeten bewijzen om te voorkomen dat ze
vooral als een ‘verplichte’ functie beschouwd worden.
In onze eigen woorden: ‘Internal Audit Matters,
however… the internal audit function differs’.
Governance en toezicht
35
Download