Conclusies naar aanleiding van de Practice Guide IIA 2009

Transcriptie

1 Audit Ratings

2 Inleiding In 2009 heeft IIA-Inc. de Practice Guide IIA 2009: Formulating and expressing Internal Audit Opinions gepresenteerd. In Nederland heeft een IIA werkgroep zich destijds gebogen over deze practice guide. In het voorjaar van 2010 heeft dit geleid tot het artikel Audit Opinions in het Audit Magazine. In 2014 heeft de werkgroep Audit Ratings van de Commissie Vaktechniek een vervolginventarisatie afgerond naar de stand van zaken van het gebruik van auditopinies en ratings. Daarbij is mede in beschouwing genomen in hoeverre de Guide nog steeds actueel is als basis voor de huidige methodologische aanpak bij bedrijven en organisaties. Er is gebruik gemaakt van input uit de GAIN benchmark, desk studie, een enquête en een Round Table waarbij informatie is verkregen van relevante bedrijven en organisaties in Nederland. In dit artikel blikken we kort terug op de conclusie uit het artikel in 2009, daarna zullen algemene conclusies worden getrokken uit het onderzoek naar audit rating anno 2014 waarna ten slotte conclusies zullen worden verwoord bij een aantal specifieke stellingen die aan de orde zijn geweest in de enquête en in de Round Table. 2

3 Conclusies naar aanleiding van de Practice Guide IIA 2009 In 2009 werd door de werkgroep naar aanleiding van de eigen studie en een Round Table naar de stand van zaken in het gebruik van opinies en ratings, en een studie naar de impact van de Practice Guide, een drietal conclusies getrokken: 1. Een meerderheid van de Interne Audit Functies is voor het gebruik van audit opinies; 2. Het onderscheid tussen macro level opinion en micro level opinion is zonder twijfel het meest interessante nieuwe element in de Practice Guide; 3. De Practice Guide past binnen de ontwikkeling van het internal auditberoep naar volwassenheid. Specifiek ten aanzien van een praktisch toe te passen rating systematiek werd door de werkgroep destijds de hierna beschreven methode behandeld als een goed praktijkvoorbeeld voor de Nederlandse situatie, waarbij aandacht is besteed aan het stelsel van audit-opinies en de individuele bevindingen bij de audit. Er is gekozen voor een vierpuntsschaal met 2 positief en 2 negatief getinte uitkomsten. Hiermee ontstaat niet alleen een balans tussen positief en negatief getinte uitkomsten, maar kan ook aangegeven worden hoe goed/slecht het gesteld is met het voldoen aan de eisen. Een bijkomend voordeel van een vierpuntsschaal is dat deze dwingt tot het maken van een keuze: er is geen neutraal oordeel. Goed: Met een redelijke mate van zekerheid kan worden gesteld dat het geheel aan beheersmaatregelen in opzet, bestaan en werking effectief* is. Voldoende: Met een redelijke mate van zekerheid kan worden gesteld dat, ofschoon er van belang zijnde tekortkomingen zijn gesignaleerd, de belangrijkste beheersmaatregelen in opzet, bestaan en werking effectief* zijn. Matig: Een aantal van de belangrijkste beheersmaatregelen is in opzet, bestaan en/of werking niet effectief**. Slecht: Het geheel aan beheersmaatregelen is in opzet, bestaan en/of werking niet effectief**. * Restrisico overtreft de risk appetite van het management niet. ** Restrisico overtreft de risk appetite van het management. 3

4 Maatgevend is hier dat het risico dat bij de getroffen beheersmaatregelen resteert binnen de door het management gestelde risk appetite blijft. Het is uiteraard lastig de risico s die de organisatie loopt, te kwantificeren in bijvoorbeeld financiële termen (zoals een risk footprint), maar daar moet wel zo goed mogelijk een inschatting (professional judgement) van gemaakt worden. Bij het eindoordeel kan ook worden aangegeven hoe dit zich verhoudt tot dat van het oordeel bij de vorige audit. Bij dit praktijkvoorbeeld is aangegeven dat er een verband zou moeten bestaan tussen de audit opinie en de individuele bevindingen. De bevindingen vormen daarmee de basis voor het eindoordeel. De eindconclusie eind 2010 van de werkgroep was dat de Practice Guide een handreiking is die past binnen de ontwikkeling van het internal auditberoep naar continue vernieuwing. De guide geeft met aangegeven beperkingen een overzicht van mogelijkheden en aandachtspunten bij het gebruik van audit opinies. 4

5 2014 Conclusie naar aanleiding van de initiële inventarisatie Op basis van een nieuwe inventarisatie heeft de werkgroep in 2014 de volgende trends gesignaleerd in de verdere ontwikkeling van audit opinies en audit ratings: Een aanzienlijk aantal van de Nederlandse bedrijven, die deelnemen aan de Global Audit Information Network (GAIN) benchmark van IIA Inc., hanteert een systeem om individuele bevindingen van een risicoclassificatie te voorzien; Wereldwijd hanteert ongeveer de helft van de participerende bedrijven in de GAIN benchmark een classificatiesystematiek per bevinding; Van de Nederlandse bedrijven die deelnemen aan GAIN hanteert een meerderheid een overall score per audit; wereldwijd lijkt dat minder dan de helft van de bedrijven te zijn; In Nederland hanteert een aanmerkelijk aantal veelal grotere bedrijven een classificatiesystematiek voor Internal Control en Risicobeheersing. Gerelateerd aan de aanbevelingen in de Practice Guide, is het volgende waar te nemen: Het gebruik van ratings wordt in een aantal vaste varianten toegepast in het kader van het geven van assurance bij audits omtrent de mate van risicobeheersing in processen. Door het toepassing van een op de onderneming toegesneden rating structuur wordt een eenduidige communicatiemethodiek gehanteerd bij het afgeven van oordelen/ opinies aan de auditee en de opdrachtgevers c.q. stakeholders van de audit functie. De audit ratings dragen op geaggregeerd niveau bij aan het verschaffen van inzicht en het hebben van een vergelijkingsbasis voor de stakeholders aan de top (met name Bestuur en Auditcommissie) over de mate van risicobeheersing en de betrouwbaarheid van het internal control systeem. Op basis van de beschreven ontwikkelingen en de waarnemingen in relatie tot de in de Practice Guide beschreven aanpak en de aanbevelingen van de werkgroep uit 2010 kan nu het volgende worden geconstateerd bij het feitelijk hanteren van classificaties: De definitie van de gehanteerde overall rating systematiek is in het algemeen expliciet geformuleerd door de interne audit functie in gedocumenteerde richtlijnen en procedures en gecommuniceerd binnen de onderneming; Ook op het niveau van de individuele bevindingen zijn 5

6 binnen ondernemingen classificaties van de mate van risicobeheersing vastgesteld; In het algemeen wordt de overall rating opgebouwd uit of gerelateerd aan de weging van de individuele bevindingen; De overall rating wordt vastgesteld door een combinatie van een gedefinieerde rating procedure, een vastgelegde toetsing danwel rekenregels, gedefinieerde risicorichtlijnen gerelateerd aan de bevindingen en professional judgement, en interne reviews op de gegeven deel ratings; De rating systematiek kent in het algemeen een aantal gedefinieerde gradaties die een positieve dan wel negatieve audit opinie uitdrukken over de mate van risicobeheersing en internal control. Uit de inventarisatie blijkt een brede variatie in het hanteren van omschrijvingen en classificaties van de opinies en ratings: Positieve classificaties in zowel Engels als Nederlands: Very Good, Good, Goed, Voldoende, Adequate, Satisfactory, High Satisfactory, At Standard, Fully Comply, Mostly Comply, No Issue, Passed. Negatieve classificaties in zowel Engels als Nederlands: Needs improvement, Significant improvement needed, Unsatisfactory, Insufficient, Onvoldoende, Below Standard, Slecht, Unacceptable, Serious Issue, Serious, Matig, Partly Comply, Non Compliance, Less than adequate, Inadequate, Failed. 6

7 Algemene conclusies over de ontwikkelingen na de Practice Guide in 2009 Er is een duidelijke variatie in de gehanteerde classificatiemethodieken voor audit ratings en opinies te constateren na het uitbrengen van de Guide in Veel bedrijven hanteerden voor deze datum ook al een rating of opinie systematiek voor het audit oordeel. Echter binnen deze variatie zijn toch wel de centrale begrippen: voldoende, onvoldoende en goed. Zowel twee-, drie- als vierpuntsschalen (en kleurcodes) worden gehanteerd. Terugkijkend naar de Practice Guide en de nadere handreikingen in 2010 kan worden gesteld dat hiermee een goede basis is gelegd voor de momenteel in de praktijk gehanteerde opinie en rating methodieken. Voor de grotere bedrijven geldt dat het gebruik van een opinie en rating systematiek inmiddels gemeengoed is geworden. Conclusies uit de nadere enquête en de Round Table Audit Ratings Als vervolg op bovenstaande conclusies heeft de werkgroep een aantal nader te toetsen stellingen geformuleerd inzake het gebruik van opinies en ratings teneinde vast te stellen of en in hoeverre nadere conclusies kunnen worden geformuleerd in het licht van actuele vragen en trends in de audit aanpak. Zoals aangegeven zijn deze stellingen via specifieke enquêtevragen naar een selectie van bedrijven uitgezet en zijn de stellingen eveneens getoetst in een Round Table in samenwerking met de Commissie GAIN. De volgende 7 aspecten zijn in de vragen en stellingen geadresseerd: 1. Standaard oordelen 2. Communicatie 3. Van bevindingen naar oordeel 4. Mate van zekerheid 5. Normering vooraf 6. Soft Controls 7. Overall opinion 7

8 Beknopt worden deze 7 onderwerpen nader uitgewerkt: 1. Onderwerp: Standaard oordelen In het algemeen is gesteld dat er geen behoefte is aan een specifieke nadere richtlijn vanuit het IIA Nederland. Wel is er behoefte aan het delen van goed practices. De Round Table en andere initiatieven geven aan dat er een grote bereidheid is de aanpak onderling uit te wisselen. De methodiek moet passen bij de organisatie en er moet ruimte zijn voor specifieke invullingen, waarbij binnen de bedrijven ook continuïteit in de systematiek belangrijk is. De wijze van rapportage moet passen in het mandaat van de IAF en de bedrijfscultuur. Wel zijn een zou een niet dwingende aanbeveling en een praktijkhandleiding behulpzaam kunnen zijn voor het definiëren van standaard oordelen. Concluderend: De IIA practice guide geeft voorbeelden voor standaard oordelen. Er is geen behoefte aan om dat nog eens over te doen. Wel om in gesprekken met elkaar ideeën uit te wisselen. Het toe te passen systeem voor ratings dient eenvoudig uit te leggen te zijn en ook voor niet auditors te begrijpen. Veelal is een classificatie ontwikkeld die past bij het specifieke bedrijf. 2. Onderwerp: Communicatie De conclusie is dat een zekere standaardisatie toegesneden op de eigen organisatie de herkenbaarheid zal doen toenemen. Het geeft een beter begrippenkader voor en discussie over de verbetering van de control. Ook het element van de consistentie in de normering voor de diverse audit units pleit voor een zekere interne standaardisatie in scoring methodieken, zonder dit echter van buitenaf voor te schrijven of te beperken. Consistentie intern door middel van standaardisatie kan bijdragen tot een beter begrip bij de gebruikers zoals de diverse bestuurslagen, hoger management en de auditee. Het hanteren van intern consistente rapportagevormen zal bijdragen tot het beter begrijpen van het audit oordeel. Geconcludeerd wordt dat wanneer eenmaal een systeem is gekozen, dit in de loop van de tijd op een consistente wijze moet worden gehanteerd. Veranderingen dienen zoveel als mogelijk beperkt te worden en tijdig te worden aangekondigd en toegelicht. Heldere Communicatie wordt ondersteund door vergelijkbaar te blijven. 3. Onderwerp: Van bevindingen naar oordeel Er kan worden gesteld dat er een mate van consistentie moet 8

9 zijn tussen de bevindingen en het overall oordeel. Dit verband moet niet alleen mathematisch te zijn, maar ook een kwalitatief judgement per situatie dient te worden mee beschouwd. De kwalificatie die wordt gegeven als overall oordeel moet onderbouwd kunnen worden. Een ontwikkeld raamwerk waarbij individuele bevindingen worden vertaald naar een overall oordeel, waarbij professional judgement een rol moet blijven spelen kan de acceptatie en vergelijkbaarheid ondersteunen. Geconcludeerd wordt dat omwille van de onderlinge vergelijkbaarheid en de consistentie een cascaderend raamwerk ondersteunend kan zijn. Het aanwezig zijn van een vorm van audittrail, van scope via bevinding naar oordeel is instrumenteel in het communicatie- en acceptatieproces. In elk bedrijf wordt de auditor in zekere mate gechallenged, managers gaan onderling vergelijken. Het raamwerk is in de basis niet mathematisch van opzet maar wel logisch traceerbaar (professioneel judgement). 4. Onderwerp: Mate van zekerheid Belangrijk is dat met de auditee en de opdrachtgever helder is gecommuniceerd wat het oordeel inhoudt. Een eendui- dige classificatiesystematiek ondersteunt dit proces. Is bijvoorbeeld helder gemaakt dat de audit een deelwaarneming betreft gedurende een beperkte tijdsduur van de status van risico s? Er blijft een zekere mate van professional judgement over de toekomstige robuustheid van het intern controle systeem. Hierbij speelt tevens de opzet van het totale governance raamwerk van de onderneming. Er bestaat geen 100% zekerheid. Voor de auditee en de opdrachtgever moet helder zijn wat de assessment behelst. De verwachtingen van opdrachtgevers en stakeholders moeten helder zijn ook door een goede afbakening van de scope en een omschrijving van de audit aanpak. Dit kan verder aangeven welke zekerheid kan worden verstrekt. In het oordeel zou naar voren moeten komen of er sprake is van een redelijke of beperkte mate van zekerheid. Alleen indien expliciet in bijvoorbeeld een Audit Charter is opgenomen dat de mate van zekerheid is gekoppeld aan specifieke sector requirements of richtlijnen kan het gegeven oordeel meer objectief worden gekoppeld aan de beschreven normering in deze richtlijnen. Geconcludeerd wordt dat 100% zekerheid als een illusie moet worden beschouwd; belangrijk is dat de IAF de beperktheid 9

10 van het oordeel onderkent en communiceert. Daarbij is de audit een momentopname en is er per definitie een houdbaarheidsdatum van het oordeel. Ook de kwaliteit van de governance, het totale functioneren van de diverse controlemechanismen (the three lines of defense), en daarmee de mate van volwassenheid van het risk en control raamwerk is belangrijk. Het hanteren van specifieke requirements kan het oordeel verder objectiveren: te denken valt aan de Code Banken/ Solvency/ Basel I, II of III danwel voor NBA accountants de COS voorschriften (agreed upon procedures). 5. Onderwerp: Normering vooraf Voor het merendeel van de ratings die worden gegeven dient het uitgangspunt te zijn dat er een goede normering vooraf is gedefinieerd. Belangrijk is dat de normen van de audit functie en de auditee aligned zijn voorafgaand aan de audits. Bij de reguliere audits zal deze norm als algemeen aanvaard mogen worden beschouwd, indien sprake is van een professionele volwassen audit functie. Deze normering kan dan ook worden gehanteerd voor de onderlinge vergelijking van audits. Voor specifieke onderzoeken is het belangrijk expliciet vooraf de normering te accorderen met de auditee. Bij normering vooraf kan een inschatting worden tussen de business of proces risico s en de gedefinieerde controls. De normering blijft wel bedrijf afhankelijk. Een geaccordeerde inschatting vooraf kan ook de acceptatie van de bevindingen achteraf faciliteren. Geconcludeerd wordt dat een normering en inschatting vooraf helpt. Het vermelden in de kick-off meeting van de toe te passen normering is een essentieel onderdeel in de communicatie en kan later de discussie over de ranking van de bevindingen ondersteunen. De auditee dient vooraf de toe te passen normering te weten, zeker in geval van het auditen van specifieke projecten dient deze te worden besproken met de opdrachtgever en de auditee. 6. Onderwerp: Soft Controls In het algemeen kan worden gesteld dat de evaluatie van soft controls tijdens de audit expliciet bespreekbaar zou moeten worden gemaakt voor zover relevant en dat de werking zou moeten meewegen in het oordeel. Het observeren van soft controls kan deels expliciet en impliciet een onderdeel zijn van de audit. Nagegaan moet worden of en in hoe- 10

11 verre de bevindingen ten aanzien van soft controls binnen of buiten de formele rapportage kunnen worden gedeeld. Gedragsaspecten vormen zonder meer deel van de governancestructuur, evenals the tone at the top. In het algemeen is nog geen eenduidige normering te geven voor de werking van de soft controls. Gedrag- en cultuuraspecten zouden expliciet onderdeel moeten zijn van de auditaanpak en meewegen in het oordeel om onderdelen als integriteit, respect en duurzaamheid mede te kunnen beoordelen. Het rapporteren over soft controls blijft echter lastig. De vraag is hoe men soft controls kan auditen en tegen welke norm dan gemeten dient te worden. Uit de reacties kwam naar voren dat er op onderdelen al wel ervaring was opgedaan met het auditen van soft controls. Zo waren er onder andere audits uitgevoerd op risicobewustzijn en communicatie. Bij het uitvoeren deze audits was met name gekozen voor door het houden van interviews en enquêtes om de beleving te kunnen toetsen. Daarnaast werden in het auditteam ook auditors betrokken met psychologische vakkennis/ studie-achtergrond om de zogenaamde softe kant goed te kunnen belichten en analyseren. Op de vraag of het gewenst is om vanuit IIA meer richting te geven aan het meten van soft controls, werd al snel overeenstemming bereikt dat dit niet gewenst was. Voorzichtig werd geconstateerd dat het aangeven vanuit het IIA van guidance omtrent aan het meten van soft controls geen waarde zou toevoegen. Dit omdat de gewenste cultuur of het gewenste gedrag per organisatie of misschien zelfs wel per business unit zou kunnen verschillen. Het is dan ook van belang om eerst de gewenste cultuur of het gedrag binnen de organisatie/business unit te bepalen, waarna een meting uitgevoerd kan worden binnen de organisatie om de zogenaamde gap te kunnen bepalen tussen de gewenste cultuur/ het gedrag en de bestaande situatie. Geconcludeerd wordt dat er weliswaar geen nadere richtlijnen vanuit het IIA nodig zijn, maar er is wel behoefte aan handvatten om dit onderwerp op te pakken en in de praktijk tot een zekere rating te komen. Belangrijke objectieve input zou kunnen worden verkregen uit cultuurgedrag en medewerkers tevredenheidonderzoeken. Het blijft belangrijk als onderdeel van de opinie en rating aanpak in een bepaalde mate de cultuur van de organisatie mee te nemen (hoe werkt men bijvoorbeeld samen, hoe verloopt de interactie, hoe open is de organisatie). 11

12 7. Onderwerp: Overall opinion Voor het geven van een overal opinion wordt het belangrijk geacht aan te geven wat de coverage is van de gegeven overall opinion. Het geven van een formele overall opinion varieert per bedrijfstak, en is buiten de financiële sector niet vereist. Indien een overall opinion wordt gegeven zouden ook de beperkingen en de reikwijdte dienen te worden aangegeven. De vraag is in hoeverre een overall opinon toegevoegde waarde heeft boven de samenvattende rapportages omtrent de status van risk en controls die aan de stakeholders worden verstrekt. Anderzijds wordt geconstateerd dat de bestuurslagen sowieso een informeel oordeel vragen omtrent de control status. Indien een overall opinion wordt gegeven (positief of negatief) kan deze niet puur mathematisch zijn. De opinie is niet absoluut, een zekere mate van professional judgement, binnen een zekere mate van maturity van de audit functie, blijft aanwezig. Geconcludeerd wordt dat omtrent het geven van een overall opinion geen algemene praktijk bestaat. Ook in de Practice Guide van 2009 werd de complexiteit van een dergelijk oordeel reeds aangegeven. Het is een moeilijke stap maar het wordt wel binnen organisaties gevraagd, weliswaar vaak niet formeel maar zeker wel informeel. Een overall opinion impliceert echter veelal ongelijksoortige zaken op één hoop gooien. 12

13 Slotconclusies Geconstateerd wordt dat er bij de grotere bedrijven sprake is van het hanteren van een toegesneden opinie en rating systematiek. De handreikingen in de Practice Guide, en de nadere praktijkuitwerking in het artikel van de IIA werkgroep in 2010, hebben zich vertaald naar een variëteit van praktische op het specifieke bedrijf of de specifieke organisatie toegesneden methodieken. De beperkte reikwijdte van het oordeel wordt onderkend binnen het specifieke governance kader per bedrijf of organisatie. Het belang van het meten en beoordelen van de soft control elementen wordt onderkend als een belangrijk element van de rating systematiek, tegelijk wordt de complexiteit van de meetbaarheid van cultuuraspecten onderkend. Veelal wordt een consistente vooraf gedefinieerde methodiek gecommuniceerd met een logisch opgebouwd normatief raamwerk waarbij ruimte blijft voor professional judgement. Nadere richtlijnen van het IIA worden niet nodig geacht, wel blijft er behoefte om voorbeelden van methodieken onderling uit te wisselen. Werkgroep Audit Ratings 2014 Alex Nieman Leo C. Walraven Frank Hermans Heiko van der Wijk Jan Grooten IIA Nederland, november