Inloggen
Contact
22-12-2015
22-12-2015

Terugblik PAS Conferentie

Op 3 december vond de jaarlijkse PAS-conferentie plaats, met als thema 'Close the Gap', georganiseerd in samenwerking met partner BDO. Er werd stilgestaan bij de rol van kleine auditdiensten binnen de corporate governancestructuur van organisaties. Onderwerpen die de revue passeerden waren o.a. Voldoen aan de beroepsstandaarden van het IIA, het beeld van het auditcommittee over de IAF en ervaringsverhalen van kleine IAF’s die zich tot een volwassen afdeling hebben ontwikkeld.

Van moetje naar meer

Janneke Dijsselhof nam ons mee in de ontwikkeling die de IAF bij Univé heeft doorgemaakt. De afgelopen jaren zijn binnen de 15 zelfstandige, regionale eenheden van Univé zelfstandige IAF’s opgezet, met verschillende besturen en auditcommissies en daarmee ook per IAF verschillen in inzicht over en complexiteit bij het positioneren.

Janneke gaf het publiek mee dat het van belang is dat je als auditor bij het bestuur en auditcommissie (AC) een aansluiting hebt en vertrouwen creëert. Ze benadrukte het belang om een werkverhouding te creëren waarbij het bestuur en de AC je als auditor niet alleen als moetje zien. Haar ervaring is dat een AC ook verwacht dat je meedenkt over risico’s en over de toekomst.

Niet alle aanwezigen blijken in de praktijk een lijn te hebben met de AC. Als praktische tips gaf Janneke aan deze aanwezigen mee om eerst te zorgen voor erkenning bij het bestuur en vervolgens, als ze 'binnen zijn' bij de AC, na te gaan wat de verwachtingen zijn, wat er veranderd moet worden hoe zij geïnformeerd willen worden. Ook werden auditors die nog niet bij de AC 'binnen zijn' gerustgesteld, want ook bij Univé had de acceptatie door de AC zijn tijd nodig.

Auditdiensten en corporate governance ontwikkelingen

Johan Scheffe van het NBA nam de aanwezigen mee in de corporate governance ontwikkelingen in Nederland en de rol van auditdiensten daarbij. Johan gaf aan welke ontwikkelingen hij nog verwacht en hij deelde zijn visie over de door hem gewenste aanpassingen. Zo gaf hij aan van mening te zijn dat de huidige code te weinig aandacht heeft voor gedrag en cultuur.

Codes of niet, het blijft aan het bestuur en de commissarissen om te bepalen of een IAF nodig is. Daarbij kan het een keuze kan zijn om middels externe inhuur de interne audits uit te voeren. Naar mening van Johan blijft bij zo’n situatie van uitbesteding een interne coordinatie van belang. Enkele overige adviezen die Johan de aanwezigen meegaf waren:

  • Zorg voor externe kwaliteitsbewaking op de IAF
  • Pas op met acceptatie van opdrachten (haalbaarheid, expertise)
  • Onderschat het belang van zowel een intern als extern netwerk niet
  • Pas op met audits vanachter je bureau, praat met sleutelfunctionarissen en kijk rond

Hoewel de codes uitgaan van een best practice model, benadrukte Johan dat een standaard oplossing voor de inrichtingsvraagstukken in het kader van corporate governance niet bestaat. Organisaties verschillen en “er is geen onze size, fits all”. Het belangrijkste bij het maken van inrichtingskeuzes is volgens Johan het voorkomen dat essentiele zaken tussen wal en schip vallen. “Houd de risico’s in het oog”.

Benodigde competenties van een IA in een kleine IAF

Het werken als internal auditor bij een kleine IAF vraagt mogelijk andere competenties dan bij een grote IAF. Vanuit zijn ervaring in een groeiende IAF gaf Carlo Bavius (SVRO/Eneco) allereerst de volgende praktische punten mee voor startende IAF’s:

  • Stel een audit charter op om legitimiteit aan te geven (nodig in de 'machtfase')
  • Probeer de overtuiging te creëren dat je ergens toe dient, dat je waarde creëert (“De slechtste reden om een IAF te zijn, is omdat het moet”)
  • Breng het auditlandschap in kaart
  • Probeer met het bestuur na te denken wat het assurance level moet zijn

Carlo is vol overtuiging dat geen enkele discussie met een auditor over bevindingen om de inhoud gaat. Een paar van zijn concrete adviezen voor een IAF om efficient te werken, waren onder meer:

  • Focus op het geven van assurance bij ketenprocessen en key risico’s
  • Besteed voldoende tijd in de voorbereiding. Praat bij het gereedmaken van een normenkader al met sleutelfunctionarissen om controls in beeld hebben
  • Steek geen tijd in het opstellen van verslagen. Je legt alleen vast welk evidence je hebt of een control er is en op basis van welke bron
  • Vraag de business wat voor rapportage ze willen
  • Leg in de rapportage geen focus op de oorzaak van de bevinding. Dat is zaak van de business, “zij lossen het ook op”
  • Zorg voor een vaste werkwijze met heldere structuren en tools die werken

En alsof het met Johan was afgesproken die opriep om aan te geven wat je wel en niet kan, adviseerde ook Carlo een belangrijk punt voor kleine IAF’s die niet alle kennis in huis kunnen hebben: “Weet wat je weet (en wat niet)".

Dilemma’s in de boardroom

Aan de hand van een praktijkcasus ging Jan Driessen (PWC) in op dilemma’s die spelen in de boardroom. Hoe komen cruciale beslissingen tot stand en hoe worden bestuur en commissarissen geïnformeerd? Jan Driessen is Partner bij PWC maar is o.a. ook werkzaam als hoofd internal audit bij 3 kleine organisaties, waardoor hij de belemmeringen kent van kleine IAF’s.

Vanuit PWC is hij betrokken geweest bij een onderzoek naar de perceptie vanuit de AC & CFO naar de meerwaarde van een interne auditfunctie. De geïnterviewden noemden hierbij als belangrijke eigenschappen die zij verwachten bij een hoofd interne auditfunctie het hebben van een rechte rug, bestuurlijke sensitiviteit, een slechte boodschap kunnen brengen en zeker ook een grondige auditexpertise.

Tijdens de breakout liet Jan middels een video een praktijkcasus ‘the crisis’ zien. Bij deze casus waarbij sprake was van een vermoeden van een misstand, werd duidelijk wat voor soort beslissingen het bestuur en de AC bij een dergelijke crisis moet nemen. Hierbij speelt het dilemma tussen transparantie en tijdig informeren van stakeholders enerzijds en de wens tot het geven van betrouwbare informatie en voorkomen van onnodige onrust en financiële nadelen door nog niet bevestigde geruchten anderszijds.

Rol van (kleine) IAF bij de inrichting van corporate governance

Leen Paape (Nyenrode) legde met zijn kennis, ervaring en wetenschappelijke achtergrond uit hoe de (kleine) IAF een belangrijke rol kan spelen bij de inrichting van corporate governance binnen een organisatie. Leen deelde daarbij ondermeer de volgende inzichten over de beheersing van organisaties:

  • Het Three Lines of Defence Model werkt niet en heeft zich in praktijk niet bewezen
  • Probleem in de beheersing bij veel organisaties, zit in de omvang van de organisaties. Er is geen duidelijke band meer tussen de eigen portemonnee en het handelen
  • Een papieren code en vinkjes zijn niet nodig, wel het stroomlijnen van belangen en samenwerking
  • Naast hard controls, zijn aspecten als leiderschap, communicatie, faciliteren met middelen (kunnen), stimuleren (willen) en tijdig reageren van belang

Leen gaf als praktische adviezen aan de internal auditors mee:

  • Laat u niet teveel leiden door beperkingen van een charter. Zorg dat het goede gesprek wordt gevoerd. Uw mening mag gehoord worden
  • Kijk naar mogelijkheden om kennis en kunde uit te wisselen tussen kleine IAF’s ipv inhuur dure externen

Kwaliteitstoetsing is van toepassing op alle auditors

Herman Baars (Impactz, IIA trainer QAR) gaf uitleg over de kwaliteitseisen vanuit de beroepsverenigingen. Kwaliteitstoetsingen zijn essentieel voor een IAF in het kader van Good Governance. Herman Baars ging in op de ervaringen van een toetser van kleine IAF’s. Hij erkende dat sommige zaken worden verondersteld lastiger (uitdagingen) te zijn voor kleine IAF, maar gaf aan in praktijk te zien dat sommige kleine IAF’s daar goed invulling aan geven terwijl sommige grotere IAF’s er juist mee worstelen. Het oplossen van deze knelpunten zijn naar zijn mening vaak kwestie van semantiek.

Herman lichtte toe dat kwaliteitstoetsing van toepassing is voor alle auditors. Of iemand wel of geen RA is, maakt voor het IIA niet uit als ze het kwaliteitsysteem van een IAF beoordelen, behalve dat er andere formaliteiten spelen op basis van regelgeving van de betreffende beroepsvereniging (NBA, NOREA). Ook de activiteiten van bijvoorbeeld ISO-auditors die onder de verantwoordelijkheid werken van een afdeling die claimt IIA-standaarden na te leven, vallen onder deze toetsing.

Bij een combinatie tussen audit en riskmanagement in één afdeling, richt de toetser zich enkel op de kwaliteitsborging van de auditactiviteiten. Een “pure eenpitter met budgetje voor inhuur” zal over het algemeen niet kunnen kwalificeren. Je mist dan al snel een review en kwaliteitsbevorderende maatregelen. Dat valt volgens Herman moeilijk uit te leggen. Maar vanuit de zaal bleek al dat ook hierbij wellicht binnenkort sprake is van de welbekende uitzondering die de regel gaat bevestigen door praktische oplossing voor deze beperkingen.

Een tip van Herman: toon de toepassing van de core principles aan door bijvoorbeeld in het auditplan (en verslagen) het aspect integriteit terug te laten komen. Leg vast waarom welke auditor aan welke audit heeft meegewerkt, zodat zichtbaar is dat je over de competenties hebt nagedacht.

Corporate Governance binnen een startende kleine IAF

Na ervaring bij grote IAF’s te hebben opgedaan, heeft Michel bij Propertize “het genoegen gehad om zelf een IAF op te zetten”. Michel deelde in een breakoutsessie zijn ervaringen over Corporate Governance binnen een startende kleine IAF, wat volgens hem een lastige opgave kan zijn. Aan bod kwamen zaken als positionering en mandaat, stakeholdermanagement en samenwerking met overige risk functies. Michel adviseerde de aanwezigen goed naar de systemen te kijken en wat je eruit kan halen. “Draai het eens om. Wat is er? En wat kan ik daarmee om mijn audits in te richten? Denk eens andersom”.

Beoordeel de volwassenheid van de eigen IAF

Joko Tenthof van Noorden (Exact/IIA Professional Practices) gaf in een andere breakoutsessie handvatten om de volwassenheid van de eigen IAF te beoordelen en om de aanwezigen te inspireren een ambitieniveau neer te zetten voor de toekomst. Welke diensten bieden wij aan; wat is onze beoogde relatie met het management? En welke uitdagingen hebben wij als kleine IAF's om dit ambitieniveau te bereiken? De uitkomsten van deze sessie kunnen de basis zijn voor een gesprek met het management over hun wensen over de rol en de inhoud van de IAF binnen je organisatie.

Namens de PAS Commissie
Drs. Lizet Hage RO, Internal Auditor bij RET
Marieta Vermulm MSc RO EMITA, Internal Auditor bij Blue Sky Group

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 105F
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie

Partners IIA

KPMG
Deloitte
ARC People
Protiviti
Workiva
Ferocia
Vanberkel Professionals
BDO
Mazars
ONE Risk Advisory
InAudit
Wolters Kluwer