Integreer risk en audit te ver en je verliest precies de onafhankelijke toets waar bestuur en toezicht op leunen. Niemand die dat opmerkt, tot de externe kwaliteitstoetsing langskomt.
De spanning in het model
Risicomanagement en audit integreren: minder versnippering, meer samenhang, lagere kosten. Wie dat doet zonder de implicaties te doordenken, holt de onafhankelijkheid van assurance stilletjes uit. Precies het fundament dat bestuur en toezicht het hardst nodig hebben.
In een klassieke 3 lines-opzet is de structuur helder. De eerste lijn voert uit, de tweede lijn ondersteunt risicomanagement, Internal Audit toetst onafhankelijk. IIA GIAS en de NL CGC liggen dan voor de hand.
Zodra organisaties meer integratie nastreven, verschuift de bewijslast. Dat hoeft geen probleem te zijn, mits je bewuste keuzes maakt en actief onderbouwt hoe je aan professionele standaarden voldoet.
Hier ligt het omslagpunt. Voorbij een bepaalde mate van integratie verlaat de organisatie het domein van professionele standaarden en maakt zij een bewuste governancekeuze. Zowel de CGC als het bredere governance-denken veronderstellen een herkenbare, onafhankelijke evaluatiefunctie. Hoe minder zichtbaar die functie is, hoe lastiger de verantwoording richting toezicht en aandeelhouders.1
Kostendruk is een reële driver in deze afweging. Maar kosten heffen de governance-logica niet op. Ze maken de afweging explicieter: wat levert de bezuiniging op, en wat lever je in?
Vier configuraties
Om te zien waar het wringt, eerst de mogelijke configuraties. Ik onderscheid er vier:
Configuratie 1: Heldere scheiding is de klassieke three-lines inrichting. De rolverdeling is scherp, Internal Audit is formeel en functioneel onafhankelijk gepositioneerd en rapporteert aan de auditcommissie. Hoog comfort bij zowel GIAS- als CGC-compliance.
Configuratie 2: Slimme bundeling combineert risk en audit in één afdeling onder één hoofd. In de praktijk een veelvoorkomende en onder GIAS toegestane keuze, mits voorzien van expliciete randvoorwaarden en geborgde safeguards. De CAE mag risicomanagementactiviteiten coördineren, maar het management blijft eigenaar van de risico's. Cruciaal: de CAE auditeert niet over domeinen waar hij zelf een coördinerende rol speelt, en de dubbele rol is transparant goedgekeurd door de auditcommissie. Dit is een grijs gebied dat actief gemanaged moet worden.2
Configuratie 3: Stille verschuiving is waar het karakter van Internal Audit fundamenteel kantelt. De functie heet formeel nog "audit", maar is in de praktijk verworden tot onderzoeksinstrument van de directie. Het auditplan volgt de prioriteiten van het management, niet een onafhankelijke risicoanalyse die door directie en auditcommissie is goedgekeurd. De scope wordt bepaald door wat de directie op dat moment wil weten. IA schuift aan bij risicocomités, stuurgroepen en verbetertrajecten met inhoudelijke inbreng. Daarmee wordt zij medeverantwoordelijk voor uitkomsten die zij later geacht wordt te toetsen. De grens tussen adviseren en toetsen verdampt. De informatievoorziening naar de auditcommissie loopt feitelijk via de directie. Het probleem zit niet in de structuur, maar in het gedrag: Internal Audit functioneert niet langer als derde lijn, maar als verlengstuk van de tweede. Op dat punt voldoet de auditfunctie niet meer aan GIAS. In de praktijk helaas ook de configuratie die vanuit kostenoogpunt het meest verleidelijk is.
Configuratie 4: Governance op papier brengt risicobeheersing vrijwel volledig in de lijn onder. Internal Audit als herkenbare functie verdwijnt, of wordt zo minimaal bemand dat van systematische onafhankelijke toetsing geen sprake meer is. Buiten GIAS, en in strijd met wat de CGC als basisverwachting stelt.3
Wat er wringt bij configuratie 3 of 4: twee praktijkbeelden
De spanning tussen kostendruk en governancecomfort is concreet.
Een beursgenoteerd bedrijf in de technologiesector.
Dit bedrijf heeft de internal auditfunctie in het kader van een efficiencyprogramma samengevoegd met de risk & compliance afdeling, onder één gecombineerd hoofd. Het auditplan wordt jaarlijks afgestemd met de CFO en daarna ter goedkeuring voorgelegd aan de auditcommissie. In de praktijk volgt de auditplanning echter sterk de thema's die het management prioritair acht: digitale transformatie, ERP-implementatie, werkkapitaalbeheer. Een onafhankelijke risicoanalyse door de IAF zelf, zoals GIAS Standard 9.4 vereist, vindt nauwelijks plaats. De auditcommissie ontvangt de rapporten, maar de agenda wordt feitelijk door de CFO bepaald.
Dit is configuratie 3 in de praktijk. Formeel bestaat de functie en rapporteert zij aan de auditcommissie. Functioneel is zij verworden tot een gestructureerd managementinstrument. Het bedrijf voldoet aan de letter van CGC bpb 1.3.1 (er ís een "interne auditfunctie"), maar niet aan de geest ervan.4 De vijfjaarlijkse externe kwaliteitstoetsing (bpb 1.3.2) zal dit vermoedelijk blootleggen.
Een niet-beursgenoteerde onderneming in de logistieke dienstverlening.
Dit familiebedrijf heeft nooit een formele internal auditfunctie gehad. De controller vervult de tweede lijn: financiële planning en control, risico-inventarisatie en interne controle op processen. De RvC is klein, zonder formele auditcommissie, en steunt voor haar informatievoorziening vrijwel volledig op de controller en de externe accountant. Een in-control-verklaring is nooit overwogen; de CGC is niet van toepassing.
Dit is configuratie 4, maar zonder de bijbehorende governance-spanning: de CGC geldt niet, aandeelhouders zijn familie en akkoord met de inrichting (en mogelijk niet eens bekend met de beperkingen). Externe toezichthouders stellen geen eisen aan de IAF. De enige echte toets is of de RvC zichzelf voldoende onafhankelijk gepositioneerd acht ten opzichte van de directie. Zodra dit bedrijf externe financiering aantrekt, een overname doet of toetreedt tot een gereguleerde markt, kantelt dat plaatje.
De governancekeuze hangt af van de configuratie én van het toetsingskader dat van toepassing is. Wie de CGC volgt, vrijwillig of verplicht, heeft minder bewegingsruimte dan wie dat niet doet. En wie eenmaal CGC-verplichtingen heeft aanvaard, kan ze niet selectief negeren wanneer het goedkoper uitkomt.
Drie wringpunten
De beheersingsgrondslag
Integratie of afzwakking van de auditfunctie werkt alleen als de eerste en tweede lijn volwassen genoeg zijn om op te vertrouwen. In beide voorbeelden ontbreekt precies die toets.
Het In Control Statement traject
Een In Control Statement (ICS) is de formele verklaring van het bestuur dat de interne risicobeheersing adequaat functioneert. Het is het sluitstuk van een volwassen beheersingssysteem. Wanneer Internal Audit verschuift naar een directie-gestuurd onderzoeksinstrument, verdwijnt een van de belangrijkste bronnen van onafhankelijke zekerheid die dat statement moet onderbouwen. De kostenbesparing van vandaag creëert een governance-schuld voor morgen.
De verantwoordingsrelatie
Wie de CGC toepast, heeft zich gecommitteerd richting aandeelhouders, toezichthouders en andere stakeholders. Configuratie 3 of 4 verdraagt zich slecht met dat commitment. Kostendruk is geen afdoende rechtvaardiging.
Wie governance-verplichtingen heeft aanvaard, kiest voor versterking van configuratie 2, niet voor vereenvoudiging richting 3. Wie wil besparen op de governance-inrichting moet eerst vaststellen wat de organisatie inlevert, en of de RvC en de aandeelhouders bereid zijn dat risico te dragen zodra de externe toetsing komt.
Waarom geldt de GIAS als norm voor Internal Audit?
Staat GIAS in de CGC? Nee.
De CGC 2022 noemt de IIA of de GIAS niet met naam. Principe 1.3 beschrijft de taken en positie van de interne auditfunctie, maar schrijft geen specifieke standaard voor. Inhoudelijk is de CGC wel steeds dichter naar de IIA-standaarden toegegroeid: in 2022 zijn elementen als een onafhankelijke vijfjaarlijkse kwaliteitsbeoordeling en de auditcommissie als functionele rapportagelijn expliciet opgenomen. Dat zijn bepalingen die rechtstreeks aansluiten bij wat de GIAS al langer vereiste.
Waarom geldt GIAS dan toch als de norm?
Ten eerste is de GIAS de mondiale professionele standaard: "All internal audit functions are expected to be in conformance with the Global Internal Audit Standards" (IIA, 2024). Wie zich als IAF profilert, is gehouden aan deze standaard. Of de CGC die noemt is daarbij irrelevant.
Ten tweede verlangt de CGC (bpb 1.3.2) dat de IAF periodiek extern wordt getoetst door een onafhankelijke derde partij. Die toetsing, in de praktijk een External Quality Assessment, vindt altijd plaats tegen de GIAS. CGC-verplichting en GIAS zijn daarmee functioneel onlosmakelijk verbonden, ook al staat de naam er niet in.
Kunnen ook andere normen gehanteerd worden?
In theorie wel. Alternatieven die soms langskomen: ISAE 3000 (assurance-opdrachten), ISO 9001 (procesborging), het Referentiekader Rijksinterne Audit (overheid) en sectorspecifieke kaders zoals die van DNB. Maar wie als IAF opereert in een CGC-context, kan nauwelijks om de GIAS heen. Een IAF die een alternatief kader hanteert, moet uitleggen waarom dat kader gelijkwaardige bescherming biedt voor onafhankelijkheid, objectiviteit en kwaliteit.
Configuraties en governancecomfort: overzicht
| Configuratie | Kenmerk | GIAS | CGC | Governance-comfort |
|---|---|---|---|---|
| 1. Heldere scheiding Klassieke three-lines |
Heldere rolverdeling; audit formeel en functioneel onafhankelijk | Hoog | Hoog | Hoog: structuur spreekt voor zichzelf |
| 2. Slimme bundeling Risk & audit gecombineerd |
Een afdeling; onafhankelijkheid expliciet geborgd via auditcommissie | Middel-hoog grijs gebied | Middel-hoog | Verdedigbaar mits actief gemanaged en transparant verantwoord |
| 3. Stille verschuiving IA als directie-instrument |
IA volgt management-agenda; functioneel geen derde lijn meer | Non-compliant GIAS | Laag: omslagpunt CGC | Wringt: beheersing onvolledig; ICS vrijwel onmogelijk; CGC-achterstand vergroot |
| 4. Governance op papier Minimale assurance |
Risicobeheersing in de lijn; IA verdwijnt als herkenbare functie | Buiten GIAS | Bewuste keuze vereist | Onverantwoord: strijdig met CGC; RvC zonder onafhankelijke informatiepositie |
Kostendruk is een reële driver richting configuratie 3 of 4, maar geen argument dat de governance-logica opheft. Wie governance-verplichtingen heeft aanvaard, kan ze niet selectief negeren wanneer het goedkoper uitkomt. Dat gesprek begint bij de auditcommissie.
Noten
1 CGC 2022, Principe 1.3 / bpb 1.3.1: “De interne auditfunctie heeft als taak de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen. Het bestuur is verantwoordelijk voor de interne auditfunctie. De raad van commissarissen houdt toezicht op de interne auditfunctie en heeft regelmatig contact met diegene die de functie vervult.” Toelichting bpb 1.4.3: “De verklaring omtrent risicobeheersing van het bestuur voorziet niet in absolute zekerheid maar in een bij de strategie en risicobereidheid passende beheersing van de materiële risico’s.” (CGC 2022)
2 GIAS 2024, Standard 7.1 (Organizational Independence): “If the objectivity of the chief audit executive is impaired in fact or appearance, the chief audit executive must disclose the impairment to the board.” Considerations for Implementation bij Standard 9.4: “If ERM reports through IA, an external review of ERM would need to be performed to preserve objectivity.” (KPMG GIAS analysis 2024)
3 GIAS 2024, Domain I: “The internal audit function is independently positioned with direct accountability to the board. Internal auditors are free from undue influence and committed to making objective assessments.” CGC 2022, bpb 1.3.4: “Indien de vennootschap geen interne auditfunctie heeft, beoordeelt de raad van commissarissen jaarlijks of er adequate alternatieve maatregelen zijn getroffen en of behoefte bestaat om de interne auditfunctie in te richten.”
4 CGC 2022, bpb 1.3.2: “De interne auditfunctie moet het werkplan zelf opstellen na overleg met het bestuur, de auditcommissie en de externe accountant. Het bestuur en de raad van commissarissen moeten het werkplan goedkeuren.” Zie ook GIAS 2024, Standard 9.4: “The IA plan must be based on a documented assessment of the organization’s strategies, objectives and risks. The IA function should only rely on management’s information about risks if IA has concluded that the organization’s risk management processes are effective.”
Woningcorporaties: een bijzondere positie
De controller bij woningcorporaties: een bijzondere positie
Een ander referentiekader: de Governancecode Woningcorporaties 2025
Woningcorporaties vallen niet onder de CGC maar onder de Governancecode Woningcorporaties (Aedes/VTW). De meest recente versie is per 1 januari 2025 van kracht. De code kent vijf principes. Principe 5 gaat over risicobeheersing: "Woningcorporaties hebben te maken met grote (financiële) risico's. Het bestuur is verantwoordelijk voor goede risicobeheersing en de RvC houdt hierop toezicht." Bepaling 5.3 verplicht het bestuur om de RvC alle relevante informatie te verschaffen voor toezicht op de risicobeheersing. Een verplichte internal auditfunctie schrijft de code niet voor. De Autoriteit woningcorporaties (Aw) houdt extern toezicht en weegt het al dan niet volgen van de Governancecode mee in haar risicobeoordeling.
De rol van de controller
Bij de meeste woningcorporaties vervult de controller de rol van de tweede lijn, eventueel gecombineerd met een risicomanagementfunctie. Een eigenstandige derde lijn in de vorm van een internal auditfunctie ontbreekt vaak, zeker bij kleinere en middelgrote corporaties. De controller is daarmee in de praktijk de enige interne toetser van de beheersing. Die positie is functioneel kwetsbaar: de controller rapporteert doorgaans aan de directeur-bestuurder, niet functioneel aan de RvC of auditcommissie. Wanneer de controller ook de internal audit rol op zich neemt, worden tweede en derde lijn feitelijk in één persoon gecombineerd, zonder de expliciete waarborgen die GIAS stelt voor rolcombinaties.
Wat betekent dit voor de configuratiekeuze?
Voor woningcorporaties is configuratie 3 (de stille verschuiving) geen toekomstig risico maar vaak de bestaande praktijk: de controller als directie-instrument, zonder formeel onafhankelijk auditorgaan. Begrijpelijk gezien de omvang en middelen van veel corporaties, maar het vraagt om bewuste compenserende maatregelen: een sterke auditcommissie binnen de RvC, actieve betrokkenheid van de externe accountant bij interne beheersingsvragen, en waar mogelijk periodieke externe kwaliteitstoetsing van de controlefunctie. Corporaties die kiezen voor configuratie 2 (controller en risicomanagement gecombineerd, met expliciete waarborgen voor de onafhankelijkheid van de toetsfunctie richting RvC) zitten in de meest verdedigbare positie.
Hoe kan Audirium u helpen?
De grens tussen risk en audit verschuift. Dat vraagt om heldere afspraken over rollen, onafhankelijkheid en mandaat. Ik help die lijn scherp te trekken, met oog voor best practices én creatieve oplossingen die passen bij uw organisatie.
- CGC/VOR nulmeting en gap-analyse: waar staat uw organisatie ten opzichte van de Corporate Governance Code en de vereisten voor een VOR-ready auditfunctie?
- Positie- en mandaatadvies: charter review en onafhankelijkheidsanalyse conform GIAS Domein III en Essential Conditions
- Governance assessment: rollen van bestuur, risk en audit helder in kaart, met concrete aanbevelingen
- Three Lines implementatie: praktische vertaling van het IIA Three Lines Model naar uw organisatie
- Best-practices en creatieve oplossingen: geen standaardadvies, maar oplossingen die werken binnen uw governance-structuur en cultuur
Wilt u weten hoe ik de verhoudingen tussen risk en audit in uw organisatie kan verduidelijken? Neem contact op →