Het Instituut van Internal Auditors (IIA) heeft gereageerd op de voorstellen van de Monitoring Commissie Corporate Governance voor herziening van de Nederlandse Corporate Governance Code (de Code). Het IIA is verheugd over de prominentere positie van de Internal Audit Functie (IAF) in de Code, maar geeft tegelijkertijd aan dat er nog ruimte is voor verbeteringen.
In haar reactie geeft het IIA enkele gewenste wijzigen aan in diverse best practices, zoals: “Veel IAF’s rapporteren, al dan niet gezamenlijk met de externe accountant, jaarlijks over governance en het risicobeheersings- en interne controlesysteem middels een schriftelijke rapportage. Wij zouden dit graag als best practice in de Code verankerd zien. Voorstel: ‘Jaarlijks rapporteert de IAF, al dan niet gezamenlijk met de externe accountant, schriftelijk aan bestuur en auditcommissie ten aanzien van opzet, bestaan en werking van de governance en risicobeheersings- en interne controlesystemen.”
Ook vraagt het IIA zich af of de rol van de IAF met betrekking tot de opzet en werking van de governance, zoals verankerd in internationale standaarden en bijvoorbeeld de Code Banken, bewust niet is opgenomen in principe 1.3, waar is gekozen voor de bewoordingen ‘opzet en werking van de interne risicobeheersings- en controlesystemen’. Het IIA stelt voor het begrip ‘governance’ in te voegen in zowel het principe als in de relevante best practice-bepalingen.
Daarnaast zegt het IIA: “Principe 1.3 plaatst de IAF onder verantwoordelijkheid van de Raad van Bestuur (RvB) en niet onder die van de auditcommissie (AC) van de Raad van Commissarissen (RvC). Zoals reeds in haar eerdere voorstel aangegeven, ziet het IIA -zowel in de praktijk alsook in vergelijkbare governance codes- een verdedigbare trend naar positionering onder de AC. De nieuwe Code zou kunnen erkennen en aangeven dat beide modellen verdedigbaar zijn in plaats van concreet voor één optie te kiezen. Los van de ophanging geeft een directe (rapportage)lijn van de IAF de AC een instrument in handen om haar -steeds complexere en omvangrijkere- takenpakket naar behoren uit te voeren. Het feit dat in de AC geen leden van het bestuur zitten, maakt het beter mogelijk om ook de aansturing van diverse elementen van het risicobeheersings- en interne controlesystemen door de leden van het bestuur (inclusief cultuur en gedrag) binnen de scope van de IAF te brengen.”
IIA: “Laat Internal Audit jaarlijks rapporteren over governance en risicobeheersing”
05 april 2016