Nieuws 15 maart 2016

KPMG: 'Rol internal audit bij risicobeheersing schiet veelal te kort'

Stakeholders van grote ondernemingen vinden dat de internal-auditfunctie een veel grotere rol kan en moet spelen bij het identificeren en beheersen van de risico’s die het bedrijf loopt.

Dit blijkt uit internationaal onderzoek van KPMG en Forbes onder vierhonderd cfo's en voorzitters van auditcommissies. De stakeholders zijn van mening dat internal audit te weinig waarde toevoegt aan de onderneming als het gaat om risicobeheersing en onvoldoende effectief en efficiënt te werk gaat. Bovendien wordt te weinig gebruik maakt van nieuwe technologieën en de voordelen van data & analytics om de kwaliteit van de controle en de audit evidence te verbeteren en stakeholders nieuwe inzichten en perspectieven te kunnen bieden.

Uit het onderzoek blijkt dat iets meer dan twintig procent van de respondenten op dit moment informatie ontvangt van de internal-auditfunctie die inzicht geeft in de risico’s die de onderneming loopt en de procedures die de onderneming hanteert. Slechts vijf procent krijgt bovendien inzicht in de risico’s waarmee het bedrijf geconfronteerd zou kunnen worden.

De onderzochte bedrijven en hun toezichthouders vinden dan ook dat de internal-auditfunctie niet moet volstaan met het beoordelen van bestaande controles, maar veel pro-actiever zou moeten omgaan met het identificeren van mogelijke risico’s en het beperken van de schade die zij zouden kunnen toebrengen.

Belangrijker dan ooit

"Sinds de financiële crisis is risicobeheersing belangrijker dan ooit", zegt Bart van Loon, partner bij KPMG. "Voor veel bedrijven en instellingen is het dan ook zeer belangrijk om hun risico’s in kaart te brengen en te beheersen. Niet alleen vanuit het oogpunt van toezicht- en aandeelhouders en nieuwe, strengere regelgeving, maar vooral om te kunnen overleven in een wereld die steeds complexer wordt. De afgelopen tijd heeft uitgewezen dat risico’s organisaties zeer nadelig kunnen  beïnvloeden en in extreme gevallen kunnen leiden tot een faillissement. Bij bestuurders, toezichthouders en andere stakeholders neemt hierdoor de behoefte aan zekerheid toe. De internal-auditfunctie kan hieraan een essentiële bijdrage leveren.”

Pro-actievere rol

Uit het onderzoek van KPMG en Forbes blijkt dat bijna de helft van de onderzochte ondernemingen de mogelijke risico’s die het bedrijf loopt in kaart brengt met de compliance functie. Eén op de vier ondernemingen zet de juridische functie in en negen procent beschikt over een ondernemingsbrede risicomanagementfunctie. Slechts twaalf procent van de bedrijven zet de internal-auditfunctie in om de bedrijfsrisico's te beheersen.

Van Loon: "Vooral stakeholders, zoals de aandeelhouders, vinden dat de internal-auditfunctie veel pro-actiever moet opereren als het om risico's gaat. Samenwerking met de compliance, de juridische, het risicomanagement én alle andere functies die de onderneming zekerheid moeten verschaffen, is in hun ogen dan ook noodzakelijk. Een dergelijke samenwerking kan leiden tot een organisatie-bredere assurance, maar vraagt wel om veel meer effectiviteit en efficiency van de internal audit functie. De technologie, de risk culture binnen de onderneming en soft controls spelen hierin duidelijk een belangrijke rol. Ook het recent uitgebrachte voorstel tot herziening van de Nederlandse Corporate Governance code geeft aan dat er een stevigere rol moet komen voor de internal audit functie als het gaat om het risicomanagement van een onderneming."