Magazine 01 september 2009

Lessen uit de kredietcrisis

Naar aanleiding van de kredietcrisis zal het risicomanagement van veel financiële instellingen worden herijkt. De interne auditfunctie is een cruciale schakel in dat geheel.

Dit artikel is verschenen in de Accountant nr. 9, 2009

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Rob Schouten en Karin van Hulsen

Internal auditfunctie onmisbaar bij risicobeheersing van financiële instellingen

De kredietcrisis, het financieel congres op 10 juni 2009 en de debatbijeenkomst op 23 juni 2009 over de aanbevelingen van de Adviescommissie Toekomst Banken (Commissie Maas) hebben duidelijk gemaakt dat risicomanagement en het monitoren daarvan extra aandacht vragen. Zoals Arnold Schilder, oud-directeur van De Nederlandsche Bank en huidig voorzitter van de International Auditing and Assurance Standards Board, op 10 juni 2009 opmerkte is het hierbij geen kwestie van aandacht voor het ‘systeem’ of de ‘mens’, maar een kwestie van aandacht voor beide.

In beide bijeenkomsten kwam de overlegstructuur tussen financiële instelling, accountant (internal auditor en externe accountant), actuaris (waar relevant) en prudentiële toezichthouder ter sprake. In de financiële sector wordt deze overlegstructuur aangeduid met de term ‘tripartiete overleg’. Lessen uit de crisis leiden ertoe dat het risicomanagement van financiële instellingen in veel gevallen zal worden herijkt. Gezocht zal worden naar een nieuw evenwicht tussen het risicopro- fiel en de interne beheersing daarvan. Een goede monitoring van dit proces is cruciaal. In het kader van het tripartiete overleg wordt gewerkt aan manieren om pro-actiever, vaker en gerichter over het risicomanagement te discussiëren. Gebleken is dat de internal auditfunctie een belangrijke schakel in dit geheel vormt. Een goede aanleiding dus om in gesprek te gaan met enkele deelnemers aan het tripartiete oveleg** en om terug te blikken op beide door het NIVRA geor- ganiseerde bijeenkomsten.

Commissie Maas

Tijdens het financieel congres van 10 juni 2009 stond centraal dat het risicoprofiel van een financiële instelling en de interne beheersing van de risico's goed op elkaar moeten zijn afgestemd. Dit moet ook in het tripartiete overleg naar voren komen. Naast kennis over de business en het bijbehorende risicoprofiel, is kennis nodig over de manier waarop deze risico's worden bewaakt via de AO/IB.

Juist de internal auditor is goed gepositioneerd om zich hierover een oordeel te vormen. De rol van de internal auditfunctie zou echter meer geprofileerd en uitgedragen moeten worden.

In het rapport van de commissie Maas kwam de internal auditor er bekaaid van af. Maas gaf tijdens het congres toe dat de positie en het toegenomen belang van de internal auditfunctie in de aanbevelingen een zwaardere nadruk hadden moeten krijgen.

Kredietcrisis

De kredietcrisis heeft veel discussie uitgelokt over de kwaliteit van de governance en het risicomanagement. De internal auditor is de aangewezen persoon om hier uitspraken over te doen en de uitdaging is nu om deze rol ten volle te benutten.

Een andere les uit de kredietcrisis is dat het van belang is om op macro- en microniveau risico-informatie te verzamelen. Dit is van belang om tijdig trends of ontwikkelingen te signaleren. Ook in dit proces kunnen internal auditors een belangrijke rol gaan spelen.

Soft controls

Veel internal auditfuncties vervullen de hun toebedeelde rol al op een professionele en deskundige wijze. De professionaliteit van de internal auditor is, naast zijn technische deskundigheid, vooral gelegen in het kunnen inschatten van de (inter)menselijke component als onderdeel van de bedrijfscultuur. Het komt meer aan op het kunnen inschatten van cultuuraspecten, gedragingen, integriteit en andere meer soft control-achtige aspecten. Thijs Smit (zie ook ‘de Accountant’ van maart 2009) en John Bendermacher geven aan dat soft controls meer en meer onderdeel van audits worden omdat deze controls relatief sterk bijdragen aan het realiseren van de beheersdoelstellingen.

Organisatie en takenpakket

Het financieel congres en de debatbijeenkomst hebben de meerwaarde van de internal auditfunctie overduidelijk naar voren gebracht. Het geven van een oordeel over de kwaliteit van de beheersing van de operationele processen is zeker in de financiële sector core business geworden, volgens John Bendermacher, Thijs Smit en Harrie de Poot.

De organisatie van de IAF moet nauw aansluiten op de business. Vanwege de diepgaande kennis van de business en de processen richten veel internal auditfuncties zich primair op operational en IT auditing. Daar kunnen zij een hoge toegevoegde waarde bieden. Daarbij wordt de controle van de jaarrekening (financial auditing) vaak geheel of gedeeltelijk overgelaten aan de externe accountant.

Overleg bestuur en commissarissen

Het bedrijfseigen karakter en de complexiteit van financiële instellingen vraagt van de auditor een gedegen kennis van organisatie en bedrijfsvoering. Door deze in vele jaren opgebouwde kennis en de dagelijkse betrokkenheid, kennen de internal auditors de business tot in de haarvaten. Juist door de bundeling van deze businesskennis en auditkennis kan de internal auditfunctie komen tot hoogwaardige auditrapporten die serieus worden genomen door de raad van bestuur en de raad van commissarissen. Rapporten ook die de basis vormen voor betere beheersing van processen, zeker daar waar de risico's te hoog oplopen. Binnen interne auditfuncties wordt steeds meer samengewerkt in multidisciplinaire teams, om zo ook voldoende businessdeskundigheid te kunnen inzetten. De internal auditfunctie voert in dat kader intensief overleg met en legt verantwoording af aan respectievelijk de raad van bestuur en de raad van commissarissen.

Early warning-functie

Door de centrale plaats die governance en risk management innemen in de checks and balances van een organisatie zijn ze voor de instelling, de interne audit, de externe accountant en De Nederlandsche Bank van grote betekenis bij het beoordelen of de instelling in control is. Interne beheersing is core business geworden en daarmee is het tijdig signaleren van onevenwichtigheden cruciaal. Kernachtig gezegd gaat het om een internal audit-functie die de vinger aan de pols van de instelling houdt en een early warning-functie kan vervullen. Uiteraard is het management de eerstverantwoordelijke om als first line of defence tijdig bij te sturen. Afdelingen als Control, Risk management en Compliance moeten er als second line of defence op toezien dat binnen de gestelde kaders wordt geacteerd. De internal auditfunctie spreekt zich als third line of defence uit over de vraag of de interne beheersing adequaat is.

Externe accountant

De externe accountants Dick Korf en Lex van Overmeire hebben zeer positieve ervaringen met internal auditfuncties en geven aan dat interne auditors bij een financiële instelling een onmisbare schakel zijn in het beheersingsraamwerk. Een doorlopende afstemming tussen de internal auditfunctie en de externe accountant, De Nederlandsche Bank en andere betrokkenen over risicoanalyses, planning, auditrapporten en bevindingen wordt steeds belangrijker.

Er wordt steeds meer een proactieve houding gevraagd om risicovolle of niet beheerste situaties tijdige te herkennen en bespreekbaar te maken. Wel moeten er duidelijke spelregels zijn over de communicatie en informatieoverdracht. Zowel Korf als Van Overmeire constateert een groei in professionaliteit van de internal audit-functie waardoor binnen de instelling steeds meer draagvlak wordt gecreëerd. De externe accountant zal dan ook sterker gebruik gaan maken van de bevindingen van de IAF. Bij sommige instellingen leidt dat al tot het gemeenschappelijk uitbrengen van een management letter.

De Nederlandsche Bank

Ook De Nederlandsche Bank erkent het belang van een internal auditfunctie. Toezichtregels bevatten reeds bepalingen dat zowel de internal auditfunctie als de externe accountant de toereikendheid van de interne beheersing toetst. De communicatie en afstemming in het tripartiete overleg verloopt goed, al zou het volgens Nic van der Ende van DNB nog meer proactief en gerichter kunnen zijn.

De Nederlandsche Bank onderzoekt momenteel hoe het tripartiete overleg verder kan worden verbeterd.

Van belang is dat het tripartiete overleg integraal onderdeel uitmaakt van het samenspel tussen instelling, toezichthouder, accountant en actuaris. Een punt van aandacht daarbij is wel dat men niet in elkaars vaarwater terechtkomt, omdat dit aanleiding kan geven tot irritaties. Ook wordt met een andere bril naar risico's gekeken.

Belangrijk is om op micro- en macroniveau risico-informatie te verzamelen. Het tijdig signaleren en waarschuwen voor (dreigende) ongewenste situaties is daarbij een belangrijke doelstelling. Het daadwerkelijk iets doen met die signalen vergt een cultuur waarbij instelling, toezichthouders en accountants (intern en extern) in open dialoog (kunnen) treden.

Schone taak

Uit de gesprekken met deelnemers aan het TPO komt een behoorlijke mate van consensus naar voren. Vanwege haar professionaliteit en businesskennis is de internal auditfunctie de vinger direct aan de (risico)pols te houden. Het zijn van tool of control namens de raad van bestuur en het audit committee vergt veel stuurmanskunst om vertrouwen op te bouwen, dan wel opgebouwd vertrouwen niet te verliezen. Een professionele internal auditfunctie wordt serieus genomen als ze waarmaakt wat ze belooft. Er rust een schone taak op de schouders van de internal auditfunctie.

Noot
Rob Schouten en Karin van Hulsen zijn binnen de afdeling Beleid & Innovatie van het NIVRA werkzaam als coördinator en medewerker Capital Markets.

Voor dit artikel is gesproken met de internal auditors John Bendermacher (directeur Internal Audit van Robeco), Thijs Smit (directeur Internal audit SNS Reaal) en Harrie de Poot (hoofd Professional Practice van Audit Rabobank Groep), met de externe accountants Dick Korf (partner KPMG en voorzitter van de NIVRA Sectorcommissie Banken Beleggingsinstellingen en Beleggingsondernemingen) en Lex van Overmeire (partner E&Y en voorzitter NIVRA Sectorcommissie Verzekeraars en Pensioenfondsen), en met DNB (Nic van der Ende).