governance, risk & compliance - executive finance€¦ · governance, risk & compliance...
TRANSCRIPT
GOVERNANCE, RISK & COMPLIANCE
EN DE INTERNAL AUDIT FUNCTIE
Afstudeerreferaat voor de Executive Master of Internal Auditing Universiteit van Amsterdam – Amsterdam Business School ir. J.M. Heijmans (Jutta) Studentnummer: 6020248 Afstudeer begeleider: drs. E.A.C.M. van Hecke RA RO CIA (Ed) Amsterdam, juli 2009
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | I
EXECUTIVE SUMMARY
Governance, Risk & Compliance (GRC) is een term die meer en meer in de vakliteratuur voorkomt. Ook
binnen mijn werkkring hoor ik deze term regelmatig. GRC is een gestructureerde aanpak van alle
governance, risk en compliance initiatieven in de organisatie. Aangezien ik verwacht dat GRC bij veel
organisaties speelt, stel ik de volgende probleemstelling centraal in dit referaat:
Ik heb bovenstaande probleemstelling onderzocht door bureauonderzoek uit te voeren naar literatuur op dit
gebied. Vervolgens heb ik de theorie getoetst door interviews te houden met (voornamelijk) Chief Audit
Executives (CAE’s) zeven grote (op één na) aan de AEX genoteerde ondernemingen.
THREE LINES OF DEFENCE?
Momenteel wordt de term “Three Lines of Defence” (figuur 2.1, pag. 5) gebruikt in zowel theorie als
praktijk en hebben de assurance-functies een plaats binnen dit model. Echter, in de theorie is er geen
overeenstemming over de indeling van de assurance-functies binnen het model. In het bijzonder met
betrekking tot de tweede lijn is men het er niet over eens welke functies hiertoe behoren. Ook in de praktijk
variëren de meningen over welke functies tot de tweede lijn behoren. Daarbij komt dat uit zowel theorie als
praktijk blijkt dat de tweede lijn assurance-functies bij veel bedrijven nog niet volwassen zijn. Hierdoor zet
ik vraagtekens bij hoe concreet dit model eigenlijk is en of het in de praktijk wel werkt.
Ik ben ervan overtuigd dat een GRC raamwerk een verbetering kan betekenen van de wijze waarop de
assurance-functies worden aangestuurd en daarmee kan ook het “Three Lines of Defence” model in de
praktijk meer betekenis krijgen. Maar het belangrijkste is in mijn ogen het verkrijgen van inzicht in de
assurance-functies in de organisatie. Wat voegen de assurance-functies nu toe aan governance,
risicomanagement en compliance? Wat zou dat moeten zijn? En wat mag dat kosten?
GRC ONTWIKKELINGEN
Volgens de theorie hebben bedrijven de afgelopen jaren door wet- en regelgeving grote investeringen
gedaan in hun assurance-functies zoals compliance, internal control, risico management en internal audit.
Daardoor zijn zowel onwenselijke dupliceringen van werkzaamheden van assurance-functies, als
onopgemerkte gaten tussen deze werkzaamheden ontstaan. Ook hebben de assurance-functies vaak eigen
definities van belangrijke termen als bijvoorbeeld risico wat voor verwarring zorgt binnen de organisatie. Dit
alles leidt tot de behoefte aan overzicht over de assurance-functies en de behoefte om efficiënter met elkaar
samen te werken. Deze behoefte was al zichtbaar voor de kredietcrisis, maar de crisis zorgt additioneel aan
Wat zijn de gevolgen van de ontwikkelingen met betrekking tot Governance, Risk &
Compliance op de internal audit functie in theorie en praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | II
de ene kant voor een toenemende behoefte aan effectieve assurance, maar aan de andere kant tot
noodzakelijke kostenreducties; een spagaat.
Bovenstaande zijn belangrijke drijfveren voor het implementeren van een GRC raamwerk. Binnen een GRC
raamwerk krijgen alle assurance-functies een plek en wordt duplicering van werkzaamheden en/of gaten
daartussen inzichtelijk gemaakt.
In de praktijk geven vrijwel alle geïnterviewde CAE’s aan met GRC bezig te zijn. GRC is in de praktijk
echter nog niet volwassen; nergens heb ik een volledig geïmplementeerd en volwassen GRC raamwerk
gezien. Doordat de zekerheid toeneemt dat alle risico’s in voldoende mate zijn afgedekt, zien CAE’s de
voordelen van het beter op elkaar aansluiten van de assurance-functies. Ook zien zij de voordelen van
afname van dubbele werkzaamheden en daarmee minder belasting van de eerste lijn. Wat mij echter
verbaasd, is dat volgens de geïnterviewde CAE’s het implementeren van een GRC raamwerk niet als een
direct middel wordt gezien om kosten te besparen.
GRC IMPLEMENTATIE
Hoewel vrijwel alle geïnterviewde CAE’s aangeven dat GRC speelt, heb ik in de praktijk grote verschillen
waargenomen in de stadia van volwassenheid ten aanzien van GRC strategie en implementatie ervan. Het
meest vergevorderd is een bedrijf waar vanuit de raad van bestuur een duidelijke visie aanwezig is ten
aanzien van GRC. De verschillende bestuursleden blijven bewust elk verantwoordelijk voor hun eigen
assurance-functies om een gezonde spanning in stand te houden. Ze maken echter wel gezamenlijk keuzes
ten aanzien van wat zij verwachten van elk van de assurance-functies. Een ander bedrijf is daarentegen nog
niet begonnen er over na te denken.
Bij alle bezochte bedrijven rapporteren de assurance-functies aan verschillende leden van de raad van
bestuur. Hierdoor is het volgens mij absoluut noodzakelijk om op dat niveau overeenstemming te hebben
en keuzes te maken over GRC. Er zullen namelijk altijd belangen spelen tussen de assurance-functies,
waardoor duidelijkheid vanuit de top noodzakelijk is om snel en voldoende overeenstemming te verkrijgen.
Tijdens de interviews zijn voorbeelden aan de orde gekomen die leiden tot suboptimale beslissingen over
GRC. Het meest sprekende voorbeeld is dat van een bedrijf waar sommige business units een
voorbereidende audit laten uitvoeren om klaar te zijn voor internal audit.
GEVOLGEN VOOR POSITIE INTERNAL AUDIT
De organisatorische positie van internal audit zal niet veranderen. De rapportagelijnen blijven hetzelfde. Dit
is logisch aangezien audit onafhankelijk moet blijven van de overige functies waar zij zekerheid over
verschaft.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | III
GEVOLGEN VOOR KERNTAAK INTERNAL AUDIT
De kerntaak van internal audit zal volgens de theorie niet veranderen door de GRC ontwikkelingen. Dit
wordt in de praktijk bevestigd, maar een aantal CAE’s verwacht wel dat de kerntaak van internal audit
duidelijker afgebakend wordt binnen het GRC raamwerk, net als de taken van de andere assurance-functies.
Assurance geven over de beheersing van risico over de volle breedte van het bedrijf blijft volgens mij de
kerntaak van internal audit.
GEVOLGEN VOOR PLANNING EN UITVOERING KERNTAAK
Resultante van GRC is dat er zicht zal bestaan in de onderneming op wie welke assurance geeft op welke
risico. Hiervoor wordt in de theorie een assurance-overzicht voorgesteld, dat de koppeling weergeeft tussen
enerzijds de strategie, doelstellingen, processen en governance van de organisatie en anderzijds de daarbij
behorende risico’s, controls en assurance die daarover door verschillende functies wordt gegeven. De mate
van assurance en kosten van deze assurance kunnen hieraan worden toegevoegd. In de praktijk wordt dit
overzicht echter pas bij één bedrijf uitgewerkt.
Omdat internal audit de meest volwassen functie is en het benodigde overzicht heeft, is internal audit bij
uitstek geschikt om het initiatief te nemen voor het opstellen van het assurance-overzicht. De raad van
bestuur kan vervolgens, gebaseerd op dit inzicht, de keuze maken welke assurance zij van welke functie
verlangt op welk risico en wat dat mag kosten.
STEUNEN OP DE ANDERE ASSURANCE-FUNCTIES
In zowel theorie als praktijk komt naar voren dat, afhankelijk van de volwassenheid van de tweede lijn
assurance-functie, internal audit meer of minder steunen kan op het werk van deze functie. Hoe meer
volwassen, hoe minder diep de audit-werkzaamheden hoeven te gaan. Om zekerheid te verschaffen over de
kwaliteit van de werkzaamheden van de functie waarop gesteund wordt dient internal audit deze functie wel
op te nemen in haar audit plan.
TOEKOMST
De belangrijkste taak van internal audit is en blijft het onafhankelijk assurance geven over de beheersing van
risico’s over de volle breedte van het bedrijf. In theorie is het zo dat wanneer het GRC raamwerk en de
functies daarbinnen meer volwassenen worden, internal audit daar meer op kan steunen en zelf minder
werkzaamheden hoeft uit te voeren. Internal audit zal dan vanuit een hoger niveau assurance geven aan de
raad van bestuur en de auditcommissie.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | IV
INHOUDSOPGAVE
EXECUTIVE SUMMARY.............................................................................................................................................. I
INHOUDSOPGAVE...................................................................................................................................................IV
1 ONDERZOEKSOPZET ........................................................................................................................................1
1.1 AANLEIDING VOOR HET ONDERZOEK ....................................................................................................................... 1 1.2 PROBLEEMSTELLING EN ONDERZOEKSVRAGEN........................................................................................................... 2 1.3 WERKWIJZE EN ONDERZOEKSMETHODE................................................................................................................... 2
2 INLEIDING GOVERNANCE, RISK & COMPLIANCE...............................................................................................4
2.1 DEFINITIE GRC ................................................................................................................................................... 4 2.2 FUNCTIES BINNEN GRC ........................................................................................................................................ 5 2.3 GRC ASSURANCE‐FUNCTIES & AFBAKENING.............................................................................................................. 5
3 GRC ONTWIKKELINGEN EN DE GEVOLGEN ‐ THEORIE .......................................................................................7
3.1 GRC ONTWIKKELINGEN ‐ THEORIE .......................................................................................................................... 7 3.2 POSITIE INTERNAL AUDIT ‐ THEORIE ...................................................................................................................... 10 3.3 KERNTAAK INTERNAL AUDIT ‐ THEORIE................................................................................................................... 11 3.4 PLANNING EN UITVOERING KERNTAAK ‐ THEORIE...................................................................................................... 12 3.5 SAMENVATTING – THEORIE ................................................................................................................................ 16
4 GRC ONTWIKKELINGEN EN DE GEVOLGEN – PRAKTIJK ................................................................................... 17
4.1 INLEIDENDE VRAGEN......................................................................................................................................... 17 4.2 GRC ONTWIKKELINGEN – PRAKTIJK ....................................................................................................................... 19 4.3 POSITIE INTERNAL AUDIT ‐ PRAKTIJK ..................................................................................................................... 20 4.4 KERNTAAK INTERNAL AUDIT – PRAKTIJK ................................................................................................................. 21 4.5 PLANNING EN UITVOERING KERNTAAK – PRAKTIJK .................................................................................................... 22 4.5 SAMENVATTING – PRAKTIJK............................................................................................................................... . 24
5 CONCLUSIE.................................................................................................................................................... 25
5.1 INLEIDING ...................................................................................................................................................... 26 5.2 GRC ONTWIKKELINGEN – THEORIE VS PRAKTIJK ....................................................................................................... 26 5.3 POSITIE INTERNAL AUDIT – THEORIE VS PRAKTIJK ..................................................................................................... 27 5.4 KERNTAAK INTERNAL AUDIT – THEORIE VS PRAKTIJK ................................................................................................. 27 5.5 PLANNING EN UITVOERING KERNTAAK – THEORIE VS PRAKTIJK..................................................................................... 28 5.6 TOEKOMST ..................................................................................................................................................... 29
BIJLAGE A – LITERATUURLIJST ................................................................................................................................ 30
BIJLAGE B – INTERVIEWPROTOCOL ........................................................................................................................ 32
BIJLAGE C – ASSURANCE‐FUNCTIES PER BEDRIJF .................................................................................................... 34
BIJLAGE D – INTERNAL AUDIT & ERM ..................................................................................................................... 35
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 1
1 ONDERZOEKSOPZET
In dit hoofdstuk wordt de opzet van het onderzoek toegelicht. Als eerste komt de aanleiding voor het
onderzoek aan bod, waaruit de probleemstelling en de onderzoeksvragen volgen. Daarna zal ik de gevolgde
werkwijze beschrijven.
1.1 AANLEIDING VOOR HET ONDERZOEK
In mijn werkomgeving spreekt men steeds vaker over Governance, Risk & Compliance (GRC). Ik doel
hiermee op het geheel aan GRC functies binnen een organisatie, niet te verwarren met de zogenaamde GRC
software. Concrete voorbeelden van GRC functies zijn bijvoorbeeld risk management, internal control en
compliance. De GRC assurance-functies worden meer en meer op elkaar aangesloten, zoals ik ook binnen
mijn eigen organisatie heb waargenomen. Het geheel dient er voor te zorgen dat organisaties ‘in control’ zijn
en effectief en efficiënt functioneren.
Aangezien ik zelf binnen internal audit werk vind ik de positie van internal audit binnen GRC en ten
opzichte van de overige (assurance) functies bijzonder boeiend. Ook de invloed van de ontwikkelingen
binnen GRC op de kerntaak van internal audit en de planning en uitvoering van de kerntaak raakt mijn
dagelijks werk. Zeker aangezien de GRC functies meer en meer op elkaar worden aangesloten, is mijn
verwachting dat dit ook impact heeft op de internal audit functie. Ik ben dan ook erg benieuwd naar de
wijze waarop andere grote bedrijven omgaan met de veranderingen met betrekking GRC en wat hierover
geschreven is.
De activiteiten van de andere assurance-functies zijn namelijk van invloed op de internal audit functie.
Zowel het bereik, als ook de aard en diepgang van de geplande audit-werkzaamheden worden erdoor
beïnvloed. Dit zowel met betrekking tot identificatie van risico’s als met betrekking tot het implementeren,
uitvoeren en beoordelen van de effectiviteit van de in de organisatie aanwezige beheersmaatregelen.
Mijn doel is om een vergelijking te maken tussen de theorie, zoals geschetst in de literatuur, en de praktijk
bij een aantal grote Nederlandse bedrijven om daarmee de ontwikkelingen op het gebied van GRC te
beschrijven en de gevolgen van deze ontwikkelingen op de internal audit functie.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 2
1.2 PROBLEEMSTELLING EN ONDERZOEKSVRAGEN
Bovenstaande leidt ertoe dat ik de volgende centrale probleemstelling heb geformuleerd, die ik door middel
van deelvragen wil onderzoeken en beantwoorden.
1.3 WERKWIJZE EN ONDERZOEKSMETHODE
De strategie die ik heb gevolgd bij het uitvoeren van dit onderzoek bestaat uit drie delen:
1. Literatuuronderzoek;
2. Praktijkonderzoek;
3. Vergelijking theorie vs. praktijk.
Deze drie onderdelen worden hieronder toegelicht.
DEEL 1 – LITERATUUR ONDERZOEK – HOOFDSTUK 3
Het eerste deel bestond uit het uitvoeren van een bureau onderzoek naar de beschikbare literatuur. Ik heb
hiervoor verschillende bronnen geraadpleegd. Dit waren voornamelijk de catalogus van de IIA/NIVRA
bibliotheek, maar ook zoekmachines op Internet, literatuur beschikbaar gesteld tijdens de vakken van de
RO opleiding en op de website van het Institute van Internal Auditors (IIA). Ook de website
www.complianceweek.com was een goede bron van informatie, aangezien deze een zeer uitgebreid GRC
gedeelte heeft. Ik heb hierbij zoektermen als Governance, Risk, Compliance, maar ook Audit en Planning
gebruikt. Met de verzamelde informatie heb ik de onderzoeksvragen vanuit de theorie beantwoord. De
gebruikte literatuur is bijgevoegd in bijlage A.
Wat zijn de gevolgen van de ontwikkelingen met betrekking tot Governance, Risk & Compliance op de internal audit functie in theorie en praktijk?
De centrale vraag leidt tot de volgende deelvragen:
1. Wat zijn de ontwikkelingen met betrekking tot GRC in de theorie?
2. Wat zijn de gevolgen hiervan op de internal audit functie in de theorie?
a. Positie binnen de organisatie;
b. Gevolgen voor de kerntaak van internal audit;
c. De planning en uitvoering van de kerntaak.
3. Wat zijn de ontwikkelingen met betrekking tot GRC in de praktijk?
4. Wat zijn de gevolgen hiervan op de internal audit functie in de praktijk?
a. Positie binnen de organisatie;
b. Gevolgen voor de kerntaak van internal audit;
c. De planning en uitvoering van de kerntaak.
5. Wat zijn de overeenkomsten en verschillen tussen theorie en praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 3
DEEL 2 – PRAKTIJK ONDERZOEK – HOOFDSTUK 4
Het tweede deel bestond uit het interviewen van (voornamelijk) Chief Audit Executives (CAE) bij een
zevental grote Nederlandse bedrijven. Het interviewprotocol dat is gebruikt voor de interviews is bijgevoegd
als bijlage B. Bij een aantal bedrijven heb ik additioneel naast de CAE ook gesproken met personen uit de
risk functie en/of personen van audit vaktechniek. In de gevallen dat ik meer dan één persoon heb
gesproken binnen één bedrijf hebben de geïnterviewden geen verschillende inzichten met betrekking tot de
GRC ontwikkelingen en de gevolgen daarvan. De interviews heb ik na afloop schriftelijk teruggekoppeld
aan de geïnterviewden.
Voor het praktijk gedeelte heb ik grote Nederlandse bedrijven gekozen vanwege de relatief volwassen
internal audit afdelingen en omdat deze bedrijven (waarschijnlijk) goed uitgewerkte GRC assurance-functies
hebben. Daarnaast vond ik het belangrijk om bedrijven uit verschillende branches in mijn onderzoek te
betrekken om zo een breed beeld te verkrijgen.
NB: De informatie die verstrekt is tijdens de interviews is geanonimiseerd verwerkt in dit referaat. De
bedrijven worden verder in dit referaat aangeduid met de letters A t/m G en in een andere volgorde
gepresenteerd dan de volgorde hierboven. In bijlage C worden voor de bedrijven de cijfers 1 t/m 7 gebruikt
in worden zij wederom in een andere volgorde weergegeven.
Met de tijdens de interviews verkregen informatie zijn de onderzoeksvragen vanuit de praktijk beantwoord.
DEEL 3 – VERGELIJKING THEORIE & PRAKTIJK – HOOFDSTUK 5
Tenslotte heb ik een vergelijking gemaakt tussen theorie en praktijk. Hier wordt duidelijk of de belangrijkste
ontwikkelingen op het gebied van GRC, zoals in de theorie beschreven, ook in de praktijk te herkennen
zijn.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 4
2 INLEIDING GOVERNANCE, RISK & COMPLIANCE
In dit hoofdstuk volgt een inleiding op Governance, Risk en Compliance. Daarna worden de functies
binnen GRC besproken en de afbakening voor dit referaat uiteengezet.
2.1 DEFINITIE GRC
Eerst wil ik een beter beeld scheppen van de onderdelen van GRC aan de hand van de definities zoals
gehanteerd door de Open Compliance and Ethics Groep (OCEG). De OCEG is een groepering van
personen uit verschillende disciplines, verschillende bedrijfstakken en uit verschillende landen die samen een
GRC raamwerk hebben beschreven in hun “Redbook”.
Governance, Risk & Compliance staan volgens [OCEG, 2009] voor:
Ik gebruik de definitie zoals opgesteld door [OCEG, 2009] als uitgangspunt voor dit referaat, aangezien ik
vind dat de verschillende GRC activiteiten goed aan bod komen binnen deze definitie. De definitie is
daarnaast gestalte gegeven door veel partijen en is van recente datum. De definitie van GRC volgens
[OCEG, 2009]:
“GRC is a system of people, processes and technology that enables an organization to:
- understand and prioritize stakeholder expectations;
- set business objectives congruent with values and risks;
- achieve objectives while optimizing risk profile and protecting value;
- operate within legal, contractual, internal, social and ethical boundaries;
- provide relevant, reliable and timely information to appropriate stakeholders; and
- enable the measurement of the performance and effectiveness of the system.
A “GRC activity” then, is any process or activity that contributes to or is part of the system.”
“Governance is the culture, values, mission, structure and layers of policies, processes and measures by which
organizations are directed and controlled.
Risk is the probability of something happening that will have an adverse impact on objectives, so Risk
Management is the systematic application of processes and structures that enable an organization to identify, assess,
analyze, optimize, monitor, improve, or transfer risk while communicating risk and risk decisions to stakeholders.
The overriding goal of risk management is to realize potential opportunities while managing adverse effects of risk.
Compliance is the act of adhering to, and the ability to demonstrate adherence to, mandated requirements defined
by laws and regulations, as well as voluntary requirements resulting from contractual obligations and internal
policies.”
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 5
2.2 FUNCTIES BINNEN GRC
Er is een veelvoud aan functies te onderscheiden binnen de GRC omgeving van organisaties. De meest
voorkomende functies binnen de GRC omgeving zijn volgens [OCEG, 2009]:
2.3 GRC ASSURANCE-FUNCTIES & AFBAKENING
Zoals bekend worden functies in ondernemingen ook wel ingedeeld naar het “Three Lines of Defence”
model. Het “Three Lines of Defence” is door [Deloitte, 2008] als volgt weergegeven:
1st Line of Defence 2nd Line of Defence 3rd Line of Defence
Business Lines
Business Control Activities
Compliance
Legal
Health & Safety
Quality
Security, investigations, etc
Audit Function
1st Line of Defence 2nd Line of Defence 3rd Line of Defence
Business Lines
Business Control Activities
Compliance
Legal
Health & Safety
Quality
Security, investigations, etc
Audit Function
Figuur 2.1 Three Lines of defence naar [Deloitte, 2008]
Dit referaat richt zich op het deel van GRC binnen de tweede en derde verdedigingslinie. Dit omvat
functies die ook wel zijn aan te duiden met (in mijn ogen) synoniemen als “GRC assurance-functies”,
“oversight functions” of “assurance providers”. Ik heb voor deze afbakening gekozen omdat ik verwacht
dat de GRC ontwikkelingen vooral invloed zullen hebben op de samenwerking tussen internal audit en de
assurance-functies uit de tweede lijn.
“GRC activities typically include: - Governance - Strategy and Business Performance Management - Risk Management - Compliance - Internal Control - Corporate Security - Legal - Information Technology - Business Ethics - Sustainability and Corporate Social Responsibility - Quality Management - Human Capital and Culture - Audit and Assurance - Finance”
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 6
Uit de complete lijst met GRC functies volgens [OCEG, 2009], heb ik de assurance-functies geselecteerd
die binnen de tweede en derde verdediginglinie vallen. Dit is een uitgebreidere lijst dan door [Deloitte, 2008]
wordt weergegeven in bovenstaande figuur, echter ik ben van mening dat functies als risk management en
internal control belangrijke assurance-functies zijn uit de tweede lijn.
De theorie is niet eenduidig over de wijze waarop functies ingedeeld worden naar de drie verdedigingslinies.
[KPMG, 2006] deelt bijvoorbeeld op een andere wijze in dan [Deloitte, 2008], vandaar dat ik mijn eigen
indeling maak op basis van de lijst van [OCEG, 2009].
De lijst met GRC assurance-functies is:
Daarnaast zijn er nog andere assurance-functies, afhankelijk van het type bedrijf, die niet specifiek genoemd
worden door [OCEG, 2009]. Health & safety dat door [Deloitte, 2008] wordt genoemd is hier een
voorbeeld van.
Voor dit referaat is de precieze afbakening van de “Three Lines of Defence” verder buiten beschouwing
gelaten. Maar het is van belang te realiseren dat momenteel in de theorie is er geen overeenstemming bestaat
over de indeling van de assurance-functies binnen het model. In het bijzonder met betrekking tot de tweede
lijn is men het er niet over eens welke functies hiertoe behoren en op basis waarvan dit zo is.
In mijn referaat worden alleen de interne GRC assurance-functies besproken. De externe accountant, die
ook assurance geeft, valt niet binnen de scope. Daarnaast worden in dit referaat enkel de functies die
assurance geven op het niveau van de raad van bestuur en de raad van commissarissen meegenomen. Op
lagere niveaus in de organisatie krijgt het lokale management wellicht assurance van andere functies, maar
dit komt in dit referaat niet aan de orde.
GRC Assurance-functies: - Risk Management - Compliance - Internal Control - Corporate Security - Legal - Quality Management - Audit and Assurance
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 7
3 GRC ONTWIKKELINGEN EN DE GEVOLGEN - THEORIE
In dit hoofdstuk komen de resultaten van het literatuuronderzoek aan bod. Welke ontwikkelingen op het
gebied van GRC zijn beschreven? Wat is de impact op de positie van internal audit in de organisatie? En:
Wat zegt de literatuur over de gevolgen voor de kerntaak en de uitvoering daarvan?
3.1 GRC ONTWIKKELINGEN - THEORIE
De eerste onderzoeksvraag wordt in deze paragraaf beantwoord:
De ontwikkelingen komen achtereenvolgens aan de orde zoals beschreven door:
- De Big Four organisaties;
- Discussie platforms (Compliance Consortium, OCEG);
- Global Audit Information Network / IIA;
- Nederlandse deskundigen.
ONTWIKKELINGEN VOLGENS DE BIG FOUR
[Deloitte, 2008] geeft aan dat er bij het verkrijgen van zekerheid over de verschillende risico’s in de
organisatie het risico op duplicering of gaten toeneemt als er geen alles overspannende coördinatie vanuit
één centraal punt plaatsvindt. Daarnaast geven zij aan dat de grootte en schaal van de verschillende functies
is toegenomen maar dat zij veelal als silo’s opereren.
Het gebrek aan overspannende planning van risico assurance leidt er vervolgens toe dat het moeilijk is om
het geheel af te stemmen op gewenste risico toleranties en doelstellingen van de organisatie. Een gevolg
hiervan kan zijn dat er onduidelijkheden ontstaan tussen de organisatie en externe partijen (zoals de externe
accountant of wetgevers).
[PWC, 2004] beschrijft dat tot nu toe de verschillende GRC functies als aparte activiteiten binnen de
organisatie werden gezien en gemanaged. Dit heeft tot gevolg dat er gaten zijn ontstaan in de
verantwoordelijkheid en communicatie, maar leidt ook tot duplicering en verwarring.
Onderzoek dat namens PWC is uitgevoerd heeft aangetoond dat veel bestuurders nu inzien dat een
geïntegreerde benadering positieve effecten heeft. [PWC, 2004] geeft ook aan dat organisaties het verband
zien tussen de GRC componenten, maar dat ze nog niet volledig in staat zijn om de uitdagingen van het
ontwikkelen van een geïntegreerde aanpak van GRC te bewerkstelligen.
Volgens [E&Y, 2007] is het onwaarschijnlijk voor veel bedrijven dat er één overzicht bestaat van het
complete landschap van beheersmaatregelen. Voor het management van de organisatie is het echter
belangrijk om zich af te vragen waar de prioriteiten met betrekking tot interne beheersing liggen en waar de
1. Wat zijn de ontwikkelingen met betrekking tot GRC in theorie?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 8
beschikbare resources moeten worden ingezet binnen de organisatie. Ook dient men zich af te vragen of de
juiste opbrengst uit deze resources wordt verkregen en wie hierover zekerheid verschaft.
[KPMG, 2008] geeft aan dat een GRC strategie kan helpen bij het verlagen van kosten, om operationele
deficiënties te identificeren, beheersmaatregelen the rationaliseren en om risico’s te identificeren en te
managen. Ook [KPMG, 2008] geeft aan dat een geïntegreerde aanpak binnen een gedeeld raamwerk hierbij
het beste werkt.
ONTWIKKELINGEN VOLGENS DISCUSSIE PLATFORMS
[OCEG, 2008 1] geeft aan dat uit onderzoek blijkt dat ongeveer twee derde van de respondenten (250
bedrijven) worden geraakt door redundante of inconsistente GRC processen. Ze onderkennen dat de
“silo’s” binnen hun bedrijf vaak leidt to dubbele inspanning, overbodige oplossingen, hogere kosten en
toenemend risico. Een overgrote meerderheid geeft aan ze een consistente aanpak voor GRC activiteiten
zouden moeten implementeren, maar dat de functies, processen en programma’s momenteel nog niet op
elkaar zijn aangesloten.
[OCEG, 2009] beschrijft dat door de snel veranderde markten, toenemend toezicht vanuit de overheid en
complexe organisaties het niet meer altijd duidelijk is waar de verantwoordelijkheden beginnen en ophouden
voor de verschillende aspecten van GRC binnen organisaties. Bedrijven zijn daarom op zoek naar een meer
geïntegreerde benadering van GRC.
[Compliance Consortium, 2005] stelt na jaren werken met honderden organisaties van verscheidene types en
groottes dat ze tot het simpele maar radicale inzicht is gekomen dat management GRC moet behandelen als
een apart aandachtsgebied. GRC functies delen, ondanks dat het door de hele organisatie verspreid is,
gemeenschappelijke en vergelijkbare doelen met dezelfde karakteristieken. Dit maakt het mogelijk om GRC
vanuit één organisatiebrede focus te benaderen. Dit gaat in tegen de huidige manier van werken waarbij de
verantwoordelijkheid voor het managen van risico is verdeeld over een veelvoud aan afdelingen en
rapportagelijnen.
ONTWIKKELINGEN VOLGENS GAIN / IIA
GAIN staat voor Global Audit Information Network. Dit is een initiatief van het IIA waarbij het internal
audit afdelingen mogelijk wordt gemaakt zich te vergelijken met andere internal audit afdelingen. Hiertoe
voert GAIN jaarlijks een grote benchmark uit onder internal audit afdelingen, maar ook worden kleinere
tussentijdse enquêtes beschikbaar gesteld en verschijnen er artikelen.
[GAIN, 2009] geeft aan dat in de huidige tijd van economische crisis de internal audit afdelingen een andere
focus krijgen. Chief Audit Executives moeten hetzelfde doen met minder resources. De kosten van
beheersing worden belangrijker voor organisaties. Daarnaast biedt de huidige crisis ook kansen. Internal
audit afdelingen zullen in veel gevallen gevraagd worden om breder te kijken dan alleen naar bijvoorbeeld de
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 9
compliance van de Sarbanes-Oxley controls, zoals in de afgelopen jaren het geval was. Nu zal een meer
strategische rol in de verbetering van de risico management en governance processen van organisaties
gevraagd worden van internal audit.
Volgens de uitkomsten van de GAIN benchmark, zoals beschreven in [GAIN, 2009], verloopt de
communicatie tussen internal audit en risk & control functies beter gedurende moeilijke tijden. Wanneer
internal audit deze communicatie uitbouwt en er zeker van is dat alles wordt afgedekt, zonder overlap of
gaten, zal internal audit als gevolg daarvan bredere kennis van de onderneming krijgen en daarmee een
sterkere positie in de risico management strategie van de onderneming kunnen verwerven.
ONTWIKKELINGEN VOLGENS NEDERLANDSE DESKUNDIGEN
De bedrijven AuditMatch en AuditRisk organiseerden eind 2008 een themadag [Audit, 2009] met de
functies audit, compliance en risicomanagement. Dit zijn natuurlijk niet alle GRC assurance-functies; een
functie als internal control bijvoorbeeld is hierin niet meegenomen. Desondanks denk ik dat de resultaten
van deze dag en het vooronderzoek dat zij uitvoerden relevant zijn om hier te bespreken aangezien het drie
belangrijke GRC assurance-functies zijn.
[Groenenboom, c.s., 2009] schreven een artikel in Audit Magazine naar aanleiding van deze themadag.
Daarin geven zij onder meer aan dat het samenwerken tussen de drie-eenheid, audit, compliance en
riskmanagement een relevant en actueel vraagstuk is. Zij vroegen de drie functies in hoeverre er synergie
wordt ervaren tussen de functies. Hierop antwoordde 75 % van de respondenten positief. De meest
gegeven voorbeelden van synergie waren het samen optrekken van de functies, structureel overleg, maar
ook duidelijke onderlinge afspraken over wie wat doet en het implementeren van algemene raamwerken.
Leen Paape gaf op bovengenoemde themadag [Audit, 2009] aan:
Arie Molenkamp schreef naar aanleiding van deze dag een artikel waarin hij zich afvraagt of audit,
compliance en risk kunnen samengaan [Molenkamp 2, 2009]. Hij concludeert dat ze zeker niet willen
samengaan, maar dat men wel wat zag in een klankbord voor kwesties als strategieontwikkeling, onderlinge
taakverdeling en rapportagestructuur. Hierbij is audit als derde verdedigingslinie geen goede kandidaat voor
het samengaan met de tweedelijns functies risk en compliance volgens [Molenkamp 2, 2009] omdat internal
audit de top alleen aanvullende zekerheid kan verschaffen vanuit een onafhankelijke opstelling.
“ Onderzoeksresultaten: “Too good to be true?” In ieder geval mooier dan de praktijk rechtvaardigt.
Nog geen écht goed voorbeeld gezien van een goed werkende ‘driehoek’. Maar dat is ook volkomen logisch, gelet op de
verschillende stadia van volwassenheid die ik in de praktijk zie. Daarom is er ook nog geen één waarheid. Wel neem
ik goede bewegingen waar!”
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 10
SAMENVATTING
Samenvattend zijn de volgende GRC ontwikkelingen beschreven in de theorie (in willekeurige volgorde):
Figuur 3.1 Samenvatting GRC ontwikkelingen in theorie
3.2 POSITIE INTERNAL AUDIT - THEORIE
In deze paragraaf komt de positie van internal audit binnen GRC aan bod. Krijgt internal audit een andere
rapportagelijn als gevolg van de andere kijk op GRC? Hier geef ik een antwoord op de tweede
onderzoeksvraag:
De positie van internal audit moet volgens de IIA standaarden [IIA, 2007] onafhankelijk en objectief zijn.
De CAE zou daarbij aan een dusdanig niveau in de organisatie moeten rapporteren zodat internal audit in
staat is om te voldoen aan haar verantwoordelijkheden. Daarnaast mag de auditor geen
verantwoordelijkheden hebben en taken uitvoeren die de onafhankelijkheid in de weg staan.
[Paape, 2008] beschrijft in zijn proefschrift de rol en de positie van internal audit binnen corporate
governance. Hierin geeft hij aan dat volgens de Agency Theory de positie van internal audit zo
onafhankelijk als mogelijk moet zijn.
Bij een meer geïntegreerde en op elkaar aansluitende benadering van GRC is het denkbaar dat er één hoofd
komt voor alle GRC assurance-functies. Maar hoe zit het dan met de onafhankelijkheid van internal audit?
[Molenkamp 1, 2009] beschrijft dat er momenteel stemmen opgaan om de functies Audit, Compliance en
Risk met elkaar te laten samengaan. Dit moet volgens hem echter worden afgewezen om de noodzakelijke
onafhankelijke positie van de internal audit functie te waarborgen.
Om de onafhankelijke positie van internal audit te waarborgen is het niet wenselijk dat de
verantwoordelijkheden van de CAE zich uitbreiden met de verantwoordelijkheid voor de overige GRC
functies. Volgens de theorie zal de positie van internal audit binnen de organisatie dan ook niet veranderen
als gevolg van GRC ontwikkelingen.
2 a) Wat zijn de gevolgen van de GRC ontwikkelingen op de positie van de internal audit functie in theorie?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 11
3.3 KERNTAAK INTERNAL AUDIT - THEORIE
In deze paragraaf geef ik antwoord op de volgende onderzoeksvraag:
De kerntaak van internal audit komt tot uitdrukking in de definitie van internal audit zoals opgenomen in
[IIA, 2007]:
Volgens [OCEG, 2009] zou het management regelmatig zekerheid moeten verkrijgen over de effectiviteit en
de prestaties van het GRC systeem. Deze onafhankelijke reviews kunnen worden uitgevoerd door zowel
intern als extern personeel. De OCEG beschouwt intern personeel als onafhankelijk wanneer ze
onafhankelijk zijn van de activiteit waarover ze zekerheid verschaffen en geeft aan dat internal audit in
aanmerking komt voor het verschaffen van deze zekerheid.
Ook [Deloitte, 2008] schrijft dat internal audit de zekerheid moet verschaffen dat de belangrijkste risico’s
worden beheerst. Internal audit moet aansluiten op de inspanningen van de overige assurance-functies om
duplicering van inspanningen te voorkomen. Internal audit moet daarnaast onafhankelijk zekerheid geven
over de uitgevoerde taken door de andere assurance-functies waarop zij steunt.
[OCEG, 2009] stelt mijns inziens naar aanleiding van de GRC ontwikkelingen geen wezenlijk andere taak
voor internal audit voor in hun Redbook. Ook [Deloitte, 2008] geeft meer richting aan de planning en de
uitvoering van de internal audit kerntaak dan dat zij een voorstel doen voor verandering van de kerntaak
zélf.
Maar [GAIN, 2009] geeft aan dat in deze tijd wel een meer strategische rol van internal audit in de
verbetering van risico management en governance processen van organisaties gevraagd zal worden.
Een denkbare uitbreiding van de kerntaak van internal audit is het implementeren van een GRC raamwerk.
Internal audit is vanwege haar specifieke kennis binnen de organisatie een denkbare keuze. Het IIA [IIA,
2004] heeft aangegeven welke taken internal audit met betrekking tot Enterprise Risk Management (ERM)
op zich mag nemen. De bekende waaier, waarin dit is uitgebeeld, is weergegeven in bijlage D. Omdat de
onafhankelijkheid in het geding is stuit het implementeren van een GRC raamwerk volgens mij op dezelfde
“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an
organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined
approach to evaluate and improve the effectiveness of risk management, control and governance processes.”
2 b) Wat zijn de gevolgen van de GRC ontwikkelingen op de kerntaak van de internal audit functie in theorie?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 12
bezwaren als bij het implementeren van ERM. Wél kan internal audit bijvoorbeeld zekerheid verschaffen
over de implementatie van het GRC raamwerk, net zoals dit gebruikelijk is bij ERM.
[Jackson, 2005] schrijft dat wanneer internal audit de enige is die ERM zou willen of kunnen
implementeren, of de enige is binnen de organisatie die hier politiek zwaar genoeg voor is, internal audit
toch de rol op zich moet nemen. Uiteindelijk is het belangrijkste voor de organisatie dat de klus wordt
geklaard. Ik kan me voorstellen dat internal audit binnen organisaties de enige is die de benodigde kennis en
het politieke gewicht heeft om een GRC raamwerk te implementeren en kan me daarom voorstellen dat
organisaties internal audit het GRC raamwerk laten implementeren, al stuit dit op eerder beschreven
bezwaren.
Op basis van bovenstaande theorie verwacht ik geen verschuiving in de kerntaak van internal audit.
3.4 PLANNING EN UITVOERING KERNTAAK - THEORIE
In deze paragraaf komen de gevolgen van de GRC ontwikkelingen voor de planning en uitvoering van de
kerntaak aan bod. Eerst zal ik de planning van de werkzaamheden bespreken, daarna komt de uitvoering
van de werkzaamheden aan bod. Hiermee geef ik antwoord op de vraag:
IMPACT OP INTERNAL AUDIT PLANNING
Volgens [Ellis, 2009] is een meer flexibele audit-planning gewenst in de huidige crisistijd. De belangrijkste
risico’s in de organisatie moeten zijn afgedekt, en daar wordt doorlopend zekerheid van internal audit over
verwacht. Hier past een flexibelere audit-planning bij. Dit is in tegenstelling tot de veel gebruikte
meerjarenplanning, waarbinnen alle bedrijfsprocessen cyclisch aan bod komen.
[IIA, 2008] geeft aan dat het hoofd internal audit informatie moet delen met overige assurance-functies om
afdekking te garanderen en het dupliceren van inspanningen te voorkomen. Daarnaast is het een “best
practice” dat de auditcommissie vaststelt dat alle tweedelijns assurance-functies opgenomen worden in de
planning van internal audit en worden overzien door de CAE. Dit ziet er als volgt uit:
2 c) Wat zijn de gevolgen van de GRC ontwikkelingen voor de planning en uitvoering van de kerntaak van de internal audit functie in theorie?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 13
Figuur 3.2 Three Lines of Defence [Deloitte, 2008]
Maar hoe weet men dat men alle functies overziet en het duidelijk is wie welke taken en
verantwoordelijkheden heeft?
Een assurance-overzicht geeft de koppeling tussen enerzijds de strategie, doelstellingen, processen en
governance van de organisatie en anderzijds de daarbij behorende risico’s, controls en assurance die
daarover door verschillende functies wordt gegeven. Indien een risico door andere assurance-functies in
voldoende mate wordt afgedekt, kan internal audit volstaan met zekerheid geven over de betreffende functie
in plaats van het risico zelf.
Concrete handreikingen voor het opstellen van een assurance-overzicht worden gegeven door [OCEG,
2008 2] en door [Deloitte, 2008]. Het overzicht van [Deloitte, 2008] geef ik hier weer, want dit overzicht
bevat behalve het “wie doet wat?” ook de mate van zekerheid die de assurance-functie op een bepaald risico
geeft:
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 14
Figuur 3.3 Assurance-overzicht uit [Deloitte, 2008]
Het opstellen van een assurance-overzicht maakt de internal audit-planning inzichtelijker en geeft aan waar
en hoe internal audit haar tijd het beste kan besteden. Het assurance-overzicht geeft inzicht in waar internal
audit direct zekerheid over geeft over de risico’s en waar internal audit slechts zekerheid geeft over de
assurance-functie die de betreffende risico’s afdekt.
Een assurance-overzicht is in mijn ogen een uitstekend middel om de praktische inrichting van het GRC
raamwerk in kaart te brengen. Een groot voordeel van het assurance-overzicht vind ik ook dat vervolgens
per assurance-functie de kosten van de assurance over bepaalde risico’s in kaart kunnen worden gebracht
om daarmee de kosten van beheersing te kunnen overzien voor de organisatie als geheel.
IMPACT OP UITVOERING INTERNAL AUDIT WERKZAAMHEDEN
Het is duidelijk dat internal audit meer op de werkzaamheden van de overige GRC assurance-functies zal
steunen dan voorheen [GAIN, 2009], [OCEG, 2009]. Hiervoor zal internal audit moeten vaststellen dat de
assurance-functies waarop zij steunt goed werken. Maar in hoeverre kan internal audit op deze functies
steunen? En hoe diep moeten de werkzaamheden gaan?
Volgens de theorie hangt dit samen met de volwassenheid van de overige assurance-functies. Zo beschrijft
[Groenenboom, c.s., 2009] dat risk en compliance functies binnen bedrijven een verschillende
volwassenheid hebben. [Molenkamp 1, 2009] geeft aan dat deze functies daarom niet zonder meer kunnen
samengaan, aangezien ze allen een eigen ontwikkeling doormaken.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 15
De diepgang en het type audit-werkzaamheden dat internal audit moet uitvoeren op de andere GRC
assurance-functies hangt af van de volwassenheid van deze specifieke GRC functie. Dit is in mijn ogen
evident. Volgens [Deloitte, 2008] ziet dit er als volgt uit:
Figuur 3.4 diepgang en soort audit-werkzaamheden uit [Deloitte, 2008]
SAMENVATTING
Figuur 3.5 Gevolgen planning & uitvoering kerntaak internal audit in theorie
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 16
3.5 SAMENVATTING – THEORIE
In deze paragraaf vat ik de antwoorden op de onderzoeksvragen samen zoals ze uit het literatuuronderzoek
volgen:
Figuur 3.6 Samenvatting theorie
1. Wat zijn de ontwikkelingen met betrekking tot GRC in de theorie?
- Functies worden beter op elkaar aangesloten;
- Meer afstemming over wie doet wat;
- Eenheid in terminologie, rapportage en escalatie;
- Minder opereren in silo’s;
- Coördinatie vanuit één centraal punt;
- Focus op kosten van beheersing.
2. Wat zijn de gevolgen hiervan op de internal audit functie in de theorie?
a) Positie binnen de organisatie;
- Internal audit krijgt geen andere positie in de organisatie; de rapportagelijnen blijven gelijk.
b) Gevolgen voor de kerntaak van internal audit;
- Kerntaak internal audit blijft gelijk.
c) De planning en uitvoering van de kerntaak.
- Audit-planning meer gebaseerd op risicoanalyse, ipv meerjaren cyclus;
- Flexibelere audit-planning;
- Meer steunen op werk andere assurance providers;
- Opnemen andere assurance providers in de planning;
- Volwassenheid assurance providers beïnvloedt werkzaamheden;
- Opstellen assurance-overzicht (wie doet wat?).
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 17
4 GRC ONTWIKKELINGEN EN DE GEVOLGEN – PRAKTIJK
In dit hoofdstuk komen de antwoorden op de onderzoeksvragen vanuit de praktijk aan bod. Dit zijn de
resultaten van de interviews. Daarmee geef ik antwoord op onderzoeksvraag 3 en 4. Zoals in hoofdstuk 2
reeds toegelicht, heb ik interviews gehouden bij Ahold, DSM, Fortis Bank Nederland, Heineken, ING,
Wolters Kluwer en TNT. Het gebruikte interviewprotocol is te vinden in bijlage B.
4.1 INLEIDENDE VRAGEN
Ter inleiding heb ik een aantal vragen gesteld om een beeld te kunnen vormen van het GRC landschap bij
de bedrijven, de huidige manier van samenwerken tussen de assurance-functies en de volwassenheid van
GRC. Deze resultaten bespreek ik eerst, voor de onderzoeksvragen aan bod komen.
THREE LINES OF DEFENCE?
Allereerst heb ik gevraagd welke assurance-functies er binnen het bedrijf aanwezig zijn. De visie op welke
assurance-functies tot de tweede lijn behoren wisselde nogal, net als in de theorie. Zo wordt internal control
meerdere malen als een eerste lijn functie aangeduid. Bij legal wordt getwijfeld of dit werkelijk een tweede
lijn functie is of dat deze in de eerste lijn thuishoort. Additioneel worden nog: tax control (3x), finance (2x),
insurance (2x), corporate secretary (1x), food safety (1x), local audit (1x), investor relations (1x) en ICT
security (1x) als assurance-functie genoemd door de bedrijven. Een gedetailleerd overzicht met de
verschillende assurance-functies per bedrijf en de bijbehorende rapportagelijnen is te vinden in bijlage C.
Daarnaast geven de CAE’s vrijwel allemaal aan dat de in de organisatie aanwezige assurance-functies in veel
gevallen nog verre van volwassen zijn en dat er in veel gevallen daarom nog niet op de tweede lijn gesteund
kan worden.
Ook in de praktijk varieerden de meningen over welke functies tot de tweede lijn behoren. Daarbij komt dat
zowel in theorie als praktijk is te zien dat de tweede lijn assurance-functies bij veel bedrijven nog niet
volwassen zijn. Hierdoor zet ik vraagtekens bij hoe concreet dit model eigenlijk is en of het in de praktijk
wel werkt.
GRC RAAMWERK?
Tijdens de interviews gaven vrijwel alle CAE’s aan dat het GRC vraagstuk voor hen relevant is. De
geïnterviewden geven aan dat “iedereen hier eigenlijk wel mee bezig is”. Een andere CAE sprak van dé
grote trend op dit moment.
Ik heb de vraag gesteld of het bedrijf een overkoepelend raamwerk heeft geïmplementeerd.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 18
Figuur 4.1 Raamwerk geïmplementeerd
Eén van de geïnterviewden gaf aan dat het betrokken bedrijf momenteel bezig is met het implementeren
van een GRC raamwerk. Andere bedrijven hebben reeds overkoepelende raamwerken geïmplementeerd
gebaseerd op het “In Control” proces en/of het bekend veronderstelde COSO-ERM. Deze laatste
raamwerken garanderen echter geen afstemming tussen de assurance-functies binnen de bedrijven, dit in
tegenstelling tot een GRC raamwerk.
Daarna heb ik gevraagd om een cijfer te geven voor de huidige status van samenwerking tussen de
assurance-functies.
Figuur 4.2 Cijfer voor huidige status samenwerking
De CAE van bedrijf E gaf aan dat binnen dit bedrijf de GRC ontwikkelingen geen rol spelen, voornamelijk
omdat hier geen aandacht voor is vanuit de Raad van Bestuur, vandaar dat de CAE geen cijfer kon geven.
De CAE gaf aan dat hij graag dicht op de eerste lijn acteert, dus hij zal ook niet het initiatief nemen om dit
aan te kaarten.
Een aantal cijfers verrast mij. Het is evident dat het cijfer afhangt van waar men vandaan komt en het
ambitieniveau op het gebied van GRC binnen de organisatie.
Bedrijf F vind ik relatief bescheiden in het cijfer. Dit is een bedrijf waar men bewust bezig is met het GRC
raamwerk te implementeren. Ook de leden van de raad van bestuur zijn hier nauw bij betrokken. Men
maakt bewust keuzes ten aanzien van GRC en er vindt structureel GRC overleg plaats, waar ook betrokken
raad van bestuursleden aan deelnemen.
Bedrijf D en G zijn in mijn ogen te optimistisch. Bij bedrijf D zijn de overige assurance-functies nog niet
volwassen. En bij bedrijf G vertelde men dat voordat audit langskomt in een business unit, deze in sommige
gevallen zelf een voorbereidende audit laat uitvoeren. Dit is nu een typisch voorbeeld van onnodige
duplicering van inspanningen van de verschillende verdedigingslinies. Door betere samenwerking en het
delen van resultaten zou dubbele belasting van de business unit kunnen worden voorkomen en kosten
kunnen worden bespaard.
Bij een ander bedrijf bestelde de afdeling risico management nieuwe software, maar kende audit hier niet in,
volgens de CAE omdát het audit is die het voorstelt. Voor het bedrijf zou het beter zijn geweest om GRC
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 19
software aan te schaffen waarin alle assurance providers samenkomen, maar spelen er belangen tussen de
assurance-functies die dit verhinderen.
Één van de bedrijven is op dit moment bezig om de internal audit afdeling te splitsen in een lokale audit
afdeling en een centrale afdeling. Internal audit krijgt een grotere functionele diversiteit en kan zich meer
gaan richten op zekerheid verschaffen over de belangrijkste risico’s voor het bedrijf, waar het afgesplitste
deel zich bezig zal houden met de verbijzonderde interne controle. Hiermee zetten zij een stap in de
volwassenheid van de internal audit afdeling. In de toekomst kan internal audit steunen op het werk van het
afgesplitste deel.
4.2 GRC ONTWIKKELINGEN – PRAKTIJK
Vervolgens heb ik gevraagd aan te geven welke ontwikkelingen op het gebied van GRC er zijn te
onderkennen binnen het bedrijf om daarmee antwoord te kunnen geven op de eerste vraag:
Als leidraad heb ik de ontwikkelingen aangereikt zoals uit de theorie naar voren komen. In de volgende
tabel zijn de uitkomsten gepresenteerd:
Figuur 4.3 GRC ontwikkelingen per bedrijf
Bij alle bedrijven, met uitzondering van bedrijf E, zegt men op dit moment bezig te zijn met het beter laten
samenwerken en op elkaar aansluiten van de GRC assurance-functies. Deze ontwikkelingen staan volgens
het merendeel van de geïnterviewden nog in de kinderschoenen. Het ontwikkelen van eenheid in
terminologie, rapportage & escalatie is zeker nog geen feit binnen de bedrijven, al zet men hier stappen.
Alleen bij bedrijf G geeft men aan dat terminologie, rapportage & escalatie volledig op elkaar is afgestemd
en er geen enkele discussie meer over plaatsvindt.
COORDINATIE
Coördinatie is een thema voor één bedrijf waar een Chief Risk Officer (CRO) in de raad van bestuur zit. Al
vraag ik me af of deze CRO het mandaat van zijn mede bestuursleden krijgt om ervoor te zorgen dat het
hele GRC raamwerk goed gaat werken. Internal audit bijvoorbeeld rapporteert aan de CEO, dus de CRO
3. Wat zijn de ontwikkelingen met betrekking tot GRC in praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 20
heeft niet alle assurance-functies onder zich. Naar mijn mening hoeft er ook geen coördinatie vanuit één
punt plaats te vinden, maar moeten er wel vanuit de top bewuste keuzes worden gemaakt ten aanzien van
GRC, zodat men zeker is dat alle assurance binnen de organisatie op de meest efficiënte en effectieve
manier op elkaar aansluit en met elkaar samenwerkt.
Eén CAE heeft de voorkeur geuit richting de raad van bestuur om samen met de overige assurance-functies
één afdeling te gaan vormen. Dit werd door de raad van bestuur echter niet overgenomen, aangezien de
verschillende bestuursleden verantwoordelijk wilden blijven hun eigen deel van de assurance-functies om
een gezonde spanning in stand te houden. Ditzelfde werd door bedrijf G aangegeven.
Coördinatie vanuit één punt is wat mij betreft geen noodzakelijke voorwaarde voor het functioneren van
een GRC raamwerk, maar duidelijke keuzes ten aanzien van GRC door de verantwoordelijke leden van de
raad van bestuur zijn dat wél. Deze bewuste keuzes zijn in mijn ogen een vele sterkere basis voor een GRC
raamwerk dan coördinatie vanuit één punt, zeker wanneer dit lager in het bedrijf plaatsvindt en niet vanuit
de raad van bestuur.
Bij de overige bedrijven is het vooral de afdeling risico management of internal control die GRC
ontwikkeling initieert. In een aantal gevallen gaven de CAE’s wel aan dat internal audit hier een belangrijke
rol in speelt, aangezien in veel gevallen audit de meeste kennis bezit over de aanwezige risico’s en beheersing
in de organisatie. Eén CAE sprak zelfs “we vertellen ze (risico management) wat ze moeten doen”. Bij een
andere afdeling wordt personeel uitgeleend aan de afdeling risico management.
KOSTEN VAN BEHEERSING
Volgens de geïnterviewden is het voorkomen van duplicering van werkzaamheden van de assurance-
functies en de daarmee samenhangende belasting van de eerste lijn is één van de belangrijkste drijfveren
voor betere afstemming en samenwerking van de GRC functies.
Wat mij echt zeer verbaasd, is dat in de praktijk bij geen enkel bedrijf het implementeren van een GRC
raamwerk als een direct middel wordt gezien om kosten te kunnen besparen. Dit is naar mijn mening een
gemiste kans. De huidige tijd is mijns inziens het moment om kritisch te kijken naar het geheel van
assurance-functies binnen de organisatie en een GRC strategie op te stellen. Ik ben ervan overtuigd dat het
implementeren van een GRC raamwerk zal leiden tot effectievere en efficiëntere assurance met als resultaat
lagere kosten.
4.3 POSITIE INTERNAL AUDIT - PRAKTIJK
De volgende interviewvragen gaan dieper in op de gevolgen van bovenstaande ontwikkelingen. In deze
paragraaf komt het antwoord aan bod op vraag 4a:
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 21
Het antwoord op deze vraag een was stellig en eenduidig “Nee”. De rapportagelijnen blijven gelijk.
4.4 KERNTAAK INTERNAL AUDIT – PRAKTIJK
Hierna heb ik een vraag gesteld over de gevolgen voor de kerntaak van internal audit. Vanuit de theorie
verwacht ik geen grote veranderingen in de kerntaak. Deze paragraaf gaat in op de antwoorden die werden
gegeven op de vraag:
De geïnterviewden gaven allen aan dat de kerntaak van internal audit niet wijzigt als gevolg van de GRC
ontwikkelingen, deze blijft voornamelijk het verschaffen van zekerheid.
Vrijwel alle CAE’s gaven aan dat als gevolg van de GRC ontwikkelingen het duidelijker wordt welke
afdeling wat doet, waardoor ook de taak van internal audit helderder wordt afgebakend. Dit is in mijn ogen
een logische en goede ontwikkeling als gevolg van het nadenken over de inrichting van het GRC raamwerk.
Alle assurance-functies moeten duidelijk weten wat er van hen wordt verwacht, zodat dit voor iedereen
binnen het bedrijf duidelijk is.
Bij geen van de bedrijven heeft internal audit de verantwoordelijkheid voor het implementeren of
optimaliseren van het GRC raamwerk. Zoals ook in paragraaf 4.2 aangegeven geeft een aantal
geïnterviewden aan dat internal audit wel een belangrijke rol speelt bij het implementeren of optimaliseren
van het raamwerk. Voornamelijk door advies aan de tweede lijn te geven over welke de te nemen stappen
zijn. In één geval levert internal audit daadwerkelijk mankracht door tijdelijke uitleen van personeel aan de
tweede lijn functie die als taak heeft het raamwerk te optimaliseren.
Bij het bedrijf waar nog geen GRC ontwikkelingen zijn waar te nemen zit de auditafdeling nog zeer dicht op
de eerste lijn, zonder daar formeel de verantwoordelijkheid voor te dragen. Op de ERM waaier uit bijlage D
gaat de CAE dan volgens eigen zeggen ook erg ver met het uitvoeren van taken die internal audit mag
uitvoeren volgens het IIA. Dit is dit een bewuste keuze van de CAE, aangezien hij deze rol graag speelt.
De gevolgen voor de kerntaak van internal audit zijn in de praktijk dus beperkt. De kerntaak wordt wel
duidelijker afgebakend.
4 b) Wat zijn de gevolgen van de GRC ontwikkelingen op de kerntaak van de internal audit functie in praktijk?
4 a) Wat zijn de gevolgen van de GRC ontwikkelingen op de positie van de internal audit functie in praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 22
4.5 PLANNING EN UITVOERING KERNTAAK – PRAKTIJK
De laatste interviewvraag die ik stelde heeft betrekking op onderzoeksvraag 4c:
Om te toetsen of de in theorie beschreven gevolgen zichtbaar zijn in de praktijk, heb ik de uitkomsten van
het theorie onderzoek aangereikt aan de geïnterviewden en gevraagd of zij deze herkenden. In onderstaande
tabel zijn de uitkomsten weergegeven:
Figuur 4.4 Gevolgen planning & uitvoering kerntaak per bedrijf
Ik zal de meest opvallende onderzoeksresultaten hieronder bespreken.
FLEXIBELERE AUDIT-PLANNING
Bij de meeste bedrijven gaf men aan dat de audit-planning al flexibel is en dat dit niet wordt beïnvloed door
de GRC ontwikkelingen. De audit-planning wordt in de praktijk dus niet meer of minder flexibel door de
GRC ontwikkelingen.
Bij bedrijf G wil men graag meer flexibiliteit in de planning. Het bedrijf gebruikt een vierjaren cyclus die
jaarlijks wordt herzien, wanneer het plan voor het komende jaar wordt bepaald. Audits worden ver van
tevoren aan de business units aangekondigd. Door de huidige kredietcrisis staat er druk op de resources
binnen de business units. Deze proberen daarom in een aantal gevallen de audit uit te stellen. Maar doordat
audits zo lang van tevoren vast staan is er geen ruimte om te schuiven in de planning. Dit probleem kan in
mijn ogen deels voorkomen worden door werkzaamheden af te stemmen met de tweede lijn. Zeker
aangezien men vertelde dat in sommige gevallen de business unit een eigen voorbereidende audit laat
uitvoeren om klaar te zijn voor audit. Dit betekent dubbele belasting van de resources in de business unit.
En vanuit de optiek van het bedrijf is het mijns inziens beter dat de uitkomsten van de tweede lijn
werkzaamheden met audit gedeeld worden om efficiënter een beeld te krijgen van de beheersing binnen de
betreffende business unit.
4 c) Wat zijn de gevolgen van de GRC ontwikkelingen voor de planning en uitvoering van de kerntaak van de internal audit functie in praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 23
STEUNEN OP ANDERE ASSURANCE-FUNCTIES
Ongeveer de helft van de geïnterviewden geeft aan dat als gevolg van toenemende volwassenheid van de
tweede lijn functies, internal audit minder de hiaten in de tweede lijn zal hoeven in te vullen. De
volwassenheid van de tweede lijn varieert sterk tussen de geïnterviewde bedrijven en deze bepaalt in
hoeverre audit hierop kan steunen en hoe diep de werkzaamheden van audit dienen te gaan.
Om te kunnen steunen op de andere assurance-functies worden bij nagenoeg alle bedrijven de assurance-
functies in de audit-planning opgenomen. Enkel bij bedrijf E waar de GRC ontwikkelingen nog geen rol
spelen is dit (logischerwijs) niet het geval. Hier wordt dan ook niet gesteund op de werkzaamheden van de
tweede lijn en zit internal audit zelf zeer dicht tegen de eerste lijn aan.
ASSURANCE-OVERZICHT
Bedrijf F gebruikt (sinds vorig jaar) een gedetailleerd overzicht van de belangrijkste risico’s gekoppeld aan
de zekerheid die de verschillende assurance-functies geven. Bij bedrijf C is er een ”hoog niveau” overzicht
van de taken en verantwoordelijkheden van de verschillende functies beschikbaar, dit is echter niet
gekoppeld aan de belangrijkste risico’s, maar aan de ERM waaier zoals opgenomen in bijlage D. Bij twee
andere bedrijven vertelde men dat een dergelijk overzicht impliciet wel bekend is, maar niet op papier is
uitgewerkt, maar dat zij dit wel nuttig achten.
Ik ben ervan overtuigd dat het opstellen van een assurance-overzicht veel waarde kan toevoegen op weg
naar een volwassen GRC raamwerk. Het bedrijf dat dit overzicht op papier heeft is dan ook verder ten
aanzien van GRC dan de overige bedrijven. Het geeft de concrete uitwerking van het GRC raamwerk weer.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 24
4.5 SAMENVATTING – PRAKTIJK
In deze paragraaf vat ik de antwoorden op de onderzoeksvragen samen zoals ze uit het praktijk onderzoek
volgen:
Figuur 4.5 Samenvatting praktijk
1. Wat zijn de ontwikkelingen met betrekking tot GRC in de praktijk?
- Kort en schematisch worden de ontwikkelingen als volgt herkend door de bedrijven:
2. Wat zijn de gevolgen hiervan op de internal audit functie in de praktijk?
a) Positie binnen de organisatie;
- Internal audit krijgt geen andere positie in de organisatie; de rapportagelijnen blijven gelijk.
b) Gevolgen voor de kerntaak van internal audit;
- Kerntaak internal audit blijft gelijk, maar duidelijker afgebakend.
c) De planning en uitvoering van de kerntaak.
- Kort en schematisch:
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 25
5 CONCLUSIE
In dit hoofdstuk volgt de conclusie en daarmee het antwoord op de laatste onderzoeksvraag:
Figuur 5.1Conclusie
5. Wat zijn de overeenkomsten en verschillen tussen theorie en praktijk?
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 26
5.1 INLEIDING
Momenteel wordt de term “Three Lines of Defence” in zowel theorie als praktijk gebruikt en hebben de
assurance-functies een plaats binnen dit model. Echter, in de theorie is er geen overeenstemming over de
indeling van de assurance-functies binnen het “Three Lines of Defence” model. In het bijzonder met
betrekking tot de tweede lijn is men het er niet over eens welke functies hiertoe behoren en op basis van
welke criteria dit zo is. Ook in de praktijk variëren de meningen over welke functies tot de tweede lijn
behoren. Daarbij komt dat zowel in theorie als praktijk is te zien dat de tweede lijn assurance-functies bij
veel bedrijven nog niet volwassen zijn. Hierdoor zet ik vraagtekens bij hoe concreet dit model eigenlijk is en
of het in de praktijk wel werkt.
Ik ben ervan overtuigd dat een GRC raamwerk een verbetering kan betekenen voor de wijze waarop de
assurance-functies worden aangestuurd. Daarmee kan ook het “Three Lines of Defence” model in de
praktijk meer betekenis krijgen. Maar het belangrijkste is in mijn ogen het verkrijgen van inzicht in de
aanwezige assurance-functies in de organisatie. Wat voegen de verschillende assurance-functies toe op het
aan governance, risicomanagement en compliance? Wat zou dat moeten zijn? En wat mag dat kosten?
5.2 GRC ONTWIKKELINGEN – THEORIE VS PRAKTIJK
Volgens de theorie hebben bedrijven de afgelopen jaren door wet- en regelgeving grote investeringen
gedaan in hun assurance-functies zoals compliance, internal control, risico management en internal audit.
Daardoor zijn onwenselijke dupliceringen van werkzaamheden van assurance-functies en onopgemerkte
gaten tussen deze werkzaamheden ontstaan. Ook hebben de assurance-functies vaak eigen definities van
belangrijke termen als bijvoorbeeld risico, wat voor verwarring zorgt binnen de organisatie. Dit alles leidt tot
de behoefte aan overzicht van de assurance-functies en de behoefte om efficiënter met elkaar samen te
werken. Deze behoefte was al zichtbaar voor de kredietcrisis, maar de crisis zorgt daar additioneel aan de
ene kant voor een toenemende behoefte aan effectieve assurance, maar aan de andere kant tot noodzakelijke
kostenreducties; een spagaat.
Bovenstaande zijn belangrijke drijfveren voor het implementeren van een GRC raamwerk. Binnen een GRC
raamwerk krijgen alle assurance-functies een plek en worden duplicering van werkzaamheden en/of gaten
daartussen inzichtelijk gemaakt. In de praktijk is de belangrijkste drijfveer volgens de geïnterviewden
inderdaad het voorkomen van duplicering van werkzaamheden. Het voordeel van het verminderen van
duplicering van werkzaamheden is dat men de eerste lijn minder belast. Maar ook de zekerheid dat alle
risico’s allemaal worden afgedekt zien de CAE’s als een voordeel.
Zeer opvallend vind ik dat in de praktijk kostenoverwegingen duidelijk niet als drijfveer worden genoemd
voor de GRC ontwikkelingen. Ik ben ervan overtuigd dat wanneer een bedrijf naar de assurance-functies
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 27
kijkt en duidelijke keuzes maakt ten aanzien van GRC dit kostenefficiënter zal zijn voor de organisatie als
geheel.
Bij alle bezochte bedrijven rapporteren de assurance-functies aan verschillende leden van de raad van
bestuur. Hierdoor is het volgens mij absoluut noodzakelijk om op dat niveau overeenstemming te hebben
en keuzes te maken over GRC. Er zullen namelijk altijd politieke belangen spelen tussen de assurance-
functies, waardoor duidelijkheid vanuit de top noodzakelijk is om snel en voldoende overeenstemming te
verkrijgen. Tijdens de interviews zijn voorbeelden aan de orde gekomen die leiden tot suboptimale
beslissingen over GRC. Het meest sprekende voorbeeld is dat van een bedrijf waar sommige business units
een voorbereidende audit laten uitvoeren om klaar te zijn voor internal audit.
In de theorie wordt door het OCEG in hun Redbook concreet beschreven hoe een GRC raamwerk eruit
zou kunnen zien. Ik concludeer dat in de praktijk echter nog geen algemene “best practice” bestaat bij de
geïnterviewde bedrijven voor de aansturing van de GRC assurance-functies. Er zijn bij een aantal bedrijven
raamwerken aanwezig of in ontwikkeling, maar deze zijn nog niet volwassen. Overal is er nog ruimte voor
verbetering.
5.3 POSITIE INTERNAL AUDIT – THEORIE VS PRAKTIJK
De positie van internal audit zal niet veranderen binnen de organisatie als gevolg van de GRC
ontwikkelingen. De rapportagelijnen blijven hetzelfde. Dit is logisch aangezien audit onafhankelijk moet
blijven van de overige functies waar zij zekerheid over verschaft.
5.4 KERNTAAK INTERNAL AUDIT – THEORIE VS PRAKTIJK
Vanuit de theorie wordt geen verandering van de kerntaak van internal audit verwacht als gevolg van de
GRC ontwikkelingen. Het is niet wenselijk dat de kerntaak van internal audit wordt uitgebreid met taken
van de overige GRC assurance-functies. Mijns inziens kan internal audit niet onafhankelijk zekerheid
verschaffen over de overige GRC functies indien het hoofd internal audit hier verantwoordelijk voor is. Het
lijkt mij daarom niet logisch om meerdere GRC functies inclusief internal audit bij één hoofd onder te
brengen. Dit wordt ook in de praktijk bevestigd door de geïnterviewden.
Uit de interviews blijkt dat internal audit echter wel een belangrijke rol speelt bij GRC ontwikkeling. Door
het in huis hebben van de juiste kennis is zij hier een goede partij voor. Dit is iets wat uit de theorie niet
naar voren kwam, maar wat ik wel verwachtte omdat dit bij ERM implementatie ook het geval is.
Een aantal geïnterviewden geeft aan dat de kerntaak van internal audit duidelijker afgebakend wordt binnen
het bedrijf. Een betere afstemming leidt tot meer duidelijkheid over de verantwoordelijkheden van de
verschillende assurance-functies. Dit is een groot voordeel, want ik ben ervan overtuigd dat wanneer het
duidelijk is wat de taken en verantwoordelijkheden van internal audit zijn zij beter haar werk kan doen.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 28
Samenvattend kan gezegd worden dat zowel in theorie als praktijk is geen grote verandering van de kerntaak
van internal audit te verwachten is door de GRC ontwikkelingen, maar dat de taak wel duidelijker wordt
afgebakend.
5.5 PLANNING EN UITVOERING KERNTAAK – THEORIE VS PRAKTIJK
PLANNING
De audit-planning wordt volgens de theorie in de huidige tijd meer risico gebaseerd en flexibeler. De raad
van bestuur en de auditcommissie verwachten in toenemende mate assurance over de belangrijkste risico’s
binnen het bedrijf en daarbij is duplicering van inspanningen van de assurance-functies niet wenselijk.
Tijdens de interviews is unaniem aangegeven dat de planning meer gebaseerd wordt op risico’s. Wat betreft
de flexibiliteit van de planning vertelde men dat dit niet meer of minder wordt als gevolg van de GRC
ontwikkelingen.
De tweede lijn functies moeten volgens theorie in de audit-planning worden opgenomen zodat er op de
werkzaamheden van deze functies gesteund kan worden. Dit wordt in de praktijk bevestigd door de
bedrijven, met uitzondering van het bedrijf waar de GRC ontwikkelingen niet spelen.
ASSURANCE-OVERZICHT
Resultante van de betere afstemming tussen de verschillende assurance-functies is volgens de theorie dat er
een beter overzicht zal bestaan binnen de onderneming van wie welke assurance geeft op welke risico.
Volgens de theorie geeft een assurance-overzicht de koppeling weer tussen enerzijds de strategie,
doelstellingen, processen en governance van de organisatie en anderzijds de daarbij behorende risico’s,
controls en assurance die daarover door verschillende functies wordt gegeven. De mate van assurance en
kosten van deze assurance kunnen hieraan worden toegevoegd om het beeld nog completer te maken. In
praktijk wordt dit overzicht echter pas bij één bedrijf in detail op papier uitgewerkt tot een zogenaamd
assurance-overzicht. Ik ben ervan overtuigd dat het opstellen van een assurance-overzicht veel waarde kan
toevoegen op weg naar een volwassen GRC raamwerk. Het bedrijf dat dit overzicht op papier heeft is dan
ook verder ten aanzien van GRC dan de overige bedrijven.
Omdat internal audit de meest volwassen functie is en het benodigde overzicht heeft over de aanwezige
assurance, kan internal audit het initiatief nemen tot het opstellen van het assurance overzicht. De raad van
bestuur kan vervolgens, gebaseerd op dit inzicht, de keuze maken welke assurance zij van welke functie
verlangt op welk risico en wat dat mag kosten.
UITVOERING VAN WERKZAAMHEDEN
In zowel theorie als praktijk komt naar voren dat, afhankelijk van de volwassenheid van de tweede lijn
assurance-functie, internal audit meer of minder steunen kan op het werk van deze functie. Hoe meer
volwassen, hoe minder diep de audit-werkzaamheden hoeven te gaan. Internal audit dient de functie waarop
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 29
wordt gesteund wel in haar audit plan op te nemen om daarmee zekerheid te verschaffen over de kwaliteit
van de werkzaamheden uitgevoerd door deze functie. Dit is in mijn ogen evident.
5.6 TOEKOMST
De belangrijkste taak van internal audit is en blijft het onafhankelijk assurance geven over de beheersing van
risico’s over de volle breedte van het bedrijf. In theorie is het zo dat wanneer het GRC raamwerk en de
functies daarbinnen meer volwassenen worden, internal audit daar meer op kan steunen en zelf minder
werkzaamheden hoeft uit te voeren. Internal audit zal dan vanuit een hoger niveau assurance geven aan de
raad van bestuur en de auditcommissie. In de praktijk blijkt echter dat de overige assurance-functies nog
lang niet volwassen zijn. Zolang dit het geval is moet internal audit hiaten blijven opvullen om zekerheid te
kunnen verschaffen.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 30
BIJLAGE A – LITERATUURLIJST
[Audit, 2009] AuditMatch, RiskMatch, Your match?, Presentatie themadag, Drie-eenheid of ieder voor zich?, www.auditmatch.nl, april 2009
[Compliance Consortium, 2005] Compliance Consortium, Governance, Risk Management and Compliance: an operational approach, Whitepaper, www.thecomplianceconsortium.org, 2005
[Deloitte, 2008] Deloitte, Blue Sky Thinking?, Presentation, 2008
[Ellis, 2009] Ellis, T., A new line of defence, Artikel, Internal Auditing, p 22 -25, February 2009
[E&Y, 2007] Ernst & Young, From compliance to competitive edge, Artikel, EYGM Limited, 2007
[E&Y, 2006] Ernst & Young compliance services, Compliance is een "modewoord", Artikel, Tijdschrift voor Compliance, September/oktober, p 126 -129, 2006
[E&Y, 2005] Ernst & Young compliance services, Compliance risk management - noodzakelijk kwaad of toegevoegde waarde voor de dagelijkse compliance – werkzaamheden, Artikel, Tijdschrift voor Compliance, November/december, p 125 - 129, 2005
[GAIN, 2009] Global Audit Information Network, A World in Economic crisis – key themes for refocussing the internal audit strategy, Institute for Internal Auditors, www.theiia.org/GAIN, April 2009
[Groenenboom, c.s., 2009] Groenenboom, M., Arnhem, S., Auditing, Compliance en riskmanagement: een drie-eenheid of ieder voor zich?, Artikel, Audit Magazine, p 46, 47, Maart 2009.
[IIA, 2004] IIA, The role of internal auditing in enterprise-wide risk management, Position Paper, The Institute of Internal Auditors, Altamonte Springs, 2004
[IIA, 2007] IIA, The professional practices framework, Book, The IIA research Foundation, Altamonte Springs, 6th edition, March 2007
[IIA, 2008] IIA Nederland, NIVRA, Bondgenoten in Governance - De relatie tussen de Auditcommissie en de Internal Audit Functie in Nederland, Studierapport, 2008
[IIA, 2009] IIA, A world in economic crisis: key themes for refocusing the internal audit strategy, Whitepaper, March 2009
[Jackson, 2005] Jackson, R.A., Role Play, Artikel, Internal Auditor, p 44-50, April 2005
[KPMG, 2006 1] Keane, D., McKimm, B., Emerging trends in Corporate Governance, Presentation, KPMG, October 2006
[KPMG, 2006 2] Freedman, S., Contemporary practice in risk based internal auditing, Presentation, KPMG, December 2006
[KPMG, 2008] KPMG advisory, Governance, Risk and Compliance - Driving Value through Controls Monitoring, Artikel, KPMG LLP, 2008
[Molenkamp 1, 2009] Molenkamp, A., Waar waren de internal auditors?, De beroepsorganisatie is niet klaar voor dat debat, Artikel MCA, nummer 1, p 22-32, Februari 2009
[Molenkamp 2, 2009] Molenkamp, A., Kunnen audit, compliance en risk samengaan?, Artikel, Tijdschrift Controlling, Column Auditing, nummer 4, p 33, April 2009
[OCEG, 2009] Open Compliance and Ethics Group (OCEG), GRC Capability Model - “Red Book” 2.0, April 2009, OCEG, 2009
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 31
[OCEG, 2008 1] Open Compliance and Ethics Group (OCEG), Findings from the OCEG GRC strategy study - how we develop, manage and evaluate GRC efforts, Artikel, www.oceg.com, 2008
[OCEG, 2008 2] Open Compliance and Ethics Group (OCEG), How can we use a lean approach for compliance and control, illustratie, www.complianceweek.com, 2008
[Paape, 2007] Paape, L., Corporate Governance - The impact on the Role, Position, and Scope of Services of the Internal Audit Function, Proefschrift, Erasmus Research Institute of Management, 2007
[PWC, 2004] PriceWaterhouseCoopers, Integrity-Driven Performance - A New Strategy for Success Through Integrated Governance, Risk & Compliance Management, Whitepaper, 2004
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 32
BIJLAGE B – INTERVIEWPROTOCOL
Het volgende interviewprotocol is gebruikt bij de interviews:
Achtergrondvragen
1. Welke van de in de tabel weergegeven (GRC) assurance-functies kent u binnen uw organisatie?
2. Zijn er nog andere functies die assurance geven binnen uw bedrijf?
3. Heeft het hoofd audit ook een of meer andere assurance-functies onder zich?
4. Aan wie rapporteren de hoofden van de assurance-functies? 5. In hoeverre zijn de assurance-functies op elkaar aangesloten/ met elkaar geïntegreerd?
a) meerdere functies binnen één afdeling? b) structureel overleg? zo ja, tussen welke functies? c) gezamenlijke risicoanalyse? d) overkoepelend raamwerk? e) gebruikte begrippen en terminologie?
6. Heeft uw organisatie een zogenaamd Governance, Risk & Compliance raamwerk geïmplementeerd?
Onderzoeksvragen
7. Wat zijn de drie belangrijkste ontwikkelingen met betrekking tot de samenwerking/ integratie van de bovengenoemde assurance-functies binnen uw bedrijf? Uit de theorie volgt bijvoorbeeld:
‐ Focus op kosten van beheersing; ‐ Meer afstemming over wie doet wat; ‐ Functies worden beter op elkaar aangesloten; ‐ Minder opereren in silo’s maar meer samenwerking; ‐ Coördinatie van functies vanuit één centraal punt; ‐ Eenheid in rapportage, escalatie en terminologie
8. Verandert de positie van internal audit in de organisatie als gevolg van bovenstaande ontwikkelingen?
9. Wat zijn de twee belangrijkste veranderingen met betrekking tot de inhoud van de kerntaak van internal audit? Te denken valt aan uitbreiding van de kerntaak met:
‐ Rol in het integreren van (GRC) assurance-functies; ‐ Implementeren van GRC raamwerk;
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 33
‐ Additionele verantwoordelijkheid voor (delen van) andere assurance-functies; ‐ Etc.
10. Hoe wordt de audit-planning en uitvoering beïnvloed door de eventuele veranderingen?
Uit de theorie volgt bijvoorbeeld: ‐ Audit-planning meer gebaseerd op risicoanalyse ipv. meerjaren cyclus; ‐ Flexibelere audit-planning; ‐ Minder mensen als gevolg van kostenbesparing; ‐ Opstellen assurance-overzicht (wie doet wat?); ‐ Meer steunen op het werk van de overige assurance-functies; ‐ Opnemen andere assurance-functies in audit-planning; ‐ Volwassenheid andere assurance-functies beïnvloedt werkzaamheden; ‐ Etc.
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 34
BIJLAGE C – ASSURANCE-FUNCTIES PER BEDRIJF
Figuur C1 Overzicht assurance-functies en rapportage lijnen
Governance, Risk & Compliance ontwikkelingen en de gevolgen voor de Internal Audit functie
J.M. Heijmans 2009 | 35
BIJLAGE D – INTERNAL AUDIT & ERM
Onderstaande figuur uit [IIA, 2004] geeft de rollen weer die internal audit volgens het IIA mag aannemen
ten aanzien van ERM.
Figuur D.1 ERM verantwoordelijkheden uit [IIA, 2004]