12-12-2016

Internal Audit Quick Scan

De Nederlandse Corporate Governance Code heeft een grote herziening ondergaan. De Monitoring Commissie heeft deze op 8 december 2016 gepubliceerd, met wijzigingen die belangrijke gevolgen hebben.

KPMG heeft een brochure gemaakt over de Code. Pagina 4 bevat een Quick Scan Internal Audit. De bepalingen zijn namelijk uitgebreid met als doel de positie van de Internal Auditfunctie (IAF) verder te verstevigen. 
Versteviging wordt volgens de Commissie bewerkstelligd door:

  • Een nadere invulling te geven aan de verdeling van verantwoordelijkheden.
  • Een intensivering van de betrokkenheid van de raad van commissarissen bij het functioneren van de IAF.
  • Het inbouwen van waarborgen voor een effectieve uitvoering van de internal auditwerkzaamheden.
  • Een verduidelijking van wat de rapportage van de IAF behelst.
  • In geval een IAF ontbreekt, beziet de raad van commissarissen of behoefte bestaat aan een dergelijke functie, uitbesteding kan een adequaat alternatief zijn.

De Quick Scan bestaat uit 5 vraagstukken:

1. In hoeverre is er sprake van een onafhankelijk toetsende functie (in geval een IAF ontbreekt)?
Binnen 59% van de beursgenoteerde organisaties beschouwen toezichthouders en commissarissen de IAF als een essentiële en onafhankelijke functie in de internal governance. Dit wordt nog eens versterkt doordat toezichthouders en commissarissen specifiek belang hechten aan een open en directe relatie met de IAF. Voor hen is de IAF een natuurlijke ingang tot de organisatie voor het stellen van vragen vanuit hun toezichthoudende rol; een ingang die wordt gemist als deze rol aan de raad van bestuur of de externe accountant wordt overgedragen. Voor de beursgenoteerde organisaties die geen IAF hebben, kan deze quick scan op een effectieve manier inzicht geven in de vraag of een IAF nodig is op basis van toegevoegde waarde versus kosten.

2. Ondersteunt internal audit het doel van de organisatie?
Uit een recent onderzoek van het IIA wordt geconcludeerd dat 57% van de bestuurders vindt dat de IAF van de eigen organisatie een bijdrage levert aan de realisatie van de (strategische en operationele) doelstellingen van die organisatie. Daarnaast vinden bestuurders en commissarissen dat de IAF adviseert en aanvullende zekerheid verschaft over processen, governance, riskmanagement en compliancefuncties. Of de IAF in staat is om deze taken en verantwoordelijkheden daadwerkelijk uit te voeren hangt sterk af van de kennis, competenties en ervaring. Bijvoorbeeld ten aanzien van audits op relevante en actuele ontwikkelingen zoals cultuur en soft controls, (big) data & analytics of specifieke wet- en regelgeving.

3. Worden alle risico’s op het gebied van technologie en wet- en regelgeving actief gemonitord en gemanaged?
Er wordt de komende jaren een flinke toename van risico’s verwacht op het gebied van technologie (cybersecurity, big data), wet- en regelgeving (governance, privacy) en risk culture (soft controls). De herziene Code reflecteert deze trend. Dit vraagt om een IAF die vooruitloopt en anticipeert op risico’s en bestuur en raad van commissarissen hier gevraagd en ongevraagd over informeert.

4. Anticipeert de IAF op de behoeften van de stakeholders?
Bij het ontwikkelen van auditplannen overlegt 62% van de IAF met de afdelings- of bedrijfshoofden en 65% met auditcommissies. Verdere verbetering van de communicatie helpt internal auditors bij het anticiperen op de verwachtingen van bestuurders en toezichthouders en verhoogt de toegevoegde waarde. Om relevant te zijn dient de IAF continu behoeften te peilen en op de hoogte te zijn van externe ontwikkelingen (zoals technologie, wet- en regelgeving) en inhoudelijk op het gebied van control-self assessments, continuous monitoring/continuous auditing.

5. Wordt internal audit adequaat ingezet om de kwaliteit en het risicobewustzijn te versterken?
Als je niet weet wat je doelen zijn, is het lastig te bedenken welke risico’s je tegen kunt komen. Als je als organisatie je doel weet, dan kun je ook bedenken welke zaken het bereiken van dat doel zullen helpen of hinderen. Het is cruciaal om mensen in de (lijn)organisatie en de tweedelijnsfuncties te vragen naar de risico’s die zij zien en wat hun risk appetite is. Met een gestructureerde aanpak en de juiste internal audit kennis en competenties kun je het aantal risico’s terugbrengen en heb je meer focus.

Download de KPMG brochure Corporate Governance Code
Download de Internal Audit Quick Scan

Terug naar het nieuwsoverzicht.

IIA Nederland

Postadres:
Postbus 22657
1100 DD Amsterdam
Bezoekadres:
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie

IIA-Partners