Interne Audit in de vernieuwde Corporate Governance Code 2022
Na de update in 2016 is in 2022 de Corporate Governance Code weer aangepast. Bij elke update zien we dat de aandacht voor interne audit toeneemt. In de 2022 editie worden bijvoorbeeld enkele IPPF-uitgangspunten verankerd in de code. In de nieuwe editie van de Corporate Governance code is specifiek aandacht voor kleinere organisaties, uitbesteding van de interne auditfunctie wordt nadrukkelijk genoemd. Een rol die InAudit reeds bij o.a. verzekeraars vervult. Dit is een duidelijke erkenning voor de bestaande praktijk bij kleine- en middelgrote pensioenfondsen en verzekeraars.
Vernieuwde Corporate Governance Code
De Corporate Governance Code is ontworpen om het vertrouwen in ondernemingen en hun bestuurders te vergroten door middel van transparantie, verantwoording en controle. De Code noemt als taak van de interne auditfunctie de beoordeling van de opzet en werking van de interne risicobeheersings- en controlesystemen.
Belangrijkere positie van interne audit
In de nieuwe Code is meer aandacht voor het versterken van de interne auditfunctie (IAF). De interne auditfunctie heeft sinds 2016 een prominente plek gekregen in de Corporate Governance Code. Zo is in artikel 1.3 de onafhankelijkheid en betrouwbaarheid van de rol van de interne auditfunctie verder verstevigd. Dit door het expliciteren van de rol van de auditcommissie bij de beoordeling van de IAF en door het opnemen van een 5-jaarlijkse evaluatie van de IAF door een externe partij. Binnen InAudit zijn deze vereisten altijd al geborgd geweest.
Verder dient de RvC bij het ontbreken van een IAF jaarlijks te beoordelen of er adequate alternatieve maatregelen zijn getroffen en of behoefte bestaat om de IAF in te richten. In de vernieuwde Code is nu ook expliciet de mogelijkheid tot uitbesteding van de interne auditfunctie als adequaat alternatief benoemd, indien de organisatie een te beperkte omvang heeft om een volledige functie zelf in te vullen (zie cursief).
Het uitgangspunt is dat vennootschappen voor de uitvoering van de taak van de interne audit functie, een interne audit dienst inrichten. Mocht van dit uitgangspunt worden afgeweken, bijvoorbeeld als de omvang van de vennootschap zich daarvoor niet leent, dan kan uitbesteding een adequaat alternatief zijn (…)
De Nederlandse Corporate Governance Code, 2022
In 2020 is door Bogstra et al. (2020) onderzoek gedaan naar de naleving van norm 1.3 Interne audit functie door beursgenoteerde ondernemingen op basis van het comply or explain (pas toe of leg uit) principe.
Uit dat onderzoek bleek dat sinds 2016 ook, naast AEX-fondsen, steeds meer kleinere beursfondsen (AMX & AScX) een IAF hebben ingericht. Toch hadden er in 2020 nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF. Dezelfde auteurs stellen in de Internal Audit Monitor 2021 (2022) op pagina 8 dat door de expliciete vermelding van de mogelijkheid tot uitbesteding in de vernieuwde Code, de beperkte omvang van een organisatie volgens deze redenering op zichzelf dus geen gemotiveerde verklaring is om geen IAF in te richten. De organisaties kunnen immers de IAF geheel, of gedeeltelijk uitbesteden.
IPPF-standaarden van het IIA
Door de uitbreiding van norm 1.3 ten aanzien van de interne auditfunctie is de Code inhoudelijk een stap dichter bij de kwaliteitsstandaarden van de beroepsorganisatie van interne auditors, het IIA. Het Instituut van Internal Auditors (IIA) heeft de International Professional Practices Framework (IPPF) standaarden ontwikkeld. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen. Het werken volgens de IPPF-standaarden verzekert een auditfunctie van hoge kwaliteit en draagt bij aan de effectiviteit en efficiëntie van een organisatie.
Proportionele oplossing voor kleinere organisaties of een flexibele schil voor grotere organisaties
Organisaties die willen voldoen aan principe 1.3 Interne audit functie uit de Corporate Governance Code 2022 en daarmee een effectieve interne auditfunctie willen inrichten, kunnen baat hebben het uitbesteden of co-sourcing van de interne auditfunctie. Hiermee kan op schaalbare wijze toch volgens de IPPF-standaarden worden gewerkt. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder dat er concessies worden gedaan aan de kwaliteit van de audit. InAudit kan helpen bij zowel het volledig inrichten van de interne auditfunctie als het ondersteunen van de eigen IAF.
Literatuurlijst
- Monitoring Commissie Corporate Governance Code. (2022, december 20). De Nederlandse Corporate Governance Code. Opgehaald van Corporate Governance Code 2022.
- Bogstra, R., Garretsen, I., & Remko, R. (2020, April 22). Compliant in principle! and in practice? Internal audit at listed companies in the Netherlands: beyond compliance with the Dutch Corporate Governance Code. (C.D. Knoops, Ed.) Maandblad voor Accountancy en Bedrijfseconomie, 94(3/4), pp. 93-101.
- Bogstra, R., Garretsen, I., & Renes, R. (2022). Internal Audit Monitor 2021: Ontwikkelingen in Internal Audit. Instituut van Internal Auditors (IIA Nederland); ONE Risk Advisory.