Internal audit (IA) wordt nog niet door iedere bestuurder volledig op waarde geschat. Soms wordt het wat al te gemakkelijk op één lijn gesteld met de interne accountant. Onterecht, want een goede internal audit helpt de complete organisatie vooruit en bestrijkt een veel breder gebied dan alleen de financiën en de verslaglegging. Jantien Heimel (hoofd internal audit bij Vattenfall NV en voorzitter van beroepsvereniging IIA, Instituut van Internal Auditors Nederland) en Peter Hartog (manager vaktechniek bij IIA Nederland) vertellen over de meerwaarde van hun vak.
Hartog denkt dat de rol van internal auditing in een organisatie over het algemeen nog niet goed bekend is. Het wordt vaak makkelijk over één kam geschoren met interne accountancy. Dat is soms logisch, maar lang niet altijd. Een internal auditor kijkt veel breder dan alleen naar de financiën en verslaglegging. Een internal audit is een systematisch onderzoek naar het goed en betrouwbaar functioneren van de interne organisatie. Niet alleen om de waarde van de organisatie te beschermen, maar ook om die te verhogen. Dat onderzoek behelst dus ook het innovatie- en aanpassingsvermogen. Het blikveld is de bekende drie-eenheid bestuur, risicomanagement en beheersing van de organisatie, dus governance, compliance en risk management.
“Internal auditing is in beginsel geen verplichte functie, maar in de financiële sector wel. In de Code Corporate Governance voor beursgenoteerde ondernemingen wordt ook gesteld dat je als organisatie een internal audit functie moet hebben, om de risico’s verbonden aan de strategie en de activiteiten van de organisatie te beoordelen, en moet evalueren en uitleggen als dat niet zo is.” In die zin is het opvallend dat het vak nog geen algemene bekendheid geniet, want zowel Hartog als Heimel zijn ervan overtuigd dat internal auditing een absolute meerwaarde biedt aan elke organisatie. Heimel: “Een interne auditor toetst belangrijke processen aan de strategie van het bedrijf, met de bedoeling het bedrijf of de organisatie vooruit te helpen, door te wijzen op risico’s en met management te overleggen over de mogelijke maatregelen om die te managen, zodat je de doelen van het bedrijf gaat halen.”
Compliance
Compliance, of in goed Nederlands: de zorg dat je voldoet aan wet- en regelgeving, zit verweven in de rol van internal auditing. Als je kijkt naar de kwaliteit van de organisatie of meer specifiek naar de kwaliteit van beheersing, kijk je naar het waarborgen dat de organisatie de gestelde doelen bereikt met inachtneming van wet- en regelgeving. “Compliance wordt daarom automatisch meegenomen. Veel organisaties, zeker in de financiële sector, hebben een eigen compliancefunctie. Deze functionaris kijkt naar wijzigingen in de relevante wet- en regelgeving en de vertaling daarvan naar interne richtlijnen, inclusief monitoring of ook aan de richtlijnen wordt voldaan”, vertelt Hartog. De compliancefunctie wordt meer gezien als een tweedelijnsfunctie, waar de internal auditor een onafhankelijke derdelijnsfunctie is, die feitelijk kijkt of de eerste- en tweede lijn goed werken. Dit is het three lines of defence-model dat door veel organisaties wordt gehanteerd, waarbij de derde lijn – de internal auditor – kijkt of het geheel goed is opgezet en in de praktijk goed functioneert.
Cultuur
De cultuur van een organisatie is een belangrijk punt van aandacht voor internal auditing. “Als je wilt waarborgen dat een organisatie op succesvolle wijze de strategie volgt, kom je al snel uit bij de cultuur”, beschrijft Hartog het belang van dit onderwerp voor de internal auditor. “Waar we als auditors sterk op focussen is dat we objectief en met een deugdelijke grondslag iets zeggen over de organisatie. Tegelijkertijd is cultuur maar heel moeilijk tastbaar en meetbaar. Het is lastig om er een objectief oordeel over te geven. Dat geeft een spanningsveld; al langere tijd zoekt het vakgebied naar oplossingen hiervoor.” Hartog denkt dat Nederland op dit punt vooroploopt, mede door gebruik van ervaringen uit de sociale wetenschappen. Het auditen van cultuur is ondanks het spanningsveld, gegeven het belang daarvan, iets wat toch zo goed mogelijk wordt gedaan.
Heimel: “Oorzaken van problemen die zich in de organisatie hebben voorgedaan, zijn vaak te herleiden naar de cultuur. Daarom is het zeker voor een internal auditor een punt van aandacht. Uiteindelijk kun je over het algemeen een redelijk advies geven en beoordelen of de cultuur van de organisatie past bij de gestelde doelen.” Ook in de Code Corporate Governance wordt cultuur als heel belangrijk onderdeel (‘voor de lange termijn waardecreatie’) van de organisatie benoemd. Anders gezegd: als je als auditor kijkt naar governance, moet je dus ook kijken naar cultuur. Het is niet voor niets dat steeds meer sociale wetenschappers, die bekend zijn met verschillende modellen om gedrag en cultuur te meten, worden ingezet in de internal audit.
Digitalisering
Een ander onderwerp dat zich snel ontwikkelt, is digitalisering. IT is zo langzamerhand tot in de haarvaten van elke organisatie doorgedrongen en is daarmee van existentieel belang. Heimel: “Je ziet dat audits door Interne Audit Functies op dit gebied regelmatig worden geoutsourcet aan specialisten op specifieke IT-onderwerpen. Allerlei onderdelen van digitalisering worden steeds meer specifiek en ik verwacht dat outsourcen meer zal gaan gebeuren, of dat een auditor op dit gebied dit bij verschillende organisaties doet.” Veel organisaties benutten in hoge mate de voordelen van digitalisering, maar krijgen ook te maken met de risico’s, zoals cybercrime. Een auditor neemt die risico’s mee in de beoordeling en brengt het onder de aandacht van het management. “Je hoeft geen specialist te zijn, maar ik vind wel dat elke auditor basiskennis moet hebben over dit onderwerp, ook om een goed gesprek met IT’ers te hebben en de goede vragen te stellen, de antwoorden te snappen en het risico in te kunnen schatten. Een ander aspect is beoordelen of een organisatie de kansen van digitalisering wel optimaal benut.
Op basis van uitgebreide analyse van grote hoeveelheden data wordt het meer en meer mogelijk om als auditor zelfs voorspellende uitspraken te doen. Daarmee wordt internal auditing steeds meer een vak dat verandert van ‘achteruit kijken’ naar ‘vooruit kijken’. En: “De kennis verandert snel. De beroepsverenigingen, zoals het Instituut van Internal Auditors, kunnen goed helpen om de kennis up-todate te houden. En het is belangrijk om als auditor gewoon in de maatschappij te staan, om gevoel te houden bij ontwikkelingen op dit vlak en open te staan voor veranderingen.”
Gedragscode
Om relevant te zijn en te blijven voor de organisatie, is het zaak dat de internal auditor zich voortdurend ontwikkelt en op de hoogte blijft van allerlei ontwikkelingen, bijvoorbeeld regelgeving. Het kwaliteitsprogramma van de IIA biedt normen en standards voor de beroepsgroep. Wie lid is en zich afficheert als internal auditor, moet voldoen aan de gedragscode en standaarden van het IIA. Onderdeel van de standaarden is een jaarlijkse zelfevaluatie en eens in de vijf jaar een beoordeling door een externe. Die beoordeling wordt georganiseerd vanuit de IIA.