Collegiale discussie over ongebruikelijke dubbelrol
Dat Erik Mouthaan bij Hagemeyer de functies van hoofd internal audit en group controller combineert, roept nogal wat vragen op. Ook bij Jacques Koenen. Een gesprek over beeldvorming, verantwoordelijkheid en onafhankelijkheid.
Dit artikel is verschenen in de Accountant nr. 6, 2005
Bekijk alle artikelen uit dit nummer
William Rothuizen
Zijn beide functies wel in één persoon te verenigen? Controleer je jezelf? Met dat soort vragen wordt Erik Mouthaan regelmatig geconfronteerd. In een interview in ‘de Accountant’ van oktober 2004 lichtte hij zijn dubbelrol bij Hagemeyer uitvoerig toe. Dat leidde in het decembernummer (rubriek Opinie) tot een reactie van Marjo van Ool, voorzitter van het overlegorgaan Interne Accountants. Zij meent dat het een ‘hele klus’ lijkt de beide rollen zodanig te scheiden dat het uiteindelijke oordeel van de interne accountant niet wordt beïnvloed door de visie van de controller.
Ook Jacques Koenen, hoofd interne accountantsdienst van CZ Verzekeringen, had behoefte te reageren. Dat gebeurde in een geanimeerde gedachtewisseling.
Beeldvorming
Koenen vraagt zich af welke invloed de dubbelrol van Mouthaan kan hebben op de beeldvorming. “Het accountantsberoep staat in de schijnwerpers, de rol van de internal auditor ook”, benadrukt hij. “Dan is het belangrijk om duidelijk te laten zien waar je als internal auditor staat. Maar als je, en dat lees ik in het interview, de internal auditing slechts voor een deel invult, dan kan dat onduidelijkheid scheppen.”
Mouthaan: “De beeldvorming is zeker belangrijk. Maar ik wil toch eerst opmerken dat Hagemeyer volledig in compliance is met corporate governance-richtlijnen van bijvoorbeeld SOx en de commissie Tabaksblat en, nog veel belangrijker, dat wij ook handelen in de geest van die corporate governance-rapporten, in de zin van: duidelijke verantwoordelijkheden binnen de organisatie, en transparantie.”
‘Minder verwarring’
Mouthaan herinnert eraan dat in toenemende mate wordt verwacht dat een raad van bestuur naar buiten toe verantwoording aflegt over opzet en werking van het systeem van interne controle. Naar zijn idee zou het best eens verwarring kunnen wekken als daar een separate functie naast wordt gezet die niet onder de directe verantwoordelijkheid van de raad van bestuur valt, maar als volledig onafhankelijke internal audit functioneert. Je crëert dan als het ware een nieuw orgaan met een eigen, niet gedelegeerde verantwoordelijkheid. De verwarring die dan kan ontstaan betreft de vraag hoe die verantwoordelijkheid van de interne accountantsdienst zich verhoudt tot de verantwoordelijkheid van de raad van bestuur om de opzet en de werking van de interne beheersing te toetsen. Binnen Hagemeyer heeft de raad van bestuur, waarvan de cfo deel uitmaakt, de verantwoordelijkheid voor een belangrijk deel aan Mouthaan als group controller gedelegeerd.
Mouthaan: “Juist omdat er sprake is van delegatie, en internal audit niet in een aparte silo opereert, is er voor de stakeholders geen enkele twijfel over de verantwoordelijkheid voor de interne beheersing. Deze ligt en blijft volledig bij de raad van bestuur.”
‘Mind and appearance’
Koenen: “Jazeker, alles in één hand, dan is het duidelijk wie je moet aanspreken en dan weet je ook zeker dat je alleen maar dát naar boven krijgt wat uit die ene hand naar boven moet komen. De perfecte vorm van controle! Maar ik wil nog even terug naar de beeldvorming. We discussiëren in het accountantsberoep over onafhankelijkheid. Het gaat niet over absolute onafhankelijkheid, maar veel meer over de beleving die je hebt ten aanzien van de onafhankelijkheid. We spreken dan ook wel over onafhankelijkheid in mind and appearence.
Ik geloof best dat Erik in mind absoluut integer is, maar het gaat ook om appearance. Ik moet zeggen dat ik als hoofd interne accountantsdienst geen enkele onduidelijkheid heb in onze organisatie wat betreft wie waarvoor verantwoordelijk is. We weten dat de controller verantwoordelijk is voor de inrichting en voor de periodieke rapportage. We weten dat ik verantwoordelijk ben voor de assurance-functie.
Onze raad van bestuur zegt: als ik de controller vraag om het in te richten en die controller vervolgens vraag om informatie aan mij te verstrekken, dan heb ik er behoefte aan dat nog eens iemand er goed naar kijkt en vanuit zijn kennis waarde toevoegt aan dat proces.”
Parallelle belangen
Mouthaan: “Maar wat is internal audit? Ik denk dat daar nog heel wat variatie in is. Heel sterk bepalend is de rol die je de internal audit binnen de organisatie geeft en hoe die organisatie is ingericht. Met mijn audit-team sta ik volstrekt onafhankelijk ten opzichte van de door ons gecontroleerde werkmaatschappijen.
Als controller heb ik er een parallel belang bij om problemen bij de werkmaatschappijen naar boven te krijgen. Waar kan het mis gaan? Inderdaad, als jezelf gaat controleren. Dat zou het geval zijn als mijn auditors ook de processen op het hoofdkantoor zouden gaan controleren. Als ze zich bijvoorbeeld met de consolidatie zouden gaan bezighouden. Dat soort zaken hebben we met het oog op de onafhankelijkheid, dan ook heel bewust bij de externe accountant neergelegd.”
Koenen: “Ik kan me persoonlijk best voorstellen hoe jouw rol bij Hagemeyer wordt ingevuld. Maar ik wil nogmaals benadrukken dat het primair gaat om de beeldvorming, daarom moet het goed duidelijk zijn dat het hier om een heel specifieke situatie gaat. Wat ik ook vaststel, is dat je heel sterk focust op operational audit, niet op financial. Je zegt terecht: ik heb als controller een parallel belang bij audit-werk. Natuurlijk, in een normale situatie zijn er altijd parallelle belangen.
Tussen interne accountant en controller, tussen organisatie en externe accountant. Maar er doen zich ook omstandigheden voor waarin de situatie niet normaal is. Als jij zegt dat je wat de audit betreft ten opzicht van de autonome dochtermaatschappijen onafhankelijk bent, dan hangt dat voor mij heel sterk af van hoe jij je rol als controller invult, hoe jij als controller aan die werkmaatschappijen al of niet instructies kunt geven.”
Specifieke situatie
Koenen vervolgt: Als jij als controller geen enkele bevoegdheid of zeggenschap hebt over hoe die werkmaatschappijen functioneren, dan kan ik me jouw opstelling wel voorstellen. Maar op het moment dat jij ten aanzien van de inrichting van het administratief-organisatorische proces toch een aantal duidelijke bevoegdheden hebt, dan kom je toch een moment tegen dat je voor een deel jezelf aan het toetsen bent. En als het dan alleen maar gaat om de formele procedure ben ik het met je eens dat je geen probleem hoeft te hebben, maar als het met name bij de operational audit gaat om de kwaliteit van de beheersing en naast effectiviteit ook de efficiency een belangrijk item wordt, dan kom je weer op het punt terug dat jij de instructies die jezelf hebt uitgevaardigd, en waar mogelijk wat inefficiency in zit, toch voor jezelf moet toetsen.”
Mouthaan: “Het gaat bij ons inderdaad over een specifieke situatie en ik heb verteld waarom ik vind dat die bij Hagemeyer goed werkt. Ik heb nooit de indruk willen oproepen dat deze opzet in alle gevallen werkt, nogmaals, dit is volledig afhankelijk van de specifieke omstandigheden en organisatie. Wij houden ons niet bezig met de financial audit en ik erken volmondig dat de situatie heel anders zou zijn als we dat wel zouden doen. In de praktijk heb ik een zekere inspraak op het moment dat een van onze werkmaatschappijen bijvoorbeeld het debiteurenbeheer niet goed heeft ingericht. Dus daar kan ik instructies over geven. Sterker nog, we hebben daar base line-controles voor ontwikkeld. Als je, wat jij zegt, daar een aparte internal audit naast zou zetten, dan zou je als het ware intern een second opinion krijgen over de juistheid van mijn instructie.
Maar die second opinion krijgen wij echt wel via onze cfo’s van die werkmaatschappijen. Dat zijn sterke, mondige cfo’s, dat zijn geen mensen die slaafs instructies volgen. Als zij vinden dat mijn instructie niet juist of onwerkbaar is, zullen ze dat bij mij aankaarten of bij mijn cfo en zonodig ook bij mijn ceo.”
Geen issue
Koenen: “Heb jij wel eens met een cfo in het buitenland gesproken, echt inhoudelijk, over hoe hij denkt over jouw dubbelrol?”
Mouthaan: “Laat ik het zo zeggen: het is geen issue binnnen Hagemeyer. Het is heel duidelijk wanneer ik als controller opereer en het is ook heel duidelijk wanneer dat in het kader van de internal audit gebeurt. Als het een internal audit is, dan is er een team aan het werk binnen duidelijke procedures van planning, werkvoorbereiding, uitvoering, rapportage en opvolging. Over de bevindingen wordt gediscussieerd en gerapporteerd. Daarbij is het volstrekt duidelijk dat het over audit-bevindingen gaat.”
Koenen: “Maar in die audit zitten toch elementen die ook jou treffen in de instructie van de controle?”
Mouthaan: “Ja, natuurlijk.”
Koenen: “En dan kom je toch bij jezelf uit?”
Mouthaan: “Dan moet je je eerst afvragen hoe onze richtlijnen totstandkomen. Het is niet zo dat ik ze in isolement achter mijn bureau heb bedacht, nee, de richtlijnen komen tot stand met de directe betrokkenheid van alle controlling-functies: controllers, cfo’s en deskundigen uit de werkmaatschappijen en uiteraard ook de internal audit.”
Aparte lijnen
Koenen: “Toch blijf ik erbij dat als de kwaliteit van de procedures object van audit is bij de toetsing, dat jij dan zelf in een heel merkwaardige rol komt.”
Mouthaan: “Ik verwijs weer naar de corporate governance-rapporten als ik vertel dat ons hele beheersingssysteem uiteindelijk samenkomt - zoals wordt vereist - in de raad van bestuur. De functies die daaronder zitten kun je via delegatie invullen of volledig onafhankelijk plaatsen. Zet je ze apart, dan krijg je de discussie over wat dat betekent voor de overgebleven verantwoordelijkheid van de raad van bestuur. Delegeer je die functies, dan kun je dat uiteraard aan twee personen doen. Mijn cfo heeft ervoor gekozen een deel van zijn verantwoordelijkheid, interne beheersing en financial reporting, aan mij alleen te delegeren.
De financial reporting vul ik in via mijn lijn naar de cfo’s controllers, de interne beheersing-lijn vul ik in met mijn auditors. Dat zijn wel degelijk twee aparte lijnen, alleen, ze komen niet in de absolute top samen, maar op één niveau daaronder. Maar wél gedelegeerd. Dus onder de volledige verantwoordelijkheid van de raad van bestuur.”
Koenen: “Bij ons ligt die verantwoordelijkheid direct bij de raad van bestuur, echter als intern accountant ben ik professioneel eindverantwoordelijk voor de assurance-functie en ik rapporteer direct aan de raad van bestuur.
Verantwoordelijkheid
Mouthaan: “En dat is nu juist het gevaarlijke, geredeneerd vanuit de corporate governance-gedachte. Daar moeten de hoofden IAD erg voor oppassen, want kijk naar Sarbanes Oxley, naar de steeds verdergaande juridisering van verantwoordelijkheden en aansprakelijkheden. Ceo en cfo moeten straks een statement afgeven over de interne beheersing. Ben je geen gedelegeerde maar onafhankelijk binnen de organisatie, dan loop je het risico dat je die verantwoordelijkheid deels overneemt, dat je als het ware een excuus creëert voor de ceo en cfo die, als de interne beheersing heeft gefaald, kunnen zeggen dat de IAD niet goed heeft gefunctioneerd en dat zij dit orgaan niet direct konden aansturen.”
Koenen: “Ik ben het met je eens dat dat risico groter wordt bij verdergaande juridisering. Maar het is ook een kwestie van communicatie: laat altijd duidelijk zien wat je positie is. Onafhankelijk betekent voor de IAD onafhankelijk ten opzicht van de gecontroleerde. Niets meer en niets minder.”
Mouthaan: “Exact. Mijn auditors zijn dan ook volstrekt onafhankelijk ten opzichte van de te controleren werkmaatschappijen. Alle controle die boven de grens tussen werkmaatschappijen en hoofdkantoor ligt is volledig uitbesteed. Daarnaast - en Tabaksblat zegt dat heel expliciet - wordt het audit-programma dat ik als hoofd audit-afdeling moet realiseren, met de board of management en het audit committee afgestemd. Ik rapporteer apart richting audit committee en daar reageert de externe accountant dan weer op.”
‘Gespleten persoonlijkheid
Marjo van Ool schreef in haar reactie: ‘Alleen een volkomen gespleten persoonlijkheid zou in staat zijn de door Erik Mouthaan beschreven rollen van group controller en hoofd internal audit in zich te verenigen zonder in conflict te komen.’
Koenen: “In alle redelijkheid, zo zou ik het niet gezegd hebben. Maar ik denk dat ze daarmee de essentie wel raakt.”
Mouthaan (lachend): “Ik heb de afgelopen jaren geen conflicten ervaren die zijn terug te voeren op een gespleten persoonlijkheid. Maar los daarvan zeg ik in mijn reactie op haar kritiek dat mijn mening als hoofd IAD over de interne beheersing wel degelijk invloed heeft op mijn functioneren als controller. En daar is echt niks mis mee. Zet je beide functies los van elkaar, dan voeg je maar één ding toe, namelijk dat je over de opzet van de interne beheersing niet één persoon zijn gedachten laat vormen, maar twee. Maar wij gaan bij het opstellen van richtlijnen en instructies veel verder dan twee, zoals gezegd betrekken wij er mensen uit de praktijk bij en er gaan zonodig eerst pilots draaien. Die regels komen zorgvuldig tot stand. Bovendien is er heel bewust gekozen voor een scherpe scheiding met de werkmaatschappijen, doen mijn auditors geen financiële audits, en is er dus geen enkele reden om te veronderstellen dat ik, als controller, mezelf ook maar enigszins zou controleren als het gaat om en financiële rapportage naar buiten toe. Ik kom niet in conflict. Voor mij zijn het twee rollen die elkaar versterken.”
Managementinformatie
Koenen: “Wie is verantwoordelijk voor de managementinformatie?”
Mouthaan: “Dat loopt bij ons via de normale controlling-lijn. Er is geen essentieel onderscheid tussen management reporting en financiële reporting. Ik heb duidelijk gezegd dat mijn verantwoordelijkheid binnen Hagemeyer is financial reporting plus interne beheersing. Die liggen heel dicht bij elkaar. Als ik wel verantwoordelijk zou zijn voor financial reporting en ik zou geen invloed hebben op het audit-plan, dan zou ik me daar ongelukkig bij voelen, want dan heb ik wel de verantwoordelijkheid, maar niet de middelen om vast te stellen waar het mogelijk fout kan gaan. Als controller wil ik daar natuurlijk graag direct invloed op hebben.”
Koenen: “Wat je nu zegt doet me denken aan een aspect van de nadere regels voor de onafhankelijkheid waarin nadrukkelijk wordt ingegaan op de combinatie van het samenstellen en controleren van de jaarrekening. Accountants die samenstellen waar een controleopdracht ligt, zeggen allemaal dat het efficiënt is, maar ik denk dat er veel goede argumenten zijn waarom het in de nadere regels voor de onafhankelijkheid zo specifiek geformuleerd is.”
Mouthaan: “Terecht, helemaal mee eens.”
Koenen: “Toch zit jij dat te verdedigen.”
Mouthaan: “Nee, helemaal niet. Dat samenstellen doe ik. Als controller ben ik verantwoordelijk voor de cijfers. Maar ik doe de controle niet. Dat doet de externe accountant.”
Keihard terug
Koenen: “En de managementinformatie, hoe gaat het daarmee?”
Mouthaan: “Dat loopt deels via mijn interne audit en deels via mijn controllers.”
Koenen: “Dat bedoel ik. Jij hebt als groepscontroller een aantal doelstellingen. En die geef je vervolgens mee aan de werkmaatschappijen. Je draagt verder verantwoordelijkheid voor het samenstellen van de managementinformatie en via de audit-verantwoordelijkheid toets je deze.”
Mouthaan: “Allereerst is er geen enkele relatie tussen de performance van de werkmaatschappijen en mijn persoonlijke targets en beloning. Wat betreft budgettering en target-stelling voor de werkmaatschappijen voedt controlling de raad van bestuur met informatie die we halen uit de managementrapportages. Wij wijzen op zwakke punten, geven aan hoe daar mogelijk meer uit te halen is. Vervolgens is het aan de ceo of de cfo om daarover met de werkmaatschappijen discussie te voeren en zonodig in te grijpen en targets vast te stellen. Des te meer belang heb ik bij betrouwbare managementinformatie.
Als onze veronderstellingen niet juist zijn, bijvoorbeeld omdat onze informatie niet betrouwbaar is, dan komt dat weer keihard bij mij terug. Ook hier zie ik, als controller en als internal auditor, dus geen enkel conflicterend belang. Sterker nog, mijn internal auditors helpen mij om vast te stellen dat die managementinformatie betrouwbaar is.”
Toekomst
Aan het eind van het gesprek verrast Mouthaan met de mededeling dat zijn dubbelfunctie binnenkort wordt opgeheven. Hij verlaat Hagemeyer om zijn accountantscarrière elders voort te zetten. Zijn opvolger zal de
functies van hoofd IAD en group controller niet combineren.
Mouthaan: “Dat heeft niets te maken met het concept, de combinatie lukt echter alleen als je met beide functies affiniteit hebt en - wel zo belangrijk - voor beide functies voldoende tijd kunt maken. In de toekomst komen de twee lijnen van internal audit en controlling bij Hagemeyer niet meer samen bij de groep controller, maar één niveau hoger, bij de cfo. Een opzet die minder controversieel is omdat die veel vaker voorkomt, maar in essentie niet wezenlijk anders is.”
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...