Lieuwe Koopmans

Het hing al een tijdje in de lucht en wat zich in de praktijk bij een aantal voorlopers al aftekende, kreeg eind 2016 expliciet een plek in de nieuwe Corporate Governance Code. De codecommissie, onder leiding van Jaap van Manen, besloot dat de internal auditfunctie (IAF) een belangrijke pijler is in het interne-risicomanagementsysteem van een bedrijf of organisatie en legde dat in een aantal richtlijnen ook daadwerkelijk vast.

De IAF krijgt een directe rapportage- en overleglijn met de raad van bestuur en met het audit committee. En dit RvC-orgaan keurt tevens de benoeming (en het ontslag) van het hoofd van de IAF goed en beoordeelt het door de IAF opgestelde controleplan. Deze maatregelen moeten directie en commissarissen in staat stellen interne risico's eerder te signaleren, zekerheid te krijgen over de risicobeheersing en daar zo nodig actie in te ondernemen. 

NBA-onderzoek

Een belangrijke vraag is wat dit betekent voor de samenwerking tussen internal audit en de externe accountant. Volgens Van Manen werken de twee nauw samen en zijn ze in zekere zin complementair. Een onderzoek door NBA-LIO en IIA Nederland uit 2016 liet zien dat de samenwerking bij veel bedrijven en instellingen al op een of andere manier is vormgegeven. Maar ook dat in de intensiteit van het contact veel variatie bestaat. Zo had zeventig procent van de ondervraagde internal auditors regelmatig overleg met de externe accountant en derhalve dertig procent niet. Daarnaast stemde tachtig procent het eigen jaarplan af met de externe accountant, maar slechts een derde betrok de externe accountant in de risicoanalyse waarop het jaarplan is gebaseerd. Bijna negentig procent van de internal auditors deelt de onderzoeksrapporten met de externe accountant. 

Om in aanvulling op deze geaggregeerde cijfers meer zicht op de verhalen van de werkvloer te krijgen, ging Accountant.nl op zoek naar praktijkervaringen van zowel internal auditors als externe accountants. Hoe intensief is hun contact, wat is de inhoudelijke afstemming en waar begint de verantwoordelijkheid van de één en eindigt de verantwoordelijkheid van de ander? En niet onbelangrijk: zijn er gevolgen voor de controle op de jaarrekening? Vijf verhalen uit de praktijk. 

'We delen informeel gegevens over gedrag en cultuur'

Daco Daams is managing director Group Business Risk & Audit Randstad.
"We hebben iedere maand contact met de externe accountant. We weten van elkaar wat we doen en stemmen dit onderling af. Uiteraard ook bij het maken van ons jaarplan: bij de risicoanalyse treden we hierover al in overleg met elkaar. Soms nemen we suggesties van de externe accountant over, bijvoorbeeld om een assessment te doen op een bepaald bedrijfsproces zoals bij de verwerking van klantcontracten. Anderzijds is lang niet alles relevant voor de accountant, aangezien zij toch een focus hebben op financial reporting.

'We delen alle rapporten en onderzoeksresultaten met de externe accountant.'

We delen alle rapporten en onderzoeksresultaten met de externe accountant. Zij gebruiken dit om hun risicoanalyses te voeden voor hun eigen controleplan en om de resultaten van hun eigen controles mee te vergelijken. Daarnaast heeft het delen van informatie ook een informele component. Bij dit informal sharing bespreken we wat we als IAF waarnemen op het vlak van gedrag en cultuur, iets wat je vaak moeilijk kunt vatten in vastomlijnde normenkaders en waar je dus ook niet altijd eenvoudig schriftelijk over kunt rapporteren. Een goed gesprek past daar beter. Deze 'afdronk' helpt de accountant en de internal auditor om bepaalde accenten te leggen in zijn audit en rapportage.

De externe accountant steunt bij de jaarrekeningcontrole niet volledig op het werk van onze IAF. Daar is een formele COS 610 voor ons niet relevant. Voor Deloitte en ons is 'niet steunen op' een bewuste keuze, omdat wij ons als Internal Audit vooral richten op 'management control' en de aandachtsgebieden die onze executive board en audit committee aanwijzen, zoals business risks, IT-systemen en operationele bedrijfsprocessen. Het heeft als gevolg dat er dus sprake kan zijn van dubbel werk, door reguliere afstemming beperken we dat dan tot het minimum. Wel maken wij over en weer gebruik van de controles op de IT-systemen."

'Audit committee stimuleert samenwerking IAF en externe accountant'

Maureen Vermeij-de Vries is hoofd IAF zorgverzekeraar CZ.
"Omdat we zowel operational, IT als financial audits uitvoeren, en bij dat laatste ook betrokken zijn bij de jaarrekeningcontrole, hebben we behoorlijk vaak contact met de externe accountant. We geven zelf gecertificeerde verklaringen af voor besloten verkeer, bijvoorbeeld bij de gegevensaanleveringen aan de Nederlandse Zorgautoriteit. Daarnaast voldoen we aan alle COS 610-criteria, dus de externe accountant kan formeel gezien steunen op onze werkzaamheden. Wat wij belangrijk vinden is juist die kritische blik van buiten, daarmee kan de externe accountant zijn toegevoegde waarde leveren. Daar waar mogelijk binnen de regels, verrichten wij al het voorwerk voor de externe accountant. Dat voorkomt onnodige organisatiebelasting en beheerskosten. Bij het opstellen van onze jaarplannen nemen we ieders risicoanalyse door en bespreken we nadrukkelijk waar we complementair zijn in de uitvoering van de werkzaamheden. De raad van bestuur daagt ons hiertoe ook uit.

We delen onze rapportages en onderzoeksresultaten via periodiek overleg. De lijnen zijn kort en we weten elkaar wanneer nodig ook informeel te vinden. Daarnaast zetten we na afronding van onze werkzaamheden onze elektronische dossiers open voor de externe accountant. Ze kunnen op een voor hun geschikt moment op afstand inloggen. Op die manier kan de accountant ook volgen of de actiepunten als gevolg van een onderzoek zijn opgevolgd. Omgekeerd kunnen wij voor wat betreft kennis delen een beroep doen op het vaktechnisch bureau van de accountantsorganisatie.

'Ons audit committee is groot voorstander van een sterke samenwerking tussen de IAD en de externe accountant.'

Ons audit committee is groot voorstander van een sterke samenwerking tussen de IAD en de externe accountant. We hebben per jaar een aantal formele ARC-besprekingen, maar er is ook periodiek bilateraal overleg met de ARC waarin de samenwerking expliciet aan de orde komt."

'Toezichthouders verwachten wisselwerking'

Leon Jansen is partner Audit & Assurance bij BDO.
"Als accountant ben ik onder meer betrokken bij de audit van financiële instellingen. Daar is het contact intensief, gemiddeld één keer per maand. Bij het jaarplan van de IAF is ons uitgangspunt dat een aantal risico's het werk van beide partijen moet raken. Wij leggen het IAF-plan naast onze eigen planning en stemmen de aanpak af met de IAF. Meestal worden onze suggesties door de IAF overgenomen. Dat is overigens wederzijds, wij volgen ook belangrijke risico's die de IAF signaleert. We bespreken daarnaast onze rapportages, zoals de management letter, in concept met de internal auditor, waarbij we ervaringen uit de controle delen. Je ziet dat toezichthouders en audit committee deze wisselwerking tussen interne en externe accountant ook verwachten. 

Daarnaast ben ik ook accountant van Nederlandse dochters van buitenlandse beursfondsen. Daar beperkt het contact zich vooral tot momenten wanneer de buitenlandse IAF in Nederland is. We richten ons dan met name op de onderzoeksrapporten die betrekking hebben op het onderdeel dat we controleren. We nemen er kennis van en kijken naar de onderliggende dossiers.

'Mijn indruk is dat veel ondernemingen hun internal auditafdeling vooral inzetten voor operational audits, gericht op het toetsen van de interne beheersing.'

Mijn indruk is dat veel ondernemingen hun internal auditafdeling vooral inzetten voor operational audits, gericht op het toetsen van de interne beheersing. De nieuwe governance code hecht daar nu ook meer belang aan. Niet al deze audits zijn voor ons interessant, aangezien sommige audits betrekking hebben op specifieke bedrijfsprocessen die geen materiële financiële stromen of risico's raken en ook geen invloed hebben op de verslaggeving. In de praktijk steunen we af en toe direct op het werk van de IAF's bij de jaarrekeningcontrole. Daar wordt wel een aantal eisen aan gesteld. Daarnaast blijf je als externe accountant verantwoordelijk en moet je zelf voldoende betrokken zijn. Gezien het werk dat daar voor beide partijen aan vast zit moet het om een behoorlijke audit gaan, wil het efficiënt zijn."

'We zitten grotendeels in hetzelfde controledomein'

Linda Braam en Ferry Timp zijn interne accountant bij respectievelijk de gemeenten Alkmaar en Leiden.
Braam: "Gemiddeld genomen hebben we eenmaal per maand contact met de externe accountant. Bij de jaarrekeningcontrole spreiden we het contact over de verschillende controleonderdelen. Door het jaar heen hebben we op eigen initiatief contact over bijvoorbeeld veranderende regelgeving, zoals de decentralisatie van het sociaal domein.

In de praktijk kun je ons zien als een vooruitgeschoven post van de externe accountant. Bij de overheid en dus ook bij gemeenten gaat het naast de getrouwheid ook om de rechtmatigheid van de uitgaven, bijvoorbeeld bij inkoop en aanbesteding. Dat is een belangrijk onderdeel van ons werk en daar liggen dus ook de belangrijkste risico's die terugkomen in ons jaarplan, die we bespreken met de accountant. Ze maken gebruik van onze onderzoeksresultaten bij de jaarrekeningcontrole. Vanuit de risicoanalyse doet de accountant steekproefsgewijs een check op de dossiers.

Als je kijkt naar het officieel steunen op het werk van de internal auditor door de externe accountant, dan vielen we in 2015 nog wel onder COS 610, maar in 2016 niet vanwege strakkere AFM-regelgeving. Voor 2017 zijn we hier nog over in gesprek."

'De accountant doet suggesties voor verbetering van het interne auditplan en bepaalt zelf zijn eigen accenten voor zijn controle.'

Timp: "Ook wij hebben gemiddeld eens per maand contact met de externe accountant. Omdat we grotendeels in hetzelfde 'controledomein' zitten, omtrent de getrouwheid en rechtmatigheid van financiële stromen en jaarrekeningposten, kunnen we makkelijk afstemmen. Daarnaast delen we het concept van het auditplan en discussiëren daar ook over, vooral over de achterliggende risicoanalyse. De accountant doet suggesties voor verbetering van het interne auditplan en bepaalt zelf zijn eigen accenten voor zijn controle, bijvoorbeeld ten aanzien van wet- en regelgeving waar we mee te maken hebben. 

Bij de jaarrekeningcontrole is de externe accountant vanwege de COS 610-criteria nu wel strenger bij de vraag of ze op ons werk kunnen steunen. Op zichzelf vindt de accountant het prettig dat we als internal auditor veel werkzaamheden op het vlak van getrouwheid en rechtmatigheid verrichten. In de praktijk kunnen ze daarmee dus toch veel aanvullende zekerheid halen uit onze conclusies en bevindingen. Maar ze nemen het werk niet volledig over en trekken hun eigen plan vanuit hun eigen verantwoordelijkheid, onder meer door onafhankelijke selecties op de te controleren processen en jaarrekeningposten."

'We wijzen de IAF op de externe omgeving'

Rogier van Adrichem is audit partner bij PwC.
"Als auditpartner ben ik betrokken bij de controle van een aantal banken, waaronder één zeer grote. Het contact met de IAF's is zeer frequent, met die van de grote bank bijna dagelijks. Dit komt vooral omdat bij banken de internal auditors betrokken zijn bij de jaarrekeningcontrole. Als externe accountant zetten wij daarbij de lijnen uit, de IAF voert op basis daarvan een aantal controletaken uit. Afhankelijk van het risico van de gecontroleerde post doen wij nog een aanvullende check. Zo'n negentig procent van deze IAF-controles is procesgericht, aangezien de focus bij de IAF's toch ligt op operational audit.

We bespreken het conceptjaarplan van de IAF altijd in detail. Daarbij brengen we vooral in om behalve naar de interne organisatie ook te kijken naar de externe omgeving. Wat gebeurt er met de concurrentie, de klanten en de regelgeving en wat voor risico's brengt dit met zich mee? Mijn indruk is dat dit perspectief wel gehoor vindt, ik zie het nu vaker terugkomen in de jaarplannen.

We ontvangen alle onderzoeksresultaten en rapportages van de IAF. Als externe accountant let ik dan onder meer op wat voor impact het kan hebben op de jaarrekeningcontrole. Als een internal auditor bijvoorbeeld constateert dat er op een bepaalde plek geen functiescheiding is, dan is dat voor ons relevant. Daarnaast volgen we op kwartaalbasis of de aanbevelingen die de IAF's doen ook daadwerkelijk worden opgevolgd. Voor ons is dat een signaal dat de desbetreffende bank een lerende organisatie is en uiteindelijk zorgt dat ervoor dat onze audit makkelijker gaat.

Dit soort ideeën zie je nu terugkomen in de corporate governance code. Verder zie je bij banken dat ook de toezichthouders hier meer naar kijken. Zowel de EBA als het Basel-comité geven in de governance van een bank de IAF een steviger rol."