Blog Archieven - Pagina 6 van 6

Grotere diversiteit aan auditvragen vraagt om flexibiliteit

In Nederland kennen we ongeveer 900 internal audit functies. Dat aantal groeit nog steeds. De groei zit vooral in de kleinere audit functies. Niet alleen het aantal audit functies groeit, ook de diversiteit aan auditvragen, neemt de afgelopen jaren toe. En daarmee nemen ook de uitdagingen toe.

Klein en fijn, maar met uitdagingen

80% van de internal audit functies in Nederland bestaat uit minder dan 5 fte. Een relatief kleine audit functie kent vele voordelen. Je bent wendbaar, er zijn korte lijnen en je wordt gedwongen om de meest relevante onderwerpen te kiezen. Natuurlijk geeft het ook uitdagingen. Het is bijvoorbeeld moeilijker om in te spelen op piekbelastingen en om blijvend te beschikken over de gewenste en veranderende inhoudelijke kennis. Want de praktijk is: risico’s veranderen en komen sneller op; auditvraagstukken variëren sterker en worden steeds meer thematisch.

“Er zijn steeds nieuwe audittechnieken, waaronder data-analyse, nodig om efficiënt en relevant te blijven.”

Er zijn bijna geen ‘standaard’ audits meer, alles wordt maatwerk. Ook zijn steeds nieuwe audittechnieken (waaronder data-analyse) nodig om efficiënt en relevant te blijven. Verder is audit-innovatie noodzakelijk om met minder uren, meer resultaat te boeken. Als laatste, maar niet minder belangrijk, is het noodzakelijk om ondanks alle uitdagingen compliant te zijn aan de IIA Standards (daarover meer in mijn volgende blog).

Flexibiliteit in capaciteit én kennis zijn te organiseren

De steeds uitdagender wordende realiteit van de internal audit functie kan het hoofd worden geboden door capaciteit, flexibiliteit en kennis weloverwogen te organiseren in relatie tot de behoefte. Veelal gebeurt dat door middel van een samenwerkingsconstructie.

Driehoek capaciteit kennis flexibiliteit

Sommige audit functies kiezen voor de inzet van business auditors, dat kan een deel van de behoefte invullen. Maar vanwege de noodzakelijke afstand van de 3^e linie tot 1^e en 2^e linie zien we bij onze klanten de behoefte aan een duurzame samenwerkingsconstructie in de vorm van co-sourcing.

Als vaste co-souringspartij kennen wij de organisatie, zijn we ingespeeld op de noodzaak om snel professionals te leveren met de juiste kennis én competenties en kunnen we de auditwerkzaamheden uitvoeren op de momenten dat dat het meest zinvol is. Capaciteit, flexibiliteit en/of specialistische kennis worden daarbij op- en afgeschaald naar behoefte. Gerichte inzet van auditspecialisten zorgt op deze manier ook voor kostenbesparingen, doorlooptijden van audits worden verkort en krapte op de arbeidsmarkt wordt ondervangen. Eén van de belangrijkste factoren om bij een co-sourcingsrelatie rekening mee te houden is een goede kennisoverdracht en -borging. Natuurlijk besteden we daar veel zorg aan, net als het onderhouden van de relatie gedurende de langjarige samenwerking.

Meer weten over co-sourcing

Wilt u meer weten of een keer sparren over co-sourcing? Ontdek onze diensten of neem contact op met Sander van Oosten.

Co-sourcing Contact

Een internal auditor voor Ajax? Schot voor open doel

Een beetje oplettende lezer heeft het vast gezien: door een administratieve fout is de nieuwe miljoenen spits Sébastien Haller van Ajax niet opgenomen op de spelerslijst voor de Europa League en mag daarom dit seizoen niet in deze belangrijke competitie spelen. ‘Het gaat om een detail met hele grote consequenties’, zei de trainer Ten Hag. Van de spits wordt veel verwacht. Voor de beeldvorming: met een transfersom van 22,5 miljoen euro is het de duurste aankoop ooit van een Nederlandse club!

Hoe kan zoiets gebeuren, vraag je je af, als er zulke belangen spelen? Het zover mogelijk komen in de Europa League levert miljoenen op. Met een jaaromzet van 162 miljoen zijn dat toch aanzienlijke bedragen. Ik ben gelijk maar eens gaan kijken in het jaarverslag van Ajax. Hoe zit het met risicomanagement en internal audit? Het is immers een beursgenoteerde onderneming en de Corporate Governance Code is van toepassing.

In het jaarverslag 2019/2020 vind je een uitgebreide risicoparagraaf met aandacht voor de Corporate Governance Code volgens het principe ‘comply or explain’. De 10 belangrijkste risico’s staan keurig opgesomd, inclusief de bijbehorende beheersmaatregelen. Er is ook een three lines model, maar daar is iets geks mee aan de hand. De managers zijn de 1st line of defence. De 2nd line of defence zijn de afdelingen Finance & Control en Legal & Compliance. Er is dus geen specifieke risicomanagementfunctie (wat niet direct een issue hoeft te zijn). Wat wel vreemd is: de afdeling Finance & Control heeft ook een rol als internal auditor, de 3rd line of defence, samen met de externe accountant. Quote uit de risicoparagraaf: “De RvC en de auditcommissie concluderen dat de ‘3rd line of defence’ naar behoren functioneert en dat daarom geen separate interne auditor nodig is.“

Je gaat het pas zien als je het doorhebt

Uit het jaarverslag is niet op te maken of er binnen de afdeling Finance & Control scheiding is tussen de uitvoerders van de 2^e lijns werkzaamheden en de 3^e lijnswerkzaamheden, maar duidelijk is dat het governance systeem op een cruciaal punt niet heeft gewerkt. Is het risico nooit geïdentificeerd, is er geen beheersmaatregel gedefinieerd, of heeft deze nooit gewerkt? Achteraf is het de koe in de kont kijken, maar wellicht is een separate functie van risicomanager en een functie van internal auditor toch niet zo’n gek idee? Om met een groot ajacied te spreken: “je gaat het pas zien als je het doorhebt”. Dat geldt zeker ook voor interne beheersing.

Als liefhebber van deze vakgebieden en voetbal (van Ajax), bied ik Ajax graag onze diensten aan en om de tegenvaller van de Haller-casus een klein beetje te compenseren, tegen een gereduceerd tarief. Een vrijblijvende sparringssessie over een gedegen én efficiënte inrichting van de three lines kan altijd.

Dit laatste geldt natuurlijk ook voor andere organisaties. Neem gerust even contact op via marc@arcpeople.nl of 06 52 07 31 62.

Toezicht DNB: werk aan de winkel voor risk management en internal audit

DNB is de laatste jaren aan het versnellen als het gaat om het verdiepen en specifiek maken van het toezicht. Een aantal recente publicaties van DNB laat zien hoe dat toezicht er in de toekomst uitziet. Zo ook de recent verschenen DNB publicatie “Visie op toezicht 2021 – 2024”. Dit is een interessante publicatie voor onder toezicht staande instellingen, omdat het aangeeft hoe een onder toezicht staande instelling in kan spelen op die veranderende manier van toezicht. Na het lezen van deze publicatie is duidelijk dat er behoorlijk wat werk aan de winkel is voor deze instellingen.

Een korte samenvatting van de veranderingen in het toezicht:

Het toezicht in Nederland zal steeds meer worden gestuurd door Europese ontwikkelingen, door wet- en regelgeving vanuit de Europese Commissie en publicaties van verschillende Europese financiële toezichthouders;
Datakwaliteit en Informatie (cyber) beveiliging zijn én blijven hele belangrijke onderwerpen. Al eerder bracht DNB de Good Practice Informatiebeveiliging en de Guidance Datakwaliteit uit. Het voldoen aan deze normatieve publicaties is een enorme opgave. Het is juist hier dat de competenties van de risk manager en de internal auditor kunnen worden ingezet voor het belang van de gehele organisatie. DNB vereiste al eerder het uitvoeren van Control Self Assessments, waarbij de 1e en de 2e lijn zélf onderzoeken of ze voldoen aan de normen. De verwachting is dat DNB meer gebruik gaat maken van assessments en analyses van risk management van de instelling, bij voorkeur gevalideerd door de internal auditor;
De komende jaren is het data, data en nog eens data. DNB zal zelf inzage vragen in data van de instelling. Deze gaan de nu al vereiste periodieke rapportages aanvullen en mogelijk zelfs deels vervangen. Besef goed wat daar staat: DNB gaat in de data zelf kijken! Datakwaliteit wordt onvermijdelijk het belangrijkste onderwerp de komende jaren. Dit betekent dat van zowel risk management als internal audit mag worden verwacht dat ze de flink wat aandacht besteden aan dat onderwerp, ieder vanuit de eigen rol in de organisatie. Deze verandering zal in veel gevallen betekenen dat extra capaciteit, maar vooral ook aanvullende kennis noodzakelijk is;
DNB kan fouten zelf ontdekken in de data en het spreekt voor zich dat de instelling dit beter kan voorkomen. Datakwaliteit is mede afhankelijk van ‘data quality by design’ en kan alleen worden bereikt door een optimale interne beheersing en ontwikkeling onder architectuur;
Cyber security specifiek en informatiebeveiliging in zijn algemeenheid moeten op orde zijn. DNB verwacht een continue investering in weerbaarheid en (bestuurders-)awareness én dat instellingen “zelf aantonen dat ze hun informatiebeveiliging op orde hebben”. Daarmee doelt DNB erop dat er Control Self Assessments worden uitgevoerd die (weer) worden gevalideerd door de Internal Auditor. De verwachting is dat veel instellingen moeite zullen hebben met aantonen dat ze ‘op orde zijn’. We verwachten een sterke invloed vanuit de 2e lijn om de 1e lijn te helpen om de maatregelen goed te implementeren, maar ook om zelf aan te tonen dat de maatregelen hebben gewerkt. Risk management kan de 1e lijn ondersteunen bij het implementeren van de controls en de Control Self Assessments, terwijl Internal Audit haar rol in de 3e lijn kan benutten voor het leveren van de (brood)nodige onafhankelijke assurance;
Diezelfde eis van aantoonbaarheid geldt voor de toeleveranciers van instellingen. Outsourcing wordt daarmee één van de volgende belangrijke onderwerpen, met de noodzakelijke ISAE3402 verklaringen van de dienstverleners en het implementeren van service level management voor alle uitbestede diensten;
Van bestuurders en commissarissen wordt een verhoogd kennisniveau verwacht op het vlak van informatiebeveiliging. Het verwijzen naar de IT security manager bij een vraag over IT security zal naar alle waarschijnlijkheid niet worden geaccepteerd;
Kunstmatige Intelligentie, nu al regelmatig aanwezig in de vorm van chatbots, maar ook steeds vaker in bedrijfsprocessen, vereist de nodige beheersmaatregelen. De algoritmisering van businessprocessen kan en mag niet leiden tot mindere mate van beheersing en het functioneren van bedrijfsprocessen;
Outsourcing, van IT of bedrijfsprocessen, blijft een speerpunt van DNB. DNB benoemt zelfs (en dat is uitzonderlijk) een positieve ontwikkeling, namelijk het vaker inzetten van onafhankelijke IT auditors bij de beoordelingen van cybersecurity en uitbestedingsmaatregelen;
Duurzaamheidsrisico’s vormen een relatief nieuw speerpunt. Erg concreet is DNB daar nog niet over, maar de verwachting is dat DNB vooral de samenwerking gaat opzoeken, juist om dit concreter te maken;
Verandervermogen is een nieuw speerpunt, met daaraan gekoppeld het aansluiten van het bedrijfsmodel op het risicoprofiel. Ontwikkelingen gaan snel en DNB ziet het verschil tussen IT bedrijven en financiële instellingen vervagen. Risico beheersing moet altijd geborgd blijven, zowel in stabiele omgevingen als dynamische. Fintech is niet de toekomst, Fintech is het heden.

ARC People helpt een aanzienlijk aantal banken, verzekeraars en pensioenfondsen met deze vraagstukken vanuit zowel het risicomanagementperspectief als internal audit perspectief. Benieuwd naar onze visie? Neem dan contact op met één van onze partners, Marc van Heese of Sander van Oosten.

Internal auditor, blijf niet langer langs de zijlijn staan!

Wereldwijd hebben overnames de afgelopen jaren ongekende niveaus bereikt. Zelfs of juist tijdens de huidige economische en sociale crisis door COVID-19 blijven overnames sexy. Het is bijna dagelijks dat op handen zijnde overnames worden aangekondigd of uitlekken. Dit terwijl volgens economen het ergste van de huidige crisis nog moet komen. Zoals bekend zet een flinke overname een organisatie in de spotlights. Overnames dragen vaak bij aan versnelde groei van een organisatie en toename van de waarde van de onderneming. Toch is een groot deel van de overnames onsuccesvol met vaak enorme strategische en operationele risico’s voor de organisatie als gevolg.

Uit onderzoek blijkt echter dat internal audit ondanks haar proactieve, risicogebaseerde, assurancegerichte aanpak in veel gevallen niet betrokken is bij het overnameproces van de overnemende organisatie en daarmee niet effectief bijdraagt aan de beheersing van de strategische en operationele risico’s en het succes van de overname. Dit is onterecht. De verwachting van beleggers, toezichthouders en externe accountants is dat internal audit wel een assurancerol of adviesrol pakt ten aanzien van overnames. Onderzoek toont aan dat internal audit wel degelijk een assurancerol of adviesrol kan en moet pakken bij overnames, maar dat bestuurders en commissarissen nog wel overtuigd moeten worden van toegevoegde waarde en capaciteiten van internal audit.

Internal audit blijkt uit onderzoek de meeste toegevoegde waarde te hebben in de fasen: Deal Structuring (inclusief het Due Diligence proces), Post-acquisition integration en Post-acquisition evaluation. Chief Audit Executives (CAE’s), directies en commissarissen worstelen echter in de praktijk met de vraag of internal audit het overnameproces moet onderzoeken en hoe internal audit kan bijdragen aan de beheersing van de strategische en operationele risico’s van een overname. en daarmee het succes van fusies en overnames vergroten. Deels komt dit omdat internal auditors nog relatief weinig de beheersing van strategische risico’s binnen organisaties onderzoeken en zich vooral richten op de beheersing van tactische en operationele risico’s, in het verleden niet eerder bij een overnameproces betrokken zijn geweest en/of bestuurders de kennis en vaardigheden van de internal auditfunctie ten aanzien van het overnameproces als ontoereikend inschatten.

Zoals Winston Churchill ooit zei ‘Never waste a good crisis’. Deze COVID-19 crisis is het moment om de toegevoegde waarde van internal audit te tonen en actief betrokken te worden bij (geplande) overnames en daarmee bij te dragen aan het succes van de overname. Maar CAE’s wees realistisch in wat je kan leveren en welk onderdeel/onderdelen van het overnameproces internal audit

Meer lezen over dit onderzoek kan hier.

drs Antoine van Vlodorp RA CIA CFSA

Het nieuwe Three Lines Model: de belangrijkste wijzigingen

In juli 2020 publiceerde het Instituut van Internal Auditors (IIA) een update van het Three Lines of Defense (3LOD) model. De wijze waarop de update werd aangekondigd, deed vermoeden dat er belangrijke wijzigingen zijn doorgevoerd. Maar wat zijn die wijzigingen?

We zetten kernachtig de aanleiding en de belangrijkste wijzigingen voor u op een rij.

De aanleiding voor de update van het 3LOD model vond het IIA vooral in de volgende punten:

Het model werd als te star c.q. weinig flexibel gezien, o.a. om snel in te kunnen spelen op veranderingen.
Het straalde een silo-benadering uit.
De benadering was te reactief en negatief (defensief).

Er zijn vele wijzigingen te onderkennen in het nieuwe Three Lines Model.

Dit zijn wat ons betreft de belangrijkste c.q. meest opvallend:

Het woord Defense is uit de naamgeving van het model gehaald, om te benadrukken dat verdedigen niet de primaire focus hoort te zijn. Net als in de nieuwste Code Corporate Governance wordt het belang van waardecreatie en -bescherming benadrukt.
De genoemde lijnen worden nu beschouwd als rollen, in tegenstelling tot structuren, die op verschillende manieren kunnen worden gecombineerd of gescheiden. Daarbij dient uiteraard wel rekening te worden gehouden met de geldende principes van het model (zie verderop).
De benadering is nu volledig vanuit het brede begrip Governance, in plaats van het smallere Risicomanagement. Governance wordt ingevuld door drie elementen, namelijk: Accountability, Actions en Assurance & Advice.
Het onderscheid tussen de Governing Body (Het Bestuursorgaan) en Senior Management is komen te vervallen. De vraag dient zich daarmee aan, waartoe de Raad van Bestuur volgens Nederlands two-tier gebruik behoort. Conform de beschrijving van de rol van de Governing Body (waarin het o.a. gaat over het bepalen van de risk appetite, delegeren en resources beschikbaar stellen) lijkt de Raad van Bestuur ook onderdeel te zijn van de Governing Body.
De 1^e en 2^e lijn vallen nu duidelijker allebei onder de verantwoordelijkheid van Management. De tweede lijn is concreter neergezet als ondersteuning van de 1^e
Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:
- Governance.
- Rollen van het bestuursorgaan.
- Management en eerste- en tweedelijnsrollen.
- Derdelijnsrollen.
- Derdelijns onafhankelijkheid.
- Het creëren en beschermen van waarde.
Binnen de 6 principes kunnen organisaties het Three Lines Model flexibel vormen naar de eigen organisatiedoelen. Zo kunnen ook de lijnen / rollen zijn samengevoegd binnen 1 functie. Voor de samenvoeging van de 3^e lijnsrol Internal Audit met een 2^e lijns rol, wordt expliciet aangegeven dat in die situatie een externe partij (in plaats van Internal Audit) een onafhankelijke uitspraak dient te doen over de kwaliteit van de 2^e
Er wordt benadrukt dat de ‘alignment’ van activiteiten door de verschillende lijnen vooral wordt bereikt door zowel duidelijke rollen, als coördinatie, communicatie en samenwerking tussen functies en professionals.Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:

Sander van Oosten, Partner bij ARC People, specialist in Audit, Risk en Compliance

De lessen van het Wirecard-schandaal voor Internal Audit

De fraude binnen Wirecard is inmiddels in korte tijd veel becommentarieerd. Het management functioneerde niet, de externe accountant EY functioneerde niet en ook de Duitse toezichthouder voor de financiële markten (BaFin) functioneerde niet. In alle stukken die ik tot dusverre heb gelezen, kwam ik het vakgebied internal audit niet direct tegen.

Maar uiteraard kan ik wat gemist hebben in de hoeveelheid publicaties. Op de website van Financial Times wordt gesproken over een intern onderzoek naar verdachte transacties in Azië door een ‘intern compliance team’. Mogelijk wordt hiermee Internal audit bedoeld, maar dat kan ik zo niet achterhalen.

De vraag die mij als internal auditor intrigeert is ‘welke rol speelde de internal auditor in deze fraude?’. Laat ik voorop stellen dat de externe accountant deze fraude van niet bestaande omzet en cash had moeten vaststellen. Maar had Internal Audit dit niet moeten signaleren van deze fraude moeten hebben?

Ik merkte dat ik nieuwsgierig was of er uberhaupt een internal audit afdeling is bij Wirecard. Op de site van Wirecard was het ‘Investor Relations’ deel van de website niet meer bereikbaar. Ik was geïnteresseerd in de gepubliceerde jaarrekeningen en of daar iets vermeld staat over Internal audit. Een search op linkedin leert dat er wel degelijk internal auditors in dienst waren bij Wirecard. Misschien heeft internal audit ook een rol gehad in het constateren van de fraude, maar vooralsnog weten we dit niet. Ik hoop dat hier later meer duidelijk over wordt.

Welke lessen zijn uit dit schandaal te trekken voor internal audit? Ik zie in ieder geval de volgende lessen:

1. Gebruik data-analyse.

95% van de winst leek te komen uit transacties met 3 partner bedrijven. Ik weet niet de hoeveelheid partner bedrijven waar Wirecard zaken mee deed, maar dat winst of geen winst afhankelijk is van drie relaties is de moeite waard om verder te onderzoeken en op z’n minst dit te benoemen als een groot risico.

2. Voer periodiek een cultuur audit uit.

Om deze fraude lange tijd uit te voeren en een bedrag van 1,9 miljard te fingeren kan het haast niet anders dan dat hier meerdere functies en lagen aan meegewerkt moeten hebben, in een cultuur met ongewenst gedrag.

3. Neem ‘red flags’ serieus.

Tussen 2015 en 2018 publiceerde de Financial Times al meerdere artikelen over de wijze van accounting en vreemde overnames. Begin 2019 lag de focus van de FT in meerdere artikelen op mogelijke fraude.

4. Er is niet mis met een ‘gewone’ order to cash audit.

Als internal auditors leveren we graag zoveel mogelijk toegevoegde waarde aan onze stakeholders en hebben we het over de strategie, IT security, cultuur audits etc. En daar is helemaal niks mis mee (zoals ik hierboven schets), maar geregeld kijken naar de basis (al dan niet riskbased, op basis van een data-analyse), blijkt toch een noodzaak.

Marc van Heese is partner bij ARC People.

Innovatie en ethiek in Internal Audit

Alweer twee jaar geleden schreef ik een blog dat ik me zorgen maakte over het ‘future-proof’ houden van ons mooie vak Internal Audit. Dit heeft er mede in geresulteerd dat ik nu deel mag uitmaken van de Innovatie-commissie van het IIA (waarvan de binnenkort de eerste resultaten worden gedeeld). Gezien mijn deelname hieraan en mijn intrinsieke interesse in het vakgebied internal audit, bekijk ik veel artikelen, die ik vooral lees vanuit de optiek: wat betekent dit voor (de innovatie van) ons vakgebied?

(meer…)

Help! Ik krijg een software audit.

De afgelopen maanden is er in de media veel aandacht besteed aan de werkwijze van de grote Software leveranciers zoals Oracle, IBM etc. De onvrede is groot over de Software Audits (ook wel License Review genoemd) die door de grote Software leveranciers worden uitgevoerd. Torenhoge claims kunnen de uitkomst zijn van deze Software Audits en het kost altijd veel tijd, menskracht en geld om deze claims succesvol af te handelen c.q de claims te verlagen of van tafel te krijgen. (meer…)