Het DSM-model
Hoe organiseer je de interne beheersing en controle in een decentraal georganiseerd chemie- en farmaciebedrijf als DSM? De ‘klassieke’ interne accountantsdienst paste daar niet langer bij. De nieuwe corporate operational audit wel. Opvallend: er werken geen accountants.
Dit artikel is verschenen in de Accountant nr. 11, 2006
Bekijk alle artikelen uit dit nummer
William Rothuizen
Tot ongeveer 2000 had DSM een ‘klassieke’ interne accountantsdienst die zich voornamelijk richtte op de controle van financiële verslaglegging en processen. Het karakter en de diversiteit van de organisatie deden de vraag rijzen of dit wel de juiste vorm was om de bedrijfsprocessen binnen DSM te bekijken en te onderzoeken waar, niet alleen in de financiële sfeer, de risico's zitten.
Directeur Roelof Mulder van wat nu de corporate operational audit (COA) heet, vertelt dat de directe aanleiding voor die gedachtewisseling te maken had met de fase waarin DSM toen verkeerde. De onderneming had net de operatie Concern 2000 achter de rug. Deze had geleid tot een meer decentrale organisatie van het concern, bestaande uit businessgroepen die binnen hun eigen werkgebied verantwoordelijk zijn voor alle bedrijfsfuncties. Deze decentrale organisatie moest DSM de flexibiliteit geven om snel en doeltreffend op veranderende marktomstandigheden te reageren. De businessgroepen gingen rapporteren aan de raad van bestuur en er kwamen DSM-corporate values en -requirements.
Integrale audits
“Hoe decentraler je opereert, hoe belangrijker het is om de mensen het veld in te sturen met richtlijnen op basis van een centrale opinie over bedrijfsprocessen”, stelt Mulder vast. “En als die bedrijfsprocessen gestandaardiseerd zijn en iedereen volgens die processen werkt kun je ze automatiseren en vervolgens allerlei efficiencyslagen maken.”
Een ‘klassieke’ IAD paste niet langer in dat beeld. Er kwam een auditcommissie en er kwam een corporate operational audit department waarin alle disciplines vertegenwoordigd zijn. COA zou als een van de stafafdelingen integrale audits gaan doen bij alle te auditen eenheden van DSM. “Dat is gestart in 2000”, zegt Mulder. “Ik denk dat we in 2003 al zo ver waren dat men kon zeggen dat COA in het auditproces de nodige rijping had bereikt en echt toegevoegde waarde had voor het bedrijf. In 2004 hebben we alle auditable units van DSM de eerste keer gehad. In 2005 hebben we dat afgerond met een samenvattende rapportage aan de raad van bestuur, inmiddels zijn we gestart met de tweede ronde langs de eenheden.”
Impact Tabaksblat
Sinds 2002 past DSM als een van de weinige Nederlandse ondernemingen de code Tabaksblat in de volle breedte toe. Heeft dat aanpassingen van de operational audit gevraagd?
Mulder denkt dat de code meer invloed heeft gehad op het governance-model van raad van bestuur en raad van commissarissen en minder op het interne beheer binnen DSM. “Een groot deel van het interne controleproces, dat ten grondslag moet liggen aan de verplichtingen van het corporate governancemodel van Tabaksblat, was al aanwezig.”
Jan Grooten, die bij COA audit-methodologie en -procedures in zijn portefeuille heeft en audit manager is op het terrein finance en economics: “De code heeft een zichtbaar gevolg gehad voor de rapportage. Het jaarverslag schenkt nu veel meer aandacht aan governance en interne controle. Dat maakt DSM transparanter, men kan nalezen wat onze requirements zijn, onze controle en structuren.”
Externe accountant
COA rapporteert aan de voorzitter van de raad van bestuur. De in control-verklaring is een intern stuk, het draagt de handtekening van COA-directeur Mulder. Dat neemt niet weg dat er een nauw contact bestaat met externe accountant Ernst & Young. Mulder: “We komen vier keer per jaar bij elkaar. We praten niet alleen naar aanleiding van onze bevindingen, maar bijvoorbeeld ook over hoe diep bepaalde audits gaan en over wat er wordt er aangezet aan bedrijfsprocessen, aan organisatie voor internal control, enz. Er is een goede afstemming. Voor onze operational audits nemen wij kennis van de rapporten van de externe accountant en al onze auditrapporten gaan naar de externe accountant. Dit geeft in detail inzicht in alle disciplines, niet alleen financial, maar ook in andere operationele bedrijfsprocessen die we auditen. De externe accountant krijgt een duidelijk beeld van hoe stevig activiteiten worden omgezet in een transparante financiële omgeving.”
Bouwwerk
De externe accountant moet kunnen nagaan in hoeverre activiteiten materieel van invloed zijn op de jaarcijfers. Daarbij steunt hij op de rapportages van de afdeling corporate finance. Grooten wijst op de eigen verantwoordelijkheid van de externe accountant: “Die krijgt de rapporten waarin COA een beeld geeft van de mate van in control zijn van alle processen, maar gelet op zijn verantwoordelijkheid voor de handtekening moet hij ook eigen waarnemingen doen. De externe accountant steunt op het bouwwerk van governance. Naast corporate finance en de control en monitoring op business-groepniveau, is COA daarvan een onderdeel.”
Safety, health & environment
Verschillende bedrijfsonderdelen van DSM vergen vanwege hun aard chemie, farmacie veel aandacht voor het hoofdstuk Safety, health & environment (SHE) and good manufacturing practices. Naast het jaarverslag publiceert het concern een uitvoerig Triple P-verslag. Bij elke corporate audit waarbij ook operations onderdeel is van de audit, is ook een SHE-auditor betrokken. Zo kijkt bijvoorbeeld naast een manufacturing auditor een SHE-auditor mee. “Dat geeft de zwaarte aan ten opzichte van de andere disciplines”, zegt COA-directeur Mulder.
“De SHE-groep bestaat uit mensen die vaak uit manufacturing komen of uit onderhoud en al of niet environmental-officer of manager zijn geweest. Het kan ook een productieman zijn die op weg is verder carrière te maken. Het gaat dus om mensen die al een SHE-training hebben gehad in hun eigen operatie. Het zijn vaak academici die qua professie technisch georiënteerd zijn.”
Geen registeraccountants
In de auditgroep zitten geen registeraccountants. Enkele leden komen uit de auditing, maar de meesten komen vanuit de discipline, zoals business of operatie. In de auditgroep krijgen ze de kans om heel DSM te leren kennen. Ze werken mee in alle audits, dus niet alleen in dat kleine stukje dat ze vanuit hun eerdere functies binnen DSM kennen. Met rond de tweehonderd auditable units in 49 landen in alle werelddelen leren ze in hun werk met cultuurverschillen om te gaan. “Het is een enorm voordeel dat we mensen opleiden die DSM breed kennen en na drie of vier jaar operational audit verder willen groeien binnen de onderneming”, zegt Mulder. “Een ander groot voordeel is dat de auditors snel leren inzien hoe hun eigen discipline toegevoegde waarde heeft voor het werk van andere disciplines bij het samen behalen van businessresultaat.”
Auditcyclus
Alle processen moeten voldoen aan de door DSM vastgestelde corporate requirements. Corporate operational audit onderzoekt of aan dat vereiste is voldaan. COA gebruikt een methodologie waarmee de risico's van de verschillende auditees worden ingeschat. Zo wordt een auditplanning opgesteld die van jaar tot jaar moet worden goedgekeurd door de raad van bestuur en de auditcommissie.
De audit bestrijkt vijf terreinen:
- Manufacturing/safety, health & environment
- Commercial
- ICT
- Finance & control
- Ondersteunende processen zoals human resource management en legal
Alle terreinen worden in één audit door een multidisciplinair team onder de loep genomen. Na de nodige voorbereiding neemt de audit doorgaans twee weken in beslag. Op grond van de bevindingen komt COA tot een beoordeling. Daarvoor werkt men met vier niveaus: goed, DSM-standard, below DSM-standard en unacceptable. Op grond van de score en de ontwikkelde methodologie wordt bepaald wanneer de audit zal worden herhaald. Elk jaar overlegt directeur Roelof Mulder met de directeuren van de businessgroepen over hun te auditen eenheden en wanneer die weer aan de beurt moeten komen. Gemiddeld is dat eens in de drie jaar. De frequentie hangt af van de risico's die er spelen.
De lead auditor rapporteert aan de voorzitter van de raad van bestuur, in het bijzijn van de directeur van de businessgroep. De lijn is verantwoordelijk voor de actie die op grond van de bevindingen wordt ondernomen. Bij een volgende audit kijkt COA of zo'n actie is uitgevoerd en maakt daar in de rapportage melding van.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...