Nieuws 16 maart 2016

PwC: 'Begrijpen externe risico's uitermate belangrijk voor auditcomité'

Het begrijpen van en anticiperen op risico's die voortkomen uit relaties met derden is een van de belangrijkste taken van het auditcomité, maar de mate van blootstelling aan die risico's wordt vaak onderschat.

Dat schrijft PwC in het rapport 'Oversight of third-party risks'. Om de mate van blootstelling duidelijk te maken neemt PwC de grote bedrijven uit de Fortune 500 als voorbeeld. 89 bedrijven uit de Fortune 500 hebben elk meer dan 100.000 leveranciers. Samen hebben ze meer dan 9 miljoen relaties met directe leveranciers.

Elke relatie brengt een bepaalde mate van risico met zich mee. Een bedrijf dat een product of service levert wordt door de klanten van dat bedrijf veelal gezien als geheel verantwoordelijk voor de levering ervan. Problemen bij leveranciers van dat bedrijf worden meestal niet gezien als een goed excuus om de dienst of het product niet te leveren; dat risico had het bedrijf aan het einde van de keten moeten voorzien.

PwC heeft daarom een aantal richtlijnen opgesteld die auditcomités kunnen gebruiken om de risico's bij hun bedrijf zoveel mogelijk te beperken:

• Due diligence wat betreft reputatie en mogelijkheden - van enquêtes tot online onderzoek tot bezoekjes; probeer zoveel mogelijk te weten te komen over een derde partij.
• De juiste rapportagestructuur voor compliance van derden - dit heeft te maken met de governance; het moet duidelijk zijn wie er bij het bedrijf de leiding heeft over het managen van derde partijen.
• Goede contracten en richtlijnen - het beschermen van het intellectuele eigendom van het bedrijf, het trainen van werknemers en het recht om een audit uit te voeren bij een derde partij.
• Het recht om de relatie te beëindigen - het moet duidelijk zijn omschreven onder welke omstandigheden het mogelijk is een relatie per direct te beëindigen, zodat hier geen misverstand over kan ontstaan en zodat voorkomen wordt dat het bedrijf aan een leverancier vastzit.
• Een goed klokkenluiderssysteem - het moet mogelijk zijn voor belangrijke werknemers bij derde partijen om misstanden aan het bedrijf te melden.

Verder noemt PwC nog een aantal doorlopende procedures die auditcomités zouden moeten handhaven:

• Auditing en monitoring van derde partijen met een hoog risicoprofiel – derde partijen kunnen om verschillende redenen een hoog risicoprofiel hebben: valutakoersen, de mate van belangrijkheid voor de continuïteit van de service van het bedrijf, de locatie (bijvoorbeeld een land met veel corruptie), etc. Deze partijen  moeten continu gecontroleerd worden.
• Het regelmatig eisen van compliance-rapporten.
• Gebruikmaken van het recht om een audit uit te voeren – in het contract moet staan dat het bedrijf een audit mag uitvoeren bij een derde partij, maar dit moet ook regelmatig worden gedaan, omdat het ook een signaal afgeeft dat het bedrijf compliance serieus neemt.
• Het monitoren van cijfers en rapportage - elke derde partij moet op regelmatige basis relevante cijfers kunnen laten zien, maar het bedrijf moet ook proberen zoveel mogelijk continu inzage te houden in de belangrijkste indicatoren. De mate waarin dit mogelijk is hangt uiteraard van het bedrijf af.