際際滷

際際滷Share a Scribd company logo

AMS Masterclass Internal Auditing - Governance Capital Selecta

Ben Broeckx
Ben Broeckx

Deze presentatie bevat een selectie van de slides die tijdens de 2de lesdag van de AMS MCIA Masterclass internal auditing en overheidsauditor werden gegeven. De slides zijn in het Nederlands.

1 of 79
Downloaded 17 times
Governance | Capita Selecta Governance Dag 2 | Masterclass Internal Auditing 2014 - 2015 1
Prof. Ben G. Broeckx De volgende slides geven een beeld van de inhoud die besproken werd tijdens de 2de lesdag van de Masterclass Internal Auditing met betrekking tot governance. Ze bevatten niet alle slides die in de cursus werden besproken
Agenda Dag 2 Governance | Debriefing van de eerste opdracht Governance | De Belgische codes Governance | Hoe auditeer je de interne controle omgeving? Governance | Evolutie van de positie van de interne auditor (optioneel) Governance | Nieuwe uitdagingen: sustainability reporting Governance | Opdracht dag 3 Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Structurele samenhang: Capital Selecta Vorige week: inleiding governance Wat betekent governance? De Belgische codes Governance in Belgi谷 Hoe auditeer je de interne controle omgeving? Hoe begin je aan een governance audit? Evolutie van de positie van de interne auditor Governance evoluties betekent meer rollen voor anderen: waar blijft de interne auditor? Nieuwe uitdagingen - sustainability reporting Meer uitgebreide governance gerelateerde rapportering
Governance | Debriefing opdracht dag 1 Masterclass Internal Auditing 2014 - 2015 5
Prof. Ben G. Broeckx Debriefing door de 5 groepen
Nieuwe FRC guidance The guidance says that while risk managers have day-to-day responsibility for implementation and management, it is up to the board to ensure that the appropriate policies are in place, that board understanding of risk is high, that risks are maintained within tolerable levels, and that risk mitigation is appropriate. The guidance also states that risk management should not inhibit sensible risk taking that is in-line with growth strategies and operations, but should support better decision making. http://www.airmic.com/content/risk-responsibility-lies-board-airmic- welcomes-frc-guidance?utm_medium=email&utm_source=Airmic +Limited&utm_campaign=4790450_Airmic+news+October +2014&dm_i=10HJ,2UOC2,575O58,ACAGB,1 Prof. Ben G. Broeckx
Nieuwe FRC guidance FRC = Financial Reporting Council (UK) Ultieme verantwoordelijkheid voor risicobeheer en interne controle ligt bij de Raad van Bestuur Dagelijks beheer: management Volledige achterliggende structuur en positie: Raad van Bestuur Prof. Ben G. Broeckx
Governance | de Belgische codes Masterclass internal auditing 2014 - 2015 9
Prof. Ben G. Broeckx Achtergrond van de codes
De 6 OESO basisprincipes van deugdelijk bestuur Een stelsel van deugdelijk bestuur moet (bron: OESO rapport) bijdragen tot de doorzichtigheid en de e鍖ci谷ntie van de markten, compatibel moeten zijn met de rechtsstaat en duidelijk de verdeling van de competenties tussen de instanties belast met de bewaking, de reglementering en de toepassing van de teksten moeten bepalen de rechten van de aandeelhouders beschermen en hun uitoefening vergemakkelijken een gelijkwaardige behandeling van alle aandeelhouders verzekeren, met inbegrip van de minderheids- en buitenlandse aandeelhouders. Iedere aandeelhouder moet de mogelijkheid hebben om een effectieve schadeloosstelling te krijgen voor iedere schending van zijn rechten. de rechten van de verschillende belanghebbende partijen in het bedrijfsleven erkennen zoals ze worden bepaald door het geldende recht of door de onderlinge overeenkomsten, en een actieve samenwerking tussen de vennootschappen en de verschillende belanghebbende partijen bevorderen om rijkdom en arbeidsplaatsen te cre谷ren en het voortbestaan van financieel gezonde ondernemingen te verzekeren. op het geschikte moment de verspreiding van juiste informatie over alle belangrijke onderwerpen met betrekking tot de onderneming, met name de financi谷le situatie, de resultaten, het aandeelhouderschap en het bestuur van deze onderneming, garanderen. het strategische bestuur van de onderneming en de effectieve bewaking van het beheer door de raad van bestuur garanderen, evenals de verantwoordelijkheid en de trouw van het raad van bestuur tegenover de vennootschap en haar aandeelhouders. Prof. Ben G. Broeckx
Prof. Ben G. Broeckx De Belgische codes
Laatste actualisering van de codes Belgische corporate governance code (2009) Beursgenoteerde ondernemingen Code Buysse II (2009) Niet beursgenoteerde ondernemingen Aanbevelingen MAAR: geen enkele juridische waarde! Prof. Ben G. Broeckx
Prof. Ben G. Broeckx De Belgische Corporate Governance Code | voor beursgenoteerde ondernemingen
Structuur van de Belgische Corporate Governance code 9 principes Pijlers van governance Alle organisaties die onder de BCG code vallen moeten deze pijlers toepassen de bepalingen Praktische omschrijvingen hoe de richtlijnen in feite moeten worden ge誰nterpreteerd en toegepast de richtlijnen Facultatieve leidraad Prof. Ben G. Broeckx
9 principes van de Belgische CG code Principe 1 - De vennootschap past een duidelijke governancestructuur toe Principe 2 - De vennootschap heeft een doeltre鍖ende en e鍖ci谷nte raad van bestuur die beslissingen neemt in het vennootschapsbelang Principe 3 - Alle bestuurders geven blijk van integriteit en toewijding Principe 4 - De vennootschap heeft een rigoureuze en transparante procedure voor de benoeming en de beoordeling van haar raad en zijn leden. Principe 5 - De raad van bestuur richt gespecialiseerde comit辿s op Principe 6 - De vennootschap werkt een duidelijke structuur uit voor het uitvoerend management Principe 7 - De vennootschap vergoedt de bestuurders en de leden van het uitvoerend management op een billijke en verantwoorde wijze. Principe 8 - De vennootschap gaat met de aandeelhouders en potenti谷le aandeelhouders een dialoog aan, gebaseerd op een wederzijds begrip voor elkaars doelstellingen en verwachtingen. Principe 9 - De vennootschap waarborgt een passende openbaarmaking van haar corporate governance Prof. Ben G. Broeckx
Basis van de regelgeving Basis: Richtlijn 2006/46/EG beursgenoteerde vennootschappen moeten een verklaring van corporate governance publiceren Belgische wetgeving: Wet van 6 april 2010 tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en de autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank- en financi谷le sector BCG code is referentiecode (KB 6 juni 2010 houdende aanduiding van de na te leven Code inzake deugdelijk bestuur door genoteerde vennootschappen) Prof. Ben G. Broeckx
Wet van 6 april 2010 beursgenoteerde vennootschappen in jaarverslag verklaring inzake deugdelijk bestuur opnemen Verplichte informatie Welke code + waar kan ze gevonden worden Afwijkingen van die code + onderbouwde redenen (Comply or Explain) kenmerken van de interne controle- en risicobeheer-systemen Verplichte oprichting van een remuneratiecomit辿 Prof. Ben G. Broeckx
Wet van 6 april 2010 beursgenoteerde vennootschappen in verklaring mbt deugdelijk bestuur: remuneratieverslag beschrijving van het remuneratiebeleid van bestuurders, directiecomit辿 + manier waarop remuneraties worden bepaald; verklaring over het remuneratiebeleid (basisprincipes, belang van de verschillende componenten van de vergoeding ); individueel voor de niet uitvoerende bestuurders: bedrag van remuneratie en andere voordelen die werden toegekend; criteria voor de evaluatie van prestaties tov doelstellingen, aanduiding van evaluatieperiode en beschrijving van de methoden toegepast om voldoening te evalueren voor uitvoerende bestuurders, leden van directiecomit辿 die in aanmerking komen voor vergoedingen gebaseerd op prestaties van de vennootschap; bedrag van basissalaris, van variabele remuneratie, pensioenregeling en alle overige componenten van de remuneratie; informatie in verband met aandelen, opties of andere rechten om aandelen te verwerven; per individu: bepalingen omtrent vertrekvergoedingen (indien 12+ maanden of 18+ maanden: goedkeuring of nietig) Prof. Ben G. Broeckx
Prof. Ben G. Broeckx De Code Buysse II | voor niet-beursgenoteerde vennootschappen
Belangrijke aspecten van de Code Buysse II Aanbevelingen, geen verplichtingen Onderscheid tussen ondernemingen, KMOs en familiale ondernemingen (dicht bij de realiteit van het Belgische bedrijfslandschap) 9 grote hoofdstukken + 辿辿n hoofdstuk over bekendmaking Prof. Ben G. Broeckx
De hoofdstukken van de Code Buysse II Inleiding en algemene principes Ook vermelding van groeifasen van onderneming en de evoluerende governance noden Deugdelijk ondernemen Maatschappelijk verantwoord ondernemen De raad van advies Een actieve raad van bestuur Taken, samenstelling en werking Benoeming, rechten en plichten, vergoedingen, voorzitter, comit辿s Prof. Ben G. Broeckx
De hoofdstukken van de Code Buysse II Een performant senior management Rollen, opdracht, benoeming, evaluatie en remuneratie Betrokken aandeelhouders Rol, hoe betrokkenheid te verhogen Controle en risicobeheer Inclusief vermelding van interne audit! Specifieke aanbevelingen voor familiale governance Het familieforum Bekendmaking Prof. Ben G. Broeckx
Governance | Audit van de interne controle omgeving Masterclass internal auditing 2014 - 2015 24
De context We zagen reeds de basisconcepten van governance We bekeken de Belgische governance regelgeving of referentiekaders nu gaan we kijken hoe we als interne auditor governance kunnen doorlichten. Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Hoe zou u governance auditen? Welk(e) aspect(en) van governance kan u auditen?
Governance | De conceptuele uitdaging Governance blijft een sterk conceptueel kader/begrip, dat niet zo eenvoudig te benaderen is vanuit de invalshoek van de interne auditor. De hamvraag: welke referentiekaders en welke ondersteunende middelen kunnen wij als interne auditoren gebruiken om vat te krijgen op governance? Of nog: hoe kunnen we bepaalde aspecten van governance auditeren? Een mogelijk ingangspunt is de governance-dimensie die in interne controleraamwerken ingebouwd zit: Controle omgeving of Interne omgeving Prof. Ben G. Broeckx
Prof. Ben G. Broeckx COSO-raamwerken | Governance relevantie
Wat zijn de COSO raamwerken? In februari 2014 gaf COSO een thought paper uit, getiteld Improving organizational performance and governance - how the COSO frameworks can help Interessante denkpistes over hoe interne controle en risicobeheer raamwerken governance kunnen operationaliseren Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Een korte historiek van de evolutie van interne controle Midden-1970s Watergate Schandaal en Onderzoek 1977 Foreign Corrupt Practices Act (FCPA) Begin -1980s Verhoogde nadruk op interne controle en compliance 1985 VS - National Commission on Fraudulent Financial Reporting Treadway Commission 1992 Committee Of Sponsoring Organisations (COSO) publiceert Internal Control Integrated Framework 1990s 2000 Voortdurende nadruk op interne controle, risicobeheer and verantwoordelijkheden rond governance 1980 1970 1990 2000 2002 Sarbanes-Oxley Act van 2002
Prof. Ben G. Broeckx Het voorgestelde referentiekader ENTITY-LEVEL DIVISION BUSINESS UNIT FUNCTION Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring S T R A T E G I C O P E R A T I O N S R E P O R T I N G C O M P L I A N C E ENTITY-LEVEL DIVISION BUSINESS UNIT FUNCTION Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities O P E R A T I O N S R E P O R T I N G C O M P L I A N C E Expanded into 3 components Figure 2: Relationship of ERM and Internal Control to Contextual Business Model Internal Control Integrated Framework Enterprise Risk Model Integrated Framework Business Planning Adapting Execution Monitoring Strategy Setting Governance Contextual Business Model Bron: COSO
Prof. Ben G. Broeckx Let op: In de volgende slides gebruiken we controle omgeving en interne omgeving door elkaar. Beiden zijn COSO begrippen. Controle omgeving is een traditioneel COSO begrip, interne omgeving is een COSO ERM begrip.
Hoe relevant is COSO voor governance? Kwaliteitsconcepten: de PDCA kwaliteitscirkel van Deming (Plan-Do-Check-Act) zie je terugkomen in het contextueel business model E辿n van de componenten is zeer relevant voor governance: Control Environment / Internal Environment We analyseren deze verder Prof. Ben G. Broeckx
De rol van de component interne omgeving of controleomgeving Definitie (IIA standaarden) van controleomgeving The attitude and actions of the board and management re- garding the significance of control within the organization. De verschillende aspecten van de component controle omgeving reflecteren de toon van een organisatie Ze vormen de basis voor het al dan niet succesvol installeren van een interne controle en risicobeheer (IA objectieven) Ze leggen de discipline en structuur van de organisatie vast Prof. Ben G. Broeckx
Elementen van de interne omgeving (COSO ERM) Prof. Ben G. Broeckx Risk% Management% Philosophy! ! Risk%% Appe4te! ! Risk%% Culture! ! Board%of% Directors! ! Integrity%and% Ethical%Values! ! Commitment%to% Competence! ! Value% Communicate%%%%% in%words%and% ac4ons% ! Value% Qualita4ve% Quan4ta4ve% Linked%to%% %%strategy% % In鍖uenced%by%the% risk%appe4te% In鍖uenced%by%BoD% but%also% in鍖uenced%BoD% selec4on% % Independent% Ac4ve% Involved% % Standards%of% %%%behavior% Prerequisite% CEO%example% %%Incen4ves% !! ! Knowledge% Skills% TradeLo鍖s% !! ! Management% Philosophy%and% Opera4ng%Style! ! Organiza4onal% Structure! ! Assignment%of% Authority%and% Responsibility! ! Human%Resource% Policies%and%Prac4ces! ! Di鍖erences%in% Environment! ! Formal%vs.% %%%Informal% Conserva4ve%vs.%% %%Aggressive% Aligned% % Repor4ng%lines% Centralised/% %%Decentralised% Matrix/Func4on/% %%Geography% % Empowerment% Accountability% % Quali鍖ed% Training% Compensa4on% Incen4ves%and% %%%Discipline% ! Management% %%%preferences% Value%judgments% Management% %%%Styles% % Bron: COSO
Hoe auditeer je deze controle omgeving? IPPF practice guide Auditing the control environment van het IIA, april 2011 Audits kunnen horizontaal, verticaal of lateraal gebeuren CAE moet zelf actief betrokken zijn in de planning van de audits, gezien de gevoeligheid van de materie Duidelijke en voorafgaandelijke communicatie van de criteria die worden gebruikt om de controle omgeving te beoordelen Prof. Ben G. Broeckx
Hoe auditeer je de controle omgeving? Een a-typische opdracht: soft controls laten traditionele test technieken niet (volledig) toe Outside-of-the-box denken om voldoende bewijsmateriaal in de auditcontext te verzamelen Communicatievorm en -reikwijdte zijn vaak ook afwijkend van traditionele interne audit rapporten Prof. Ben G. Broeckx
Okay, maar hoe doe je dit nu concreet? Analyse op basis van een maturiteitsmodel Benchmarking/peer review met andere spelers in de sector (voorbeeld: de FODs, maar ook binnen bepaalde sectoren - transparantie) Bevragingen van medewerkers en/of betrokken partijen Gebruik (maar ook validatie) van informatie via het netwerk van de medewerkers van interne audit (corroboratie) Langere termijn: auditing by walking around (argument voor de gedecentraliseerde audit) Deelname door interne audit, als toeschouwer, aan diverse meetings, vergaderingen, werkgroepen edm die werken aan deze soft controls Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Een audit van governance is een permanente activiteit van interne audit met tussentijdse rapportering
Minimale vereisten? Voldoende bewijsmateriaal! Eventuele data analyses toepassen om bevestiging van vermoede trends te willen vinden (voorbeeld: het opdelen van markten in overheidsopdrachten) Bepaalde aspecten lenen zich wel voor normale audit testen Bestaan en voorkomen van ethische codes, getekende erkenning van deze codes edm Voor zeer concrete en praktische idee谷n, zie de practice guide Prof. Ben G. Broeckx
Governance | evolutie van de positie van de interne auditor Masterclass Internal Auditing 2014 - 2015 41
Context We kennen governance en de Belgische context We bekeken hoe we een deel van governance kunnen doorlichten Maar interne auditor is in het geheel van interne controle, risicobeheer en governance lang niet de enige speler hoe gaan we om met deze andere spelers? Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Een vraag voor de groep: In organisaties gevuld met diverse compliance actoren, wat is nog de toegevoegde waarde van interne audit?
Toegevoegde waarde: een uitdaging voor interne audit Hoe meten we toegevoegde waarde (ook voor interne audit)? Nu: value for money Value for money: mode trend maar ook relevante vraag van de stakeholders van interne audit Wat doen jullie (interne audit) nu in feite voor mij (geauditeerde, lid auditcomit辿, management, lid raad van bestuur) als gebruiker van je diensten (assurance of zekerheidsverstrekking, consulting of adviesverlening)? Korte termijn 辿n lange termijn Prof. Ben G. Broeckx
De hamvraag voor de stakeholders van interne audit (de governance actoren) Wat levert interne audit ons op? Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Andere actoren in compliance | Een kort overzicht
Knabbelen andere rollen aan de reikwijdte van de interne auditor? Externe auditor niet zekerheidsverstrekkend werk, co-sourcing, outsourcing, posities rond kwaliteit van interne controles Interne controle verantwoordelijke invoeren van aan de eigenheid van de organisatie aangepast interne controle raamwerken Risico manager of Chief Risk O鍖cer invoeren van specifieke raamwerken (COSO-ERM, ISO 31000 edm) rond risico Kwaliteit(scontrole)-verantwoordelijke Diverse kwaliteitsystemen richten zich meer en meer op risico en compliance Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Hebben andere actoren de plaats van de interne auditor ingenomen?
Prof. Ben G. Broeckx NEEN!!! De nieuwe rollen en verantwoordelijkheden cre谷ren net essenti谷le voorwaarden om interne audit zijn werk te laten doen 辿n assisteren bij dit werk
Prof. Ben G. Broeckx Ze vormen geen aantasting van de toegevoegde waarde van interne audit. Ze dragen ertoe bij.
Prof. Ben G. Broeckx Duiding via het referentiemodel van het IIA: de drie verdedigingslijnen The three lines of defence in effective risk management and control (IIA, januari 2013)
De 3 verdedigingslijnen bron: IIA Position Paper Although neither governing bodies nor senior management are considered to be among the three lines in this model, no discussion of risk management systems could be complete without first considering the essential roles of External audit Regulator Governing Body / Board / Audit Committee Governing Body / Board / Audit Committee The Three Lines of Defense Model Senior Management Senior Management 3rd Line of Defense 3rd Line of Defense Internal Internal Audit Audit 1st Line of Defense 1st Line of Defense Management Management Controls Controls Internal Internal Control Control Measures Measures 2nd Line of Defense 2nd Line of Defense Financial Control Financial Control Security Security Risk Management Risk Management Quality Quality Inspection Inspection Compliance Compliance Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41
De eerste lijn is verantwoordelijk voor de interne controle en het risicobeheer De eerste lijn, het management team en haar medewerkers, voert de activiteiten en de ermee verbonden interne controles/risicobeheer uit Zij maken de keuzes (rond blootstelling edm), kiezen de maatregelen en geven aan wat het (beoogde en re谷le) e鍖ect van deze maatregelen is Het management en haar team is verantwoordelijk voor de interne controles (en het risicobeheer) Prof. Ben G. Broeckx
De tweede lijn ontwikkelt de tools om dit mogelijk te maken, monitort het gebruik en rapporteert De tweede lijn is een ondersteunende lijn voor de eerste lijn. Ze ontwikkelen de tools die door het management en haar team worden toegepast Ze zien ook toe op het correcte gebruik van deze tools en rapporteren hierover naar het management en de raad van bestuur Ze maken het mogelijk (enabling) dat management en haar team op dit terrein hun werk kunnen doen Gezien de complexiteit van de organisaties zijn dit vaak zeer gespecialiseerde, ondersteunende functies Prof. Ben G. Broeckx
De derde lijn verstrekt op een onafhankelijke manier een redelijke zekerheid over de doeltreffendheid Via haar gestandaardiseerde manier van werken analyseert interne audit het functioneren van deze systemen op diverse vlakken Werken de interne controles, werkt het systeem van risicobeheer, functioneert de governance Zekerheidsverstrekking, maar een redelijke zekerheid Beperkingen van mensen en middelen Op basis van een eigen risicoanalyse (meta analyse) Interne audit verstrekt een redelijke zekerheid aan zowel het senior management als de raad van bestuur rond de werking van de IC en RM systemen en het overkoepelend geheel van beheer (governance) Prof. Ben G. Broeckx
Risico-gebaseerde interactie in dit model bron: Leon Bloom (ERM) Three lines of defense issues and challenges Governance interaction and information flow ENABLE VALIDATION & ASSURANCE REPORTING Internal Audit Validation of controls Objective review of risk management process Assurance to senior executive management and Board on assertions of risk exposure Risk Management Policies, governance and information flow Risk assessment methods Measurement, aggregation rules and tools Monitor risk exposure status and report to Board ASSURE Board of Directors & Senior Executive Management REPORT ASSERT Assertions on status of risk exposure Business Unit Management and Staff Risk identification and assessments Actions to exploit, reduce, transfer, or avoid risk Provide assertions on risk exposure for each business unit or functional area within NFS 3rd line 2nd line 1st line 14 Risk governance - Evolving beyond the traditional 3 lines of defense model
Prof. Ben G. Broeckx Interne audit heeft een unieke rol in (risk) governance, waardoor ze actief bijdraagt tot het functioneren van haar organisatie
Prof. Ben G. Broeckx Hoe kan de interne auditor gebruik maken van deze drie lijnen structuur? | een praktijkvoorbeeld
Probleemstelling | In grote organisaties is het niet zo moeilijk om als auditor gehoord te worden Grote organisaties = grote interne audit afdelingen Pipeline of talent - Richard Chambers, voorzitter van het IIA Interne audit is een kweekvijver van talent Medewerkers lopen warm in interne audit Toekomstige werkrelatie met interne audit wordt gecementeerd Toegevoegde waarde van interne audit is vaak eenvoudiger aan te tonen in organisaties die reeds doordrongen zijn van de interne audit geest Prof. Ben G. Broeckx
dan in een kleinere organisatie (zoals de meeste Belgische organisatie) Grootte van interne audit afdeling is vaak functie van de grootte van de organisatie Factoren met minder invloed (GAIN 2008): complexiteit van de sector aard en reikwijdte van de activiteiten binnen de sector Dus wat doe je als interne auditor van een kleinere organisatie bent in een complexe sector? Prof. Ben G. Broeckx
Kleine(re) audit organisaties hebben het vaak moeilijker om hun toegevoegde waarde te bewijzen De meeste interne audit organisaties zijn klein(er) Dus: Kweekvijver is een weinig realistisch model Met als logisch gevolg: geauditeerden hebben vaak geen audit referentiekader Terwijl daarnaast veel organisaties hebben steeds meer en meer complexe producten, oplossingen, verantwoordelijkheden Prof. Ben G. Broeckx
De relevantie bepaalt de share of voice Interne audit moet relevant blijven om gehoord te worden: share of voice Het aantonen van een toegevoegde waarde van het werk van een interne auditor in een complexe(re) (overheids)omgeving is niet zo eenvoudig Prof. Ben G. Broeckx
Prof. Ben G. Broeckx E辿n oplossing voor de relevantie uitdaging: Integratie van de bestaande competenties
De roterende gast auditor We draaien het audit bestaffingsmodel van Chambers 180属 om We activeren de 2de lijn van het 3 verdedigingslijnen model zonder onze afhankelijkheid aan te tasten Hoe? Een nieuwe audit team structuur Klein permanent audit team - lange termijn engagement - audit experts Medewerkers met specifieke competenties (2de lijn) - roteren in en uit op een ad hoc basis, in functie van de noden - inhoudelijke experts Prof. Ben G. Broeckx
Operationalisering Integratie in het bestaande audit team Onder toezicht van een ervaren auditor Actief als extern expert - beslagen in de onderliggende te auditeren materie Prof. Ben G. Broeckx
Rollen en verantwoordelijkheden Ontwikkeling van technische audit aanpak Goede kennis van relevante, beschikbare informatie en -bronnen Richtsnoer voor evaluatie van de audittesten (Aanvullende) evaluatie en interpretatie van de resultaten van de audittesten Verhoogde relevantie van de evaluatie 辿n de aanbevelingen Eerste kritische lezer van het ontwerp audit rapport Meedenken rond operationaliseerbare oplossingen voor aandachtspunten Prof. Ben G. Broeckx
Resultaten Korte termijn Meer relevante, praktische implementeerbare audit aanbevelingen Betere audit testen, meer volledige audit conclusies Verlaagde afhankelijkheid van externe adviseurs (gericht gebruik, moet katalysator zijn) Lange termijn Emotioneel begrip van wat een audit voor de auditor inhoudt Appreciatie voor de dagdagelijkse realiteit van interne audit Kennis van het proces: verhoging van de kwaliteit van voorbereiding Prof. Ben G. Broeckx
Uitdagingen Onafhankelijkheid en objectiviteit van de gast auditor Vertrouwelijkheid van de audit bevindingen Verlies van vertrouwen in het interne audit proces Prof. Ben G. Broeckx
Oplossingen Afkoelperiode (standaard 1130.A1) Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Conclusie | Hoe (perceptie van) toegevoegde waarde verhogen in een kleine(re) interne audit afdeling?
E辿n antwoord Actief betrekken van 辿辿n of meer gast auditoren, experten in een aspect van de audit, in de voorbereiding, uitvoering en opvolging van de audit - nauwere samenwerking met 2de lijn, zonder onafhankelijkheid in het gedrang te brengen Voordelen Relevantie van bevindingen en kwaliteit van de aanbevelingen Appreciatie voor het interne audit proces Aandachtspunten Onafhankelijkheid (CAE moet zijn of haar rol spelen) Prof. Ben G. Broeckx
Governance | Nieuwe uitdagingen: sustainability reporting Masterclass Internal Auditing 2014 - 2015 72
Context We leerden governance en de Belgische context We bekeken hoe we een deel van governance kunnen doorlichten We keken hoe de rol van de interne auditor niet in concurrentie staat met, maar voortbouwt op andere governance- gerelateerde rollen Nu kijken we hoe rapportering zich gaandeweg aan het uitbreiden is een rapportering waarover we, als interne auditor, een bepaalde zekerheidsvertrekkende functie hebben Prof. Ben G. Broeckx
Sustainability reporting Oude wijn in nieuwe zakken Royal Dutch Shell reeds sinds einde jaren 90 bezig met sustainability reporting MAAR: erkenning van de stakeholders Zeer belangrijke evolutie dat dit meer en meer mainstream wordt - verhoging van transparantie door verbreding van de dimensies Europese Commissie: April 2014: directive on the disclosure of non-financial and diversity information by certain large companies., met inbegrip van triple bottom line reporting Prof. Ben G. Broeckx
Wat rapporteren we onder sustainability reporting? De zogenaamde triple bottom line Rapportering over society, economy & environment (maatschappelijke, economische en milieu-aspecten) Maatschappelijke ontwikkeling bouwt op positieve economische ontwikkeling. Economische ontwikkeling steunt op een gebalanceerd gebruik van de milieu activa Geen statisch evenwicht mogelijk: dynamisch evenwicht, soms vergeleken met tectonische platen (permanent in beweging, niet altijd zichtbaar) Prof. Ben G. Broeckx
Bewegingen tussen tectonische platen De schuifzone tussen economie en milieu Opportuniteiten rond eco-effici谷ntie Lange termijn risicos rond vervuiling of uitputting De schuifzone tussen maatschappij en milieu Opportuniteiten rond milieu bewustzijn en keuzes voor milieu-respecterende producten Risicos zoals milieu-vluchtelingen, intergenerationele ongelijkheid wegens gebruik nu versus gebruik later De schuifzone tussen economie en maatschappij Opportuniteiten zoals ethisch investeren, fair trade Risicos zoals corruptie, gebrek aan ethiek, niet respecteren van rechten van minoriteiten Prof. Ben G. Broeckx
Prof. Ben G. Broeckx Elk van deze afschuifzones vertegenwoordigt een gebied waar de organisatie zowel intern als extern aan risico kan worden blootgesteld. De controles, het risicobeheer en de governance hierrond vallen onder de verantwoordelijkheid van de interne auditor
De uitdagingen voor de interne auditor in sustainability reporting Een groot aantal relevante stakeholders Stakeholder groep en belangen zal veranderen over de tijd Problematiek van het stakeholder perception gap Niet alle gepercipieerde risicos zijn re谷le risicos Bestaan van tectonische platen binnen 辿辿n organisatie die mogelijk verschillende commerci谷le doelstellingen nastreeft, die met elkaar in conflict zijn Niet het traditionele gebied van de interne auditor, moet zich beginnen bekwamen in bredere competenties dan zuiver procesmatige, financi谷le en administratieve procescompetenties Prof. Ben G. Broeckx
Conclusie Het beroep van interne auditor is in volle beweging Belangrijke uitdagingen en opportuniteiten bevinden zich in de governance dimensie Prof. Ben G. Broeckx

More Related Content

AMS Masterclass Internal Auditing - Governance Capital Selecta

  • 1. Governance | Capita Selecta Governance Dag 2 | Masterclass Internal Auditing 2014 - 2015 1
  • 2. Prof. Ben G. Broeckx De volgende slides geven een beeld van de inhoud die besproken werd tijdens de 2de lesdag van de Masterclass Internal Auditing met betrekking tot governance. Ze bevatten niet alle slides die in de cursus werden besproken
  • 3. Agenda Dag 2 Governance | Debriefing van de eerste opdracht Governance | De Belgische codes Governance | Hoe auditeer je de interne controle omgeving? Governance | Evolutie van de positie van de interne auditor (optioneel) Governance | Nieuwe uitdagingen: sustainability reporting Governance | Opdracht dag 3 Prof. Ben G. Broeckx
  • 4. Prof. Ben G. Broeckx Structurele samenhang: Capital Selecta Vorige week: inleiding governance Wat betekent governance? De Belgische codes Governance in Belgi谷 Hoe auditeer je de interne controle omgeving? Hoe begin je aan een governance audit? Evolutie van de positie van de interne auditor Governance evoluties betekent meer rollen voor anderen: waar blijft de interne auditor? Nieuwe uitdagingen - sustainability reporting Meer uitgebreide governance gerelateerde rapportering
  • 5. Governance | Debriefing opdracht dag 1 Masterclass Internal Auditing 2014 - 2015 5
  • 6. Prof. Ben G. Broeckx Debriefing door de 5 groepen
  • 7. Nieuwe FRC guidance The guidance says that while risk managers have day-to-day responsibility for implementation and management, it is up to the board to ensure that the appropriate policies are in place, that board understanding of risk is high, that risks are maintained within tolerable levels, and that risk mitigation is appropriate. The guidance also states that risk management should not inhibit sensible risk taking that is in-line with growth strategies and operations, but should support better decision making. http://www.airmic.com/content/risk-responsibility-lies-board-airmic- welcomes-frc-guidance?utm_medium=email&utm_source=Airmic +Limited&utm_campaign=4790450_Airmic+news+October +2014&dm_i=10HJ,2UOC2,575O58,ACAGB,1 Prof. Ben G. Broeckx
  • 8. Nieuwe FRC guidance FRC = Financial Reporting Council (UK) Ultieme verantwoordelijkheid voor risicobeheer en interne controle ligt bij de Raad van Bestuur Dagelijks beheer: management Volledige achterliggende structuur en positie: Raad van Bestuur Prof. Ben G. Broeckx
  • 9. Governance | de Belgische codes Masterclass internal auditing 2014 - 2015 9
  • 10. Prof. Ben G. Broeckx Achtergrond van de codes
  • 11. De 6 OESO basisprincipes van deugdelijk bestuur Een stelsel van deugdelijk bestuur moet (bron: OESO rapport) bijdragen tot de doorzichtigheid en de e鍖ci谷ntie van de markten, compatibel moeten zijn met de rechtsstaat en duidelijk de verdeling van de competenties tussen de instanties belast met de bewaking, de reglementering en de toepassing van de teksten moeten bepalen de rechten van de aandeelhouders beschermen en hun uitoefening vergemakkelijken een gelijkwaardige behandeling van alle aandeelhouders verzekeren, met inbegrip van de minderheids- en buitenlandse aandeelhouders. Iedere aandeelhouder moet de mogelijkheid hebben om een effectieve schadeloosstelling te krijgen voor iedere schending van zijn rechten. de rechten van de verschillende belanghebbende partijen in het bedrijfsleven erkennen zoals ze worden bepaald door het geldende recht of door de onderlinge overeenkomsten, en een actieve samenwerking tussen de vennootschappen en de verschillende belanghebbende partijen bevorderen om rijkdom en arbeidsplaatsen te cre谷ren en het voortbestaan van financieel gezonde ondernemingen te verzekeren. op het geschikte moment de verspreiding van juiste informatie over alle belangrijke onderwerpen met betrekking tot de onderneming, met name de financi谷le situatie, de resultaten, het aandeelhouderschap en het bestuur van deze onderneming, garanderen. het strategische bestuur van de onderneming en de effectieve bewaking van het beheer door de raad van bestuur garanderen, evenals de verantwoordelijkheid en de trouw van het raad van bestuur tegenover de vennootschap en haar aandeelhouders. Prof. Ben G. Broeckx
  • 12. Prof. Ben G. Broeckx De Belgische codes
  • 13. Laatste actualisering van de codes Belgische corporate governance code (2009) Beursgenoteerde ondernemingen Code Buysse II (2009) Niet beursgenoteerde ondernemingen Aanbevelingen MAAR: geen enkele juridische waarde! Prof. Ben G. Broeckx
  • 14. Prof. Ben G. Broeckx De Belgische Corporate Governance Code | voor beursgenoteerde ondernemingen
  • 15. Structuur van de Belgische Corporate Governance code 9 principes Pijlers van governance Alle organisaties die onder de BCG code vallen moeten deze pijlers toepassen de bepalingen Praktische omschrijvingen hoe de richtlijnen in feite moeten worden ge誰nterpreteerd en toegepast de richtlijnen Facultatieve leidraad Prof. Ben G. Broeckx
  • 16. 9 principes van de Belgische CG code Principe 1 - De vennootschap past een duidelijke governancestructuur toe Principe 2 - De vennootschap heeft een doeltre鍖ende en e鍖ci谷nte raad van bestuur die beslissingen neemt in het vennootschapsbelang Principe 3 - Alle bestuurders geven blijk van integriteit en toewijding Principe 4 - De vennootschap heeft een rigoureuze en transparante procedure voor de benoeming en de beoordeling van haar raad en zijn leden. Principe 5 - De raad van bestuur richt gespecialiseerde comit辿s op Principe 6 - De vennootschap werkt een duidelijke structuur uit voor het uitvoerend management Principe 7 - De vennootschap vergoedt de bestuurders en de leden van het uitvoerend management op een billijke en verantwoorde wijze. Principe 8 - De vennootschap gaat met de aandeelhouders en potenti谷le aandeelhouders een dialoog aan, gebaseerd op een wederzijds begrip voor elkaars doelstellingen en verwachtingen. Principe 9 - De vennootschap waarborgt een passende openbaarmaking van haar corporate governance Prof. Ben G. Broeckx
  • 17. Basis van de regelgeving Basis: Richtlijn 2006/46/EG beursgenoteerde vennootschappen moeten een verklaring van corporate governance publiceren Belgische wetgeving: Wet van 6 april 2010 tot versterking van het deugdelijk bestuur bij de genoteerde vennootschappen en de autonome overheidsbedrijven en tot wijziging van de regeling inzake het beroepsverbod in de bank- en financi谷le sector BCG code is referentiecode (KB 6 juni 2010 houdende aanduiding van de na te leven Code inzake deugdelijk bestuur door genoteerde vennootschappen) Prof. Ben G. Broeckx
  • 18. Wet van 6 april 2010 beursgenoteerde vennootschappen in jaarverslag verklaring inzake deugdelijk bestuur opnemen Verplichte informatie Welke code + waar kan ze gevonden worden Afwijkingen van die code + onderbouwde redenen (Comply or Explain) kenmerken van de interne controle- en risicobeheer-systemen Verplichte oprichting van een remuneratiecomit辿 Prof. Ben G. Broeckx
  • 19. Wet van 6 april 2010 beursgenoteerde vennootschappen in verklaring mbt deugdelijk bestuur: remuneratieverslag beschrijving van het remuneratiebeleid van bestuurders, directiecomit辿 + manier waarop remuneraties worden bepaald; verklaring over het remuneratiebeleid (basisprincipes, belang van de verschillende componenten van de vergoeding ); individueel voor de niet uitvoerende bestuurders: bedrag van remuneratie en andere voordelen die werden toegekend; criteria voor de evaluatie van prestaties tov doelstellingen, aanduiding van evaluatieperiode en beschrijving van de methoden toegepast om voldoening te evalueren voor uitvoerende bestuurders, leden van directiecomit辿 die in aanmerking komen voor vergoedingen gebaseerd op prestaties van de vennootschap; bedrag van basissalaris, van variabele remuneratie, pensioenregeling en alle overige componenten van de remuneratie; informatie in verband met aandelen, opties of andere rechten om aandelen te verwerven; per individu: bepalingen omtrent vertrekvergoedingen (indien 12+ maanden of 18+ maanden: goedkeuring of nietig) Prof. Ben G. Broeckx
  • 20. Prof. Ben G. Broeckx De Code Buysse II | voor niet-beursgenoteerde vennootschappen
  • 21. Belangrijke aspecten van de Code Buysse II Aanbevelingen, geen verplichtingen Onderscheid tussen ondernemingen, KMOs en familiale ondernemingen (dicht bij de realiteit van het Belgische bedrijfslandschap) 9 grote hoofdstukken + 辿辿n hoofdstuk over bekendmaking Prof. Ben G. Broeckx
  • 22. De hoofdstukken van de Code Buysse II Inleiding en algemene principes Ook vermelding van groeifasen van onderneming en de evoluerende governance noden Deugdelijk ondernemen Maatschappelijk verantwoord ondernemen De raad van advies Een actieve raad van bestuur Taken, samenstelling en werking Benoeming, rechten en plichten, vergoedingen, voorzitter, comit辿s Prof. Ben G. Broeckx
  • 23. De hoofdstukken van de Code Buysse II Een performant senior management Rollen, opdracht, benoeming, evaluatie en remuneratie Betrokken aandeelhouders Rol, hoe betrokkenheid te verhogen Controle en risicobeheer Inclusief vermelding van interne audit! Specifieke aanbevelingen voor familiale governance Het familieforum Bekendmaking Prof. Ben G. Broeckx
  • 24. Governance | Audit van de interne controle omgeving Masterclass internal auditing 2014 - 2015 24
  • 25. De context We zagen reeds de basisconcepten van governance We bekeken de Belgische governance regelgeving of referentiekaders nu gaan we kijken hoe we als interne auditor governance kunnen doorlichten. Prof. Ben G. Broeckx
  • 26. Prof. Ben G. Broeckx Hoe zou u governance auditen? Welk(e) aspect(en) van governance kan u auditen?
  • 27. Governance | De conceptuele uitdaging Governance blijft een sterk conceptueel kader/begrip, dat niet zo eenvoudig te benaderen is vanuit de invalshoek van de interne auditor. De hamvraag: welke referentiekaders en welke ondersteunende middelen kunnen wij als interne auditoren gebruiken om vat te krijgen op governance? Of nog: hoe kunnen we bepaalde aspecten van governance auditeren? Een mogelijk ingangspunt is de governance-dimensie die in interne controleraamwerken ingebouwd zit: Controle omgeving of Interne omgeving Prof. Ben G. Broeckx
  • 28. Prof. Ben G. Broeckx COSO-raamwerken | Governance relevantie
  • 29. Wat zijn de COSO raamwerken? In februari 2014 gaf COSO een thought paper uit, getiteld Improving organizational performance and governance - how the COSO frameworks can help Interessante denkpistes over hoe interne controle en risicobeheer raamwerken governance kunnen operationaliseren Prof. Ben G. Broeckx
  • 30. Prof. Ben G. Broeckx Een korte historiek van de evolutie van interne controle Midden-1970s Watergate Schandaal en Onderzoek 1977 Foreign Corrupt Practices Act (FCPA) Begin -1980s Verhoogde nadruk op interne controle en compliance 1985 VS - National Commission on Fraudulent Financial Reporting Treadway Commission 1992 Committee Of Sponsoring Organisations (COSO) publiceert Internal Control Integrated Framework 1990s 2000 Voortdurende nadruk op interne controle, risicobeheer and verantwoordelijkheden rond governance 1980 1970 1990 2000 2002 Sarbanes-Oxley Act van 2002
  • 31. Prof. Ben G. Broeckx Het voorgestelde referentiekader ENTITY-LEVEL DIVISION BUSINESS UNIT FUNCTION Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring S T R A T E G I C O P E R A T I O N S R E P O R T I N G C O M P L I A N C E ENTITY-LEVEL DIVISION BUSINESS UNIT FUNCTION Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities O P E R A T I O N S R E P O R T I N G C O M P L I A N C E Expanded into 3 components Figure 2: Relationship of ERM and Internal Control to Contextual Business Model Internal Control Integrated Framework Enterprise Risk Model Integrated Framework Business Planning Adapting Execution Monitoring Strategy Setting Governance Contextual Business Model Bron: COSO
  • 32. Prof. Ben G. Broeckx Let op: In de volgende slides gebruiken we controle omgeving en interne omgeving door elkaar. Beiden zijn COSO begrippen. Controle omgeving is een traditioneel COSO begrip, interne omgeving is een COSO ERM begrip.
  • 33. Hoe relevant is COSO voor governance? Kwaliteitsconcepten: de PDCA kwaliteitscirkel van Deming (Plan-Do-Check-Act) zie je terugkomen in het contextueel business model E辿n van de componenten is zeer relevant voor governance: Control Environment / Internal Environment We analyseren deze verder Prof. Ben G. Broeckx
  • 34. De rol van de component interne omgeving of controleomgeving Definitie (IIA standaarden) van controleomgeving The attitude and actions of the board and management re- garding the significance of control within the organization. De verschillende aspecten van de component controle omgeving reflecteren de toon van een organisatie Ze vormen de basis voor het al dan niet succesvol installeren van een interne controle en risicobeheer (IA objectieven) Ze leggen de discipline en structuur van de organisatie vast Prof. Ben G. Broeckx
  • 35. Elementen van de interne omgeving (COSO ERM) Prof. Ben G. Broeckx Risk% Management% Philosophy! ! Risk%% Appe4te! ! Risk%% Culture! ! Board%of% Directors! ! Integrity%and% Ethical%Values! ! Commitment%to% Competence! ! Value% Communicate%%%%% in%words%and% ac4ons% ! Value% Qualita4ve% Quan4ta4ve% Linked%to%% %%strategy% % In鍖uenced%by%the% risk%appe4te% In鍖uenced%by%BoD% but%also% in鍖uenced%BoD% selec4on% % Independent% Ac4ve% Involved% % Standards%of% %%%behavior% Prerequisite% CEO%example% %%Incen4ves% !! ! Knowledge% Skills% TradeLo鍖s% !! ! Management% Philosophy%and% Opera4ng%Style! ! Organiza4onal% Structure! ! Assignment%of% Authority%and% Responsibility! ! Human%Resource% Policies%and%Prac4ces! ! Di鍖erences%in% Environment! ! Formal%vs.% %%%Informal% Conserva4ve%vs.%% %%Aggressive% Aligned% % Repor4ng%lines% Centralised/% %%Decentralised% Matrix/Func4on/% %%Geography% % Empowerment% Accountability% % Quali鍖ed% Training% Compensa4on% Incen4ves%and% %%%Discipline% ! Management% %%%preferences% Value%judgments% Management% %%%Styles% % Bron: COSO
  • 36. Hoe auditeer je deze controle omgeving? IPPF practice guide Auditing the control environment van het IIA, april 2011 Audits kunnen horizontaal, verticaal of lateraal gebeuren CAE moet zelf actief betrokken zijn in de planning van de audits, gezien de gevoeligheid van de materie Duidelijke en voorafgaandelijke communicatie van de criteria die worden gebruikt om de controle omgeving te beoordelen Prof. Ben G. Broeckx
  • 37. Hoe auditeer je de controle omgeving? Een a-typische opdracht: soft controls laten traditionele test technieken niet (volledig) toe Outside-of-the-box denken om voldoende bewijsmateriaal in de auditcontext te verzamelen Communicatievorm en -reikwijdte zijn vaak ook afwijkend van traditionele interne audit rapporten Prof. Ben G. Broeckx
  • 38. Okay, maar hoe doe je dit nu concreet? Analyse op basis van een maturiteitsmodel Benchmarking/peer review met andere spelers in de sector (voorbeeld: de FODs, maar ook binnen bepaalde sectoren - transparantie) Bevragingen van medewerkers en/of betrokken partijen Gebruik (maar ook validatie) van informatie via het netwerk van de medewerkers van interne audit (corroboratie) Langere termijn: auditing by walking around (argument voor de gedecentraliseerde audit) Deelname door interne audit, als toeschouwer, aan diverse meetings, vergaderingen, werkgroepen edm die werken aan deze soft controls Prof. Ben G. Broeckx
  • 39. Prof. Ben G. Broeckx Een audit van governance is een permanente activiteit van interne audit met tussentijdse rapportering
  • 40. Minimale vereisten? Voldoende bewijsmateriaal! Eventuele data analyses toepassen om bevestiging van vermoede trends te willen vinden (voorbeeld: het opdelen van markten in overheidsopdrachten) Bepaalde aspecten lenen zich wel voor normale audit testen Bestaan en voorkomen van ethische codes, getekende erkenning van deze codes edm Voor zeer concrete en praktische idee谷n, zie de practice guide Prof. Ben G. Broeckx
  • 41. Governance | evolutie van de positie van de interne auditor Masterclass Internal Auditing 2014 - 2015 41
  • 42. Context We kennen governance en de Belgische context We bekeken hoe we een deel van governance kunnen doorlichten Maar interne auditor is in het geheel van interne controle, risicobeheer en governance lang niet de enige speler hoe gaan we om met deze andere spelers? Prof. Ben G. Broeckx
  • 43. Prof. Ben G. Broeckx Een vraag voor de groep: In organisaties gevuld met diverse compliance actoren, wat is nog de toegevoegde waarde van interne audit?
  • 44. Toegevoegde waarde: een uitdaging voor interne audit Hoe meten we toegevoegde waarde (ook voor interne audit)? Nu: value for money Value for money: mode trend maar ook relevante vraag van de stakeholders van interne audit Wat doen jullie (interne audit) nu in feite voor mij (geauditeerde, lid auditcomit辿, management, lid raad van bestuur) als gebruiker van je diensten (assurance of zekerheidsverstrekking, consulting of adviesverlening)? Korte termijn 辿n lange termijn Prof. Ben G. Broeckx
  • 45. De hamvraag voor de stakeholders van interne audit (de governance actoren) Wat levert interne audit ons op? Prof. Ben G. Broeckx
  • 46. Prof. Ben G. Broeckx Andere actoren in compliance | Een kort overzicht
  • 47. Knabbelen andere rollen aan de reikwijdte van de interne auditor? Externe auditor niet zekerheidsverstrekkend werk, co-sourcing, outsourcing, posities rond kwaliteit van interne controles Interne controle verantwoordelijke invoeren van aan de eigenheid van de organisatie aangepast interne controle raamwerken Risico manager of Chief Risk O鍖cer invoeren van specifieke raamwerken (COSO-ERM, ISO 31000 edm) rond risico Kwaliteit(scontrole)-verantwoordelijke Diverse kwaliteitsystemen richten zich meer en meer op risico en compliance Prof. Ben G. Broeckx
  • 48. Prof. Ben G. Broeckx Hebben andere actoren de plaats van de interne auditor ingenomen?
  • 49. Prof. Ben G. Broeckx NEEN!!! De nieuwe rollen en verantwoordelijkheden cre谷ren net essenti谷le voorwaarden om interne audit zijn werk te laten doen 辿n assisteren bij dit werk
  • 50. Prof. Ben G. Broeckx Ze vormen geen aantasting van de toegevoegde waarde van interne audit. Ze dragen ertoe bij.
  • 51. Prof. Ben G. Broeckx Duiding via het referentiemodel van het IIA: de drie verdedigingslijnen The three lines of defence in effective risk management and control (IIA, januari 2013)
  • 52. De 3 verdedigingslijnen bron: IIA Position Paper Although neither governing bodies nor senior management are considered to be among the three lines in this model, no discussion of risk management systems could be complete without first considering the essential roles of External audit Regulator Governing Body / Board / Audit Committee Governing Body / Board / Audit Committee The Three Lines of Defense Model Senior Management Senior Management 3rd Line of Defense 3rd Line of Defense Internal Internal Audit Audit 1st Line of Defense 1st Line of Defense Management Management Controls Controls Internal Internal Control Control Measures Measures 2nd Line of Defense 2nd Line of Defense Financial Control Financial Control Security Security Risk Management Risk Management Quality Quality Inspection Inspection Compliance Compliance Adapted from ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41
  • 53. De eerste lijn is verantwoordelijk voor de interne controle en het risicobeheer De eerste lijn, het management team en haar medewerkers, voert de activiteiten en de ermee verbonden interne controles/risicobeheer uit Zij maken de keuzes (rond blootstelling edm), kiezen de maatregelen en geven aan wat het (beoogde en re谷le) e鍖ect van deze maatregelen is Het management en haar team is verantwoordelijk voor de interne controles (en het risicobeheer) Prof. Ben G. Broeckx
  • 54. De tweede lijn ontwikkelt de tools om dit mogelijk te maken, monitort het gebruik en rapporteert De tweede lijn is een ondersteunende lijn voor de eerste lijn. Ze ontwikkelen de tools die door het management en haar team worden toegepast Ze zien ook toe op het correcte gebruik van deze tools en rapporteren hierover naar het management en de raad van bestuur Ze maken het mogelijk (enabling) dat management en haar team op dit terrein hun werk kunnen doen Gezien de complexiteit van de organisaties zijn dit vaak zeer gespecialiseerde, ondersteunende functies Prof. Ben G. Broeckx
  • 55. De derde lijn verstrekt op een onafhankelijke manier een redelijke zekerheid over de doeltreffendheid Via haar gestandaardiseerde manier van werken analyseert interne audit het functioneren van deze systemen op diverse vlakken Werken de interne controles, werkt het systeem van risicobeheer, functioneert de governance Zekerheidsverstrekking, maar een redelijke zekerheid Beperkingen van mensen en middelen Op basis van een eigen risicoanalyse (meta analyse) Interne audit verstrekt een redelijke zekerheid aan zowel het senior management als de raad van bestuur rond de werking van de IC en RM systemen en het overkoepelend geheel van beheer (governance) Prof. Ben G. Broeckx
  • 56. Risico-gebaseerde interactie in dit model bron: Leon Bloom (ERM) Three lines of defense issues and challenges Governance interaction and information flow ENABLE VALIDATION & ASSURANCE REPORTING Internal Audit Validation of controls Objective review of risk management process Assurance to senior executive management and Board on assertions of risk exposure Risk Management Policies, governance and information flow Risk assessment methods Measurement, aggregation rules and tools Monitor risk exposure status and report to Board ASSURE Board of Directors & Senior Executive Management REPORT ASSERT Assertions on status of risk exposure Business Unit Management and Staff Risk identification and assessments Actions to exploit, reduce, transfer, or avoid risk Provide assertions on risk exposure for each business unit or functional area within NFS 3rd line 2nd line 1st line 14 Risk governance - Evolving beyond the traditional 3 lines of defense model
  • 57. Prof. Ben G. Broeckx Interne audit heeft een unieke rol in (risk) governance, waardoor ze actief bijdraagt tot het functioneren van haar organisatie
  • 58. Prof. Ben G. Broeckx Hoe kan de interne auditor gebruik maken van deze drie lijnen structuur? | een praktijkvoorbeeld
  • 59. Probleemstelling | In grote organisaties is het niet zo moeilijk om als auditor gehoord te worden Grote organisaties = grote interne audit afdelingen Pipeline of talent - Richard Chambers, voorzitter van het IIA Interne audit is een kweekvijver van talent Medewerkers lopen warm in interne audit Toekomstige werkrelatie met interne audit wordt gecementeerd Toegevoegde waarde van interne audit is vaak eenvoudiger aan te tonen in organisaties die reeds doordrongen zijn van de interne audit geest Prof. Ben G. Broeckx
  • 60. dan in een kleinere organisatie (zoals de meeste Belgische organisatie) Grootte van interne audit afdeling is vaak functie van de grootte van de organisatie Factoren met minder invloed (GAIN 2008): complexiteit van de sector aard en reikwijdte van de activiteiten binnen de sector Dus wat doe je als interne auditor van een kleinere organisatie bent in een complexe sector? Prof. Ben G. Broeckx
  • 61. Kleine(re) audit organisaties hebben het vaak moeilijker om hun toegevoegde waarde te bewijzen De meeste interne audit organisaties zijn klein(er) Dus: Kweekvijver is een weinig realistisch model Met als logisch gevolg: geauditeerden hebben vaak geen audit referentiekader Terwijl daarnaast veel organisaties hebben steeds meer en meer complexe producten, oplossingen, verantwoordelijkheden Prof. Ben G. Broeckx
  • 62. De relevantie bepaalt de share of voice Interne audit moet relevant blijven om gehoord te worden: share of voice Het aantonen van een toegevoegde waarde van het werk van een interne auditor in een complexe(re) (overheids)omgeving is niet zo eenvoudig Prof. Ben G. Broeckx
  • 63. Prof. Ben G. Broeckx E辿n oplossing voor de relevantie uitdaging: Integratie van de bestaande competenties
  • 64. De roterende gast auditor We draaien het audit bestaffingsmodel van Chambers 180属 om We activeren de 2de lijn van het 3 verdedigingslijnen model zonder onze afhankelijkheid aan te tasten Hoe? Een nieuwe audit team structuur Klein permanent audit team - lange termijn engagement - audit experts Medewerkers met specifieke competenties (2de lijn) - roteren in en uit op een ad hoc basis, in functie van de noden - inhoudelijke experts Prof. Ben G. Broeckx
  • 65. Operationalisering Integratie in het bestaande audit team Onder toezicht van een ervaren auditor Actief als extern expert - beslagen in de onderliggende te auditeren materie Prof. Ben G. Broeckx
  • 66. Rollen en verantwoordelijkheden Ontwikkeling van technische audit aanpak Goede kennis van relevante, beschikbare informatie en -bronnen Richtsnoer voor evaluatie van de audittesten (Aanvullende) evaluatie en interpretatie van de resultaten van de audittesten Verhoogde relevantie van de evaluatie 辿n de aanbevelingen Eerste kritische lezer van het ontwerp audit rapport Meedenken rond operationaliseerbare oplossingen voor aandachtspunten Prof. Ben G. Broeckx
  • 67. Resultaten Korte termijn Meer relevante, praktische implementeerbare audit aanbevelingen Betere audit testen, meer volledige audit conclusies Verlaagde afhankelijkheid van externe adviseurs (gericht gebruik, moet katalysator zijn) Lange termijn Emotioneel begrip van wat een audit voor de auditor inhoudt Appreciatie voor de dagdagelijkse realiteit van interne audit Kennis van het proces: verhoging van de kwaliteit van voorbereiding Prof. Ben G. Broeckx
  • 68. Uitdagingen Onafhankelijkheid en objectiviteit van de gast auditor Vertrouwelijkheid van de audit bevindingen Verlies van vertrouwen in het interne audit proces Prof. Ben G. Broeckx
  • 69. Oplossingen Afkoelperiode (standaard 1130.A1) Prof. Ben G. Broeckx
  • 70. Prof. Ben G. Broeckx Conclusie | Hoe (perceptie van) toegevoegde waarde verhogen in een kleine(re) interne audit afdeling?
  • 71. E辿n antwoord Actief betrekken van 辿辿n of meer gast auditoren, experten in een aspect van de audit, in de voorbereiding, uitvoering en opvolging van de audit - nauwere samenwerking met 2de lijn, zonder onafhankelijkheid in het gedrang te brengen Voordelen Relevantie van bevindingen en kwaliteit van de aanbevelingen Appreciatie voor het interne audit proces Aandachtspunten Onafhankelijkheid (CAE moet zijn of haar rol spelen) Prof. Ben G. Broeckx
  • 72. Governance | Nieuwe uitdagingen: sustainability reporting Masterclass Internal Auditing 2014 - 2015 72
  • 73. Context We leerden governance en de Belgische context We bekeken hoe we een deel van governance kunnen doorlichten We keken hoe de rol van de interne auditor niet in concurrentie staat met, maar voortbouwt op andere governance- gerelateerde rollen Nu kijken we hoe rapportering zich gaandeweg aan het uitbreiden is een rapportering waarover we, als interne auditor, een bepaalde zekerheidsvertrekkende functie hebben Prof. Ben G. Broeckx
  • 74. Sustainability reporting Oude wijn in nieuwe zakken Royal Dutch Shell reeds sinds einde jaren 90 bezig met sustainability reporting MAAR: erkenning van de stakeholders Zeer belangrijke evolutie dat dit meer en meer mainstream wordt - verhoging van transparantie door verbreding van de dimensies Europese Commissie: April 2014: directive on the disclosure of non-financial and diversity information by certain large companies., met inbegrip van triple bottom line reporting Prof. Ben G. Broeckx
  • 75. Wat rapporteren we onder sustainability reporting? De zogenaamde triple bottom line Rapportering over society, economy & environment (maatschappelijke, economische en milieu-aspecten) Maatschappelijke ontwikkeling bouwt op positieve economische ontwikkeling. Economische ontwikkeling steunt op een gebalanceerd gebruik van de milieu activa Geen statisch evenwicht mogelijk: dynamisch evenwicht, soms vergeleken met tectonische platen (permanent in beweging, niet altijd zichtbaar) Prof. Ben G. Broeckx
  • 76. Bewegingen tussen tectonische platen De schuifzone tussen economie en milieu Opportuniteiten rond eco-effici谷ntie Lange termijn risicos rond vervuiling of uitputting De schuifzone tussen maatschappij en milieu Opportuniteiten rond milieu bewustzijn en keuzes voor milieu-respecterende producten Risicos zoals milieu-vluchtelingen, intergenerationele ongelijkheid wegens gebruik nu versus gebruik later De schuifzone tussen economie en maatschappij Opportuniteiten zoals ethisch investeren, fair trade Risicos zoals corruptie, gebrek aan ethiek, niet respecteren van rechten van minoriteiten Prof. Ben G. Broeckx
  • 77. Prof. Ben G. Broeckx Elk van deze afschuifzones vertegenwoordigt een gebied waar de organisatie zowel intern als extern aan risico kan worden blootgesteld. De controles, het risicobeheer en de governance hierrond vallen onder de verantwoordelijkheid van de interne auditor
  • 78. De uitdagingen voor de interne auditor in sustainability reporting Een groot aantal relevante stakeholders Stakeholder groep en belangen zal veranderen over de tijd Problematiek van het stakeholder perception gap Niet alle gepercipieerde risicos zijn re谷le risicos Bestaan van tectonische platen binnen 辿辿n organisatie die mogelijk verschillende commerci谷le doelstellingen nastreeft, die met elkaar in conflict zijn Niet het traditionele gebied van de interne auditor, moet zich beginnen bekwamen in bredere competenties dan zuiver procesmatige, financi谷le en administratieve procescompetenties Prof. Ben G. Broeckx
  • 79. Conclusie Het beroep van interne auditor is in volle beweging Belangrijke uitdagingen en opportuniteiten bevinden zich in de governance dimensie Prof. Ben G. Broeckx