Eumedion: beursbedrijven willen geen rol internal audit bij majeure fusies en overnames
Directies en commissarissen van beursgenoteerde bedrijven willen over het algemeen niet dat de eigen internal auditafdeling vooraf een advies geeft over grote overnames of fusies. Ook de relatie en wisselwerking tussen de externe accountant en de IAF is voor beleggers vaak onduidelijk.
Lieuwe Koopmans
Dit stelde Eumedion-directeur Rients Abma 27 mei 2015 tijdens een presentatie op de jaarvergadering van het Instituut van Internal Auditors in Amsterdam. In de presentatie schetste Abma de voorlopige onderzoeksbevindingen en conclusies naar aanleiding van de speerpuntenbrief 2015. In deze brief pleit Eumedion, een koepelorganisatie voor institutionele beleggers op het gebied van corporate governance en duurzaamheid, voor een prominentere rol voor de internal auditfunctie (IAF), onder meer bij majeure overnames.
'Directies vinden een grote overname of fusie een puur strategisch onderwerp.'
Abma: "Het gaat dan vaak om een potentieel flinke wijziging van het risicoprofiel van de onderneming. Wij vinden dat de IAF daar vooraf serieus naar moet kijken. Zijn de governancestructuur en het risicomanagement van het 'doelwit' bijvoorbeeld wel op orde?" De beleggersorganisatie gaat niet zover dat zij het oordeel van de internal auditor wil lezen, maar wil er wel van verzekerd zijn dat de directie en de commissarissen er kennis van hebben genomen voordat het definitieve besluit over de overname of fusie is gevallen.
Directies en commissarissen reageren echter afwijzend op dit voorstel, ondervond Abma in gesprekken in de afgelopen maanden. "Ze vinden in meerderheid een grote overname of fusie een puur strategisch onderwerp en zien bij dit type beslissingen geen rol voor internal audit. Bovendien zijn ze huiverig voor een formeel oordeel van de IAF over een dergelijk besluit."
Wisselwerking IAF en accountant onduidelijk
Een andere conclusie uit het Eumedion-onderzoek is dat de relatie en wisselwerking tussen de externe accountant en de IAF voor beleggers vaak onduidelijk is. Abma: "Je zou bijvoorbeeld verwachten dat een externe accountant bij een onderneming mét een IAF een significant lagere materialiteitsgrens hanteert vergeleken met een bedrijf zonder internal audit. Dit bleek niet het geval.
Ook is niet helder of de scope van de accountantscontrole breder is bij een onderneming zonder IAF." Dit doet volgens Abma de vraag rijzen of er wel voldoende communicatie is tussen de externe accountant en de internal auditor. "In de jaarverslagen wordt er in elk geval weinig over gerapporteerd."
Reactie internal auditors
In reactie hierop stelde een aantal aanwezige leden van het Instituut van Internal Auditors (IIA) dat internal auditors en externe accountants over het algemeen goed samenwerken. IAF's delen hun eigen onderzoeksresultaten met de externe accountant en beide partijen stellen vaak samen de management letter op.
De IIA-leden erkenden dat dit vaak te weinig zichtbaar is. Abma gaf als suggestie om in het jaarverslag expliciet te maken op welke manier internal audit en de externe accountant met elkaar samenwerken, zoals bij het opstellen van de management letter.
'Er is een mismatch tussen wat de externe accountant en wat institutionele beleggers belangrijk vinden.'
Abma toonde zich verder teleurgesteld over het feit dat bij slechts een kwart van de onderzochte ondernemingen de effectiviteit van de interne risicobeheersing voor de externe accountant een zogeheten key audit matter was. "Bij een onderwerp als goodwill ligt dit percentage dubbel zo hoog. Wij hadden dit graag andersom gezien. Het laat wat ons betreft een mismatch zien tussen wat de externe accountant en wat institutionele beleggers belangrijk vinden. Daarnaast is bij bedrijven zonder IAF de interne risicobeheersing niet vaker een key audit matter voor de accountant, terwijl dit toch wel voor de hand zou liggen."
Aandacht voor werkzaamheden
Positief is Eumedion over de aandacht in de jaarverslagen aan de werkzaamheden van internal audit en aan de autonome positie van de IAF in de onderneming. Verder viel het Abma op dat IAF's in het afgelopen jaar veel aandacht hadden voor onderwerpen als integriteit, fraude- en corruptierisico's en gedragscodes. Daarnaast onderzochten veel IAF's de interne databeveiliging en andere IT-risico's en monitoren zij de maatregelen die ondernemingen op dit gebied nemen.
Geen internal audit
Abma constateert verder dat ondernemingen zonder IAF in de meeste gevallen in het jaarverslag vervangende maatregelen beschrijven. "Internal audit wordt dan bijvoorbeeld verzorgd door de eigen externe accountant of door een accountant van een andere accountantsorganisatie. Bij sommige bedrijven is Group Control verantwoordelijk voor internal audit."
'De relatie en wisselwerking tussen de externe accountant en de IAF is voor beleggers vaak onduidelijk.'
Toch vindt Abma het moeilijk om helder te krijgen of deze alternatieven het ontbreken van een eigen IAF voldoende compenseren. "Positief is wel dat de onderneming in elk geval serieus over het onderwerp heeft nagedacht. Voor ons is het in zo’n geval niet direct een zorgpunt."
Er zijn ook negatieve uitzonderingen zonder IAF en zonder vervangend alternatief, benadrukt de Eumedion-directeur. "Dan gaat het niet alleen om kleine bedrijven maar ook om ondernemingen die regelmatig acquisities plegen en dus mogelijk extra risico's in huis halen. Een voorbeeld is Aalberts, nota bene een AEX-onderneming. Het is jammer dat de onderneming niet goed duidelijk maakt welke vervangende maatregelen zij heeft voor de IAF."
Eumedion publiceert de definitieve onderzoeksresultaten en conclusies naar verwachting eind juni 2015.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...