IAD-test in acht vragen
Commissarissen steunen bij hun toezicht mede op informatie van de interne auditafdeling. Hoe moeten zij het functioneren van die IAD beoordelen? Een ‘meetinstrument’ in acht stappen. Plus de feitelijke situatie.
Dit artikel is verschenen in de Accountant nr. 9, 2006
Bekijk alle artikelen uit dit nummer
Elsbeth Prins en Hans van Hoogenhuijze
De raad van commissarissen staat er bij het verrichten van zijn toezichthoudende taak niet alleen voor. Door gebruik te maken van de verschillende informatiebronnen zal ze proberen een zo volledig mogelijk beeld te vormen van de mate waarin een organisatie in control is. Een van die bronnen is de interne auditafdeling (IAD). Hoe moet een raad van commissarissen het functioneren van zo’n IAD beoordelen en beheersen?
De door het Institute of Internal Auditors (IIA) uitgevaardigde richtlijnen voor interne auditors zijn zodanig opgesteld dat de auditfunctie optimaal kan bijdragen aan het vervullen van de taken en verantwoordelijkheden van de commissarissen. In de IIA-publicatie Internal Audit Standard: why the matter is een systematisch overzicht gegeven van de verantwoordelijkheden van het audit committee en de toepasselijke regelgeving die kan worden gehanteerd bij het beheersen van een IAD. IIA gaat daarbij uit van acht verantwoordelijkheden die een raad van commissarissen of, in het verlengde daarvan, een audit committee heeft in de richting van een IAD, en geeft aan welke regelgeving op die punten voor internal auditors van toepassing is.
In het hiernavolgende worden deze acht aspecten in hoofdlijnen uitgewerkt, steeds gevolgd door informatie over de feitelijke situatie zoals deze blijkt uit de resultaten van het internationale GAIN-benchmark-onderzoek over 2004.
IAD-charter
Een IAD-charter bevat informatie over de rol en werkwijze van een IAD. Daarnaast is er in opgenomen welke plaats een IAD in de onderneming
inneemt, zijn de rapportagelijnen weergegeven en last but not least de bevoegdheden van de IAD om binnen een organisatie materiaal te verzamelen. Een audit committee kan op basis van charter beoordelen of de internal audit-afdeling zich in de organisatie op het juiste niveau bevindt om haar bevindingen en aanbevelingen aan het hoogste management te kunnen rapporteren, en of ze voldoende onafhankelijk opereert. Verricht de internal audit-afdeling bijvoorbeeld geen activiteiten die haar objectiviteit in gevaar kunnen brengen, zoals adviestaken of participatie in (IT-)projecten?
Feitelijke situatie:
Een IAD-charter is in het merendeel van de Nederlandse organisaties voorhanden. Onder de aan het GAIN-onderzoek deelnemende financiële instellingen is een IAD-charter zelfs vaker aanwezig dan een AC-charter.
Communicatielijnen hoofd IAD en AC
Voor een vruchtbaar gebruik van het werk van een IAD door het audit committee is de communicatie met het hoofd van een IAD noodzakelijk. Bij de daarvoor benodigde communicatielijnen moet worden gedacht aan reguliere besprekingen tussen het hoofd IAD en de AC-leden, zowel met als zonder aanwezigheid van het management. Ook zal het audit committee rapportages moeten ontvangen met de belangrijkste bevindingen en opmerkingen vanuit het IAD. Op deze rapportages komen wij verderop terug.
Feitelijke situatie:
Uit de GAIN-gegevens komt het beeld naar voren dat overleg tussen audit committee en IAD gemeengoed is (zie tabel). In een artikel over de relatie tussen het audit committee en het IAD-management (zie ‘de Accountant’, april 2005) kwam echter naar voren dat een fors percentage auditdirecteuren geen vertrouwelijk overleg had met hun audit committee; bij financiële instellingen zestien procent en binnen handel, industrie en dienstverlening twintig procent. Dat percentage is het afgelopen jaar gelukkig aanzienlijk afgenomen, mogelijk door de verscherping van wet- en regelgeving rond toezicht. Voor het functioneren van een audit committee in haar toezichthoudende taak is dit een zeer gunstige ontwikkeling.
Mensen en middelen
Elke IAD streeft er naar om een volledig beeld te verschaffen van de mate waarin een organisatie haar risico’s beheerst. Een mogelijke beperking hierbij is de beschikbare capaciteit van een IAD. Een relevante vraag voor het audit committee luidt dan ook: beschikt de internal audit over voldoende mensen en middelen om objectieve zekerheid te geven over risico’s en beheersing?
Deze vraag kan worden beantwoord door te kijken in hoeverre er sprake is van co-sourcing. De aanwezigheid daarvan wijst uiteraard niet automatisch op een onvoldoende beeld van de risico’s en de beheersing, want daar is nu juist de extra capaciteit voor aangetrokken. Wel is de mate van co-sourcing een indicatie van een gebrek aan beschikbare capaciteit of het ontbreken van een specifieke expertise, zeker als de inhuur structureel is. Dit kan het audit committee ertoe aanzetten na te gaan of het IAD-budget toereikend is. Bij onvoldoende auditcapaciteit zullen de continuïteit en de beschikbaarheid van interne kennis immers niet steeds gewaarborgd zijn.
Feitelijke situatie:
Verschilt per organisatie. Via de GAIN-benchmark is na te gaan hoe het gemiddeld staat met de beschikbare mensen en middelen.
Jaarlijkse interne auditplan
Iedere IAD moet beschikken over een auditplan waarin de verwachte werkzaamheden voor de komende periode zijn opgenomen. De looptijd daarvan varieert van één tot enkele jaren, maar het plan wordt in elk geval jaarlijks geactualiseerd. Bij het beoordelen ervan is een eerste vraag hoe dit plan tot stand komt. Welke leden van de organisatie zijn betrokken bij het opstellen van het auditplan en in hoeverre ligt er een risico-inschatting aan ten grondslag? Vaak is sprake van een combinatie van een cyclische planning - die elk organisatieonderdeel roulerend laat terugkomen op de planning - en een risico-analyse, waarbij de belangrijkste risico’s als eerste onder de loep worden genomen.
Feitelijke situatie:
In de GAIN-benchmark kwam naar voren dat IAD’s bij het opstellen van de auditplanning in hoge mate hun eigen risico-inschatting laten meewegen. In het Nederlandse bedrijfsleven wordt bij de opstelling van het auditplan gemiddeld wat minder gebruik gemaakt van informatie van het management (57 procent tegen 76 procent wereldwijd) of van een risicomodel (57 procent tegen 73 procent wereldwijd). Ten behoeve van monitoring van de voortgang van de audits, kan het audit committee informatie gebruiken over de mate waarin een auditafdeling haar plan gereed heeft. Alle Nederlandse branches blijven in deze achter bij de IAD’s wereldwijd.
Afstemming IAD en externe accountant
Om te voorkomen dat een onderneming tweemaal betaalt voor dezelfde auditactiviteit of dat er ongemerkt gaten in de controle zitten, is afstemming tussen de IAD en de externe accountant cruciaal. Tijdens een overleg tussen de interne en externe auditors worden de taken onderling verdeeld, zodat alle auditactiviteiten tezamen een voldoende dekking bieden van alle risicogebieden binnen de onderneming. Het audit committee zou moeten vaststellen dat deze afstemming naar behoren heeft plaatsgevonden.
Feitelijke situatie:
Binnen het Nederlandse bedrijfsleven vindt deze afstemming bij vrijwel alle IAD’s plaats. Het lage percentage afstemming door overheids-
IAD’s is opvallend, maar kan worden verklaard uit het feit dat bij deze organisaties geen systematische externe accountantscontrole wordt verricht.
Periodieke rapportages IAD
De inhoud van de rapportages die een IAD oplevert, zullen in het algemeen een belangrijke bijdrage voor het audit committee kunnen vervullen om haar toezichthoudende taak te kunnen vervullen. Hierin is immers opgenomen welke problemen er in een organisatie spelen en welke risico’s dit met zich meebrengt. Voor AC-leden is het echter praktisch onmogelijk om alle rapporten die een IAD oplevert gedetailleerd door te nemen. Een audit committee heeft in dit geval behoefte aan een periodieke samenvatting van de belangrijkste bevindingen en de voortgang van de werkzaamheden. Een korte schriftelijke rapportage aangevuld met een mondelinge toelichting tijdens een vergadering van het audit committee kunnen hierin voorzien.
Feitelijke situatie:
Zowel wereldwijd als in Nederland is dit een bijna universele werkwijze.
Omgang met bevindingen IAD
Het is voor de effectiviteit van de IAD noodzakelijk dat het management medewerking verleent aan de opvolging van bevindingen in de vorm van acties en rapportages over de voortgang die met deze acties is geboekt (follow up). De wijze waarop het management omgaat met de bevindingen en aanbevelingen van de interne auditors is bovendien een indicatie voor de risk-appetite van het management, een term die in het veelgebruikte enterprise risk model van COSO 2 centraal staat. Deze risk appetite geeft het audit committee een beeld van de risico’s die het management bereid is te nemen. Het zal duidelijk zijn dat hier een belangrijke taak voor audit committee ligt om na te gaan of deze bereidheid spoort met de visie van de raad van commissarissen hierop en geen overmatige risico’s worden genomen.
Feitelijke situatie:
Alle Nederlandse IAD’s die deelnamen aan de benchmark leggen een auditrapport voor aan het management (honderd procent versus 98 procent wereldwijd). In het overgrote deel van de gevallen volgt hierop een formeel follow upproces (variërend van 78 procent tot 93 procent).
Effectiviteit IAD
In het voorgaande zijn herhaaldelijk factoren genoemd die de effectiviteit van een IAD beïnvloeden. Om hiervan een indruk te krijgen zou het audit committee het hoofd van de IAD kunnen vragen naar rapportages van de afdelingsprestatieindicatoren uit de GAIN-benchmark. Los van deze prestatieindicatoren is het natuurlijk van groot belang dat de IAD ook daadwerkelijk goed werk heeft verricht. Een betrouwbare IAD is immers een cruciale voorwaarde voor het audit committee, wil zij op het werk van de IAD kunnen steunen.
Er zijn gelukkig verschillende manieren waarop het audit committee kan vaststellen of de IAD naar behoren functioneert. Zo kan zij de resultaten opvragen van de klanttevredenheidsonderzoeken die het IAD bij haar auditees afneemt. Veruit de meeste IAD’s die aan de GAIN-benchmark deelnemen gebruiken de afdelingsprestatieindicatoren ook in de praktijk.
Feitelijke situatie:
De benchmarkcijfers tonen dat klanttevredenheidsonderzoek wereldwijd veel wordt toegepast (96 procent, maar in Nederland doet minder dan eenderde van de deelnemende IAD’s dit (29 procent). Het audit committee kan ook gebruikmaken van resultaten van kwaliteitsonderzoeken bij de afdeling, verricht door een interne of een externe partij.
Training AC door IAD
Ter afsluiting een doorkijkje naar de toekomst: wordt het niet eens tijd dat een audit committee de interne accountantsdienst om een op maat gesneden training vraagt? Dit is in internationaal verband reeds wijd verbreid en heeft plaatsgevonden bij ongeveer veertig procent van alle deelnemende organisaties. Afgaand op de GAIN-cijfers, kan in Nederland op dit vlak nog erg veel gebeuren.
Noot
Hans van Hoogenhuijze is voorzitter van de werkgroep van IIA Nederland die de jaarlijkse benchmark-ronde organiseert. Elsbeth Prins is als internal auditor werkzaam bij AXA. Zij schrijven dit artikel op persoonlijke titel.
Acht verantwoordelijkheden
De internationale beroepsorganisatie voor Internal Auditors (IIA) biedt het audit committee een aantal aanknopingspunten bij het beoordelen van de activiteiten en prestaties van de internal auditafdeling. Uitgangspunt hierbij zijn de internationale gedrags- en beroepsregels van de IIA. Ook heeft de organisatie een externe kwaliteitstoets geïnitieerd, waarin elke IAD door een extern team wordt doorgelicht volgens een vooraf vastgesteld normenkader. Zowel het volgen van de gedrags- en beroepsregels als de periodieke doorlichting kunnen het audit committee ondersteunen bij het op niveau houden of brengen van zijn IAD.
Hieronder de acht vragen/verantwoordelijkheden van het audit committee ten aanzien van de IAD:
A Is aan alle voorwaarden voldaan voor een voldoende functionerende IAD?
1. Beoordelen en accorderen van het IAD-charter.
2. Instellen van de benodigde communicatielijnen tussen het hoofd van de IAD en het audit committee.
3. Beoordelen van de IAD-bemensing en vaststellen dat de benodigde mensen en middelen beschikbaar zijn.
B Zijn de werkzaamheden van de IAD voldoende effectief en efficiënt?
4. Beoordelen en monitoren van het jaarlijkse interne auditplan.
5. Toezicht houden op de afstemming tussen de IAD en de externe accountant.
6. Bestuderen van periodieke rapportages over de resultaten van het werk van de IAD.
7. Beoordelen van de wijze waarop het management van de organisatie omgaat met bevindingen en aanbevelingen van de interne auditors.
C Functioneert het IAD naar behoren?
8. Toezicht houden op en beoordelen van de effectiviteit van de IAD.
Gerelateerd
IIA Nederland biedt VOR-handreiking voor internal auditfunctie
Het Instituut van Internal Auditors Nederland (IIA) heeft een 'practice guide' uitgebracht over de Verklaring Omtrent Risicobeheersing (VOR) en de internal auditfunctie.
Uitvoeringsorganisatie SVB wint auditprijs
De Audit Dienst van de Sociale Verzekeringsbank (SVB) heeft de Protiviti Internal Audit Innovation Award van dit jaar gewonnen. De auditdienst van het zelfstandige...
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.