Aansprakelijkheid van internal auditors
Drs. R. (Renze) Munnik Universiteit van Amsterdam Amsterdam Business School Executive Master of Internal Auditing Afstudeerbegeleider: Dr. J.R.H.J. (Bob) van Kuijck RA RC
Haarlem, 14 december 2009
Inhoud Executive samenvatting
iv
1
Inleiding
1
1.1
Aanleiding
1
1.2
Probleemstelling en onderzoeksvragen
2
1.3
Werkwijze
3
1.4
Structuur referaat
6
2
Functioneren en aansprakelijkheid van internal auditors in de theorie
8
2.1
Inleiding
8
2.2
Rol en positie van internal audit 2.2.1 Definitie van internal audit 2.2.2 Rol en positie van internal audit
8 8 9
2.3
Wat is het functioneren van de auditor? 2.3.1 Functioneren 2.3.2 IIA/SVRO over het functioneren van de auditor 2.3.3 NIVRA over het functioneren van de auditor 2.3.4 NOREA over het functioneren van de auditor 2.3.5 Het functioneren van de auditor in dit onderzoek 2.3.6 Het functioneren van de auditor volgens de wet
13 13 14 18 20 21 22
2.4
Aansprakelijkheid 2.4.1 Aansprakelijkheid 2.4.2 Burgerrechtelijke en strafrechtelijke regels 2.4.3 Administratiefrechtelijke regels 2.4.4 Deontologische regels en tuchtrecht 2.4.5 Arbeidsrecht 2.4.6 Schuld- en risicoaansprakelijkheid 2.4.7 Samenhang tussen functioneren en aansprakelijkheid
23 23 23 24 24 26 27 27
2.5
Samenvatting en conclusies
30
Aansprakelijkheid van internal auditors Renze Munnik (2009)
(i)
3
4
Functioneren en aansprakelijkheid van internal auditors in de praktijk
33
3.1
Inleiding
33
3.2
Wat zeggen toezichthouders over internal audit? 3.2.1 Wereldwijd 3.2.2 Europa 3.2.3 Nederland 3.2.4 Verenigde Staten
33 34 34 35 37
3.3
De rol van internal audit in praktijk 3.3.1 Werkzaamheden 3.3.2 Verantwoording 3.3.3 Naleving standaarden
38 38 39 40
3.4
Case studies naar rol van internal audit (tuchtzaken) 3.4.1 Inleiding 3.4.2 Zaken of klachten 3.4.3 Case studies NOREA 3.4.4 Case studies NIVRA
41 41 42 42 43
3.5
Analyse van resultaten en relatie met de theorie 3.5.1 Analyse case studies 3.5.2 Relatie met de theorie
48 48 48
3.6
Samenvatting en conclusies
51
Visie op toekomstige positie internal auditor
55
4.1
Inleiding
55
4.2
Het probleem 4.2.1 Werkzaamheden en rol 4.2.2 Toezichthouders 4.2.3 Verantwoording 4.2.4 Naleving gedrags- en beroepsregels
55 55 56 57 57
4.3
De oplossing 4.3.1 Vertrouwen in de organisatie 4.3.2 Vertrouwen of controle? 4.3.3 Verplichte internal audit 4.3.4 Vertrouwen in internal audit 4.3.5 Tuchtrecht 4.3.6 Objectiviteit 4.3.7 Kwaliteit van de afdeling 4.3.8 Toezicht
58 58 59 59 60 61 62 62 62
Aansprakelijkheid van internal auditors Renze Munnik (2009)
(ii)
5
4.4
Hypothesen 4.4.1 Verplichte internal auditfunctie 4.4.2 Orde van internal auditors 4.4.3 Beschermde titel 4.4.4 Tuchtrecht 4.4.5 Onafhankelijkheidsregels 4.4.6 Kwaliteit van de afdeling 4.4.7 Externe toezichthouder
63 64 65 66 67 69 70 71
4.5
Analyse van de resultaten 4.5.1 Algemeen 4.5.2 Verplichte internal auditfunctie 4.5.3 Orde van internal auditors 4.5.4 Beschermde titel 4.5.5 Tuchtrecht 4.5.6 Onafhankelijkheidsregels 4.5.7 Kwaliteit van de afdeling 4.5.8 Externe toezichthouder
72 72 72 73 73 73 74 74 74
Conclusie en aanbevelingen
76
5.1
Inleiding
76
5.2
Beantwoording deelonderzoeksvragen 5.2.1 Theorie 5.2.2 Praktijk 5.2.3 Toekomstvisie
76 76 77 78
5.3
Conclusie (beantwoording centrale onderzoeksvraag)
79
5.4
Aanbevelingen
80
Literatuurlijst
82
A. Afkortingen
88
Aansprakelijkheid van internal auditors Renze Munnik (2009)
(iii)
Executive samenvatting De aanleiding voor dit exploratief onderzoek is de toenemende vraag naar interne beheersing en het afleggen van verantwoording door organisatie na de (recente) schandalen in de financiële wereld en met de huidige economische situatie. Het vertrouwen moet terug gewonnen worden door ondernemingen.. Daarbij komt dat toezichthouders steeds meer het belang in beginnen te zien van een sterke internal auditfunctie binnen de organisaties waarop zij toezicht houden. Er worden door hen reeds stappen genomen om meer gebruik te maken van de diensten van deze interne functie. Hierbij is het echter wel van belang dat deze functie aan bepaalde kwaliteitseisen voldoet. Probleemstelling De probleemstelling van het onderzoek richt zich op het functioneren van internal audit en de wijze waarop deze gewaarborgd kan worden. Bij de externe auditor is het reeds lange tijd mogelijk om hem aan te spreken op zijn functioneren middels de gedrags- en beroepsregels (NIVRA) en het bijbehorende tuchtrecht. Dit is bij de internal auditor (afgezien van de registeraccountant) niet het geval. In dit exploratief onderzoek wordt daarom onderzocht of het aansprakelijk stellen van de internal auditor / internal auditafdeling – net als de external auditor – mogelijk een positief effect kan hebben op het functioneren van deze functie. Theorie Aangezien er nog weinig bekend is over dit onderwerp is dit exploratief onderzoek uitgevoerd waarbij ten eerste is onderzocht wat er in de theorie beschreven is met betrekking tot het functioneren en de aansprakelijkheid van internal audit. Hierbij is ingegaan op de definities van internal audit en de rol en positie binnen de organisatie, onder meer aan de hand van de agency theorie en de three lines of defence. Verder is onderzocht hoe beroepsorganisaties als het IIA/SVRO, het NIVRA en de NOREA het functioneren van internal audit definiëren. Met betrekking tot de aansprakelijkheid van internal audit is de diverse relevante wetgeving onderzocht en de regels van de beroepsorganisaties. Praktijk Ten tweede is onderzocht hoe het functioneren en de aansprakelijkheid van internal audit in praktijk geregeld is. Eerst is hiervoor onderzocht hoe toezichthouders kijken naar de rol van de internal auditor. Dit is met name gericht op Nederlandse toezichthouders, maar ook relevante andere toezichthouders (Europa, wereldwijd en VS) zijn hierbij belicht. Daarna is beschreven welke werkzaamheden de internal auditor uitvoert en de positie die hij binnen de organisatie heeft. Om vast te stellen in welke mate de auditor momenteel op zijn functioneren wordt aangesproken zijn case studies (tuchtzaken) onderzocht waarbij is gekeken naar het functioneren van de auditor zoals dit in de theorie is beschreven.
Executive samenvatting Aansprakelijkheid van internal auditors Renze Munnik (2009)
(iv)
Ten slotte is op basis van de combinatie van de theorie en de praktijk geanalyseerd welk probleem hieruit naar voren komt en wat hiervoor een mogelijke oplossing zou zijn. Hierbij is gekeken naar wat er van de organisatie in het geheel en internal audit in het bijzonder wordt verwacht en hoe de praktijk hierbij aansluit. Resultaten en conclusies Uit de resultaten van het uitgevoerde exploratief onderzoek blijkt dat een eerste stap voor het terugwinnen van het vertrouwen in de organisaties is dat zij zelf de verantwoordelijkheid nemen voor hun handelen en dit aantoonbaar maken De internal auditfunctie is hierbij een belangrijk onderdeel, aangezien deze binnen de organisatie onafhankelijk is ten aanzien van de operationele taken en de overige afdelingen. De auditfunctie is momenteel echter niet altijd verplicht. Vervolgens moet er vertrouwen zijn in het functioneren van de internal auditfunctie. De gedragsen beroepsregels van de beroepsorganisatie bieden hiervoor een goede basis. In praktijk blijkt echter dat deze regels door slechts 64% van de internal auditors onderschreven worden. Dit is mede mogelijk doordat er geen wettelijke basis is om internal auditors te verplichten zich aan deze regels te houden. Zo heeft de beroepsorganisatie en het IIA register geen wettelijke status. Men kan internal auditwerkzaamheden uitvoeren zonder dat men bij de beroepsorganisatie is ingeschreven. De maatregelen van de Raad van Tucht hebben hierdoor slechts zeer beperkt effect. De zwaarste maatregel voor de Raad van Tucht is doorhaling in het register. Wanneer dit gedaan wordt kan de internal auditor echter nog steeds zijn beroep uit blijven oefenen. Een belangrijk aspect om op internal audit te kunnen vertrouwen betreft de onafhankelijkheid van de internal auditor. De gedrags- en beroepsregels van de beroepsorganisatie laten hier momenteel nog veel over aan de inschatting van de auditor. Dat terwijl het IIA expliciet stelt dat de internal auditor zowel assurance als adviesdiensten levert. Deze combinatie zou in praktijk de onafhankelijkheid van de auditor in het geding kunnen brengen. Bijvoorbeeld wanneer hij processen of controlemaatregelen gaat controleren welke hij zelf heeft geïmplementeerd (of hierover heeft geadviseerd). Dit dient duidelijker vastgesteld te worden. Verder worden er momenteel geen eisen gesteld aan personen die bij internal audit werkzaam zijn en (nog) niet bij de beroepsorganisatie zijn aangesloten. Een eis zoals het NIVRA deze stelt, dat de registeraccountant verantwoordelijk is voor de opleiding en toezicht op al diegenen die onder zijn verantwoordelijkheid werken, is bij het IIA niet aanwezig. Om op internal audit te kunnen steunen dient men echter te kunnen vertrouwen op de kwaliteit van de hele afdeling. Op basis van het uitgevoerde onderzoek en de resultaten zoals hierboven samengevat is de conclusie dat wettelijke aansprakelijkheid een positief effect kan hebben op het functioneren van internal audit. Hierdoor zal het beroep een wettelijke status krijgen. Niet iedereen kan zich dan internal auditor noemen. Iedereen die internal auditor is, wordt daarmee verplicht zich te houden aan de regels van de beroepsorganisatie. Tevens kunnen internal auditors welke zich niet aan de regels houden voor de tuchtrechter gedaagd worden. Deze instantie (de Raad van Tucht) kan ook duidelijkheid scheppen op de plaatsen waar de gedrags- en beroepsregels onvoldoende richtlijn bieden voor complexe situaties. Middels een deskundig oordeel wordt jurisprudentie opgebouwd. Dit kan bij
Executive samenvatting Aansprakelijkheid van internal auditors Renze Munnik (2009)
(v)
toekomstige situaties als richtlijn dienen. Verder kunnen bijvoorbeeld position papers duidelijkheid scheppen over onderwerpen als onafhankelijkheid, wat nu een onvoldoende duidelijk kader heeft in de standaarden. Door de gecertificeerde auditor tevens verantwoordelijk te maken voor de opleiding en begeleiding/toezicht van niet gecertificeerde werknemers blijft de algehele kwaliteit van de afdeling gewaarborgd. Aanbevelingen Om het positieve effect op het functioneren van internal audit te bewerkstelligen is een viertal aanbevelingen gegeven in dit onderzoek. Ten eerste dient de organisatie verplicht over een permanente internal auditfunctie moeten beschikken. Bij deze verplichting zal rekening gehouden moeten worden met de omvang van de organisatie en het aantal en type aandeelhouders dat door een eventuele misstap van de organisatie geraakt zou worden. Ten tweede zal de orde van internal auditors bekrachtigd moeten worden als openbaar lichaam welke verantwoordelijk wordt voor het bevorderen van een goede beroepsuitoefening door de leden. Deze orde zal tevens het register beheren waarin de internal auditors geregistreerd staan. Dit zou het IIA kunnen betreffen of INTAC (NIVRA). Hiermee krijgt het beroep een wettelijke status en wordt de internal auditor verplicht zich aan de gedrags- en beroepsregels te houden. Wanneer de auditor dit niet doet kan hij voor de Raad van Tucht gedaagd worden. Bij de toelating tot het register dient rekening gehouden te worden met de reeds bestaande titels zoals RA, RO, CIA en RE en vakopleidingen als EMIA en EMITA1. De ingeschrevenen hebben immers reeds voldaan aan toelatingseisen met betrekking tot opleiding en werkervaring en voldoen tevens aan een permanente educatieplicht. Ook de gedragsen beroepsregels zijn vrijwel gelijk aan die van de internal auditor. Ten derde zullen de onafhankelijkheidsregels van de beroepsorganisatie verder ingevuld moeten worden. Om een duidelijk kader te creëren dient er middels gedrags- en beroepsregels dan wel middels position papers een meer duidelijke richtlijn te komen wat wel en wat niet is toegestaan. Ten slotte dient de gecertificeerde auditor verantwoordelijk te zijn dat degenen van de afdeling (of ingehuurd) die niet gecertificeerd zijn de juiste opleiding hebben (of krijgen) en onder adequaat toezicht staan. Dit betreft iedereen die onder de verantwoordelijkheid van de gecertificeerde auditor werkt. Zodoende wordt de kwaliteit van de hele internal auditafdeling gewaarborgd.
1
EMIA: Executive Master of Internal Auditing. EMITA: Executive Master of IT Auditing.
Executive samenvatting Aansprakelijkheid van internal auditors Renze Munnik (2009)
(vi)
1 Inleiding 1.1
Aanleiding
Met de ontwikkelingen in de financiële wereld van de laatste jaren komt er meer en meer nadruk te liggen op de verantwoordelijkheid en de aansprakelijkheid. Met name met de introductie van de Sarbanes-Oxley (SOx) wetgeving (Verenigde Staten) spelen verantwoordelijkheid en aansprakelijkheid een grote rol in de financiële wereld. CEO’s en CFO’s van bedrijven die in de Verenigde Staten (VS) beursgenoteerd zijn moeten tekenen voor een goed werkend systeem van interne beheersingsmaatregelen rondom de financiële verslaggeving. Wanneer het blijkt dat dit systeem niet naar behoren werkt(e) en er (toch) bijvoorbeeld fraude gepleegd is, kunnen deze officers lange gevangenisstraffen krijgen (naast uiteraard de hoge boetes en de consequenties voor de onderneming). Ten behoeve van het voldoen aan de SOx-wetgeving dient een onafhankelijke derde partij (external auditor) de beheersingsmaatregelen en werkzaamheden van de onderneming te controleren. Deze derde partij dient een verklaring af te geven dat het management inderdaad een goed werkend stelsel van interne beheersingsmaatregelen binnen de organisatie heeft geïmplementeerd en dat dit naar behoren functioneert [PCAOB, 2004]. Hiermee wordt de verantwoordelijkheid en de aansprakelijkheid ook bij de external auditor gelegd. In geval van fraude is – naast de CEO en/of CFO – ook de external auditor aansprakelijk wanneer blijkt dat deze zijn functie bij de controle van de interne controlemaatregelen niet juist heeft uitgevoerd [SOA, 2002]. Dit geldt voor alle bedrijven (onafhankelijk van nationaliteit of vestigingsplaats) die beursgenoteerd zijn in de VS. Met dit soort wet- en regelgeving probeert men formeel af te dwingen dat de CEO, de CFO en de external auditor hun werkt correct uitvoeren en hiervoor de verantwoordelijkheid nemen. In Nederland zien we de laatste jaren ook een groeiende nadruk op wet- en regelgeving met betrekking tot het functioneren van organisaties en de externe auditors die deze controleren. Denk hierbij aan de Nederlandse Corporate Governance Code2, de toenemende rol van beroepsorganisaties zoals het NIVRA en de in 2005 aangenomen Wet toezicht accountantsorganisaties (Wta). De externe auditor krijgt hiermee een brede aansprakelijkheid met betrekking tot het uitvoeren van zijn werkzaamheden. Waar eerst enkel naar de cijfers werd gekeken (heeft de auditor deze goed gecontroleerd), komt ook steeds meer de nadruk te liggen of de auditor wel alle relevante risico’s heeft onderkend. Tevens wordt er de afgelopen periode ook steeds meer kritiek3 geuit over het functioneren in het algemeen van de externe auditor in het licht van de kredietcrisis. Alhoewel de acties / besluiten die leidden tot deze crisis uiteraard door de bestuurders van de bedrijven zijn genomen is er tevens zeer veel aandacht (en kritiek) voor de rol die de externe auditors hebben vervuld (en nog steeds vervullen) met betrekking tot deze bedrijven.
2
Tot 2008 ook wel de Code Tabaksblat genoemd, naar Morris Tabaksblat, de voorzitter van de commissie welke deze code opstelde. Sinds 2008 is er een nieuwe corporate governance code. 3 Voorbeelden: [Hoogervorst, 2009a] [Hoogervorst, 2009b] [Aitken-Davies, 2008] [FD, 2009] [Accountant.nl, 2008] en [Accountancyage, 2009]
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(1)
De grootste kritiek is dat zij onvoldoende opgelet zouden hebben, wellicht niet onafhankelijk genoeg zijn geweest en simpelweg hun werk niet goed genoeg hebben uitgevoerd. De claims tegen accountantsorganisaties in deze zaken zijn vaak aanzienlijk. In 2006 stonden er tegen EU4 accountant firms 11 claims open van € 160 miljoen tot € 785 miljoen en stonden er 5 claims open van ieder meer dan € 785 miljoen [LE, 2003]. Het is uiteraard ook logisch dat bij dit soort zaken uitvoerig wordt gekeken naar de rol van de externe auditor. Deze heeft immers een maatschappelijke taak waarop veel mensen (en instanties) vertrouwen. Wanneer de externe auditor zijn oordeel heeft gegeven gaat men er vanuit dat men daarop kan vertrouwen. Als achteraf toch blijkt dat er zaken onjuist zijn dient uitgezocht te worden of de externe auditor zijn werk voldoende heeft uitgevoerd. Binnen de organisatie heeft de internal auditor een verantwoordelijkheid voor het toetsen en daarmee bij het verbeteren van de operaties binnen de organisatie. Dit is inclusief het hiermee samenhangende geheel van risicobeheersings- en controlesystemen [IIA, 2005]. Mede door middel van het audit charter worden ook de bevoegdheden van de internal auditor vastgesteld door het management. Zodoende zijn zowel de verantwoordelijkheden als de bevoegdheden van de internal auditor verzorgd. Management is verantwoordelijk voor het functioneren van de beheersingsmaatregelen; niet de internal auditor. Echter, de internal auditor heeft wel een belangrijke signalerende taak. Internal audit dient de CEO’s en CFO’s beste bron van assurance te zijn met betrekking tot interne beheersing. Als de CEO en CFO achter een organisatie-brede verklaring moeten staan – zoals bij SOx het geval is – is het niet meer dan logisch dat zij naar de Chief Audit Executives’ (CAE’s) mening vragen [Roth & Espersen, 2003]. Net als de internal auditor is de external auditor niet verantwoordelijk voor de werking van de interne beheersingsmaatregelen, maar wel voor het signaleren van afwijkingen. En de external auditor wordt – zoals eerder vermeld – nu ook aansprakelijk gesteld wanneer blijkt dat hij hierin zaken niet heeft gesignaleerd. Voor de internal auditor is echter geen aansprakelijkheid aan zijn taken verbonden. Wanneer de beheersmaatregelen niet naar behoren werken (of hebben gewerkt), dan zijn hieraan geen formele / wettelijke consequenties verbonden voor de internal auditor.
1.2
Probleemstelling en onderzoeksvragen
In dit exploratief onderzoek wordt onderzocht of het aansprakelijk stellen van de internal auditor / internal auditafdeling – net als de external auditor – mogelijk een positief effect kan hebben op het functioneren van deze functie. Het blijft echter een vraag of deze wijze van “afrekenen” de juiste incentive is om het functioneren van de auditor te waarborgen. Tevens is het niet zeker of dit de organisatie ten goede zal komen. De internal auditor zal mogelijk meer genegen zijn op save te spelen voor zichzelf, dan iets extra’s voor de organisatie te doen.
4
Europese Unie
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(2)
De centrale onderzoeksvraag luidt daarom als volgt: “Kan formele aansprakelijkheid van de internal auditor een positief effect hebben op het functioneren van de internal auditfunctie?” Om deze centrale vraag te (kunnen) beantwoorden zullen de volgende deelvragen beantwoord worden. 1. Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de theorie beschreven? 2. Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de praktijk geregeld? 3. Welke impact zou invoering van wettelijke aansprakelijkheid op het functioneren van internal audit kunnen hebben? a. Wat zijn de effecten met betrekking tot de internal auditor bij het uitvoeren van zijn werk? b. Op welke wijze kan wettelijke aansprakelijkheid de scope van de internal auditwerkzaamheden beïnvloeden? c. Wat zijn de effecten voor de organisatie wanneer de internal auditor wettelijk aansprakelijk wordt gesteld? d. Hoe kan dit de relatie tussen het management en internal audit beïnvloeden? e. Heeft wettelijke aansprakelijkheid invloed op de positie van internal audit binnen de organisatie?
1.3
Werkwijze
In deze paragraaf wordt toegelicht op welke wijze het exploratief onderzoek uitgevoerd wordt. Hieronder staat per onderzoeksvraag beschreven welke onderzoeksmethode gebruikt zal worden om de vraag te beantwoorden. Adressering van de onderzoeksvragen
Onderzoeksvraag 1; “Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de theorie beschreven?” Deze vraag zal geadresseerd worden middels literatuuronderzoek naar:
Definities van “aansprakelijkheid” en “functioneren van internal audit”. Samenhang van aansprakelijkheid en het functioneren van internal audit. De definitie, positie en rol van internal audit volgens beroepsorganisaties en literatuur met betrekking tot corporate governance en risk management.
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(3)
Onderzoeksvraag 2; “Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de praktijk geregeld?” Middels case studies en desk research zal onderzoek naar deze vraag gedaan worden. Dit betreft:
Literatuuronderzoek naar de relevante wetgevende en toezichthoudende instanties met betrekking tot internal audit en op welke wijze zij internal audit adresseren in wet- en regelgeving. Middels desk research zal onderzocht worden welke rol / positie internal audit in praktijk bekleedt en hoe zij deze rol invult (o.a. onderzoeken die worden uitgevoerd naar de internal auditfunctie). Aan de hand van diverse case studies zal onderzocht worden welke rol internal audit tot op heden heeft gehad bij zaken met betrekking tot interne controle. Analyse van de resultaten hoe deze aansluiten met de theorie zoals in hoofdstuk 2 onderzocht.
Onderzoeksvraag 3; “Welke impact zou invoering van wettelijke aansprakelijkheid op het functioneren van internal audit kunnen hebben?” Voor het onderzoeken (en beantwoorden) van deze vraag wordt gebruik gemaakt van interviews met experts op het gebied van internal audit, vaktechniek en juridische zaken. Tevens zal middels literatuur en desk research onderzocht worden wat de mogelijke effecten van wettelijke aansprakelijkheid zijn.
Desk research en interviews naar wat de impact is (en is geweest) van de (toenemende) aansprakelijkheid van de external auditor en hoe dit op internal audit van toepassing kan zijn. De interviews zijn gericht om de bevindingen vanuit verschillende perspectieven nader te belichten. Ten eerste is [VERTROUWELIJK] hierbij van groot belang, aangezien het onderzoek gericht is op de internal auditors. Ten tweede het onderwerp belicht worden vanuit een extern perspectief. Hierbij is gekozen voor een externe assurance provider welke internal auditdiensten levert. Zodoende wordt een breed zicht op diverse internal auditdiensten gecombineerd met de ervaringen die de provider heeft vanuit een external audit (accountants) perspectief. Ten derde zal gesproken worden met een juridische afdeling, voornamelijk vanwege het aansprakelijkheidsvraagstuk dat een belangrijk deel van dit onderzoek uitmaakt. Ten slotte wordt gekeken naar de vaktechnische implicaties die naar aanleiding van het onderzoek naar voren kunnen komen. Hiervoor wordt een interview gehouden met een vaktechnische afdeling. Zij hebben de kennis van vaktechniek en tevens de ervaring van enkele jaren wet- en regelgeving met betrekking tot auditing. Literatuuronderzoek / desk research op basis van: o “Aansprakelijkheid van de interne auditor” van De Meuter. o Artikelen en (position) papers met betrekking tot rol / taak van internal audit. Analyse resultaten en bepalen van impact hiervan op de huidige positie en taakstelling van internal audit (zoals in hoofdstuk 2 beschreven) en de huidige rol en aansprakelijkheid (zoals in hoofdstuk 3 beschreven).
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(4)
Afbakening van het onderzoek
Over het onderwerp van aansprakelijkheid van de internal auditor is nog weinig bekend. Omdat dit een zeer omvangrijk gebied betreft is een aantal keuzes gemaakt om het onderzoek af te bakenen en onduidelijkheid te voorkomen bij het lezen van dit referaat. Hieronder zijn de gemaakte keuzes toegelicht. Geografie Wanneer naar de aansprakelijkheid van een beroepsgroep gekeken wordt heeft dit (uiteraard) een nauwe relatie met de aanwezige wetgeving. De wetgeving met betrekking tot aansprakelijkheidsvraagstukken kan per land aanzienlijk verschillen. In dit onderzoek is ervoor gekozen om dit te beperken tot de Nederlandse auditors. Hierbij wordt gekeken naar de Nederlandse relevante wetgeving. In dienst of ingehuurd Een volgend vraagstuk is of de internal auditor in dienst is bij de organisatie of dat dit een externe partij is die is ingehuurd voor het uitvoeren van internal auditwerkzaamheden voor de organisatie. In het tweede geval zijn er immers andere omstandigheden die van toepassing zijn op de auditor. Deze heeft een contract waarin de specifieke werkzaamheden en daaraan gestelde eisen zijn beschreven. In deze situatie gaat het minder om de internal auditor als beroepsgroep, maar betreft het een zakelijke dienstverlening op basis van een overeengekomen contract. Hierop zijn daarmee ook andere regels (en wetten) van toepassing dan wanneer de auditor in dienstverband werkzaamheden uitvoert. De externe partij die ingehuurd wordt door de organisatie zal middels een contract de afspraken vastleggen over de uit te voeren werkzaamheden en de verantwoordelijkheden met betrekking tot die werkzaamheden. Deze overeenkomst zal onder het Burgerlijk Wetboek boek 65 [BW, 2009] vallen (en eventueel Burgerlijk Wetboek boek 7 afhankelijk van de overeenkomst). Bij het niet, of onvoldoende, nakomen van de gemaakte afspraken kan derhalve een civiele procedure gestart worden op basis van deze wetten en de overeenkomst. Daarnaast is het mogelijk dat de auditors van de externe partij die zijn ingehuurd lid zijn van de beroepsorganisatie en zodoende onder de tuchtrechtelijke regels van de beroepsorganisatie vallen. De opdrachtgever kan in die situatie tevens een klacht indienen bij de Raad van Tucht van de beroepsorganisatie. In dit onderzoek is gekozen te kijken naar de internal auditor die in dienst is van de organisatie waarvoor hij de auditwerkzaamheden uitvoert. Commercieel of publiek Een derde onderscheid dat gemaakt kan worden is met betrekking tot het type organisatie. Met betrekking tot de wet- en regelgeving wordt er veelal een onderscheid gemaakt tussen publieke en commerciële organisaties. Zo is op overheidsinstanties het bestuursrecht (ook wel 5
Burgerlijk Wetboek boek 6 en 7 betreffen het verbintenissenrecht.
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(5)
administratiefrecht) van toepassing. Dit is niet het geval bij commerciële bedrijven. Het bestuursrecht is gebaseerd op de machtsverhouding tussen de overheid en de burger, waarbij de overheid zelf de machtspositie van de burger bepaalt. Over het algemeen kan gesteld worden dat het bestuursrecht aangeeft wat de overheid wel mag, terwijl het privaatrecht aangeeft van de burger niet mag. Oftewel, de burger mag alles doen mits dit niet bij wet verboden is. De overheid mag niets doen tenzij de wet dit toestaat. Gezien de bijzondere machtsverhoudingen tussen de overheid en de burgers en de specifieke wetgeving die op overheidsinstanties van toepassing is, is gekozen dit onderzoek te beperken tot de internal auditor bij commerciële bedrijven. Beroepsorganisaties en case studies Er zijn diverse beroepsorganisaties die in het kader van dit onderzoek belicht kunnen worden. Voor dit onderzoek is gekozen om de beroepsorganisaties te beperken tot de Nederlandse beroepsorganisaties. Dit betreft het Instituut van Internal Auditors Nederland (IIA Nederland), het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van EDP Auditors (NOREA). Dit houdt in dat het IIA Inc. (de overkoepelende organisatie van het IIA) hierbij niet meegenomen wordt. Dit onderzoek kijkt naar de huidige situatie met betrekking tot internal audit. Ten aanzien van de case studies wordt daarom gekeken naar de huidige organisatie met betrekking tot het tuchtrecht. Dit betekent dat, gezien het samengaan van de Raden van Tucht van het IIA (Nederland) en de VRO nu enkel gekeken wordt naar de zaken welke bij het tuchtrecht van het IIA ter sprake zijn gekomen. De zaken die bij de Raad van Tucht van de VRO hebben gediend voor het samengaan van IIA en VRO zijn hierbij buiten beschouwing gelaten.
1.4
Structuur referaat
In hoofdstuk 2 wordt de eerste onderzoeksvraag behandeld waarbij in wordt gegaan op de termen “aansprakelijkheid” en “functioneren van internal audit” en de samenhang tussen deze begrippen. Tevens wordt uiteengezet hoe het functioneren en de aansprakelijkheid van de internal auditor momenteel in de theorie wordt geadresseerd. In hoofdstuk 3 zal de huidige praktijk toegelicht worden (onderzoeksvraag 2). Hierbij wordt ingegaan op de wet- en regelgeving rondom internal audit, de rol en positie die internal audit in praktijk bekleedt en haar rol in enkele tuchtzaken met betrekking tot het functioneren van de internal auditor van de afgelopen jaren. Tevens zal hierbij aangegeven worden hoe deze praktijk aansluit bij de in hoofdstuk 2 beschreven theorie rondom internal audit. Na de theoretische beschrijving en het huidige functioneren en aansprakelijkheid van internal audit wordt in hoofdstuk 4 naar de toekomst gekeken. In dit hoofdstuk wordt de derde onderzoeksvraag behandeld en wordt er beschreven wat de mogelijke effecten kunnen zijn van wettelijke aansprakelijkheid van de internal auditor. In het laatste hoofdstuk (5) staan de conclusies en aanbevelingen beschreven naar aanleiding van dit exploratief onderzoek.
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(6)
Bijlage A bevat een overzicht van gebruikte afkortingen en de bijbehorende voluit geschreven naam, wet of onderwerp.
Inleiding Aansprakelijkheid van internal auditors Renze Munnik (2009)
(7)
2 Functioneren en aansprakelijkheid van internal auditors in de theorie 2.1
Inleiding
In dit hoofdstuk wordt uiteengezet hoe het functioneren en de aansprakelijkheid van internal audit in de theorie beschreven is. Als eerste wordt in 2.2 de rol en positie van internal audit beschreven. Hierbij wordt ingegaan op de definities van de auditfunctie en de rol en positie binnen de organisatie. De rol en positie van de interne auditor wordt toegelicht aan de hand van (economische) theorieën. Te weten de agency theorie en de three lines of defence. Vervolgens wordt de samenhang tussen deze theorieën in relatie tot internal audit besproken. Nadat de rol en positie is toegelicht wordt in 2.3 uiteengezet op basis van welke punten het functioneren van de internal auditor beoordeeld kan worden. Ten eerste door te kijken naar wat het Instituut van Internal Auditors (IIA6) daarover vermeldt en vervolgens hoe het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA) het functioneren van de accountant (welke ook internal auditor kan zijn) definieert. Tevens wordt uiteengezet wat de Nederlandse Orde van Register EDP Auditors (NOREA) stelt ten aanzien van het functioneren van IT-auditors (welke ook internal auditor kunnen zijn). Daarna wordt toegelicht welke punten in dit onderzoek gehanteerd worden ten aanzien van het functioneren van de auditor en wat de wet zegt over het functioneren van de auditor. De aansprakelijkheid van de auditor wordt in 2.4 behandeld. Dit wordt ondermeer belicht in het kader van diverse wetgevingen en regels van beroepsorganisaties. Vervolgens wordt de samenhang beschreven tussen de principes van het functioneren van de auditor en de aansprakelijkheid. Afrondend wordt in 2.5 de samenvatting gegeven van dit hoofdstuk, gevolgd door de conclusies.
2.2
Rol en positie van internal audit
2.2.1
Definitie van internal audit
“Audit: kritisch onderzoek naar de bedrijfsvoering”7 De internal auditfunctie werkt binnen de organisatie in opdracht van het management. Dit kan in principe alle lagen van het management omvatten. Zij voert hiervoor onderzoeken uit naar verschillende onderwerpen. Bijvoorbeeld naar financiële processen, klachtafhandeling door de klantservice of logistieke processen in het magazijn.
6 7
Tijdens het lezen van dit referaat kunnen afkortingen teruggevonden worden in bijlage A. Van Dale onlinewoordenboek
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(8)
Zij controleert of de processen binnen de organisatie voldoen aan de norm die de organisatie (het management) hiervoor heeft gesteld. Dit in tegenstelling tot de externe auditor welke niet toetst aan de norm van het management. Hij toetst aan de normen die hijzelf nodig acht om voldoende zekerheid te verkrijgen over het object van onderzoek (veelal de jaarrekening). Met de oprichting van het IIA in 1941 kwam een evolutie op internal auditgebied. Waar voorheen de external auditor bepaalde hoe internal audits uitgevoerd moesten worden werd nu de scope van internal audits uitgebreid naar het beoordelen van alle verrichtingen van de organisatie. Auditing werd nog maar een van de functies van internal audit8. Hieronder volgen twee veel gehanteerde definities van internal audit. Hieruit is tevens te zien dat de internal auditfunctie zich niet enkel tot auditing hoeft te beperken. “Internal audit acts as an independent appraisal activity to review operations as a service to the organisation by measuring and evaluating the adequacy of controls and the efficiency and effectiveness of performance. (…) Internal auditors are vitally involved in all matters related to organisational governance and risks.” [Sawyer, 2003] “Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.” [IIA, 2004] Sawyer spreekt ten aanzien van internal audit nog enkel over een appraisal activity (beoordelen). Internal audit is voor het toetsen van controlemaatregelen en de efficiency en effectiviteit. Het gaat hierbij volgens Sawyer om de governance en de risico’s van de organisatie. Het IIA daarentegen, heeft in de definitie ook adviserende taken (consulting activity) aan de internal auditfunctie toegewezen. De interne auditor toetst niet enkel of de organisatie de juiste maatregelen treft, maar adviseert tevens hoe de organisatie haar doelen kan bereiken. Een significante toevoeging aan de definitie ten opzichte van de definitie zoals Sawyer die stelt. Tevens heeft deze uitbreiding de nodige impact op de onafhankelijkheid / objectiviteit van de auditor. 2.2.2
Rol en positie van internal audit
Zoals in de voorgaande paragraaf beschreven is internal audit – zoals de naam aangeeft – een auditfunctie. Dit betekent dat zij primair bestaat om de processen – en met name de controlemaatregelen – binnen de organisatie te toetsen aan de norm. Dat in een later stadium tevens adviesdiensten aan het takenpakket zijn toegevoegd komt met name door het totaal overzicht dat de internal auditfunctie heeft over de organisatie en de kennis die zij heeft met betrekking tot de beheersing van processen. Dit doet echter niets af aan het feit dat zij primair is bedoeld voor haar controlerende taak.
8
John B. Thurston [Sawyer, 2003]
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(9)
In de loop der tijd zijn er verschillende theorieën ontwikkeld met betrekking tot de structurering van organisaties. Hieronder worden twee belangrijke theorieën belicht die wat meer licht werpen op het belang van de (internal) auditfunctie in organisaties. Agency theorie De agency theorie gaat uit van het onderscheid tussen de eigenaar van economische resources (de principaal) en de managers (de agenten) die belast zijn met het gebruik en de aansturing van deze resources. De principalen huren – middels contracten – agenten in om de organisatie te sturen en de belangen van de principalen te behartigen. Echter, de agenten beschikken hierdoor over meer informatie dan de principalen. Dit wordt de informatieasymmetrie genoemd [Jensen & Meckling, 1976]. Deze informatieasymmetrie zorgt ervoor dat de principalen beperkt worden in hun mogelijkheden om te monitoren in hoeverre hun belangen worden behartigd door de agenten. Een tweede aanname van de agency theorie is dat de agenten rationeel handelen en de contracten gebruiken ten behoeve van hun eigen welvaart. Deze aanname leidt tot een mogelijk moral hazard probleem. Om hun eigen belangen (welvaart) te maximaliseren kunnen de agenten voor het dilemma komen om tegenstrijdig te handelen met de belangen van de opdrachtgevers (de principalen). De principalen kunnen niet beoordelen of de beslissing van de ageent in het belang van de organisatie is [Jensen & Meckling, 1976]. Zij hebben namelijk niet de beschikking over alle beschikbare informatie op het moment dat er een besluit genomen wordt door de agent. Om dit probleem te voorkomen (verminderen) en het moral hazard probleem te voorkomen sluiten de principalen en agenten contracten af. Die dienen om zoveel mogelijk te proberen een optimale situatie voor beide te creëren. Dit betreft onder andere monitoring processen zoals internal audit [Adams, 1994]. Internal auditing wordt hierbij gezien als kosten die door de agent gedragen worden om te kunnen voldoen aan de eisen die de principaal stelt ten aanzien van de verantwoording door de agent [Sherer & Kent, 1983]. Relatie agency theorie ten aanzien van auditing In bovenstaande toelichting over de agency theorie is de principaal (de opdrachtgever) bijvoorbeeld de Raad van Bestuur (RvB) of Raad van Commissarissen (RvC) van de organisatie of (in mindere mate) de aandeelhouders. Het betreft hier de interne relaties binnen de organisatie, waarbij de internal auditfunctie een monitorende rol vervult in opdracht van de principaal. Internal audit toetst de processen van de organisatie aan de norm die de principaal opstelt. Deze relatie komt ook overeen met de positionering van de internal auditfunctie binnen de organisatie. Zij is ten aanzien van de operationele activiteiten en de overige afdelingen binnen de organisatie onafhankelijk (maakt hier geen onderdeel van uit). Tevens heeft internal audit een directe rapportagelijn naar de RvB en de auditcommissie9 (welke in relatie staat met de RvC). De agency theorie is echter niet enkel intern op de organisatie toe te passen. Er is ook een extern principaal-agent probleem. Hierbij kan gedacht worden aan toezichthouders, de Belastingdienst, 9
Auditcommissie wordt veelal Audit Committee genoemd. In dit referaat hanteer ik de Nederlandse benaming hiervoor.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(10)
investeerders en beurzen. Zij hebben specifieke belangen bij de organisatie, maar beschikken niet over alle informatie om de juiste beslissingen te kunnen maken. Zij weten niet of de beslissingen die de organisatie neemt op dat moment in hun belang is (denk hierbij met name aan instanties zoals de Belastingdienst en toezichthouders). En vanuit deze principalen gezien, maakt internal audit onderdeel uit van de organisatie waarover zij informatie behoeven. Met betrekking tot dit externe principaal-agent probleem vervult de externe auditor de monitoring functie. De kosten hiervan worden gedragen door de organisatie (de agent) om te voldoen aan de verantwoordingsplicht ten aanzien van de (externe) principalen [Defond, 1992; Francis & Wilson, 1988]. Internal en external audit complementeren elkaar hierbij in het verminderen van de principaal-agent problemen waarmee organisaties te kampen hebben [Ettredge e.a., 2000]. Three lines of defence De agency theorie gaat er met name om dat de agent informatie heeft die de principaal niet heeft waardoor de agent er een eigen agenda op na kan houden. Uitgangspunt hierbij is dat de verschillende functies (binnen de organisatie) verschillende belangen kunnen hebben en niet perse dezelfde doelen nastreven. Zij zullen hun eigen agenda nastreven. En daarom moet een en ander in goede banen geleid worden. Er moet een vertrouwde derde partij zijn (trusted third party). De tweede theorie die hier belicht wordt gaat over de three lines of defence – drie linies van verdediging – waarbij er vanuit wordt gegaan dat de verschillende functies binnen de organisaties hetzelfde doel nastreven. Zij werken samen om de gestelde doelen te bereiken. Hierbij kunnen zij echter verschillende problemen tegenkomen die het bereiken van hun doelen kunnen dwarsbomen. In het kader van risk management governance kan de verdediging van de organisatie tegen risico’s verdeeld worden in drie linies van de verdediging; de three lines of defence. [Booz&Co, 2008] Deze linies zorgen door middel van preventieve maatregelen tot meer detectieve maatregelen ervoor dat de organisatie in control kan blijven en risico’s het hoofd geboden kunnen worden. Hieronder worden de drie linies van de verdediging toegelicht. Top management en de front office dienen als de meest preventieve maatregel in het omgaan met risico’s. Zij moeten zorgen voor een cultuur binnen de organisatie waarin risico’s voldoende geadresseerd worden. Hierbij gaat het mede om het bepalen van de portfolio van de organisatie en de bewustwording van de medewerkers om zich aan de regels / grenzen te houden en vrijstelling aan risico’s te minimaliseren. Vervolgens zullen top management en de front office de organisatie continu monitoren om tijdig te kunnen signaleren wanneer bijsturen vereist is. De risk management functie binnen de organisatie is de belangrijke tweede linie in de verdediging. Deze functie beschikt over specifieke kennis ten aanzien van het managen van risico’s en dient als waakhond voor de organisatie. Door hun kennis en ervaring in de business en de specifieke kennis over risico management dienen zij als adviseur voor de organisatie met betrekking tot waar zij risico’s loopt en hoe deze geadresseerd kunnen worden. Door hun positie binnen de organisatie zijn zij is staat om risico’s organisatiebreed te identificeren en de relevante personen hiervan op de hoogte te stellen en/of samen te laten werken bij het mitigeren van deze risico’s.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(11)
De laatste linie is audit. Waar de eerste twee linies zorgen voor het identificeren van risico’s, het creëren van de juiste cultuur (en control environment) en de interne controlemaatregelen binnen de organisatie is voor de auditor de taak weggelegd om vast te stellen of de getroffen maatregelen in voldoende mate de risico’s afdekken en of deze maatregelen ook continu effectief werken. Uiteraard houdt het management zich bezig met de continue monitoring maar een onafhankelijke, objectieve partij kijkt met een frisse blik naar de maatregelen en – belangrijker – controleert niet haar eigen werk. In het kader van interne controle is het tevens belangrijk dat er ook iemand is die een objectief oordeel kan geven over de manager die verantwoordelijk is voor day-to-day business. De internal auditafdeling is hierbij het extra paar ogen voor het bestuur om in de gaten te houden of er geen zaken gemist worden in de eerste twee linies van de verdediging. In het artikel van Booz&Co. wordt bij de three lines of defence de vergelijking gemaakt met voetbal. “Als een keeper een redding mist, dan hebben voor hem tien andere spelers deze al gemist.” De auditor kan in deze beeldspraak gezien worden als de laatste rij verdedigers die voor de keeper (het bestuur) staat. Als de eerste twee linies met spelers (topmanagement en front office, en de risk management functie) worden gepasseerd, is het aan de auditor om de bal tegen te houden voordat deze bij de keeper komt. Objectiviteit / onafhankelijkheid lines of defence Wanneer we kijken naar de drie linies van verdediging is internal audit eigenlijk de enige objectieve, onafhankelijke line of defence. Top management is immers degene die de kaders voor zichzelf moet stellen. Zij waarborgen in principe enkel de belangen voor hun eigen functie. De risk management functie is wel objectiever dan het top management – het is immers een aparte functie binnen de organisatie en opereert organisatiebreed – maar fungeert grotendeels als partner in business voor het top management. De risk management functie ondersteunt het top management namelijk bij het identificeren van mogelijke risico’s en geeft bij het management aan hoe zij deze risico’s kan mitigeren. Wanneer zij dit in de praktijk gaat monitoren betekent dat risk management haar eigen werk controleert. De aanwezige controlemaatregelen zijn door haarzelf voorgesteld, dus is zij niet onafhankelijk in haar beoordeling. Deze eerste twee linies van de verdediging maken deel uit van de reguliere management cyclus [IIA, 2004]. Dit houdt in dat deze functies vaak (mede) verantwoordelijk zijn voor het beleid en/of de implementatie van maatregelen met betrekking tot risicomanagement, compliance of interne controle binnen de organisatie. Tevens vervullen deze afdelingen een faciliterende – of zelfs uitvoerende – rol bij het uitvoeren van dit beleid en het rapporteren over de behaalde resultaten. De internal auditfunctie heeft hierbij echter een andere rol. Zij maakt geen deel uit van de reguliere management cyclus. Zij geeft niet zelf aan welke controlemaatregelen aanwezig moeten zijn en hoe deze ingericht dienen te worden, maar evalueert enkel het functioneren van de organisatie op basis van een vooraf gesteld normenkader. Daarmee opereert zij objectiever dan de eerste twee linies van de verdediging.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(12)
Samenhang tussen agency theorie en three lines of defence In het licht van de agency theorie (informatieasymmetrie) zoeken de verschillende stakeholders naar een onafhankelijke partij die kan toetsen of de organisatie de juiste doelen nastreeft en in het kader daarvan de juiste beslissingen neemt. De three lines of defence vormen de linies die waarborgen dat de organisatie haar eigen doelen kan bereiken. De rol van de internal auditfunctie hierin vormt tevens een linie ter verdediging van de stakeholderbelangen. Bij deze linies van de verdediging wordt veelal de externe auditor ook betrokken als een extra partij die onafhankelijk naar de organisatie kijkt. Deze beoordeelt hierbij bijvoorbeeld ook het functioneren van de internal auditfunctie, maar heeft door zijn externe positie meer onafhankelijkheid ten aanzien van de organisatie waardoor hij meer vrijheid heeft om over onvolkomenheden te rapporteren (zie 2.4.7 over de impliciete druk die de interne auditor heeft ten aanzien van zijn werkgever). De rol van de externe auditor wordt (mede door de wettelijke grondslag) met name vereist ten aanzien van externe stakeholders zoals toezichthouders en de Belastingdienst.
2.3
Wat is het functioneren van de auditor?
Nadat in voorgaande paragraaf is toegelicht wat internal audit is en wat de functie van de internal auditor is, zal nu ingegaan worden op wat het functioneren van de auditor inhoudt. Hieronder staat beschreven hoe in dit onderzoek het functioneren wordt gedefinieerd. 2.3.1
Functioneren
“Doen wat je moet doen”10 Functioneren houdt in, het doen wat je moet doen. Dit impliceert een voorafgestelde norm voor het goed functioneren. Apparaten, bijvoorbeeld, dienen te doen waarvoor zij gemaakt zijn. Zij dienen te doen wat er in de handleiding staat beschreven. Is dit niet het geval, dan functioneert het apparaat niet (of onvoldoende). Hetzelfde geldt voor werknemers. De norm voor het goed functioneren van een werknemer bij een bedrijf is de taakomschrijving onderliggend aan zijn contract. Indien de werknemer niet doet wat er volgens zijn taakomschrijving van hem verwacht wordt, dan kan gesteld worden dat hij niet of onvoldoende functioneert. Om in dit onderzoek te spreken over het functioneren van de internal auditor dient daarom eerst vastgesteld te worden wat de norm is waaraan het wel of niet functioneren van de auditor getoetst kan worden. Uiteraard geldt voor de auditor die in dienst is van de organisatie zijn arbeidscontract waarin beschreven staat welke taken hij uit dient te voeren. Dit onderzoek is echter gericht op de internal auditor als onderdeel van de beroepsgroep in zijn geheel en niet op individuele afspraken met internal auditors die in hun contracten worden gesloten.
10
theFreeDictionary
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(13)
Voor het bepalen van de criteria voor het functioneren van de internal auditor wordt hierna beschreven wat drie belangrijke beroepsorganisaties hierover vermelden. Ten eerste het IIA en de Stichting Verenigde Register Operational auditors (SVRO)11 en vervolgens het NIVRA en de NOREA. Het IIA/SVRO omdat zij de beroepsgroep van internal auditors in het algemeen vertegenwoordigt (en de operational auditors). Het NIVRA wordt behandeld aangezien zij de interne accountants vertegenwoordigt (een subcategorie van de internal auditors) en tevens gezien haar rol ten aanzien van register accountants – een groep auditors waar al langere tijd een beroepsgroep voor bestaat welke ook juridisch haar plaats heeft verworven. De NOREA wordt hier belicht aangezien deze de IT-auditors vertegenwoordigt welke een subcategorie van internal auditors zijn. 2.3.2
IIA/SVRO over het functioneren van de auditor
Het IIA heeft – als overkoepelende beroepsorganisatie voor internal auditors – de code of ethics opgesteld waaraan de internal auditors dienen te voldoen welke ingeschreven staan bij het IIA. Hierin staan de principes beschreven waaraan de auditor zich dient te houden, met de rules of conduct waarin deze principes worden vertaald naar hoe de auditor zijn werk hoort uit te voeren [IIA, 2009]. Te weten:
Integriteit
Objectiviteit
Vertrouwelijkheid
Bekwaamheid
Deze principes worden hieronder behandeld. Integriteit Integriteit draagt zorg voor het verkrijgen van vertrouwen en vormt daarmee de basis voor het steunen op het oordeel van de auditor. Om dit te waarborgen dient de auditor eerlijk en verantwoordelijk te zijn in zijn werk. Verder dient hij zich aan de wet te houden en aan het licht te brengen wat de wet en het beroep van hem verwachten. Tevens wordt onder integriteit begrepen dat de auditor zich niet in mag laten met illegale activiteiten of activiteiten die schadelijk zijn voor het internal auditberoep of de organisatie. Objectiviteit De internal auditor moet de grootste mate van objectiviteit tonen bij het uitoefenen van zijn taak. De auditor maakt een evenwichtige afweging van alle relevante omstandigheden. Hij laat zich niet beïnvloeden door zijn eigen belangen of door anderen bij het vormen van zijn mening. 11
In 2008 zijn het IIA en de VRO (Vereniging van Register Operational auditors) gefuseerd. De VRO is vervangen door de Stichting VRO (Verenigde Register Operational auditors) welke ondermeer het register van RO-leden beheert.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(14)
Om deze objectiviteit te waarborgen laat de auditor zich niet in met activiteiten die zijn oordeel aantasten of waarvan aangenomen kan worden dat deze zijn oordeel aantasten. Dit houdt tevens in die activiteiten of relaties die tegenstrijdig zijn aan de belangen van de organisatie. Verder wordt de auditor geacht niets aan te nemen dat zijn oordeel beïnvloedt of zou kunnen beïnvloeden. Hij zal ieder materieel feit dat hij kent aan het licht brengen dat – wanneer niet onthuld – de rapportage van het onderzoek zou verstoren. Vertrouwelijkheid De auditor respecteert de waarde en het eigendom van de informatie die hij ontvangt. Hij zal deze informatie niet naar buiten brengen zonder de juiste goedkeuring, tenzij daar een wettelijke of professionele verplichting voor is. De auditor zal hiervoor zorgvuldig omgaan met het gebruik en de beveiliging van de informatie die hij tijdens zijn werk verkrijgt. De informatie die hij verkrijgt zal hij niet gebruiken voor zijn eigen gewin of op enige wijze die afbreuk doet aan de legitieme en ethische doelstellingen van de organisatie. Bekwaamheid Internal auditors passen de kennis, vaardigheden en ervaring toe die benodigd is voor het uitvoeren van internal auditdiensten. Om dit te kunnen waarborgen dient de auditor enkel opdrachten te accepteren waarvoor hij de juiste kennis, vaardigheden en ervaring heeft. Na acceptatie van de opdracht moet de auditor zijn werkzaamheden uitvoeren conform de international standards for the professional practice of internal auditing zoals opgesteld door het IIA [IIA, 2008]. Om over de juiste kennis en vaardigheden te blijven beschikken wordt de internal auditor geacht te werken aan het voortdurend verbeteren van zijn vaardigheden en de doeltreffendheid en de kwaliteit van zijn diensten. De auditors die ingeschreven zijn bij het IIA zijn gebonden aan de permanente educatieplicht (PE) SVRO Ondanks het samengaan van het IIA en de VRO12 heeft de SVRO nog een eigen document met de gedrags- en beroepsregels voor register operational auditors (GBRO) [VRO, 1995]. Hierin staan niet expliciet de principes vermeld zoals deze door het IIA worden gesteld in de code of ethics, maar de artikelen uit de gedrags- en beroepsregels hebben wel een duidelijke relatie hiermee.
12
De VRO – Vereniging voor Operational Auditors – is na het samengaan met het IIA een stichting opgericht – Stichting Verenigde Operational Auditors (SVRO) – waar het register van operational auditor is ondergebracht.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(15)
De tabel hieronder toont de gedrags- en beroepsregels van de SVRO en hoe deze aan de code of ethics van het IIA gekoppeld kunnen worden. Het IIA heeft naast de code of ethics tevens gedrags- en beroepsregels [IIA, 1998]. Deze zijn vrijwel identiek aan de regels van de SVRO. Voor de volledigheid zijn deze in onderstaande tabel toegevoegd. (S)VRO Gedrags- en Beroepsregels Art.5.1 De Operational Auditor is
IIA Gedrags- en Beroepsregels 13
Art.5.1 Idem .
IIA Code of Ethics Bekwaamheid
verantwoordelijk voor het handhaven van een voldoende niveau van zijn vaktechnische kennis en vaardigheden. 13
Art.5.2 Idem .
Bekwaamheid
Art.6.1 De Operational Auditor draagt
Art.6.1 De Internal Auditor draagt zorg
Bekwaamheid,
zorg voor een deugdelijke grondslag
voor een deugdelijke grondslag voor de
objectiviteit
voor de door hem gegeven oordelen en
door hem gegeven oordelen en adviezen
adviezen en draagt zorg voor het
en draagt er zorg voor dat deze oordelen
verstrekken van relevante informatie
en adviezen een duidelijk beeld geven
omtrent de uitkomsten van de
van de uitkomsten van zijn arbeid en
onderzoeken. Onder relevante informatie
relevante informatie bevatten, waaronder
wordt in dit verband verstaan informatie
in dit verband wordt verstaan informatie,
die voldoet aan de eisen van objectiviteit,
die voldoet aan de eisen van objectiviteit
tijdigheid en volledigheid.
en volledigheid.
Art.6.2 De Operational Auditor formuleert
Art.6.2 In de door de Internal Auditor
Integriteit,
zijn rapporten, oordelen en adviezen
afgegeven mededelingen dient de
bekwaamheid
zorgvuldig en geeft zich steeds
taakopdracht duidelijk te worden
rekenschap van de toepasselijkheid van
omschreven, waardoor onduidelijkheden
de gehanteerde werkmethoden.
omtrent de reikwijdte van zijn onderzoek
Art.5.2 De Operational Auditor voert zijn werkzaamheden uit in overeenstemming met vaktechnische normen en standaarden.
worden vermeden. Art.6.3 De Internal Auditor is gehouden zorg te dragen voor een zodanige registratie der verrichte werkzaamheden dat op aanvaardbare wijze een goed beeld van de uitvoering kan worden 13
Artikel is gelijk aan het artikel in de Gedrags- en Beroepsregels van de (S)VRO, waarbij de term “Operational Auditor” is vervangen door “Internal Auditor”.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(16)
(S)VRO Gedrags- en Beroepsregels
IIA Gedrags- en Beroepsregels
IIA Code of Ethics
gevormd. Hij is gehouden deze registratie gedurende zeven jaar te bewaren Art.7.1 De Operational Auditor draagt er
Art.7.1 De Internal Auditor houdt geheim
zorg voor dat vertrouwelijk informatie
al hetgeen hem in de uitoefening van zijn
waarover hij uit hoofde van zijn functie
beroep als geheim is toevertrouwd of wat
beschikt vertrouwelijk blijft. Deze regel
daarbij als een vertrouwelijke
lijdt uitzondering indien de wet zulks
aangelegenheid te zijner kennis is
bijzonderlijk van hem vordert.
gekomen, voor zover bij of krachtens de
Vertrouwelijkheid
wet niet anders wordt vereist. Art.7.2 De Internal Auditor maakt van vertrouwelijke gegevens die in de uitoefening van zijn beroep te zijner kennis zijn gekomen, niet verder of anders gebruik, en aan die gegevens geeft hij niet verder of anders bekendheid, dan voor de vervulling van zijn taak of bij of krachtens de wet wordt vereist Art.7.2 De Operational Auditor wendt
13
Art.7.3 Idem als SVRO art.7.2 .
vertrouwelijke informatie waarover hij de
Integriteit, vertrouwelijkheid
beschikking heeft niet aan voor de verkrijging van voordelen voor zichzelf of derden, die daartoe niet gerechtigd zijn. Art.8.1 De Operational Auditor draagt
13
Art.8.1 Idem .
Integriteit, objectiviteit
zorg voor zijn integriteit in de vervulling van zijn functie. Hij aanvaardt geen functies en hij verricht geen activiteiten die zijn functioneren als Operational Auditor kunnen schaden.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(17)
2.3.3
NIVRA over het functioneren van de auditor
Het NIVRA heeft ten aanzien van haar beroepsgroep de Verordening Gedragscode (VGC) waarin ondermeer staat vermeld aan welke principes de auditor (accountant) zich dient te houden bij het uitvoeren van zijn functie [NIVRA, 2009]. De principes van de VGC zoals hieronder besproken gelden voor iedere registeraccountant die optreedt als accountant (intern, extern en overheid). De vijf door het NIVRA gehanteerde principes omvatten:
Integriteit
Objectiviteit
Deskundigheid en zorgvuldigheid
Geheimhouding
Professioneel gedrag
Hieronder worden deze principes nader toegelicht. Integriteit (VGC hoofdstuk A-110) “De registeraccountant treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op.” Hiermee wordt bedoeld dat de auditor eerlijk te werk gaat en geen afbreuk doet aan de waarheid. Dit betekent tevens dat de auditor er zorg voor draagt dat hij niet in verband wordt gebracht met informatie die naar zijn oordeel onjuist, onvolledig of misleidend is of op onzorgvuldige wijze is verstrekt. Indien deze informatie toch verstrekt dient te worden kan de auditor dat doen mits hij deze voorziet van een mededeling waarin hij zijn bezwaren uit. Objectiviteit (VGC hoofdstuk A-120) “De registeraccountant laat niet toe dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde.” Hierover is het NIVRA heel kort: de auditor moet iedere situatie vermijden die zijn professionele oordeelsvorming nadelig kan beïnvloeden. Deskundigheid en zorgvuldigheid (VGC hoofdstuk A-130) “De registeraccountant houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een cliënt of werkgever adequate professionele diensten te kunnen verlenen. De registeraccountant handelt bij het verlenen van een professionele dienst zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.”
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(18)
Onderdeel hiervan is het zorgdragen dat de auditor voor de te leveren dienst over voldoende relevante ervaring beschikt. Hij moet maatregelen treffen die ervoor zorgen dat degenen die onder zijn verantwoordelijkheid werken de juiste opleiding hebben en onder adequaat toezicht staan bij de uitvoering van hun werkzaamheden. Met betrekking tot de deskundigheid van de auditor stelt het NIVRA dat hij deze moet verwerven en in stand moet houden. De auditor – ingeschreven bij het NIVRA – is daarvoor gebonden aan de permanente educatieplicht (PE). Om de zorgvuldigheid te waarborgen moet de auditor zijn werkzaamheden uitvoeren met toewijding, voldoende diepgang en moeten de werkzaamheden tijdig uitgevoerd worden. Hij moet hierbij voorkomen dat zijn oordeel wordt opgevat als een feitelijke bewering. Verder stelt hij daarvoor de klant en andere gebruikers van zijn diensten op de hoogte van de inherente beperkingen die verbonden zijn aan zijn diensten. Geheimhouding (VGC hoofdstuk A-140) “De registeraccountant eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen. Hij maakt deze informatie zonder specifieke machtiging daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat. Het is de registeraccountant niet toegestaan vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk handelen heeft verkregen, te gebruiken om zichzelf of een derde te bevoordelen.” De auditor mag de (vertrouwelijke) informatie die hij heeft verkregen tijdens zijn werkzaamheden niet buiten zijn eigen praktijk/organisatie of die van de opdrachtgever bekend maken, tenzij hij hiertoe wettelijk of professioneel verplicht of gerechtigd is. Tevens mag hij deze informatie niet gebruiken voor zijn eigen gewin. Verder stelt het NIVRA dat de auditor zich ook in zijn sociale omgang aan zijn geheimhoudingsplicht houdt en dat hij de noodzaak moet overwegen om ook binnen zijn eigen organisatie en de organisatie van de opdrachtgever de geheimhouding te waarborgen. Buiten het feit dat de auditor verantwoordelijk is voor zijn eigen handelen, wordt hij in de regels van het NIVRA tevens verantwoordelijk gesteld voor het handelen van de mensen die voor hem werken of bij wie hij advies vraagt. Hij moet hiervoor voldoende maatregelen treffen om te waarborgen dat zij de geheimhouding naleven. Professioneel gedrag (VGC hoofdstuk A-150) “De registeraccountant houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het accountantsberoep in diskrediet brengt.” Met professioneel gedrag duidt het NIVRA op het feit dat de accountant het accountantsberoep niet in diskrediet mag brengen. Bijvoorbeeld door te hoge verwachtingen te scheppen over de diensten die hij kan leveren of de kennis en ervaring waarover hij beschikt. Tevens mag hij niet een
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(19)
“geringschattende verwijzing” maken naar het werk van anderen (of een niet onderbouwde vergelijking hiermee). 2.3.4
NOREA over het functioneren van de auditor
De NOREA vertegenwoordigt de IT-auditors in Nederland. Om de RE titel (Register EDP auditor) te kunnen voeren dient men in het register van de NOREA ingeschreven te staan. Deze inschrijving brengt met zich mee dat de auditor zich aan de gedrags- en beroepsregels (Reglement Gedragscode14) van de NOREA moet houden [NOREA, 2006]. De gedrags- en beroepsregels van de NOREA zijn gebaseerd op de Code of Ethics van de International Federation of Accountants (IFAC). Artikel A-100.4 geeft de fundamentele beginselen waaraan de IT-auditor zich dient te houden. Deze beginselen zijn vrijwel gelijk aan de principes uit de VGC van het NIVRA. De tabel hieronder toont de relatie tussen de beginselen van de NOREA en de principes van het NIVRA (zoals in 2.3.3 toegelicht). Beginselen NOREA
Principes NIVRA
A-100.4a Integriteit
A-110 Integriteit
De IT-auditor treedt in zijn beroepsmatige en
De registeraccountant treedt in zijn beroepsmatige
zakelijke betrekkingen eerlijk en oprecht op.
en zakelijke betrekkingen eerlijk en oprecht op.
A-100.4b Objectiviteit
A-120 Objectiviteit
De IT-auditor accepteert niet dat zijn professioneel
De registeraccountant laat niet toe dat zijn
of zakelijk oordeel wordt aangetast door een
professioneel of zakelijk oordeel wordt aangetast
vooroordeel, belangentegenstelling of ongepaste
door een vooroordeel, belangentegenstelling of
beïnvloeding door een derde.
ongepaste beïnvloeding door een derde.
A-100.4c Deskundigheid en zorgvuldigheid
A-130 Deskundigheid en zorgvuldigheid
De IT-auditor houdt zijn deskundigheid en
De registeraccountant houdt zijn deskundigheid en
vaardigheid op het niveau dat is vereist om aan een
vaardigheid op het niveau dat is vereist om aan een
opdrachtgever professionele diensten te kunnen
cliënt of werkgever adequate professionele diensten
verlenen in overeenstemming met actuele
te kunnen verlenen. De registeraccountant handelt
ontwikkelingen in de praktijk, wetgeving en
bij het verlenen van een professionele dienst
vaktechniek. De IT-auditor handelt bij het verlenen
zorgvuldig en in overeenstemming met de van
van professionele diensten zorgvuldig en in
toepassing zijnde vaktechnische en overige
overeenstemming met de van toepassing zijnde
beroepsvoorschriften.
vaktechnische en overige beroepsvoorschriften. A-100.4d Geheimhouding
A-140 Geheimhouding
De IT-auditor eerbiedigt het vertrouwelijke karakter
De registeraccountant eerbiedigt het vertrouwelijke
14
De GBRE (Reglement Gedrags- en Beroepsregels Register EDP-Auditors) is met ingang van 14 juli 2006 vervangen door Code of Ethics voor IT-auditors (Reglement Gedragscode) welke gebaseerd is op de Code of Ethics van de IFAC [NOREA, 2006]
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(20)
Beginselen NOREA
Principes NIVRA
van informatie die hij in het kader van zijn
karakter van informatie die hij in het kader van zijn
beroepsmatig en zakelijk handelen heeft verkregen.
beroepsmatig en zakelijk handelen heeft verkregen.
Hij maakt deze informatie zonder specifieke
Hij maakt deze informatie zonder specifieke
machtiging daartoe niet aan een derde bekend,
machtiging daartoe niet aan een derde bekend,
tenzij wettelijk of beroepshalve een recht of plicht
tenzij wettelijk of beroepshalve een recht of plicht
daartoe bestaat. Het is de IT-auditor niet
daartoe bestaat. Het is de registeraccountant niet
toegestaan vertrouwelijke informatie die hij bij zijn
toegestaan vertrouwelijke informatie die hij bij zijn
beroepsmatig of zakelijk handelen heeft verkregen,
beroepsmatig of zakelijk handelen heeft verkregen,
te gebruiken om zichzelf of een derde te
te gebruiken om zichzelf of een derde te
bevoordelen.
bevoordelen.
A-100.4e Professioneel gedrag
A-150 Professioneel gedrag
De IT-auditor houdt zich aan de voor hem relevante
De registeraccountant houdt zich aan de voor hem
wet- en regelgeving en onthoudt zich van handelen
relevante wet- en regelgeving en onthoudt zich van
dat het auditberoep in diskrediet brengt. Bij
handelen dat het accountantsberoep in diskrediet
samenloop van functies dient een zodanige
brengt.
zorgvuldigheid in acht genomen te worden dat de relatie tussen het optreden c.q. het uiting geven als Register EDP-auditor en de andere functie ondubbelzinnig bepaald is.
2.3.5
Het functioneren van de auditor in dit onderzoek
Uit bovenstaande principes die door de beroepsorganisaties worden voorgeschreven kan geconcludeerd worden dat zowel het IIA/SVRO als het NIVRA en de NOREA dezelfde principes nastreven voor het functioneren van de auditors. Deze principes tonen veel gelijkenis met elkaar. Bij de regels van het NIVRA wordt meer nadruk gelegd op het feit dat een accountant veelal betrokken is bij het verschaffen van informatie die door anderen is opgesteld, terwijl de regels van het IIA uitgaan van informatie (rapportages) die door de auditor zelf zijn opgesteld. Dit komt met name tot uiting bij “integriteit” waar het IIA stelt dat de auditor zelf zorgvuldigheid dient te tonen in het representeren van de informatie, terwijl het NIVRA voorschrijft dat de auditor niet in verband gebracht mag worden met onjuiste, onvolledige of onjuiste informatie. Waar het IIA nadrukkelijk gericht is op het handelen van de auditor zelf, legt het NIVRA tevens de verantwoordelijkheid bij de auditor voor het handelen van degenen die voor hem werken. Dit is bijvoorbeeld te zien bij “deskundigheid en zorgvuldigheid” en “geheimhouding”. De auditor wordt daar aangesproken op het feit dat hij moet zorgdragen voor voldoende opleiding en toezicht van degenen die voor hem werken en dat zij de regels ten aanzien van de geheimhoudingsplicht naleven.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(21)
Het enige principe dat het NIVRA en de NOREA expliciet vermelden dat niet bij de principes van het IIA voor komt is het professionele gedrag van de auditor, waarmee wordt bedoeld dat hij het beroep niet in diskrediet mag brengen. Echter, de gedrags- en beroepsregels van zowel het IIA als de SVRO hebben naast de principes van het IIA een separaat artikel waarin zij stellen dat de internal/operational auditor zich dient te onthouden van alles dat schadelijk is voor het IIA/de SVRO15. Hierbij geeft het IIA tevens aan dat de auditor zich moet onthouden van alles dat schadelijk is voor “de eer van stand der internal auditors”. Gezien de nauwe relatie met integriteit zal in dit onderzoek het principe “professioneel gedrag” onder “integriteit” geschaard worden. Wanneer we deze principes naast de definities van internal auditing houden (zie 2.2) ontbreekt er echter nog een belangrijk aspect: onafhankelijkheid16. Onafhankelijkheid in het kader van auditing houdt in dat de auditor zelfstandig is ten opzichte van het object van onderzoek. De auditor heeft de vrijheid om een eigen oordeel te vormen over het functioneren van het onderzoeksobject. Dit vormt onderdeel van de principes “objectiviteit” en “integriteit” die stellen dat de auditor zelf een evenwichtige afweging moet maken van alle relevante omstandigheden, zich niet laat beïnvloeden door zijn eigen belangen of door derden en dat hij geen afbreuk doet aan de werkelijkheid. Vandaar dat onafhankelijkheid – al wordt dat vaak als specifiek punt van een auditor genoemd – niet een expliciet principe is dat in de gedrags- en beroepsregels wordt genoemd. De punten (principes) die in dit onderzoek gebruikt worden zijn (op basis van bovenstaande) de volgende: 1. Integriteit (inclusief professioneel gedrag) 2. Objectiviteit 3. Deskundigheid en zorgvuldigheid 4. Vertrouwelijkheid / geheimhouding 2.3.6
Het functioneren van de auditor volgens de wet
Hierboven is beschreven hoe de beroepsorganisaties aankijken tegen het functioneren van de auditor en hoe het functioneren van de auditor voor dit onderzoek is gedefinieerd. Met betrekking tot de aansprakelijkheid is het met name ook van belang om te weten hoe het functioneren van de auditor in de wet is beschreven. Bij een eventuele wettelijke aansprakelijkheid dient immers de wet een norm te geven waaraan de auditor dient te voldoen. Ten aanzien van de internal auditor is in Nederland echter geen wetgeving beschikbaar waarin de eisen staan gesteld waaraan het functioneren van deze auditor moet voldoen. Voor registeraccountants (een specifieke groep van onder andere internal auditors) zijn wel diverse wetten van toepassing17. In de Wet op de registeraccountants [WRA, 2009] staat niet specifiek 15
Artikel 4.1 in zowel [IIA, 1998] als [VRO, 1995] Sawyer’s definitie: “(…) independent appraisal activity (…)”, en de definitie volgens het IIA: “(…) independent, objective assurance and consulting activity (…)” 16
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(22)
beschreven waaraan het functioneren van de accountant moet voldoen, maar wordt een verwijzing gemaakt naar de Orde18 welke “heeft tot taak de bevordering van een goede beroepsuitoefening door de registeraccountants en de behartiging van hun gemeenschappelijk belang.” Hiermee wordt de taak bij het NIVRA gelegd om zorg te dragen voor het functioneren van de registeraccountants en impliciet daarmee een verwijzing naar de VGC zoals hiervoor besproken (2.3.3).
2.4
Aansprakelijkheid
2.4.1
Aansprakelijkheid
“Verantwoordelijkheid die in de wet is vastgelegd”19 Met deze definitie is het voornaamste verschil tussen verantwoordelijkheid en aansprakelijkheid meteen in kaart gebracht. Men kan voor veel zaken verantwoordelijk zijn, maar kan daar pas aansprakelijk voor gesteld worden wanneer deze verantwoordelijkheid wettelijk is vastgelegd. Om onderzoek te kunnen doen of aansprakelijkheid een positieve invloed kan hebben op de onafhankelijkheid van de interne auditor is het daarom belangrijk om eerst inzichtelijk te hebben wat aansprakelijkheid (wettelijk) inhoudt. Welke typen aansprakelijkheid kunnen er onderscheiden worden? Afhankelijk van de regels die overtreden worden gelden verschillende typen van aansprakelijkheid20: Recht / regels
Aansprakelijkheid
Burgerrecht
Burgerrechtelijke aansprakelijkheid
Strafrecht
Strafrechtelijke aansprakelijkheid
Administratiefrecht
Administratiefrechtlijk-tuchtrechtelijke aansprakelijkheid
Deontologische regels
Professioneel-tuchtrechtelijke aansprakelijkheid
Arbeidsrecht
Burgerrechtelijke / strafrechtelijke aansprakelijkheid
2.4.2
Burgerrechtelijke en strafrechtelijke regels
Het burgerrecht en het strafrecht betreffen regels waaraan iedere burger zich dient te houden. Het strafrecht gaat hierbij wel specifiek in op bestuurders en commissarissen van organisaties, maar beschrijft niet de regels waarop een auditfunctie (intern of extern) aangesproken kan worden. Anders dan het overtreden van de “reguliere” regels (verkeersovertredingen, moord, bedrog, overtredingen/misdrijven ten aanzien van de burgerlijke orde, etc.) [De Meuter, 1999; BW,
17
Wet op de Registeraccountants, Wet tuchtrechtspraak accountants en Burgerlijk Wetboek Boek 2. De Wet toezicht accountantsorganisaties is enkel van toepassing op externe accountants. 18 Nederlands Instituut van Registeraccountants (NIVRA) 19 Van Dale onlinewoordenboek 20 [De Meuter, 1999] aangevuld met arbeidsrecht aangezien dit onderzoek specifiek is gericht op de interne auditors in dienst van de organisatie (arbeidsrelatie met de opdrachtgever).
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(23)
2009]21[Sr, 2009]. Het Burgerlijk Wetboek duidt hierbij met name op “opzet” of “bewuste roekeloosheid” waarop werknemers aangesproken kunnen worden (Burgerlijk Wetboek boek 7). Zolang de taken dan wel verantwoordelijkheden van de interne auditor niet wettelijk zijn vastgelegd biedt dit onvoldoende basis om de auditor aan te spreken op de uitvoering van zijn werkzaamheden. Wanneer is er immers sprake van opzet of bewuste roekeloosheid, anders dan wanneer er sprake is van bijvoorbeeld fraude? Voor het opleggen van een schadevergoeding verwijst de wet (Burgerlijk Wetboek boek 6) wederom naar een wettelijke verplichting. “De schade die op grond van een wettelijke verplichting tot schadevergoeding moet worden vergoed, bestaat in vermogensschade en ander nadeel, dit laatste voor zover de wet op vergoeding hiervan recht geeft” [BW6, artikel 95] “Voor vergoeding komt slechts in aanmerking schade die in zodanig verband staat met de gebeurtenis waarop de aansprakelijkheid van de schuldenaar berust, dat zij hem, mede gezien de aard van de aansprakelijkheid en van de schade, als een gevolg van deze gebeurtenis kan worden toegerekend” [BW6, artikel 98] Zonder wettelijk vastgelegde taken van de interne auditor zal het daarom moeilijk zijn hierop aanspraak te maken op basis van de inhoudelijke uitvoering van zijn taak. 2.4.3
Administratiefrechtelijke regels
De derde categorie regels – de administratiefrechtelijke regels – hebben enkel betrekking op ambtenaren en daarmee niet op de beroepsgroep van interne auditors in het algemeen [De Meuter, 1999]. Zoals in de afbakening van de reikwijdte van dit onderzoek is aangegeven (zie 1.3) is dit onderzoek gericht op de internal auditors in dienst bij commerciële bedrijven en wordt het bestuursrecht (administratiefrecht) buiten beschouwing gelaten. 2.4.4
Deontologische regels en tuchtrecht
Voorgaande categorieën betreffen juridische regels (normen). Daarnaast heeft een auditor (als vrij beroep) te maken met beroepsdeontologische regels. Deze laatste worden door bijvoorbeeld beroepsorganisaties opgelegd, zoals het IIA/SVRO. De beroepsdeontologische regels hebben echter geen wettelijke grondslag. In voorkomende gevallen kunnen deze regels zelfs tegen de wettelijke bepalingen in gaan [De Meuter, 1999]. Voorbeeld hiervan is een beroepsdeontologische geheimhoudingsplicht die niet gepaard gaat met het bestaan van een wettelijk erkend beroepsgeheim. Wanneer de beroepsuitoefenaar vervolgens op basis van de beroepsdeontologische geheimhoudingsplicht weigert te getuigen bij een rechtszaak zal hij hiervoor gesanctioneerd worden. Dit uiteraard in tegenstelling tot wanneer hij een wettelijk erkend beroepsgeheim heeft. Bijkomend punt ten aanzien van de beroepsdeontologische regels is dat deze enkel van toepassing zijn op de beroepsuitoefenaars die bij de betreffende beroepsorganisatie zijn aangesloten. Een interne auditor die bijvoorbeeld niet bij het IIA/SVRO is ingeschreven zal niet aangesproken 21
Het Burgerlijk Wetboek (BW) bestaat uit 9 boeken onderverdeeld naar: 1) Personen- en familierecht, 2) Rechtspersonen, 3) Vermogensrecht in het algemeen, 4) Erfrecht, 5) Zakelijke rechten, 6) Algemeen gedeelte van het verbintenissenrecht, 7 en 7a) Bijzondere overeenkomsten, 8) Verkeersmiddelen en vervoer
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(24)
kunnen worden op basis van de beroeps- en gedragsregels zoals deze door het IIA/SVRO zijn gesteld. Op basis van de beroepsdeontologische regels kan de beroepsuitoefenaar eventueel voor de tuchtrechter komen indien de beroepsorganisatie tuchtrecht onderkent. Het IIA heeft in haar reglementen tuchtrechtspraak opgenomen22. Wanneer iemand van mening is dat een lid van het IIA niet conform de gedrags- en beroepsregels van het IIA handelt, kan hij/zij een (schriftelijke) klacht indienen bij de Raad van Tucht van het IIA. De Raad van Tucht zal de klacht in behandeling nemen en kan, wanneer deze gegrond wordt geacht, een van de volgende maatregelen opleggen23: Schriftelijke waarschuwing. Schriftelijke berisping. Schorsing in de rechten van het lidmaatschap der vereniging, voor ten hoogste zes maanden. Ontzetting uit het lidmaatschap der vereniging. Het is de Raad van Tucht niet mogelijk om schadevergoedingen toe te kennen24. Daarentegen kan de uitspraak van de tuchtrechter wel gebruikt worden als basis voor een civielrechtelijke procedure [Jansen & Lieverse, 1997]. De beslissing van de civiele rechter staat los van die van de tuchtrechter. Echter, de civiele rechter behoeft een deskundige beoordeling van de feiten en kan daarvoor gebruikmaken van de uitspraak van de vaktechnisch deskundige tuchtrechter. Voor de civiele uitspraak zal de door de tuchtrechter behandelde klachtwaardige handeling in gelijke mate relevant moeten zijn voor het civiele recht. In het advocatentuchtrecht kan de tuchtrechter uitspraak doen dat “ten aanzien van de betrokkene geen sprake is geweest van het aan de dag leggen van die zorgvuldigheid die in het bepaalde geval nodig was geweest” [Jansen & Lieverse, 1997]. Dit grijpt direct terug op het Burgerlijk Wetboek25 [Nieuwenhuis, Stolker & Valk, 2007]. De accountantswetten kennen deze mogelijkheid niet. De civiele rechter kan wel het oordeel van de tuchtrechter volgen, maar in dat geval zal nog moeten worden nagegaan of voldaan is aan de overige vereisten voor aansprakelijkheid [Jansen & Lieverse, 1997]. Ten aanzien van de interne auditors is tuchtrechtspraak alleen van toepassing op internal auditors die lid zijn van de beroepsvereniging (IIA/SVRO) of van het NIVRA26 (wanneer de internal auditor een registeraccountant is) of de NOREA (wanneer de internal auditor een IT-auditor is). Op interne auditors die geen lid zijn van deze beroepsverenigingen is geen tuchtrechtspraak van toepassing. 22
Opgenomen in de Gedrags- en beroepsregels (8.3 artikel 1 en 10) [IIA, 1998] van het IIA en het Reglement van Tucht (8.4) [IIA, 2008c]. 23 Artikel 6 van het Reglement van Tucht van het IIA [IIA, 2008c]. 24 Met ingang van de Wet tuchtrechtspraak accountants (Wtra) is het voor de Accountantskamer wel mogelijk om een geldboete op te leggen, eventueel in combinatie met een van de overige tuchtmaatregelen [Wtra, 2008]. Deze maatregel was voor de raden van tucht van het NIVRA nog niet beschikbaar en is als zodanig nog niet voorgekomen in de voor dit onderzoek geanalyseerde tuchtzaken (verwijs naar hoofdstuk 3, 3.4.4). 25 Burgerlijk Wetboek boek 7 artikel 400 e.v. [BW, 2009] 26 Het tuchtrecht ten aanzien van de register accountants (NIVRA) is vastgelegd in de WRA (Wet op de Registeraccountants) en de Wtra (Wet Tuchtrecht Accountants). De tuchtrechtelijke maatregelen zijn dezelfde als bij het IIA (waarschuwing, berisping, tijdelijke schorsing en doorhalen van de inschrijving in het register), met uitzondering van een geldboete zoals beschreven in voetnoot 24.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(25)
De maatregelen die de Raad van Tucht op kan leggen (zie eerder) hebben echter geen direct gevolg voor de beroepsuitoefening door de interne auditor. Voor het beroep van interne auditor is immers geen lidmaatschap van de beroepsvereniging verplicht. Bij doorhaling in het register kan de interne auditor nog steeds zijn beroep blijven uitoefenen. Binnen de beroepsgroep heeft men hiermee echter wel een slechte naam. 2.4.5
Arbeidsrecht
Wanneer het gaat om interne auditors die in dienst zijn van de organisatie is – naast de eerder genoemde wet- en regelgeving – het arbeidsrecht een belangrijk aandachtsgebied. Het rechtsgebied van arbeidsrecht bestaat uit een samenspel van veel verschillende wetten27. Deze omvatten met name wetten ter bescherming van de werknemer28. Deze gaan veelal niet in op de verantwoordelijkheid of aansprakelijkheid van de werknemer ten aanzien van het vervullen van zijn taak. Het Burgerlijk Wetboek (boek 7) gaat – naast de rechten van de werknemer en verplichtingen van de werkgever – in op enkele specifieke verplichtingen van de werknemer29. Hierin worden de volgende verplichtingen van de werknemer gesteld [Van der Heijden, 2006; BW, 2009] 29: De verplichting om de arbeid zelf te verrichten (art. 659). De verplichting om de instructies van de werkgever op te volgen (art. 660). De kwestie van aansprakelijkheid voor de schade, toegebracht aan de werkgever door de werknemer (art. 661). Een arbeidsongeschikte werknemer dient mee te werken aan reïntegratie (art. 660a). Artikel 611 bevat de algemene verplichting van de werknemer om zich als goed werknemer te gedragen. Deze artikelen geven niet direct grond voor aansprakelijkheid ten aanzien van een (interne) auditor die bijvoorbeeld risico’s niet heeft geïdentificeerd of onvoldoende diepgang in zijn controle heeft gehad waardoor zaken niet aan het licht zijn gekomen. Het eerder genoemde tuchtrecht kan – gezien de vaktechnische deskundigheid – wel een inhoudelijk oordeel vellen over de wijze waarop de auditor zijn werkzaamheden heeft uitgevoerd (of uit had moeten voeren). Deze uitspraak kan eventueel bij een civiele procedure als input dienen voor het beargumenteren dat de auditor zich niet als goed werknemer heeft gedragen. Afdeling 7 van het Burgerlijk Wetboek boek 7 heeft betrekking op de arbeidsrelatie tussen de werkgever en de werknemer. Tevens is het Burgerlijk Wetboek onderdeel van het burgerlijk recht (civiel recht) hetgeen regels stelt ten aanzien van de verhouding tussen burgers onderling. Er is geen centrale instantie die een zaak voor de rechter brengt, zoals dat wel het geval is bij het strafrecht. En aangezien een externe partij (beleggers of toezichthouders) geen arbeidsrelatie met de interne auditor hebben zullen zij deze niet aansprakelijk kunnen stellen op basis van bovengenoemde artikelen. 27
Rechtennieuws.nl, rechtsgebied Arbeidsrecht en sociale zekerheid. Voorbeelden: Arbeidsomstandighedenwet 1998, Arbeidstijdenwet, Wet arbeid en zorg, Wet arbeidsvoorwaarden grensoverschrijdende arbeid, Wet gelijke behandeling op grond van …, Wet op de collectieve arbeidsovereenkomst, Wet werk en bijstand 29 Burgerlijk Wetboek boek 7, afdeling 7, artikel 659 t/m 661 28
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(26)
2.4.6
Schuld- en risicoaansprakelijkheid
Het burgerlijk recht wordt onderscheid gemaakt tussen schuld en risico. Bij schuldaansprakelijkheid moet er sprake zijn van enige verwijtbaarheid aan de zijde van de het incident veroorzakende persoon om tot aansprakelijkheid te komen. [Hartkamp & Asser, 2006] Bijvoorbeeld: “Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt.” [BW6, artikel 162] Bij risicoaansprakelijkheid speelt 'schuld' geen rol. Als een bepaald risico zich voltrekt dan is daarmee de aansprakelijkheid gegeven. Een voorbeeld hiervan is de aansprakelijkheid van de eigenaar van een pand met een gebrek. Als door dat gebrek schade ontstaat, het huis van mijn buurman stort in door een constructiefout en bij het instorten ontstaat schade aan mijn schuur, dan is de eigenaar aansprakelijk voor mijn schade ook al kende hij het gebrek niet. Deze vorm van aansprakelijkheid heet behalve risicoaansprakelijkheid ook wel kwalitatieve aansprakelijkheid. Risicoaansprakelijkheid houdt in dat men aansprakelijk is voor de schade die een ander lijdt, zonder dat sprake is van schuld of verwijt. [Van Dam, 2006] Op grond van het Burgerlijk Wetboek (boek 7) geldt risicoaansprakelijkheid (onder andere) voor:
de werkgever voor de fouten van de werknemer, op voorwaarde dat het gedrag van de werknemer plaatsvindt in het kader zijn de overeengekomen werkzaamheden; de opdrachtgever van een niet-ondergeschikte, als de fout begaan wordt tijdens de werkzaamheden ten behoeve van het bedrijf van de opdrachtgever.
Dit betekent dat indien de internal auditor zijn werk niet goed uitvoert, de werkgever / opdrachtgever van de auditor hiervoor aansprakelijk gesteld zou kunnen worden in plaats van de auditor zelf. Dit zal veelal de CFO of de CEO zijn in opdracht van wie de internal auditfunctie haar taken uitvoert. Dit uiteraard met de kanttekening dat wanneer schuld aangetoond kan worden en/of opzet (of bewuste roekeloosheid) in het spel is, de internal auditor (als “regulier burger”) volgens het Burgerlijk Wetboek berecht kan worden. Nogmaals, dit heeft dan enkel betrekking op zijn positie binnen de maatschappij als burger en is niet gebaseerd op de vakinhoudelijke aspecten van zijn werk als internal auditor. 2.4.7
Samenhang tussen functioneren en aansprakelijkheid
Objectiviteit en integriteit Met onafhankelijkheid komt verantwoordelijkheid. Een zelfstandige functie binnen een organisatie zal zelf de verantwoordelijkheid moeten dragen voor haar werkzaamheden. Zoals eerder vermeld houdt verantwoordelijkheid echter niet perse aansprakelijkheid in. Aansprakelijkheid is alleen van toepassing wanneer de verantwoordelijkheid wettelijk is bepaald (hetgeen ten aanzien van de interne auditor niet het geval is).
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(27)
Tot nog toe ging de deontologie uit van de veronderstelling dat de interne auditor een redelijke onafhankelijkheid heeft. Echter, wanneer de werkgever de werkzaamheden van de interne auditor dicteert komt deze onafhankelijkheid in het gedrang [De Meuter, 1999]. Er ontstaat een spanningsveld tussen de deontologie en de werkelijke werksituatie van de auditor. Tevens zal de aansprakelijkheid van de interne auditor afhangen van de taken en opdrachten die hij uitvoert. Zo kan de auditor bijvoorbeeld als interne consultant optreden (zie ook 2.2.2) of projectmanagementtaken op zich nemen. Beide zijn taken die verder gaan dan de authentieke auditactiviteiten. Wanneer de taken van de interne auditor zich vermengen met bijvoorbeeld managementfuncties zal dit impact hebben op de aansprakelijkheid van de auditor [De Meuter, 1999]. Hij neemt hierbij immers andere verantwoordelijkheden op zich. De onafhankelijkheid van de interne auditor hangt echter ook sterk af van de positie van de internal auditor functie binnen de organisatie en de onderzoeken die zij uitvoert. Een audit charter bekrachtigd door het bestuur kan de internal auditfunctie van voldoende mandaat voorzien dat zij zelfstandig kan opereren binnen de organisatie [IIA, 2005] (“vrijheid, zelfstandigheid”). De interne auditor blijft echter in dienst van de organisatie en heeft hierdoor een afhankelijkheid van de werkgever. De onafhankelijkheid van internal audit kan expliciet (in het charter) wel geregeld zijn, maar impliciet zal de auditor zich ter dege bewust zijn van zijn afhankelijkheid van zijn werkgever. Zo kan het object van onderzoek beschikken over de baan van de internal auditor hetgeen – afhankelijk van de persoonlijkheid van de auditor – meer of minder invloed zal hebben op de diepgang of de resultaten van het onderzoek. De auditor kan vrees hebben zijn baan te verliezen, of in ieder geval de werksfeer negatief te beïnvloeden. Een auditor die niet in dienst is bij dezelfde organisatie zal deze druk niet voelen en ongehinderd onderzoek doen naar en rapporteren over de organisatie (inclusief het bestuur). Hierbij valt te denken aan een externe auditor (maar deze heeft veelal nog wel een financiële afhankelijkheid/relatie met de organisatie) of een toezichthouder (welke geen persoonlijke of financiële afhankelijkheid heeft). Bescherming onafhankelijkheid ten aanzien van de opdrachtgever Het Europees Parlement stelt ten aanzien van accountants welke belast zijn met wettelijke controles specifieke eisen aan de onafhankelijkheid [EU, 2006]. Dit omvat onder andere:
Afzijdig houden van interne besluitvorming van de gecontroleerde entiteit. Direct of indirect financieel belang bij de gecontroleerde entiteit. Honorarium (of honorariumstructuur) dat in rekening wordt gebracht bij de entiteit. Weigeren van niet-controlediensten die hun onafhankelijkheid in het gedrang brengen.
Tevens stelt het deze richtlijn [EU, 2006] dat een accountant (of accountantskantoor) de controleopdracht dient neer te leggen of ervan af te zien wanneer zij in een situatie komen te verkeren waarin de bedreiging voor hun onafhankelijkheid – zelfs na het nemen van veiligheidsmaatregelen om die bedreiging te beperken – te groot is. In haar groenboek over de positie van de accountant geeft de Europese Commissie een definitie voor de onafhankelijkheid van de accountant [EU, 1996]. Hierbij moet gedacht worden aan de onafhankelijkheid van geest en de uiterlijke onafhankelijkheid.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(28)
De onafhankelijkheid van geest betekent de instelling van de accountant in verband met alle aspecten van de taken die hij moet uitvoeren. De uiterlijke onafhankelijkheid gaat echter een stap verder dan wat doorgaans met onafhankelijkheid wordt bedoeld. Dit betreft namelijk “het vermijden van feiten en omstandigheden die ertoe kunnen leiden dat een derde partij die op de hoogte werd gesteld de objectiviteit van de accountant in vraag zou stellen.” Eerder in dit referaat (zie 2.4.7) werd vermeld dat bij de interne auditor de opdrachtgever/werkgever over de baan van de auditor beschikt. Daardoor zal de auditor een (impliciete) afhankelijkheid hebben/voelen ten opzichte van de opdrachtgever/werkgever. Het Europees Parlement heeft ten aanzien van accountants (belast met wettelijke controles) in de richtlijn een bepaling opgenomen om deze (impliciete) druk te vermijden. “De wettelijke auditor of het auditkantoor dient te worden benoemd door de algemene aandeelhouders- of ledenvergadering van de gecontroleerde entiteit. Om de onafhankelijkheid van de wettelijke auditor te beschermen, is het van belang dat deze alleen kan worden ontslagen wanneer daar gegronde redenen toe zijn, die aan de voor het publiek toezicht verantwoordelijke autoriteit of autoriteiten dienen te worden meegedeeld.” [EU, 2006] Iedere wet/regel blijkt in praktijk nog wel ruimte voor interpretatie te tonen. Echter, met dit soort regelgeving wordt wel een kader gecreëerd waarbij het voor een opdrachtgever aanzienlijk moeilijker wordt om “zomaar” de accountant te ontslaan wanneer de bevindingen niet naar wens van de opdrachtgever zijn. Door gebrek aan een wettelijk kader ten aanzien van de interne auditfunctie is een dergelijke bepaling niet beschikbaar die de positie/baan van de interne auditor beschermt. Een externe partij die door de organisatie wordt ingehuurd voor het uitvoeren van internal auditdiensten heeft niet deze afhankelijkheid ten aanzien van zijn baan. Zodoende is de externe partij onafhankelijker dan de interne auditor die in dienst is van de opdrachtgever. Afhankelijk van de relatie tussen de externe partij en de opdrachtgever kunnen echter commerciële belangen spelen welke de objectiviteit van de externe partij in het gedrang brengen. Zoals hierboven is aangegeven ([EU, 1996] en [EU, 2006]) zijn er ten aanzien van accountants belast met wettelijke controles wel wettelijke maatregelen betroffen. Tevens vindt er toezicht plaats op de werkzaamheden van deze accountants door bijvoorbeeld de Autoriteit Financiële Markten (AFM)30. Dit soort wettelijke bepalingen van de toezichthouders zijn echter niet van toepassing op internal auditdiensten die door externe partijen worden geleverd. Vertrouwelijkheid / geheimhouding Internal audit is een waarvan de beroepsorganisatie de professionele geheimhouding in de gedragsen beroepsregels heeft staan. Tevens werkt de beroepsuitoefenaar met gevoelige onderwerpen en vertrouwelijke informatie. Dit wekt (eventueel impliciet) de verwachting bij de betrokkenen (opdrachtgevers en auditees) dat de auditor betrouwbaar is en bedachtzaam met de ingewonnen
30
Autoriteit Financiële Markten is op basis van de Wta belast met het toezicht op de accountantsorganisaties [Wta, 2008].
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(29)
informatie om zal gaan. Men zal in het kader hiervan de auditor erop aanspreken wanneer hij vertrouwelijke informatie deelt met derden. De samenhang met aansprakelijkheid is met name te vinden in de afspraken die de auditor met zijn opdrachtgever hierover maakt. Zonder een specifieke vermelding hiervan in het contract is de enige grondslag waarop een auditor aangesproken kan worden de gedrags- en beroepsregels van de beroepsorganisatie. Internal audit is geen wettelijk geregeld beroep, waarmee ook de geheimhoudingsplicht van de auditor niet wettelijk is vastgelegd. In het kader van beroepsethiek en het naleven van de regels van de beroepsorganisatie kan de auditor hiervoor wel voor de tuchtrechter gedaagd worden mits de auditor is ingeschreven bij de beroepsorganisatie. Uiteraard kan de werkgever in het arbeidscontract met de werknemer ook een clausule opnemen met betrekking tot geheimhouding. Hiermee worden echter op individuele basis afspraken gemaakt en niet in het algemeen voor de beroepsgroep als geheel. Bekwaamheid Zoals hiervoor vermeld is internal audit geen wettelijk geregeld beroep. Met betrekking tot de bekwaamheid van de internal auditor zijn geen wettelijke vereisten vastgesteld. De bekwaamheid van de internal auditor is daarom met name onderwerp van het aanname en opleidingsbeleid van de organisatie waarin hij werkzaam is. Het IIA heeft hiervoor in de gedrags- en beroepsregels wel richtlijnen gesteld met betrekking tot de permanente educatieplicht (PE) van de auditor. Deze zijn echter enkel van toepassing op auditors die bij het IIA zijn ingeschreven. Inschrijving bij het IIA is echter niet noodzakelijk om het beroep van internal auditor uit te kunnen (en mogen) voeren. Dit is anders dan voor registeraccountants. Dit is een beschermd beroep en mag enkel uitgevoerd worden door die accountants die in het register zijn opgenomen. Ook het NIVRA heeft een permanente educatieplicht voor de ingeschrevenen. De rol van het NIVRA met betrekking tot het opleidingsniveau van de auditor (registeraccountant) is in de wet vastgelegd [WRA, 2009] waardoor er – qua wettelijke aansprakelijkheid – meer grondslag is om de accountant op zijn bekwaamheid aan te spreken.
2.5
Samenvatting en conclusies
Samenvatting
De internal auditor heeft als primaire taak het controleren van de organisatie. Met behulp van de agency theorie en de three lines of defence is uitgelegd wat de rol van internal audit is binnen de organisatie, ten behoeve van interne stakeholders (bijvoorbeeld het management en het bestuur) en maar ook ten behoeve van externe stakeholders (bijvoorbeeld toezichthouders). Vanwege de rol van internal audit met betrekking tot het behalen van de doelstellingen en het overkomen van de informatieasymmetrie wordt de objectiviteit van de internal auditfunctie benadrukt.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(30)
Maar naast de audit gerelateerde werkzaamheden geeft de beroepsorganisatie (het IIA) aan dat de auditor tevens adviesdiensten kan / zou moeten leveren aan de organisatie. Hoewel dit geen conflict of interest hoeft op te leveren vergroot dit wel de kans dat de auditor’s onafhankelijkheid in het geding komt. Enerzijds door zelftoetsing, anderzijds door het beeld van afhankelijkheid (appearance). Aansprakelijkheid is een wettelijk vastgestelde verantwoordelijkheid waarop iemand – bijvoorbeeld middels een schadevergoeding – op aangesproken kan worden. Afgezien van de wetten zoals deze op iedere burger van toepassing zijn (Burgerlijk Wetboek en het strafrecht) zijn er geen specifieke wettelijke bepalingen ten aanzien van de invulling van de internal auditfunctie. Het arbeidsrecht gaat vooral in op de rechten van de werknemer en de plichten van de werkgever en veel minder op de verplichtingen van de werknemer. Waar dit wel het geval is betreft het het Burgerlijk Wetboek. Het tuchtrecht biedt geen directe basis voor aansprakelijkheid (bijvoorbeeld schadeclaims). Uitspraken hiervan kunnen echter wel als vaktechnisch deskundig oordeel gebruikt worden in civiele procedures. Om het functioneren van de auditor te kunnen beoordelen hebben de beroepsorganisaties (IIA/SVRO, NIVRA en NOREA) gedrags- en beroepsregels opgesteld waarin staat beschreven waaraan het functioneren van de auditor moet voldoen. Dit leidt tot een viertal gemeenschappelijke principes, te weten: integriteit, objectiviteit, vertrouwelijkheid (geheimhouding) en bekwaamheid. Deze principes zijn door de beroepsorganisatie wel in de standaarden (de beroepsdeontologische regels) opgenomen, maar genieten geen wettelijke grondslag. Hierdoor kan het voor komen dat de beroeps- en gedragsregels botsen met de juridische bepalingen. Ondanks de beroepsdeontologische regels ten aanzien van de onafhankelijkheid van de interne auditor is hij te allen tijde afhankelijk van de werkgever / opdrachtgever gezien zijn afhankelijkheid ten aanzien van zijn baan / werksituatie. Op Europees niveau is ten aanzien van accountants (belast met de wettelijke controle) een bepaling opgenomen ter bescherming van de onafhankelijkheid. Door deze bepaling de opdrachtgever niet “zomaar” de accountant kan ontslaan. Dit soort wet/regelgeving is voor internal auditors niet aanwezig. Conclusies
Op basis van de analyses die in dit hoofdstuk zijn gedaan met betrekking tot wat er in theorie beschreven is over de onafhankelijkheid en aansprakelijkheid van de (interne) auditor kunnen vier conclusies getrokken worden. Ten eerste blijkt dat er door de beroepsorganisaties wel richtlijnen zijn opgesteld ten aanzien van het functioneren van de interne auditor, maar voor deze richtlijnen is geen wettelijke grondslag. Ten tweede kunnen deze beroepsdeontologische bepalingen (door gebrek aan wettelijke grondslag) tegenstrijdig zijn met het juridisch kader waardoor de interne auditor moet kiezen tussen de beroeps- en gedragsregels van de beroepsorganisatie enerzijds en de wettelijke verplichtingen (als burger) anderzijds.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(31)
Ten derde blijkt er – naast de algemene arbeidsrechtelijke bescherming – geen wettelijke bepaling te zijn ter bescherming van de interne auditor met betrekking tot zijn afhankelijkheid op basis van de werkrelatie. Dit is voor externe accountants (belast met de wettelijke controle) wel het geval. Ten slotte is internal audit niet een wettelijk geregeld beroep, waardoor er geen specifieke bepalingen zijn op basis waarvan de internal auditor wettelijk aangesproken kan worden ten aanzien van de vakinhoudelijke uitvoering van zijn beroep.
Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors Renze Munnik (2009)
(32)
3 Functioneren en aansprakelijkheid van internal auditors in de praktijk 3.1
Inleiding
In het voorgaande hoofdstuk is uiteengezet op welke wijze het functioneren en de aansprakelijkheid van internal audit in de theorie is beschreven. In dit hoofdstuk wordt onderzocht hoe dit momenteel in de praktijk naar voren komt. Eerst wordt in 3.2 uiteengezet hoe toezichthouders kijken naar de rol van de internal auditor. Dit is uiteraard met betrekking tot Nederlandse toezichthouders, maar ook relevante andere toezichthouders – wereldwijd, Europa en in de Verenigde Staten – die impact hebben op de internal auditor in Nederland worden belicht. Vervolgens zal de rol van internal audit in de praktijk worden beschreven (3.3). Daarbij wordt ingegaan op de werkzaamheden die de auditor uitvoert en de positie die hij binnen de organisatie heeft. Om vast te stellen in welke mate de auditor momenteel op zijn functioneren wordt aangesproken wordt in 3.4 een aantal case studies beschreven waar gekeken wordt naar de principes zoals in het voorgaande hoofdstuk beschreven en hoe deze worden toegepast bij (mogelijke) misstappen. De resultaten van dit hoofdstuk worden in 3.5 in relatie gebracht met de theorie zoals in het vorige hoofdstuk beschreven om vervolgens tot de conclusie van dit hoofdstuk te komen (3.6).
3.2
Wat zeggen toezichthouders over internal audit?
In deze paragraaf wordt van een aantal toezichthoudende instanties belicht wat zij in wet- en regelgeving voor eisen stellen ten aanzien van de internal auditfunctie. In eerste instantie wordt gekeken op wereldwijd niveau, te weten International Organization of Securities Commissions (IOSCO). Vervolgens wordt ingegaan op de toezichthouders op Europees niveau31, in Nederland32 en in de Verenigde Staten33.
31
De Europese Commissie (EC), de Europese Centrale Bank (ECB) en de Committee of European Securities Regulators (CESR). 32 Monitoring Commissie Corporate Governance Code, De Nederlandse Bank (DNB), Nederlandse Vereniging van Banken (NVB), College bescherming persoonsgegevens (Cbp), Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA). 33 De Securities and Exchange Commission (SEC), de Public Company Accounting Oversight Board (PCAOB), de “Banking Agencies” (verderop gespecificeerd) en de New York Stock Exchange (NYSE)
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(33)
3.2.1
Wereldwijd
IOSCO onderschrijft de International Standards on Auditing (ISA) [IFAC, 2009] zoals opgesteld door de IFAC (International Federation of Accountants) als auditing standards die voldoende adequaat zijn voor toezichthouders om op te steunen wanneer deze zijn toegepast bij de audit van organisaties [IOSCO, 1992; IOSCO, 2007]. Dit omvat ondermeer richtlijnen met betrekking tot het identificeren van fraude34, waarbij veel aandacht uitgaat naar de aanwezigheid van een internal auditfunctie. De externe auditor verkrijgt zekerheid door het bestaan van de internal auditfunctie als maatregel tegen frauduleuze handelingen (of in ieder geval het tijdig signaleren daarvan). Verder wordt er in de ISA’s gesteld dat de externe accountant voor zijn werkzaamheden kan steunen op de werkzaamheden die internal audit uitvoert gedurende het jaar35. In haar richtlijnen ten aanzien van securities firms en hun toezichthouders [IOSCO, 1998] stelt zij dat de organisaties over een internal auditfunctie moeten beschikken welke onafhankelijk is. Hierbij stelt zij dat de externe auditor onafhankelijk is van de organisatie, hetgeen niet het geval is bij de internal auditor. Echter, zo stelt IOSCO, dient de internal auditor wel onafhankelijk binnen de organisatie te zijn. Met betrekking tot het risk management en control system maken de interne en externe audit deel uit van de “verification” waarbij zij de controle uitvoeren of de controlemaatregelen naar behoren functioneren en nageleefd worden. IOSCO stelt geen specifieke eisen aan de vakinhoudelijke invulling van de internal auditfunctie bij de organisaties. Ook het Basel Committee (mede verwijzend naar IOSCO) stelt de aanwezigheid van een internal auditfunctie verplicht in haar publicatie over de toepassing van Basel II bij handelsactiviteiten [Basel, 2005]. Hierbij wordt wel voorgeschreven welke activiteiten en maatregelen geaudit moeten worden, maar worden geen inhoudelijke eisen gesteld waaraan de internal auditfunctie moet voldoen. 3.2.2
Europa
De Committee of European Securities Regulators (CESR) is de Europese toezichthouder met betrekking tot financiële instellingen en geeft ook richtlijnen waaraan organisaties dienen te voldoen. De nationale toezichthouders dienen hier lokaal invulling aan te geven bij hun toezicht op de instellingen. Zij maakt wel een duidelijke verwijzing naar de internal auditfunctie [CESR, 2004] in het kader van het controleren van de informatiesystemen en gerelateerde functies. Deze dienen door internal audit gecontroleerd te worden (en controle door externe auditor dient serieus overwogen te worden). De (internal) auditor dient te rapporteren aan de Raad van Bestuur (RvB). Tevens dienen de organisaties periodiek hun boeken te laten controleren. Hierbij wordt echter niet aangegeven door wie dit dient te geschieden.
34
ISA 240: The Auditor's Responsibilities Relating to Fraud in an Audit of Financial Statements ISA 300: Planning an Audit of Financial Statements, ISA 315: Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment, ISA 600: Special Considerations—Audits of Group Financial Statements en ISA 610: Using the Work of Internal Auditors. 35
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(34)
De auditrapportages dienen – op verzoek – beschikbaar gesteld te worden aan de toezichthouders, hetgeen impliceert dat het CESR er vanuit gaat dat er (in zekere mate) op de werkzaamheden van internal audit gesteund wordt. In 2009 heeft de Europese Commissie (EC) Solvency II aangenomen [EC, 2009] met betrekking tot verzekeringsbedrijven en pensioenfondsen. In deze regelgeving staat expliciet opgenomen dat de organisatie over een internal auditfunctie moet beschikken. Tevens wordt hierbij specifiek vermeld dat de internal auditfunctie niet gecombineerd mag worden met andere functies in de organisatie (hetgeen wel is toegestaan voor functies zoals compliance of actuariaat). Internal audit dient te rapporteren aan het management, welke besluit welke acties ondernomen zullen worden op de bevindingen en erop toeziet dat de aanbevelingen van internal audit opgevolgd worden. Ook de EC stelt verder geen eisen aan de internal auditfunctie (anders dan objectiviteit en onafhankelijkheid) met betrekking tot bijvoorbeeld deskundigheid, integriteit of de kwaliteit van de werkzaamheden die internal audit uitvoert. Ook een relatie met de auditcommissie of de RvB wordt niet genoemd. 3.2.3
Nederland
Als reactie op de financiële schandalen (Enron, Worldcom, etc.) is in Nederland de Nederlandse Corporate Governance Code opgesteld op verzoek van onder andere Euronext, de Minister van Financiën en de Minister van Economische Zaken. Deze code, in eerste instantie opgesteld onder toezicht van Morris Tabaksblat, wordt ook wel de code-Tabaksblat genoemd [CCG, 2003]. De code-Tabaksblat stelt principes en best practices ten aanzien van het besturen van de organisatie. Hierbij wordt onder andere ingegaan op de rol van het bestuur, de Raad van Commissarissen (RvC) en de aandeelhouders. Er is slechts weinig aandacht voor de interne auditor in deze code. Hoofdstuk V.3 stelt kort één principe en één best practice bepaling ten aanzien van de internal auditor. Hierin wordt gesteld dat de interne accountant een belangrijke rol kan spelen en in dat geval functioneert onder verantwoordelijheid van het bestuur. De best practice bepaling (V.3.1) stelt dat de auditcommissie en de externe accountant worden betrokken bij het vaststellen van het werkplan van de interne accountant en dat zij kennisnemen van de bevindingen van de interne accountant. Het is echter in deze code niet verplicht om een internal auditfunctie te hebben als organisatie. In 2008 is de code door de Commissie Frijns vernieuwd. In deze nieuwe Nederlandse Corporate Governance Code [MCCGC, 2008] wordt – op reactie van het Instituut van Internal Auditors (IIA) [IIA, 2003b] – meer aandacht gegeven aan de rol van internal audit binnen de organisatie. Onder andere de verhoudingen tussen de auditcommissie en internal audit, maar tevens wordt nu het belang van de internal auditfunctie meer benadrukt. Het wordt nog niet verplicht gesteld om over een internal auditfunctie te beschikken. De commissie gaat er in beginsel vanuit dat de organisatie over een internal auditfunctie beschikt. In een nieuwe best practice bepaling (V.3.3) wordt nu gesteld dat wanneer de organisatie geen internal auditfunctie heeft de auditcommissie jaarlijks evalueert of er behoefte bestaat aan een internal auditfunctie. De RvC doet op basis van deze evaluatie een aanbeveling aan het bestuur. Om te voorkomen dat de internal auditor “wordt beschouwd als een buitenstaander in het eigen bedrijf” is in de nieuwe code ook expliciet aangegeven dat de internal auditor directe toegang heeft
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(35)
tot zowel de externe accountant als de voorzitter van de auditcommissie36. Tevens is de communicatie tussen de auditcommissie en de internal auditor in de nieuwe code geregeld37. Een stap verder gaat De Nederlandse Bank (DNB) in de Regeling Organisatie en Beheersing [DNB, 2001]. Daar wordt het wel verplicht gesteld om over een (permanente) interne auditfunctie te beschikken38. Niet alleen wordt het hebben van de internal auditfunctie verplicht gesteld, ook worden er verschillende eisen gesteld aan de internal auditfunctie. Zoals het beschikken over voldoende deskundigheid om de werkzaamheden van de lijnorganisatie te toetsen en te beoordelen, voldoende onafhankelijkheid, voldoende middelen en vrije toegang tot activiteiten, functionarissen, locaties en informatie. Tevens geeft deze regeling bij diverse controlewerkzaamheden aan dat deze (ook) door de internal auditor getoetst moeten worden. DNB hecht zodanig belang aan de internal auditfunctie dat het uitbesteden van de internal auditfunctie enkel is toegestaan zolang dit gebeurt aan een “tot de groep behorende dienstverlener”. Ook de Nederlandse Vereniging van Banken (NVB) heeft zelf een stap genomen ten aanzien van corporate governance. Zij heeft in september 2009 de Code Banken opgesteld welke in werking zal treden per 1 januari 2010 [NVB, 2009]. Met de code wil de NVB het vertrouwen in de banken herstellen. De Code Banken bevat principes die in het verlengde liggen van de Nederlandse corporate governance code. In de Code Banken wordt in het bijzonder ingegaan op de rol van de raad van bestuur en van de raad van commissarissen van de bank en op de functie van risicomanagement en van audit binnen de bank. De rol van internal audit wordt hier nauwkeuriger beschreven. Buiten het feit dat de internal auditfunctie aanwezig dient te zijn moet deze onafhankelijk gepositioneerd te zijn en te rapporteren aan de RvB en de auditcommissie. Tevens dient de internal auditfunctie volgens de Code Banken toe te zien op de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen binnen de bank. Tussen de interne auditor, de externe accountant en de auditcommissie dient periodiek informatie-uitwisseling plaats te vinden. Hierbij zijn ondermeer de risicoanalyse en het auditplan van internal audit onderwerp van overleg. Ten slotte stelt de code dat internal audit zelf het initiatief moet nemen om tenminste jaarlijks met DNB en de externe accountant de risicoanalyse, de bevindingen en het auditplan te bespreken. Het College bescherming persoonsgegevens (Cbp) is belast met het controleren van de naleving van de Wet bescherming persoonsgegevens (Wbp). Deze wetgeving speelt een steeds belangrijkere rol, bijvoorbeeld met het oog op de vergaande automatisering (digitalisering) van gegevensverwerking en het samenvoegen dan wel koppelen van gegevensbestanden. Hoewel dit een belangrijk aandachtspunt is in de dagelijkse bedrijfsvoering wordt in de Wbp geheel niet gesproken over internal audit of een andere vorm van interne toetsing van de controlemaatregelen [Wbp, 2008]. Een andere toezichthouder in Nederland is de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA). Sinds april 2008 heeft de OPTA een begin gemaakt om naar een wijze van toezicht te gaan waarbij de OPTA meer op afstand toezicht houdt. Zij is een compliance handvest 36
Best practice bepaling V.3.2. Best practice bepalingen V.3.1 en III.5.4. 38 Artikel 22. 37
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(36)
overeengekomen met KPN waarin afspraken staan over hoe KPN concreet invulling geeft aan haar eigen verantwoordelijkheid om de Telecommunicatiewet na te leven [OPTA, 2008]. De OPTA zal hierbij minder zelf controleren, mits KPN periodiek verslag geeft over hoe de compliance ten aanzien van de Telecommunicatiewet is ingericht en nageleefd. Zo steunt de OPTA meer op de interne beheersmaatregelen bij KPN. Alhoewel hierin geen specifieke rol aan de interne auditor wordt toegewezen, wordt in dit handvest wel expliciet opengelaten of de onderdelen van het handvest door een externe of interne auditor worden gecontroleerd39. Het is tevens voor de handliggend dat de internal auditafdeling hierin een belangrijke rol zal spelen om vast te stellen of de organisatie aan de vereisten voldoet. Met dit soort initiatieven zal de rol van internal audit naar “de buitenwereld” veranderen. Zij zal een belangrijkere rol krijgen in het verantwoorden van de interne beheersing naar de externe stakeholders, al in het niet voor de hand liggend dat internal audit externe rapportages af zal gaan geven. 3.2.4
Verenigde Staten
Een van de meer ingrijpende wetgevende maatregelen van de afgelopen jaren is de Sarbanes-Oxley (SOx) wetgeving geweest welke in 2002 in de Verenigde Staten is aangenomen [SOA, 2002]. Deze wet is een direct gevolg geweest van de misstanden in grote organisaties (Enron, Worldcom, etc.) en geeft strikte regels voor de organisatie en de accountant die de organisatie controleert. In deze wetgeving worden regels voor de organisatie gesteld ten aanzien van interne controle en financiële verslaggeving en ten aanzien van de externe auditor. Tevens wordt hierin aangegeven dat de externe accountant – naar eigen inschatting – gebruik mag maken van de werkzaamheden uitgevoerd door de internal auditfunctie40. De internal auditfunctie wordt door de Public Company Accounting Oversight Board (PCAOB) en de Securities and Exchange Commission (SEC) niet verplicht gesteld en, indien er een internal auditfunctie aanwezig is, worden hieraan geen specifieke vereisten gesteld41. Ook de Banking Agencies42 stellen dat een organisatie (in dit geval specifiek financiële instellingen) een internal auditfunctie moet hebben [FED, 2003]. Hierbij leggen zij expliciet de relatie met de SOx wetgeving. Zij stellen echter geen harde eisen/verplichtingen ten aanzien van internal audit. Zo raden zij aan dat de internal auditfunctie werkt conform de standards van het IIA, maar dit is geen verplichting. Ze geven voornamelijk punten ter overweging voor de organisatie. Bijvoorbeeld dat de organisatie moet afwegen of een duale rapportagestructuur toepasselijk is en wat de risico’s van outsourcing zijn.
39
Basiselementen effectieve compliance organisatie KPN, artikel IX. Hiervoor zijn wel richtlijnen gegeven zoals het beoordelen van de competentie en objectiviteit van de internal auditor en de scope en kwaliteit van de werkzaamheden. 41 Ondermeer: Securities Act of 1933 [Act, 1933], Securities and Exchange Act of 1934 [Act, 1934] and Sarbanes-Oxley Act of 2002 [SOA, 2002] 42 Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation, Office of the Comptroller of the Currency en Office of Thrift Supervision. 40
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(37)
Op advies van het IIA [IIA, 2003] heeft de New York Stock Exchange (NYSE) in haar corporate governance regels voor ingeschreven organisaties [NYSE, 2003] opgenomen dat deze organisaties over een internal auditfunctie dienen te beschikken (intern of geoutsourced). Ook de NYSE stelt verder geen specifieke eisen aan de internal auditfunctie.
3.3
De rol van internal audit in praktijk
In de paragraaf hiervoor is aangegeven wat de toezichthouders stellen met betrekking tot de rol van internal audit. Zij zien zeker de voordelen van de internal auditfunctie met betrekking tot het toezicht houden op organisaties. In sommige gevallen wordt een organisatie zelfs verplicht om een internal auditfunctie te hebben (al dan niet extern ingehuurd). Zoals echter in hoofdstuk 2 al naar voren is gekomen zijn er geen wettelijke richtlijnen waaraan de internal auditor moet voldoen met betrekking tot het invullen van zijn taak. Ook bij de toezichthouders zien we slechts minimale bepalingen ten aanzien van de werkzaamheden van de internal auditfunctie. Wat doet de internal auditor in praktijk? 3.3.1
Werkzaamheden
Met het oog op de vraag of wettelijke aansprakelijkheid van de internal auditor toegevoegde waarde kan hebben is het belangrijk om te weten welke werkzaamheden de auditor uitvoert. Een internal auditafdeling kan immers verschillende rollen hebben binnen de organisatie. Uit de definitie van internal audit zoals het IIA deze stelt komt naar voren dat de auditor zowel assurance als consultancy (advies) diensten kan leveren. Dit is met name afhankelijk van de rol die de organisatie aan de auditor toedicht. Vraagt de organisatie puur een controlerende taak van internal audit – bijvoorbeeld in het kader van de agency theorie – dan ligt het voor de hand dat de auditafdeling zich richt op (enkel) assurance diensten. Wanneer de organisatie meer in de gedachtegang van de three lines of defence meegaat, waarbij de drie linies (top management, risk management en internal audit) gezamenlijk eenzelfde doel nastreven, dan zal eerder een breder takenpakket van de auditor verwacht worden. Het blijft dan niet bij het identificeren van maatregelen die wel of niet werken. De auditor zal dan veelal ook om advies gevraagd worden om zijn kennis en ervaring te gebruiken voor het inrichten van de controlemaatregelen. Wanneer een internal auditafdeling puur voor assurance werkzaamheden wordt ingezet (bijvoorbeeld ter ondersteuning van de jaarrekeningcontrole of om de compliance met specifieke wet- en regelgeving te toetsen) zal aansprakelijkheid waarschijnlijk eerder voor de hand liggen. De auditor dient dan op meer directe wijze een doel van derden (aandeelhouders, toezichthouders, etc.). Een interne auditor die wettelijk gereguleerd is en aantoonbaar aan de kwaliteitseisen van de beroepsorganisatie en de toezichthouder voldoet (bijvoorbeeld middels periodieke toetsing) geeft naar de buitenwereld een extra zekerheid dat de organisatie de interne controle op orde heeft. Wanneer een internal auditafdeling vooral wordt ingezet om de kennis van de processen breed te kunnen verspreiden en hands-on te helpen bij het inrichten van de organisatie zal de afdeling en de organisatie minder snel geneigd zijn om positief te staan tegenover aansprakelijkheid. Dit zou immers de creativiteit en proactiviteit van de auditor kunnen belemmeren omdat hij zich meer richt op het voldoen aan de wettelijke vereisten en zich in wil dekken om daarin geen fouten te maken.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(38)
Het IIA [IIA, 2008b] en PricewaterhouseCoopers (PwC) [PwC, 2009] hebben onderzoek gedaan naar de typen werkzaamheden van internal audit, waarbij PwC heeft gekeken naar de onderwerpen waarop de internal auditafdelingen meer dan 25% van hun resources inzetten. Zij komen tot de volgende onderwerpen: 1. Financial audits (57%43), gericht op de betrouwbaarheid van de financiële informatie. 2. Operational audits (53%), naar de kwaliteit van de beheersing van processen, afdelingen of projecten, inclusief de betrouwbaarheid van de daartoe benodigde informatie; 3. Compliance (33%), naar de naleving van relevante wet- en (externe en interne) regelgeving. 4. IT (31%), naar de opzet en inrichting van IT governance en naar de beheersing van de IT processen en –systemen. De internal auditafdelingen richten zich dus met name op assurance gerichte werkzaamheden waarbij de nadruk nog steeds ligt op de financial audit. De adviesdiensten zoals deze door het IIA in de definitie van internal audit wel worden gepromoot vormen slechts een zeer beperkt deel van de werkzaamheden. Uit het PwC onderzoek bleek dat slechts 9% van de internal auditafdelingen hier 25% of meer van hun resources voor inzetten. 3.3.2
Verantwoording
Het vertrouwen in organisaties is de afgelopen jaren geschaad door de welbekende boekhoudschandalen. Zeker nu in de huidige economische crisis de burger zelf ook direct wordt geraakt door de misstappen van organisaties is het van belang dat deze organisaties actie ondernemen om het vertrouwen terug te winnen. Om dit vertrouwen terug te winnen (en herhaling te voorkomen) dient de verbetering in de interne organisatie gezocht te worden [Koster, 2003]. De interne organisatie is volgens Koster “de krachtbron voor integriteit.” Bij toezicht gaat het om transparantie en het nemen van verantwoordelijkheid. En wat voor de toezichthouder geldt, geldt tevens voor de informele “toezichthouder” (stakeholder): het publiek. Door transparant te zijn kan een organisatie tonen dat men verantwoordelijkheid neemt voor zijn acties en integer te werk gaat. Alhoewel de misstappen van de betreffende organisaties met name te wijten zijn aan de bestuurders dient men ook oog te hebben voor de toezichthoudende instanties die dit niet (of niet tijdig) hebben geïdentificeerd. En “toezichthoudende instanties” in deze is zowel extern als intern. De RvC is belast met het interne toezicht van de organisatie, net als de auditcommissie. De internal auditafdeling is de uitvoerende / controlerende functie binnen de organisatie voor deze toezichthouders. Anders dan het volgen van de aanwijzingen van het bestuur kan men zich ook afvragen of de internal auditor niet publiekelijk verantwoording af zou moeten leggen over haar rol [Molenkamp, 2009]. De internal auditfunctie dient onafhankelijk te zijn binnen de organisatie. Zoals in 2.4.7 gesteld komt verantwoordelijkheid met onafhankelijkheid.
43
Percentage geeft aan, het percentage internal auditafdelingen dat aan heeft gegeven meer dan 25% van hun resources op het betreffende onderwerp in te zetten.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(39)
Frijns44 geeft aan dat Raden van Bestuur zich nog te veel verschuilen achter een goedkeurende verklaring van de externe accountant. Zij nemen nog onvoldoende eigen verantwoordelijkheid, zowel op het gebied van financiële verslaggeving als op het gebied van compliance. “Het bestuur is verantwoordelijk voor een goede inrichting van het proces, voor de monitoring daarvan en voor de audit, zodat ze zelf weet of de zaken goed in elkaar zitten. Over de volle breedte. Vanuit die denklijn kun je zeggen dat je als onderneming iets hebt uit te leggen als je geen internal audit hebt.” [Frijns, 2006] Middels wetgeving zoals de SOx wetgeving probeert men hierin verandering te brengen door de organisatie zelf verantwoording af te laten leggen over de interne controle. In het kader hiervan worden Chief Audit Executives (CAE’s) steeds vaker gevraagd een in control statement te tekenen [PwC, 2006]. De CEO’s en CFO’s die verantwoordelijk (en aansprakelijk) zijn voor de interne controle45 van de organisatie steunen veel op internal audit voor hun in control statement. Een aanzienlijk deel (38% van de respondenten van het PwC onderzoek) geeft jaarlijks een statement af met betrekking tot de algehele staat van de interne controlemaatregelen in hun organisatie. Internal audit vervult zodoende al op een meer formele wijze een rol bij het afleggen van verantwoording van de organisatie naar de buitenwereld. 3.3.3
Naleving standaarden
De standaarden zoals die door de beroepsorganisatie zijn opgesteld dienen ter waarborging van de kwaliteit en betrouwbaarheid van de internal auditfunctie. Uit onderzoek naar de impact van corporate governance op de rol, positie en scope van de werkzaamheden van internal audit [Paape, 2007] bleek echter dat onder de respondenten slechts 64% de professional standards van het IIA onderschrijft. Dit betekent dat de overigen tevens niet ingeschreven staan bij de beroepsorganisatie. Zij kunnen daarom niet voor de Raad van Tucht gedaagd worden of op andere wijze op de beroepsen gedragsregels van de beroepsorganisatie aangesproken worden. Het IIA stelt in de standards dat de internal auditfunctie een quality assurance and improvement program moeten hebben en quality assurance reviews moeten laten uitvoeren. Uit het onderzoek van Ernst & Young [2008] blijkt dat slechts de helft van de respondenten quality reviews uit laat voeren46. Dit staat in verhouding met de uitkomsten van Paape [2007]. In de voorgaande paragraaf is gesteld dat de internal auditor een meer formele rol vervult ten aanzien van het afleggen van verantwoording door de organisatie naar de buitenwereld. Echter, bovenstaande alinea’s geven aan dat er nog wel wat te wensen overblijft ten aanzien van de mate waarin de internal auditor zelf verantwoordelijkheid aflegt over zijn rol en de vervulling daarvan.
44
Tot voor kort voorzitter van de Monitoring Commissie Corporate Governance Code. Onder zijn leiding is onder andere de vernieuwde Nederlandse corporate governance code opgesteld. 45 Sarbanes-Oxley Act sectie 404 [SOA, 2002] 46 Eerder onderzoek van PwC [PwC, 2006] toonde enkele jaren eerder aan dat slechts 23% van de respondenten een quality assurance and improvement program heeft en 24% een quality assurance review uit had laten voeren in de periode 2000 tot 2005. Dat – en de resultaten van Ernst & Young uit 2008 – terwijl het IIA in 2002 de standards heeft uitgevaardigd.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(40)
Het onderschrijven van de standaarden van de beroepsorganisatie zou daar immers een beginpunt in zijn, gevolgd door het aantoonbaar (transparant) maken van de invulling daarvan. Alhoewel er wel mogelijkheden zijn om een internal auditor die bij de beroepsvereniging is ingeschreven op zijn werk aan te spreken blijkt dit in praktijk nauwelijks te gebeuren (zie ook case studies hieronder). Terugkijkend naar hoofdstuk 2 ontbreekt het aan een formeel kader waaraan de internal auditwerkzaamheden dienen te voldoen. Hierdoor is het voor een externe partij moeilijk om de internal auditor aan te spreken op zijn werk. Tevens is er geen toezichthouder die de werkzaamheden van internal audit controleert. De toezichthouder – zoals de Autoriteit Financiële Markten (AFM) dat is met betrekking tot de externe accountant – heeft veelal kennis van zaken en tevens een wettelijk kader waarop hij de auditor aan kan spreken. Zowel de toezichthouder als het wettelijke kader ontbreekt voor internal audit waardoor het alleen voor de “collega’s” mogelijk is om de internal auditor op zijn kwaliteit aan te spreken. Dit, in combinatie met het relatief beperkte aantal auditors dat de standards onderschrijft, geeft weinig draagvlak voor het tuchtrecht om auditors “tot de orde te roepen”. Daarbij komt dat het momenteel niet verplicht is om bij de beroepsvereniging ingeschreven te staan om het beroep van internal auditor te beoefenen.
3.4
Case studies naar rol van internal audit (tuchtzaken)
3.4.1
Inleiding
In hoofdstuk 2 is de theorie beschreven met betrekking tot het functioneren van de auditor. Hierbij zijn vier principes gesteld die de auditor dient na te leven om zijn werk naar behoren uit te voeren (integriteit, deskundigheid en zorgvuldigheid, objectiviteit en geheimhouding). Vervolgens was in datzelfde hoofdstuk de huidige situatie geschetst met betrekking tot wettelijke bepalingen ten aanzien van auditors, waaruit blijkt dat met betrekking tot vakinhoudelijke zaken het tuchtrecht van toepassing is. Uitspraken van de tuchtrechter kunnen vervolgens als input dienen voor civiele procedures. In deze paragraaf wordt onderzocht in welke mate de auditors in praktijk aangesproken worden op de vakinhoudelijke uitoefening van hun beroep. Het doel hiervan is ten eerste om te beoordelen of de gestelde principes van de gedrags- en beroepsregels in de praktijk worden gebruikt om een auditor aan te spreken op de uitoefening van zijn werk. Ten tweede dient deze analyse om vast te stellen of datgene dat in de gedrags- en beroepsregels is gesteld (de principes) in praktijk toepasbaar is. Oftewel, leiden deze zaken tot sancties of blijkt het moeilijk tot onmogelijk om de klachten voldoende te onderbouwen zodat deze tot sancties leiden? Ten slotte zal geanalyseerd worden op welke principes auditors doorgaans aangeklaagd worden, dan wel waarbij dit leidt tot sancties. Om deze analyse te maken diende uiteraard de tuchtzaken van het IIA als beginpunt. Dit betreft immers de tuchtzaken die direct impact hebben op de internal auditor. Tot op heden zijn er echter
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(41)
bij het IIA Nederland nog geen tuchtzaken geweest met betrekking tot het functioneren van de internal auditor47. Zoals in 2.3 (over het functioneren van internal audit in de theorie) besproken zijn de principes ten aanzien van de gedrags- en beroepsregels van het IIA vergelijkbaar met die van het Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van EDP Auditors (NOREA). Deze beide instanties beschikken ook over tuchtrecht om de leden op hun gedrag aan te spreken. Daarom is, om te beoordelen in hoeverre de auditors op de principes van de gedrags- en beroepsregels worden aangesproken, een analyse gemaakt van de tuchtzaken zoals ingediend bij en behandeld door respectievelijk de Raad van Tucht (de Raad) van de NOREA (vanwege de nauwe relatie met de internal auditors) en de Raden van Tucht48 (Amsterdam en Den Haag) van het NIVRA (vanwege de nauwe relatie met het auditvak en de langere geschiedenis van dit tuchtrecht). 3.4.2
Zaken of klachten
Een tuchtzaak kan uit meerdere klachten bestaan. Zo kan een auditor in een zaak bijvoorbeeld beschuldigd worden van zowel een gebrek aan onafhankelijkheid als het onvoldoende uitvoeren van de controlewerkzaamheden. Per klacht kan daarom verschillen op welk principe deze klacht betrekking heeft. De resultaten in de volgende paragrafen zijn daarom gericht op de ingediende klachten in plaats van de voorgekomen zaken. De Raad geeft per klacht een uitspraak en niet over een zaak in het geheel. 3.4.3
Case studies NOREA
Bij de NOREA is slechts een zeer beperkt aantal tuchtklachten ontvangen. Sinds 1998 zijn er drie zaken behandeld49. De eerste zaak behandeld door de Raad van de NOREA heeft betrekking op een student welke een klacht indiende tegen de docent (RE, Register EDP auditor) die een tentamen over onafhankelijkheid en onpartijdigheid afneemt. Naar mening van de student klopt de opvatting van de docent over het altijd al dan niet onpartijdig en onafhankelijk zijn van de EDP-auditor niet. Deze RE wordt ondeskundig handelen verweten met schade als gevolg (studievertraging). Op basis van de toelichting middels het overleggen van de syllabus heeft de Raad besloten dat de gebruikte definities en het daarbij horende onderscheid tussen de verschillende soorten onafhankelijkheid voldoende zijn en de docent niet ondeskundig heeft gehandeld. De klacht wordt daarmee ongegrond verklaard. De tweede zaak betreft een auditrapport dat zonder hoor en wederhoor en met ondeugdelijke grondslag naar opdrachtgever is verzonden. Op de punten integriteit en objectiviteit (onbevooroordeeld en onpartijdig) is de klacht ongegrond verklaard. Deze waren onvoldoende feitelijk aantoonbaar volgens de Raad.
47
Bron: IIA Nederland Ten tijde van dit onderzoek zijn er nog geen uitspraken bekend van de per 1 mei 2009 ingestelde Accountantskamer (bron: www.nivra.nl en www.tuchtrecht.nl). Deze zullen per 2010 beschikbaar komen. 49 Bron: tuchtzaken NOREA (www.norea.nl) 48
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(42)
De Raad is wel van mening dat de betrokkenen geen hoor en wederhoor hebben toegepast en onvoldoende duidelijkheid hebben betracht bij de opdrachtaanvaarding (deskundigheid en zorgvuldigheid). Hiertoe heeft de Raad de maatregel van schriftelijke berisping opgelegd. De derde zaak die door de Raad van Tucht van de NOREA is behandeld betreft een EDP-audit die niet deugdelijk zou zijn uitgevoerd (meer normen getoetst dan voor de verkoop van het pakket noodzakelijk was). Tevens betrof de klacht een resulterende rapportage waarin niet vermeld werd dat deze enkel gebruikt mocht worden door de opdrachtgever (klaagster). Dat laatste is naar mening van de Raad niet tuchtrechterlijk verwijtbaar en daarmee ongegrond. Ook over de uitvoer van de audit is de Raad niet van mening dat deze niet naar behoren is uitgevoerd. Het betwiste normenkader is vooraf tussen de auditor en de opdrachtgever afgestemd en opdrachtgever ging hiermee akkoord. Het feit dat de opdrachtgever voor de verkoop van het pakket andere (beperktere) eisen met de kopende partij heeft afgesproken kan de betrokkene niet verweten worden. Ook deze klacht wordt ongegrond verklaard. Uit de verschillende uitspraken van de Raad blijkt enerzijds dat het feitelijk aantoonbaar maken van partijdigheid of bevooroordeeldheid voor de klager moeilijk is. Anderzijds wordt in deze zaken vooral op basis van de feiten een besluit genomen (al dan niet gegrond of ongegrond verklaren). Daarbij zijn de regels van de NOREA duidelijk toegepast. Echter, een aantal van drie verschillende tuchtzaken geeft onvoldoende basis om een definitieve conclusie te trekken over het wel of niet toepasbaar zijn van de principes van de gedrags- en beroepsregels in het tuchtrecht. 3.4.4
Case studies NIVRA
Bij het NIVRA zijn, in tegenstelling tot het IIA en de NOREA, vele tuchtzaken beschikbaar. Dit heeft enerzijds te maken met de bekendheid van het beroep bij de samenleving (hierdoor is er meer bekendheid met betrekking tot de mogelijkheid tot het indienen van een klacht). Anderzijds komt dit door het directe belang van de werkzaamheden van de registeraccountant (de resultaten van het werk van de accountant worden direct gebruikt voor het maken van beslissingen door derden). Hieronder staan de aantallen tuchtzaken die bij het NIVRA zijn ingediend in de afgelopen 8 jaar50. 51
Ongegrond
2007-2009 219 (64%)
2006
2005
2004
2003
2002
40 (51%)
46 (65%)
35 (51%)
39 (46%)
49 (54%)
Waarschuwing
35 (10%)
15 (19%)
8 (11%)
14 (21%)
18 (21%)
14 (16%)
Berisping
30 (9%)
8 (10%)
9 (13%)
8 (12%)
13 (15%)
10 (11%)
Doorhaling
8 (2%)
3 (4%)
1 (1%)
0 (0%)
2 (2%)
0 (0%)
16
9
6
2
4
5
Geen 50
2002 t/m 2006 uit NIVRA publicatie [NIVRA, 2007b], aangevuld met 2007-2009 op basis van analyse tuchtzaken ten behoeve van case studies. Let wel: 2009 tot en met 12 oktober (uitspraak 1359-09.04). 51 In 2007 zijn er relatief veel zaken geweest (125), de overige jaren tonen een redelijk stabiel patroon.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(43)
51
2007-2009 (5%)
2006 (11%)
2005 (8%)
2004 (3%)
2003 (5%)
2002 (6%)
14 (4%)
3 (4%)
0 (0%)
3 (4%)
3 (4%)
(0%)
Niet ontvankelijk
15 (4%)
(0%)
0 (4%)
2 (3%)
4 (5%)
10 (11%)
Tijdelijke schorsing Totaal
7 (2%) 344
1 (1%) 79
1 (1%) 71
4 (6%) 68
1 (1%) 84
2 (2%) 90
maatregel Geen uitspraak
Over de afgelopen acht jaar is een stabiel patroon zichtbaar in zowel aantallen zaken/klachten en (met name) de verdeling van de uitspraken. Hieruit blijkt dat ruim de helft van de klachten ongegrond wordt verklaard. In een derde van de klachten wordt daadwerkelijk een maatregel opgelegd door de Raad, dan wel het College Beroep voor het Bedrijfsleven (het College). Om meer inzicht te verwerven in de zaken ten aanzien van de genoemde principes van de gedragsen beroepsregels (het functioneren) zijn voor dit onderzoek 200 tuchtzaken geanalyseerd52. Hierbij is gekeken op welke principes klachten zijn ingediend. Vervolgens is in kaart gebracht voor deze principes of de klachten gegrond of ongegrond zijn verklaard door de Raad en eventueel het College indien dit tot een andere conclusie is gekomen dan de Raad. Hieronder is uiteengezet hoe de uitspraken zich verhouden tot de principes met betrekking tot het functioneren van de auditor (op basis van de onderzochte zaken uit 2007, 2008 en 2009). Gegrond
Ongegrond
Geen uitspraak of ingetrokken
Integriteit (23%)
24 (31%)
49 (63%)
5 (6%)
78
Deskundigheid & zorgvuldigheid (58%)
57 (29%)
133 (67%)
9 (5%)
199
Geheimhouding (3%)
0 (0%)
12 (100%)
0 (0%)
12
Objectiviteit (14%)
15 (31%)
32 (65%)
2 (4%)
49
0 (0%) 96
6 (100%) 232
0 (0%) 16
6
53
Onduidelijk Totaal
(2%)
Totaal
344
De tabel hieronder toont van de gegrond en gedeeltelijk gegrond verklaarde klachten per principe welke sanctie is opgelegd. Geen maatregel
Waarschuwing
Berisping
Schorsing
Doorhaling
Totaal
52
Bron: tuchtzaken van het NIVRA (www.nivra.nl), 2007 – 2009 Dit betreft klachten waarbij het onduidelijk is welk principe van de gedrags- en beroepsregels geschonden zou zijn volgens de klacht. De Raad en/of het College verklaart deze klachten daarom ongegrond. 53
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(44)
Geen maatregel
Waarschuwing
Berisping
Schorsing
Doorhaling
Totaal
Integriteit
7 (29%)
8 (33%)
5 (21%)
1 (4%)
3 (13%)
24
Deskundigheid & zorgvuldigheid
8 (14%)
24 (42%)
18 (32%)
4 (7%)
3 (5%)
57
Geheimhouding
–
–
–
–
–
–
1 (7%) 16
3 (20%) 35
7 (47%) 30
2 (13%) 7
2 (13%) 8
15
Objectiviteit Totaal
96
In de hieronder volgende paragrafen worden deze cijfers per principe nader toegelicht. Integriteit De klachten met betrekking tot integriteit betreffen die situaties waar de accountant bewust de waarheid geweld aan heeft gedaan. Dit betreft bijvoorbeeld het opzettelijk verdraaien van de cijfers in jaarrekeningen, bewust onterechte declaraties indienen en weigeren werkzaamheden uit te voeren. De zaken waarin geen uitspraak is gedaan betreft vier zaken waarin eerst een onderzoek wordt ingesteld, dan wel beide partijen eerst schriftelijk dienen te onderbouwen. Bij een zaak is de klacht ingetrokken voordat deze inhoudelijk door de Raad werd behandeld. Ten aanzien van de doorhalingen (drie zaken) betrof dit in twee gevallen een accountant die valsheid in geschrifte had gepleegd en daarvoor reeds strafrechtelijk was veroordeeld. De derde zaak is opvallender. In dat geval was de accountant van mening dat hij niet aan de kwaliteitstoets van het NIVRA mee wilde werken tenzij dat voor hem kosteloos zou gebeuren. Door de weigering maakt de betrokkene volgens de Raad inbreuk op de Verordening op de collegiale toetsing54. De Raad is hierbij van mening dat “een accountant die zich onttrekt aan de door zijn beroepsorganisatie georganiseerde kwaliteitstoetsing zich in wezen buiten die beroepsorganisatie plaatst”55. De zaken waar de maatregel van een waarschuwing of een berisping zijn opgelegd zijn zeer divers. Deze verschillen van het zelfstandig uitbreiden van de opdracht (en daarvoor een rekening sturen) en het uitbrengen van gemanipuleerde verklaringen tot het zich onterecht voordoen als zaakdeskundige ten behoeve van een onderzoek om zodoende informatie in te winnen of het onterecht over gaan tot inbeslagname (middels deurwaarder). Ook de zaken waarbij besloten werd geen maatregel op te leggen zijn divers. Echter, bij al deze zaken is in ogenschouw genomen dat de toegebrachte schade minimaal was en er onvoldoende schade werd toegebracht aan de eer van stand om tot een maatregel te besluiten.
54
De Verordening op de collegiale toetsing is per 1 januari 2003 vervangen door de Verordening op de kwaliteitstoetsing. 55 JT 2007-108 Raad van Tucht Amsterdam en het College van Beroep voor het bedrijfsleven.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(45)
Deskundigheid en zorgvuldigheid Het grootste aantal klachten (58%) dat wordt ingediend betreft de deskundigheid dan wel de zorgvuldigheid van de accountant. Dit betreft de situaties waarin de accountant (niet opzettelijk) een fout heeft gemaakt bij de uitvoering van zijn werkzaamheden. Daar waar hij immers bewust de waarheid geweld aandoet valt dit onder het principe ‘integriteit’ waaronder aanzienlijk minder klachten worden ingediend (78 tegen 199 met betrekking tot deskundigheid en zorgvuldigheid). Bij de klachten ten aanzien van de deskundigheid en zorgvuldigheid van de accountant blijft het doorgaans bij een waarschuwing of een berisping. Zwaardere maatregelen zoals schorsing of doorhaling worden bij dit principe weinig toegepast. Bij de drie klachten in het kader van de deskundigheid en zorgvuldigheid waar de maatregel van doorhaling is opgelegd betrof het zaken die door het NIVRA waren ingediend. Twee hiervan betroffen meermalen onvoldoende behalen bij de kwaliteitstoets (interne beheersingsmaatregelen bij het accountantskantoor). De derde zaak betrof een accountant welke wegens onjuiste belastingaangifte strafrechtelijk was vervolgd. Bij het opleggen van een schorsing ging het om zaken ingediend door het NIVRA (Verordening op de kwaliteitstoetsing), de AFM (Wet MOT56) en twee maal een ondeugdelijke grondslag voor het afgeven van een goedkeurende verklaring. Het overgrote deel van de klachten gebaseerd op de deskundigheid en zorgvuldigheid van de accountant wordt echter ongegrond verklaard. Het gaat er hier vooral om dat enerzijds de accountant volgens de Raad / het College voldoende deskundig en zorgvuldig heeft gehandeld of anderzijds de betrokkene niet in de hoedanigheid van registeraccountant handelde. Bij dit laatste gaat het de Raad erom dat de accountant niet in functie als registeraccountant handelde en ook niet zodanig gedrag heeft getoond dat dit schadelijk is voor de eer van stand. In een uiterste geval zal de Raad of het College een registeraccountant (RA) welke niet optreedt als registeraccountant toch een tuchtrechtelijke maatregel opleggen indien zij van mening is dat de persoon in kwestie duidelijk de goede naam van het beroep schaadt. In dat geval zal dit echter onder het principe ‘professioneel gedrag’ (in dit onderzoek samengevoegd met integriteit) geschaard worden. In een aantal gevallen heeft de Raad dan wel het College besloten dat de klacht wel gegrond was, echter dat er geen maatregel opgelegd werd. Dit betrof voornamelijk zaken waar in gelijke zaken eerder reeds een maatregel aan de betrokkene was opgelegd. In een drietal zaken werd besloten dat de accountant behulpzaam wilde zijn, maar niet deskundig genoeg bleek of uit onwetendheid een fout had gemaakt. Hierbij achtte men de schade minimaal waardoor besloten werd geen maatregel op te leggen. Geheimhouding Met betrekking tot de geheimhouding wordt slechts een zeer beperkt aantal klachten ingediend. Deze zijn vooral terug te brengen tot het delen van informatie (brieven, memo’s, e.d.) met derden. Hierbij valt te denken aan advocaten, medebestuurders of opvolgend accountants. Alle 12
56
Wet Melding Ongebruikelijke Transacties.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(46)
onderzochte klachten zijn ongegrond verklaard aangezien de betrokken accountant in deze gevallen volgens de Raad of het College niet nalatig heeft gehandeld door het delen van de betreffende informatie. Oftewel, er was voldoende aanleiding voor de accountant om de informatie te delen. Objectiviteit De zaken in het kader van objectiviteit richten zich op het niet afhankelijk zijn tijdens een opdracht (bijvoorbeeld middels deelneming of tegenstrijdige belangen) of het partijdig handelen ten nadelen van een van de partijen. Ten aanzien van twee klachten op basis van het principe objectiviteit is een maatregel van doorhaling in het register opgelegd. Dit betrof echter twee klachten in dezelfde tuchtzaak. In deze zaak voerde de betrokkene een due diligence onderzoek uit voor zijn cliënt. Tijdens dat onderzoek heeft hij echter in het geheim op persoonlijke titel een tweede opdracht bij de cliënt aanvaard om middels onderhandeling de vraagprijs naar beneden te krijgen. Het honorarium voor deze opdracht zou 10% van het verschil tussen de oorspronkelijke vraagprijs en de uiteindelijk te betalen prijs zijn. De klachten betrof het op persoonlijke titel aanvaarden van tegenstrijdige belangen en het aanvaarden van een opdracht met een resultaatafhankelijk honorarium. De twee klachten waarbij schorsing is opgelegd betroffen een financieel belang (deelneming en het verstrekken van een lening). Hierdoor is de accountant niet meer onafhankelijk (objectief) in zijn oordeelsvorming. Met betrekking tot de waarschuwingen en berispingen betreft dit verschillende klachten over niet onafhankelijk zijn of partijdig handelen. Hierin is geen eenduidig criterium te ontdekken wanneer een waarschuwing of wanneer een berisping wordt opgelegd. Dit is zeer afhankelijk van de specifieke situatie en de inschatting van de Raad dan wel het College over de intentie van de betrokkene en de geleden schade. Intern of externe accountant Specifiek is er ten behoeve van het functioneren van de interne auditor gekeken of de tuchtzaken betrekking hebben op externe of interne accountants. De intern accountant is immers ook een interne auditor. Gebleken is echter dat in de 200 onderzochte tuchtzaken geen enkele keer een klacht is ingediend tegen een intern accountant. Van deze onderzochte zaken betroffen er 192 tegen externe accountants. Dat wil zeggen, register accountants van buiten de cliënt ingehuurd om werkzaamheden uit te voeren57. De overige 8 zaken betroffen registeraccountants die geen functie als accountant vervullen (bijvoorbeeld financieel directeur of inspecteur van de Belastingdienst).
57
Dit is niet enkel beperkt tot jaarrekeningcontroles, maar betreft ook werkzaamheden als fiscaal advies, controleren van een prospectus, ondersteuning bij verdelen erfenis, etc.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(47)
3.5
Analyse van resultaten en relatie met de theorie
3.5.1
Analyse case studies
Uit de onderzochte tuchtrechtuitspraken is niet een enkele conclusie te trekken over de gegrond of ongegrond verklaarde zaken. Enerzijds blijkt het vaak moeilijk voor de klager om concreet aannemelijk te maken dat de betrokkene bewust een misstap heeft gemaakt en anderzijds zijn er uiteraard de zaken waarbij de verweerder (betrokkene) in het gelijk wordt gesteld op basis van de vaststaande feiten. Voornamelijk het feitelijk aantonen van begrippen als integriteit of partijdig handelen blijkt lastig. Het betreft hier met name de gemoedstoestand van de betreffende auditor. In sommige gevallen kan dit gedrag blijken uit bijvoorbeeld een rapportage of het gebrek aan uitgevoerde werkzaamheden (o.a. toepassen van hoor en wederhoor). Wanneer gekeken wordt naar professioneel gedrag (zaken betreffende gedrag dat schadelijk is voor het aanzien van het beroep) is de uitspraak afhankelijk van de inschatting van de Raad of het College. Op basis van de onderzochte zaken kan hier niet een concreet criterium voor gesteld worden. Wanneer de klager of betrokkene het niet met de uitspraak eens is kan deze hiertegen in beroep gaan. In de onderzochte zaken blijkt het College in deze zaken dezelfde mening te hebben als de Raad. Al gaat het hier slechts om een beperkt aantal zaken (10). Het principe deskundigheid en zorgvuldigheid blijkt beter toepasbaar te zijn. Hier wordt doorgaans op basis van feitelijke bevindingen een oordeel geveld. Gezien de inhoud van dit principe ligt het ook voor de hand dat klachten hierbij beter aantoonbaar zijn. Er zijn voldoende standaarden, wetten en regels waaraan de opdrachtuitvoering dient te voldoen en waaraan de uitvoering objectief getoetst kan worden. Ook de onafhankelijkheid van de auditor wordt doorgaans beoordeeld op basis van de feiten welke in bijvoorbeeld opdrachtaanvaardingen en deelnemingen vastgelegd zijn. De Raad of het College maakt bij het opleggen van een maatregel afhankelijk van de situatie de inschatting wat de ernst van de klacht is waarbij de geleden schade, maar ook de intentie van de betrokkene wordt meegewogen. Wanneer de betrokkene bijvoorbeeld bewust tegengestelde belangen behartigt zal de Raad een zwaardere maatregel opleggen dan wanneer zij van mening is dat de auditor zich oprecht niet bewust was van een misstap (al hoeft dit niet altijd feitelijk aantoonbaar te zijn). Deze minder concrete wijze van oordeelsvorming kan – indien goed toegepast – een terechte nuance aanbrengen in de tuchtrechtspraak. Dit maakt de analyse van de uitspraken echter zeer lastig. Er is geen eenduidig criterium waaraan getoetst kan worden waneer een bepaalde maatregel opgelegd wordt. 3.5.2
Relatie met de theorie
Definitie Wanneer we terugkijken naar het begin van het referaat, waar de definitie van de internal auditor wordt gegeven (zie 2.2.1), zien we dat de belangrijke punten uit de definitie ook in het tuchtrecht
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(48)
duidelijk terug komen. Termen als “independent” en “objective” komen duidelijk terug bij de toetsing van de principes uit de gedrags- en beroepsregels. Ook het beoordelen van de “adequacy of controls” zien we in de tuchtzaken terug komen (het beoordelen van de interne beheersingsmaatregelen). Tevens gaan de tuchtzaken zowel over assurance opdrachten als over adviesopdrachten (consultancy). Daarin schuilt ook direct het risico van tegengestelde belangen. In het kader van de externe accountant (de onderzochte NIVRA tuchtzaken) zien we dat het aannemen van verschillende typen opdrachten bij dezelfde cliënten kan botsen met enerzijds de gedrags- en beroepsregels en anderzijds met de belangen van de cliënt. Een soortgelijke kwestie is het combineren van externe en interne auditwerkzaamheden bij dezelfde client; een discussie die ten tijde van dit schrijven bij zowel beroepsorganisaties als in de media wordt gevoerd. Een leidend voorbeeld hiervan is de Rentokil deal van KPMG in het Verenigd Koninkrijk [FT, 2009] waar het accountantskantoor naast de jaarrekeningcontrole tevens een opdracht heeft aanvaard voor het uitvoeren van internal auditwerkzaamheden. In de VS is deze combinatie reeds verboden sinds de grote boekhoudschandalen bij Enron en Worldcom. De International Federation of Accountants (IFAC) heeft een herziene versie van de Code of Ethics gepubliceerd welke per 1 januari 2011 van kracht zal worden [IFAC, 2009b]. Hierin is het voor de accountant welke de jaarcijfers controleert van zogenoemde public interest entities verboden om bij diezelfde cliënt tevens internal audit diensten te verrichten. Dit zal tevens impact hebben op de Verordening Gedragscode (VGC) zoals deze momenteel in Nederland van kracht is [AN, 2009]. Uit een peiling van Accountancynieuws58 blijkt overigens dat (d.d. 9 november 2009) 85% van de personen die stemde, voor de aangescherpte onafhankelijkheidsregels is. Positie Wat uit de onderzochte tuchtuitspraken niet is gebleken zijn klachten ten aanzien van de positie van de (internal) auditor. Hiermee wordt bedoeld, de positie binnen een organisatie of ten aanzien van de opdrachtgever: aan wie rapporteert de auditor? Dat dit niet is gebleken is met name vanwege het gebrek aan tuchtzaken tegen internal auditors (IIA) of specifiek tegen interne accountants (NIVRA). Gezien de theorie (zie hoofdstuk 2) over de positie en de rol van internal audit kan het bij discussies over de uitvoering van de werkzaamheden, dan wel het rapporteren hierover leiden tot vraagtekens bij de onafhankelijkheid van de auditor op basis van zijn positie binnen de organisatie. De standaarden van het IIA gaan wel in op deze onafhankelijke positie om te waarborgen dat de auditor zo onafhankelijk mogelijk blijft. Ten aanzien van de rol van de auditor komen er wel tuchtzaken voor die hier betrekking op hebben. Deze gaan enerzijds over het mogelijk partijdig optreden van de auditor en anderzijds over het niet duidelijk kenbaar maken in welke rol, of ten behoeve van welke partij, de auditor acteert.
58
Accountancynieuws: http://www.accountancynieuws.nl/commentaar/peilingen/het-moet-mogelijk-zijn-dateen-accountantskantoor.82921.lynkx?showResults=true
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(49)
Agency theorie In hoofdstuk 2 is tevens de agency theorie beschreven waarin men uitgaat van een informatieasymmetrie tussen de agent en de principaal. De internal auditor heeft hierin de rol om als onafhankelijke partij toezicht te houden op de belangen van de principaal (in dit geval management). Wanneer we vanuit dit standpunt naar mogelijke tuchtzaken kijken, dan zullen deze met name gericht zijn op het partijdig of niet onafhankelijk handelen. In de onderzochte tuchtzaken zijn hiervan ook voorbeelden te vinden, al zijn die niet gericht op een interne functionaris die met interne belangen te maken heeft (zoals dat bij internal audit wel het geval is). Het agency principe is wel in de zaken terug te vinden, waar een auditor (accountant) ten behoeve van een stakeholder (doorgaans de opdrachtgever) onderzoek uitvoert naar de juistheid en betrouwbaarheid van de informatie waarop de opdrachtgever steunt (bijvoorbeeld due diligence onderzoeken). Hiervan zijn wel voorbeelden dat de auditor voor de Raad van Tucht werd gedaagd vanwege partijdig of niet onafhankelijk handelen. Three lines of defence Bij de three lines of defence gaat men – in tegenstelling tot de agency theorie – juist uit van gelijke belangen tussen de verschillende partijen (top management, risk management en audit). Hierbij zal daarom niet snel een klacht ingediend worden wegens partijdig handelen (alle partijen streven hetzelfde na). Wel kan deze rol de auditor in een lastig pakket brengen ten aanzien van zijn onafhankelijkheid dan wel objectiviteit binnen de organisatie. Gezien zijn kennis van de organisatie en de ervaring met interne beheersing zal – mede omdat men allen hetzelfde doel nastreeft – snel het verzoek bij internal audit komen om te assisteren bij het opvolgen van de gerapporteerde bevindingen. Het is hierbij zaak voor de internal auditor om een goede afweging te maken tot waar hij deze diensten zou kunnen verlenen en waar zijn objectiviteit in het gedrang zal komen. Alhoewel een klacht van binnen de organisatie hierover niet voor de hand zal liggen kan de auditor wel de gedrags- en beroepsregels van zijn beroepsorganisatie schenden indien hij zijn onafhankelijkheid niet voldoende beschermt. Tevens kan – afhankelijk van de organisatie en de situatie – eventueel een toezichthouder hier wel vraagtekens bij plaatsen wanneer deze op de werkzaamheden van internal audit steunt59. Daarbij kan de beroepsorganisatie bij vaststelling hiervan zelf ook een klacht tegen de betrokken auditor indienen. Uit de onderzochte tuchtzaken is dit – mede vanwege het gebrek aan tuchtzaken tegen internal auditors (IIA) of specifiek tegen interne accountants (NIVRA) – nog niet gebleken. Civiele rechtspraak en strafrecht In 2.4 is ondermeer besproken dat de uitspraken van de tuchtrechter gebruikt kunnen worden als input voor een civiel of strafrechtelijke procedure als vakinhoudelijk deskundig oordeel. Uit de
59
Refereer bijvoorbeeld aan 3.2 over toezichthouders.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(50)
onderzochte zaken is – al is het een beperkt aantal zaken – gebleken dat het tuchtrecht hiervoor inderdaad ook gebruikt wordt. Andersom worden overigens uitspraken van bijvoorbeeld de strafrechter ook gebruikt als input bij het tuchtrecht. Daarbij wordt niet direct de uitspraak van de strafrechter overgenomen, maar deze uitspraak wordt bij de procedure wel gebruikt voor het vaststellen van de feiten. Iemand die reeds strafrechtelijk veroordeeld is voor bijvoorbeeld belastingfraude kan tevens voor de tuchtrechter gedaagd worden. Het feit dat de fraude is gepleegd wordt dan als vastgesteld beoordeeld door de tuchtrechter en wordt niet door de Raad zelf onderzocht of de fraude werkelijk is gepleegd. Tegenstrijdigheid beroepsdeontologie en wettelijke verplichting In hoofdstuk 2 is tevens belicht dat – door gebrek aan wettelijke onderbouwing – de beroepsdeontologische regels tegenstrijdig kunnen zijn aan de wettelijke verplichtingen. Een voorbeeld is het zich beroepen op de beroepsdeontologische geheimhoudingsplicht tijdens een civiel of strafrechtelijke procedure. Enerzijds heeft de auditor zich te houden aan de gedrags- en beroepsregels van de beroepsorganisatie, terwijl hij anderzijds verplicht is om de informatie vrij te geven ten behoeve van de rechtelijke procedure. Uitgaande van dat hij zich aan zijn wettelijke verplichting houdt riskeert hij hiermee een tuchtrechtelijke maatregel wegens het schenden van de gedrags- en beroepsregels. Alhoewel dit een werkelijk dilemma voor de auditor kan zijn is dit niet gebleken uit de onderzochte zaken. In de gevallen waar tegen de auditor een klacht wegens het schenden van de vertrouwelijkheid werd ingediend waar het een rechtelijke procedure betrof werd de betreffende auditor door de Raad in het gelijk gesteld. Het argument hiervoor betrof echter niet de wettelijke verplichting waaraan de auditor zich moest houden.
3.6
Samenvatting en conclusies
Samenvatting
Er zijn diverse toezichthouders die het naleven van wetten en regels door organisaties controleren. De laatste jaren is bij de regels / best practices die deze toezichthouders uitvaardigen meer aandacht voor de rol van internal audit gekomen. De toezichthouders vermelden het belang van deze functie binnen de organisatie wel en veelal wordt het beschikken over een internal auditfunctie (al dan niet geoutsourced) verplicht gesteld, maar slechts enkelen gaan dieper in op de taken van de internal auditor. Onafhankelijkheid van de internal auditor en zijn aansprakelijkheid zijn met name afhankelijk van de diensten die hij levert. Dit zal meer van belang zijn wanneer hij assurancediensten levert, dan wanneer hij adviesdiensten levert. Uit onderzoek is gebleken dat – ondanks dat het IIA aangeeft dat de internal auditor meer is dan enkel een controlerende functie – de nadruk van de internal auditors toch voornamelijk ligt op de traditionele werkzaamheden zoals financial audit. Slechts 9% van de internal auditafdelingen zet 25% of meer van hun resources in voor adviesdiensten.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(51)
Verantwoordelijkheid en transparantie zijn kernbegrippen in het (terug)winnen van vertrouwen na de diverse boekhoudschandalen en de huidige economische crisis. Wet- en regelgeving stuurt daarom steeds meer op de verplichting van organisaties om verantwoording af te leggen over hun functioneren in het algemeen en de interne beheersing in het bijzonder. De internal auditor speelt hierbij een belangrijke rol welke tevens veelal formeler in wordt gevuld door het afgeven van een statement met betrekking tot de algehele staat van de interne controlemaatregelen door de CAE's. Het afleggen van verantwoording over de eigen werkzaamheden van internal audit blijft, gezien het relatief beperkte aantal auditoren dat de standaarden van het IIA onderschrijft en het feit dat slechts de helft van de auditfuncties een "quality assurantie and improvement program" hebben, echter nog achter. Door het gebrek aan zichtbaarheid van internal audit naar de buitenwereld en de onbekendheid met deze functie ligt het niet voor de hand dat een buitenstaander een internal auditor op zijn functioneren aanspreekt. Het IIA Nederland heeft tot op heden nog geen tuchtklachten ontvangen oven het functioneren van de internal auditor. Ook de NOREA heeft slechts een zeer beperkt (drie) aantal zaken behandeld. Uit enkel deze zaken is geen conclusie te trekken over de toepasbaarheid van de principes van de gedrags- en beroepsregels bij het tuchtrecht. De analyse van de tuchtzaken van het NIVRA toont aan dat tweederde van de ingediende klachten ongegrond wordt verklaard. Hierover is niet een eenduidige conclusie te trekken wat hiervan de reden is. De ongegrond verklaringen vinden plaats vanwege zowel het gebrek aan feiten om aan te tonen dat de klacht terecht is, als doordat de feiten aantonen dat de betrokkene correct gehandeld heeft. Wat wel blijkt is dat op de meer subjectieve principes zoals integriteit en professioneel gedrag het moeilijk blijkt voor de klager om feitelijk te onderbouwen dat de betrokkene (bewust) een misstap heeft gemaakt. Ook het feitelijk aantonen van partijdig handelen blijkt in de praktijk lastig. Concreter worden de procedures wanneer deze het functioneren betreffen zoals deskundigheid en zorgvuldigheid, geheimhouding en onafhankelijkheid. Hiervoor zijn concretere regels dan wel best practices voor handen waaraan de Raad de klacht en het handelen van de betrokkene kan toetsen. Hierbij is te zien dat de uitspraken meer één van de partijen in het gelijk stelt, dan dat er wordt besloten dat er onvoldoende bewijs is om de klacht aantoonbaar te maken. Bij het opleggen van de tuchtrechtelijke maatregel (waarschuwing, berisping, schorsing of doorhaling) zijn minder eenduidige criteria te onderscheiden. Hierbij maakt de Raad of het College een afweging van de situatie waarin het handelen heeft plaatsgevonden, de geleden schade en de intentie van de betrokkene. Hierbij is met name het laatste een persoonlijke inschatting van de Raad over wat de intentie van de betrokkene was. In de onderzochte zaken is veelal geen hard bewijs waarmee de intentie van de auditor aangetoond kan worden. Met betrekking tot de situatie waarin de vermeende misstap zich heeft voorgedaan is met name ook de jurisprudentie van belang. Zodoende kunnen de betrokkenen op gelijke wijze voor gelijke misstappen worden beoordeeld.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(52)
Terugkijkend naar de theorie over de rol en positie van de internal auditor zien we dat vanuit de definitie van internal audit en de positie die hem wordt toegedicht binnen de organisatie hij voornamelijk aangesproken zal worden op zijn onafhankelijkheid en objectiviteit (welke beide onder het principe objectiviteit vallen). Met betrekking tot de agency theorie betreft het met name zaken in het kader van partijdig of niet onafhankelijk handelen waardoor de objectieve rol van de auditor tussen de agent en de principaal geweld aangedaan wordt. Vanuit de eigen organisatie zal een auditor niet snel aangeklaagd worden op basis van de theorie van de three lines of defence (aangezien alle partijen intern dezelfde doelen nastreven). Echter, door de samenwerking tussen functies en de nauwe betrokkenheid bij de interne beheersing dient de auditor goed op zijn onafhankelijkheid en met name objectiviteit te letten. Hij moet voorkomen dat hij door het uitvoeren van advies werkzaamheden zijn rol als onafhankelijke beoordelaar geweld aandoet. Uit de onderzochte zaken blijkt dat – zoals in de theorie al verondersteld werd – uitspraken van tuchtzaken gebruikt worden als input van een deskundige bij een civiel of strafrechtelijk onderzoek. Het omgekeerde is ook het geval. Uitspraken van civiele of strafrechtelijke procedures worden als input gebruikt bij tuchtzaken als deskundig oordeel over de vaststaande feiten. Er is uit de onderzochte zaken niet gebleken dat er tegenstrijdigheden waren tussen de beroepsdeontologische regels en wettelijke verplichtingen, hetgeen niet inhoudt dat dit niet een reële mogelijkheid zou zijn. Conclusies
Na de analyse van de rol van de auditor in de praktijk en de toepasbaarheid van de principes met betrekking tot het functioneren bij het tuchtrecht kom ik tot de volgende vijf conclusies. Ten eerste blijkt dat toezichthouders enerzijds wel aangeven het belang van internal audit in te zien, maar anderzijds moeite hebben om concreet te definiëren wat zij van deze functie verwachten. Ten tweede onderschrijft slechts een relatief beperkt aantal internal auditors de standaarden die door de beroepsorganisatie zijn uitgevaardigd. Dit komt de kracht van de beroepsorganisatie en de transparantie en het vertrouwen naar de buitenwereld niet ten goede. En dat terwijl de rol van internal audit ten aanzien van het afleggen van verantwoording door de organisatie een formeler karakter krijgt. Ten derde speelt jurisprudentie een belangrijke rol. Bijvoorbeeld bij beoordelingen van subjectievere aspecten zoals integriteit en het beoordelen van de situatie waarin een misstap zich heeft voorgedaan. Hierbij wordt veelal gebruik gemaakt van de beschikbare jurisprudentie om zodoende een zo objectief en gelijkwaardig mogelijk oordeel te kunnen geven. Ten vierde blijkt het moeilijk een generieke maatstaf te vinden voor op te leggen maatregel. Bij het vaststellen van de op te leggen maatregel wordt namelijk mede gekeken naar de intentie van de betrokkene. Deze intentie ligt vaak niet in harde feiten vast. Dit maakt de beslissing voor de op te leggen maatregel in grote mate subjectief (persoonsgebonden).
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(53)
Ten slotte is gebleken dat de aspecten uit de theorie (zoals in hoofdstuk 2 beschreven60) terug te brengen zijn tot de principes met betrekking tot het functioneren van de auditor. Bij het behandelen van tuchtzaken wordt door de Raad en het College strikt gekeken naar de gedrags- en beroepsregels en hoe deze op de betreffende situatie van toepassing zijn.
60
Onafhankelijkheid, objectiviteit, partijdigheid, de agency theorie, three lines of defence, samenhang tussen civielrecht en tuchtrecht en de tegenstrijdigheid van de beroepsdeontologische regels ten aanzien van wettelijke bepalingen.
Functioneren en aansprakelijkheid van internal auditors in de praktijk Aansprakelijkheid van internal auditors Renze Munnik (2009)
(54)
4 Visie op toekomstige positie internal auditor 4.1
Inleiding
In de voorgaande hoofdstukken is ingegaan op de theorie en de huidige praktijk met betrekking tot het functioneren en de aansprakelijkheid van internal audit. Hieruit kwam naar voren dat er vanuit de beroepsorganisaties wel richtlijnen zijn voor het functioneren van de interne auditor en dat er mogelijkheden zijn ten aanzien van tuchtrecht om de auditor op zijn verantwoordelijkheid aan te spreken, maar dat er geen wettelijke basis bestaat voor de aansprakelijkheid van de interne auditor. Tevens blijkt dat in de praktijk de interne auditor nauwelijks middels het tuchtrecht op zijn gedrag aangesproken wordt. In dit hoofdstuk wordt ingegaan op wat het probleem is dat nu leeft en vervolgens wat de mogelijke oplossing hiervoor kan zijn. Het probleem wordt in 4.2 in kaart gebracht door terug te kijken op de werkzaamheden en de rol van de interne auditor. Tevens wordt hierbij gekeken naar wat er van de organisatie in het geheel, en internal audit in het bijzonder, wordt verwacht. Om op de internal auditfunctie te kunnen steunen bij het voldoen aan deze verwachtingen is het van belang dat de diverse stakeholders (toezichthouders en de samenleving) vertrouwen (kunnen) hebben in deze afdeling. Daarom wordt tot slot van 4.2 teruggekeken welke basis er momenteel is voor dat vertrouwen. Vervolgens wordt in 4.3 het kader geschetst voor de oplossing van dit probleem. Hierbij wordt ingegaan op het (terug)winnen van het vertrouwen in de organisatie en de controleerbaarheid hiervan. De tweede helft van 4.3 licht toe welke aspecten geadresseerd moeten worden om invulling te geven aan deze oplossing. Op basis van deze uiteenzetting is in 4.4 een zevental hypothesen opgesteld welke de te ondernemen stappen weergeven om dit in praktijk te brengen. Deze zijn vanuit verschillende oogpunten voorgelegd aan diverse deskundigen. In 4.5 worden de resultaten van de interviews geanalyseerd.
4.2
Het probleem
4.2.1
Werkzaamheden en rol
In hoofdstuk 3 (zie 3.3) is gekeken naar wat momenteel de werkzaamheden zijn die internal audit voornamelijk uitvoert. Hieruit bleek dat de interne auditor voornamelijk auditwerkzaamheden uitvoert gericht op de betrouwbaarheid van de financiële informatie en de beheersing van processen, afdelingen en projecten. De auditor geeft hiermee zekerheid over de informatie, dan wel over de beheersmaatregelen die de organisatie heeft ingericht om de betrouwbaarheid van de processen en informatie te waarborgen.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(55)
In hoofdstuk 2 is tevens volgens twee belangrijke theorieën beschreven wat de rol van de interne auditor binnen de organisatie is. De three lines of defence en de agency theorie zijn gebruikt om aan te geven wat de rol is die internal audit vervult ten aanzien van de diverse interne en externe stakeholders. Enerzijds is de internal auditafdeling er om samen met de organisatie ervoor te zorgen dat er geen fouten worden gemaakt en dat de organisatie op de koers blijft die zij heeft uitgestippeld (three lines of defence). Anderzijds speelt de internal auditfunctie een belangrijke rol in het beschermen van stakeholderbelangen (agency theorie). Dit kunnen de belangen van de Raad van Bestuur (RvB) of Raad van Commissarissen (RvC) zijn, maar ook belangen van externe stakeholders dienen gewaarborgd te blijven. Zo beginnen bijvoorbeeld externe toezichthouders meer en meer het belang van internal audit in te zien en beginnen de eerste stappen te nemen om bij hun toezichthoudende taken te steunen op de werkzaamheden van de interne auditor. Internal audit begint daarmee op meer directe wijze een rol te spelen in het waarborgen van belangen van de toezichthouders, maar ook degene voor wie de toezichthouder controleert – de overheid en de samenleving. Onafhankelijkheid van de internal auditafdeling is hierbij een belangrijk aspect. De internal auditor zal altijd een afhankelijkheid zal hebben ten aanzien van zijn werkgever (tevens de opdrachtgever). Met betrekking tot de overige afdelingen binnen de organisatie kan internal audit echter wel degelijk een onafhankelijke positie bekleden. De buitenwereld heeft hier echter geen goed zicht op. Zij zien de internal auditor simpelweg als onderdeel van de organisatie die gecontroleerd moet worden. De gedrags- en beroepsregels van het IIA bieden hierbij weinig ondersteuning. Deze geven momenteel onvoldoende duidelijkheid in wat de internal auditor wel of niet mag doen zonder zijn onafhankelijkheid in gevaar te brengen. Het is nu aan de internal auditor om hier zelf een inschatting van te maken. Dit geeft de buitenwereld weinig houvast om op de onafhankelijkheid van internal audit te vertrouwen. 4.2.2
Toezichthouders
Toezichthouders zien steeds meer het belang in van de interne auditor (zie 3.2). Alhoewel zij nog geen strikte regels stellen ten aanzien van de werkzaamheden en kwaliteit van internal audit wordt in diverse regelgeving steeds meer het belang van internal audit benadrukt. Zo wordt voorgeschreven dat bedrijven een internal auditafdeling moeten hebben en in sommige gevallen ook op welke onderdelen internal audits plaats moeten vinden. Tevens wordt er in regels voor externe accountants al expliciet meer ruimte geboden om gebruik te maken van de werkzaamheden van internal audit en beginnen ook toezichthouders zelf meer op de werkzaamheden van deze afdeling te steunen. Er is hiervoor echter nog geen duidelijk kader wat er van de internal auditor wordt verwacht. Ten aanzien van externe accountants wordt gesteld dat deze zelf een inschatting moeten maken van de adequaatheid van de werkzaamheden van internal audit en de toezichthouders stellen geen specifieke inhoudelijke eisen aan de internal auditor. Toch zal het, naar mate het belang van de internal auditfunctie toeneemt, duidelijk moeten zijn waaraan deze functie moet voldoen. Er moet een kader zijn op basis waarvan een buitenstaander ook vertrouwen kan krijgen in deze interne afdeling. Doordat het voor de internal auditor niet verplicht is om bij de beroepsorganisatie ingeschreven te zijn is dit kader er niet.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(56)
4.2.3
Verantwoording
Naast de toezichthouders die een toenemende interesse in de werkzaamheden van internal audit hebben zijn er – met name in het huidige klimaat – steeds meer geluiden dat bedrijven verantwoording af moeten leggen over hun handelen. Wetgeving zoals Sarbanes-Oxley (SOx) in de Verenigde Staten is hier een vergaand voorbeeld van. Maar ook in Nederland neemt de vraag naar verantwoording toe. En de verantwoordelijkheid voor een goede corporate governance ligt bij de organisatie zelf. Gezien de rechtszaken tegen bedrijven en ook de vraagtekens die gezet worden bij de accountantscontrole (enerzijds inhoudelijk en anderzijds of deze wel het risico afdekt waar wij momenteel mee te maken hebben) groeit het belang voor de organisatie om zelf de verantwoordelijkheid te nemen voor haar handelen en hier naar de buitenwereld toe voldoende maatregelen en transparantie voor te creëren. Oftewel, aantoonbaar maken hoe de organisatie handelt en hoe zij waarborgt dat misstappen tijdig worden geïdentificeerd en opgevolgd. De internal auditfunctie is hierbij een belangrijk middel, met name vanwege haar onafhankelijke positie binnen de organisatie (zie 4.2.1 voor een voorbehoud). De internal auditafdeling is het extra paar ogen van het bestuur en de RvC. Wanneer een organisatie aantoonbaar kan maken dat er een adequate internal auditfunctie is welke de interne beheersing controleert zal dit helpen om vertrouwen te kweken naar de buitenwereld. De RvB geeft daarmee aan zelf de verantwoordelijkheid op zich te nemen in plaats van te wijzen naar een goedkeurende verklaring van de accountant. Momenteel wordt er vanuit wet- en regelgeving echter nog weinig druk op de organisaties gelegd om deze verantwoordelijkheid te nemen. Er zijn in Nederland weinig dwingende regels om over een internal auditfunctie te beschikken. In de financiële sector is dit wel het geval door de regulering van De Nederlandse Bank (DNB). In de overige sectoren is dit echter nog niet het geval. 4.2.4
Naleving gedrags- en beroepsregels
Vertrouwen in het beroep begint bij transparantie. Men moet weten waaraan een internal auditor voldoet (of moet voldoen). Er dient een eenduidig kader te zijn waaraan het functioneren van de auditor getoetst kan worden. De beroepsorganisatie (het Instituut van Internal Auditors, IIA) heeft hiervoor de gedrags- en beroepsregels opgesteld waarin zij voorschrijft waaraan internal audit dient te voldoen om zodoende de kwaliteit, objectiviteit en integriteit van de werkzaamheden en de auditor te waarborgen. Voor externe stakeholders biedt zo’n kader een duidelijk beeld wat men van de auditfunctie kan verwachten (en waar men deze op aan kan spreken). Zo vormt dit bijvoorbeeld voor toezichthouders een basis om te vertrouwen op de kwaliteit van internal audit en zodoende hier meer op te steunen in het kader van regulering. Voor de interne stakeholders (inclusief auditees) zorgen deze regels (indien voldoende nageleefd) voor vertrouwen in de objectiviteit en professionaliteit van de auditors. Helaas blijkt in praktijk dat er relatief weinig internal auditors zijn die deze gedrags- en beroepsregels onderschrijven (zie 3.3.3). Tevens voldoet slechts de helft van de internal auditafdelingen aan de regel van het IIA dat de afdeling een quality assurance and improvement program moet hebben.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(57)
Hierdoor nemen de internal auditors feitelijk afstand van de beroepsorganisatie en blijft het enige kader waaraan zij eventueel getoetst kunnen worden de onderlinge afspraken die zij met hun werkgever hebben gemaakt. Enerzijds in het arbeidscontract en anderzijds in de doelstellingen binnen de organisatie van de internal auditafdeling. Naar de (externe) stakeholders biedt dit geen duidelijk beeld van wat er van de internal auditfunctie verwacht kan worden. Tevens wordt het zodoende moeilijk om een auditor op zijn functioneren aan te spreken. Een auditor die niet bij de beroepsorganisatie is aangesloten valt immers niet onder de tuchtrecht regeling.
4.3
De oplossing
4.3.1
Vertrouwen in de organisatie
Na alle (recente) schandalen en de huidige economische situatie willen we het vertrouwen terugwinnen in de economie en de organisaties die deze vormen. Volgens Van Dale betekent vertrouwen “het geloof in iemands goede trouw en eerlijkheid.” Bij vertrouwen gaat men er vanuit dat de ander voldoet aan de verwachtingen. Mijns inziens is er echter in praktijk wel een verschil tussen het vertrouwen tussen twee personen, twee vrienden, of het vertrouwen in een organisatie of een zakelijke relatie. Vrienden hebben over het algemeen dezelfde belangen in de afspraken/verwachtingen die zij van elkaar hebben. Bij een zakelijke relatie is dit veelal echter niet het geval. Daar heeft men voortdurend te maken met verschillende en zelfs tegenstrijdige belangen. Dit is deels ook toegelicht met behulp van de agency theorie in hoofdstuk 2. Als een organisatie het vertrouwen van de maatschappij en de toezichthouders wil (terug)winnen dient deze te beginnen bij transparantie. De organisatie dient inzichtelijk te maken waar zij mee bezig is, welke beslissingen worden genomen en welke maatregelen de organisatie heeft getroffen om te waarborgen dat de verstrekte informatie betrouwbaar is. Deze transparantie wordt versterkt wanneer de organisatie zelf aantoonbaar maakt dat zij in control is. Hiermee wordt bedoeld dat de organisatie zelf aan dient te tonen dat zij voldoende maatregelen heeft geïmplementeerd waarmee zij waarborgt dat de doelstellingen behaald worden. Maar tevens betekent dit dat de organisatie aantoont dat zij op zodanige wijze te werk gaat dat haar handelen integer is. De informatie over haar handelen dient betrouwbaar te zijn. Vanzelfsprekend is het de verantwoordelijkheid van het bestuur om zorg te dragen voor deze transparantie en om in control te zijn. De bestuurders kunnen dit echter niet alleen. Zij hebben hierbij – mede conform de three lines of defence – de ondersteuning nodig van een functie die onafhankelijk is binnen de organisatie en tevens kennis heeft over de hele organisatie en over beheersing. Internal audit is hiervoor de aangewezen afdeling. Zij is binnen de organisatie het onafhankelijke (ten aanzien van de andere afdelingen) extra paar ogen van de interne toezichthouders van de organisatie.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(58)
4.3.2
Vertrouwen of controle?
Zoals tijdens het zevende IIA seminar naar voren kwam [Deloitte, 2006] blijkt de meerderheid van de internal auditors (Chief Audit Executives, CAE’s) achter de stelling “vertrouwen is goed, controle is beter” te staan. Mijn idee is niet dat controle beter is, maar wel dat vertrouwen (in het bedrijfsleven) pas kan groeien wanneer dit gebaseerd is op controleerbaarheid. Wanneer er vooraf een kader is waaraan getoetst kan worden en een organisatie zelf uitlegt (en aan kan tonen) dat zij aan dit kader voldoet, dan zal er meer vertrouwen in de organisatie groeien en zal men minder zelf willen controleren (bijvoorbeeld toezichthouders). Een reeds genoemd voorbeeld hiervan is het compliance handvest tussen KPN en de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) (zie 3.2.3). Terugkomend op wat vertrouwen inhoudt (4.3.1) kunnen we stellen dat om te kunnen vertrouwen op een organisatie eerst de verwachtingen van elkaar duidelijk moeten zijn. De organisatie kan aangeven wat van haar verwacht kan worden door duidelijk te communiceren wat haar doelstellingen zijn, welke handelswijze zij hierin hanteert om deze na te streven en op welke manier zij ervoor zorgt dat dit ook daadwerkelijk op deze wijze geschiedt. Met de agency theorie in het achterhoofd zien we hier ook een informatieasymmetrie tussen de organisatie en diegenen die op haar willen vertrouwen (aandeelhouders, de samenleving). De agency theorie schijft hier voor dat er een onafhankelijke partij dient te zijn die bij de agent (de organisatie) toezichthoudt op het nastreven van de belangen van de principaal (de aandeelhouders / de samenleving). Voor de handliggend zou dit een externe toezichthouder betreffen die de organisatie controleert. In het kader van vertrouwen – en de voorzichtige ontwikkelingen op het gebied van toezicht door externe toezichthouders – siert het de organisatie als zij zelf aan kan tonen dat zij integer handelt en de juiste belangen nastreeft. Ook de verschillende toezichthouders (zie 3.2) stellen dat de aanwezigheid van een internal auditfunctie een belangrijk aspect is voor het in control zijn van de organisatie en (daarmee) het nemen van de verantwoordelijkheid over het handelen van de organisatie. 4.3.3
Verplichte internal audit
Om het vertrouwen in de economie – of in ieder geval de organisaties – terug te kunnen winnen zullen organisaties verplicht moeten beschikken over een internal auditfunctie, waarmee de organisaties aantonen dat zij voldoende maatregelen treffen om in control te blijven over hun handelen alsmede eventuele misstappen tijdig te kunnen identificeren en adresseren. Een organisatie die niet wil dat haar internal auditors aan de regels van de beroepsorganisatie hoeven te voldoen zou echter nog de afdeling een andere naam kunnen geven. Voor interne aangelegenheden maakt de naam van de functie immers niet veel uit. Zodoende zouden de internal auditors (dan dus onder aan andere benaming) niet aan de regels hoeven te voldoen. Door het verplichten van een internal auditfunctie wordt deze mogelijkheid uitgesloten. Hierbij is het uiteraard niet voor alle organisaties mogelijk om over een (onafhankelijke) internal auditfunctie te beschikken. Voor bijvoorbeeld eenmanszaken is het praktisch niet mogelijk om zo’n functie in te richten. Tevens zou daarmee de impact op de organisatie (met name de winstgevendheid) te groot zijn. Hierbij kan ook afgevraagd worden of – gezien de omvang en
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(59)
beperkte complexiteit van de organisatie – de internal auditfunctie hier de gewenste toegevoegde waarde zou kunnen bieden. Bij grotere en meer complexe organisaties is een internal auditfunctie echter wel degelijk noodzakelijk, aangezien het voor de bestuurders anders onmogelijk is om voldoende zicht te houden op de interne beheersing van de organisatie. Daarbij blijft het de vraag waar de grens gelegd moet worden voor het verplichten van een internal auditfunctie. Hierbij sluit ik aan bij de Nederlandse Corporate Governance Code [MCCGC, 2008] die van toepassing is op alle beursvennootschappen. De Nederlandse Corporate Governance Code definieert beursvennootschappen als: “Alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen zijn toegelaten tot een effectenbeurs, of meer specifiek tot de handel van een gereglementeerde markt of een daarmee vergelijkbaar systeem en op alle grote vennootschappen met statutaire zetel in Nederland (> € 500 miljoen balanswaarde) waarvan de aandelen of certificaten zijn toegelaten tot de handel op een multilaterale handelsfaciliteit of een daarmee vergelijkbaar systeem” [MCCGC, 2008] Preambule, artikel 2. 4.3.4
Vertrouwen in internal audit
Internal audit maakt echter onderdeel uit van de organisatie. Om – als buitenstaander – op het oordeel van internal audit te steunen zal men voldoende vertrouwen in de internal auditor moeten hebben. Met het nog te onduidelijke kader waaraan de internal auditor in praktijk dient te voldoen (zij streven niet allen dezelfde regels na, zie 4.2) is er weinig basis voor de buitenwereld om op deze interne afdeling te vertrouwen. Er dient daarom een eenduidig kader te zijn dat weergeeft wat de samenleving van een internal auditor kan verwachten. De beroepsvereniging heeft dit kader. Te weten, de gedrags- en beroepsregels van het IIA. Voor de externe stakeholder, om te kunnen vertrouwen op internal audit, is het van belang dat alle internal auditors deze zelfde regels nastreven61. Momenteel is het beroep van internal auditor nog niet wettelijk beschermd. Dit betekent dat iedereen zich internal auditor kan noemen (deze functie binnen een organisatie kan vervullen) ook al voldoet deze niet aan de eisen van de beroepsorganisatie. Zodoende hoeven niet alle internal auditors de regels van de beroepsorganisatie na te leven. Dit is immers enkel verplicht voor diegenen die staan ingeschreven bij het IIA. Een wettelijke verplichting om bij de beroepsorganisatie ingeschreven te staan zal waarborgen dat iedere interne auditor verplicht is om te voldoen aan de gedrags- en beroepsregels hiervan. Wanneer iedere internal auditor dient te voldoen aan hetzelfde centrale kader van regels is het voor de stakeholders duidelijk welke verwachting zij kunnen hebben van de internal auditor. Hierbij dient wel de relatie met het Nederlands Instituut van Registeraccountants (NIVRA) in ogenschouw genomen te worden. De regels van het NIVRA zijn van toepassing op alle 61
Vergelijk met registeraccountants welke allen dezelfde gedrags- en beroepsregels van het NIVRA nastreven.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(60)
registeraccountants. Dat houdt in dat deze ook van toepassing zijn op de registeraccountants welke werkzaam zijn bij een internal auditafdeling. De regels welke op deze groep auditors van toepassing is mag niet conflicteren. Tevens dient vastgesteld te worden onder welk tuchtrecht deze groep auditors aangesproken wordt op hun functioneren. 4.3.5
Tuchtrecht
In een ideaalsituatie zou niemand ooit een misstap maken. Echter, zolang wij met mensen te maken hebben en een vakgebied waarbij de professionele kundigheid en inschatting een belangrijke rol spelen zullen er altijd meningsverschillen zijn omtrent het handelen van (in dit geval) de auditor. Om enerzijds op het systeem te kunnen vertrouwen en anderzijds om de kwaliteit te waarborgen en te kunnen verbeteren dient er een manier te zijn waarop auditors op hun verantwoordelijkheden aangesproken kunnen worden. Het IIA heeft deze mogelijkheid gecreëerd middels het instellen van het reglement van tucht [IIA, 2008c]. Middels het tuchtrecht is er een formele wijze waarop de internal auditor inhoudelijk op zijn functioneren aangesproken kan worden. Enerzijds biedt dit de mogelijkheid om (onverhoopte) misstappen van auditors aan het licht te stellen en de auditor hierop aan te spreken (en eventueel de titel door te halen). Anderzijds biedt het tuchtrecht de kans om nog meer duidelijkheid te scheppen in het auditberoep. Bij internal auditing komt veelal de professionele inschatting van de auditor kijken om tot een oordeel te komen. Dit is enerzijds bij het bepalen van risico’s en anderzijds bij het inschatten van de impact van beheersmaatregelen welke niet (volledig) naar behoren werken. Tevens dient de auditor bij het aannemen van een opdracht in te schatten in welke mate deze opdracht zijn objectiviteit in gevaar kan brengen. De gedrags- en beroepsregels schrijven niet tot in detail voor hoe met iedere specifieke situatie omgegaan moet worden. Dit is ook niet mogelijk en wenselijk. In een beroepsgroep van ervaren professionals dient men de beoordelingsvermogen en creativiteit niet in te perken door het voorschrijven van (te) gedetailleerde regels. Dit leidt er echter wel toe dat in voorkomende gevallen er discussie zal ontstaan over de beslissing van de auditor. Middels het tuchtrecht kan zo’n situatie nader bekeken worden en een deskundig oordeel hiervoor gegeven worden. Zodoende ontstaat er een basis voor toekomstige situaties die vergelijkbaar zijn. Men creëert hiermee nog meer duidelijkheid over de te stellen verwachtingen ten aanzien van de interne auditor. Het tuchtrecht van het IIA is echter enkel van toepassing op internal auditors welke ingeschreven staan bij het IIA. Auditors bij wie dat niet het geval is (uitzondering zijn interne registeraccountants welke onder het tuchtrecht van het NIVRA vallen) kunnen niet middels het tuchtrecht op hun handelen aangesproken worden. Het is daarom van belang dat iedere internal auditor verplicht bij het IIA ingeschreven is en zodoende ook onder het tuchtrecht van de beroepsorganisatie valt. Alleen op die wijze kan een algemeen vertrouwen in de internal auditor verkregen worden (en in de beroepsorganisatie als geheel). Alhoewel het uiteraard niet wenselijk is dat er veel misstappen worden begaan door internal auditors zou het wel een goede ontwikkeling zijn als er meer situaties bij de Raad van Tucht behandeld worden. Dit hoeft niet te leiden tot maatregelen tegen internal auditors, maar via deze weg wordt een kritieke massa van jurisprudentie opgebouwd welke duidelijkheid schept voor toekomstige situaties waarin auditors kunnen belanden. Dit vormt een waardevolle toevoeging op
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(61)
de gedrags- en beroepsregels doordat onduidelijkere situaties hierbij nader belicht worden en verdere invulling gegeven wordt aan de betekenis van de principes uit de gedrags- en beroepsregels. 4.3.6
Objectiviteit
Een voortdurend aandachtspunt voor auditors (zowel intern als extern) blijft de objectiviteit. Zeker wanneer er discussie ontstaat over de uitgevoerde werkzaamheden kan de objectiviteit van de auditor snel ter sprake komen. Belangenverstrengeling, of de perceptie hiervan, zal het vertrouwen in de auditor niet ten goede komen. De onafhankelijkheid van de auditor zal met name ter sprake komen wanneer deze zowel adviesals controlewerkzaamheden vervult (zoals de definitie van het IIA ook aangeeft). Dit hoeft uiteraard niet tot een probleem te leiden, maar dan dienen hiervoor duidelijke regels te zijn. Enerzijds zal de jurisprudentie van de Raad van Tucht hier meer duidelijkheid in gaan verschaffen wanneer er meer uitspraken voor handen zijn. Anderzijds zijn er situaties waarvoor op voorhand regels gesteld kunnen worden om de perceptie van belangenverstrengeling te voorkomen. In de gedrags- en beroepsregels zullen daarom duidelijkere regels gesteld moeten worden ten aanzien van de combinaties van opdrachten dan wel rollen die de interne auditor mag aannemen / vervullen. 4.3.7
Kwaliteit van de afdeling
Vertrouwen wordt enkel verkregen wanneer men er van op aan kan gaan dat de hele afdeling voldoende kwaliteit levert. Het is echter niet realistisch om te verwachten dat een hele internal auditafdeling bestaat uit enkel gecertificeerd internal auditors. Men zal immers eerst voldoende kennis en ervaring op moeten doen om aan de vereisten van de beroepsorganisatie te voldoen. In deze periode zal men echter wel werkzaamheden uitvoeren bij de internal auditafdeling. Om de kwaliteit van de werkzaamheden van de gehele afdeling te kunnen waarborgen kan – net als het geval is bij registeraccountants – de gecertificeerde internal auditor (ingeschreven in het register) verantwoordelijk worden gesteld voor het handelen van de assistenten. Dit betekent dat de gecertificeerd auditor de verantwoordelijkheid heeft zijn medewerkers voldoende te coachen en van de juiste opleiding te voorzien om de werkzaamheden met voldoende kwaliteit uit te voeren. 4.3.8
Toezicht
In bovenstaande paragrafen is beschreven welke punten onderdeel uitmaken van de oplossing van de aandachtspunten die uit voorgaande hoofdstukken naar voren zijn gekomen. Met deze acties wordt het wettelijk geregeld dat iedere internal auditor lid is van het IIA en daarmee aan de gedrags- en beroepsregels voldoet. Verder is er de mogelijkheid om de auditor op zijn functioneren aan te spreken middels het tuchtrecht, waarmee – indien er voldoende situaties voorgelegd worden – tevens een deskundig oordeel ontstaat over hoe om te gaan met de principes van de gedrags- en beroepsregels in complexere (minder duidelijke) situaties. Maar wie controleert of de internal auditors zich daadwerkelijk aan de regels houden? Uiteraard is hiervoor de periodieke kwaliteitstoets van het IIA [IIA, 2004]. Echter, dit is een controle door de beroepsorganisatie zelf. Zij behartigt tevens de belangen van de beroepsgroep. Naar de
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(62)
buitenstaanders zal dit als “zelfcontrole” gezien worden, ondanks het belang dat het IIA heeft om iedere eventuele misstap van een internal auditor tijdig en adequaat te aan te pakken. Ook hierbij geldt dat een controle door een onafhankelijke partij (toezichthouder) voor buitenstaanders meer waarde zal hebben en zodoende meer vertrouwen zal wekken. Wel zal men hierbij op moeten letten om niet controle op controle te stapelen. De internal auditafdeling wordt ingesteld om de organisatie te controleren. Daarbij voert de externe auditor (de accountant) ook periodiek nog controles uit bij de organisatie. Onderdeel hiervan is veelal ook een (beperkte) evaluatie van de effectiviteit van de internal auditafdeling. Zeker nu de externe auditor meer kan steunen op de internal auditor. Hij dient hiervoor dan een evaluatie uit te voeren op de werkzaamheden die de internal auditor uitvoert. Dan is er nog de kwaliteitstoets van het IIA waarbij de internal auditafdeling doorgelicht wordt. Bij het afwegen of een toezichthouder gewenst is dient tevens gekeken te worden naar het maatschappelijk belang van de internal auditfunctie. Deze rol is momenteel nog beperkt. Echter, naar mate de externe auditor meer op de werkzaamheden van internal audit gaat steunen en ook toezichthouders zoals De Nederlandse Bank (DNB) en de OPTA meer belang gaan hechten aan internal audit zal de rol van deze afdeling ten aanzien van het maatschappelijk belang ook toenemen. Dan zal de noodzaak van een onafhankelijke toezichthouder groeien.
4.4
Hypothesen
In de voorgaande paragraaf (4.3) is uiteengezet hoe het probleem, zoals in 4.2 geschetst is, opgelost kan worden. Hieronder zijn zeven hypothesen gesteld waarin stapsgewijs de bovenstaande oplossing uitgewerkt is. Deze zijn aan vier deskundigen voorgelegd. Zoals in hoofdstuk 1 is beschreven is gekozen voor vier verschillende perspectieven om deze hypothesen te belichten. Op 19 november is [VERTROUWELIJK] geïnterviewd, als [VERTROUWELIJK]. In dit tweeënhalf uur durende gesprek is de rol van [VERTROUWELIJK] besproken. Met name van [VERTROUWELIJK]. Vanuit het standpunt van [VERTROUWELIJK] zijn de hypothesen en de mogelijke consequenties en praktische haalbaarheid hiervan besproken. [VERTROUWELIJK] is Director bij [VERTROUWELIJK] en vanuit die rol betrokken bij de Internal Audit Services die [VERTROUWELIJK] levert. Op maandag 23 november heb ik een uur met hem gesproken
over hoe hij de onderstaande hypothesen ziet vanuit zijn rol bij Internal Audit Services. Enerzijds heeft hij als RA goed zicht op de huidige regelingen ten aanzien van de externe accountant. Anderzijds ziet hij vanuit Internal Audit Services veel verschillende organisaties en hun internal auditafdelingen. Zodoende heeft hij breed zicht op de ontwikkelingen in het vakgebied. [VERTROUWELIJK] is werkzaam bij de afdeling [VERTROUWELIJK] (vaktechniek) bij [VERTROUWELIJK]
en richt zich daar met name op de riskmanagement aspecten die komen kijken bij deze organisatie. Vanuit deze rol heeft zij veel kennis en ervaring opgedaan met betrekking tot de vaktechnische kant van de wet- en regelgeving ten aanzien van de (externe) auditor. Op 20 november heb ik haar een half uur over dit onderwerp gesproken, waarna wij op 24 november hier dieper op in zijn gegaan. In dit een uur durende gesprek hebben wij de hypothesen besproken. Hierbij zijn vooral de
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(63)
praktische aspecten belicht zoals voor welke organisaties een internal auditdienst verplicht gesteld zou kunnen worden en wat de impact zou kunnen zijn van het wettelijk regelen van het internal audit beroep. Om de hypothesen vanuit een juridisch standpunt te belichten heb ik op 20 november drie kwartier gesproken met [VERTROUWELIJK]. Zij is werkzaam bij de Office of the General Counsel bij [VERTROUWELIJK]. Dit is de juridische afdeling van [VERTROUWELIJK]. In het gesprek met [VERTROUWELIJK] is met name besproken waarom het beroep en de titel wettelijk geregeld zouden moeten worden en wat daarvan de consequenties zou zijn. Na het gesprek op 20 november heeft zij op 4 december nog kort schriftelijk antwoorden op de stellingen toegestuurd.
4.4.1
Verplichte internal auditfunctie
Hypothese 1: Voor iedere beursvennootschap dient verplicht gesteld te worden dat deze over een permanente internal auditfunctie beschikt. Toelichting Het belang van internal audit ten aanzien van het (terug)winnen van het vertrouwen voor de organisatie is uit voorgaande hoofdstukken naar voren gekomen. Om in control te zijn (en te blijven) en om dit ook naar de buitenwereld te kunnen laten zien is het voor de organisatie noodzakelijk om een goed werkend stelsel van interne beheersing te hebben en dit regelmatig te toetsen op adequate werking. De internal auditfunctie is hiervoor onmisbaar vanwege de specifieke expertise, de onafhankelijke positie en het zicht op de organisatie als geheel. Er dient een afweging gemaakt te worden voor welke organisaties het redelijk is om een internal auditfunctie verplicht te stellen en voor welke niet. Hiervoor wordt aangesloten bij de definitie zoals in de Nederlandse Coporate Governance Code gesteld voor beursvennootschappen: Alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen zijn toegelaten tot een effectenbeurs, of meer specifiek tot de handel van een gereglementeerde markt of een daarmee vergelijkbaar systeem en op alle grote vennootschappen met statutaire zetel in Nederland (> € 500 miljoen balanswaarde) waarvan de aandelen of certificaten zijn toegelaten tot de handel op een multilaterale handelsfaciliteit of een daarmee vergelijkbaar systeem. [MCCGC, 2008] Preambule, artikel 2 Resultaten interviews Wat betreft het verplichten van de internal auditfunctie zijn alle vier de deskundigen het ermee eens dat dit een belangrijke eerste stap is voor het (terug)winnen van het vertrouwen in de organisatie. Ook het stellen van een grens voor welke organisaties dit verplicht is vinden zij hierbij van belang. Daar wordt nog wel een aantal kanttekeningen bij gemaakt.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(64)
Zo geeft [VERTROUWELIJK] hierbij aan dat er gelet moet worden of de verplichting voor een internal auditafdeling wel in verhouding staat met de omvang van de organisatie. Er zijn organisaties met zeer weinig tot geen werknemers welke wel voldoen aan de € 500 miljoen grens zoals in bovenstaande definitie is vermeld. Voor het verplichten van een internal auditfunctie zou daarom onder andere gelet moeten worden op het aantal werknemers dat in dienst is van de organisatie. Maar wat tevens hierbij van belang is, is de vraag hoeveel aandeelhouders geraakt zouden worden door een misstap van de organisatie en wat voor aandeelhouders dit betreft. Wanneer de aandelen in bezit zijn van een breder publiek is bescherming van deze investeerders meer aan de orde dan wanneer alle aandelen in handen zijn van de eigen holdingmaatschappij. [VERTROUWELIJK] duidt er tevens op dat enkel de verplichting om over een internal auditfunctie te
beschikken niet voldoende is. Enerzijds zal de organisatie zelf ook in het belang van deze functie moeten geloven en anderzijds zullen er tevens richtlijnen gegeven moeten worden over bijvoorbeeld de werkzaamheden van de internal auditfunctie. Met enkel een verplichting om een internal auditafdeling te hebben wordt onvoldoende gewaarborgd dat deze ook de benodigde toegevoegde zal bieden ten aanzien van de interne beheersing en het verkrijgen van vertrouwen in de organisatie. Een organisatie die niet zelf in het belang van internal audit gelooft zal de werkzaamheden van deze afdeling minimaal houden. Daarbij zal ook de opvolging van eventuele bevindingen van internal audit door het management te wensen overlaten. Hierover geeft [VERTROUWELIJK] aan dat de aanwezigheid van de auditcommissie en het contact van internal audit met de auditcommissie een belangrijk onderdeel is ten aanzien van het waarborgen van de werkzaamheden en de daadkracht van internal audit. Deze functie staat er zodoende niet alleen voor, maar is gesterkt door de commissie die toezicht houdt op de organisatie. De Nederlandse Corporate Governance Code [MCCGC, 2008] heeft hiermee reeds een begin gemaakt door de verhoudingen tussen internal audit, de auditcommissie en de externe accountant vast te leggen in de best practice bepalingen (zie ook 3.2.3). Idealiter zou ook in de RvC ten minste één lid moeten zitten met affiniteit met interne beheersing (in control). 4.4.2
Orde van internal auditors
Hypothese 2: De orde van internal auditors dient wettelijk bekrachtigd te worden. Het IIA dient hiervoor als openbaar lichaam aangewezen te worden. Zij wordt hiermee verantwoordelijk voor het bevorderen van een goede beroepsuitoefening door de leden. Toelichting Een eerste stap om het internal auditberoep wettelijk te regelen en daar vervolgens eisen aan te gaan stellen is het bekrachtigen van de orde – de beroepsorganisatie. Aangezien er reeds een beroepsorganisatie bestaat voor internal auditors, het IIA, is het voor de hand liggend om deze organisatie hiervoor te gebruiken. Mede aangezien zij al veel geregeld heeft zoals gedrags- en beroepsregels, de permanente educatieplicht, periodieke kwaliteitstoetsing en tuchtrechtspraak. Het IIA krijgt hiermee een wettelijke positie in de samenleving als openbaar lichaam. Zij is hiermee aangewezen als de beroepsorganisatie welke zorg draagt voor een goede
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(65)
beroepsuitoefening. Door dit wettelijk te regelen worden de inspanningen van het IIA kracht bijgezet en wordt de basis gelegd voor het verder afdwingen van vereisten aan het internal auditberoep. Resultaten interviews Alle vier zijn het met de stelling eens dat de orde van internal auditors wettelijk bekrachtigd zou moeten worden. Dit is noodzakelijk om de naleving van de gedrags- en beroepsregels via de (tucht)rechter af te kunnen dwingen ([VERTROUWELIJK]). [VERTROUWELIJK] geeft hierbij nog aan dat realistisch nagedacht moet worden over de haalbaarheid
van het wettelijk bekrachtigen van de orde van internal auditors. Hij duidt hierbij bijvoorbeeld op de Nederlandse Orde van Register EDP Auditors (NOREA) welke reeds lange tijd bezig is met de wettelijke bekrachtiging van EDP auditors. 4.4.3
Beschermde titel
Hypothese 3: Voor internal auditor dient een wettelijk beschermde titel te komen welke enkel gevoerd mag worden door de leden van de orde. Hiervoor dient een register aanwezig te zijn waarin de auditors worden bijgeschreven. Toelichting Momenteel mag een ieder zich nog internal auditor noemen en als zodanig optreden. Hiermee is het onduidelijk (voor buitenstaanders) welke internal auditor wel of niet aan de vereisten van de beroepsorganisatie voldoet. Tevens is hiermee de rol en de invloed van de beroepsorganisatie onduidelijk voor buitenstaanders. Zie ook het feit dat iets meer dan de helft van de interne auditors de gedrags- en beroepsregels van de beroepsorganisatie onderschrijft (3.3.3). Door de titel voor internal auditors wettelijk te beschermen wordt gewaarborgd dat enkel die personen zich als internal auditor uit kunnen geven welke bij het IIA ingeschreven zijn. De gecertificeerden worden in het register van het IIA ingeschreven. Een ieder die bij het IIA ingeschreven is dient te voldoen aan de gedrags- en beroepsregels van het IIA en valt tevens onder de regeling van de periodieke kwaliteitstoets van het IIA [IIA, 2004]. Resultaten interviews Over deze stelling zijn de meningen verdeeld. Zowel [VERTROUWELIJK] als [VERTROUWELIJK] zijn het met deze stelling eens. Zij zijn van mening dat de kwaliteit hierdoor gegarandeerd kan worden (bijvoorbeeld middels verplichte educatie en naleving van de beroepsregels) en afgedwongen kan worden (door middel van sancties). [VERTROUWELIJK] staat hier neutraal tegenover. Wel is het hierbij afhankelijk, stelt zij, van hoe je de
titel van internal auditor wilt bepalen. Internal auditors hebben veelal reeds een andere titel (RA, RE of RO). Het is de vraag in hoeverre deze personen welwillend staan tegenover het volgen van
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(66)
wederom een soortgelijke opleiding en het afleggen van een examen. Zij hebben immers al een omvangrijke opleiding op auditgebied afgerond, beschikken over voldoende werkervaring en voldoen aan de permanente educatieplicht62. Uit eerdere analyse (zie 2.3) kwam naar voren dat de gedrags- en beroepsregels van het NIVRA, de NOREA en het IIA/SVRO (Stichting Verenigde Register Operational auditors) soortgelijke eisen stellen aan de diverse auditors. Internal auditing is een andere doorsnede van ‘dezelfde’ beroepsgroep (auditors). Waar het NIVRA, de NOREA en de SVRO op specifieke vakgebieden gericht zijn (accountancy, IT-auditing en operational auditing) kan omvat internal audit alle drie deze vakgebieden. Met betrekking tot de certificering van de internal auditor kan daarom overwogen worden om bij inschrijving in het register een door de beroepsorganisatie (IIA) erkende titel te vereisen. Zo kan gedacht worden aan de RA, RE en RO titels als onderdeel van de toelatingseis. Aan deze titels liggen toelatingseisen te grondslag, bijvoorbeeld met betrekking tot opleiding63. Hierbij zal periodiek heroverwogen moeten worden hoe hiermee om te gaan indien bijvoorbeeld de gedrags- en beroepsregels van de betreffende beroepsorganisaties (NIVRA, NOREA en SVRO) wijzigen. [VERTROUWELIJK] is het niet met de stelling eens. Hij is van mening dat met het verplichten van de
certificering van internal audit exclusiviteit aan internal audit wordt toegekend voor iets waarover de overige auditors (RA, RE, RO) reeds beschikken. Dit grijpt deels terug op wat in voorgaande alinea is beschreven. De kennis en verplichtingen van de bij andere beroepsorganisaties geregistreerde auditors moet onderkent worden bij het certificeren van de internal auditor. 4.4.4
Tuchtrecht
Hypothese 4: Het is noodzakelijk dat iedere internal auditor onder het tuchtrecht van het IIA ter verantwoording geroepen kan worden. De tuchtrechtspraak dient tevens wettelijk bekrachtigd te worden. Toelichting Wanneer het verplicht is om aan de standaarden van de beroepsorganisatie te voldoen dient er tevens een mogelijkheid te zijn maatregelen te treffen tegen degene die zich (bewust of onbewust) niet aan deze verplichting houdt. Het IIA heeft hiervoor reeds het reglement van tucht ingesteld. Wanneer de positie van het IIA en het beroep van internal auditor wettelijk bekrachtigd zijn dient ook het tuchtrecht zoals het IIA dit kent wettelijk geregeld te worden. Iedere internal auditor (ingeschreven in het register) valt hiermee onder het tuchtrecht van het IIA en kan zodoende op zijn handelen aangesproken worden.
62
Het NIVRA, de NOREA en de SVRO hebben alle drie een permanente eductie verplichting voor inschrijving in het register. 63 Bijvoorbeeld de Master of Science in Accountancy, post Master RA, Executive Master of Internal Auditing en Executive Master of IT Auditing.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(67)
Om een gewogen beslissing te kunnen nemen over het functioneren van de auditor is het – met name bij subjectievere principes zoals integriteit – van belang om over voldoende jurisprudentie te beschikken als referentiekader. Tevens geeft jurisprudentie van de Raad van Tucht een praktische invulling van de principes zoals deze in de gedrags- en beroepsregels zijn gegeven. Wanneer iedere (gecertificeerde) internal auditor onder het tuchtrecht van de beroepsorganisatie valt is er enerzijds altijd de mogelijkheid om een misstap van een auditor te aan te pakken. Anderzijds zal dit tot meer situaties leiden waarover een deskundig oordeel wordt gegeven. Deze uitspraken kunnen als basis dienen voor toekomstige situaties waarin een auditor kan belanden. Resultaten interviews Het beschikken over een tuchtrechtelijke manier om de auditor op zijn functioneren aan te spreken wordt door alle vier de deskundigen onderschreven. Om de kwaliteit van de beroepsgroep na te kunnen leven is tuchtrecht noodzakelijk ([VERTROUWELIJK] en [VERTROUWELIJK]). Ieder auditor (bijvoorbeeld functie manager en hoger) dient onder deze tuchtrechtregeling te vallen ([VERTROUWELIJK]). Dit zou – indien mogelijk – tevens los moeten staan van het feit of je een titel hebt of niet. Voor het waarborgen van de kwaliteit van internal audit is volgens [VERTROUWELIJK] een aantal zaken van belang. Ten eerste de toelating tot het register, waarbij wordt beoordeeld of de auditor voldoet aan de minimale opleidings- en ervaringseisen [IIA, 2008d]. Ten tweede zorgt de permanente educatieplicht voor een continu voldoende niveau van opleiding/kennis. Het tuchtrecht [IIA, 2008c] is noodzakelijk om de auditor aan te kunnen spreken op eventuele misstappen. Ten slotte wordt er een periodieke kwaliteitstoets door het IIA uitgevoerd om de kwaliteit van de internal auditafdeling te toetsen. Tevens is het nuttig om uitleg te geven aan de gedrags- en beroepsregels ([VERTROUWELIJK]). De gedrags- en beroepsregels zijn principal based. Dit houdt in dat er geen strikte richtlijnen in staan wat wel of wat niet mag. De gedragsregels geven de richting aan waaraan de auditor zich dient te houden. De auditor dient hier zelf invulling aan te geven op basis van zijn kennis, ervaring een inschattingsvermogen. Er kunnen zich echter complexe situaties voordoen waarbij het voor de auditors niet eenduidig is welke richting gekozen moet worden. Het tuchtrecht kan in deze gevallen duidelijkheid scheppen. Er wordt, van zaak tot zaak, een deskundig oordeel gegeven over hoe om te gaan met de regels in die specifieke situatie. Zo wordt een kader gecreëerd zonder dat vooraf in detail alle gedrags- en beroepsregels uitgewerkt worden.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(68)
4.4.5
Onafhankelijkheidsregels
Hypothese 5: De onafhankelijkheidsregels van het IIA moeten aangescherpt worden ten aanzien van niet toegestane combinaties van werkzaamheden en persoonlijke onafhankelijkheid. Toelichting De huidige regels van het IIA/SVRO met betrekking tot de onafhankelijkheid van de interne auditor laten nog veel ruimte voor de eigen inschatting van de auditor. Wanneer er ook door buitenstaanders (aandeelhouders, toezichthouders, de samenleving in het algemeen) meer belang wordt gehecht aan het oordeel van de interne auditor zal ook de onafhankelijkheid van deze functie voor hen meer van belang worden. Er dient voorkomen te worden dat bij het oordeel van de interne auditor een discussie ontstaat over zijn onafhankelijkheid ten aanzien van het onderwerp (belangenverstrengeling). Het aanscherpen van de onafhankelijkheidsregels van de interne auditor komt het waarborgen van de objectiviteit van de auditor ten goede. Hierbij kan gedacht worden aan het in de beroepsregels vastleggen van bepalingen welke combinaties van werkzaamheden niet zijn toegestaan. Zodoende komt de auditor niet in de positie waarin hij de kans loopt zijn objectiviteit te schaden. Tevens schept dit een duidelijk kader waaraan bij een eventuele tuchtzaak getoetst kan worden. Hierbij dient bij internal audit rekening gehouden te worden met de specifieke positie die de interne auditor heeft. Deze zal bijvoorbeeld te allen tijde een afhankelijkheid hebben van zijn (ultieme) opdrachtgever – zijn werkgever. Resultaten interviews Bij deze stelling is er een verdeeld beeld. [VERTROUWELIJK] en [VERTROUWELIJK] zijn het met de stelling eens. [VERTROUWELIJK] is hierbij neutraal en [VERTROUWELIJK] is het niet met de stelling eens. De basis voor het verdeelde antwoord wordt met name gevormd door de vraag in hoeverre de internal auditor werkelijk onafhankelijk is. Deze heeft immers (zoals ook in 2.4.7 is beschreven) altijd een afhankelijkheid van zijn werkgever (en tevens opdrachtgever). Voor het bepalen van de (regels voor) onafhankelijkheid van de interne auditor hangt het, volgens [VERTROUWELIJK], ook deels af van de taak die internal audit binnen de organisatie heeft. Het is daarom wel goed om enkele basisregels te stellen ten aanzien van de onafhankelijkheid. Deze dienen echter, geeft [VERTROUWELIJK] aan, niet rules based te zijn. Hij is het ermee eens dat er meer duidelijkheid kan komen ten aanzien van de onafhankelijkheidsregels, maar we moeten daarbij niet vergeten dat de wereld verder gaat. De structuur van organisaties en de taken van de afdelingen binnen die organisaties kunnen veranderen waardoor wellicht ook andere eisen gesteld worden aan de onafhankelijkheid. Het is hierbij volgens [VERTROUWELIJK] lastig een one size fits all oplossing voor te stellen.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(69)
Hij is daarom meer voorstander om invulling aan de onafhankelijkheidsregels te geven middels position papers. Periodiek zal de stand van zaken opgenomen worden en vanuit de beroepsgroep naar de toekomst gekeken worden. Op basis daarvan zal in een position paper beschreven worden hoe met de onafhankelijkheid omgegaan zou moeten worden. 4.4.6
Kwaliteit van de afdeling
Hypothese 6: De gecertificeerd internal auditor dient verantwoordelijk gesteld te worden voor het treffen van voldoende maatregelen die ervoor zorgen dat degene die onder zijn verantwoordelijkheid werkt de juiste opleiding heeft en onder adequaat toezicht staat. Toelichting Net als bij accountantsorganisaties kan een internal auditafdeling gebruik maken van assistent auditors welke wellicht nog niet over veel ervaring beschikken en nog niet zijn geregistreerd bij de beroepsorganisatie. Om toch de kwaliteit van de (werkzaamheden van de) internal auditfunctie te waarborgen zal de gecertificeerde internal auditor verantwoordelijk gesteld moeten worden voor het handelen van de assistenten. Hij dient daarvoor zijn medewerkers voldoende te coachen, van de juiste opleiding/trainingen te voorzien en adequaat toezicht te houden op hun werkzaamheden. Resultaten interviews Alle vier zijn de deskundigen het eens met de stelling dat de kwaliteit van de hele afdeling gewaarborgd moet worden en dat de gecertificeerde auditor hiervoor verantwoordelijkheid heeft. Dit is een principe dat bij professionele assurance providers zoals accountantskantoren werkt en zodoende toepasbaar is bij internal auditafdelingen ([VERTROUWELIJK]). In die vergelijking doorgaand zou er geen rapport afgegeven mogen worden door internal audit zonder review van een gecertificeerd auditor ([VERTROUWELIJK]). Waar hierbij wel aan gedacht moeten worden, stelt [VERTROUWELIJK], is de omvang van de organisatie waar de internal auditafdeling deel van uitmaakt en de financiële middelen die daar beschikbaar zijn. Dit grijpt deels terug naar wat er ook in 4.4.1 is beschreven ten aanzien van het verplichtstellen van een internal auditfunctie. Kleine organisaties zullen over het algemeen over minder middelen beschikken om werknemers naar trainingen en opleidingen te sturen. Tevens legt een goed coachingsmodel de nodige druk op de afdeling wanneer deze over slechts een beperkt aantal personen beschikt.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(70)
4.4.7
Externe toezichthouder
Hypothese 7: Het is noodzakelijk een onafhankelijke toezichthouder in te stellen welke toezicht houdt op het naleven (wettelijke) verplichtingen waaraan de internal auditor moet voldoen. Toelichting Het IIA heeft de periodieke kwaliteitstoets ten aanzien van internal auditafdelingen. Echter, dit is een controle door dezelfde organisatie welke de belangen van de beroepsgroep behartigt. Voor het vertrouwen van buitenstaanders (de stakeholders) zullen de internal auditors onder toezicht moeten staan van een organisatie welke onafhankelijk is van de beroepsgroep, zoals dat bijvoorbeeld bij registeraccountants het geval is middels het toezicht door de Autoriteit Financiële Markten (AFM). Resultaten interviews Bij deze stelling is er een verdeelde mening, die toch meer naar ‘oneens’ neigt. [VERTROUWELIJK] en [VERTROUWELIJK] zijn het oneens met de stelling dat er een externe toezichthouder moet komen. [VERTROUWELIJK] is hierbij neutraal en [VERTROUWELIJK] is het wel eens met de stelling. Een externe toezichthouder zal, stelt [VERTROUWELIJK], meer vertrouwen naar de buitenwereld geven. Wanneer een onafhankelijke partij de internal auditfunctie (en de beroepsorganisatie) beoordeelt zal dit meer waarde hebben voor buitenstaanders dan wanneer de beroepsorganisatie zelf de internal auditors controleert. Dit is momenteel ook het geval ten aanzien van de externe accountants welke door de AFM gecontroleerd worden. Het dient dan wel te gaan om de controle van de internal auditafdeling en niet perse over individuele auditors. [VERTROUWELIJK] geeft aan dat een extern ‘certificaat’ (verklaring) toch altijd door een externe partij
afgegeven moet worden. Naar de buitenwereld heeft zo’n verklaring meer waarde. Internal audit blijft een instrument van het bestuur. De internal auditor kan in veel gevallen wel de werkzaamheden verrichten, maar een externe partij zal het oordeel moeten bekrachtigen wil dit echt waarde hebben voor het maatschappelijk verkeer. Een externe toezichthouder zou daarom wellicht een wat ‘overdreven’ maatregel kunnen zijn. [VERTROUWELIJK] onderschrijft deze mening. De internal auditor zal nooit echt onafhankelijk zijn.
Daarom zullen er maatregelen nodig blijven zoals de controle van de werkzaamheden van internal audit door een externe auditor (zoals dat nu in vele situaties ook het geval is). De externe partij dient het oordeel te bekrachtigen. Een (extra) toezichthouder zou daarom minder toegevoegde waarde hebben, aldus [VERTROUWELIJK].
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(71)
4.5
Analyse van de resultaten
In dit hoofdstuk is eerst (4.2) het probleem geschetst dat naar aanleiding van de voorgaande hoofdstukken naar voren is gekomen. Vervolgens is in 4.3 gekeken wat de oplossing voor dit probleem zou zijn. Deze is in zeven hypothesen opgesplitst en voorgelegd aan vier deskundigen (4.4). Hieronder staat beschreven wat de, na de interviews, de stappen zijn voor de oplossing van het probleem zoals in 4.2 beschreven. 4.5.1
Algemeen
Alhoewel alle vier de deskundigen het erover eens zijn dat het goed is om meer structuur aan te brengen om het functioneren van internal audit te waarborgen is er wel uit de interviews naar voren gekomen dat erop gelet moet worden dat er geen schijnzekerheid gecreëerd wordt. De internal auditor zal immers niet extern rapporteren en heeft altijd een afhankelijkheid van zijn opdrachtgever (werkgever). Een verklaring van een externe partij zal in het maatschappelijk verkeer daarom altijd meer waarde hebben dan die van een interne afdeling. 4.5.2
Verplichte internal auditfunctie
Een eerste stap voor het terugwinnen van het vertrouwen in de organisaties is dat zij zelf de verantwoordelijkheid nemen voor hun handelen en dit aantoonbaar maken. De internal auditfunctie is hierbij een belangrijk onderdeel, aangezien deze binnen de organisatie onafhankelijk is ten aanzien van de operationele taken en de overige afdelingen. Het verplichten van een permanente internal auditfunctie biedt hierbij een basis voor organisaties om in control te zijn. Bij het verplichten van de internal auditfunctie moet een grens getrokken worden voor welke organisaties dit van toepassing zou zijn. De definitie van beursvennootschappen zoals in de Nederlandse Corporate Governance Code [MCCGC, 2008] wordt gehanteerd biedt hiervoor een goede basis. Er dient echter wel rekening gehouden te worden met een aantal extra aandachtspunten. Ten eerste de omvang van de organisatie met betrekking tot het aantal werknemers. Ten tweede is het van belang rekening te houden met het aantal aandeelhouders dat geraakt zou worden door een misstap van de organisatie en het type aandeelhouders dat dit betreft (particulier of institutioneel). Ten derde zullen er regels moeten komen met betrekking tot de werkzaamheden van de internal auditor binnen de organisatie om te voorkomen dat deze afdeling alleen voor de show wordt ingesteld. Enkel het hebben van een internal auditafdeling is immers niet voldoende. Ten slotte biedt de Nederlandse Corporate Governance Code een goede basis met betrekking tot het betrekken van internal audit bij corporate governance. In deze code staat beschreven wat de relatie moet zijn tussen internal audit, de auditcommissie en de externe accountant. Middels de verplichting om over een internal auditfunctie te beschikken wordt tevens voorkomen dat de internal auditfunctie onder een andere naam dezelfde activiteiten uitvoert en daardoor niet aan de gedrags- en beroepsregels zou hoeven voldoen.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(72)
4.5.3
Orde van internal auditors
Om de gedrags- en beroepsregels van de beroepsorganisatie kracht bij te zetten dient de orde van internal auditor wettelijk bekrachtigd te worden. Dit is vergelijkbaar met het NIVRA. Zodoende is er een wettelijke basis om de internal auditor op de gedrags- en beroepsregels aan te spreken. Kanttekening hierbij kan de praktische haalbaarheid zijn. Zoals [VERTROUWELIJK] bij wijze van voorbeeld stelt “een goede elektricien is ook van belang, maar dat wordt ook niet wettelijk vastgelegd.” Verwijzing wordt hierbij gemaakt naar de vergeefse pogingen door de NOREA om een wettelijke status te verkrijgen. Ten aanzien van deze praktische haalbaarheid bestaat echter nog een andere optie. Het NIVRA behartigt immers de belangen van alle RA’s. Dit betreft tevens de interne RA’s. Deze maken deel uit van de groep interne auditors. De interne registeraccountants vallen onder de vakgroep interne accountants bij het NIVRA (INTAC). Wanneer deze de doelgroep uitbreidt naar alle interne auditors (in plaats van enkel interne RA’s), dan is de wettelijke status van deze organisatie al gewaarborgd. 4.5.4
Beschermde titel
Het is van belang dat alleen diegenen zich internal auditor mogen noemen waarvan zeker is dat zij aan de gedrags- en beroepsregels van de beroepsorganisatie voldoen. Zodoende weet men zeker dat iedere internal auditor voldoet aan de standaarden van de beroepsorganisatie. Inschrijving in het register is hiervoor de drempel die de auditor moet nemen. Om inschreven te worden in het register moet men immers aan de toelatingseisen voldoen (opleiding en ervaring). Voor het certificeren van internal auditors dient echter apart gekeken te worden naar de toelatingseisen. De opleiding zoals deze nu voor de SVRO geldt is hiervoor wellicht te strikt. Aangezien de groep internal auditors zowel CIA’s, RO’s als RA’s en RE’s omvat zou men voor een gecertificeerd internal auditor de toelating op deze titels kunnen laten berusten. Eerder is immers al gebleken dat de betreffende gedrags- en beroepsregels soortgelijke eisen aan de beoefenaars stellen (zie 2.3). 4.5.5
Tuchtrecht
Wanneer alle internal auditors moeten voldoen aan de regels van de beroepsorganisatie is er nog een middel nodig om hen aan te spreken op het eventueel niet naleven van deze regels. Het tuchtrecht is hiervoor noodzakelijk. Hiermee kan de internal auditor op zijn functioneren worden aangesproken voor de rechter. Tevens biedt het tuchtrecht de mogelijkheid om een meer specifieke invulling te geven aan de op principes gebaseerde gedrags- en beroepsregels. Door het deskundige oordeel door de tuchtrechter wordt voor specifieke zaken beoordeeld hoe de regels toegepast moeten worden. Hiermee wordt tevens meer houvast geboden voor soortgelijke situaties in de toekomst.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(73)
4.5.6
Onafhankelijkheidsregels
De onafhankelijkheid van de interne auditor blijft een punt van discussie. Hij heeft immers te allen tijde een afhankelijkheid van zijn opdrachtgever, die tevens zijn werkgever is. Daarbij komt dat de buitenwereld de interne auditor altijd zal beschouwen als onderdeel van de organisatie en dus niet onafhankelijk. Internal audit is een instrument van het bestuur. Zij kan enerzijds de organisatie controleren en anderzijds de organisatie helpen om de interne beheersing in te richten. Om meer invulling te geven aan de onafhankelijkheid van de auditor zullen er meer specifieke richtlijnen moeten komen over hoe de internal auditor invulling moet geven aan het begrip onafhankelijkheid. Omdat zowel de organisaties als het beroep van internal audit aan verandering onderhevig zijn (en zullen blijven) zal er tevens periodiek naar de richtlijnen omtrent de onafhankelijkheid gekeken moeten worden. Dit kan enerzijds gedaan worden door invulling aan de onafhankelijkheid te geven middels position papers, of anderzijds door de richtlijnen in de gedrags- en beroepsregels periodiek te heroverwegen. 4.5.7
Kwaliteit van de afdeling
Alleen gecertificeerde internal auditors die zich aan de regels van de beroepsgroep houden is niet voldoende. Een internal auditafdeling zal immers niet uit enkel gecertificeerden bestaan. Om dit probleem het hoofd te bieden en zodoende de kwaliteit van de hele afdeling te kunnen waarborgen zal de gecertificeerde internal auditor verantwoordelijk moeten zijn voor degenen die voor hem werken (vergelijkbaar met hoe dit ten aanzien van registeraccountants is geregeld). Dit betekent dat de gecertificeerde internal auditor zorg moet dragen voor voldoende maatregelen die ervoor zorgen dat degene die onder zijn verantwoordelijkheid werkt de juiste opleiding heeft en onder adequaat toezicht staat. 4.5.8
Externe toezichthouder
Het IIA voert periodiek kwaliteitstoetsen uit bij internal auditors. Hoewel dit een goed middel is voor de beroepsgroep zelf om zicht te houden op de kwaliteit zal dit naar de buitenwereld minder waarde hebben dan een externe partij die hierop toezicht houdt. Met betrekking tot internal audit dient echter gelet te worden op welke rapportages deze afdeling af zal geven. Zo kan deze rapportages verstrekken ten behoeve van organisaties die om specifieke controlewerkzaamheden vragen. Echter, doorgaans zal het maatschappelijk verkeer (het publiek) expliciet waarde hechten aan de verklaring van een onafhankelijk externe partij (veelal de externe accountant). Voor het terugwinnen van het vertrouwen van het publiek zal de bevestiging van de externe auditor (of een toezichthouder) erg belangrijk blijven. Met externe accountants die naar de werkzaamheden van de internal auditor kijken en de beroepsorganisatie die kwaliteitstoetsen uitvoert is het momenteel – met de beperkte directe invloed van internal audit op het maatschappelijk verkeer – niet noodzakelijk om een externe toezichthouder aan te stellen.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(74)
Indien internal audit wettelijk geregeld wordt zullen hiervoor duidelijke regels bij de beroepsorganisatie moeten komen ten aanzien van de kwaliteitstoets. Wanneer internal audit in de toekomst een meer directe invloed op het maatschappelijk verkeer zou krijgen, dan dient het aanstellen van een externe toezichthouder heroverwogen moeten worden.
Visie op toekomstige positie internal auditor Aansprakelijkheid van internal auditors Renze Munnik (2009)
(75)
5 Conclusie en aanbevelingen 5.1
Inleiding
In dit referaat is exploratief onderzoek uitgevoerd naar de mogelijke invloed van wettelijke aansprakelijkheid van de internal auditor op zijn functioneren. Nadat in hoofdstuk 2 een theoretische beschouwing is gegeven over het functioneren en de aansprakelijkheid van de internal auditor is in hoofdstuk 3 de praktijk hiervan onderzocht. Uit deze hoofdstukken is een probleem naar voren gekomen ten aanzien van de onafhankelijkheid van de internal auditor en de wijze waarop deze op zijn functioneren aangesproken kan worden. Dit probleem is in hoofdstuk 4 belicht. Tevens is in dat hoofdstuk een mogelijke oplossing geschetst welke, door middel van zeven hypothesen, aan vier deskundigen is voorgelegd. In 5.2 wordt per onderzoeksvraag uit hoofdstuk 1 de resultaten van het onderzoek uiteengezet. Het antwoord op de centrale onderzoeksvraag staat beschreven in 5.3. Dit is tevens de conclusie van het onderzoek. Ten slotte wordt in 5.4 een viertal aanbevelingen gegeven voor het oplossen van het in 4.2 beschreven probleem.
5.2
Beantwoording deelonderzoeksvragen
5.2.1
Theorie
De eerste onderzoeksvraag heeft betrekking op de theorie omtrent het onderwerp van aansprakelijkheid. De vraag luidt: Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de theorie beschreven? Het functioneren van de internal auditor is onder meer belicht middels de agency theorie en de three lines of defence. Deze theorieën geven aan welke rol de internal auditfunctie vervult binnen de organisatie ten aanzien van (interne en externe) stakeholders. Alhoewel hierbij geen vakinhoudelijke invulling wordt beschreven van de internal auditfunctie geven deze theorieën wel weer dat de internal auditor binnen de organisatie onafhankelijk en objectief dient te zijn. Tevens wordt van de auditor veel kennis van de interne beheersing in het algemeen en de organisatie in het bijzonder vereist. Het Instituut van Internal Auditors (IIA, de beroepsorganisatie) stelt in haar definitie van internal auditing dat de internal auditfunctie tevens adviesdiensten kan leveren aan de organisatie. Wanneer de auditor echter adviseert over de inrichting van de interne beheersing is deze niet meer objectief wanneer hij ditzelfde onderwerp vervolgens zou gaan auditen. De gedrags- en beroepsregels van het IIA stellen wel dat de auditor onafhankelijk dient te zijn, maar laat de invulling hiervan aan de professionele inschatting van de auditor zelf. Er zijn geen specifieke criteria gesteld waarmee bepaald kan worden welke diensten wel of niet geleverd mogen worden (eventueel in combinatie met elkaar).
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(76)
Het IIA stelt, net als beroepsorganisaties als het Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van Register EDP Auditors (NOREA), een aantal principes waaraan de auditor zich dient te houden. Deze staan beschreven in de gedrags- en beroepsregels. Iedere auditor die is ingeschreven bij het IIA dient zich aan deze gedrags- en beroepsregels te houden. Wanneer iemand van mening is dat de auditor dit niet doet, dan kan de auditor voor de tuchtrechter gedaagd worden. De uiterste maatregel die de tuchtrechter op kan leggen is doorhaling in het register. Het is echter niet verplicht om bij het IIA ingeschreven te staan om het internal audit beroep uit te oefenen. Het beroep van internal auditor (en daarmee de regels van de beroepsorganisatie) zijn niet wettelijk vastgelegd. Ten aanzien van de aansprakelijkheid van de internal auditor is slechts zeer weinig beschreven in de theorie. Uitzondering hierop zijn de registeraccountants (RA) welke als internal auditor werkzaam zijn. Deze vallen onder de regels van het NIVRA welke wel wettelijk bekrachtigd zijn. De internal auditor die in dienst is van de organisatie valt wettelijk gezien daarmee enkel onder de algemene civiele wetten zoals het Burgerlijk Wetboek en het Wetboek van Strafrecht. Deze wetten schrijven echter geen verplichtingen voor waaraan het functioneren van de auditor vakinhoudelijk dient te voldoen. Enerzijds heeft de beroepsorganisatie dus wel een goede basis gelegd waarop de internal auditor op zijn gedrag aangesproken kan worden, maar anderzijds is dit niet wettelijk bekrachtigd en is men niet verplicht om bij de beroepsorganisatie ingeschreven te zijn als men als internal auditor werkzaam is. 5.2.2
Praktijk
De tweede onderzoeksvraag betreft het functioneren en de aansprakelijkheid van de interne auditor in de praktijk. Deze luidt: Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de praktijk geregeld? Wanneer we kijken naar het functioneren en de aansprakelijkheid van de internal auditor in de praktijk zien we dat bijvoorbeeld toezichthouders steeds meer het belang onderkennen van de internal auditfunctie. Toezichthouders stellen deze functie in hun regels en best practices steeds vaker verplicht en sommige toezichthouders (zoals De Nederlandse Bank, DNB) gaan daarin zelf een stap verder door het voorschrijven welke onderwerpen door internal audit onderzocht moeten worden. Ten aanzien van de rol die internal audit vervult binnen de organisatie zien we dat deze zich toch met name nog richt op de traditionele auditwerkzaamheden en nog nauwelijks op de adviesdiensten – welke het IIA specifiek in de definitie van internal audit heeft opgenomen. Ondanks het feit dat de beroepsorganisatie gedrags- en beroepsregels heeft opgesteld ter waarborging van een goede beroepsuitoefening, worden deze regels door de internal auditors (die niet allemaal bij het IIA ingeschreven hoeven te zijn) door een relatief klein deel onderschreven,
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(77)
net als het quality assurance and improvement program dat het IIA verplicht stelt voor internal auditafdelingen. Vervolgens blijkt uit onderzoek naar tuchtzaken bij het NIVRA dat het tuchtrecht niet of nauwelijks wordt toegepast op internal auditors. Het IIA heeft nog geen tuchtzaken gehad. Van de 200 onderzochte tuchtzaken van het NIVRA (tussen 2007 en 2009) was er geen enkele met betrekking tot een internal auditor. Ook de enige drie tuchtzaken vanaf 1998 van de NOREA betroffen geen internal auditors. Toezichthouders onderkennen meer het belang van internal audit. De internal auditors onderschrijven echter slechts in beperkte mate de regels van de beroepsorganisatie. Tevens worden zij niet of nauwelijks op hun functioneren worden aangesproken middels de tuchtrechter. Daarbij komt dat al zou dit wel gebeuren, dan kan de internal auditor gewoon zijn functie blijven vervullen. Men hoeft immers niet bij de beroepsorganisatie ingeschreven te zijn om internal auditor te zijn. Wel zal een opgelegde maatregel een negatief effect hebben op de naam van de internal auditor binnen de beroepsgroep. 5.2.3
Toekomstvisie
De derde en laatste onderzoeksvraag gaat in op de (mogelijke) toekomst van de internal auditor. Welke impact zou invoering van wettelijke aansprakelijkheid op het functioneren van internal audit kunnen hebben? Door het combineren van de theorie en de praktijk is in hoofdstuk 4 geschetst wat het probleem momenteel betreft met betrekking tot de toekomst van internal audit ten aanzien van het functioneren en de aansprakelijkheid. Zoals in 5.2.1 en 5.2.2 naar voren komt is het probleem dat – ondanks dat er degelijke regels gesteld zijn door de beroepsorganisatie – deze in praktijk weinig worden onderschreven. Tevens is men niet verplicht om bij de beroepsorganisatie aangesloten te zijn waardoor een eventuele maatregel door de tuchtrechter slechts een minimaal effect zal hebben. Dit is heel anders bij bijvoorbeeld registeraccountants welke hun werk niet meer kunnen uitvoeren wanneer zij geschorst zijn of doorhaling in het register heeft plaatsgevonden. Er is daarmee weinig formele basis voor het steunen op de beroepsgroep in het algemeen. En dat terwijl er vanuit de samenleving juist een roep is om verantwoording door organisaties. Tevens neigen toezichthouders juist meer naar het steunen op internal audit. Om dit probleem aan te pakken is in hoofdstuk 4 de oplossing geschetst. Enerzijds door de verplichting voor organisaties om over een permanente internal auditfunctie te beschikken. Anderzijds door de regels ten aanzien van de beroepsgroep wettelijk kracht bij te zetten. De verplichting over een internal auditfunctie te beschikken vormt de basis voor het nemen van verantwoordelijkheid en het afleggen van verantwoording voor de organisatie. Tevens voorkomt dit dat de internal auditactiviteiten (onder een andere naam) niet aan de gedrags- en beroepsregels zouden hoeven voldoen.
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(78)
Het wettelijk regelen van het internal auditberoep is er met name op gericht te waarborgen dat iedere internal auditor zich aan de regels van de beroepsorganisatie houdt en dat hij op zijn functioneren aangesproken kan worden indien hij dit niet doet. Voor de hand liggend is dat het IIA een wettelijke status zou krijgen om dit te regelen. Er is echter reeds een organisatie die deze status heeft; het NIVRA. Deze behartigt tevens de belangen van een deel van de interne auditors. Namelijk, de interne registeraccountants. Deze vallen onder de vakgroep interne accountants (INTAC). Een mogelijkheid zou daarmee zijn om de scope van deze groep uit te breiden. Deze zou dan alle internal auditors moeten omvatten en niet enkel de interne RA’s.
5.3
Conclusie (beantwoording centrale onderzoeksvraag)
De centrale onderzoeksvraag van dit referaat is: Kan formele aansprakelijkheid van de internal auditor een positief effect hebben op het functioneren van de internal auditfunctie? Op basis van het exploratief onderzoek zoals dit in voorgaande is beschreven is het antwoord op deze vraag “ja”. Het is gebleken dat de auditors welke als internal auditor werkzaam zijn slechts beperkt de regels van de beroepsorganisatie onderschrijven. Hoewel dit niet perse inhoudt dat zij tegenstrijdig hieraan handelen, geeft dit geen waarborg naar de buitenwereld ten aanzien van de kwaliteit van de internal auditor. Met de roep om verantwoordelijkheid en verantwoording door organisatie neemt het belang van internal audit toe. Zeker aangezien deze op dit moment nog met name de traditionele auditdiensten leveren en daarmee een belangrijke rol kunnen vervullen ten aanzien van het nemen van verantwoordelijkheid door de organisatie (het bestuur) voor de interne beheersing. Daarmee is de rol van internal audit meer gericht op de externe stakeholders. Wanneer internal audit vooral adviesdiensten zou leveren, dan was zij minder gericht op de externe stakeholderbelangen en zou zij diensten leveren waarop externe partijen (externe accountant en toezichthouders) minder steunen. In dat geval zou de formele aansprakelijkheid minder van belang zijn. Het betreft dan met name de arbeidsrelatie met de werkgever. Afhankelijk van welke richting internal auditdiensten de komende jaren zullen gaan met hun dienstverlening kan dit een effect hebben op de vraag of formele aansprakelijkheid gewenst is. Door het internal auditberoep wettelijk te bekrachtigen – en daarmee de verantwoordelijkheid wettelijk vast te leggen – wordt een ieder die internal auditor is verplicht zich aan de gedrags- en beroepsregels van de beroepsorganisatie te houden. Iedere auditor die dit niet (voldoende) doet kan voor de tuchtrechter ter verantwoording worden geroepen.
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(79)
5.4
Aanbevelingen
Uit dit onderzoek is naar voren gekomen dat er een aantal stappen genomen moeten worden om een positief effect op het functioneren van de internal auditor te bewerkstelligen. Hieronder staan vier aanbevelingen beschreven om hier invulling aan te geven. Ten eerste dient de organisatie over een internal auditfunctie te beschikken. Dit is momenteel nog niet altijd het geval, al stuurt de Nederlandse Corporate Governance Code hier wel op aan en verplichten ook steeds meer toezichthouders de organisatie om een internal auditafdeling te hebben. Hiermee wordt tevens voorkomen dat de functie een andere naam krijgt en daarmee niet onder de gedrags- en beroepsregels (en de formele aansprakelijkheid) zou vallen. Wel dient er bij het bepalen welke organisaties over een internal auditfunctie moeten beschikken, rekening gehouden te worden met de omvang van de organisatie en het aantal en type aandeelhouders dat door een eventuele misstap geraakt zou worden. Ten tweede zal het internal auditberoep een wettelijke status moeten krijgen. Dit houdt in dat de orde van internal auditors bekrachtigd moet worden als openbaar lichaam welke verantwoordelijk wordt voor het bevorderen van een goede beroepsuitoefening door de leden. Tevens zal deze orde het register beheren waarin de internal auditors geregistreerd staan. Hiermee wordt enerzijds de titel beschermd en anderzijds de auditor verplicht zich aan te melden bij de beroepsorganisatie. Zodoende dient de auditor tevens aan de gedrags- en beroepsregels van de orde te voldoen. In verband met de overlap die het gebied van internal auditing heeft met vakgebieden als accountancy (RA), IT-auditing (RE) en operational auditing (RO) dient er bij de toelatingseisen voor het register gekeken te worden welke titels tevens als voldoende beschouwd kunnen worden voor inschrijving in het register. Hierbij is het onder andere van belang dat de beroepsorganisatie (NIVRA, NOREA of SVRO) gelijke gedrags- en beroepsregels heeft, een permanente educatieplicht heeft en beschikt over een minimum ervaringseis voor toelating in het register. Zodoende kan bij een CIA, RA, RE of RO titel gesteund worden op het toelatingsproces van de betreffende beroepsorganisatie. Dit houdt tevens in dat het tuchtrecht – zoals dit reeds geregeld is door het IIA – een wettelijke basis krijgt. Het tuchtrecht is een noodzakelijke maatregel om de internal auditor die (onverhoopt) een misstap maakt op zijn functioneren aan te spreken. Met betrekking tot het wettelijk bekrachtigen van het internal auditberoep kan enerzijds gekozen worden voor het bekrachtigen van het IIA. Anderzijds bestaat de mogelijkheid om gebruik te maken van de status van het NIVRA. De internal auditors kunnen dan bij het INTAC (NIVRA) ondergebracht worden. Dit houdt wel in dat het NIVRA (of in ieder geval INTAC) haar scope uit moet breiden. Deze betreft momenteel immers enkel de (interne) registeraccountants. Ten derde zullen de onafhankelijkheidsregels van de beroepsorganisatie verder ingevuld moeten worden. Met name voor buitenstaanders is de onafhankelijkheid van de auditor een belangrijk aandachtspunt. Zeker wanneer het de internal auditor betreft waar een buitenstaander doorgaans minder zicht op heeft / kennis van heeft. De regels ten aanzien van de onafhankelijkheid zijn nu nog op zeer hoog niveau, verder in te vullen door de auditor zelf. Om een duidelijk kader te creëren dient er middels gedrags- en beroepsregels dan wel middels position papers een duidelijkere richtlijn te komen wat wel en wat niet is toegestaan (bijvoorbeeld van combinaties van diensten).
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(80)
Ten slotte dient de kwaliteit van de hele afdeling gewaarborgd te worden. Het is echter niet realistisch om te veronderstellen dat iedere werknemer bij de internal auditafdeling een gecertificeerd auditor is. Die auditors die wel gecertificeerd zijn dienen er daarom verantwoordelijk voor te zijn dat degenen van de afdeling (of ingehuurd) die niet gecertificeerd zijn de juiste opleiding hebben en onder adequaat toezicht staan. Dit betreft iedereen die onder de verantwoordelijkheid van de gecertificeerde auditor werkt. Dit onderzoek was gericht op een eerste verkenning van het gebied omtrent de aansprakelijkheid van de interne auditor en het effect hiervan op zijn functioneren. Zonder een uitspraak te doen over de huidige kwaliteit van de uitgevoerde werkzaamheden kan wel gesteld worden dat het wettelijk regelen van het beroep een positief effect zal hebben. Het zal de kwaliteit van internal audit waarborgen. Tevens zal het een basis voor vertrouwen bieden voor de buitenwereld. Zodoende kan deze belangrijke interne afdeling een waardevolle rol vervullen in het terugwinnen van het vertrouwen in de organisaties.
Conclusie en aanbevelingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(81)
Literatuurlijst A [Accountancyage, 2009] Power, M., Herbinet, D. en Hinks, G., "Culture of big firms failing audit quality", Accountancyage.com, 1 september 2009 [Accountant.nl, 2008] Accountant.nl, "Accountants waarschijnlijk doelwit claims kredietcrisis", 16 oktober 2008 [Act, 1933] “Securities Act of 1933”, USC 15, hoofdstuk 2A, section 77a, 24 mei 1933 [Act, 1934] “Securities and Exchange Act of 1934”, USC 15, hoofdstuk 2B, section 78a, 6 juni 1934 [Adams, 1994] Adams, M.B., “Agency theory and the internal audit”, Managerial Auditing Journal, 9, 1994 [Aitken-Davies, 2008] Aitken-Davies, R., “Accountable crisis”, The Guardian, 2 oktober 2008 [AN, 2009] Accountancynieuws, “Aangepaste Code of Ethics van kracht per 1 januari 2011. Aanscherpingen in gedrags- en onafhankelijkheidsregels accountants op komst”, AN nr. 17, september 2009
B [Basel, 2005] Basel Committee on Banking Supervision, “The application of Basel II to trading activities and treatment of double default effects”, Bank for International Settlements, juli 2005 [Booz&Co, 2008] Teachner, C., Golder, P. and Liebert, T., “Bringing Back Best Practices in Risk Management – Banks’ Three Lines Of Defense”, Booz & Company Inc., 2008 [BW, 2009] Burgerlijk Wetboek, geldend: oktober 2009
C [CCG, 2003] Commissie Corporate Governance, “De Nederlandse corporate goverance code – Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen”, december 2003 [CESR, 2004] Committee of European Securities Regulators en Governing Council of the European Central Bank, “Standards for Securities Clearing and Settlement in the European Union”, september 2004
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(82)
D [Van Dam, 2006] Dam, C.C. van, “Aansprakelijkheidsrecht”, Boom Juridische uitgevers 2006 [Defond, 1992] Defond, M.L., “The association between changes in client firm agency costs and auditor switching”, Auditing: A Journal of Practice and Theory, 11, 1992 [Deloitte, 2006] Deloitte, “Anticiperen op de toekomst. De veranderende rol van de internal auditor”, 2006 [DNB, 2001] De Nederlandsche Bank, “Regeling Organisatie en Beheersing”, april 2001
E [EC, 2009] “Solvency II Framework Directive”, European Commission, Internal Market and Services DG, 2009 [Ernst & Young, 2008] “Escalating the role of internal audit – Ernst & Young’s 2008 Global Internal Audit Survey”, Ernst & Young, 2008 [Ettredge e.a., 2000] Ettredge, M., Reed, M. and Stone, M., “An examination of substitution among monitoring devices: the case of internal and external audit expenditures”, Review of Quantitative Finance and Accounting, 15, 2000 [EU, 1996] “De rol, de positie en de aansprakelijkheid van de met de wettelijke controle belaste accountant in de Europese Unie”, Groenboek van de Commissie van 24 juli 1996 [EU, 2006] Richtlijn 2006/43/EG van het Europees Parlement en de Raad, mei 2006
F [FD, 2009] Het Financieele Dagblad, "Accountant moet rode vlaggen zien", 11 april 2009 [FED, 2003] “Interagency Policy Statement on the Internal Audit Function and Its Outsourcing”, Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation, Office of the Comptroller of the Currency en Office of Thrift Supervision, maart 2003 [FT, 2009] Financial Times, “Rentokil’s KPMG deal raises eyebrows”, 3 augustus 2009 [Francis & Wilson, 1988] Francis, J.R. and Wilson, E.R., “Auditor changes: a joint test of theories relating to agency costs and auditor differentiation”, The Accounting Review, 63, 1988 [Frijns, 2006] Frijns, J., “Te veel verschuilgedrag”, de Accountant, december 2006
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(83)
H [Hartkamp & Asser, 2006] Hartkamp, A.S. en Asser, C., “Handleiding tot de beoefening van het Nederlands burgerlijk recht”, Kluwer 2006 [Van der Heijden, 2006] Heijden, P.F. van der, “Arbeidsrecht: tekst & commentaar : de tekst van Titel 7.10 BW en andere relevante regelgeving met betrekking tot het arbeidsrecht, voorzien van commentaar”, Kluwer, 2006 [Hoogervorst, 2009a] Hoogervorst, H., "Bij zo'n mooi inkomen past een zeer onafhankelijke positie", De Accountant, september 2009 [Hoogervorst, 2009b] Hoogervorst, H., “The auditor's role in the economic recession”, DFK International Annual Conference Amsterdam, 16 juli 2009
I [IFAC, 2009] International Federation of Accountants, “Handbook of International Standards on Auditing and Quality Control”, april 2009 [IFAC, 2009b] International Federation of Accountants, “Code of Ethics for Professional Accountants”, juli 2009 [IIA, 1998] Instituut van Interne Auditors Nederland, “Gedrags- en Beroepsregels Internal Auditors”, juli 1998 [IIA, 2003] “Internal Auditing Required Under New Governance Rules Approved by SEC”, CAE Bulletin, Institute of Internal Auditors, 7 november 2003 [IIA, 2003b] Instituut van Interne Auditors Nederland, “Reactie op het concept van ‘De Nederlandse corporate governance code’”, 2003 [IIA, 2004] Instituut van Interne Auditors Nederland, “Reglement op de kwaliteitstoetsing voor interne auditors”, juni 2004 [IIA, 2005] Instituut van Interne Auditors Nederland, “De internal auditor in Nederland; Een Position paper waarin IIA Nederland en het overlegorgaan INTAC van het Koninklijk NIVRA hun visie geven over de rol en positie van internal audit in Nederland”, 2005 [IIA, 2008] Institute of Internal Auditors, “International standards for the professional practice of internal auditing”, oktober 2008 [IIA, 2008b] Instituut van Interne Auditors Nederland, “De Internal Auditor in Nederland: Position paper update 2008”, 2008 [IIA, 2008c] Instituut van Interne Auditors Nederland, “Reglement op de tuchtrechtspraak voor de leden van IIA-Nederland”, mei 2008 [IIA, 2008d] Instituut van Interne Auditors Nederland, “Huishoudelijk reglement”, mei 2008 [IIA, 2009] Institute of Internal Auditors, “Code of Ethics”, januari 2009
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(84)
[IOSCO, 1992] International Organization of Securities Commissions ,“A Resolution Concerning International Standards on Auditing”, oktober 1992 [IOSCO, 1998] International Organization of Securities Commissions, “Risk management and control guidance for securities firms and their supervisors”, mei 1998 [IOSCO, 2007] International Organization of Securities Commissions, “IOSCO Statement on International Auditing Standards”, november 2007
J [Jansen & Lieverse, 1997] Jansen, E.P. en Lieverse, C.W.M., “Beroepsaansprakelijkheid en risicobeheersing: elke claim is er één te veel”, Kluwer, 1997. [Jensen & Meckling, 1976] Jensen, M.C. and Meckling, W.H., “Theory of the firm: managerial behaviour, agency costs, and ownership structure”, Journal of Financial Economics, 3, 1976
K [Koster, 2003] Koster, P., “De rol van de internal audit in ‘Building Public Trust’”, uit Twintig over Internal / Operational Auditing, Vera/Eurac, 2003
L [LE, 2003] London Economics, “Study on the Economic Impact of Auditors’ Liability Regimes”, 2003
M [MCCGC, 2008] Monitoring Commissie Corporate Governance Code, “De Nederlandse corporate governance code – Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen”, december 2008 [De Meuter, 1999] Meuter, S. De, “De aansprakelijkheid van de interne auditor”, Maklu 1999
N [Nieuwenhuis, Stolker & Valk, 2007] Nieuwenhuis, J.H., Stolker, C.J.J.M. en Valk, W.L., “Burgerlijk Wetboek”, Kluwer, 2007 [NIVRA, 2007] Koninklijk Nederlands Instituut van Registeraccountants, “Een kwestie van principes”, februari 2007 [NIVRA, 2007b] Koninklijk Nederlands Instituut van Registeraccountants, “Trends in Accountancy: Brancheverkenning 2007-2008”, 2007
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(85)
[NIVRA, 2009] Koninklijk Nederlands Instituut van Registeraccountants, “Verordening gedragscode”, in werking getreden op 1 januari 2009 [NOREA, 2006] Nederlandse Orde van Register EDP Auditors, “Reglement Gedragscode (‘Code of Ethics’)”, juli 2006 [NYSE, 2003] New York Stock Exchange, “Listed Company Manual”, Section 3 Corporate Responsibility, 303A Corporate Governance Rules, 303A.07 Audit Committee Additional Requirements, 2003
O [OPTA, 2008] Onafhankelijke Post en Telecommunicatie Autoriteit, “Compliance Handvest KPN en OPTA”, april 2008
P [Paape, 2007] Paape, L., “Corporate Governance: The Impact on the Role, Position, and Scope of Services of the Internal Audit Function”, Erasmus Research Institute of Management, 2007 [PCAOB, 2004] Public Company Accounting Oversight Board, “Auditing Standard No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements”, maart 2004 [PwC, 2006] PricewaterhouseCoopers, “State of the internal audit profession study: internal audit post Sarbanes-Oxley”, 2006 [PwC, 2007] PricewaterhouseCoopers, “Internal Audit 2012 – A study examining the future of internal auditing and the potential decline of a controls-centric approach”, 2007 [PwC, 2009] PricewaterhouseCoopers, “State of the internal audit profession: business upheaval: Internal audit weighs its role amid the recession and evolving enterprise risks”, 2009
R [Roth & Espersen, 2003] Roth, J. en Espersen, D., “Internal Auditor’s Role in Corporate Governance”, 2003
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(86)
S [Sawyer, 2003] Sawyer, L.B., “Sawyer's Internal Auditing: The Practice of Modern Internal Auditing”, Institute of Internal Auditors, 2003 [Sherer & Kent, 1983] Sherer, M. and Kent, D., “Auditing and accountability”, Pitman, 1983 [SOA, 2002] Public law 107-204-July 30, 2002, “Sarbanes-Oxley Act of 2002” [Sr, 2009] Wetboek van Strafrecht, geldend: oktober 2009
V [VRO, 1995] Vereniging Register Operational Auditors, “Gedrags- en Beroepsregels Register Operational Auditors (GBRO)”, juni 1995 [VRO, 2004] Vereniging Register Operational Auditors, “Permanente Educatie voor Register Operational Auditors”, januari 2004
W [Wbp, 2008] Wet bescherming persoonsgegevens, tekst geldig vanaf 26 maart 2008 [WRA, 2009] Wet op de registeraccountants, geldend: oktober 2009 [Wta, 2008] Wet toezicht accountantsorganisaties, geldend vanaf augustus 2008
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(87)
A.
Afkortingen
Afkorting
Volledig
AFM
Autoriteit Financiële Markten
BW
Burgerlijk Wetboek
CAE
Chief Audit Excecutive
Cbp
College bescherming persoonsgegevens
CEO
Chief Excecutive Officer
CESR
Committee of European Securities Regulators
CFO
Chief Financial Officer
CIA
Certified Internal Auditor
DNB
De Nederlandse Bank
EC
Europese Commissie
ECB
Europese Centrale Bank
EMIA
Executive Master of Internal Auditing
EMITA
Executive Master of IT Auditing
EU
Europese Unie
GBRE
Reglement Gedrags- en Beroepsregels Register EDP-Auditors
GBRO
Gedrags- en beroepsregels voor register operational auditors
IFAC
International Federation of Accountants
IIA
Institute of Internal Auditors / Instituut van Internal Auditors
INTAC
Vakgroep interne accountants (onderdeel van het NIVRA)
IOSCO
International Organization of Securities Commissions
ISA
International Standards on Auditing
MOT, Wet
Wet Melding Ongebruikelijke Transacties
NIVRA
Nederlands Instituut van Registeraccountants
NOREA
Nederlandse Orde van Register EDP Auditors
NVB
Nederlandse Vereniging van Banken
NYSE
New York Stock Exchange
OPTA
Onafhankelijke Post en Telecommunicatie Autoriteit
PCAOB
Public Company Accounting Oversight Board
PE
Permanente Educatie
RA
Registeraccountant
RE
Register EDP auditor
RO
Register Operational auditor
RvB
Raad van Bestuur
RvC
Raad van Commissarissen
SEC
Securities and Exchange Commission
SOx
Sarbanes-Oxley Act
Sr
Wetboek van Strafrecht
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(88)
Afkorting
Volledig
SVRO
Stichting Verenigde Register Operational auditors
VGC
Verordening Gedragscode
VRO
Vereniging voor Register Operational auditors
Wbp
Wet bescherming persoonsgegevens
WRA
Wet op de Registeraccountants
Wta
Wet toezicht accountantsorganisaties
Wtra
Wet Tuchtrecht accountants
Afkortingen Aansprakelijkheid van internal auditors Renze Munnik (2009)
(89)