De rol van de moderne controller wordt volgens Roozen en Steens (2005) gekarakteriseerd door spanning tussen het vervullen van de rol van financieel geweten van de onderneming en die van businesspartner, tussen onafhankelijkheid en betrokkenheid. Het bewaken van de financieel economische levensvatbaarheid mag als een minimumvereiste worden gezien. Het werk van de internal auditor wordt door de controller vaak nog steeds gezien als een ‘ver van mijn bed show’.
Aangezien de controller hierbij vooral gebruikmaakt van financieel-economische informatie is hij in het bijzonder verantwoordelijk voor het verzamelen, bewerken en presenteren van de juiste gegevens. Gegevens die zowel binnen als buiten de onderneming worden gebruikt ten behoeve van de beoordeling van de prestaties van de onderneming en, in toenemende mate, het bestuur daarvan. Een adequaat risicomanagementsysteem kan daarbij niet worden gemist. Vanwege zijn betrokkenheid bij het ontwerp en de implementatie van de planning- en controlcyclus ligt het voor de hand dat de moderne controller een belangrijke rol speelt bij de inrichting van het risicomanagementsysteem.
Zie ook: Kostenmanagement
In toenemende mate moet echter het bestuur tevens een verklaring afleggen over de adequate inrichting. De betrokkenheid van de controller bij het ontwerp en beheer maakt zijn oordeel, althans voor derden, daardoor minder bruikbaar. Een interne of externe auditor vangt deze lacune veelal op. Het werk van de internal auditor wordt door de controller vaak nog steeds gezien als een ‘ver van mijn bed show’, die op zijn best als ‘noodzakelijk kwaad’ wordt getypeerd. Ook in de literatuur over controlling wordt weinig aandacht besteed aan internal audit. Mede door ontwikkelingen op het gebied van corporate governance lijkt internal auditing aan belang te winnen.
Het is dan waarschijnlijk ook geen toeval dat in het vakblad van het Controllersinstituut (MCA) vanaf 2007 structureel aandacht wordt gegeven aan internal auditing en de betekenis voor de controller. De Internal Audit Functie (IAF) kan immers grote toegevoegde waarde leveren bij het (her)ontwerp en beheer van een risicomanagementsysteem door de controller regelmatig een spiegel voor te houden voor wat betreft de adequate opzet en werking van het systeem. Doel van deze bijdrage is om inzicht te bieden in de potentiële toegevoerde waarde van de IAF voor de controller en de kaders en spelregels voor de daadwerkelijke realisatie van deze toegevoegde waarde te schetsen.
Internal audit: wat is goed of slecht?
Audit kan worden omschreven als een deskundig onderzoek met als doel een onpartijdig, leesbaar vastgelegd oordeel over informatie en/of situaties ten behoeve van besluitvorming door derden (Blokdijk, 2000). Bij het auditen van informatie gaat het erom vast te stellen of de informatie waar is of onwaar, bij de audit van situaties of deze situatie goed of slecht is. Uitgaande van de te beoordelen aspecten, de gestelde normen en verwachtingen die de opdrachtgever koestert ten aanzien van de uitkomsten van de audit zal de auditor het onderzoek uitvoeren en zijn bevindingen en conclusies rapporteren in een verklaring. Vaak verstrekken auditors op basis van en in het verlengde van hun onderzoek aanbevelingen tot verbetering van de relevantie van informatie en een situatie. De laatste activiteit wordt aangeduid met (natuurlijk) advies.
Toekomstgerichte informatie zal een auditor dan ook hoogstens voorzien van een beoordeling en nooit van een verklaring vanwege de afwezigheid van normen. Voor het uitvoeren van een audit zijn – naast een duidelijke omschrijving van het doel van de audit (meer zekerheid met betrekking tot bepaalde beweringen aangaande het controleobject) – de kenmerken en verwachte kwaliteiten van het object (criteria en normen), meetbaarheid van het object in termen van de kenmerken en verwachtingen, kennis en beschikbaarheid van adequate onderzoeksmethoden en -technieken (veelal door middel van goed personeel) ook controlemiddelen zoals tijd en geld essentieel.
Behoefte internal audit neemt toe
Internal audit ontleent haar functie aan de behoefte aan zekerheid van de leiding van een organisatie. In de kleinere organisatie worden de interne auditing taken evenals die van controlling in principe vervuld door het hoofd van de administratie. Vooral de groei, globalisering en het complexer worden van een organisatie doen de behoefte aan internal audit toenemen. Afgelopen decennia zijn veel organisaties gegroeid, mede als gevolg van globalisering van de economie. Hierbij is behoefte aan delegatie van taken naar relatief autonome en flexibele organisatieonderdelen die snel kunnen inspelen op lokale behoeften. Resultaatverantwoordelijkheid en beslissingsbevoegdheid zijn hierdoor lager in de organisatie belegd.
Het bestuur dat bepaalde taken en beslissingsbevoegdheden uit handen geeft houdt evenwel eindverantwoordelijkheid en uit dien hoofde zal het bijvoorbeeld niet willen dat de verschillende organisatieonderdelen activiteiten uitvoeren die niet in lijn liggen met de ‘overall’ ondernemingsdoelstellingen of die te veel risico’s met zich meebrengen. Om dit te bereiken kan het bestuur normen uitvaardigen in de vorm van richtlijnen, waar de bedrijfsonderdelen zich aan moeten houden.
Richtlijnen IAF
Om toezicht te houden op de naleving en het effect van deze richtlijnen zal het bestuur, naast informele communicatie, veelal gebruikmaken van periodieke rapportages van de verschillende entiteiten. Om nu te controleren of de rapportages van de verschillende entiteiten de werkelijkheid goed weergeven én of deze werkelijkheid in lijn is met de richtlijnen kan het bestuur de IAF inschakelen. De IAF kan het bestuur derhalve door middel van het uitvoeren van periodieke of specifieke, ad hoc audits aanvullende zekerheid bieden met betrekking tot:
– de betrouwbaarheid van informatie (veelal aangeduid met financial audit);
– de kwaliteit van overige aspecten van beheersing (veelal aangeduid met operational audit, betrekking hebbend op situaties). Door de acceptatie van het COSO-kader wordt tegenwoordig afzonderlijk nog specifiek genoemd:
– de naleving van wet- en regelgeving (compliance).
In aanvulling op deze audits kan een IAF ook adviezen geven met betrekking tot de relevantie van de informatie en verbetering van de aangetroffen situaties. De toegevoegde waarde van een internal audit ten opzichte van de externe auditors moet vooral worden gezocht in:
– zijn permanente aanwezigheid in de onderneming;
– de uit het voorgaande punt voortkomende bekendheid met de onderneming, processen en activiteiten en de omgeving of branche waarin de onderneming functioneert;
– de uit de voorgaande punten voortkomende mogelijkheid tot het onderhouden en gebruiken van relaties met belangrijke functionarissen in de onderneming.
Door het uitvoeren van de audits en het op basis daarvan geven van adviezen is het mogelijk om de bedrijfsvoering te beïnvloeden. Het zich onderscheiden van de externe accountant en leveren van toegevoegde waarde hebben de meeste IAF’s dan ook tot een speerpunt van hun functioneren gemaakt.
De scope van internal audit kan zich daarbij uitstrekken over de gehele bedrijfsvoering (management audit) of verschillende deelaspecten daarvan (bijvoorbeeld de jaarrekening waarin het bestuur verantwoording aflegt over de bedrijfsvoering). Volgens onderzoek van Paape (2004) is de tijdsbesteding van bestaande IAF’s als volgt:
De IAF zal in principe gebonden zijn aan de keuzes die het bestuur van de onderneming heeft gemaakt met betrekking tot de tijdbesteding van auditwerkzaamheden en de door hem als meest wezenlijk gepercipieerde risicoterreinen. Het daaraan gekoppelde budget zal de afdeling dwingen om keuzes te maken ten aanzien van de scope van het werk. Normaliter wordt vervolgens in een zogenoemd charter vastgelegd wat haar rol is; daarvan afgeleid wordt een jaarplan opgesteld.
De IAF zal haar middelen daarbij vooral inzetten voor de meest kritische en risicovolle operaties. Zij zal een inschatting moeten maken van de grootste risico’s, waarbij verschillende soorten risico’s tegen elkaar moeten worden afgewogen. In de praktijk zullen op basis van materialiteit en risicofactoren criteria moeten worden opgesteld voor het vaststellen van de auditobjecten die binnen de scope vallen. De IAF is sterk afhankelijk van informatie die zij van het management ontvangt ten aanzien van relevante ontwikkelingen bij de auditobjecten.
Naast het strategisch en meer gedetailleerde businessplan waarin de doelstellingen en strategie van de onderneming zijn uitgewerkt vormt het risicomanagement van de onderneming voor de IAF een belangrijk vertrekpunt voor het opstellen van het internal audit plan. Rekening houden met de materialiteit en de risico’s in de audit planning is ook één van de audit standaarden die het IIA heeft uitgevaardigd. Volgens onderzoek van PWC (2007) voert méér dan 80% van de IAF’s een periodieke risk assessment uit als basis voor het maken van de audit planning.
Controlewerkzaamheden vormen een stelsel
Het uitvoeren van controlewerkzaamheden is zeker geen ‘vinkwerk’. Richtlijnen zijn, zoals de naam al aangeeft, niet in detail uitgewerkt voor de verschillende bedrijfsonderdelen en laten daarmee ruimte voor interpretatie. Een richtlijn waarin bijvoorbeeld wordt voorgeschreven dat bedrijfslocaties goede fysieke beveiliging moeten hebben, waardoor alleen geautoriseerd personeel op het terrein kan komen, kan op verschillende manieren in specifieke controlemaatregelen worden uitgewerkt. Daarnaast staan controlemaatregelen, als het goed is, niet op zichzelf.
Zij vormen een stelsel en dit is dus alleen in samenhang te beoordelen. Tekortkomingen in controles kunnen bijvoorbeeld worden gecompenseerd door controles bij een ander bedrijfsonderdeel of op een hoger niveau. Bij het beoordelen van controlemaatregelen van een entiteit zal dus het geheel aan controlemaatregelen inclusief relevante controles bij hogere echelons en andere bedrijfsonderdelen moeten worden beoordeeld.
De toetsing van de interpretatie en naleving van interne, maar zeker ook van externe wet- en regelgeving en de complexiteit van interne controlesystemen maken deze activiteit complex en uitdagend voor professionals. In de praktijk wordt ook wel gesproken van ‘professional judgement’. Kwaliteitsbewaking ten aanzien van de werkzaamheden van de IAF is daarmee een belangrijk aandachtspunt. Het stelt ook eisen aan de organisatie en positionering van de functie. In paragraaf 5 wordt hier nader op ingegaan.
Functie IAF groeit
De functie van de IAF is in de afgelopen decennia aan verandering onderhevig geweest. De IAF ontleent haar functie aan een bij het bestuur van de onderneming toenemende behoefte aan een verbijzonderde interne controlefunctie. Zij was dan ook primair en vooral gericht op de controle van financiële transacties, het uitvoeren van financial audits en interne certi- ficering van de jaarrekening. Zij verrichtten dus vooral werkzaamheden met betrekking tot het vaststellen van de betrouwbaarheid van financiële rapportages.
Hiermee leverden zij een belangrijke bijdrage aan de kwaliteit van de interne berichtgeving en de externe jaarrekeningcontrole (versterking interne controlefunctie). Onder andere in het kader van de herbezinning op de kerntaken en de aloude afweging tussen zelf doen of uitbesteden hebben veel grotere ondernemingen vanaf het begin van de jaren tachtig (delen van) de jaarrekeningcontrole en de ‘interne certificering’ uitbesteed aan de externe accountant. Door het uitbesteden van financial audits is er een verschuiving ontstaan in het takenpakket van de IAF. Naast de reeds genoemde betrouwbaarheid van interne rapportages en jaarrekening (financial audit) behoren nu de in paragraaf 2.1 reeds genoemde activiteiten tot het werkterrein.
Gevraagd naar het belangrijkste object van onderzoek voor de IAF geven CEO’s aan dat dit de beoordeling van het risicobeheersingssysteem is (Klein Schiphorst, 2004). Ook onder hoofden van IAF’s blijkt dat zij de ervaring hebben dat zowel de raad van bestuur als de auditcommissie (deelcommissie van de raad van commissarissen) de beoordeling van risicomanagement als de belangrijkste taak zien voor de IAF. Nieuwe wet- en regelgeving (Sarbanes-Oxley wet en Corporate Governance Codes zoals de Combined Code en de Code Tabaksblat) heeft recent de eisen aan de onafhankelijkheid van de externe accountant aangescherpt.
De hieruit voortkomende scherpere afbakening van advies- en controletaken bij de externe accountant maken het uitbesteden van controlewerkzaamheden voor ondernemingen minder aantrekkelijk. Bovendien is het bestuur van beursgenoteerde ondernemingen geconfronteerd met de verplichting om zelfstandig onderzoek te doen naar de effectiviteit van de vigerende risicomanagement- en interne controle systemen. Deze ontwikkelingen hebben uiteraard invloed op de activiteiten van de IAF. Verwacht mag worden dat deze functie deels haar oorspronkelijke activiteiten (het doen van onderzoeken naar de betrouwbaarheid van (financiële) berichtgeving in en omtrent de onderneming) weer zal oppakken (Van Kuijck, 2004). De ontwikkeling van financial auditor tot operational auditor loopt in zekere zin parallel met die van de controller.
De controller komt evenals de internal auditor voort uit de administratieve staffunctie. De controller is nog steeds een staffunctionaris en vanuit zijn financiële expertise speelt hij veelal een belangrijke rol bij de financiële beheersing van de onderneming. In de praktijk is de controller vaak ook lid van het managementteam en draagt hiermee ook medeverantwoordelijkheid voor het beleid en de besturing van de organisatie. In de praktijk ontwikkelt de controllerfunctie zich van de klassieke rol van financieel administrateur (scorekeeper) naar managementcontroller en businesspartner die meedenkt over strategische keuzes en daarmee meer toegevoegde waarde levert.
De rol van de controller
De rol van de controller wint daarbij aan importantie door de toegenomen aandacht voor de financiële beheersing in de organisatie. Binnen ondernemingen is naast de ontwikkeling van de functie ook wel een tweedeling zichtbaar in het type controller. Aan de ene kant zijn er financial controllers die zich meer richten op de traditionele aandachtsgebieden van de controller zoals de administratieve processen en de juistheid van de cijfers en aan de andere kant de managementcontroller die zich meer richt op de betekenis van de cijfers voor de haalbaarheid van de doelstellingen en strategie om vervolgens samen met het managementteam bij ongewenste ontwikkelingen te zoeken naar creatieve oplossingen en bijsturingsmogelijkheden.
Driessen en Molenkamp (2004) vergelijken de ontwikkeling en tweedeling met die van de auditor die zich ontwikkelt van fi- nancial auditor naar operational auditor. Zij schetsen in het desbetreffende perspectief evenwel de indruk dat internal audit, in dit geval de internal auditor, vooral klantgerichte adviseur wordt of consultant. Advies lijkt een logische vervolgstap op de assurance functie, waar de auditor immers al vaststelt wat niet aan de norm voldoet en dus moet worden verbeterd. Dit beeld van klantgericht adviseur strookt echter niet met het beeld dat CEO’s hebben van de IAF.
Uit onderzoek van de Vereniging van Register Operational Auditors (VRO) en het Institute of Internal Auditors (IIA) blijkt dat CEO’s aan de ‘assurance’ rol meer waarde hechten dan aan de rol van adviseur. Daarnaast betekent dit dat de IAF door het geven van advies op een punt komt waarbij zijn onafhankelijkheid in het geding kan komen. Op dit laatste punt wordt ingegaan in paragraaf 5.2. Ook vanuit de auditcommissie van de raad van commissarissen wordt het meeste belang gehecht aan de assurance taak van internal audit, aangezien dit het meeste aansluit bij het eigen takenpakket. De prioriteit voor de assurance functie van internal audit wordt versterkt door de toegenomen aandacht voor corporate governance codes.
Hernieuwde aandacht voor assurance
De adviesfunctie wordt door CEO’s, hoewel niet het speerpunt, wel als een belangrijke taak gezien. Ook volgens hoofden IAD is de primaire rol het informeren van de board en vervolgens pas adviezen geven (Schiphorst, 2004 en Van Kuijck en Vincenten 2003). De hernieuwde aandacht voor de assurance functie van de IAF laat onverlet dat de combinatie van de positie in de organisatie en de kennis en vaardigheden van een internal audit afdeling breder kan worden ingezet dan puur voor assurance taken.
Dit wordt ook erkend in de meest recente definitie van internal audit door het IIA: ‘Een onafhankelijke, objectieve assurance (geven van zekerheid) en consulting (geven van advies) activiteit met de bedoeling waarde toe te voegen aan en verbetering te brengen in de operaties van een organisatie. Internal auditing helpt een organisatie om haar doelen te verwezenlijken door een methodische, ordelijke benadering om de effectiviteit van risicomanagement, controle en beheersingsprocessen te evalueren en verbeteren.’
Primaire functie IAF
Volgens het position paper van het IIA in Nederland dat in 2005 is uitgebracht is het de primaire functie van internal audit om aan de bestuurder en het management aanvullende zekerheid te geven over de effectiviteit en de beheersing van de bedrijfsvoering. Naast deze assurance rol heeft de IAF echter ook een natuurlijke adviesfunctie. Zij doet vanuit haar expertise en ervaringen aanbevelingen over de opzet, het bestaan en de werking van de interne controle van het auditobject. Het gaat hierbij niet alleen om het aangeven van het verhelpen van onvolkomenheden in de interne controle, maar ook om het aangeven van mogelijkheden om het risicomanagement- en controlesysteem efficiënter in te richten.
Hierbij blijft echter de norm zoals deze is gesteld door het bestuur het uitgangspunt voor de inrichting. Aloud discussiepunt is of de advieswerkzaamheden later niet tot fricties leiden bij de controlewerkzaamheden, ook wel aangeduid met het collisiegevaar. Alhoewel het punt minder speelt dan bij de externe accountant moet een interne accountant, wil hij geloofwaardigheid behouden, hier beducht voor blijven en aandacht besteden aan deskundigheid, objectiviteit, onafhankelijkheid en een goede attitude.
Permanente Educatie (PE): Internal auditing
In de PE-cursus Internal auditing staat vooral de bijdrage van de internal-auditfunctie aan een succesvol Enterprise Risk Management (ERM) centraal. De moderne controller levert een belangrijke bijdrage aan de inrichting daarvan vanwege zijn betrokkenheid bij het ontwerp en implementeren van de planning- en controlcyclus. Juist deze betrokkenheid maakt zijn oordeel, althans voor derden, minder bruikbaar. De internal auditor kan in deze lacune voorzien.Het is daarom van groot belang dat een controller zich daarvan bewust is en weet hoe de toegevoegde waarde gerealiseerd kan worden.
Leerdoelen
Na bestudering van deze cursus bent u in staat om:
- ontstaan, ontwikkeling en essentie van de internal-auditfunctie te omschrijven, in het algemeen en in het bijzonder in het kader van ERM;
- aan te geven welke de verschillen zijn tussen de internal auditor en de controller en de betekenis die dat heeft voor hun potentiële bijdrage aan een succesvol ERM in de organisatie;
- aan te geven waar uit de toegevoegde waarde van de internal-auditfunctie bestaat ten aanzien van ERM en onder welke voorwaarden deze gerealiseerd kan worden.
