Internal audit in beursland
Waarom kiest een beursgenoteerd bedrijf voor een internal-auditafdeling. Of waarom juist niet, zoals tot voor kort diverse bouwondernemingen? 'Een eigen auditfunctie kan onverwachte tegenvallers voorkomen.'
Dit artikel is verschenen in Accountant Q1, 2015
Bekijk alle artikelen uit dit nummer
Zou elke beursgenoteerde onderneming verplicht een aparte internal-auditafdeling moeten hebben? Die vraag lijkt gerechtvaardigd na twee jaar met incidenten bij bedrijven op het vlak van fraude, boekhoudkundige malversaties en plotselinge tegenvallers bij grote projecten. De incidenten, met Imtech als meest aansprekende voorbeeld, zorgden voor een verslechtering van de resultaten en van de financiële positie van de ondernemingen. En niet zelden voor aanzienlijke vermogensverliezen bij aandeelhouders.
Frappant was dat bij een aantal van deze ondernemingen een internal-auditafdeling ontbrak. Het was dan ook niet verwonderlijk dat beleggers de afgelopen tijd aandacht vroegen voor de kwaliteit van de interne controle en voor risicomanagement in het algemeen. Onder meer de VEB stelde op aandeelhoudersvergaderingen kritische vragen aan ondernemingsdirecties. En Eumedion (institutionele beleggers) zette in haar jaarlijkse ‘speerpuntenbrief’ afgelopen herfst het onderwerp expliciet op de agenda.
Onderzoek
De discussie over wel of niet verplicht een internal-auditafdeling - of internal-auditfunctie (IAF), zoals de beroepsgroep het zelf steeds vaker noemt - is zeker niet nieuw. Bij de invoering van de Corporate Governance Code in 2003 werd het hebben van zo'n afdeling weliswaar als best practice opgenomen, maar omdat de code geen verplichtend karakter heeft, mogen ondernemingen er van afzien, mits ze dit uitleggen. Uit onderzoek van Accountant blijkt dat alle Nederlandse AEX-fondsen, tweederde van de midkap-bedrijven en een derde van de smallcaps (ASCX) wel aan deze best practice voldoen. Maar daar staat dus tegenover dat een derde van de midkap- en tweederde van de smallcap-ondernemingen de code niet toepast. Beleggersorganisaties VEB en Eumedion snappen dat kleine ondernemingen geen aparte auditafdeling opzetten. Ze zijn echter strenger voor grote bedrijven, die vaak complexer zijn en daardoor meer risico lopen. Een eigen IAF kan volgens hen onverwachte tegenvallers helpen voorkomen. Paul Koster (VEB) pleit er daarom voor dat AEX- en midkap-bedrijven verplicht een eigen internal-auditafdeling hebben. Rients Abma (Eumedion) vindt dat ondernemingen met veel activiteiten in het buitenland per definitie eigen internal auditors in dienst moeten hebben.
Onafhankelijke rol
De NBA (Ledengroep Interne en Overheidsaccountants) en het Instituut voor Internal Auditors (IIA), die in 2003 nog succesvol lobbyden voor een prominentere positie van de internal auditor in de Corporate Governance Code, zijn enerzijds teleurgesteld dat toch nog een flink aantal beursgenoteerde ondernemingen niet kiest voor een IAF. Zowel LIO-voorzitter Ingrid Doerga als IIA-voorzitter Vincent Moolenaar benadrukken de rol van internal audit. Doerga stelt dat een onafhankelijke toetsing van managementinformatie het zelfreinigend vermogen binnen een onderneming verbetert. Ook voor Moolenaar is de onafhankelijke positie van een IAF een kernpunt. Een directe lijn naar de ceo en naar de voorzitter van het audit committee zorgt er volgens hem voor dat dezelfde informatie over risicomanagement beschikbaar is bij zowel de eindverantwoordelijke voor het management van de onderneming, als ook bij diens toezichthouder.
Nieuwe afdelingen
Tegen deze achtergrond is het positief dat een aantal grotere ondernemingen, zoals Imtech, BAM Groep en Corio, in de afgelopen twee jaar een internal-auditafdeling heeft opgestart. Bij Imtech is dit direct gerelateerd aan de inmiddels welbekende onregelmatigheden in de laatste jaren. Het risicomanagement en de interne controle zijn door de Imtech-directie aanmerkelijk aangescherpt, met het oprichten van een IAF als belangrijk onderdeel daarvan. Ook de raad van commissarissen, die formeel beslist over wel of geen internal audit, achtte het vanuit risicoperspectief ‘zeer urgent’ dat er een auditafdeling zou komen.
BAM Groep liet tot 2013 de internal audit verzorgen door de externe accountant maar besloot in dat jaar toch een eigen operational auditor aan te stellen. De reden ligt in de verliezen op een aantal probleemprojecten als gevolg van te goedkoop inschrijven op deze projecten in relatie tot de risico's. Daarom intensiveerde de directie het risicomanagement onder meer met een eigen auditafdeling.
Derde defensielinie
Bij vastgoedbedrijf Corio verliep de aanstelling van de IAF min of meer volgens het boekje. Het audit committee vond het in 2013 “wenselijk” dat de directie een internal-auditafdeling opstartte die “de adequaatheid en effectiviteit van Corio's governance, risk management en internal controls” beoordeelt. Daarmee kiest het bedrijf, net als Imtech, voor de zogeheten third line of defence, een scope die in internal-auditland momenteel gebruikelijk is.
Grontmij tenslotte begon een internal-auditafdeling naar aanleiding van de ondernemingsstrategie ‘back on track’, waarin operational excellence een belangrijk onderdeel is en de verschillende landenorganisaties centraler worden aangestuurd. Matthijs van Renselaar, hoofd internal audit: “Grontmij wil de operationele processen en zaken als IT meer op één lijn krijgen. Zo willen we bedrijfsbreed verdere groei realiseren. Wij helpen bij het monitoren van dit traject en zorgen tegelijkertijd voor kennisdeling tussen de landenorganisaties en voor het verhogen van het risicobewustzijn in de organisatie.”
Beperkte omvang
Aan de andere kant van het spectrum staan de ondernemingen zonder internal-auditafdeling. Veel daarvan geven de beperkte omvang of geringe complexiteit van hun bedrijf als argument. Dat betekent niet dat ze geen aandacht besteden aan interne controle en risicomanagement. Veel jaarverslagen maken melding van ‘frequente rapportages’ en ‘korte interne lijnen’ die ervoor moeten zorgen dat de directie van de risico's op de hoogte is. Ook huren diverse bedrijven externen in om internal-auditwerkzaamheden te verrichten, bijvoorbeeld een accountantskantoor. Sommige laten de internal audit zelfs volledig uitvoeren door de eigen externe accountant, zoals technisch textielproducent Ten Cate (midkap).
Tussenvorm
Daarnaast laat een aantal bedrijven de eigen finance- en/ of controlafdeling audit- of auditachtige activiteiten doen. Een voorbeeld is detacheringsorganisatie Brunel (midkap), waar op de zes man sterke controlafdeling, drie auditors werken. De auditwerkzaamheden komen nagenoeg overeen met die van een aparte IAF, zegt cfo Peter de Laat. “Maar daarnaast werken ze ook aan de rapportage en controlling. We hebben recentelijk na een boekhoudincident deze afdeling sterk uitgebreid en vinden dit een goede manier voor de nieuwe mensen om snel kennis op te doen.”
Industrieel toeleverancier Kendrion (smallcap) werkt op een vergelijkbare manier. “Gezien onze beperkte schaal vinden we dit een goede opzet”, zegt group controller Jeroen Hemmen. “Bovendien kunnen we op deze manier vanuit de auditresultaten best practices verspreiden binnen het bedrijf. Incidenteel laten we ons ondersteunen door een big four accountantskantoor.”
Bij vastgoedfonds Vastned doet de afdeling Finance & Control audits bij Nederlandse en Europese vestigingen. Verder worden bepaalde onderwerpen, zoals audit op grote investeringen, uitbesteed aan een accountant, aldus financieel bestuurder Reinier Walta. Hoewel dat formeel als zodanig niet is vastgelegd, hebben de control-hoofden van Brunel, Kendrion en Vastned in de praktijk enkele keren per jaar contact met de raad van commissarissen.
‘Niet onafhankelijk’
Beleggers en internal-auditororganisaties reageren overwegend negatief op deze tussenvorm. Rients Abma (Eumedion) kan op zich nog met dit type oplossing leven wanneer de desbetreffende onderneming weinig activiteiten in het buitenland heeft of een lage complexiteit kent. “Is een onderneming complex dan is een aparte IAF onontbeerlijk. Deze afdeling moet volledig autonoom en duidelijk zichtbaar in de onderneming kunnen opereren.”
Paul Koster (VEB), zelf eind jaren negentig internal auditor bij Philips, stelt dat auditors van een finance- of controlafdeling te weinig gewicht hebben. “Wanneer een bij een werkmaatschappij internal audit over de vloer is, wordt dat ervaren als een serieuze test. Dit komt mede door de onafhankelijke positie en doordat de afdeling erkenning heeft van het bestuur en de commissarissen.” LIO en IIA wijzen erop dat finance- en controlafdelingen zich in de eerste twee ‘defensielinies’ bevinden en daardoor niet onafhankelijk genoeg zijn. “Een control-afdeling is toch vaak een verlengstuk van het bestuur”, vindt Ingrid Doerga (NBA-LIO). “Je mist in zo'n geval een waarborg voor de volledigheid, juistheid en objectiviteit van de informatie.”
Vincent Moolenaar (IIA) benadrukt dat de scheiding tussen internal control en internal audit helemaal vanzelfsprekend wordt in crisissituaties. “Onder dergelijke omstandigheden zullen de commissarissen willen ingrijpen en de internal-auditfunctie naar zich willen toetrekken en daarmee de onafhankelijkheid willen waarborgen. Een onderneming kan zich in zulke omstandigheden nu eenmaal niet een nieuwe misstap veroorloven. De vraag rijst wel of het dan geen mosterd na de maaltijd is.”
Verschillende sectoren
Het is geen verrassing dat alle financiële instellingen een aparte IAF hebben, aangezien dit verplicht wordt gesteld door toezichthouder DNB. Daarnaast blijkt uit het onderzoek van Accountant dat ook beursgenoteerde bedrijven in de sectoren chemie, voeding, uitgeverij/media en logistiek/bezorging alle een internal-auditafdeling bezitten.
Voor een aantal sectoren geldt een tweedeling: de grote ondernemingen hebben wel een auditafdeling, de kleine niet. Dit gaat bijvoorbeeld op voor automatisering/ICT, uitzending/detachering, vastgoed en groot-/detailhandel.
De enige sector zonder internal-auditfunctie is biotechnologie.
Opvallend is dat in de sectoren bouw, installatie en ingenieurs, ondernemingen een auditafdeling zijn gestart of hebben uitgebreid. Ingrid Doerga (NBA-LIO) wijst in dit verband op een twee jaar geleden verschenen NBA-rapport over governance, risk & compliance in de bouw. "De GRC werd beoordeeld als zeer zwak. Hierover zijn in de sector indringende gesprekken gevoerd. De urgentie is daar goed naar voren gekomen."
Start van eigen IAF
Hoe verloopt de start van een internal-auditafdeling in de praktijk? Waar worden accenten gelegd?
Bij Imtech viel de start van de eigen internal-auditfunctie samen met een grondige verbouwing van het zogeheten governance, risk, compliance-raamwerk. In de afgelopen twee jaar werd dit raamwerk geïmplementeerd, waarbij internal audit de voortgang monitort. Daarnaast zet financieel directeur Hans Turkesteen naar eigen zeggen de afdeling ‘risicogedreven’ aan het werk om zo risico's eerder boven tafel te krijgen, aansluitend bij de aangescherpte scope van de externe accountant die behalve op materialiteit ook op risico is gebaseerd.
De auditgroep van BAM monitort de effectiviteit en efficiency van de bedrijfsprocessen en de naleving van beleidsrichtlijnen en procedures. Daarnaast startte de afdeling een peer auditproces waarbij BAM-zusterondernemingen financieel en operationeel onderling worden vergeleken. Toch is de rol van internal audit bij BAM nog niet helemaal uitgekristalliseerd. “We zijn nog steeds bezig de afdeling te ontwikkelen en verder in te vullen en studeren nog op de gewenste omvang”, aldus een woordvoerder.
De auditafdeling van Corio volgde de in de beroepsgroep gebruikelijke route van het opstellen van een internal audit charter en een risico gebaseerd internal-auditplan, die vervolgens door het audit committee werden goedgekeurd. Bij Corio is één internal auditor werkzaam, die gebruik maakt van een auditpool: werknemers van andere afdelingen en business units die bij specifieke audits ondersteuning verlenen. Overigens is Corio begin dit jaar overgenomen door een Frans vastgoedbedrijf. Onduidelijk is nog wat dit voor de internal auditactiviteiten betekent.
Ook internal audit bij Grontmij telt maar één persoon. Auditor Matthijs van Renselaar werkt weliswaar samen met een aantal medewerkers uit de business die expertise leveren en soms helpen bij de audits, maar vindt de term auditpool daarvoor te sterk. In zijn eerste jaar legde hij de nadruk op het leren kennen van de organisatie. “Ik heb heel veel gesprekken gevoerd, niet alleen om kennis op te doen maar ook om uit te leggen wat ik kom doen en wat men aan mij heeft. Daarnaast ben ik direct ingesprongen op lopende projecten en heb ik een reguliere risicogebaseerde auditcyclus in gang gezet.”
Samenwerking met externe accountant
Op het eerste gezicht zou een internal-auditfunctie tot lagere accountantskosten kunnen leiden. De externe accountant kan immers voor een deel steunen op het werk van de IAF en hoeft dus minder zelf te doen. Toch hoeft dit niet altijd zo te zijn. Zo gaf Corio-cfo Ben van der Klift aan te verwachten dat de externe accountantskosten gelijk blijven, vooral vanwege de verschillende werkterreinen. Externe accountant: financial audit en internal audit: operational audit. Daarnaast is het de vraag of een-/tweepersoons afdelingen genoeg tijd hebben voor goede dossiervorming, een voorwaarde voor het kunnen steunen op het werk van internal audit.
Voor auditor Mathijs van Renselaar van Grontmij komt dit in elk geval nog te vroeg. “Voor goede dossiervorming heb je een grotere afdeling nodig. Dat is voor ons misschien iets voor de toekomst, nu is dit nog niet aan de orde. Ik deel weliswaar mijn informatie met de externe accountant, maar de scope van de jaarrekeningcontrole verandert dus niet.”
Verder wijzen het IIA en de NBA er op dat externe accountants niet mogen steunen op de auditresultaten die finance- en controlafdelingen met hen delen. Op grond van NV COS 610 zijn deze afdelingen hiervoor niet onafhankelijk genoeg.
Jeroen Hemmen, controller bij Kendrion, is zich hier van bewust. “Vanuit kostenoogpunt levert een aparte auditafdeling of volledige audit door gecertificeerde externe partijen voor ons te weinig op. Omdat Kendrion veel relatief kleine vestigingen heeft, wordt de gewone jaarrekeningcontrole niet heel veel kleiner.”
Voor Brunel is ‘richtlijn 610’ juist wel een reden om een internal-auditfunctie serieus te overwegen, zegt cfo Peter de Laat. “De scope van de externe accountant is nu breder dan strikt noodzakelijk, vanwege het ontbreken van een auditafdeling. Ik verwacht daarom dat onze audit door de controlgroep, zal uitgroeien tot een aparte IAF.”
Monitoringcommissie over internal audit
Eind januari 2015 verscheen de rapportage over boekjaar 2013 van de Monitoringcommissie Corporate Governance, met daarin enkele uitspraken over internal audit. Zo stelt de commissie vast dat een groot deel ondernemingen die geen IAF hebben, ook niet evalueren of een auditafdeling al dan niet wenselijk is. Terwijl dit wel een expliciete bepaling is in de corporate governance code. Verder signaleert de commissie dat de huidige code weinig aandacht besteedt aan de implementatie en effectiviteit van interne risico- en beoordelingssystemen Dit jaar komt de commissie met een herzieningsvoorstel voor de code, waarin ook dit aspect aan de orde komt. Ook de rol van de internal-auditafdeling wordt daarbij meegenomen.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...