Aansprakelijkheid van internal auditors

Transcriptie

1 Aansprakelijkheid van internal auditors Drs. R. (Renze) Munnik Haarlem, 14 december 2009 Universiteit van Amsterdam Amsterdam Business School Executive Master of Internal Auditing Afstudeerbegeleider: Dr. J.R.H.J. (Bob) van Kuijck RA RC

2 Inhoud Executive samenvatting iv 1 Inleiding Aanleiding Probleemstelling en onderzoeksvragen Werkwijze Structuur referaat 6 2 Functioneren en aansprakelijkheid van internal auditors in de theorie Inleiding Rol en positie van internal audit Definitie van internal audit Rol en positie van internal audit Wat is het functioneren van de auditor? Functioneren IIA/SVRO over het functioneren van de auditor NIVRA over het functioneren van de auditor NOREA over het functioneren van de auditor Het functioneren van de auditor in dit onderzoek Het functioneren van de auditor volgens de wet Aansprakelijkheid Aansprakelijkheid Burgerrechtelijke en strafrechtelijke regels Administratiefrechtelijke regels Deontologische regels en tuchtrecht Arbeidsrecht Schuld- en risicoaansprakelijkheid Samenhang tussen functioneren en aansprakelijkheid Samenvatting en conclusies 30 Aansprakelijkheid van internal auditors (i)

3 3 Functioneren en aansprakelijkheid van internal auditors in de praktijk Inleiding Wat zeggen toezichthouders over internal audit? Wereldwijd Europa Nederland Verenigde Staten De rol van internal audit in praktijk Werkzaamheden Verantwoording Naleving standaarden Case studies naar rol van internal audit (tuchtzaken) Inleiding Zaken of klachten Case studies NOREA Case studies NIVRA Analyse van resultaten en relatie met de theorie Analyse case studies Relatie met de theorie Samenvatting en conclusies 51 4 Visie op toekomstige positie internal auditor Inleiding Het probleem Werkzaamheden en rol Toezichthouders Verantwoording Naleving gedrags- en beroepsregels De oplossing Vertrouwen in de organisatie Vertrouwen of controle? Verplichte internal audit Vertrouwen in internal audit Tuchtrecht Objectiviteit Kwaliteit van de afdeling Toezicht 62 Aansprakelijkheid van internal auditors (ii)

4 4.4 Hypothesen Verplichte internal auditfunctie Orde van internal auditors Beschermde titel Tuchtrecht Onafhankelijkheidsregels Kwaliteit van de afdeling Externe toezichthouder Analyse van de resultaten Algemeen Verplichte internal auditfunctie Orde van internal auditors Beschermde titel Tuchtrecht Onafhankelijkheidsregels Kwaliteit van de afdeling Externe toezichthouder 74 5 Conclusie en aanbevelingen Inleiding Beantwoording deelonderzoeksvragen Theorie Praktijk Toekomstvisie Conclusie (beantwoording centrale onderzoeksvraag) Aanbevelingen 80 Literatuurlijst 82 A. Afkortingen 88 Aansprakelijkheid van internal auditors (iii)

5 Executive samenvatting De aanleiding voor dit exploratief onderzoek is de toenemende vraag naar interne beheersing en het afleggen van verantwoording door organisatie na de (recente) schandalen in de financiële wereld en met de huidige economische situatie. Het vertrouwen moet terug gewonnen worden door ondernemingen.. Daarbij komt dat toezichthouders steeds meer het belang in beginnen te zien van een sterke internal auditfunctie binnen de organisaties waarop zij toezicht houden. Er worden door hen reeds stappen genomen om meer gebruik te maken van de diensten van deze interne functie. Hierbij is het echter wel van belang dat deze functie aan bepaalde kwaliteitseisen voldoet. Probleemstelling De probleemstelling van het onderzoek richt zich op het functioneren van internal audit en de wijze waarop deze gewaarborgd kan worden. Bij de externe auditor is het reeds lange tijd mogelijk om hem aan te spreken op zijn functioneren middels de gedrags- en beroepsregels (NIVRA) en het bijbehorende tuchtrecht. Dit is bij de internal auditor (afgezien van de registeraccountant) niet het geval. In dit exploratief onderzoek wordt daarom onderzocht of het aansprakelijk stellen van de internal auditor / internal auditafdeling net als de external auditor mogelijk een positief effect kan hebben op het functioneren van deze functie. Theorie Aangezien er nog weinig bekend is over dit onderwerp is dit exploratief onderzoek uitgevoerd waarbij ten eerste is onderzocht wat er in de theorie beschreven is met betrekking tot het functioneren en de aansprakelijkheid van internal audit. Hierbij is ingegaan op de definities van internal audit en de rol en positie binnen de organisatie, onder meer aan de hand van de agency theorie en de three lines of defence. Verder is onderzocht hoe beroepsorganisaties als het IIA/SVRO, het NIVRA en de NOREA het functioneren van internal audit definiëren. Met betrekking tot de aansprakelijkheid van internal audit is de diverse relevante wetgeving onderzocht en de regels van de beroepsorganisaties. Praktijk Ten tweede is onderzocht hoe het functioneren en de aansprakelijkheid van internal audit in praktijk geregeld is. Eerst is hiervoor onderzocht hoe toezichthouders kijken naar de rol van de internal auditor. Dit is met name gericht op Nederlandse toezichthouders, maar ook relevante andere toezichthouders (Europa, wereldwijd en VS) zijn hierbij belicht. Daarna is beschreven welke werkzaamheden de internal auditor uitvoert en de positie die hij binnen de organisatie heeft. Om vast te stellen in welke mate de auditor momenteel op zijn functioneren wordt aangesproken zijn case studies (tuchtzaken) onderzocht waarbij is gekeken naar het functioneren van de auditor zoals dit in de theorie is beschreven. Executive samenvatting Aansprakelijkheid van internal auditors (iv)

6 Ten slotte is op basis van de combinatie van de theorie en de praktijk geanalyseerd welk probleem hieruit naar voren komt en wat hiervoor een mogelijke oplossing zou zijn. Hierbij is gekeken naar wat er van de organisatie in het geheel en internal audit in het bijzonder wordt verwacht en hoe de praktijk hierbij aansluit. Resultaten en conclusies Uit de resultaten van het uitgevoerde exploratief onderzoek blijkt dat een eerste stap voor het terugwinnen van het vertrouwen in de organisaties is dat zij zelf de verantwoordelijkheid nemen voor hun handelen en dit aantoonbaar maken De internal auditfunctie is hierbij een belangrijk onderdeel, aangezien deze binnen de organisatie onafhankelijk is ten aanzien van de operationele taken en de overige afdelingen. De auditfunctie is momenteel echter niet altijd verplicht. Vervolgens moet er vertrouwen zijn in het functioneren van de internal auditfunctie. De gedragsen beroepsregels van de beroepsorganisatie bieden hiervoor een goede basis. In praktijk blijkt echter dat deze regels door slechts 64% van de internal auditors onderschreven worden. Dit is mede mogelijk doordat er geen wettelijke basis is om internal auditors te verplichten zich aan deze regels te houden. Zo heeft de beroepsorganisatie en het IIA register geen wettelijke status. Men kan internal auditwerkzaamheden uitvoeren zonder dat men bij de beroepsorganisatie is ingeschreven. De maatregelen van de Raad van Tucht hebben hierdoor slechts zeer beperkt effect. De zwaarste maatregel voor de Raad van Tucht is doorhaling in het register. Wanneer dit gedaan wordt kan de internal auditor echter nog steeds zijn beroep uit blijven oefenen. Een belangrijk aspect om op internal audit te kunnen vertrouwen betreft de onafhankelijkheid van de internal auditor. De gedrags- en beroepsregels van de beroepsorganisatie laten hier momenteel nog veel over aan de inschatting van de auditor. Dat terwijl het IIA expliciet stelt dat de internal auditor zowel assurance als adviesdiensten levert. Deze combinatie zou in praktijk de onafhankelijkheid van de auditor in het geding kunnen brengen. Bijvoorbeeld wanneer hij processen of controlemaatregelen gaat controleren welke hij zelf heeft geïmplementeerd (of hierover heeft geadviseerd). Dit dient duidelijker vastgesteld te worden. Verder worden er momenteel geen eisen gesteld aan personen die bij internal audit werkzaam zijn en (nog) niet bij de beroepsorganisatie zijn aangesloten. Een eis zoals het NIVRA deze stelt, dat de registeraccountant verantwoordelijk is voor de opleiding en toezicht op al diegenen die onder zijn verantwoordelijkheid werken, is bij het IIA niet aanwezig. Om op internal audit te kunnen steunen dient men echter te kunnen vertrouwen op de kwaliteit van de hele afdeling. Op basis van het uitgevoerde onderzoek en de resultaten zoals hierboven samengevat is de conclusie dat wettelijke aansprakelijkheid een positief effect kan hebben op het functioneren van internal audit. Hierdoor zal het beroep een wettelijke status krijgen. Niet iedereen kan zich dan internal auditor noemen. Iedereen die internal auditor is, wordt daarmee verplicht zich te houden aan de regels van de beroepsorganisatie. Tevens kunnen internal auditors welke zich niet aan de regels houden voor de tuchtrechter gedaagd worden. Deze instantie (de Raad van Tucht) kan ook duidelijkheid scheppen op de plaatsen waar de gedrags- en beroepsregels onvoldoende richtlijn bieden voor complexe situaties. Middels een deskundig oordeel wordt jurisprudentie opgebouwd. Dit kan bij Executive samenvatting Aansprakelijkheid van internal auditors (v)

7 toekomstige situaties als richtlijn dienen. Verder kunnen bijvoorbeeld position papers duidelijkheid scheppen over onderwerpen als onafhankelijkheid, wat nu een onvoldoende duidelijk kader heeft in de standaarden. Door de gecertificeerde auditor tevens verantwoordelijk te maken voor de opleiding en begeleiding/toezicht van niet gecertificeerde werknemers blijft de algehele kwaliteit van de afdeling gewaarborgd. Aanbevelingen Om het positieve effect op het functioneren van internal audit te bewerkstelligen is een viertal aanbevelingen gegeven in dit onderzoek. Ten eerste dient de organisatie verplicht over een permanente internal auditfunctie moeten beschikken. Bij deze verplichting zal rekening gehouden moeten worden met de omvang van de organisatie en het aantal en type aandeelhouders dat door een eventuele misstap van de organisatie geraakt zou worden. Ten tweede zal de orde van internal auditors bekrachtigd moeten worden als openbaar lichaam welke verantwoordelijk wordt voor het bevorderen van een goede beroepsuitoefening door de leden. Deze orde zal tevens het register beheren waarin de internal auditors geregistreerd staan. Dit zou het IIA kunnen betreffen of INTAC (NIVRA). Hiermee krijgt het beroep een wettelijke status en wordt de internal auditor verplicht zich aan de gedrags- en beroepsregels te houden. Wanneer de auditor dit niet doet kan hij voor de Raad van Tucht gedaagd worden. Bij de toelating tot het register dient rekening gehouden te worden met de reeds bestaande titels zoals RA, RO, CIA en RE en vakopleidingen als EMIA en EMITA 1. De ingeschrevenen hebben immers reeds voldaan aan toelatingseisen met betrekking tot opleiding en werkervaring en voldoen tevens aan een permanente educatieplicht. Ook de gedragsen beroepsregels zijn vrijwel gelijk aan die van de internal auditor. Ten derde zullen de onafhankelijkheidsregels van de beroepsorganisatie verder ingevuld moeten worden. Om een duidelijk kader te creëren dient er middels gedrags- en beroepsregels dan wel middels position papers een meer duidelijke richtlijn te komen wat wel en wat niet is toegestaan. Ten slotte dient de gecertificeerde auditor verantwoordelijk te zijn dat degenen van de afdeling (of ingehuurd) die niet gecertificeerd zijn de juiste opleiding hebben (of krijgen) en onder adequaat toezicht staan. Dit betreft iedereen die onder de verantwoordelijkheid van de gecertificeerde auditor werkt. Zodoende wordt de kwaliteit van de hele internal auditafdeling gewaarborgd. 1 EMIA: Executive Master of Internal Auditing. EMITA: Executive Master of IT Auditing. Executive samenvatting Aansprakelijkheid van internal auditors (vi)

8 1 Inleiding 1.1 Aanleiding Met de ontwikkelingen in de financiële wereld van de laatste jaren komt er meer en meer nadruk te liggen op de verantwoordelijkheid en de aansprakelijkheid. Met name met de introductie van de Sarbanes-Oxley (SOx) wetgeving (Verenigde Staten) spelen verantwoordelijkheid en aansprakelijkheid een grote rol in de financiële wereld. CEO s en CFO s van bedrijven die in de Verenigde Staten (VS) beursgenoteerd zijn moeten tekenen voor een goed werkend systeem van interne beheersingsmaatregelen rondom de financiële verslaggeving. Wanneer het blijkt dat dit systeem niet naar behoren werkt(e) en er (toch) bijvoorbeeld fraude gepleegd is, kunnen deze officers lange gevangenisstraffen krijgen (naast uiteraard de hoge boetes en de consequenties voor de onderneming). Ten behoeve van het voldoen aan de SOx-wetgeving dient een onafhankelijke derde partij (external auditor) de beheersingsmaatregelen en werkzaamheden van de onderneming te controleren. Deze derde partij dient een verklaring af te geven dat het management inderdaad een goed werkend stelsel van interne beheersingsmaatregelen binnen de organisatie heeft geïmplementeerd en dat dit naar behoren functioneert [PCAOB, 2004]. Hiermee wordt de verantwoordelijkheid en de aansprakelijkheid ook bij de external auditor gelegd. In geval van fraude is naast de CEO en/of CFO ook de external auditor aansprakelijk wanneer blijkt dat deze zijn functie bij de controle van de interne controlemaatregelen niet juist heeft uitgevoerd [SOA, 2002]. Dit geldt voor alle bedrijven (onafhankelijk van nationaliteit of vestigingsplaats) die beursgenoteerd zijn in de VS. Met dit soort wet- en regelgeving probeert men formeel af te dwingen dat de CEO, de CFO en de external auditor hun werkt correct uitvoeren en hiervoor de verantwoordelijkheid nemen. In Nederland zien we de laatste jaren ook een groeiende nadruk op wet- en regelgeving met betrekking tot het functioneren van organisaties en de externe auditors die deze controleren. Denk hierbij aan de Nederlandse Corporate Governance Code 2, de toenemende rol van beroepsorganisaties zoals het NIVRA en de in 2005 aangenomen Wet toezicht accountantsorganisaties (Wta). De externe auditor krijgt hiermee een brede aansprakelijkheid met betrekking tot het uitvoeren van zijn werkzaamheden. Waar eerst enkel naar de cijfers werd gekeken (heeft de auditor deze goed gecontroleerd), komt ook steeds meer de nadruk te liggen of de auditor wel alle relevante risico s heeft onderkend. Tevens wordt er de afgelopen periode ook steeds meer kritiek 3 geuit over het functioneren in het algemeen van de externe auditor in het licht van de kredietcrisis. Alhoewel de acties / besluiten die leidden tot deze crisis uiteraard door de bestuurders van de bedrijven zijn genomen is er tevens zeer veel aandacht (en kritiek) voor de rol die de externe auditors hebben vervuld (en nog steeds vervullen) met betrekking tot deze bedrijven. 2 Tot 2008 ook wel de Code Tabaksblat genoemd, naar Morris Tabaksblat, de voorzitter van de commissie welke deze code opstelde. Sinds 2008 is er een nieuwe corporate governance code. 3 Voorbeelden: [Hoogervorst, 2009a] [Hoogervorst, 2009b] [Aitken-Davies, 2008] [FD, 2009] [Accountant.nl, 2008] en [Accountancyage, 2009] Inleiding Aansprakelijkheid van internal auditors (1)

9 De grootste kritiek is dat zij onvoldoende opgelet zouden hebben, wellicht niet onafhankelijk genoeg zijn geweest en simpelweg hun werk niet goed genoeg hebben uitgevoerd. De claims tegen accountantsorganisaties in deze zaken zijn vaak aanzienlijk. In 2006 stonden er tegen EU 4 accountant firms 11 claims open van 160 miljoen tot 785 miljoen en stonden er 5 claims open van ieder meer dan 785 miljoen [LE, 2003]. Het is uiteraard ook logisch dat bij dit soort zaken uitvoerig wordt gekeken naar de rol van de externe auditor. Deze heeft immers een maatschappelijke taak waarop veel mensen (en instanties) vertrouwen. Wanneer de externe auditor zijn oordeel heeft gegeven gaat men er vanuit dat men daarop kan vertrouwen. Als achteraf toch blijkt dat er zaken onjuist zijn dient uitgezocht te worden of de externe auditor zijn werk voldoende heeft uitgevoerd. Binnen de organisatie heeft de internal auditor een verantwoordelijkheid voor het toetsen en daarmee bij het verbeteren van de operaties binnen de organisatie. Dit is inclusief het hiermee samenhangende geheel van risicobeheersings- en controlesystemen [IIA, 2005]. Mede door middel van het audit charter worden ook de bevoegdheden van de internal auditor vastgesteld door het management. Zodoende zijn zowel de verantwoordelijkheden als de bevoegdheden van de internal auditor verzorgd. Management is verantwoordelijk voor het functioneren van de beheersingsmaatregelen; niet de internal auditor. Echter, de internal auditor heeft wel een belangrijke signalerende taak. Internal audit dient de CEO s en CFO s beste bron van assurance te zijn met betrekking tot interne beheersing. Als de CEO en CFO achter een organisatie-brede verklaring moeten staan zoals bij SOx het geval is is het niet meer dan logisch dat zij naar de Chief Audit Executives (CAE s) mening vragen [Roth & Espersen, 2003]. Net als de internal auditor is de external auditor niet verantwoordelijk voor de werking van de interne beheersingsmaatregelen, maar wel voor het signaleren van afwijkingen. En de external auditor wordt zoals eerder vermeld nu ook aansprakelijk gesteld wanneer blijkt dat hij hierin zaken niet heeft gesignaleerd. Voor de internal auditor is echter geen aansprakelijkheid aan zijn taken verbonden. Wanneer de beheersmaatregelen niet naar behoren werken (of hebben gewerkt), dan zijn hieraan geen formele / wettelijke consequenties verbonden voor de internal auditor. 1.2 Probleemstelling en onderzoeksvragen In dit exploratief onderzoek wordt onderzocht of het aansprakelijk stellen van de internal auditor / internal auditafdeling net als de external auditor mogelijk een positief effect kan hebben op het functioneren van deze functie. Het blijft echter een vraag of deze wijze van afrekenen de juiste incentive is om het functioneren van de auditor te waarborgen. Tevens is het niet zeker of dit de organisatie ten goede zal komen. De internal auditor zal mogelijk meer genegen zijn op save te spelen voor zichzelf, dan iets extra s voor de organisatie te doen. 4 Europese Unie Inleiding Aansprakelijkheid van internal auditors (2)

10 De centrale onderzoeksvraag luidt daarom als volgt: Kan formele aansprakelijkheid van de internal auditor een positief effect hebben op het functioneren van de internal auditfunctie? Om deze centrale vraag te (kunnen) beantwoorden zullen de volgende deelvragen beantwoord worden. 1. Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de theorie beschreven? 2. Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de praktijk geregeld? 3. Welke impact zou invoering van wettelijke aansprakelijkheid op het functioneren van internal audit kunnen hebben? a. Wat zijn de effecten met betrekking tot de internal auditor bij het uitvoeren van zijn werk? b. Op welke wijze kan wettelijke aansprakelijkheid de scope van de internal auditwerkzaamheden beïnvloeden? c. Wat zijn de effecten voor de organisatie wanneer de internal auditor wettelijk aansprakelijk wordt gesteld? d. Hoe kan dit de relatie tussen het management en internal audit beïnvloeden? e. Heeft wettelijke aansprakelijkheid invloed op de positie van internal audit binnen de organisatie? 1.3 Werkwijze In deze paragraaf wordt toegelicht op welke wijze het exploratief onderzoek uitgevoerd wordt. Hieronder staat per onderzoeksvraag beschreven welke onderzoeksmethode gebruikt zal worden om de vraag te beantwoorden. Adressering van de onderzoeksvragen Onderzoeksvraag 1; Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de theorie beschreven? Deze vraag zal geadresseerd worden middels literatuuronderzoek naar: Definities van aansprakelijkheid en functioneren van internal audit. Samenhang van aansprakelijkheid en het functioneren van internal audit. De definitie, positie en rol van internal audit volgens beroepsorganisaties en literatuur met betrekking tot corporate governance en risk management. Inleiding Aansprakelijkheid van internal auditors (3)

11 Onderzoeksvraag 2; Hoe is het functioneren en de aansprakelijkheid van de internal auditor in de praktijk geregeld? Middels case studies en desk research zal onderzoek naar deze vraag gedaan worden. Dit betreft: Literatuuronderzoek naar de relevante wetgevende en toezichthoudende instanties met betrekking tot internal audit en op welke wijze zij internal audit adresseren in wet- en regelgeving. Middels desk research zal onderzocht worden welke rol / positie internal audit in praktijk bekleedt en hoe zij deze rol invult (o.a. onderzoeken die worden uitgevoerd naar de internal auditfunctie). Aan de hand van diverse case studies zal onderzocht worden welke rol internal audit tot op heden heeft gehad bij zaken met betrekking tot interne controle. Analyse van de resultaten hoe deze aansluiten met de theorie zoals in hoofdstuk 2 onderzocht. Onderzoeksvraag 3; Welke impact zou invoering van wettelijke aansprakelijkheid op het functioneren van internal audit kunnen hebben? Voor het onderzoeken (en beantwoorden) van deze vraag wordt gebruik gemaakt van interviews met experts op het gebied van internal audit, vaktechniek en juridische zaken. Tevens zal middels literatuur en desk research onderzocht worden wat de mogelijke effecten van wettelijke aansprakelijkheid zijn. Desk research en interviews naar wat de impact is (en is geweest) van de (toenemende) aansprakelijkheid van de external auditor en hoe dit op internal audit van toepassing kan zijn. De interviews zijn gericht om de bevindingen vanuit verschillende perspectieven nader te belichten. Ten eerste is [VERTROUWELIJK] hierbij van groot belang, aangezien het onderzoek gericht is op de internal auditors. Ten tweede het onderwerp belicht worden vanuit een extern perspectief. Hierbij is gekozen voor een externe assurance provider welke internal auditdiensten levert. Zodoende wordt een breed zicht op diverse internal auditdiensten gecombineerd met de ervaringen die de provider heeft vanuit een external audit (accountants) perspectief. Ten derde zal gesproken worden met een juridische afdeling, voornamelijk vanwege het aansprakelijkheidsvraagstuk dat een belangrijk deel van dit onderzoek uitmaakt. Ten slotte wordt gekeken naar de vaktechnische implicaties die naar aanleiding van het onderzoek naar voren kunnen komen. Hiervoor wordt een interview gehouden met een vaktechnische afdeling. Zij hebben de kennis van vaktechniek en tevens de ervaring van enkele jaren wet- en regelgeving met betrekking tot auditing. Literatuuronderzoek / desk research op basis van: o Aansprakelijkheid van de interne auditor van De Meuter. o Artikelen en (position) papers met betrekking tot rol / taak van internal audit. Analyse resultaten en bepalen van impact hiervan op de huidige positie en taakstelling van internal audit (zoals in hoofdstuk 2 beschreven) en de huidige rol en aansprakelijkheid (zoals in hoofdstuk 3 beschreven). Inleiding Aansprakelijkheid van internal auditors (4)

12 Afbakening van het onderzoek Over het onderwerp van aansprakelijkheid van de internal auditor is nog weinig bekend. Omdat dit een zeer omvangrijk gebied betreft is een aantal keuzes gemaakt om het onderzoek af te bakenen en onduidelijkheid te voorkomen bij het lezen van dit referaat. Hieronder zijn de gemaakte keuzes toegelicht. Geografie Wanneer naar de aansprakelijkheid van een beroepsgroep gekeken wordt heeft dit (uiteraard) een nauwe relatie met de aanwezige wetgeving. De wetgeving met betrekking tot aansprakelijkheidsvraagstukken kan per land aanzienlijk verschillen. In dit onderzoek is ervoor gekozen om dit te beperken tot de Nederlandse auditors. Hierbij wordt gekeken naar de Nederlandse relevante wetgeving. In dienst of ingehuurd Een volgend vraagstuk is of de internal auditor in dienst is bij de organisatie of dat dit een externe partij is die is ingehuurd voor het uitvoeren van internal auditwerkzaamheden voor de organisatie. In het tweede geval zijn er immers andere omstandigheden die van toepassing zijn op de auditor. Deze heeft een contract waarin de specifieke werkzaamheden en daaraan gestelde eisen zijn beschreven. In deze situatie gaat het minder om de internal auditor als beroepsgroep, maar betreft het een zakelijke dienstverlening op basis van een overeengekomen contract. Hierop zijn daarmee ook andere regels (en wetten) van toepassing dan wanneer de auditor in dienstverband werkzaamheden uitvoert. De externe partij die ingehuurd wordt door de organisatie zal middels een contract de afspraken vastleggen over de uit te voeren werkzaamheden en de verantwoordelijkheden met betrekking tot die werkzaamheden. Deze overeenkomst zal onder het Burgerlijk Wetboek boek 6 5 [BW, 2009] vallen (en eventueel Burgerlijk Wetboek boek 7 afhankelijk van de overeenkomst). Bij het niet, of onvoldoende, nakomen van de gemaakte afspraken kan derhalve een civiele procedure gestart worden op basis van deze wetten en de overeenkomst. Daarnaast is het mogelijk dat de auditors van de externe partij die zijn ingehuurd lid zijn van de beroepsorganisatie en zodoende onder de tuchtrechtelijke regels van de beroepsorganisatie vallen. De opdrachtgever kan in die situatie tevens een klacht indienen bij de Raad van Tucht van de beroepsorganisatie. In dit onderzoek is gekozen te kijken naar de internal auditor die in dienst is van de organisatie waarvoor hij de auditwerkzaamheden uitvoert. Commercieel of publiek Een derde onderscheid dat gemaakt kan worden is met betrekking tot het type organisatie. Met betrekking tot de wet- en regelgeving wordt er veelal een onderscheid gemaakt tussen publieke en commerciële organisaties. Zo is op overheidsinstanties het bestuursrecht (ook wel 5 Burgerlijk Wetboek boek 6 en 7 betreffen het verbintenissenrecht. Inleiding Aansprakelijkheid van internal auditors (5)

13 administratiefrecht) van toepassing. Dit is niet het geval bij commerciële bedrijven. Het bestuursrecht is gebaseerd op de machtsverhouding tussen de overheid en de burger, waarbij de overheid zelf de machtspositie van de burger bepaalt. Over het algemeen kan gesteld worden dat het bestuursrecht aangeeft wat de overheid wel mag, terwijl het privaatrecht aangeeft van de burger niet mag. Oftewel, de burger mag alles doen mits dit niet bij wet verboden is. De overheid mag niets doen tenzij de wet dit toestaat. Gezien de bijzondere machtsverhoudingen tussen de overheid en de burgers en de specifieke wetgeving die op overheidsinstanties van toepassing is, is gekozen dit onderzoek te beperken tot de internal auditor bij commerciële bedrijven. Beroepsorganisaties en case studies Er zijn diverse beroepsorganisaties die in het kader van dit onderzoek belicht kunnen worden. Voor dit onderzoek is gekozen om de beroepsorganisaties te beperken tot de Nederlandse beroepsorganisaties. Dit betreft het Instituut van Internal Auditors Nederland (IIA Nederland), het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van EDP Auditors (NOREA). Dit houdt in dat het IIA Inc. (de overkoepelende organisatie van het IIA) hierbij niet meegenomen wordt. Dit onderzoek kijkt naar de huidige situatie met betrekking tot internal audit. Ten aanzien van de case studies wordt daarom gekeken naar de huidige organisatie met betrekking tot het tuchtrecht. Dit betekent dat, gezien het samengaan van de Raden van Tucht van het IIA (Nederland) en de VRO nu enkel gekeken wordt naar de zaken welke bij het tuchtrecht van het IIA ter sprake zijn gekomen. De zaken die bij de Raad van Tucht van de VRO hebben gediend voor het samengaan van IIA en VRO zijn hierbij buiten beschouwing gelaten. 1.4 Structuur referaat In hoofdstuk 2 wordt de eerste onderzoeksvraag behandeld waarbij in wordt gegaan op de termen aansprakelijkheid en functioneren van internal audit en de samenhang tussen deze begrippen. Tevens wordt uiteengezet hoe het functioneren en de aansprakelijkheid van de internal auditor momenteel in de theorie wordt geadresseerd. In hoofdstuk 3 zal de huidige praktijk toegelicht worden (onderzoeksvraag 2). Hierbij wordt ingegaan op de wet- en regelgeving rondom internal audit, de rol en positie die internal audit in praktijk bekleedt en haar rol in enkele tuchtzaken met betrekking tot het functioneren van de internal auditor van de afgelopen jaren. Tevens zal hierbij aangegeven worden hoe deze praktijk aansluit bij de in hoofdstuk 2 beschreven theorie rondom internal audit. Na de theoretische beschrijving en het huidige functioneren en aansprakelijkheid van internal audit wordt in hoofdstuk 4 naar de toekomst gekeken. In dit hoofdstuk wordt de derde onderzoeksvraag behandeld en wordt er beschreven wat de mogelijke effecten kunnen zijn van wettelijke aansprakelijkheid van de internal auditor. In het laatste hoofdstuk (5) staan de conclusies en aanbevelingen beschreven naar aanleiding van dit exploratief onderzoek. Inleiding Aansprakelijkheid van internal auditors (6)

14 Bijlage A bevat een overzicht van gebruikte afkortingen en de bijbehorende voluit geschreven naam, wet of onderwerp. Inleiding Aansprakelijkheid van internal auditors (7)

15 2 Functioneren en aansprakelijkheid van internal auditors in de theorie 2.1 Inleiding In dit hoofdstuk wordt uiteengezet hoe het functioneren en de aansprakelijkheid van internal audit in de theorie beschreven is. Als eerste wordt in 2.2 de rol en positie van internal audit beschreven. Hierbij wordt ingegaan op de definities van de auditfunctie en de rol en positie binnen de organisatie. De rol en positie van de interne auditor wordt toegelicht aan de hand van (economische) theorieën. Te weten de agency theorie en de three lines of defence. Vervolgens wordt de samenhang tussen deze theorieën in relatie tot internal audit besproken. Nadat de rol en positie is toegelicht wordt in 2.3 uiteengezet op basis van welke punten het functioneren van de internal auditor beoordeeld kan worden. Ten eerste door te kijken naar wat het Instituut van Internal Auditors (IIA 6 ) daarover vermeldt en vervolgens hoe het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA) het functioneren van de accountant (welke ook internal auditor kan zijn) definieert. Tevens wordt uiteengezet wat de Nederlandse Orde van Register EDP Auditors (NOREA) stelt ten aanzien van het functioneren van IT-auditors (welke ook internal auditor kunnen zijn). Daarna wordt toegelicht welke punten in dit onderzoek gehanteerd worden ten aanzien van het functioneren van de auditor en wat de wet zegt over het functioneren van de auditor. De aansprakelijkheid van de auditor wordt in 2.4 behandeld. Dit wordt ondermeer belicht in het kader van diverse wetgevingen en regels van beroepsorganisaties. Vervolgens wordt de samenhang beschreven tussen de principes van het functioneren van de auditor en de aansprakelijkheid. Afrondend wordt in 2.5 de samenvatting gegeven van dit hoofdstuk, gevolgd door de conclusies. 2.2 Rol en positie van internal audit Definitie van internal audit Audit: kritisch onderzoek naar de bedrijfsvoering 7 De internal auditfunctie werkt binnen de organisatie in opdracht van het management. Dit kan in principe alle lagen van het management omvatten. Zij voert hiervoor onderzoeken uit naar verschillende onderwerpen. Bijvoorbeeld naar financiële processen, klachtafhandeling door de klantservice of logistieke processen in het magazijn. 6 Tijdens het lezen van dit referaat kunnen afkortingen teruggevonden worden in bijlage A. 7 Van Dale onlinewoordenboek Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (8)

16 Zij controleert of de processen binnen de organisatie voldoen aan de norm die de organisatie (het management) hiervoor heeft gesteld. Dit in tegenstelling tot de externe auditor welke niet toetst aan de norm van het management. Hij toetst aan de normen die hijzelf nodig acht om voldoende zekerheid te verkrijgen over het object van onderzoek (veelal de jaarrekening). Met de oprichting van het IIA in 1941 kwam een evolutie op internal auditgebied. Waar voorheen de external auditor bepaalde hoe internal audits uitgevoerd moesten worden werd nu de scope van internal audits uitgebreid naar het beoordelen van alle verrichtingen van de organisatie. Auditing werd nog maar een van de functies van internal audit 8. Hieronder volgen twee veel gehanteerde definities van internal audit. Hieruit is tevens te zien dat de internal auditfunctie zich niet enkel tot auditing hoeft te beperken. Internal audit acts as an independent appraisal activity to review operations as a service to the organisation by measuring and evaluating the adequacy of controls and the efficiency and effectiveness of performance. ( ) Internal auditors are vitally involved in all matters related to organisational governance and risks. [Sawyer, 2003] Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. [IIA, 2004] Sawyer spreekt ten aanzien van internal audit nog enkel over een appraisal activity (beoordelen). Internal audit is voor het toetsen van controlemaatregelen en de efficiency en effectiviteit. Het gaat hierbij volgens Sawyer om de governance en de risico s van de organisatie. Het IIA daarentegen, heeft in de definitie ook adviserende taken (consulting activity) aan de internal auditfunctie toegewezen. De interne auditor toetst niet enkel of de organisatie de juiste maatregelen treft, maar adviseert tevens hoe de organisatie haar doelen kan bereiken. Een significante toevoeging aan de definitie ten opzichte van de definitie zoals Sawyer die stelt. Tevens heeft deze uitbreiding de nodige impact op de onafhankelijkheid / objectiviteit van de auditor Rol en positie van internal audit Zoals in de voorgaande paragraaf beschreven is internal audit zoals de naam aangeeft een auditfunctie. Dit betekent dat zij primair bestaat om de processen en met name de controlemaatregelen binnen de organisatie te toetsen aan de norm. Dat in een later stadium tevens adviesdiensten aan het takenpakket zijn toegevoegd komt met name door het totaal overzicht dat de internal auditfunctie heeft over de organisatie en de kennis die zij heeft met betrekking tot de beheersing van processen. Dit doet echter niets af aan het feit dat zij primair is bedoeld voor haar controlerende taak. 8 John B. Thurston [Sawyer, 2003] Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (9)

17 In de loop der tijd zijn er verschillende theorieën ontwikkeld met betrekking tot de structurering van organisaties. Hieronder worden twee belangrijke theorieën belicht die wat meer licht werpen op het belang van de (internal) auditfunctie in organisaties. Agency theorie De agency theorie gaat uit van het onderscheid tussen de eigenaar van economische resources (de principaal) en de managers (de agenten) die belast zijn met het gebruik en de aansturing van deze resources. De principalen huren middels contracten agenten in om de organisatie te sturen en de belangen van de principalen te behartigen. Echter, de agenten beschikken hierdoor over meer informatie dan de principalen. Dit wordt de informatieasymmetrie genoemd [Jensen & Meckling, 1976]. Deze informatieasymmetrie zorgt ervoor dat de principalen beperkt worden in hun mogelijkheden om te monitoren in hoeverre hun belangen worden behartigd door de agenten. Een tweede aanname van de agency theorie is dat de agenten rationeel handelen en de contracten gebruiken ten behoeve van hun eigen welvaart. Deze aanname leidt tot een mogelijk moral hazard probleem. Om hun eigen belangen (welvaart) te maximaliseren kunnen de agenten voor het dilemma komen om tegenstrijdig te handelen met de belangen van de opdrachtgevers (de principalen). De principalen kunnen niet beoordelen of de beslissing van de ageent in het belang van de organisatie is [Jensen & Meckling, 1976]. Zij hebben namelijk niet de beschikking over alle beschikbare informatie op het moment dat er een besluit genomen wordt door de agent. Om dit probleem te voorkomen (verminderen) en het moral hazard probleem te voorkomen sluiten de principalen en agenten contracten af. Die dienen om zoveel mogelijk te proberen een optimale situatie voor beide te creëren. Dit betreft onder andere monitoring processen zoals internal audit [Adams, 1994]. Internal auditing wordt hierbij gezien als kosten die door de agent gedragen worden om te kunnen voldoen aan de eisen die de principaal stelt ten aanzien van de verantwoording door de agent [Sherer & Kent, 1983]. Relatie agency theorie ten aanzien van auditing In bovenstaande toelichting over de agency theorie is de principaal (de opdrachtgever) bijvoorbeeld de Raad van Bestuur (RvB) of Raad van Commissarissen (RvC) van de organisatie of (in mindere mate) de aandeelhouders. Het betreft hier de interne relaties binnen de organisatie, waarbij de internal auditfunctie een monitorende rol vervult in opdracht van de principaal. Internal audit toetst de processen van de organisatie aan de norm die de principaal opstelt. Deze relatie komt ook overeen met de positionering van de internal auditfunctie binnen de organisatie. Zij is ten aanzien van de operationele activiteiten en de overige afdelingen binnen de organisatie onafhankelijk (maakt hier geen onderdeel van uit). Tevens heeft internal audit een directe rapportagelijn naar de RvB en de auditcommissie 9 (welke in relatie staat met de RvC). De agency theorie is echter niet enkel intern op de organisatie toe te passen. Er is ook een extern principaal-agent probleem. Hierbij kan gedacht worden aan toezichthouders, de Belastingdienst, 9 Auditcommissie wordt veelal Audit Committee genoemd. In dit referaat hanteer ik de Nederlandse benaming hiervoor. Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (10)

18 investeerders en beurzen. Zij hebben specifieke belangen bij de organisatie, maar beschikken niet over alle informatie om de juiste beslissingen te kunnen maken. Zij weten niet of de beslissingen die de organisatie neemt op dat moment in hun belang is (denk hierbij met name aan instanties zoals de Belastingdienst en toezichthouders). En vanuit deze principalen gezien, maakt internal audit onderdeel uit van de organisatie waarover zij informatie behoeven. Met betrekking tot dit externe principaal-agent probleem vervult de externe auditor de monitoring functie. De kosten hiervan worden gedragen door de organisatie (de agent) om te voldoen aan de verantwoordingsplicht ten aanzien van de (externe) principalen [Defond, 1992; Francis & Wilson, 1988]. Internal en external audit complementeren elkaar hierbij in het verminderen van de principaal-agent problemen waarmee organisaties te kampen hebben [Ettredge e.a., 2000]. Three lines of defence De agency theorie gaat er met name om dat de agent informatie heeft die de principaal niet heeft waardoor de agent er een eigen agenda op na kan houden. Uitgangspunt hierbij is dat de verschillende functies (binnen de organisatie) verschillende belangen kunnen hebben en niet perse dezelfde doelen nastreven. Zij zullen hun eigen agenda nastreven. En daarom moet een en ander in goede banen geleid worden. Er moet een vertrouwde derde partij zijn (trusted third party). De tweede theorie die hier belicht wordt gaat over de three lines of defence drie linies van verdediging waarbij er vanuit wordt gegaan dat de verschillende functies binnen de organisaties hetzelfde doel nastreven. Zij werken samen om de gestelde doelen te bereiken. Hierbij kunnen zij echter verschillende problemen tegenkomen die het bereiken van hun doelen kunnen dwarsbomen. In het kader van risk management governance kan de verdediging van de organisatie tegen risico s verdeeld worden in drie linies van de verdediging; de three lines of defence. [Booz&Co, 2008] Deze linies zorgen door middel van preventieve maatregelen tot meer detectieve maatregelen ervoor dat de organisatie in control kan blijven en risico s het hoofd geboden kunnen worden. Hieronder worden de drie linies van de verdediging toegelicht. Top management en de front office dienen als de meest preventieve maatregel in het omgaan met risico s. Zij moeten zorgen voor een cultuur binnen de organisatie waarin risico s voldoende geadresseerd worden. Hierbij gaat het mede om het bepalen van de portfolio van de organisatie en de bewustwording van de medewerkers om zich aan de regels / grenzen te houden en vrijstelling aan risico s te minimaliseren. Vervolgens zullen top management en de front office de organisatie continu monitoren om tijdig te kunnen signaleren wanneer bijsturen vereist is. De risk management functie binnen de organisatie is de belangrijke tweede linie in de verdediging. Deze functie beschikt over specifieke kennis ten aanzien van het managen van risico s en dient als waakhond voor de organisatie. Door hun kennis en ervaring in de business en de specifieke kennis over risico management dienen zij als adviseur voor de organisatie met betrekking tot waar zij risico s loopt en hoe deze geadresseerd kunnen worden. Door hun positie binnen de organisatie zijn zij is staat om risico s organisatiebreed te identificeren en de relevante personen hiervan op de hoogte te stellen en/of samen te laten werken bij het mitigeren van deze risico s. Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (11)

19 De laatste linie is audit. Waar de eerste twee linies zorgen voor het identificeren van risico s, het creëren van de juiste cultuur (en control environment) en de interne controlemaatregelen binnen de organisatie is voor de auditor de taak weggelegd om vast te stellen of de getroffen maatregelen in voldoende mate de risico s afdekken en of deze maatregelen ook continu effectief werken. Uiteraard houdt het management zich bezig met de continue monitoring maar een onafhankelijke, objectieve partij kijkt met een frisse blik naar de maatregelen en belangrijker controleert niet haar eigen werk. In het kader van interne controle is het tevens belangrijk dat er ook iemand is die een objectief oordeel kan geven over de manager die verantwoordelijk is voor day-to-day business. De internal auditafdeling is hierbij het extra paar ogen voor het bestuur om in de gaten te houden of er geen zaken gemist worden in de eerste twee linies van de verdediging. In het artikel van Booz&Co. wordt bij de three lines of defence de vergelijking gemaakt met voetbal. Als een keeper een redding mist, dan hebben voor hem tien andere spelers deze al gemist. De auditor kan in deze beeldspraak gezien worden als de laatste rij verdedigers die voor de keeper (het bestuur) staat. Als de eerste twee linies met spelers (topmanagement en front office, en de risk management functie) worden gepasseerd, is het aan de auditor om de bal tegen te houden voordat deze bij de keeper komt. Objectiviteit / onafhankelijkheid lines of defence Wanneer we kijken naar de drie linies van verdediging is internal audit eigenlijk de enige objectieve, onafhankelijke line of defence. Top management is immers degene die de kaders voor zichzelf moet stellen. Zij waarborgen in principe enkel de belangen voor hun eigen functie. De risk management functie is wel objectiever dan het top management het is immers een aparte functie binnen de organisatie en opereert organisatiebreed maar fungeert grotendeels als partner in business voor het top management. De risk management functie ondersteunt het top management namelijk bij het identificeren van mogelijke risico s en geeft bij het management aan hoe zij deze risico s kan mitigeren. Wanneer zij dit in de praktijk gaat monitoren betekent dat risk management haar eigen werk controleert. De aanwezige controlemaatregelen zijn door haarzelf voorgesteld, dus is zij niet onafhankelijk in haar beoordeling. Deze eerste twee linies van de verdediging maken deel uit van de reguliere management cyclus [IIA, 2004]. Dit houdt in dat deze functies vaak (mede) verantwoordelijk zijn voor het beleid en/of de implementatie van maatregelen met betrekking tot risicomanagement, compliance of interne controle binnen de organisatie. Tevens vervullen deze afdelingen een faciliterende of zelfs uitvoerende rol bij het uitvoeren van dit beleid en het rapporteren over de behaalde resultaten. De internal auditfunctie heeft hierbij echter een andere rol. Zij maakt geen deel uit van de reguliere management cyclus. Zij geeft niet zelf aan welke controlemaatregelen aanwezig moeten zijn en hoe deze ingericht dienen te worden, maar evalueert enkel het functioneren van de organisatie op basis van een vooraf gesteld normenkader. Daarmee opereert zij objectiever dan de eerste twee linies van de verdediging. Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (12)

20 Samenhang tussen agency theorie en three lines of defence In het licht van de agency theorie (informatieasymmetrie) zoeken de verschillende stakeholders naar een onafhankelijke partij die kan toetsen of de organisatie de juiste doelen nastreeft en in het kader daarvan de juiste beslissingen neemt. De three lines of defence vormen de linies die waarborgen dat de organisatie haar eigen doelen kan bereiken. De rol van de internal auditfunctie hierin vormt tevens een linie ter verdediging van de stakeholderbelangen. Bij deze linies van de verdediging wordt veelal de externe auditor ook betrokken als een extra partij die onafhankelijk naar de organisatie kijkt. Deze beoordeelt hierbij bijvoorbeeld ook het functioneren van de internal auditfunctie, maar heeft door zijn externe positie meer onafhankelijkheid ten aanzien van de organisatie waardoor hij meer vrijheid heeft om over onvolkomenheden te rapporteren (zie over de impliciete druk die de interne auditor heeft ten aanzien van zijn werkgever). De rol van de externe auditor wordt (mede door de wettelijke grondslag) met name vereist ten aanzien van externe stakeholders zoals toezichthouders en de Belastingdienst. 2.3 Wat is het functioneren van de auditor? Nadat in voorgaande paragraaf is toegelicht wat internal audit is en wat de functie van de internal auditor is, zal nu ingegaan worden op wat het functioneren van de auditor inhoudt. Hieronder staat beschreven hoe in dit onderzoek het functioneren wordt gedefinieerd Functioneren Doen wat je moet doen 10 Functioneren houdt in, het doen wat je moet doen. Dit impliceert een voorafgestelde norm voor het goed functioneren. Apparaten, bijvoorbeeld, dienen te doen waarvoor zij gemaakt zijn. Zij dienen te doen wat er in de handleiding staat beschreven. Is dit niet het geval, dan functioneert het apparaat niet (of onvoldoende). Hetzelfde geldt voor werknemers. De norm voor het goed functioneren van een werknemer bij een bedrijf is de taakomschrijving onderliggend aan zijn contract. Indien de werknemer niet doet wat er volgens zijn taakomschrijving van hem verwacht wordt, dan kan gesteld worden dat hij niet of onvoldoende functioneert. Om in dit onderzoek te spreken over het functioneren van de internal auditor dient daarom eerst vastgesteld te worden wat de norm is waaraan het wel of niet functioneren van de auditor getoetst kan worden. Uiteraard geldt voor de auditor die in dienst is van de organisatie zijn arbeidscontract waarin beschreven staat welke taken hij uit dient te voeren. Dit onderzoek is echter gericht op de internal auditor als onderdeel van de beroepsgroep in zijn geheel en niet op individuele afspraken met internal auditors die in hun contracten worden gesloten. 10 thefreedictionary Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (13)

21 Voor het bepalen van de criteria voor het functioneren van de internal auditor wordt hierna beschreven wat drie belangrijke beroepsorganisaties hierover vermelden. Ten eerste het IIA en de Stichting Verenigde Register Operational auditors (SVRO) 11 en vervolgens het NIVRA en de NOREA. Het IIA/SVRO omdat zij de beroepsgroep van internal auditors in het algemeen vertegenwoordigt (en de operational auditors). Het NIVRA wordt behandeld aangezien zij de interne accountants vertegenwoordigt (een subcategorie van de internal auditors) en tevens gezien haar rol ten aanzien van register accountants een groep auditors waar al langere tijd een beroepsgroep voor bestaat welke ook juridisch haar plaats heeft verworven. De NOREA wordt hier belicht aangezien deze de IT-auditors vertegenwoordigt welke een subcategorie van internal auditors zijn IIA/SVRO over het functioneren van de auditor Het IIA heeft als overkoepelende beroepsorganisatie voor internal auditors de code of ethics opgesteld waaraan de internal auditors dienen te voldoen welke ingeschreven staan bij het IIA. Hierin staan de principes beschreven waaraan de auditor zich dient te houden, met de rules of conduct waarin deze principes worden vertaald naar hoe de auditor zijn werk hoort uit te voeren [IIA, 2009]. Te weten: Integriteit Objectiviteit Vertrouwelijkheid Bekwaamheid Deze principes worden hieronder behandeld. Integriteit Integriteit draagt zorg voor het verkrijgen van vertrouwen en vormt daarmee de basis voor het steunen op het oordeel van de auditor. Om dit te waarborgen dient de auditor eerlijk en verantwoordelijk te zijn in zijn werk. Verder dient hij zich aan de wet te houden en aan het licht te brengen wat de wet en het beroep van hem verwachten. Tevens wordt onder integriteit begrepen dat de auditor zich niet in mag laten met illegale activiteiten of activiteiten die schadelijk zijn voor het internal auditberoep of de organisatie. Objectiviteit De internal auditor moet de grootste mate van objectiviteit tonen bij het uitoefenen van zijn taak. De auditor maakt een evenwichtige afweging van alle relevante omstandigheden. Hij laat zich niet beïnvloeden door zijn eigen belangen of door anderen bij het vormen van zijn mening. 11 In 2008 zijn het IIA en de VRO (Vereniging van Register Operational auditors) gefuseerd. De VRO is vervangen door de Stichting VRO (Verenigde Register Operational auditors) welke ondermeer het register van RO-leden beheert. Functioneren en aansprakelijkheid van internal auditors in de theorie Aansprakelijkheid van internal auditors (14)