Internal audit draagt bij aan comfort van commissarissen

Vergelijkbare documenten
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

II. VOORSTELLEN VOOR HERZIENING

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Meerwaarde Internal Audit functie. 16 maart 2017

Internal Audit: cruciaal voor internal governance

Matrix Comply-or-Explain Code Banken 2017

Rollen in Risk Management

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Internal Audit Charter

REGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

REGLEMENT RISICOCOMMISSIE

S T R A T E G I C A D V I S O R Y

Reglement Raad van Toezicht Bijlage G: profielschets bestuurssecretaris Bijlage H: profielschets controller

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.

Reglement audit committee van de raad van commissarissen

Governance-eisen IORP2 vormen puzzel voor pensioenfondsen

Meer winst uit internal governance

Reglement audit committee

Corporate Governance - de rol van de accountant

RvC-verslagen geven weinig inzicht

Reglement remuneratiecommissie

Reglement Auditcommissie DUNEA N.V.

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V.

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart Algemeen

HOOFDSTUK 4: ROL EN VERANTWOORDELIJKHEDEN VAN DE AUDITCOMMISSIE

De onafhankelijke controlfunctie, gepositioneerd in de Three Lines of Defence

Implementatie Code Banken

Reglement risk committee van de raad van commissarissen

REGLEMENT AUDIT- EN COMPLIANCECOMMISSIE VAN LANSCHOT N.V. Vastgesteld door de RvC op 25 augustus 2014

Beheersing beheerst. Over risicogestuurde interne controle in het sociale domein

Rechtmatigheidsverantwoording Annemarie Kros RA (PWC) & Marieke Wagemakers RA (gemeente Uden)

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement )

REGLEMENT AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN VAN ACCELL GROUP N.V.

Februari Goed mkb-bestuur en accountant: een waardevolle combinatie

Montae kennissessie 4 juli Rob Kragten

Commissarissen Symposium

Auditcommissie Reglement 2016

PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

CONTROLSTATUUT STICHTING ANTARES WOONSERVICE

De meerwaarde van de interne auditdienst voor het management

CONTROLSTATUUT WOONSTICHTING SSW

Uitvoering van rechtstreeks verzekerde regelingen

Internal Audit Charter BNG Bank

ZELFEVALUATIE RvC. Good enough never is. Een moment om kansen voor verbetering te benutten ZELFEVALUATIE RAAD VAN COMMISSARISSEN

Praktijkhandreiking Voorlichtingsbijeenkomst 6 november 2012

VISIE OP TOEZICHT LAVERHOF

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Hoe groot was de appetite voor risk appetite?

AUTEUR Corporate Control VERSIE finale versie 31 oktober 2012 PAGINA 1 van 5. Audit Charter TenneT

Reglement remuneratiecommissie

Mogelijkheden zien waar niemand ze ziet. CPI Governance: pragmatische en transparante governance-oplossingen.

Compliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V.

intensieve traject wordt niets aan het toeval overgelaten. Bij de opdrachtgever begint dit met diepgaand

Doel Samenstelling en vergaderingen Taken en bevoegdheden Rapportage aan de RvC Diversen Herzieningstermijn...

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

Stichting Achmea Algemeen Pensioenfonds

Strategisch Risicomanagement

Profielschets voorzitter Raad van Toezicht

Controlstatuut Havensteder

Uitvoering van rechtstreeks verzekerde regelingen

Compliance Charter. a.s.r

Remuneratierapport 2014 Loyalis N.V.

REGLEMENT VAN DE RAAD VAN COMMISSARISSEN VAN BEVER HOLDING N.V.

Implementatie Code Banken

Uitbestedingsbeleid 2015

EIOPA ontwierp een vliegtuig

Internal Audit Charter De Nederlandsche Bank

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

Remuneratierapport 2015 Loyalis N.V.

REGLEMENT AUDIT- EN COMPLIANCECOMMISSIE

Uitvoering van rechtstreeks verzekerde regelingen

Reglement HR commissie van de raad van commissarissen

Welkomstwoord. Leen Paape. - Hoogleraar Corporate Governance - Voorzitter van het Nyenrode Corporate Governance Instituut

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Incompany Masterclasses voor commissarissen van woningcorporaties. Advies voor bestuur, toezicht en stakeholders

REGLEMENT AUDITCOMMISSIE VAN DE RAAD VAN TOEZICHT ROC RIVOR

Internal Audit Univé en de relatie met de Auditcommissie(s) Janneke Dijsselhof. PAS-conferentie Close the Gap 3 december 2015

IORP II Meer toegevoegde waarde uit sleutelfuncties

(10 spatie s) voette kst wijzig en via Invoeg en Kopte kst en voette kst TOEZICHT ONDER SOLVENCY II

Wim Eysink Deloitte IIA Raad van Advies. Voorstellen herziene Corporate Governance Code

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Reglement. Auditcommissie Raad van Commissarissen Mn Services N.V.

Verzekeringsmiddag 16 december Breakout sessie: Eigen Risico Beoordeling. Annemieke Hartendorp, Leo Pijnenburg

Corporate Governance Reglement

Reglement van de auditcommissie van Stadgenoot

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

INTERN REGLEMENT VAN HET AUDITCOMITÉ

Risk & Compliance Charter Clavis Family Office B.V.

INTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN

No Risk No Glory? k(no)w risks, k(no)w FUN, k(no)w opportunities, k(no)w future!

Hoofdlijnen Corporate Governance Structuur Stek

Mandaat van het Auditcomité

drs. Martine Koedijk RA RE Gemeenteaccountant Amsterdam Directeur auditdienst ACAM

Governancestructuur WonenBreburg. januari 2012, geactualiseerd augustus 2015

Pensioenfonds DSM Nederland

Raad van commissarissen

Transcriptie:

Spotlight Internal audit draagt bij aan comfort van commissarissen Jan Driessen - Risk Assurance Services, Assurance Bas Wakkerman - Risk Assurance Services, Assurance Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie. Bestuurders zien alternatieven om deze toetsende functie elders binnen de organisatie te beleggen. 1. Meer winst uit internal governance Het hebben van een internal-auditfunctie is voor veel organisaties in Nederland niet verplicht. Wel moet, volgens de Nederlandse corporate governance code die geldt voor beursgenoteerde ondernemingen, het audit committee jaarlijks evalueren of er behoefte is aan een internal-auditfunctie. Aan de hand van deze evaluatie doet de raad van commissarissen (rvc) een aanbeveling aan de raad van bestuur (rvb) en neemt deze aanbeveling op in het verslag van de rvc. Daarbij kan de vraag gesteld worden wat de meerwaarde is van een internal-auditfunctie in de besturing, de beheersing, het toezicht houden en de verantwoording van een organisatie. De opvattingen en overwegingen zijn op basis van dertien gesprekken met commissarissen en bestuurders van verschillende grotere organisaties (meer dan 250 werknemers) en sectoren (financiële instellingen, productie, retail, bouw en overheid) door ons onderzocht. Bij organisaties die geen internal-auditfunctie kennen, is onderzocht hoe zij de ontbrekende derde line of hebben Paradox: inschatting meerwaarde internal-auditfunctie verschilt per sector In de praktijk zien we een interessante paradox. Sommige beurs genoteerde bedrijven kiezen er bewust voor om geen internal-auditfunctie in te richten, terwijl het voor banken en verzekeraars juist verplicht is om een internal-auditfunctie te hebben. Organisaties kunnen dus bewust afzien van een internal-auditfunctie, terwijl het in andere sectoren is opgelegd. Dit betekent dat de (meer)waarde van een internal-auditfunctie kennelijk verschillend wordt ervaren door bestuurders en toezichthouders. Samenvatting Het hebben van een internal-auditfunctie is voor veel organisaties niet verplicht. In de praktijk zien wij een interessante paradox. Sommige - zelfs beursgenoteerde - bedrijven kiezen er bewust voor om geen internalauditfunctie in te richten, terwijl het in de financiële sector verplicht is om een internal-auditfunctie te hebben. Uit gesprekken met bestuurders en commissarissen komen deze verschillende opvattingen terug. Vooral bestuurders zien voldoende alternatieven om de toetsende functie van internal audit binnen het three lines of -model anders in te richten. Zij geven aan dat de internal-auditfunctie, volgens dit model als derde lijn aangeduid, ook door de eerste, tweede of zelfs vierde lijn ingevuld kan worden. Commissarissen hechten duidelijk(er) meer waarde aan een zelfstandige internal-auditfunctie, vooral als een onafhankelijke en extra waarborg binnen de internal governance. ingericht en of dit toereikend is in het internal-governancesysteem. Bij organisaties die wel over een internal-auditfunctie beschikken, is nagegaan wat de waarde van deze functie voor bestuurders en commissarissen is. Uit ons onderzoek blijkt duidelijk dat hun opvattingen verschillen. Commissarissen hechten meer waarde aan een zelfstandige internal-auditfunctie, terwijl bestuurders andere alternatieven werkbaar achten. Deze bevindingen hebben geresulteerd in de rapportage Meer winst uit internal governance, waarop dit artikel is gebaseerd. Voor het rapport verwijzen wij naar www.pwc.nl/nl/publicaties/ meer-winst-uit-internalgovernance.jhtml. 31

32 Spotlight Jaargang 22-2015 uitgave 2

Figuur 1 Het model van de three lines of Raad van Commissarissen/Audit Committee Raad van Bestuur Business unit management Risk, Control, Quality, Compliance, Legal, HR,... Internal Audit First line of Second line of Third line of 2. Internal audit is wel belangrijk, maar niet heilig Het uitgangspunt voor de vraagstelling over de meerwaarde van de internal-auditfunctie is het three lines of -model. Dit model is gangbaar voor de inrichting van de internal governance van organisaties en wordt geïllustreerd in figuur 1. Het lijnmanagement is verantwoordelijk voor het ondervangen van risico s In dit model geldt dat, gegeven de strategie en het beleid dat de rvb heeft geformuleerd, het lijnmanagement als eerste aan zet is. Het lijnmanagement treft maatregelen en voert deze uit om de risico s en kansen adequaat te beheersen respectievelijk te realiseren. Met andere woorden, het lijnmanagement is verantwoordelijk voor het inrichten en functioneren van het systeem van interne beheersing. Tweede linie adviseert en ondersteunt het management De tweede linie heeft specifiek als rol het lijnmanage ment te adviseren en te ondersteunen bij de realisatie van de strategie en het ontwerpen, inrichten en laten werken van de beheersmaatregelen. Er zijn verschillende redenen om een tweede line of in te richten: De bedrijfsvoering vereist specifieke expertise. Een tweede line of werkt efficiënter. De continuïteit kan beter worden gewaarborgd. Voorbeelden van dergelijke tweedelijnsafdelingen zijn Compliance, Risicomanagement en HR. Een afdeling Risicomanagement kan het lijnmanagement faciliteren tijdens de uitvoering van risk assessments, adviseren over de risicobereidheid (risk appetite), de kans van optreden van het risico, de mogelijke impact van een risico dat zich voordoet, de strategieën om met die risico s om te gaan en het beheren van het organisatiebrede risicoregister. Internal audit geeft zekerheid over de effectiviteit van beheersingsmaatregelen De derde line of betreft de internalauditfunctie. De internal-auditfunctie verstrekt het lijnmanagement, de rvb en het audit committee informatie over de opzet, het bestaan en de werking van het systeem van interne beheersing en beoordeelt daarmee samenhangend of de risico s op een effectieve en efficiënte wijze worden beheerst. Dat houdt in dat, naast het functioneren van de eerste lijn, ook de activiteiten van de tweede line of onderdeel vormen van de reikwijdte van de internal-auditfunctie. 3. Alternatieven voor de derde line of In de praktijk is het three lines of -model een dominant governanceprincipe geworden. Dit geldt in het bijzonder voor de financiële sector, waarvoor het Basel Committee het model als guidance heeft opgenomen. Maar ook in andere sectoren zien wij dat dit model steeds breder wordt toegepast. Dat het three lines of -model echter niet heilig is, bleek duidelijk uit de gesprekken met bestuurders en commissarissen. Zij geven aan dat bij organisaties waar geen afzonderlijke internal-auditfunctie aanwezig is voldoende alter natieven bestaan om toch tot een adequate internal governance te kunnen komen. Aan de hand van de gevoerde gesprekken worden de volgende alternatieven voor de (invulling van de) derde line of onderscheiden: de rvb die vanuit zijn eigen expertise een aanvullende kritische toetsende rol vervult binnen het systeem van internal governance; het lijnmanagement (eerste lijn) dat vooral binnen een projectmatige organisatiestructuur zelfstandig verantwoordelijk is voor de invulling van zijn internal governance, daarbij vaak ondersteund én kritisch bevraagd door sterke hoofdkantoorfuncties ; de controlfunctie (tweede lijn) die vooral door de toegenomen professionaliteit van businesscontrollers ingezet wordt als een extra onafhankelijke en kritische blik richting de vaak complexe business; 33

de externe accountant ( vierde lijn ), vooral als een efficiënter en effectiever alternatief voor de internal-auditfunctie als het gaat om het uitvoeren van financial of IT-controlewerkzaamheden in het kader van de jaarrekeningcontrole. Alternatieven bieden voordelen De keuze voor genoemde alternatieven is binnen de specifieke context en achtergrond vaak logisch verklaarbaar. In de praktijk bestaan er dus goede mogelijkheden om de three lines of anders in te richten. Wel wordt een onafhankelijke internalauditfunctie steeds vaker het dominante governanceprincipe en is het in de financiële sector zelfs verplicht. Daarbij heeft een afzonderlijke en zichtbare internalaudit functie duidelijke voordelen ten opzichte van de hiervoor genoemde alternatieven, vooral wat betreft kwaliteitsborging, professionaliteit en onafhankelijkheid. Deze aspecten zijn daarmee logischerwijs onderscheidend van de andere alternatieven voor een duidelijke derde line of. 4. Commissarissen waarderen de internal-auditfunctie meer dan bestuurders Een duidelijke uitkomst van het onderzoek is dat de geïnterviewde commissarissen meer waarde hechten aan een internal-auditfunctie als derde line of dan de ondervraagde bestuurders. Deze verschillende opvattingen sluiten goed aan bij de bevindingen uit het jaarlijkse PwC-onderzoek naar de state of the internal audit profession. Uit dit onderzoek over 2014 bleek dat 68 procent van de commissarissen significante waarde hecht aan de internal-auditfunctie, terwijl dit slechts geldt voor minder dan de helft van de bestuurders. Bestuurders hebben veelal korte lijnen met de werkvloer, veel gevoel voor de business en weten hoe hun mensen werken. Praktisch gezien maakt het voor bestuurders vaak niet uit of de toetsing van de interne beheersing door andere lines of plaatsvindt dan de internal-auditfunctie. Steeds meer behoefte aan onafhankelijke informatie over internal governance Commissarissen staan vanzelfsprekend verder af van de dagelijkse praktijk binnen de organisatie dan bestuurders maar hebben wel steeds meer behoefte aan onafhankelijke informatie over de internal governance. Dit komt mede door de veranderende rol van de commissaris. De druk op hen neemt toe en vele partijen kijken over hun schouders mee. Commissarissen zijn voor hun informatievoorziening sterk afhankelijk van de rvb, terwijl zij ook behoefte hebben aan onafhankelijke en zichtbare toetsing. Rapportages van een objectieve en professionele internal-auditfunctie dragen bij aan hun comfort. De internal-auditfunctie is een natuurlijke ingang in de organisatie en voorziet commissarissen daarmee van extra ogen en oren. Daarom hebben tegenwoordig interne auditors steeds vaker een een-op-eenoverleg met het audit committee. Het is wel belangrijk dat de rvb de primaire ontvanger van auditrapportages blijft. Rechtstreekse rapportage aan de commissarissen buiten de rvb om is in de praktijk alleen mogelijk bij de noodzaak tot escalatie of als het bestuursaangelegenheden betreft. Het is daarom belangrijk dat deze rapportage- en communicatielijnen in het audit charter geregeld zijn. 5. Een lastige functie door het bedienen van verschillende klanten In theorie is het relatief simpel: de internal-auditfunctie heeft als derde line of een onafhankelijke positie binnen de organisatie met een hiërarchische lijn naar de rvb en een dotted line naar de rvc. In de praktijk Figuur 2 Positie internal-auditfunctie: theorie versus praktijk Theorie Praktijk RvC / AC RvC / AC RvB Externe toezichthouders Externe toezicht houders Interne auditfunctie RvB Lijnmanagement Interne auditfunctie Lijnmanagement 34 Spotlight Jaargang 22-2015 uitgave 2

echter wordt de internal-auditfunctie door verschillende belanghebbenden benaderd, wat kan leiden tot lastige keuzes. In figuur 2 zijn beide situaties, theorie én praktijk, naast elkaar afgebeeld. In de praktijk moet de internal-auditfunctie, naast de rvb als reguliere opdrachtgever, aansluiting houden met het lijnmanagement. Het lijnmanagement moet de risico s beheersen en heeft soms specifieke verzoeken aan de internal-auditfunctie. Daarnaast ziet de rvc, zoals hiervoor al aangegeven, de internal-auditfunctie meer en meer als natuurlijke gesprekspartner om de informatie, die hij van de rvb heeft ontvangen, te kunnen wegen. Ten slotte leggen toezichthoudende instanties, vooral in de financiële sector, steeds meer opdrachten (in)direct neer bij de internal-auditfunctie. Het is dan aan de internal-auditfunctie om een goede balans te vinden en deze vier klanten adequaat te bedienen. Kortom, anders dan in de theorie waarin de internal-auditfunctie maar één formele opdrachtgever heeft, is het in de praktijk soms lastig om vier belang - hebbenden goed te bedienen. Niet alleen het vinden van de juiste balans tussen de verschillende belanghebbenden is lastig, ook het vinden en behouden van het hoofd Internal Audit zelf is lastig. Volgens de bestuurders en commissarissen is bestuurlijke sensitiviteit daarbij een belangrijke competentie, naast vanzelfsprekend diepgaande kennis van auditing en de business. Vooral aan de bestuurstafel is het belangrijk om breder te kijken dan alleen maar naar de harde feiten en koele cijfers. De van origine inhoudelijk georiënteerde auditors hebben volgens de geïnterviewde bestuurders en commissarissen soms moeite om los te komen van de auditbevindingen en vinden het lastig om het management en de rvb te voorzien van gerichte adviezen over procesoverstijgende, organisatiebrede zaken. Wellicht beschouwen bestuurders daarom het hoofd Internal Audit niet als hun meest geschikte strategisch adviseur binnen de organisatie. 6. Conclusie: opvattingen over internal-auditfunctie lopen uiteen Over smaak valt te twisten, maar ook over de waarde van de internal-auditfunctie hebben bestuurders en commissarissen verschillende opvattingen. Beide groepen beschouwen de internal-auditfunctie als een belangrijke bouwsteen binnen de internal governance, maar alternatieven binnen het three lines of - model kunnen volgens bestuurders eveneens goed werken. Daarmee is dit gangbare model voor de inrichting van internal governance geen automatische grondslag voor een onafhankelijke internal-auditfunctie. Dit betekent voor internal auditors, en vooral voor hun leidinggevenden, dat zij hun meerwaarde nog duidelijker moeten bewijzen om te voorkomen dat ze vooral als een verplichte functie beschouwd worden. In onze eigen woorden: Internal Audit Matters, however the internal audit function differs. 35

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback