Spotlight | Governance en toezicht Internal audit draagt bij aan comfort van commissarissen Jan Driessen - Risk Assurance Services, Assurance Bas Wakkerman - Risk Assurance Services, Assurance Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie. Bestuurders zien alternatieven om deze toetsende functie elders binnen de organisatie te beleggen. 1. Meer winst uit internal governance Het hebben van een internal-auditfunctie is voor veel organisaties in Nederland niet verplicht. Wel moet, volgens de Nederlandse corporate governance code die geldt voor beursgenoteerde ondernemingen, het audit committee jaarlijks evalueren of er behoefte is aan een internal-auditfunctie. Aan de hand van deze evaluatie doet de raad van commissarissen (rvc) een aanbeveling aan de raad van bestuur (rvb) en neemt deze aanbeveling op in het verslag van de rvc. Daarbij kan de vraag gesteld worden wat de meerwaarde is van een internal-auditfunctie in de besturing, de beheersing, het toezicht houden en de verantwoording van een organisatie. De opvattingen en overwegingen zijn op basis van dertien gesprekken met commissarissen en bestuurders van verschillende grotere organisaties (meer dan 250 werknemers) en sectoren (financiële instellingen, productie, retail, bouw en overheid) door ons onderzocht. Bij organisaties die geen internal-auditfunctie kennen, is onderzocht hoe zij de ontbrekende derde ‘line of defence’ hebben Paradox: inschatting meerwaarde internal-auditfunctie verschilt per sector In de praktijk zien we een interessante paradox. Sommige beurs­genoteerde bedrijven kiezen er bewust voor om geen internal-auditfunctie in te richten, terwijl het voor banken en verzekeraars juist verplicht is om een internal-auditfunctie te hebben. Organisaties kunnen dus bewust afzien van een internal-auditfunctie, terwijl het in andere sectoren is opgelegd. Dit betekent dat de (meer)waarde van een internal-auditfunctie kennelijk verschillend wordt ervaren door bestuurders en toezichthouders. Samenvatting Het hebben van een internal-auditfunctie is voor veel organisaties niet verplicht. In de praktijk zien wij een interessante paradox. Sommige - zelfs beursgenoteerde - bedrijven kiezen er bewust voor om geen internalauditfunctie in te richten, terwijl het in de financiële sector verplicht is om een internal-auditfunctie te hebben. Uit gesprekken met bestuurders en commissarissen komen deze verschillende opvattingen terug. Vooral bestuurders zien voldoende alternatieven om de toetsende functie van internal audit binnen het ‘three lines of defence’-model anders in te richten. Zij geven aan dat de internal-auditfunctie, volgens dit model als derde lijn aangeduid, ook door de eerste, tweede of zelfs vierde lijn ingevuld kan worden. Commissarissen hechten duidelijk(er) meer waarde aan een zelfstandige internal-auditfunctie, vooral als een onafhankelijke en extra waarborg binnen de internal governance. ingericht en of dit toereikend is in het internal-governancesysteem. Bij organisaties die wel over een internal-auditfunctie beschikken, is nagegaan wat de waarde van deze functie voor bestuurders en commissarissen is. Uit ons onderzoek blijkt duidelijk dat hun opvattingen verschillen. Commissarissen hechten meer waarde aan een zelfstandige internal-auditfunctie, terwijl bestuurders andere alternatieven werkbaar achten. Deze bevindingen hebben geresulteerd in de rapportage “Meer winst uit internal governance”, waarop dit artikel is gebaseerd. Voor het rapport verwijzen wij naar www.pwc.nl/nl/publicaties/ meer-winst-uit-internal-­ governance.jhtml. Governance en toezicht 31 32 Spotlight Jaargang 22 - 2015 uitgave 2 Figuur 1 Het model van de three lines of defence Raad van Commissarissen/Audit Committee Raad van Bestuur Business unit management First line of defence Risk, Control, Quality, Compliance, Legal, HR, ... Second line of defence 2. Internal audit is wel belangrijk, maar niet heilig Het uitgangspunt voor de vraagstelling over de meerwaarde van de internal-auditfunctie is het ‘three lines of defence’-model. Dit model is gangbaar voor de inrichting van de internal governance van organisaties en wordt geïllustreerd in figuur 1. Het lijnmanagement is verantwoordelijk voor het ondervangen van risico’s In dit model geldt dat, gegeven de strategie en het beleid dat de rvb heeft geformuleerd, het lijnmanagement als eerste aan zet is. Het lijnmanagement treft maatregelen en voert deze uit om de risico’s en kansen adequaat te beheersen respectievelijk te realiseren. Met andere woorden, het lijnmanagement is verantwoordelijk voor het inrichten en functioneren van het systeem van interne beheersing. Tweede linie adviseert en ondersteunt het management De tweede linie heeft specifiek als rol het lijnmanage­ment te adviseren en te ondersteunen bij de realisatie van de strategie en het ontwerpen, inrichten en laten werken van de beheersmaatregelen. Er zijn verschillende redenen om een tweede ‘line of defence’ in te richten: • De bedrijfsvoering vereist specifieke expertise. • Een tweede ‘line of defence’ werkt efficiënter. • De continuïteit kan beter worden gewaarborgd. Voorbeelden van dergelijke tweedelijnsafdelingen zijn Compliance, Risicomanagement en HR. Een afdeling Risicomanagement kan het lijnmanagement faciliteren tijdens de uitvoering van risk assessments, adviseren over de risicobereidheid (risk appetite), de kans van optreden van het risico, de mogelijke impact van een risico dat zich voordoet, de strategieën om met die risico’s om te gaan en het beheren van het organisatiebrede risicoregister. Internal Audit Third line of defence Internal audit geeft zekerheid over de effectiviteit van beheersingsmaatregelen De derde ‘line of defence’ betreft de internal-­ auditfunctie. De internal-auditfunctie verstrekt het lijnmanagement, de rvb en het audit committee informatie over de opzet, het bestaan en de werking van het systeem van interne beheersing en beoordeelt daarmee samenhangend of de risico’s op een effectieve en efficiënte wijze worden beheerst. Dat houdt in dat, naast het functioneren van de eerste lijn, ook de activiteiten van de tweede ‘line of defence’ onderdeel vormen van de reikwijdte van de internal-auditfunctie. 3. Alternatieven voor de derde ‘line of defence’ In de praktijk is het ‘three lines of defence’-model een dominant governanceprincipe geworden. Dit geldt in het bijzonder voor de financiële sector, waarvoor het Basel Committee het model als guidance heeft opgenomen. Maar ook in andere sectoren zien wij dat dit model steeds breder wordt toegepast. Dat het ‘three lines of defence’-model echter niet heilig is, bleek duidelijk uit de gesprekken met bestuurders en commissarissen. Zij geven aan dat bij organisaties waar geen afzonderlijke internal-auditfunctie aanwezig is voldoende alter­­natieven bestaan om toch tot een adequate internal governance te kunnen komen. Aan de hand van de gevoerde gesprekken worden de volgende alternatieven voor de (invulling van de) derde ‘line of defence’ onderscheiden: • de rvb die vanuit zijn eigen expertise een aanvullende kritische toetsende rol vervult binnen het systeem van internal governance; • het lijnmanagement (eerste lijn) dat vooral binnen een projectmatige organisatiestructuur zelfstandig verantwoordelijk is voor de invulling van zijn internal governance, daarbij vaak ondersteund én kritisch bevraagd door sterke ‘hoofdkantoorfuncties’; • de controlfunctie (tweede lijn) die vooral door de toegenomen professionaliteit van businesscontrollers ingezet wordt als een extra onafhankelijke en kritische blik richting de vaak complexe business; Governance en toezicht 33 • d e externe accountant (‘vierde lijn’), vooral als een efficiënter en effectiever alternatief voor de internal-auditfunctie als het gaat om het uitvoeren van financial of IT-controlewerkzaamheden in het kader van de jaarrekeningcontrole. Alternatieven bieden voordelen De keuze voor genoemde alternatieven is binnen de specifieke context en achtergrond vaak logisch verklaarbaar. In de praktijk bestaan er dus goede mogelijkheden om de ‘three lines of defence’ anders in te richten. Wel wordt een onafhankelijke internalauditfunctie steeds vaker het dominante governanceprincipe en is het in de financiële sector zelfs verplicht. Daarbij heeft een afzonderlijke en zichtbare internalaudit­functie duidelijke voordelen ten opzichte van de hiervoor genoemde alternatieven, vooral wat betreft kwaliteitsborging, professionaliteit en onafhankelijkheid. Deze aspecten zijn daarmee logischerwijs onderscheidend van de andere alternatieven voor een duidelijke derde ‘line of defence’. 4. Commissarissen waarderen de internal-auditfunctie meer dan bestuurders Een duidelijke uitkomst van het onderzoek is dat de geïnterviewde commissarissen meer waarde hechten aan een internal-auditfunctie als derde ‘line of defence’ dan de ondervraagde bestuurders. Deze verschillende opvattingen sluiten goed aan bij de bevindingen uit het jaarlijkse PwC-onderzoek naar de ‘state of the internal audit profession’. Uit dit onderzoek over 2014 bleek dat 68 procent van de commissarissen significante waarde hecht aan de internal-auditfunctie, terwijl dit slechts geldt voor minder dan de helft van de bestuurders. Bestuurders hebben veelal korte lijnen met de werkvloer, veel gevoel voor de business en weten hoe hun mensen werken. Praktisch gezien maakt het voor bestuurders vaak niet uit of de toetsing van de interne beheersing door andere ‘lines of defence’ plaatsvindt dan de internal-auditfunctie. Steeds meer behoefte aan onafhankelijke informatie over internal governance Commissarissen staan vanzelfsprekend verder af van de dagelijkse praktijk binnen de organisatie dan bestuurders maar hebben wel steeds meer behoefte aan onafhankelijke informatie over de internal governance. Dit komt mede door de veranderende rol van de commissaris. De druk op hen neemt toe en vele partijen kijken over hun schouders mee. Commissarissen zijn voor hun informatie­ voorziening sterk afhankelijk van de rvb, terwijl zij ook behoefte hebben aan onafhankelijke en zichtbare toetsing. Rapportages van een objectieve en professionele internal-auditfunctie dragen bij aan hun comfort. De internal-auditfunctie is een natuurlijke ingang in de organisatie en voorziet commissarissen daarmee van ‘extra ogen en oren’. Daarom hebben tegenwoordig interne auditors steeds vaker een een-op-eenoverleg met het audit committee. Het is wel belangrijk dat de rvb de primaire ontvanger van auditrapportages blijft. Rechtstreekse rapportage aan de commissarissen buiten de rvb om is in de praktijk alleen mogelijk bij de noodzaak tot escalatie of als het bestuursaan­ gelegenheden betreft. Het is daarom belangrijk dat deze rapportage- en communicatielijnen in het audit charter geregeld zijn. 5. Een lastige functie door het bedienen van verschillende ‘klanten’ In theorie is het relatief simpel: de internal-auditfunctie heeft als derde ‘line of defence’ een onafhankelijke positie binnen de organisatie met een hiërarchische lijn naar de rvb en een ‘dotted line’ naar de rvc. In de praktijk Figuur 2 Positie internal-auditfunctie: theorie versus praktijk Theorie Praktijk RvC / AC RvC / AC RvB Lijnmanagement 34 Spotlight Jaargang 22 - 2015 uitgave 2 Externe toezichthouders Interne auditfunctie Externe toezicht houders Interne auditfunctie Lijnmanagement RvB echter wordt de internal-auditfunctie door verschillende belanghebbenden benaderd, wat kan leiden tot lastige keuzes. In figuur 2 zijn beide situaties, theorie én praktijk, naast elkaar afgebeeld. In de praktijk moet de internal-auditfunctie, naast de rvb als reguliere opdrachtgever, aansluiting houden met het lijnmanagement. Het lijnmanagement moet de risico’s beheersen en heeft soms specifieke verzoeken aan de internal-auditfunctie. Daarnaast ziet de rvc, zoals hiervoor al aangegeven, de internal-auditfunctie meer en meer als natuurlijke gesprekspartner om de informatie, die hij van de rvb heeft ontvangen, te kunnen wegen. Ten slotte leggen toezichthoudende instanties, vooral in de financiële sector, steeds meer opdrachten (in)direct neer bij de internal-auditfunctie. Het is dan aan de internal-auditfunctie om een goede balans te vinden en deze vier klanten adequaat te bedienen. Kortom, anders dan in de theorie waarin de internal-auditfunctie maar één formele opdrachtgever heeft, is het in de praktijk soms lastig om vier belang­­ hebbenden goed te bedienen. Niet alleen het vinden van de juiste balans tussen de verschillende belanghebbenden is lastig, ook het vinden en behouden van het hoofd Internal Audit zelf is lastig. Volgens de bestuurders en commissarissen is bestuurlijke sensitiviteit daarbij een belangrijke competentie, naast – vanzelfsprekend – diepgaande kennis van auditing en de business. Vooral aan de bestuurstafel is het belangrijk om breder te kijken dan alleen maar naar de harde feiten en koele cijfers. De van origine inhoudelijk georiënteerde auditors hebben volgens de geïnterviewde bestuurders en commissarissen soms moeite om los te komen van de auditbevindingen en vinden het lastig om het management en de rvb te voorzien van gerichte adviezen over procesover­ stijgende, organisatiebrede zaken. Wellicht beschouwen bestuurders daarom het hoofd Internal Audit niet als hun meest geschikte strategisch adviseur binnen de organisatie. 6. Conclusie: opvattingen over internal-auditfunctie lopen uiteen Over smaak valt te twisten, maar ook over de waarde van de internal-auditfunctie hebben bestuurders en commissarissen verschillende opvattingen. Beide groepen beschouwen de internal-auditfunctie als een belangrijke bouwsteen binnen de internal governance, maar alternatieven binnen het ‘three lines of defence’model kunnen volgens bestuurders eveneens goed werken. Daarmee is dit gangbare model voor de inrichting van internal governance geen automatische grondslag voor een onafhankelijke internal-auditfunctie. Dit betekent voor internal auditors, en vooral voor hun leidinggevenden, dat zij hun meerwaarde nog duidelijker moeten bewijzen om te voorkomen dat ze vooral als een ‘verplichte’ functie beschouwd worden. In onze eigen woorden: ‘Internal Audit Matters, however… the internal audit function differs’. Governance en toezicht 35