'Uit het warme holletje'
Veel ondernemingen investeerden de afgelopen jaren stevig in risicobeheersing en interne controle. Dat voorkwam niet dat vele door de huidige crisis toch out of control zijn geraakt. Alleen organisaties die adequaat reageren op hun omgeving kunnen in control zijn. Dat vergt een ander denken, ook over de rol van internal auditors.
Dit artikel is verschenen in de Accountant nr. 6, 2009
Bekijk alle artikelen uit dit nummer
Gewenst: meer debat over rol en taak van internal audit
Hoogleraar Hans Strikwerda gooide in 2006 een knuppel in het hoenderhok met een opinieartikel in het Financieele Dagblad. Daarin verklaarde hij dat het in control-statement neerkwam op het misleiden van beleggers. De kern van zijn betoog: ondernemingen komen historisch gezien vooral in problemen doordat de leiding van de onderneming onvoldoende sensitief is voor de ontwikkelingen in de omgeving. De in control-verklaring gaat daar echter niet over en heeft door het sterk procedurele en juridische karakter weinig waarde. Dat heeft veel te maken met internal audit: Strikwerda meent namelijk dat internal audit (ook) een waakhond moet zijn die kritisch kijkt of het management wel voldoende anticipeert op de externe verandering.
In een jubileumuitgave van de Universiteit van Amsterdam stelde hij destijds: “In eerste instantie is het natuurlijk de raad van commissarissen die erop moet toezien dat de ondernemingsleiding met de juiste strategie inspeelt op de omgeving. En ook externe consultants kunnen daarbij helpen. Maar ik vind dat de internal audit ook op dit punt een stevige rol moet spelen, bijvoorbeeld door veranderingstrajecten te toetsen.”
‘Group think’
Het moet gezegd, Strikwerda is wel vaker te betrappen op wat eigengereide opinies. In dit geval was er wat discussie onder accountants en internal auditors over zijn bijdrage en ging men daarna vooral weer doodgemoedereerd verder met waar men gebleven was.
Een paar jaar later is de wereld echter nogal veranderd en komen er wat vaker geluiden op die het gelijk van Strikwerda achteraf deels bevestigen.
Robert Bogtstra, director Internal Audit & Control bij Jefferson Wells, wijst er desgevraagd op dat het essentieel is dat binnen organisaties de nodige weerstand en kritisch vermogen moeten worden georganiseerd om de ondernemingsleiding ertoe te dwingen de veranderingen in de omgeving te vertalen naar de eigen organisatie. “Het is heel belangrijk dat bestuurders open blijven staan voor kritische en/of tegendraadse geluiden van buiten de eigen kring”, zegt hij. “Gebeurt dat niet, dan is het risico op group think levensgroot, en houdt men star vast aan de eigen opvattingen. Men staat niet meer open voor kritische of tegendraadse invloeden van buiten de eigen kring. De internal auditor heeft ook nu al een belangrijke rol om op dergelijke aspecten toe te zien. Het gaat me dan ook te ver om te stellen dat de internal auditor die rol niet pakt. Al zijn er wel grote verschillen tussen de manier waarop internal auditafdelingen dit oppakken.”
Wakker geschud
Group think is zonder twijfel een van de belangrijke oorzaken van de huidige crisis. “Als je wint heb je vrienden”, zong Doe Maar al in de jaren tachtig, en dat is in dit verband erg treffend. Bestuurders, bankiers, toezichthouders, accountants en anderen geloofden collectief in een werkelijkheid die niet waar kon zijn en werden niet wakker geschud door kritische geluiden. Had de internal auditor niet wat harder moeten roepen dat er grote risico's speelden?
Het is een van de vragen die wordt opgeroepen door Arie Molenkamp, zelfstandig organisatieadviseur en prominent deskundige in internal auditkringen. In het maandblad MCA van februari 2009 schrijft hij onder de veelzeggende kop ‘Waar waren de internal auditors?’: “Het heeft er zelfs alle schijn van dat de internal audit- functie de haar toegedichte rol (‘het verstrekken van aanvullende zekerheid over de kwaliteit van corporate governance en internal control’) niet altijd heeft kunnen waarmaken. Een dergelijke rol veronderstelt dat men in hoge mate moet kunnen aantonen dat structuren, producten, risico's, thema's (bijvoorbeeld integriteit) en omstandigheden wel of niet in overeenstemming zijn met de doelstellingen en de context van de organisatie.”
Even verderop constateert Molenkamp fijntjes “Bijna twintig jaar na de eerste ronde tafel op het gebied van operational auditing in Nederland bestaat er bij management en toezichthouders nog veel onduidelijkheid over het wezen en de toegevoegde waarde van de internal auditfunctie.”
Op agenda
Natuurlijk had een beter functionerende internal audit de crisis van dit moment niet kunnen voorkomen. Maar op de vraag of deze zogeheten third line of defence genoeg heeft gedaan om deze te voorkomen is Jan Driessen - bij KPMG verantwoordelijk voor Internal Audit Services - heel duidelijk: “Nee. Een van de factoren die daarbij een rol speelt is dat internal auditafdelingen te weinig eigenheid hebben getoond bij het beoordelen van risico's. Men ontwikkelde veelal geen eigen overall visie op de strategie en de bedreigingen en richtte zich meer op het afwerken van het jaarplan. Zo kon men keurig rapporteren over de resultaten van de uitgevoerde onderzoeken, maar claimde men onvoldoende een strategische rol om de raad van bestuur uit te dagen over de risico's. Dat zou overigens wel kunnen gaan veranderen, want de toegevoegde waarde van internal audit staat nu nadrukkelijk op de agenda.”
Soft controls
Bogtstra meent evenals Driessen dat de control environment in het COSO-model een van de belangrijkste elementen is.
“Zaken als bezieling, beleving, tone at the top, zijn belangrijke soft controls. Winnende bedrijven hebben vaak vooral sterke soft controls.”
Driessen ziet echter hoe internal auditors op dat punt vaak een worsteling doormaken. “Om het aspect van control environment te beoordelen, wordt al gauw verwezen naar het bestaan van een ethische code. Verder dan dat komt men eigenlijk niet en het is dan ook een uitdaging voor het vak om de komende jaren verandering in te brengen in het beter kunnen beoordelen van soft controls. Immers, soft controls make the hard controls work.”
‘Volle breedte’
Dat sluit ook aan op wat Leen Paape in juni 2008 schreef in zijn oratie bij zijn aantreden als hoogleraar op Nyenrode.
Daarin stelde hij de vraag of in control-verklaringen geen schaamlappen zijn: “Ik pleit ervoor dat de volle breedte - strategisch, operationeel en financieel - van het in control-vraagstuk in ere wordt hersteld. De Monitoring Commissie heeft weliswaar die volle breedte nooit helemaal losgelaten, maar toch te veel water bij de wijn gedaan. Uiteindelijk komt die brede aandacht ten goede van alles en iedereen. Zoals er tegenwoordig nauwelijks meer auto's verkocht worden zonder airco, zo gaat ook de evolutie in denken over in control vooruit en niet achteruit. Dus ook de strategische en operationele risico's en beheersingssystemen verdienen een meer prominente plaats.”
Momentum
Nu zegt Paape daarover dat er een momentum is ontstaan om een verandering op gang te brengen: “Ik pleit voor een grotere rol voor internal auditors bij het toezicht op zachte aspecten. Naar analogie zoals dat een jaar of zes geleden ook op gang is gekomen bij Ahold nadat het boekhoudschandaal zich daar ontvouwde. Tegelijkertijd moeten we overigens wel oppassen dat we niet alles verwachten van een auditor. Er is een eindigheid aan zijn expertise. Bovendien zal het in de praktijk niet altijd eenvoudig zijn voor een auditor om een vinger in de pap te krijgen over aspecten als cultuur en tone at the top. Bestuurders redeneren toch vaak: dat is niet jullie pakkie an.”
Bezuinigingen
Bogtstra wijst er in dit verband ook nog op een ander effect van de crisis: er zou wel eens een spanningsveld kunnen ontstaan tussen de bezuinigingen op internal auditafdelingen en de bredere verantwoordelijkheid die zij tegelijkertijd krijgen toebedeeld: “Tijdens een ronde tafel met hoofden van internal audit stelden wij vast dat velen te maken krijgen met een teruglopend budget. Tegelijkertijd lijkt het onvermijdelijk dat er nieuwe wet- en regelgeving zal komen die ook impact heeft op het takenpakket van de IAD. Het is dan ook van groot belang om de daarmee samenhangende dilemma's goed op te lossen.”
Het risico van de bezuinigingen komt eveneens naar voren in een internationaal onderzoek van het Institute of Internal Auditors: de recessie zet de budgetten onder druk en dat kan leiden tot extra risico's.
Hoe dan ook is er meer duidelijkheid gewenst voor de buitenwacht. Internal auditafdelingen bestaan nu in de praktijk in vele soorten en maten, en dat is nogal verwarrend. Molenkamp schrijft dat er een keuze moet worden gemaakt tussen de auditor als inspecteur of kritische raadgever. “In uitersten: een omvangrijke, op de financiële verantwoording gerichte controle-instantie dan wel een klein onafhankelijk, multidisciplinair samengesteld en risk based managementinstrument.”
Tweespalt
Intussen lijkt de beroepsgroep zich wel steeds meer bewust te worden van de noodzaak om uit het warme holletje te komen en op onderdelen het debat aan te gaan over de rol en taak van de internal auditor.
Molenkamp in dat verband: “Het is de hoogste tijd dat de beroepsorganisatie voor internal auditors vaktechnische uitingen gaat uitbrengen, dan wel noodzakelijke interventies gaat plegen. De tweespalt neemt namelijk in rap tempo toe; vooral in die situaties en branches waar implementatie of transformatie van de functie aan de orde is.”
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
Nederlandse staat bouwt belang in ABN Amro verder af
De Nederlandse staat gaat zijn belang in ABN Amro verder afbouwen. Het belang in de bank zal daardoor worden teruggebracht van 49,5 procent tot circa 40 procent.
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...