Internal Audit: cruciaal voor internal governance Sinds de invoering van de Nederlandse corporate governance code in 2003 is het voor beursgenoteerde bedrijven verplicht om jaarlijks te evalueren of er behoefte is aan een internal-auditfunctie. Echter, nog niet alle beursgenoteerde bedrijven hebben zo’n functie ingericht. En soms gaat het mis in de bedrijfsvoering en blijkt dat als er een internal-auditfunctie was geweest, het bestuur en de commissarissen eerder hadden kunnen ingrijpen. Jan Driessen - Internal Audit Services, Assurance
1. Internal Audit is nog geen gemeengoed Eerder dit jaar was er commotie bij Fugro omdat een commissaris plotseling opstapte. In zijn rol als voorzitter van de auditcommissie wilde hij niet langer de verantwoordelijkheid dragen voor de cijfers van het bedrijf en de risico’s die het bedrijf in zijn ogen liep. Hij vond bovendien dat de financiële afdeling ingrijpend moest veranderen en op het niveau moest worden gebracht dat past bij een sterk gegroeide onderneming. Daarbij was er ook behoefte aan een internalauditfunctie. Het hebben van een internal-auditfunctie is voor veel bedrijven in Nederland niet verplicht. Wel moet, volgens de Nederlandse corporate governance code die geldt voor beursgenoteerde ondernemingen, de auditcommissie jaarlijks evalueren of er behoefte is aan een internal-auditfunctie. Aan de hand van deze evaluatie doet de raad van commissarissen (rvc) een aanbeveling aan de raad van bestuur (rvb)
6
Spotlight Jaargang 20 - 2013 uitgave 4
en wordt deze aanbeveling opgenomen in het verslag van de rvc. Opvallend is dat, ondanks deze code, er nog steeds relatief veel beursgenoteerde bedrijven zijn die niet beschikken over een internal-auditfunctie. Natuurlijk speelt bij verschillende bedrijven de omvang mee. In de meeste gevallen is het pas vanaf ongeveer 250 medewerkers zinvol om een internal-auditrol te creëren. Maar ook bij grote bedrijven, bijvoorbeeld in de bouw- en vastgoedsector, is het hebben van een zelfstandige en onafhankelijk gepositioneerde internal-auditfunctie nog geen gemeengoed. Voor banken en verzekeraars, groot én klein, is het daarentegen verplicht om een internalauditfunctie te hebben. Vooral in het kader van Solvency-II zijn momenteel kleine en middelgrote verzekeraars aan het nadenken over hoe de internalauditfunctie op een efficiënte wijze kan worden vormgegeven. Opties daarbij zijn het in-house inrichten van een auditfunctie of (deels) outsourcen van
deze functie aan een derde partij.
2. Internal Audit houdt bestuur bij de les Een belangrijke vraag is natuurlijk wat de toegevoegde waarde van een internalauditfunctie voor het bedrijf is. Om dat duidelijk te krijgen, maken we gebruik van het concept van de ’three lines of defence’. Het lijnmanagement is verantwoordelijk voor het ondervangen van risico’s In dat concept geldt dat, gegeven de strategie van de rvb, het lijnmanagement als eerste aan zet is om maatregelen te treffen die de risico’s, die zich in de uitvoering van de dagelijkse activiteiten voordoen, adequaat mitigeren. Met andere woorden, primair is het lijnmanagement verantwoordelijk voor het inrichten en laten werken van maatregelen om risico’s te ondervangen. Tweede line adviseert en ondersteunt het management Omdat de bedrijfsvoering soms specifieke
expertise vereist, maar ook omdat het in sommige gevallen efficiënter is om bepaalde ondersteunende taken te bundelen in een aparte functie of afdeling (denk aan een afdeling Operational Risk Management of Compliance), wordt een tweede ‘line of defence’ ingericht. Deze linie adviseert en ondersteunt het management bij de activiteiten en het ontwerpen, inrichten en laten werken van de beheersmaatregelen. Een afdeling Operational Risk Management kan bijvoorbeeld het management faciliteren tijdens de uitvoering van risk assessments om de bedrijfsrisico’s inzichtelijk te maken, adviseren over de risicobereidheid (risk appetite), de strategieën om met die risico’s om te gaan en het beheren van het risicoregister. Internal Audit geeft zekerheid over effectiviteit van risicomaatregelen De derde line of defence wordt gevormd door de afdeling Internal Audit. De internal-auditfunctie heeft als taak om de rvb te informeren over het functioneren van de risicobeheersings- en controlesystemen. Daarbij evalueert de afdeling Internal Audit onder andere de risico’s en de maatregelen die het management heeft getroffen, of deze maatregelen efficiënt zijn en goed werken en of de maatregelen helpen om de strategie te realiseren. Het functioneren van de eerste en tweede line of defence valt ook binnen de reikwijdte van Internal Audit. Naast het beoordelen van risico’s en maatregelen, levert de internal-auditfunctie ook een bijdrage aan het continue verbeterproces van de organisatie. Immers, Internal Audit geeft zekerheid aan het bestuur over het functioneren van de maatregelen die de belangrijkste risico’s, bijvoorbeeld op het gebied van continuïteit, fraude of een groot IT-project, moeten mitigeren. Door het beoordelen van de risico’s en maatregelen en het geven van gerichte adviezen, neemt niet alleen het bewustzijn van en de (gewenste) manier van handelen bij risico’s bij alle medewerkers toe, maar zorgt Internal Audit er ook voor dat er een betere balans komt
tussen de (kosten van de) maatregelen en de risico’s die worden gelopen. Met andere woorden, Internal Audit geeft naast oordelen over het functioneren van de risicobeheersings- en controlesystemen ook aanbevelingen en verbeterpunten waarmee de kwaliteit van de interne bedrijfsvoering verder kan worden verbeterd.
Samenvatting Voor veel organisaties is het niet verplicht om een internalauditfunctie te hebben. Maar, met een onafhankelijk gepositioneerde internalauditfunctie zijn het bestuur en de auditcommissie in staat het internalgovernancesysteem te optimaliseren en te gebruiken om de strategie te realiseren. In dit artikel wordt eerst ingegaan op de rol en functie van de internal audit. Vervolgens wordt in vier stappen aangegeven hoe de functie kan worden ingericht. Ten slotte wordt nader ingegaan op de waarde die de internal-auditfunctie heeft in het internal-governancesysteem van de onderneming.
Internal Audit rapporteert direct aan het bestuur en heeft een functionele relatie naar de auditcommissie. Dat wil zeggen dat Internal Audit, in afstemming met het bestuur, regelmatig informatie deelt met de auditcommissie.
3. In vier stappen naar een internal-auditfunctie Er zijn vier stappen nodig om tot een internal-auditfunctie te komen: 1. besluit over internal-auditfunctie: in huis of uitbesteden; 2. creëren en borgen van de functie; 3. uitvoering van internal audits; 4. evaluatie van eerste internal audits.
Stap 1. Besluit over internal-auditfunctie: in huis of uitbesteden De eerste stap om te komen tot een internalauditfunctie moet worden gezet door het bestuur. Eerst moet namelijk worden
Figuur 1. Model van de ‘three lines of defence’
Raad van commissarissen / Auditcommissie
Raad van bestuur
Lijnmanagement
Risk, Control, Compliance, HR, Quality, Security, ...
Internal Audit
First line of defence
Second line of defence
Third line of defence
Spotlight Jaargang 20 - 2013 uitgave 4 7
besloten of de internal-auditfunctie in huis wordt ingericht of (deels) wordt uitbesteed aan een derde partij. Beide situaties hebben voor- en nadelen. De voordelen van (een gedeeltelijke) uitbesteding zijn onder andere: • variabel maken van kosten; • flexibel kunnen omgaan met verstoringen, zoals incidenten, ziekte en vacatures; • frisse blik van buiten; • beschikbaarheid van gekwalificeerde professionals; • toegang tot methodieken, technologiemiddelen en benchmarkinformatie. Als de rvb besluit om de functie in huis op te bouwen, dan moet het bestuur ook besluiten welke aanpak of strategie de onderneming daarbij volgt. De mogelijke ontwikkelingsstrategieën kunnen in essentie worden teruggebracht tot de basiskeuze: evolutie of revolutie. De keuze tussen een evolutionair of revolutionair ontwikkelingsmodel klinkt extreem, maar geeft in essentie wel de keuze aan die het bestuur maakt. In het evolutionaire ontwikkelingsmodel wordt de afdeling Internal Audit in eerste instantie ondergebracht bij een bestaande afdeling, bijvoorbeeld Concern Control, waarbij het de bedoeling is dat de functie van daaruit geleidelijk uitgroeit tot een zelfstandige positie. De internal audits worden uitgevoerd door medewerkers die binnen de bestaande afdeling werken. De planning van de nieuwe audits wordt daarbij zo veel mogelijk geïntegreerd met de planning van de bestaande werkzaamheden. Na enige tijd, waarin ervaring met het uitvoeren van audits is opgedaan, krijgt de functie een meer zelfstandige positie met eigen medewerkers. In het revolutionaire ontwikkelingsmodel wordt de internal-auditfunctie direct bij aanvang gepositioneerd als een zelfstandige en onafhankelijke afdeling onder de rvb. Welke van de beide ontwikkelingsstrategieën de voorkeur heeft hangt af van de specifieke situatie. Het grootste
8
Spotlight Jaargang 20 - 2013 uitgave 4
risico van een evolutionaire ontwikkeling is dat de bestaande afdeling niet aan het uitvoeren van internal audits toekomt omdat de reguliere activiteiten prioriteit krijgen. De keuze voor een revolutionair model (al moet deze aanduiding niet al te letterlijk worden genomen) heeft de voorkeur als de auditfunctie snel van de grond moet komen. In sommige situaties wordt gekozen voor een synthese van beide strategieën. Het idee achter deze aanpak is dat een definitief besluit tot het inrichten van de functie pas wordt genomen als de toegevoegde waarde van internal audit door middel van een of enkele pilot-audits is onderzocht. Pas daarna wordt de functie geïmplementeerd. Stap 2. Creëren en borgen van de functie In de tweede stap wordt de internalauditfunctie formeel gecreëerd door het opstellen van verschillende documentatie. Vooral in de financiële sector geldt dat de toezichthouders niet alleen hebben vastgesteld welke documentatie er moet zijn, maar ook hebben aangegeven aan welke eisen die betreffende documentatie moet voldoen. Zo moet elke auditfunctie beschikken over een zogenaamd audit statuut. Hierin wordt onder andere ingegaan op de taak en de reikwijdte van de functie, hoe de onafhankelijkheid is geborgd en aan wie de internal-auditfunctie rapporteert en verantwoording aflegt. Ook is het zinvol om een handboek op te stellen waarin onder andere wordt aangegeven hoe risicoanalyses worden uitgevoerd, hoe de auditonderwerpen worden geselecteerd, ingepland en uitgevoerd, hoe een auditrapport eruit ziet en wie verantwoordelijk is voor de monitoring van de aanbevelingen en verbeteracties. Parallel aan de tweede stap wordt gewerkt aan het bewustzijn rondom internal audit. Omdat de functie nieuw is, is het belangrijk dat duidelijk wordt gemaakt aan de medewerkers, het management, het bestuur en de commissarissen wat de rol en (beoogde) waarde van de internalauditfunctie is. Dat kan bijvoorbeeld tijdens
workshops met de betrokkenen. Tijdens zo’n workshop wordt uitgelegd wat internal audit is, hoe de functie wordt ingericht en te werk gaat en wat deze functie verwacht van de betrokkenen. Overigens blijkt dat het gewenst is om niet eenmalig maar regelmatig te communiceren over de internalauditfunctie. Het verspreiden van een nieuwsbrief, het openen van een portal of het versturen van e-mails kan dan helpen bij het verder vergroten van het draagvlak voor de afdeling Internal Audit. Stap 3. Uitvoering van internal audits In de derde stap staat het uitvoeren van enkele audits centraal. Onderwerpen kunnen liggen in het primaire proces, zoals het inkoop- of verkoopproces, maar de audits kunnen zich ook richten op bepaalde thema’s, zoals websecurity, kostenbeheersing en innovatie of projecten (bijvoorbeeld een IT-project of value chain transformation). In eerste instantie is het doel van deze audits om de organisatie te laten kennismaken met internal audits en te laten ervaren wat de bijdrage van Internal Audit is in de besturing en beheersing van de onderneming. Een belangrijk ingrediënt daarbij is het audit (jaar)plan. In dat plan staat welke risico’s de onderneming loopt en op welke gebieden audits worden uitgevoerd. Daarbij wordt ook aangegeven hoe de internal-auditfunctie, met andere assurance providers, zoals de externe accountant, samenwerkt om eventueel dubbel werk te voorkomen. Waar nodig kunnen aanvullende interviews (zie met betrekking tot deze samenwerking ook het artikel van Frans de Groot op pagina 12) met managers en proceseigenaren worden gehouden om de risico’s meer inzichtelijk te krijgen. De auditonderwerpen worden uitgewerkt tot een auditplan. Dat wil zeggen dat per onderwerp de reikwijdte wordt gedefinieerd en de onderwerpen in de tijd worden uitgezet. Het concept auditplan wordt dan vervolgens aan het bestuur ter goedkeuring voorgelegd.
Naast de (bedrijfs)risico’s kunnen in deze fase ook andere redenen gelden om bepaalde onderwerpen te selecteren voor zo’n eerste audit. Overwegingen kunnen zijn: • Zijn er zinvolle verbetermogelijkheden? • In welke mate is het onderwerp representatief voor toekomstige audits? • Kan het onderwerp in een relatief korte doorlooptijd worden uitgevoerd om ook op korte termijn resultaten te kunnen laten zien? • In hoeverre staat de manager of proceseigenaar positief kritisch ten opzichte van internal audit? Tijdens de interviews met managers en proceseigenaren kan tevens worden geïnventariseerd welke verwachtingen de onderneming heeft ten aanzien van de toegevoegde waarde van de internalauditfunctie en welke (concrete) resultaten men verwacht van de uit te voeren audits. De uiteindelijke resultaten van de uitgevoerde audits kunnen dan in een later stadium met deze ex-ante verwachtingen worden vergeleken. Door deze interviews neemt de betrokkenheid en acceptatie van lijnmanagement bij de internal audits toe. Ook kan het in deze fase nodig zijn om de internal auditors van de benodigde basiskennis over internal audit te voorzien. Afhankelijk van het ervaringsniveau kan de training relatief kort zijn omdat na de training de opgedane kennis direct in de praktijk wordt omgezet. Eventueel kan externe ondersteuning worden ingeroepen bij het trainen en coachen van het internalauditteam. Stap 4. Evaluatie van eerste audits De vierde stap behelst de evaluatie van de eerste audits. Om de juiste keuzes te kunnen maken voor het vervolgtraject is het namelijk van belang dat goed wordt nagegaan hoe de uitvoering van de audits is gevallen bij de auditors, het management en het bestuur. Tijdens de evaluaties worden de (ex ante) verwachtingen van het management en het bestuur en de leerdoelen van de internal auditors vergeleken met de resultaten van de audits.
Van eventuele gebleken problemen wordt nagegaan hoe deze in de toekomst kunnen worden voorkomen.
4. Naar een betere internal governance met Internal Audit We onderkennen vier ambitieniveaus voor Internal Audit. 1. beoordelen bestaande governance, risicomanagement en interne beheersing; 2. beoordelen toekomstige governance, risicomanagement en interne beheersing; 3. organisatie- en procesverbetering; 4. strategische implicaties. Ambitieniveau 1. Beoordelen bestaande governance, risicomanagement en interne beheersing Eerder in dit artikel is gesteld dat de internal-auditfunctie zekerheid geeft aan het bestuur en management door vast te stellen dat de huidige maatregelen adequaat zijn opgezet en als zodanig functioneren dat de belangrijkste risico’s worden gemitigeerd en dat de managementinformatie die voortkomt uit de processen en systemen betrouwbaar is. Het beoordelen van de bestaande risicobeheersings- en controlesystemen is de basistaak voor Internal Audit. Ambitieniveau 2. Beoordelen toekomstige governance, risicomanagement en interne beheersing Ook is aangegeven dat de waarde van de internal-auditfunctie ligt op het leveren van een bijdrage aan het continue verbeterproces. Dat wil zeggen dat Internal Audit actief de opvolging monitort van de verbetervoorstellen die voortvloeien uit de audits en het bestuur informeert over de kwaliteit en tijdigheid van de realisatie van de voorgestelde verbeteringen. Daarmee geeft Internal Audit invulling aan een tweede ambitieniveau, namelijk het verbeteren van de kwaliteit van het toekomstige internal-governancesysteem.
risico is het definiëren en implementeren van extra verbetermaatregelen. Meer is echter niet altijd beter. Het is dan ook de taak van Internal Audit om de kosten van een maatregel te beoordelen in het licht van de kosten van een risico (kans van optreden x gebeurtenis). Met andere woorden, wegen de kosten van een maatregel op tegen de kosten die veroorzaakt worden door de gevolgen van een gebeurtenis? Denk bij kosten van maatregelen onder andere aan de arbeidskosten (uren gemoeid met het laten werken van een maatregel), systeemkosten (kosten gemoeid met het onderhouden van een IT-systeem) en monitoringkosten (uren van management om de naleving van maatregelen te beoordelen). Op deze manier kan Internal Audit een bijdrage leveren aan het verbeteren van de prestaties van het bedrijf. Ambitieniveau 4. Strategische implicaties Het vierde ambitieniveau van Internal Audit is om een bijdrage te leveren aan de realisatie en actualisering van de strategie. Immers, via de ‘planning & control’-cyclus zijn de strategische doelen vertaald naar operationele activiteiten. Voor Internal Audit betekent dit dat wordt nagegaan hoe het management de risico’s beheerst die samenhangen met die operationele activiteiten. Uit de resultaten van de uitgevoerde audits worden vervolgens de overkoepelende trends en thema’s geïdentificeerd en geanalyseerd in het licht van de strategie van de onderneming. De informatie die daaruit komt, wordt door Internal Audit teruggekoppeld aan het bestuur en de auditcommissie. Op deze manier kan de control-cyclus worden gesloten. In figuur 2 zijn deze vier ambitieniveaus voor Internal Audit weergegeven.
Ambitieniveau 3. Organisatie- en procesverbetering Een bijna natuurlijke managementreactie op een fout of een plotseling opkomend
Spotlight Jaargang 20 - 2013 uitgave 4 9
5. Conclusie
Figuur 2. Vier ambitieniveaus voor Internal Audit
Met een onafhankelijk gepositioneerde internal-auditfunctie zijn het bestuur en de auditcommissie van elke onderneming in staat het internal-governancesysteem te optimaliseren en in te zetten bij het realiseren van de strategie. De auditfunctie verstrekt namelijk zekerheid over de mate waarin de risico’s worden afgedekt, welke maatregelen (kosten)efficiënt zijn en welke niet. Door het definiëren en analyseren van overkoepelende trends en thema’s kan de link worden gelegd tussen de strategie en de uitvoering ervan. Op die manier is het bestuur en de auditcommissie in staat de control-cyclus te sluiten.
Waardecreatie Strategische implicaties
Organisatie- en procesverbetering
Beoordelen toekomstige governance, risicomanagement en interne beheersing
Beoordelen bestaande governance, risicomanagement en interne beheersing
10 Spotlight Jaargang 20 - 2013 uitgave 4
Waardebescherming