Nieuws 29 oktober 2008

Wet- en regelgeving heeft grote invloed op internal auditor

De uitwerking van wet- en regelgeving, zoals de Sarbanes-Oxley Act en de Code Tabaksblat, op de rol en functie van internal auditing is groter dan vooraf werd verondersteld. Dat stellen Jan Driessen en Arie Molenkamp in de uitgave 'Internal auditing, een managementkundige benadering'.

Tot voor kort heerste bij veel internal audit departments de opvatting dat met name moest worden gekeken naar 'business controls' en dat maatregelen die te maken hadden met de financiële beheersing werden uitgesloten. Het gevolg van de nieuwe regelgeving is dat internal auditors ook de financiële beheersing meenemen bij het beoordelen van de business controls.

In het kader van de publicatie deden Driessen en Molenkamp onderzoek bij grote beursgenoteerde fondsen, middelgrote ondernemingen en organisaties en instellingen in de publieke sector. Daaruit blijkt dat de impact van SOx en Tabaksblat op de werkzaamheden van een internal audit department groter is dan verwacht. Zo wordt bij de vaststelling van de werkzaamheden van een internal audit department, de zogenaamde risk based audit planning, nadrukkelijk gekeken naar de financiële omvang van de onderwerpen.

"Bovendien verwachten de leden van een Audit Committee dat zij tijdig en adequaat worden geïnformeerd door de internal auditors over de ontwikkelingen in de beheersing van de onderneming", constateert Jan Driessen, partner bij KPMG. Driessen: "In veel gevallen is de relatie met de externe accountant dan ook nadrukkelijk aangehaald. De directie van de onderzochte bedrijven verwacht bovendien dat de internal auditors een nadrukkelijkere rol spelen in het proces van totstandkoming van in control statements en dat de auditors zich meer en beter manifesteren in hun natuurlijke adviesrol".

Driessen signaleert dat naast omvangrijke organisaties in toenemende mate ook het middenbedrijf, instellingen voor gezondheidszorg en lokale overheden het fenomeen internal auditing omarmen.

Driessen: "Dit betekent overigens niet dat de ervaringen die bij grotere organisaties zijn opgedaan zonder meer kunnen worden geprojecteerd op deze 'nieuwe' markt. Integendeel, auditors in kleinere organisaties, maar ook kleine auditgroepen binnen een grote gemeente of professionele organisatie, zoals een ziekenhuis of een uitgever, worden vaak geconfronteerd met vraagstukken die kunnen samenhangen met een specifieke stijl van leiding geven die bij een dergelijke organisatie past. Deze stijl is niet altijd goed afgestemd op een auditgroep die het als zijn taak ziet het management te confronteren met de gevolgen van een bepaalde houding bij de leiding."

Als gevolg van de vele malversaties die zich in het verleden hebben voorgedaan wijst Driessen op het gevaar dat internal auditors doorschieten naar onderzoeken waarbij weer alleen de beheersing van het financiële rapportageproces centraal staat.

Driessen: "Auditors moeten er voor waken dat zij oordelen blijven geven over de kwaliteit van de business controls en niet vervallen in het oppakken van interne controle activiteiten of het controleren van alleen de financial controls. Dit betekent dat auditors vooral nu op basis van de uikomsten van zogenaamde risk assessments onderzoek moeten doen naar missende delen in het control framework. Bij het zelf weer uitvoeren van interne controle werkzaamheden zou te veel aandacht en capaciteit worden onttrokken aan de reguliere internal audits."