VOR en de impact op de internal auditor

“Mag ik tekenen?” Het is de vraag die iedere Chief Audit Executive vroeg of laat krijgt van zijn CEO.

Met de komst van de Verklaring Omtrent Risicobeheersing (VOR) wordt die vraag urgenter. Bestuurders moeten zich expliciet uitspreken over de opzet, werking en effectiviteit van de interne risicobeheersings- en controlesystemen. Niet alleen voor financiële verslaggeving, maar ook voor operationele, compliance- en duurzaamheidsrisico’s. Dat vergroot de relevantie van internal audit. In deze blog gaan we in op de centrale vraag: Wat is de rol van internal audit ten opzichte van de VOR?

De VOR verandert de rol van internal audit niet… en toch ook weer wel

Formeel wijzigt de rol van de internal auditfunctie (IAF) niet. De kerntaak blijft het objectief en onafhankelijk beoordelen van de opzet en werking van governance, risicomanagement en beheersing. Maar de context verandert wel, het bestuur moet voortaan:

• de effectiviteit van de risicobeheersing beoordelen;

• daarover verantwoording afleggen; en

• en in de bestuursverklaring aangeven welke mate van zekerheid de systemen bieden.

Dit vraagt om een onderbouwing waar internal audit een bijdrage aan kan/moet leveren. Want de werkzaamheden van internal audit vormen een belangrijke pijler onder de VOR. Dat betekent dat auditors scherper moeten nadenken over:

• de reikwijdte van hun audits;

• de formulering van hun conclusies;

• de aansluiting met de risk appetite; en

• de samenhang met 1e en 2e lijn.

Hiermee ‘dwingt’ de VOR internal audit om haar rol explicieter te positioneren binnen het totale ‘assurance’-landschap.

De VOR en het Three Lines-model: wie doet wat?

De VOR is primair geen verantwoordelijkheid van internal audit. Het bestuur is en blijft eindverantwoordelijk. De 1e lijn identificeert en beheerst risico’s. De 2e lijn ondersteunt en monitort. Internal audit fungeert als onafhankelijke derde lijn.

Dat klinkt logisch maar in de praktijk zien we regelmatig:

• overlap in werkzaamheden;

• onduidelijkheid over verantwoordelijkheden;

• gaten in assurance; en/of

• dubbel uitgevoerde werkzaamheden.

De VOR vergroot de noodzaak van het effectief en efficiënt samenwerken tussen de drie lijnen. Het IIA benadrukt het belang van afstemming tussen interne en externe assuranceproviders, zodat de dekking volledig is en inefficiëntie wordt voorkomen. Voor internal audit betekent dit:

• actief het gesprek voeren over de assurance-architectuur;

• inzicht hebben in wat de 1e en 2e lijn daadwerkelijk doen; en

• waar nodig lacunes signaleren.

Een ‘assurance map’ is daarbij een praktisch instrument. Door per risicogebied inzichtelijk te maken wie welke zekerheid levert, ontstaat overzicht. Niet alleen voor audit, maar ook voor de 1^ste en 2^de lijn en juist voor het bestuur en de auditcommissie.

Aanvullende zekerheid: meer dan bevindingen opsommen

De rol van internal audit in relatie tot de VOR is het leveren van aanvullende zekerheid. Internal audit kan op verschillende manieren toegevoegde waarde bieden:

1. Audits op specifieke risicogebieden

Operational audits, compliance audits en IT-audits. De bevindingen uit deze onderzoeken vormen bouwstenen voor het oordeel over de effectiviteit van beheersing. Maar let op: alleen bevindingen rapporteren is niet genoeg. De VOR vraagt om een uitspraak over effectiviteit. Dat betekent dat auditors hun observaties moeten plaatsen in de context van onder andere doelrealisatie en risicobereidheid. Een lijst met alleen tekortkomingen zonder duiding zegt namelijk weinig over de vraag of de organisatie haar doelen binnen acceptabele risico’s realiseert.

2. Audit van het risicomanagementproces

Internal audit kan ook het proces van risicomanagement zelf beoordelen. Worden (materiële) risico’s volledig geïdentificeerd? Is de systematiek consistent? Wordt de effectiviteit periodiek beoordeeld? Met andere woorden: kan het bestuur op basis van het systeem redelijkerwijs tot een onderbouwde VOR komen? Dit zijn dus audit die niet zozeer gericht zijn op één proces, meer op het managementcontrol systeem als geheel.

3. Toetsing van de concept-VOR

Internal audit kan ook beoordelen of de conceptverklaring verenigbaar is met haar bevindingen. Zitten er spanningen tussen auditrapportages en de gekozen formulering van zekerheid? Worden tekortkomingen adequaat benoemd en is de beheerscultuur in lijn met de conceptverklaring?

Advies: waar ligt de grens?

Naast assurance kan internal audit ook adviseren.

Het IIA onderscheidt onder meer:

• Advies gericht op de onderbouwing van de VOR

• Advies gericht op de implementatie van de VOR

Denk aan:

• het helpen opzetten van een assurancemap;

• reflecteren op de materialiteitsanalyse;

• adviseren over de inrichting van het IRCS; en

• meedenken over de formulering van zekerheid.

Maar hier ligt een spanningsveld. Hoe dichter internal audit betrokken raakt bij de inrichting van het systeem, hoe scherper zij haar onafhankelijkheid moet bewaken. Zeker wanneer zij later hetzelfde systeem moet beoordelen.

De mate van volwassenheid van de 2e lijn is daarbij een belangrijk uitgangspunt. In organisaties met een sterke risk- en compliancefunctie zal internal audit zich primair richten op het geven van objectieve en onafhankelijke aanvullende zekerheid. In minder volwassen omgevingen kan tijdelijk een meer faciliterende rol nodig zijn.

De echte uitdaging: effectiviteit definiëren

Misschien wel de grootste uitdaging rond de VOR is de interpretatie van begrippen als “effectiviteit” en “mate van zekerheid”. De Code laat ruimte voor organisaties om zelf te bepalen hoe zij deze begrippen invullen. Dat klinkt comfortabel, maar het betekent dat internal audit moet meedenken over:

• Wat verstaan wij onder effectieve beheersing?

• Wanneer vinden wij de zekerheid voldoende?

• Hoe verhoudt zich dat tot onze riskappetite?

Een control kan technisch goed functioneren, terwijl het restrisico nog steeds hoog is. Een procedure kan bestaan, maar in gedrag worden genegeerd.

Effectiviteit is méér dan aanwezigheid van maatregelen. Internal audit moet daarom verder kijken dan checklists. De internal auditor moet controls verbinden aan strategische doelstellingen, betrekt cultuur en gedrag in haar oordeel en durft een integraal oordeel te geven.

Wat betekent dit concreet voor de internal auditor?

De VOR stelt internal audit voor vijf concrete opgaven.

1. Denk vanuit het totaalplaatje

Beperk je niet tot losse audits. Denk na over de samenhang. Hoe dragen jouw audits bij aan de onderbouwing van de VOR als geheel?

2. Stem actief af met 1e en 2e lijn

Zorg voor een gedeeld risicoregister en voorkom dat iedereen met zijn eigen risicobeeld werkt.

3. Formuleer scherpere conclusies

Durf je oordeel te expliciteren. Plaats bevindingen in het kader van effectiviteit en doelrealisatie.

4. Bewaak je onafhankelijkheid

Adviseer waar nodig, maar blijf helder over je rol. Transparantie hierover richting het bestuur en de auditcommissie is essentieel.

5. Ga het bestuurlijke gesprek aan

De VOR is geen technisch document. Het is een bestuurlijke verklaring. Internal audit moet daarom op bestuurlijk niveau kunnen sparren over (rest)risico’s, onzekerheden en doelrealisatie.

Van controleur naar strategische partner

De VOR biedt internal audit dus een kans, een kans om zichtbaar bij te dragen aan:

• versterking van governance;

• verbetering van risicomanagement; en

• transparantie richting stakeholders.

En dat vraagt om meer dan alleen technische kennis. Het vraagt om oordeelsvorming, communicatieve kracht, organisatiesensitiviteit en professionele moed.

De vraag “mag ik tekenen?” is niet met een simpel ja of nee te beantwoorden. Het antwoord zit in de kwaliteit van het samenspel tussen 1e, 2e en 3e lijn.

Internal audit kan daarin het verschil maken. Niet door zelf de VOR te dragen maar door ervoor te zorgen dat het bestuur haar verklaring met overtuiging kan afleggen. En dat is misschien wel de grootste waarde van ons vak!