De internal auditfunctie moet niet moet volstaan met het beoordelen van bestaande controles, maar zou veel proactiever moeten omgaan met het identificeren van mogelijke risico’s en het beperken van de schade die zij zouden kunnen toebrengen. Dit blijkt uit internationaal onderzoek van KPMG en Forbes onder vierhonderd cfo’s en voorzitters van auditcommissies.
Ruim 20 procent van de cfo’s en voorzitters van auditcommissies ontvangt op dit moment informatie van de internal auditfunctie die inzicht geeft in de risico’s die de onderneming loopt en de procedures die de onderneming hanteert. Slechts 5 procent krijgt bovendien inzicht in de risico’s waarmee het bedrijf geconfronteerd zou kunnen worden.
‘Internal audit voegt te weinig waarde toe’
Stakeholders van grote ondernemingen vinden dat de internal auditfunctie een veel grotere rol kan en moet spelen bij het identificeren en beheersen van de risico’s die het bedrijf loopt. Zij zijn van mening dat de internal audit te weinig waarde toevoegt aan de onderneming als het gaat om risicobeheersing en onvoldoende effectief en efficiënt te werk gaat. Bovendien wordt te weinig gebruik maakt van nieuwe technologieën en de voordelen van data en analytics om de kwaliteit van de controle en de audit evidence te verbeteren en stakeholders nieuwe inzichten en perspectieven te kunnen bieden.
Risico’s in kaart brengen wordt steeds belangrijker
‘Sinds de financiële crisis is risicobeheersing belangrijker dan ooit’, zegt Bart van Loon, partner bij KPMG en gespecialiseerd in risicovraagstukken bij ondernemingen. Van Loon: ‘De wereld verandert en daarmee ook de risico’s die ondernemingen lopen. Voor veel bedrijven en instellingen is het dan ook zeer belangrijk om hun risico’s in kaart te brengen en te beheersen. Niet alleen vanuit het oogpunt van toezicht- en aandeelhouders en nieuwe, strengere regelgeving, maar vooral om te kunnen overleven in een wereld die steeds complexer wordt. De afgelopen tijd heeft uitgewezen dat risico’s organisaties zeer nadelig kunnen beïnvloeden en in extreme gevallen kunnen leiden tot een faillissement. Bij bestuurders, toezichthouders en andere stakeholders neemt hierdoor de behoefte aan zekerheid toe. De internal auditfunctie kan hieraan een essentiële bijdrage leveren.’
Proactiever opereren
Uit het onderzoek van KPMG en Forbes blijkt dat bijna de helft van de onderzochte ondernemingen de mogelijke risico’s die het bedrijf loopt in kaart brengt met de compliancefunctie. Eén op de vier ondernemingen zet de juridische functie in en 9 procent beschikt over een ondernemingsbrede risicomanagementfunctie. Slechts 12 procent van de bedrijven zet de internal auditfunctie in om de bedrijfsrisico’s te beheersen. Van Loon: ‘Vooral stakeholders, zoals de aandeelhouders, vinden dat de internal auditfunctie veel proactiever moet opereren als het om risico’s gaat. Samenwerking met de compliancefunctie, de juridische, het risicomanagement én alle andere functies die de onderneming zekerheid moeten verschaffen is in hun ogen dan ook noodzakelijk. Een dergelijke samenwerking kan leiden tot een organisatie-bredere assurance, maar vraagt wel om veel meer effectiviteit en efficiëntie van de internal auditfunctie. De technologie, de ‘risk culture’ binnen de onderneming en soft controls spelen hierin duidelijk een belangrijke rol. Ook het recent uitgebrachte voorstel tot herziening van de Nederlandse Corporate Governance code geeft aan dat er een stevigere rol moet komen voor de internal audit functie als het gaat om het risicomanagement van een onderneming.”
