Voor verbetering vatbaar
Hoe functioneren audit committees in de praktijk? Zijn ze voldoende onafhankelijk en toegerust voor hun taak? En hoe verloopt het belangrijke contact met de IAD? Enkele verrassende resultaten uit het IIA-benchmarkonderzoek 2003/2004.
Dit artikel is verschenen in de Accountant nr. 8, 2005
Bekijk alle artikelen uit dit nummer
Hans van Hoogenhuijze en Elsbeth Prins
Audit committee en interne accountantsdienst
Het Institute of Internal Auditors (IIA), de honderdduizend leden tellende internationale beroepsvereniging van interne accountants, stelt haar leden een benchmark-instrument ter beschikking ter vergelijking van de positie en werkwijze van interne audit-diensten (IAD’s). Hierin wordt onder meer aandacht geschonken aan het functioneren van audit committees, inclusief hun contact met IAD’s. Ook Nederlandse bedrijven en instellingen maken hier gebruik van. De resultaten voor Nederland - die de situatie weerspiegelen rond de jaarwisseling 2003/2004 vertonen soms opmerkelijke verschillen met de resultaten wereldwijd.
Hoewel de bevindingen uitsluitend betrekking hebben op organisaties met een IAD en dus niet zonder meer gelden voor audit committees in het algemeen, is er geen reden om aan te nemen dat de gesignaleerde tekortkomingen wezenlijk anders zullen liggen in organisaties zonder IAD.
Belangrijke toezichtrol
Bij het opstellen van regels voor corporate governance gaan de internationale regelgevers er over het algemeen vanuit dat een onderneming beschikt over een audit committee. Dit comité speelt een belangrijke rol bij het toezicht op het systeem van interne controle. Ook de Nederlandse commissie Tabaksblat noemt als eerste taak van het audit committee ‘het toezicht op het bestuur ten aanzien van de werking van de interne risicobeheersings- en controlesystemen’. Daarnaast bestaat de toezichthoudende rol van het comité uit het monitoren en evalueren van de effectiviteit van de interne audit-afdeling.
Andersom moeten interne audit-afdelingen het audit committee van informatie voorzien over de interne beheersing in de organisatie. De New York Stock Exchange stelt dit nadrukkelijk in haar corporate governance rules. Het audit committee kan voor haar taakvervulling dus gebruikmaken van de kennis en producten van de IAD.
Weinig audit committees
Uit de enquête blijkt allereerst dat lang niet alle deelnemende Nederlandse organisaties beschikken over een audit committee of een daarmee vergelijkbaar orgaan. Dit is onder de Nederlandse deelnemers veel minder dan wereldwijd het geval is (zie tabel). Dit gegeven verbaast des te meer omdat het hier gaat om organisaties die de interne controlefunctie wel zo belangrijk vinden dat er een IAD is ingericht.
De verschillen tussen de drie in het onderzoek onderscheiden sectorgroepen zijn overigens groot: de overheids-IAD’s beschikken alle over een audit committee, terwijl de branches Handel, industrie en dienstverlening, en de Financiële instellingen niet verder komen dan respectievelijk tien en 33 procent.
Onafhankelijke leden
Een tweede opvallend aspect betreft de samenstelling van het audit committee. Voor een effectief toezicht op het bestuur is onafhankelijkheid van belang. De leden van het audit committee moeten in staat zijn vrijuit kritisch te oordelen over het wel en wee van de interne controle. Een middel daartoe is het opnemen van onafhankelijke outsiders in het comité.
Daarom is in het onderzoek de vraag opgenomen of er minstens drie onafhankelijke outside directors deel van uitmaken. Dit blijkt bij slechts de helft van de Nederlandse deelnemers het geval, tegenover wereldwijd 74 procent. Ook op dit punt verschillen de Nederlandse sectorgroepen overigens onderling aanzienlijk.
Onderlinge bijeenkomsten
Een derde opvallende bevinding is dat een deel van de Nederlandse organisaties weliswaar over een audit committee zegt te beschikken, maar dat dit nooit onderlinge bijeenkomsten belegt, ook al is dit uiteraard geen overbodige luxe. Zes procent houdt nooit eigen bijeenkomsten. In de branche Handel en industrie is dat zelfs twintig procent (zie tabel). Het meest gebruikelijk zijn meetings eenmaal per kwartaal (62 procent) of per halfjaar (24 procent). De audit committees van de deelnemende overheidsinstellingen komen het vaakst bijeen: 83 procent elk kwartaal.
Audit committee charter
Tot slot ontbreekt in zestien procent van de organisaties met een audit comittee een geschreven audit committee charter. Daar kleven gevaren aan. Enerzijds geeft het verhoogde kans op het ontbreken van een eenduidig en gezamenlijk beeld van de taken en verantwoordelijkheden, met mogelijk nadelige gevolgen voor het functioneren. Anderzijds is het voor de belanghebbenden, zoals aandeelhouders, lastiger om de leden van het comité aan te spreken op eventueel gebrekkig toezicht.
Op basis van de enquêteresultaten kunnen voor een aantal organisaties vraagtekens worden gesteld bij de mate waarin het audit committee als belangrijk orgaan is erkend en geëquipeerd voor haar rol als toezichthouder.
Vertrouwelijk contact
Om de informatie-uitwisseling over interne beheersing en compliance naar behoren te laten verlopen is een goede communicatie tussen audit committee en interne accountantsdienst noodzakelijk. De IAD rapporteert aan het audit committee en moet zonodig vertrouwelijk overleg kunnen voeren met de leden daarvan. Hier doen zich enkele opvallendheden voor, die vragen doen rijzen over het functioneren van het audit committee bij de deelnemende organisaties.
In de eerste plaats vindt bij een groter dan verwachte groep Nederlandse deelnemers in het geheel geen rapportage van de IAD aan het audit committee plaats, wereldwijd is dat twee procent (zie tabel). In zo’n geval lijkt het lastig te aan een norm als ‘het doorlopend voorzien van het audit committee van beoordelingen van risicomanagement processen en van het systeem van interne controle’.
Daar komt bij dat bij een aantal van de organisaties in Nederland géén vertrouwelijk overleg tussen het hoofd van de IAD en het audit committee mogelijk is of is toegestaan (zie tabel). In de branche Handel, industrie en dienstverlening is dit zelfs twintig procent.
Ruim éénderde van de deelnemers heeft alléén op verzoek een vertrouwelijk overleg met het audit committee. Bij bijna de helft ontmoet de audit committee-leden het hoofd IAD in principe dus alleen in aanwezigheid van het management. Het is de vraag of het audit committee in zo’n situatie voluit haar verantwoordelijkheid kan dragen.
Verbazingwekkend
Voor wat betreft de inhoud van de communicatie met het hoofd IAD blijkt een meerderheid van de audit committees geïnteresseerd in het oordeel over het risicobeheersingssysteem (66 procent) en de risicobeheersing (zestig procent), overeenkomstig de taken en verantwoordelijkheden die het comité volgens de regelgeving heeft. Wat echter verbaast is dat niet álle audit committees deze interesse tonen, terwijl de oordelen van de IAD toch kunnen dienen als een belangrijke maatstaf voor de werking daarvan.
Wanneer we kijken naar andere informatie-uitwisseling tussen de hoofden van de IAD en het audit committe, bijvoorbeeld over de IAD zelf, dan blijkt gemiddeld 78 procent van de audit committees zich te buigen over de mate waarin het audit-plan gereed is. Met andere woorden: gemiddeld zijn meer audit committees geïnteresseerd in de mate waarin het audit-plan gereed is dan in het IAD-oordeel over (het systeem van) risicobeheersing.
Tegen het licht
De resultaten van de IIA Benchmark rechtvaardigen de conclusie dat het in meer gevallen een audit committee in het leven zou moeten worden geroepen en dat de intensiteit en inhoud van de communicatie tussen die comités en de hoofden IAD tegen het licht zou moeten worden gehouden.
Nu aan deze toezichthoudende organen een toenemend belang wordt gehecht, is het van belang dat zij op een praktische wijze álle ter beschikking staande bronnen aanboren en gebruiken.
Noot
Hans van Hoogenhuijze is voorzitter van de werkgroep van IIA Nederland die de jaarlijkse benchmark-ronde organiseert, Elsbeth Prins is als internal auditor werkzaam bij AXA. Zij schrijven dit artikel op persoonlijke titel.
IIA-benchmarkonderzoek GAIN 2003/2004
Een sterk punt van het GAIN-onderzoek is dat de gebruikers zelf peers kunnen aanwijzen (minimaal tien deelnemers, om de anonimiteit te waarborgen) of peer-groepen (specialty groups) kunnen vormen.
IIA Nederland hanteerde in 2004 vier groepen, één voor Nederland als geheel en drie aparte:
- Financials (27 deelnemers, waaronder alle grote multinationals)
- Overheid (dertien deelnemers, ofwel de volledige centrale overheid)
- Handel, industrie en dienstverlening (dertien deelnemers, naast grote multinationals ook enkele kleinere ondernemingen)
Het zal duidelijk zijn dat met deze deelnemers géén gemiddeld beeld over de Nederlandse ondernemingen wordt verkregen. Daarvoor is de groep Handel, industrie en dienstverlening te sterk ondervertegenwoordigd.
De deelnemers ontvangen hun eigen gegevens en die van drie van de gekozen specialty group(s) in de vorm van tabellen en diagrammen. Voor de Nederlandse deelnemers wordt, een jaarlijkse benchmark-dag georganiseerd, waar de bevindingen van de verschillende specialty groups worden gepresenteerd, zodat een algemeen Nederlands beeld ontstaat.
Dit artikel is gebaseerd op het onderdeel ‘audit committee’ van deze presentatie.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...