De Commissie Van Manen heeft onlangs de herziene Corporate Governance Code gepresenteerd. Daarin staat onder meer dat de internal auditfunctie (IAF) verder verstevigd moet worden. Maar hoe borg je dat in de organisatie?
Versteviging van de IAF wordt volgens de commissie bewerkstelligd door een nadere invulling te geven aan de verdeling van verantwoordelijkheden en intensivering van de betrokkenheid van de raad van commissarissen bij het functioneren van de IAF. Maar ook door het inbouwen van waarborgen voor een effectieve uitvoering van de internal auditwerkzaamheden en verduidelijking van wat de rapportage van de IAF behelst. En als een IAF ontbreekt, moet de raad van commissarissen bezien of behoefte bestaat aan een dergelijke functie, waarbij uitbesteding een adequaat alternatief kan zijn.
Op basis van de Code ziet KPMG een aantal vraagstukken die van belang zijn om de vereisten van IAF te borgen in de organisatie:
In hoeverre is er sprake van een onafhankelijk toetsende functie (in geval een IAF ontbreekt)?
Binnen 59 procent van de beursgenoteerde organisaties beschouwen toezichthouders en commissarissen de IAF als een essentiële en onafhankelijke functie in de internal governance. Dit wordt nog eens versterkt doordat toezichthouders en commissarissen specifiek belang hechten aan een open en directe relatie met de IAF. Voor hen is de IAF een natuurlijke ingang tot de organisatie voor het stellen van vragen vanuit hun toezichthoudende rol; een ingang die wordt gemist als deze rol aan de raad van bestuur of de externe accountant wordt overgedragen. Voor de beursgenoteerde organisaties die geen IAF hebben, kan deze quick scan op een effectieve manier inzicht geven in de vraag of een IAF nodig is op basis van toegevoegde waarde versus kosten.
Ondersteunt internal audit het doel van de organisatie?
Uit een recent onderzoek van het IIA wordt geconcludeerd dat 57 procent van de bestuurders vindt dat de IAF van de eigen organisatie een bijdrage levert aan de realisatie van de (strategische en operationele) doelstellingen van die organisatie. Daarnaast vinden bestuurders en commissarissen dat de IAF adviseert en aanvullende zekerheid verschaft over processen, governance, riskmanagement en compliancefuncties. Of de IAF in staat is om deze taken en verantwoordelijkheden daadwerkelijk uit te voeren hangt sterk af van de kennis, competenties en ervaring. Bijvoorbeeld ten aanzien van audits op relevante en actuele ontwikkelingen zoals cultuur en soft controls, (big) data & analytics of specifieke wet- en regelgeving.
Worden alle risico’s op het gebied van technologie en wet- en regelgeving actief gemonitord en gemanaged?
Er wordt de komende jaren een flinke toename van risico’s verwacht op het gebied van technologie (cybersecurity, big data), wet- en regelgeving (governance, privacy) en risk culture (soft controls). De herziene Code reflecteert deze trend. Dit vraagt om een IAF die vooruitloopt en anticipeert op risico’s en bestuur en raad van commissarissen hier gevraagd en ongevraagd over informeert.
Anticipeert de IAF op de behoeften van de stakeholders?
Bij het ontwikkelen van auditplannen overlegt 62 procent van de IAF met de afdelings- of bedrijfshoofden en 65 procent met auditcommissies. Verdere verbetering van de communicatie helpt internal auditors bij het anticiperen op de verwachtingen van bestuurders en toezichthouders en verhoogt de toegevoegde waarde. Om relevant te zijn dient de IAF continu behoeften te peilen en op de hoogte te zijn van externe ontwikkelingen (zoals technologie, wet- en regelgeving) en inhoudelijk op het gebied van control-self assessments, continuous monitoring/continuous auditing.
Wordt internal audit adequaat ingezet om de kwaliteit en het risicobewustzijn te versterken?
Als je niet weet wat je doelen zijn, is het lastig te bedenken welke risico’s je tegen kunt komen. Als je als organisatie je doel weet, dan kun je ook bedenken welke zaken het bereiken van dat doel zullen helpen of hinderen. Het is cruciaal om mensen in de (lijn)organisatie en de tweedelijnsfuncties te vragen naar de risico’s die zij zien en wat hun risk appetite is. Met een gestructureerde aanpak en de juiste internal audit kennis en competenties kun je het aantal risico’s terugbrengen en heb je meer focus.
