Interne audit functie

Onafhankelijke en objectieve assurance

Interne audit is een functie die onafhankelijke en objectieve assurance- (zekerheid) en adviesdiensten levert die gericht zijn op het verbeteren van de bedrijfsactiviteiten van de organisatie. Een interne audit functie ondersteunt een organisatie bij het bereiken van haar doelstellingen door de effectiviteit van de processen van governance, risicomanagement en interne beheersing te evalueren en aanbevelingen te doen om die te verbeteren.

Good governance

Interne audit is een belangrijke functie binnen het systeem van ‘good governance’ in een organisatie. De Nederlandse Corporatie Governance Code en branchspecifieke governance codes bevatten bepalingen omtrent de invulling van de interne audit functie. Belangrijk daarin is dat het bestuur verantwoordelijk is voor de interne audit functie, en dat interne audit functie directe toegang heeft tot (de auditcommissie van) de Raad van Commissarissen.

Positie interne audit functie

De interne audit functie vervult de derde lijn binnen het ‘three lines model’, een breed geaccepteerd model voor de inrichting van governance, risicomanagement en interne beheersing (control) binnen organisaties.

  • Het (senior) management, de proceseigenaren, en de onder hun verantwoordelijkheid vallende medewerkers vormen de eerste lijn. Zij zijn verantwoordelijk voor de sturing en uitvoering van de primaire processen en het leveren van de producten en diensten aan de klanten van de organisatie. Zij zijn de ‘risico eigenaren’ (risk owners) en uit dien hoofde integraal verantwoordelijk voor de beheersing van de risico’s (inclusief het voldoen aan wet- en regelgeving) binnen hun respectievelijke verantwoordelijkheidsgebieden, processen en/of activiteiten.
  • Functies die zich richten op het stellen van kaders, het toetsen, controleren, signaleren, adviseren en ondersteunen van de interne risicobeheersing vormen de tweede lijn. Zij bewaken het effectief functioneren van de risicobeheersing in de eerste lijn (risk oversight). Onder de tweede lijn vallen functies als Risicomanagement, Financial Control, Business Control, Proces Control, de Compliance en/of Privacy Officer, de (IT) Security Officer, etc.
  • De interne audit functie geeft vorm aan de derde lijn. Zij verschaft onafhankelijk van de eerste twee lijnen, het bestuur en de Raad van Commissarissen zekerheid over de effectiviteit van de interne risicobeheersing in de organisatie (risk assurance).

In onderstaande afbeelding is het ‘three lines model’ schematisch weergegeven.

Rollen in het three lines model

Omvang organisatie een belemmering

Bij het effectief invullen van de interne audit functie, vormt de omvang van de organisatie vaak een belemmering. Veel organisaties zijn te klein om een interne auditor full time in dienst te hebben. Gevolg is dat een interne auditor in dergelijke situaties veelal ook taken toebedeeld krijgt die binnen de tweede of soms zelfs binnen de eerste lijn thuishoren. Daarmee komt de onafhankelijkheid van de interne audit functie in het gedrang, waardoor deze niet meer effectief vervult kan worden. De oplossing zoekt men dan in het volledig of gedeeltelijk uitbesteden van de audit functie.

Meer informatie?

Wilt u meer weten over onze dienstverlening op het gebied van auditing? Maak dan een afspraak met Frank van Egeraat. In een oriënterend gesprek komt u alles te weten over onze mogelijkheden voor uw organisatie.
Maak een afspraak