De spanning in het model
Integratie van risicomanagement en audit klinkt als een logische stap: minder versnippering, meer samenhang, lagere kosten. Maar wie die stap zet zonder de implicaties te doordenken, loopt het risico de onafhankelijkheid van assurance stilletjes uit te hollen — en daarmee precies dat te ondermijnen wat bestuur en toezicht het hardst nodig hebben.
In een klassieke 3 lines opzet spreekt de structuur voor zichzelf: de eerste lijn voert uit, de tweede lijn ondersteunt risicomanagement, Internal Audit toetst onafhankelijk. Aansluiting bij governance frameworks als IIA GIAS en de NL CGC is vanzelfsprekend, er valt weinig uit te leggen.
Zodra organisaties meer integratie nastreven, verschuift de bewijslast. Dat is niet per definitie een probleem, maar het vereist bewuste keuzes en een actieve onderbouwing van hoe aan professionele standaarden wordt voldaan.
Dat is het omslagpunt. Voorbij een bepaalde mate van integratie verlaat de organisatie het domein van professionele standaarden en betreedt zij het domein van een bewuste governancekeuze. Zowel de CGC als het bredere governance-denken veronderstellen een herkenbare, onafhankelijke evaluatiefunctie. Hoe minder zichtbaar die functie is, hoe lastiger de verantwoording richting toezicht en aandeelhouders.1
Kostendruk is een reële driver in deze afweging en een begrijpelijke. Maar het is geen argument dat de governance-logica opheft. Het is eerder een reden om de afweging explicieter te maken: wat levert de bezuiniging op, en wat lever je daarvoor in?
Vier configuraties
Voordat duidelijk wordt wat er wringt, is het nuttig de mogelijke configuraties kort te duiden. We onderkennen er vier:
Configuratie 1: Heldere scheiding is de klassieke three-lines inrichting: heldere rolverdeling, Internal Audit formeel en functioneel onafhankelijk gepositioneerd, rapporterend aan de auditcommissie. Hoog comfort bij zowel GIAS als CGC compliance.
Configuratie 2: Slimme bundeling combineert risk en audit in een afdeling onder één hoofd. In de praktijk een veelvoorkomende en onder GIAS toegestane keuze, mits expliciet voorzien van randvoorwaarden en met geborgde ‘safeguards’. De CAE mag risicomanagementactiviteiten faciliteren en coördineren, maar het management blijft eigenaar van de risico’s. Cruciaal: de CAE is niet auditor over domeinen waar hij zelf een faciliterende rol speelt, en de dubbele rol is transparant goedgekeurd door de auditcommissie. Het is een grijs gebied dat actief gemanaged moet worden.2
Configuratie 3: Stille verschuiving is waar het karakter van Internal Audit fundamenteel verschuift. Formeel heet de functie nog “audit”, maar in de praktijk is zij verworden tot onderzoeksinstrument van de directie. Het auditplan volgt de prioriteiten van het management, niet een onafhankelijke risicoanalyse goedgekeurd door de directie en auditcommissie. De scope wordt bepaald door wat de directie op dat moment wil weten. IA participeert in risicocomités, stuurgroepen en verbetertrajecten met inhoudelijke inbreng, waardoor zij medeverantwoordelijk wordt voor uitkomsten die zij later geacht wordt te toetsen. De grens tussen adviseren en toetsen vervaagt. De informatievoorziening naar de auditcommissie loopt feitelijk via de directie. Hiermee is niet de structuur het probleem, maar het gedrag: Internal Audit is geen derde lijn meer, maar een verlengde arm van de tweede. Dit is het punt waarop GIAS non-compliant wordt. In de praktijk helaas ook de configuratie die vanuit kostenoogpunt het meest aantrekkelijk lijkt.
Configuratie 4: Governance op papier brengt risicobeheersing vrijwel volledig in de lijn onder. Internal Audit als herkenbare functie verdwijnt of wordt zo minimaal bemand dat van systematische onafhankelijke toetsing geen sprake meer is. Buiten GIAS, en strijdig met wat de CGC als basisverwachting stelt.3
Wat er wringt bij configuratie 3 of 4: twee praktijkbeelden
De spanning tussen kostendruk en governancecomfort is niet abstract. Twee praktijkbeelden maken zichtbaar waar het in de praktijk mis kan gaan.
Een beursgenoteerd bedrijf in de technologiesector.
Dit bedrijf heeft in het kader van een efficiency-programma de internal auditfunctie samengevoegd met de risk & compliance afdeling onder een gecombineerd hoofd. Het auditplan wordt jaarlijks afgestemd met de CFO en vervolgens ter goedkeuring voorgelegd aan de auditcommissie. In de praktijk echter volgt de auditplanning sterk de thema’s die het management prioritair acht: digitale transformatie, ERP-implementatie, werkkapitaalbeheer. Onafhankelijke risicoanalyse door de IAF zelf (zoals GIAS Standard 9.4 vereist) vindt beperkt plaats. De auditcommissie ontvangt de rapporten, maar de agenda wordt feitelijk door de CFO bepaald.
Dit is configuratie 3 in de praktijk. Formeel is de functie aanwezig en rapporteert zij aan de auditcommissie. Functioneel is zij verworden tot een gestructureerd managementinstrument. Het bedrijf voldoet aan de letter van CGC bpb 1.3.1 (er is een “interne audit functie”) maar niet aan de geest ervan.4 De vijfjaarlijkse externe kwaliteitstoetsing (bpb 1.3.2) zal dit vermoedelijk blootleggen.
Een niet-beursgenoteerde onderneming in de logistieke dienstverlening.
Dit familiebedrijf heeft nooit een formele internal auditfunctie gehad. De controller vervult de tweede lijn: financiële planning en control, risico-inventarisatie, en interne controle op processen. De RvC is klein van omvang, zonder formele auditcommissie en steunt voor haar informatievoorziening vrijwel volledig op de controller en de externe accountant. Een in-control-verklaring is nooit overwogen; de CGC is niet van toepassing.
Dit is configuratie 4, maar hier zonder de bijbehorende governance-spanning: de CGC geldt niet, aandeelhouders zijn familie en die zijn akkoord met de inrichting (en mogelijk niet eens bekend met de beperkingen). Externe toezichthouders stellen geen eisen aan de IAF. De enige echte toets is of de RvC zichzelf voldoende onafhankelijk gepositioneerd acht ten opzichte van de directie. Zodra dit bedrijf externe financiering aantrekt, een overname doet of toetreedt tot een gereguleerde markt, verandert dat plaatje snel.
Dit contrast illustreert een kernpunt: de governancekeuze hangt niet alleen af van de configuratie zelf, maar van het toetsingskader dat van toepassing is. Wie de CGC volgt — vrijwillig of verplicht — heeft minder bewegingsruimte dan wie dat niet doet. En wie eenmaal CGC-verplichtingen heeft aanvaard, kan ze niet selectief negeren wanneer het goedkoper uitkomt.
Drie wringpunten
De beheersingsgrondslag
Integratie of afzwakking van de auditfunctie werkt alleen als de eerste en tweede lijn voldoende volwassen zijn om op te vertrouwen. In beide praktijkbeelden hierboven ontbreekt de onafhankelijke toets die dat vertrouwen kan onderbouwen.
Het In Control Statement traject
Een In Control Statement (ICS) — de formele verklaring van het bestuur dat de interne risicobeheersing adequaat functioneert — is het sluitstuk van een volwassen beheersingssysteem. Als Internal Audit verschuift naar een directie-gestuurd onderzoeksinstrument, verdwijnt een van de belangrijkste bronnen van onafhankelijke zekerheid die dat statement moet onderbouwen. De kostenbesparing van vandaag creëert een governance-schuld voor morgen.
De verantwoordingsrelatie
Wie de CGC toepast heeft daarmee een commitment aangegaan richting aandeelhouders, toezichthouders en andere stakeholders. Configuratie 3 of 4 staat op gespannen voet met dat commitment. Kostendruk is daarvoor geen voldoende rechtvaardiging.
De richting die past bij een organisatie die governance-verplichtingen heeft aanvaard is versterking van configuratie 2, niet versimpeling richting 3. Wie wil besparen op de governance-inrichting, moet eerst de vraag beantwoorden wat de organisatie inlevert — en of de RvC en de aandeelhouders bereid zijn dat risico te dragen wanneer de externe toetsing komt.
Waarom geldt de GIAS als norm voor Internal Audit?
Staat GIAS in de CGC? Nee.
De CGC 2022 noemt de IIA of de GIAS niet met naam. Principe 1.3 beschrijft de taken en positie van de interne auditfunctie, maar schrijft geen specifieke standaard voor. Inhoudelijk is de CGC wel steeds dichter naar de IIA-standaarden opgeschoven: in 2022 zijn elementen als onafhankelijke vijfjaarlijkse kwaliteitsbeoordeling en de auditcommissie als functionele rapportagelijn expliciet opgenomen — bepalingen die rechtstreeks aansluiten bij wat de GIAS al langer vereisten.
Waarom geldt GIAS dan toch als de norm?
Ten eerste is de GIAS de mondiale professionele standaard: “All internal audit functions are expected to be in conformance with the Global Internal Audit Standards” (IIA, 2024). Wie zich als IAF profileert is gehouden aan deze standaard, ongeacht of de CGC die noemt.
Ten tweede verlangt de CGC (bpb 1.3.2) dat de IAF periodiek extern wordt getoetst door een onafhankelijke derde partij. Die toetsing, in de praktijk een External Quality Assessment, vindt altijd plaats tegen de GIAS. CGC-verplichting en GIAS zijn daarmee functioneel onlosmakelijk verbonden, ook al staat de naam er niet in.
Kunnen ook andere normen gehanteerd worden?
In theorie wel. Alternatieven die soms worden gehanteerd: ISAE 3000 (assurance-opdrachten), ISO 9001 (procesborging), Referentiekader Rijksinterne Audit (overheid) en sectorspecifieke kaders zoals DNB-kaders. In de praktijk geldt echter: wie als IAF opereert in een CGC-context kan nauwelijks om de GIAS heen. Een IAF die een alternatief kader hanteert zal moeten uitleggen waarom dat kader gelijkwaardig bescherming biedt aan onafhankelijkheid, objectiviteit en kwaliteit.
De controller bij woningcorporaties: een bijzondere positie
Een ander referentiekader: de Governancecode Woningcorporaties 2025
Woningcorporaties vallen niet onder de CGC maar onder de Governancecode Woningcorporaties (Aedes/VTW), waarvan de meest recente versie per 1 januari 2025 van kracht is. De code kent vijf principes; Principe 5 is gewijd aan risicobeheersing: “Woningcorporaties hebben te maken met grote (financiële) risico’s. Het bestuur is verantwoordelijk voor goede risicobeheersing en de RvC houdt hierop toezicht.” Bepaling 5.3 stelt dat het bestuur de RvC alle relevante informatie verschaft voor toezicht op de risicobeheersing. De code schrijft geen verplichte internal auditfunctie voor. Daarnaast houdt de Autoriteit woningcorporaties (Aw) extern toezicht en betrekt zij het al dan niet volgen van de Governancecode in haar risicobeoordeling.
De rol van de controller
Bij de meeste woningcorporaties vervult de controller — al dan niet gecombineerd met een risicomanagementfunctie — de rol van de tweede lijn. Een eigenstandige derde lijn in de vorm van een internal auditfunctie is bij corporaties lang niet altijd aanwezig, zeker niet bij kleinere en middelgrote corporaties. In de praktijk is de controller daarmee vaak de enige interne toetser van de beheersing. Die positie is functioneel kwetsbaar: de controller rapporteert doorgaans aan de directeur-bestuurder, niet functioneel aan de RvC of auditcommissie. Wanneer de controller ook de internal audit rol vervult, worden tweede en derde lijn feitelijk in een persoon gecombineerd — zonder dat daar de expliciete waarborgen voor gelden die GIAS stelt voor de combinatie van rollen.
Wat betekent dit voor de configuratiekeuze?
Voor woningcorporaties is configuratie 3 (de stille verschuiving) geen toekomstig risico maar vaak de bestaande praktijk: de controller als directie-instrument, zonder formeel onafhankelijk auditorgaan. Dat is begrijpelijk gegeven de omvang en middelen van veel corporaties, maar het vraagt om bewuste compenserende maatregelen: een sterke auditcommissie binnen de RvC, actieve betrokkenheid van de externe accountant bij interne beheersingsvragen, en waar mogelijk periodieke externe kwaliteitstoetsing van de controlefunctie. Corporaties die kiezen voor configuratie 2 (controller en risicomanagement gecombineerd, met expliciete waarborgen voor de onafhankelijkheid van de toetsfunctie richting RvC) bevinden zich in de meest verdedigbare positie.
Configuraties en governancecomfort — overzicht
| Configuratie | Kenmerk | GIAS | CGC | Governance-comfort |
|---|---|---|---|---|
| 1. Heldere scheiding Klassieke three-lines |
Heldere rolverdeling; audit formeel en functioneel onafhankelijk | Hoog | Hoog | Hoog — structuur spreekt voor zichzelf |
| 2. Slimme bundeling Risk & audit gecombineerd |
Een afdeling; onafhankelijkheid expliciet geborgd via auditcommissie | Middel-hoog grijs gebied | Middel-hoog | Verdedigbaar mits actief gemanaged en transparant verantwoord |
| 3. Stille verschuiving IA als directie-instrument |
IA volgt management-agenda; functioneel geen derde lijn meer | Non-compliant GIAS | Laag — omslagpunt CGC | Wringt: beheersing onvolledig; ICS vrijwel onmogelijk; CGC-achterstand vergroot |
| 4. Governance op papier Minimale assurance |
Risicobeheersing in de lijn; IA verdwijnt als herkenbare functie | Buiten GIAS | Bewuste keuze vereist | Onverantwoord: strijdig met CGC; RvC zonder onafhankelijke informatiepositie |
Kostendruk is een reële driver richting configuratie 3 of 4 — maar geen argument dat de governance-logica opheft. Wie governance-verplichtingen heeft aanvaard kan ze niet selectief negeren wanneer het goedkoper uitkomt. Dat gesprek begint bij de auditcommissie.
Noten
1 CGC 2022, Principe 1.3 / bpb 1.3.1: “De interne auditfunctie heeft als taak de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen. Het bestuur is verantwoordelijk voor de interne auditfunctie. De raad van commissarissen houdt toezicht op de interne auditfunctie en heeft regelmatig contact met diegene die de functie vervult.” Toelichting bpb 1.4.3: “De verklaring omtrent risicobeheersing van het bestuur voorziet niet in absolute zekerheid maar in een bij de strategie en risicobereidheid passende beheersing van de materiële risico’s.” (CGC 2022)
2 GIAS 2024, Standard 7.1 (Organizational Independence): “If the objectivity of the chief audit executive is impaired in fact or appearance, the chief audit executive must disclose the impairment to the board.” Considerations for Implementation bij Standard 9.4: “If ERM reports through IA, an external review of ERM would need to be performed to preserve objectivity.” (KPMG GIAS analysis 2024)
3 GIAS 2024, Domain I: “The internal audit function is independently positioned with direct accountability to the board. Internal auditors are free from undue influence and committed to making objective assessments.” CGC 2022, bpb 1.3.4: “Indien de vennootschap geen interne auditfunctie heeft, beoordeelt de raad van commissarissen jaarlijks of er adequate alternatieve maatregelen zijn getroffen en of behoefte bestaat om de interne auditfunctie in te richten.”
4 CGC 2022, bpb 1.3.2: “De interne auditfunctie moet het werkplan zelf opstellen na overleg met het bestuur, de auditcommissie en de externe accountant. Het bestuur en de raad van commissarissen moeten het werkplan goedkeuren.” Zie ook GIAS 2024, Standard 9.4: “The IA plan must be based on a documented assessment of the organization’s strategies, objectives and risks. The IA function should only rely on management’s information about risks if IA has concluded that the organization’s risk management processes are effective.”