Skip to main content

De commissaris zonder internal audit; ra(a)deloos?

2 september 2022

Toezicht houden op de interne beheersings- en controlesystemen is een kerntaak van een RvC. Een afdeling die goed inzage kan geven in de interne beheersing is een internal audit afdeling. Bij veel instellingen ontbreekt een internal audit afdeling. Hoe krijgt een RvC bij dit soort instellingen dan inzicht in de mate van interne beheersing?

Rol Raad van Commissarissen

Een Raad van Commissarissen (RvC) heeft vier taken, te weten (Schuit en Jaspers, 2017):

  1. Het houden van toezicht;
  2. Het geven van advies;
  3. Het goedkeuren van besluiten;
  4. Het uitoefenen van de functie van werkgever

In dit artikel wordt gefocust op het toezicht houden. Toezicht houden is het toetsen of de handelingen van het bestuur voldoen aan de daaraan gestelde eisen, en zo nodig ingrijpen om de handelingen te corrigeren (Strikwerda en ten Wolde, 2017). Toezicht houden op de opzet en werking van de interne beheersings- en controlesystemen is daarbij een kerntaak (Kersten, 2016). Ook in de Corporate Governance Code is vastgelegd dat het bestuur verantwoordelijk is voor de strategie met bijbehorend risicoprofiel en het beheersen van de risico’s.

Oorzaak falend toezicht

Falend toezicht vindt veelal zijn oorsprong in falend risicomanagement (Reumkens, 2021). Reumkens benoemt 13 gevarenzones waar het mis kan gaan bij het toezicht houden. Ongeveer de helft heeft betrekking op de risicobeheersing:

Kortom, om goed invulling te geven in de toezichthoudende taak is focus op interne beheersing van groot belang.

Toenemende risico’s voor een commissaris

De Wet bestuur en toezicht rechtspersonen, die 1 juli 2021 van kracht is geworden, geeft een wettelijk taakomschrijving en verscherping van de persoonlijke aansprakelijkheid van toezichthouders bij stichtingen en verenigingen. Dit zijn organisaties waar over het algemeen geen tweede en derde lijnsfuncties aanwezig zijn.

Bij het Meavita-debacle is de RvC ook aansprakelijk gesteld voor de inadequate risicobeheersing en het ontbreken van goede stuurinformatie op concernniveau (Ondernemingskamer, 2015). Toezicht houden op risicomanagement is daarmee niet meer vrijblijvend. Klaassen stelt dan ook terecht dat de taakopvatting van een raad van toezicht in een zorgstichting niet wezenlijk verschilt met die van de RvC van een (beursgenoteerde) vennootschap (Klaassen, 2016).

Relevantie internal audit

Een afdeling die bij uitstek inzage geeft in de interne beheersing is internal audit. Internal audit geeft onafhankelijke en objectieve assurance en adviezen over de toereikendheid en effectiviteit van governance en risicomanagement. Bij financiële instellingen is deze afdeling verplicht. Internal audit rapporteert aan het bestuur maar ook aan de RvC , vaak via een auditcommittee. Hiermee krijgt de RvC zicht op de mate van interne beheersing. Strikwerda en ten Wolde (2017) noemen internal audit als een nuttige – zo niet noodzakelijke – functie voor de RvC bij het toezicht houden.

Producten internal audit

Internal audit levert specifieke producten die een beeld geven over de interne beheersing van een organisatie. Voordat een auditrapport wordt opgeleverd, is hier een scala aan voorbereidende producten aan vooraf gegaan die een RvC inzage geeft in de interne beheersing zoals het bepalen van de audit universe en de risico-analyse daarop.

Een internal audit rapport geeft een oordeel over de mate van interne beheersing over een specifiek onderwerp. Verder neemt het hoofd van de internal auditafdeling over het algemeen ook deel aan de auditcommittee vergaderingen waar zijn mening kan worden gevraagd. Tot slot is er een jaarlijks gesprek met de voorzitter van het auditcommittee.

Positionering internal audit

Naast deze producten, is ook de positionering en werkwijze van de internal audit afdeling relevant. Kernbegrippen van internal audit zijn objectief en onafhankelijk en systematisch onderzoek.

Chuah en Bendermacher onderschrijven het belang van de objectiviteit en onafhankelijkheid van een internal audit functie voor de RvC. Zij stellen dat “de IAF kan als geen ander een wezenlijke rol spelen, door objectieve en ongefilterde informatie te verstrekken aan de auditcommissie, zodat zij in staat wordt gesteld om haar toezichtstaken op adequate wijze uit te voeren” (Chuah en Bendermacher, 2017).

Bovenstaande genoemde producten en positionering en werkwijze bieden de RvC goede inzichten in de interne beheersing en vormen daarmee een belangrijk onderdeel voor het kunnen houden van goed toezicht.

Erkenning rol internal audit

Onderzoek toont inderdaad aan dat internal audit een comfort provider is voor het audit committee (Sarens, De Beelde en Everaert, 2009). Wallage en van Leeuwen hebben aan de hand van eerder uitgevoerde (internationale) onderzoeken uiteengezet dat een internal audit afdeling en grote bijdrage kan leveren aan de interne risicobeheersing (Wallage en van Leeuwen, 2017). Ook Driessen en Wakkerman onderkennen het nut van een internal auditfunctie voor de RvC: “Commissarissen hebben steeds meer behoefte aan onafhankelijke en zichtbare toetsing van de interne beheersing van de organisatie waarop zij toezicht houden. Zij hechten daarom aan een internal-auditfunctie.”

De Monitoring Commissie stelt sinds 2016 dat een organisatie een internal audit afdeling zou behoren te hebben. In principe 1.3 van de Corporate Governance Code stelt de Monitoring Commissie o.a. dat de RvC jaarlijks dient vast te stellen dat, indien voor de interne audit functie geen interne audit dienst is ingericht, er adequate alternatieve maatregelen zijn getroffen en beziet of er behoefte bestaat om een interne audit dienst in te richten. De Code richt zich weliswaar op beursgenoteerde ondernemingen, maar is steeds vaker een leidraad voor niet-beursgenoteerde ondernemingen en ook andere codes, onder andere voor de cultuursector.

Risico’s bij niet-financiële en niet -beursgenoteerde instellingen zijn niet per se minder of kleiner maar hoe krijgen zij dan inzicht in de mate van interne beheersing, wanneer een internal auditfunctie ontbreekt?

De externe auditor als alternatief

Het nut van een internal auditfunctie voor een RvC is duidelijk. Maar welke compenserende maatregelen heeft een RvC voor handen als er geen internal auditfunctie aanwezig is?

Binnen een organisatie is veel informatie voorhanden waarmee een beeld kan worden verkregen over de beheersing (Paape, 2021). Denk hierbij aan:

Bovengenoemde zaken geven een beeld van de interne beheersing. Echter, het is geen gestructureerd samenvattend beeld hiervan. Genoemde zaken zijn vaak input voor een risicoanalyse van internal audit of worden gebruikt bij een internal audit zelf in de vooronderzoeksfase waar een beeld wordt gekregen van waar de focus in de audit moet komen te liggen. Dit is een duidelijk voorbeeld van het voordeel van het hebben van een internal auditfunctie.

Literatuuronderzoek

Over hoe een RvC de mate van interne beheersing kan vaststellen, is niet heel veel geschreven in de literatuur. Van Leeuwen en Wallage stellen dat de RvC het management moet vragen om een verklaring dat zij zowel de opzet als de werking van de interne beheersingsomgeving getoetst heeft (van Leeuwen en Wallage, 2011). De RvC zal deze verklaring met het management bespreken. Een dergelijke zelfcontrole biedt onvoldoende waarborgen en daarom zal de RvC ook kennis moeten nemen van de werkzaamheden die ten grondslag hebben gelegen aan de verklaring. Daarbij tekenen Van Leeuwen en Wallage ook aan: “Uiteraard neemt de RvC ook kennis van constateringen van in- en externe accountants op het vlak van de interne beheersomgeving.” Toch een verwijzing naar een internal auditfunctie.

Ook Stolp en de Nijs Bik stellen dat wanneer de RvC niet kan vertrouwen op de door het bestuur verstrekte informatie, zij kritische vragen moet stellen en aanvullende informatie moet vragen en zich laten informeren door de externe accountant (Stolp en de Nijs Bik, 2015).

Opvallend is dat vaak naar de externe accountant wordt verwezen. Uit recent onderzoek blijkt namelijk dat de RvC een voorkeur heeft voor een uitspraak van internal auditor boven die van externe accountant. Behalve voor uitspraken over de betrouwbaarheid van de financiële rapportages en sommige financiële risico’s (Commissarissen benchmarkonderzoek risicomanagement 2019-2020, Grant Thornton). Uit jaarverslagen blijkt veelal dat de externe accountant wordt gezien als vervangende maatregel voor het niet hebben van een internal auditfunctie (Chuah en Bendermacher, 2017).

Samenvattend kan worden gesteld dat in de literatuur de externe accountant vaak wordt gezien als dé compenserende maatregel voor het ontbreken van een internal auditfunctie. Een beperkte maatregel omdat de externe accountant zich richt op de jaarrekening en ook vooral terugkijkt, en niet zoals de internal auditor, insight en foresight biedt (van Heese, 2021).

Onderzoek bij de commissaris

De literatuur geeft beperkt suggesties hoe een commissaris het gebrek aan een internal audit afdeling kan compenseren. Daarom is een klein aantal interviews gehouden met commissarissen die zowel ervaring hebben met een RvC bij een organisatie zonder een internal audit afdeling, als ervaring met een RvC bij een organisatie met een internal audit afdeling (dan wel ruim ervaring hebben met internal audit afdeling). Het aantal actieve commissariaten varieert tussen de 2 en 4 en het aantal jaar ervaring als commissaris tussen de 5 en 20 jaar.

De geïnterviewde commissarissen onderschrijven dat de risico’s voor de organisaties zonder een internal audit afdeling niet kleiner zijn vergeleken met de organisaties mét een dergelijke afdeling. “Helemaal niet. Alle organisaties zijn druk met ICT- en wetgevingsrisico’s.”

Maatregelen commissaris

Uit de interviews blijkt dat, om meer zicht te houden op de interne beheersing van een organisatie waar geen three lines is, de commissaris de volgende maatregelen neemt:

“Je doet meer als er geen three lines of defense is. Je hebt meer vergaderingen over specifieke onderwerpen waar je je meer in moet verdiepen.”

Geïnterviewden onderschrijven dat de rol van de accountant belangrijker is wanneer de internal auditor ontbreekt, zoals de literatuur stelt. Maar de commissaris is ook kritisch op de rol van de externe accountant en zijn toegevoegde waarde op het gebied van interne beheersing: “De accountantsverklaring is a: negatief geformuleerd en b: ze kijken naar de continuïteit en financiële risico’s. Al het andere nemen ze niet mee.”

Samenvattend

Onderzoeken tonen aan dat de internal auditor een belangrijke rol speelt bij het toezicht houden op de interne beheersing van een organisatie. De commissaris moet dus op zoek naar alternatieven bij het ontbreken van een internal audit afdeling, want de risico’s zijn niet per se kleiner bij organisaties zonder een internal audit afdeling.

De (beperkte) literatuur wijst met name naar de externe accountant als dé compenserende maatregel voor het ontbreken van een internal auditfunctie.

In de praktijk wordt de externe accountant als compenserende maatregel deels onderschreven maar is men ook kritisch c.q. realistisch over de mate waarop hier kan worden gesteund ten behoeve van een oordeel over de interne beheersing van een organisatie.

Belangrijke compenserende maatregelen zijn volgens hen:

Met bovengenoemde maatregelen, inclusief steunen op de externe accountant, wordt het ontbreken van een internal auditor gecompenseerd.

Meer internal audit?

Mogelijk zal ook in die organisaties de internal auditor alsnog zijn intreden doen.

Naar aanleiding van dit onderzoek zei één geïnterviewde: “Het is eigenlijk een terechte challenge die je bij me neer legt: wanneer zouden we een internal auditor moeten nemen? Het is nu allemaal wel heel erg ad hoc. Je moet het eigenlijk structureel borgen. Bij een goede interne beheersing, ga je excessen voorkomen.”

Een andere commissaris zei: “Misschien zijn wij als commissarissen nog onbekend met wat het (internal audit) ons allemaal zou kunnen opleveren. Dat zou voor mij hier nog wel eens de conclusie kunnen zijn. Het triggert mij wel.

Kortom, er gloort (nog meer) hoop voor de internal auditor maar er is ook nog aardig wat werk aan de winkel om de bekendheid verder te vergroten.

Drs. Marc van Heese RO RE CIA is partner bij ARC People en vervult voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive en is sparringspartner voor CAE’s. Dit artikel is een samenvatting van het paper dat Marc heeft geschreven als afronding van de Nyenrode Commissarissencyclus. Dit artikel is ook verschenen in het AuditMagazine van september 2022.