Skip to main content

Blog Archives

Newer posts

Internal auditor, blijf niet langer langs de zijlijn staan!

Wereldwijd hebben overnames de afgelopen jaren ongekende niveaus bereikt. Zelfs of juist tijdens de huidige economische en sociale crisis door COVID-19 blijven overnames sexy. Het is bijna dagelijks dat op handen zijnde overnames worden aangekondigd of uitlekken. Dit terwijl volgens economen het ergste van de huidige crisis nog moet komen. Zoals bekend zet een flinke overname een organisatie in de spotlights. Overnames dragen vaak bij aan versnelde groei van een organisatie en toename van de waarde van de onderneming. Toch is een groot deel van de overnames onsuccesvol met vaak enorme strategische en operationele risico’s voor de organisatie als gevolg. 

Uit onderzoek blijkt echter dat internal audit ondanks haar proactieve, risicogebaseerde, assurancegerichte aanpak in veel gevallen niet betrokken is bij het overnameproces van de overnemende organisatie en daarmee niet effectief bijdraagt aan de beheersing van de strategische en operationele risico’s en het succes van de overname. Dit is onterecht. De verwachting van beleggers, toezichthouders en externe accountants is dat internal audit wel een assurancerol of adviesrol pakt ten aanzien van overnames. Onderzoek toont aan dat internal audit wel degelijk een assurancerol of adviesrol kan en moet pakken bij overnames, maar dat bestuurders en commissarissen nog wel overtuigd moeten worden van toegevoegde waarde en capaciteiten van internal audit. 

Internal audit blijkt uit onderzoek de meeste toegevoegde waarde te hebben in de fasen: Deal Structuring (inclusief het Due Diligence proces), Post-acquisition integration en Post-acquisition evaluation. Chief Audit Executives (CAE’s), directies en commissarissen worstelen echter in de praktijk met de vraag of internal audit het overnameproces moet onderzoeken en hoe internal audit kan bijdragen aan de beheersing van de strategische en operationele risico’s van een overname. en daarmee het succes van fusies en overnames vergroten. Deels komt dit omdat internal auditors nog relatief weinig de beheersing van strategische risico’s binnen organisaties onderzoeken en zich vooral richten op de beheersing van tactische en operationele risico’s, in het verleden niet eerder bij een overnameproces betrokken zijn geweest en/of bestuurders de kennis en vaardigheden van de internal auditfunctie ten aanzien van het overnameproces als ontoereikend inschatten. 

Zoals Winston Churchill ooit zei ‘Never waste a good crisis’. Deze COVID-19 crisis is het moment om de toegevoegde waarde van internal audit te tonen en actief betrokken te worden bij (geplande) overnames en daarmee bij te dragen aan het succes van de overname. Maar CAE’s wees realistisch in wat je kan leveren en welk onderdeel/onderdelen van het overnameproces internal audit 

Meer lezen over dit onderzoek kan hier.

drs Antoine van Vlodorp RA CIA CFSA

Het nieuwe Three Lines Model: de belangrijkste wijzigingen

In juli 2020 publiceerde het Instituut van Internal Auditors (IIA) een update van het Three Lines of Defense (3LOD) model. De wijze waarop de update werd aangekondigd, deed vermoeden dat er belangrijke wijzigingen zijn doorgevoerd. Maar wat zijn die wijzigingen?

We zetten kernachtig de aanleiding en de belangrijkste wijzigingen voor u op een rij.

De aanleiding voor de update van het 3LOD model vond het IIA vooral in de volgende punten:

  1. Het model werd als te star c.q. weinig flexibel gezien, o.a. om snel in te kunnen spelen op veranderingen.
  2. Het straalde een silo-benadering uit.
  3. De benadering was te reactief en negatief (defensief).

Er zijn vele wijzigingen te onderkennen in het nieuwe Three Lines Model.

Dit zijn wat ons betreft de belangrijkste c.q. meest opvallend:

  • Het woord Defense is uit de naamgeving van het model gehaald, om te benadrukken dat verdedigen niet de primaire focus hoort te zijn. Net als in de nieuwste Code Corporate Governance wordt het belang van waardecreatie en -bescherming benadrukt.
  • De genoemde lijnen worden nu beschouwd als rollen, in tegenstelling tot structuren, die op verschillende manieren kunnen worden gecombineerd of gescheiden. Daarbij dient uiteraard wel rekening te worden gehouden met de geldende principes van het model (zie verderop).
  • De benadering is nu volledig vanuit het brede begrip Governance, in plaats van het smallere Risicomanagement. Governance wordt ingevuld door drie elementen, namelijk: Accountability, Actions en Assurance & Advice.
  • Het onderscheid tussen de Governing Body (Het Bestuursorgaan) en Senior Management is komen te vervallen. De vraag dient zich daarmee aan, waartoe de Raad van Bestuur volgens Nederlands two-tier gebruik behoort. Conform de beschrijving van de rol van de Governing Body (waarin het o.a. gaat over het bepalen van de risk appetite, delegeren en resources beschikbaar stellen) lijkt de Raad van Bestuur ook onderdeel te zijn van de Governing Body.
  • De 1e en 2e lijn vallen nu duidelijker allebei onder de verantwoordelijkheid van Management. De tweede lijn is concreter neergezet als ondersteuning van de 1e
  • Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:
    • Governance.
    • Rollen van het bestuursorgaan.
    • Management en eerste- en tweedelijnsrollen.
    • Derdelijnsrollen.
    • Derdelijns onafhankelijkheid.
    • Het creëren en beschermen van waarde.
  • Binnen de 6 principes kunnen organisaties het Three Lines Model flexibel vormen naar de eigen organisatiedoelen. Zo kunnen ook de lijnen / rollen zijn samengevoegd binnen 1 functie. Voor de samenvoeging van de 3e lijnsrol Internal Audit met een 2e lijns rol, wordt expliciet aangegeven dat in die situatie een externe partij (in plaats van Internal Audit) een onafhankelijke uitspraak dient te doen over de kwaliteit van de 2e
  • Er wordt benadrukt dat de ‘alignment’ van activiteiten door de verschillende lijnen vooral wordt bereikt door zowel duidelijke rollen, als coördinatie, communicatie en samenwerking tussen functies en professionals.Het is een principle based model geworden. Er zijn 6 principes voor het model beschreven, die als basis gelden voor de toepassing van het model. Deze principes zijn:

Sander van Oosten, Partner bij ARC People, specialist in Audit, Risk en Compliance

De lessen van het Wirecard-schandaal voor Internal Audit

De fraude binnen Wirecard is inmiddels in korte tijd veel becommentarieerd. Het management functioneerde niet, de externe accountant EY functioneerde niet en ook de Duitse toezichthouder voor de financiële markten (BaFin) functioneerde niet. In alle stukken die ik tot dusverre heb gelezen, kwam ik het vakgebied internal audit niet direct tegen.

Maar uiteraard kan ik wat gemist hebben in de hoeveelheid publicaties. Op de website van Financial Times wordt gesproken over een intern onderzoek naar verdachte transacties in Azië door een ‘intern compliance team’. Mogelijk wordt hiermee Internal audit bedoeld, maar dat kan ik zo niet achterhalen.

De vraag die mij als internal auditor intrigeert is ‘welke rol speelde de internal auditor in deze fraude?’.  Laat ik voorop stellen dat de externe accountant deze fraude van niet bestaande omzet en cash had moeten vaststellen. Maar had Internal Audit dit niet moeten signaleren van deze fraude moeten hebben?

Ik merkte dat ik nieuwsgierig was of er uberhaupt een internal audit afdeling is bij Wirecard. Op de site van Wirecard was het ‘Investor Relations’ deel van de website niet meer bereikbaar. Ik was geïnteresseerd in de gepubliceerde jaarrekeningen en of daar iets vermeld staat over Internal audit. Een search op linkedin leert dat er wel degelijk internal auditors in dienst waren bij Wirecard. Misschien heeft internal audit ook een rol gehad in het constateren van de fraude, maar vooralsnog weten we dit niet. Ik hoop dat hier later meer duidelijk over wordt.

Welke lessen zijn uit dit schandaal te trekken voor internal audit? Ik zie in ieder geval de volgende lessen:

1. Gebruik data-analyse.

95% van de winst leek te komen uit transacties met 3 partner bedrijven. Ik weet niet de hoeveelheid partner bedrijven waar Wirecard zaken mee deed, maar dat winst of geen winst afhankelijk is van drie relaties is de moeite waard om verder te onderzoeken en op z’n minst dit te benoemen als een groot risico.

2. Voer periodiek een cultuur audit uit.

Om deze fraude lange tijd uit te voeren en een bedrag van 1,9 miljard te fingeren kan het haast niet anders dan dat hier meerdere functies en lagen aan meegewerkt moeten hebben, in een cultuur met ongewenst gedrag.

3. Neem ‘red flags’ serieus.

Tussen 2015 en 2018 publiceerde de Financial Times al meerdere artikelen over de wijze van accounting en vreemde overnames. Begin 2019 lag de focus van de FT in meerdere artikelen op mogelijke fraude.

4. Er is niet mis met een ‘gewone’ order to cash audit.

Als internal auditors leveren we graag zoveel mogelijk toegevoegde waarde aan onze stakeholders en hebben we het over de strategie, IT security, cultuur audits etc. En daar is helemaal niks mis mee (zoals ik hierboven schets), maar geregeld kijken naar de basis (al dan niet riskbased, op basis van een data-analyse), blijkt toch een noodzaak.

Marc van Heese is partner bij ARC People.

Innovatie en ethiek in Internal Audit

Alweer twee jaar geleden schreef ik een blog dat ik me zorgen maakte over het ‘future-proof’ houden van ons mooie vak Internal Audit. Dit heeft er mede in geresulteerd dat ik nu deel mag uitmaken van de Innovatie-commissie van het IIA (waarvan de binnenkort de eerste resultaten worden gedeeld). Gezien mijn deelname hieraan en mijn intrinsieke interesse in het vakgebied internal audit, bekijk ik veel artikelen, die ik vooral lees vanuit de optiek: wat betekent dit voor (de innovatie van) ons vakgebied?

(meer…)

Help! Ik krijg een software audit.

De afgelopen maanden is er in de media veel aandacht besteed aan de werkwijze van de grote Software leveranciers zoals Oracle, IBM etc. De onvrede is groot over de Software Audits (ook wel License Review genoemd) die door de grote Software leveranciers worden uitgevoerd. Torenhoge claims kunnen de uitkomst zijn van deze Software Audits en het kost altijd veel tijd, menskracht en geld om deze claims succesvol af te handelen c.q de claims te verlagen of van tafel te krijgen. (meer…)

Newer posts

Contactformulier

Telefoon: 085-2733025

E-mail: info@arcpeople.nl

Adres:
Julianalaan 15
1213 AP Hilversum