De wettelijk verplichte interne auditfunctie bij pensioenfondsen (PW 143a) krijgt steeds robuuster vorm. Hierbij is de vraag aan de orde gekomen: “In welke mate kan gebruik worden gemaakt van de resultaten van de internal auditors van de uitvoeringsorganisaties, waaraan de pensioenfondsen veel werk hebben uitbesteed?” Maar zijn internal auditors daar wel klaar voor?
Een boeiend speelveld
Als verantwoordelijke voor de interne auditfunctie (“sleutelfunctiehouder”) bij verschillende pensioenfondsen, probeer ik het delen van de internal audit resultaten van de uitvoeringsorganisaties bespreekbaar te maken. Ik vind het effectief om op een efficiënte manier gebruik te maken van informatie uit de audits, die reeds worden uitgevoerd.
Uitvoeringsorganisatie reageren heel verschillend. Sommige internal auditors overleggen hun rapporten inclusief bevindingen en aanbevelingen, anderen doen dit op hoofdlijnen en een laatste groep verstrekt geen informatie, omdat zij aangeven uitsluitend aan het management van hun bedrijf te rapporteren. Een boeiend speelveld derhalve, waar één zienswijze of uniformiteit ontbreekt.
Meer zicht op de beheersing van de organisatie
Navraag bij Vaktechniek van het Instituut van Internal Auditors, leverde mij richtinggevende informatie op: de relevante beroepsstandaard “2440- Verspreiding van de resultaten”* biedt het hoofd van de internal audit functie ruimte voor het verspreiden van internal audit resultaten naar eigen inzicht, mits hierbij de potentiële risico’s voor de organisatie worden afgewogen, er toestemming is van het verantwoordelijke management en er afspraken worden gemaakt over verdere verspreiding.
Een duidelijke handreiking vanuit de beroepstandaarden, om internal auditresultaten breder te verspreiden, mits dit effectief wordt geacht. Deze handreiking ga ik zeker gebruiken bij de komende afstemmingen met de internal auditors. Ook omdat ik geloof in de toegevoegde waarde van het delen van internal audit informatie. Pensioenfondsen krijgen hierdoor immers meer zicht op de beheersing van de organisatie. Zonder de extra kosten die anders gemaakt zouden worden voor de uitvoering van aanvullende audits. Het overleggen van internal audit resultaten is een nuttige aanvulling op rapporten over de beheersing van de organisatie, die in de regel jaarlijks aan de pensioenfondsen worden verstrekt (zoals ISAE 3402, COS 3000 en ISO rapportages).
Maak dan ook meteen duidelijke afspraken over het delen van internal audit resultaten door dit vast te leggen in de auditcharters van beide betrokken auditfuncties en/of contractuele afspraken tussen opdrachtgever en opdrachtnemer. Dit in aanvulling op het “right to audit”, wat al veel in de contractuele afspraken tussen uitvoeringsorganisaties met pensioenfondsen is vastgelegd en wat in DNB Guidance expliciet als essentiële uitbestedingsvoorwaarde wordt genoemd. Door het vastleggen van de afspraken komt er duidelijkheid over en continuïteit in de informatiedeling.
Een boeiend onderwerp, waarover ik graag van gedachten wissel met vakgenoten. Wilt u meer weten of deze discussie voortzetten bij een (digitale) kop koffie? Neem gerust contact met me op via hans@arcpeople of 06-51389261. Ik kom graag met u in contact!
* https://na.theiia.org/translations/PublicDocuments/IPPF-Standards-2017-Dutch.pdf