Skip to main content

Blog Archives

Newer posts

Internal auditor, blijf niet langer langs de zijlijn staan!

Wereldwijd hebben overnames de afgelopen jaren ongekende niveaus bereikt. Zelfs of juist tijdens de huidige economische en sociale crisis door COVID-19 blijven overnames sexy. Het is bijna dagelijks dat op handen zijnde overnames worden aangekondigd of uitlekken. Dit terwijl volgens economen het ergste van de huidige crisis nog moet komen. Zoals bekend zet een flinke overname een organisatie in de spotlights. Overnames dragen vaak bij aan versnelde groei van een organisatie en toename van de waarde van de onderneming. Toch is een groot deel van de overnames onsuccesvol met vaak enorme strategische en operationele risico’s voor de organisatie als gevolg. 

Uit onderzoek blijkt echter dat internal audit ondanks haar proactieve, risicogebaseerde, assurancegerichte aanpak in veel gevallen niet betrokken is bij het overnameproces van de overnemende organisatie en daarmee niet effectief bijdraagt aan de beheersing van de strategische en operationele risico’s en het succes van de overname. Dit is onterecht. De verwachting van beleggers, toezichthouders en externe accountants is dat internal audit wel een assurancerol of adviesrol pakt ten aanzien van overnames. Onderzoek toont aan dat internal audit wel degelijk een assurancerol of adviesrol kan en moet pakken bij overnames, maar dat bestuurders en commissarissen nog wel overtuigd moeten worden van toegevoegde waarde en capaciteiten van internal audit. 

Internal audit blijkt uit onderzoek de meeste toegevoegde waarde te hebben in de fasen: Deal Structuring (inclusief het Due Diligence proces), Post-acquisition integration en Post-acquisition evaluation. Chief Audit Executives (CAE’s), directies en commissarissen worstelen echter in de praktijk met de vraag of internal audit het overnameproces moet onderzoeken en hoe internal audit kan bijdragen aan de beheersing van de strategische en operationele risico’s van een overname. en daarmee het succes van fusies en overnames vergroten. Deels komt dit omdat internal auditors nog relatief weinig de beheersing van strategische risico’s binnen organisaties onderzoeken en zich vooral richten op de beheersing van tactische en operationele risico’s, in het verleden niet eerder bij een overnameproces betrokken zijn geweest en/of bestuurders de kennis en vaardigheden van de internal auditfunctie ten aanzien van het overnameproces als ontoereikend inschatten. 

Zoals Winston Churchill ooit zei ‘Never waste a good crisis’. Deze COVID-19 crisis is het moment om de toegevoegde waarde van internal audit te tonen en actief betrokken te worden bij (geplande) overnames en daarmee bij te dragen aan het succes van de overname. Maar CAE’s wees realistisch in wat je kan leveren en welk onderdeel/onderdelen van het overnameproces internal audit 

Meer lezen over dit onderzoek kan hier.

drs Antoine van Vlodorp RA CIA CFSA

Het nieuwe Three Lines Model: de belangrijkste wijzigingen

In juli 2020 publiceerde het Instituut van Internal Auditors (IIA) een update van het Three Lines of Defense (3LOD) model. De wijze waarop de update werd aangekondigd, deed vermoeden dat er belangrijke wijzigingen zijn doorgevoerd. Maar wat zijn die wijzigingen?

We zetten kernachtig de aanleiding en de belangrijkste wijzigingen voor u op een rij.

De aanleiding voor de update van het 3LOD model vond het IIA vooral in de volgende punten:

  1. Het model werd als te star c.q. weinig flexibel gezien, o.a. om snel in te kunnen spelen op veranderingen.
  2. Het straalde een silo-benadering uit.
  3. De benadering was te reactief en negatief (defensief).

Er zijn vele wijzigingen te onderkennen in het nieuwe Three Lines Model.

Dit zijn wat ons betreft de belangrijkste c.q. meest opvallend:
  • Het woord Defense is uit de naamgeving van het model gehaald, om te benadrukken dat verdedigen niet de primaire focus hoort te zijn. Net als in de nieuwste Code Corporate Governance wordt het belang van waardecreatie en -bescherming benadrukt.
  • De genoemde lijnen worden nu beschouwd als rollen, in tegenstelling tot structuren, die op verschillende manieren kunnen worden gecombineerd of gescheiden. Daarbij dient uiteraard wel rekening te worden gehouden met de geldende principes van het model (zie verderop).
  • De benadering is nu volledig vanuit het brede begrip Governance, in plaats van het smallere Risicomanagement. Governance wordt ingevuld door drie elementen, namelijk: Accountability, Actions en Assurance & Advice.
  • Het onderscheid tussen de Governing Body (Het Bestuursorgaan) en Senior Management is komen te vervallen. De vraag dient zich daarmee aan, waartoe de Raad van Bestuur volgens Nederlands two-tier gebruik behoort. Conform de beschrijving van de rol van de Governing Body (waarin het o.a. gaat over het bepalen van de risk appetite, delegeren en resources beschikbaar stellen) lijkt de Raad van Bestuur ook onderdeel te zijn van de Governing Body.
  • De 1e en 2e lijn vallen nu duidelijker allebei onder de verantwoordelijkheid van Management. De tweede lijn is concreter neergezet als ondersteuning van de 1e
  • Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:
    • Governance.
    • Rollen van het bestuursorgaan.
    • Management en eerste- en tweedelijnsrollen.
    • Derdelijnsrollen.
    • Derdelijns onafhankelijkheid.
    • Het creëren en beschermen van waarde.
  • Binnen de 6 principes kunnen organisaties het Three Lines Model flexibel vormen naar de eigen organisatiedoelen. Zo kunnen ook de lijnen / rollen zijn samengevoegd binnen 1 functie. Voor de samenvoeging van de 3e lijnsrol Internal Audit met een 2e lijns rol, wordt expliciet aangegeven dat in die situatie een externe partij (in plaats van Internal Audit) een onafhankelijke uitspraak dient te doen over de kwaliteit van de 2e
  • Er wordt benadrukt dat de ‘alignment’ van activiteiten door de verschillende lijnen vooral wordt bereikt door zowel duidelijke rollen, als coördinatie, communicatie en samenwerking tussen functies en professionals.Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:

Sander van Oosten, Partner bij ARC People, specialist in Audit, Risk en Compliance

De lessen van het Wirecard-schandaal voor Internal Audit

De fraude binnen Wirecard is inmiddels in korte tijd veel becommentarieerd. Het management functioneerde niet, de externe accountant EY functioneerde niet en ook de Duitse toezichthouder voor de financiële markten (BaFin) functioneerde niet. In alle stukken die ik tot dusverre heb gelezen, kwam ik het vakgebied internal audit niet direct tegen. (meer…)

Innovatie en ethiek in Internal Audit

Alweer twee jaar geleden schreef ik een blog dat ik me zorgen maakte over het ‘future-proof’ houden van ons mooie vak Internal Audit. Dit heeft er mede in geresulteerd dat ik nu deel mag uitmaken van de Innovatie-commissie van het IIA (waarvan de binnenkort de eerste resultaten worden gedeeld). Gezien mijn deelname hieraan en mijn intrinsieke interesse in het vakgebied internal audit, bekijk ik veel artikelen, die ik vooral lees vanuit de optiek: wat betekent dit voor (de innovatie van) ons vakgebied?

(meer…)

Help! Ik krijg een software audit.

De afgelopen maanden is er in de media veel aandacht besteed aan de werkwijze van de grote Software leveranciers zoals Oracle, IBM etc. De onvrede is groot over de Software Audits (ook wel License Review genoemd) die door de grote Software leveranciers worden uitgevoerd. Torenhoge claims kunnen de uitkomst zijn van deze Software Audits en het kost altijd veel tijd, menskracht en geld om deze claims succesvol af te handelen c.q de claims te verlagen of van tafel te krijgen. (meer…)

Newer posts