Effectief en efficiënt
ABN AMRO reorganiseerde het afgelopen jaar de interne audit-activiteiten. De bank koos voor een centralere aanpak.
Dit artikel is verschenen in de Accountant nr. 11, 2004
Bekijk alle artikelen uit dit nummer
Reorganisatie interne audit ABN AMRO
Het haalde bijna alle kranten: ABN AMRO sneed fors in de Nederlandse interne accountantsdienst. En dat in een tijd dat de rol van de IAD door veel ondernemingen weer op de agenda was gezet, na de opschudding die was ontstaan na een aantal boekhoudschandalen. ABN AMRO ging desalniettemin over tot een reorganisatie en stelt bovendien dat deze de eigen IAD effectiever heeft gemaakt. Hoe zijn deze twee zaken met elkaar te rijmen?
Concernverandering
Om deze vraag goed te kunnen beantwoorden moet naar de structuur van de IAD binnen de wereldwijde organisatie van de bank worden gekeken. Deze veranderde nadat Rijkman Groenink het roer in 2000 overnam als bestuursvoorzitter. Het concern werd ingedeeld in business-divisies: één voor particuliere klanten en het mkb, één voor grootzakelijke klanten en één divisie voor vermogende klanten en vermogensbeheer. Deze structuur verving de regionale indeling van ABN AMRO en gaf aan dat er sprake was van een meer centrale aansturing van de activiteiten. Ook de wereldwijde audit-organisatie van de bank paste zich hieraan aan; ook hier werd de regio ondergeschikt gemaakt aan de divisieactiviteit.
Book of law
Centralisatie vond ook plaats door het opstellen van een aantal documenten waaraan alle medewerkers zich wereldwijd moeten houden. Peter Diekman, directeur van Group Audit bij de bank: “In de afgelopen tien jaar is er binnen ABN AMRO actief nagedacht over welke waarden en normen binnen de bank nu precies gelden. Daarbij gaat het vooral om zaken als professionaliteit en integriteit.”
Van uit deze waarden werd volgens Diekman een ‘book of law’ opgesteld, een document met normen, waarden en business principles. Ook werd de ‘ABN AMRO Instruction Manual’ geschreven. Diekman: “Binnen de bank zijn alle bancaire processen in procedures gevangen. In deze manual staan alle procedures beschreven, het zijn er enkele tienduizenden.”
Afstanden zijn klein
Verder maakte volgens Diekman de technologische ontwikkeling op ICT-gebied verdergaande centralisatie van de audit-diensten mogelijk. “In principe maakt de locatie van ABN AMRO niet meer uit voor de controle. Elektronisch zijn de afstanden maar heel klein.” En veel van de controle gaat tegenwoordig elektronisch vanwege de grote hoeveelheid aan gegevens. Dat is onontkoombaar bij een concern met wereldwijd meer dan tien miljoen klanten. Een deel van de controle wordt verzorgd door het Computer Assisted Audit Techniques System (CAATS). Diekman: “Met dit systeem kunnen bijvoorbeeld door data mining binnen gegevens uit alle relevante regio’s bepaalde afwijkingen worden vastgesteld. Een dergelijke afwijking kan de basis zijn voor een intensief onderzoek.”
Nederland
Deze overgang naar meer centralisatie leidde ertoe dat Group Audit kritisch naar de Nederlandse interne accountantsdienst ging kijken. De Nederlandse bankactiviteiten behoren met 4,5 miljoen klanten tot de belangrijkste binnen de bank, maar ook deze regio werd opgedeeld naar de drie business-gebieden. Rob Sweitser, directeur van de Nederlandse audit-afdeling, legt uit dat in het verlengde daarvan ook de Nederlandse audit-activiteiten moesten worden geherstructureerd. “Het geeft een goede afbakening van verantwoordelijkheden en het is voor iedereen duidelijk welke auditors welke type controles moeten doen.”
Maar de aanpassing aan de business-georiënteerde organisatie was niet het enige waar de Nederlandse tak mee te maken kreeg. Sweitser: “Het aantal kantoren in Nederland werd aanzienlijk teruggebracht. Een groot deel van de front office werd vervangen door centrale fullfilment centers. Dit had als gevolg dat de administratieve processen meer werden gecentraliseerd.” En dus was het volgens Sweitser duidelijk dat ook de Nederlandse IAD meer centraal moest worden georganiseerd. “Een deel van de controle kon bijvoorbeeld gedaan worden met CAATS.”
Minder decentraal
Het betrof een behoorlijke omslag in de manier van werken van de Nederlandse accountantsdienst. Van oudsher was de dienst decentraal georganiseerd met verschillende controlegroepen die vooral gericht waren op de controle van de operationele processen bij de Nederlandse kantoren. De controlegroepen zijn goeddeels afgebouwd en alles is nu ondergebracht in Amsterdam.
Sweitser geeft aan dat dit de versplintering van de IAD vermindert. “Dit maakt de controle efficiënter, omdat de hoofdvestiging van de Nederlandse audit niet meer het werk van de decentrale vestigingen hoeft te controleren. En verder zijn er voor een gecentraliseerde dienst meer mogelijkheden voor specialisatie, wat de accountantsdienst uiteindelijk effectiever maakt.”
Beeld in de pers
Sweitser vindt het in de pers ontstane beeld dat er fors zou zijn bezuinigd op de interne audit bij ABN AMRO onterecht. “Het aantal medewerkers van Inspectie, die voorheen op de decentrale audit-vestigingen werkzaam waren, is weliswaar teruggebracht van driehonderd naar tweehonderd. Maar aan de andere kant is het aantal werknemers bij de centrale auditdienst in Amsterdam toegenomen met 130 tot tweehonderd.”
Verder is er een trend ingezet van meer diversificatie en specialisatie binnen de Nederlandse dienst. Sweitser: “Er zijn bijvoorbeeld veel meer IT-auditors aangesteld, ongeveer een derde van het totaal is IT-auditor.” Ook zijn er meer operational auditors aangenomen. Per saldo is de Nederlandse IAD volgens Sweitser effectiever en meer efficiënter geworden.
CEO verantwoordelijk
Los van de reorganisatie van de accountantsdienst bij ABN AMRO, zien Sweitser en Diekman geen directe relatie tussen bezuinigingen op de IAD en boekhoudfraudes bij andere bedrijven. Diekman: “Als je de krant leest over Parmalat dan lijkt het om pure criminaliteit te gaan. Als medewerkers bij een bedrijf in hun genen crimineel zijn dan kun je daar als auditor niet zo heel veel aan doen.”
Verder heeft het er volgens Sweitser mee te maken dat het lijnmanagement de primaire verantwoordelijkheid heeft voor de kwaliteit van de processen. “Als het management deze verantwoordelijkheid serieus neemt, dan geeft het ook zijn volledige support aan de auditafdeling, die op zijn beurt dan kwalitatief goed kan controleren. Is de houding van het management op dit vlak onvoldoende, dan creëer je binnen het bedrijf moeilijkheden.”
Bovendien is binnen het bankwezen de CEO de aan te spreken persoon voor de toezichthouder, de centrale bank, zegt Sweitser. In Nederland is dat De Nederlandsche Bank, in de Verenigde Staten de Fed. “DNB heeft in dit verband heel heldere richtlijnen opgesteld voor deze verantwoordelijkheid en voor het vormgeven van de interne controle. Medewerkers van DNB houden daar periodiek ook bij de desbetreffende bank toezicht op.”
Diamantfiliaal
Tot slot, hoe kijken Diekman en Sweitser terug op één van de meest geruchtmakende fraudezaken bij ABN AMRO zelf, het zogeheten diamantfiliaal in Amsterdam?
Zowel Sweitser als Diekman geven aan dat zij niet werkzaam waren bij de accountantsdienst van ABN AMRO ten tijde van deze fraude. In algemene zin wil Diekman er wel iets over kwijt: “Als iemand kwaad wil dan zal hij ongeacht de strenge procedures ook kwaad doen. De hamvraag is echter: zijn onze systemen en onze procedures zodanig dat je frauduleuze handelingen tijdig kunt zien?”
Soms zie je het als auditor volgens Diekman meteen, soms stuit je er ook bij toeval op, bijvoorbeeld uit een plausibiliteitscontrole van de afwijkingen die een auditor opmerkt uit de grote hoeveelheid elektronische gegevens. “Dan is het belangrijk dat een auditor daar vraagtekens bij dúrft te stellen en dan ook dúrft door te vragen en zich niet met een kluitje in het riet laat sturen. Support van de raad van bestuur aan de audit-afdeling is dan ook onmisbaar.”
Profiel Group Audit ABN AMRO
Group Audit is de wereldwijde audit-afdeling van ABN AMRO en is onderdeel van het zogeheten corporate center van de bank. Daarmee valt het direct onder de voorzitter van de raad van bestuur en onder het audit committee van de raad van commissarissen.
De taken van Group Audit zijn het doen van operational audit, inclusief IT-audit, en van bijzondere onderzoeken in opdracht van de raad van commissarissen. Verder is de afdeling Trusted business consultant voor het management in tijden van problemen en werkt de afdeling mee aan het verspreiden van kennis over het bankbedrijf onder het personeel.
Belangrijkste doel van Group Audit is te controleren of alle bedrijfsprocessen op een zodanige manier worden uitgevoerd dat alle relevante risico’s beheersbaar zijn. Dit betreffen de primaire bankrisico’s, zoals krediet-, markt- en liquiditeitsrisico, maar ook operationele en juridische risico’s en zelfs reputatierisico. Compliance valt buiten het aandachtsgebied van Group Audit.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...