‘Rol internal audit bij risicobeheersing schiet vaak tekort’

Stakeholders van grote ondernemingen vinden dat de internal audit functie een veel grotere rol kan en moet spelen bij het identificeren en beheersen van de risico’s die het bedrijf loopt. Dit blijkt uit internationaal onderzoek van KPMG en Forbes onder vierhonderd CFO’s en voorzitters van Audit Commissies.

De groep belanghebbenden is van mening dat internal audit te weinig waarde toevoegt aan de onderneming als het gaat om risicobeheersing en onvoldoende effectief en efficiënt te werk gaat. Bovendien wordt te weinig gebruik maakt van nieuwe technologieën en de voordelen van data & analytics om de kwaliteit van de controle en de audit evidence te verbeteren en stakeholders nieuwe inzichten en perspectieven te kunnen bieden.

Pro-actiever

Uit het onderzoek blijkt dat iets meer dan 20% op dit moment informatie ontvangt van de internal audit-functie die inzicht geeft in de risico’s die de onderneming loopt en de procedures die de onderneming hanteert. Slechts 5% krijgt bovendien inzicht in de risico’s waarmee het bedrijf geconfronteerd zou kunnen worden. De onderzochte bedrijven en hun toezichthouders vinden dan ook dat de internal audit-functie niet moet volstaan met het beoordelen van bestaande controles, maar veel pro-actiever zou moeten omgaan met het identificeren van mogelijke risico’s en het beperken van de schade die zij zouden kunnen toebrengen.

Risicobeheersing belangrijker dan ooit

“Sinds de financiële crisis is risicobeheersing belangrijker dan ooit”, zegt Bart van Loon, partner bij KPMG en gespecialiseerd in risico-vraagstukken bij ondernemingen. Van Loon: “De wereld verandert en daarmee ook de risico’s die ondernemingen lopen. Voor veel bedrijven en instellingen is het dan ook zeer belangrijk om hun risico’s in kaart te brengen en te beheersen. Niet alleen vanuit het oogpunt van toezicht- en aandeelhouders en nieuwe, strengere regelgeving, maar vooral om te kunnen overleven in een wereld die steeds complexer wordt. De afgelopen tijd heeft uitgewezen dat risico’s organisaties zeer nadelig kunnen  beïnvloeden en in extreme gevallen kunnen leiden tot een faillissement. Bij bestuurders, toezichthouders en andere stakeholders neemt hierdoor de behoefte aan zekerheid toe. De internal audit functie kan hieraan een essentiële bijdrage leveren.”

Samenwerking

Uit het onderzoek van KPMG en Forbes blijkt dat bijna de helft van de onderzochte ondernemingen de mogelijke risico’s die het bedrijf loopt in kaart brengt met de compliance functie. Eén op de vier ondernemingen zet de juridische functie in en 9% beschikt over een ondernemingsbrede risicomanagementfunctie. Slechts 12% van de bedrijven zet de internal audit functie in om de bedrijfsrisico’s te beheersen. Van Loon: “Vooral stakeholders, zoals de aandeelhouders, vinden dat de internal auditfunctie veel pro-actiever moet opereren als het om risico’s gaat. Samenwerking met de compliance, de juridische, het risicomanagement én alle andere functies die de onderneming zekerheid moeten verschaffen is in hun ogen dan ook noodzakelijk. Een dergelijke samenwerking kan leiden tot een organisatie-bredere assurance, maar vraagt wel om veel meer effectiviteit en efficiency van de internal audit functie. De technologie, de ‘risk culture’ binnen de onderneming en soft controls spelen hierin duidelijk een belangrijke rol. Ook het recent uitgebrachte voorstel tot herziening van de Nederlandse Corporate Governance code geeft aan dat er een stevigere rol moet komen voor de internal audit functie als het gaat om het risicomanagement van een onderneming.”

Gerelateerde artikelen