De meerwaarde van de interne auditdienst voor het management IIA Voorjaarscongres Robert Vos 1
Vraag Kan een bedrijf ook zonder interne auditdienst in control zijn? 2 Robert Vos IIA Voorjaarscongres
Aandachtspunten (1) Code Tabaksblat veronderstelt een interne auditdienst (pas toe of leg uit) De Nederlandse Bank stelt een interne auditdienst vrijwel verplicht (Regeling Organisatie en Beheer) 3 Robert Vos IIA Voorjaarscongres
Aandachtspunten (2) Lijn: eerste line of defense Staf (controller): tweede line of defense Interne auditdienst: derde line of defense Externe accountant: vierde line of defense 4 Robert Vos IIA Voorjaarscongres
Onderzoek ministerie van Financiën (2007): de ontwikkelingen in de interne auditfunctie in het bedrijfsleven Onderzoeksvragen: Wat is de visie van het topmanagement in het bedrijfsleven op de meerwaarde van de IAF Wat is het taakgebied van de IAF Wat is de positionering van de IAF Hoe is het HRM beleid vormgegeven. 5 Robert Vos IIA Voorjaarscongres
Onderzoeksaanpak: Deskresearch Enquete Interviews Expertmeeting 6 Robert Vos IIA Voorjaarscongres
Omgeving interne auditfunctie in het bedrijfsleven Certificerende functie (wettelijke controle van de jaarrekening) overal uitbesteed aan de externe accountant. Code Tabaksblat schrijft een in control verklaring van de Raad van Bestuur voor over de adequaatheid en effectiviteit van de interne risicobeheersings- en controlesystemen. 7 Robert Vos IIA Voorjaarscongres
Meerwaarde IAD: visie Raad van Bestuur Ondernemen is risico nemen. Maar die risico s moeten wel beheerst worden. Uitgangspunt zijn onze strategische bedrijfsdoelstellingen. Wat zijn de kritische bedrijfsvoeringsprocessen voor die strategische bedrijfsdoelstellingen. Wat zijn de key controls om die kritische bedrijfsprocessen te beheersen. Ten aanzien van de beheersing van die key controls willen we assurance (onafhankelijk van lijn en staf). Daar ligt de meerwaarde voor ons van de IAD. 8 Robert Vos IIA Voorjaarscongres
Hoe worden die risico s beheerst (1) Gemeenschappelijke bedrijfsdoelstellingen en gemeenschappelijke kernwaarden Eigen verantwoordelijkheid, vertrouwen en collegialiteit. Competentiegericht benoemingenbeleid voor de topfuncties bij de decentrale maatschappijen. De juiste persoon met de juiste competenties op de juiste plaats. 9 Robert Vos IIA Voorjaarscongres
Hoe worden die risico s beheerst (2) Vastgestelde procedures en processen ( tight controls ). Zo weinig mogelijk: alleen wat voor de strategische doelstellingen nodig is om in control te zijn. Deze controls zoveel mogelijk integreren in de werkprocessen. Voorleggen van de grootste risico s (zoals omvangrijke investeringen) aan de Raad van Bestuur. Kwartaaloverleg tussen Raad van Bestuur en de decentrale maatschappijen. Daarin komen het realiseren van de bedrijfsdoelstellingen en de risico s/ bedreigingen (zowel realisatie als forecast ) uitvoerig aan de orde. Het gaat erom elkaar goed in de ogen te kijken. 10 Robert Vos IIA Voorjaarscongres
Welke rol ziet het topmanagement voor de interne auditdienst Primaire rol: assurance-verschaffer voor RvB op het gebied van interne beheersing/risicomanagement Daarnaast ook bijdragen aan verbeteren van de bedrijfsvoeringsprocessen (van politieagent naar businesspartner) Steeds meer pro-actieve adviesrol bij opzetten interne beheerssystemen 11 Robert Vos IIA Voorjaarscongres
Wat is het taakgebied van de interne auditdienst Alle IAD s doen onderzoeken naar risicomanagementsystemen/interne beheersingssystemen (generiek taakgebied). Specifieke taakgebieden sterk wisselend, afhankelijk van bedrijfssector en strategische doelstellingen topmanagement. Diepte van de onderzoeken sterk afhankelijk van risicoacceptatieniveau dat door het topmanagement bepaald is. 12 Robert Vos IIA Voorjaarscongres
Welke eisen stelt het topmanagement aan de taakuitoefening IAD Onderzoeken van de IAD moeten gedegen en betrouwbaar zijn. De IAD moet betrokkenheid hebben bij het bedrijf en de bedrijfsprocessen goed kennen ( knowing the business ). Onderzoeken moeten aansluiten op de risico s bij de key-processen Belangrijk zijn: inzicht in de interne verhoudingen en sociale en communicatieve vaardigheden. 13 Robert Vos IIA Voorjaarscongres
Welke bedrijven hebben geen interne auditdienst Lokale beursfondsen (AMS en AMX) en niet beursgenoteerde bedrijven hebben niet altijd een interne auditdienst. 14 Robert Vos IIA Voorjaarscongres
Reden om geen interne auditdienst te hebben Een interne auditdienst brengt extra lasten (extra schakels/extra afstemming) met zich mee waartegenover onvoldoende meerwaarde staat. Bedrijf te klein daardoor teveel versnippering en geringe carrièremogelijkheden/specialisatie 15 Robert Vos IIA Voorjaarscongres
Hoe wordt het ontbreken van interne auditdienst opgevangen Nadruk op primaire verantwoordelijkheid (lijn)management Accent op een goed systeem van interne beheersing door de controller (o.a. door gebruik te maken van het COSO model) De controller beoordeelt de naleving van de interne beheersingsmaatregelen als onderdeel van zijn monitoringstaak Indien nodig, externe inhuur. 16 Robert Vos IIA Voorjaarscongres
Vraag Kan een bedrijf ook zonder een interne auditdienst in control zijn? 17 Robert Vos IIA Voorjaarscongres