Robeco centraliseert internal audit
De internal audit-afdeling van Robeco breidt uit. John Bendermacher, hoofd van deze afdeling, over de veranderingen, de redenen, de relatie met de Rabobank en de toekomst.
Dit artikel is verschenen in de Accountant nr. 2, 2005
Bekijk alle artikelen uit dit nummer
Internal Audit van Robeco, de grootste beleggingsinstelling in Nederland, maakt een aanzienlijke expansie en professionalisering door. Het aantal medewerkers steeg in een jaar van zes naar elf. Die ontwikkeling was duidelijk nodig, vindt internal auditor John Bendermacher. “In het verleden koos Robeco voor een tamelijk decentraal model. Er was een kleine centrale internal audit-afdeling, die rapporteerde aan Group Risk Management. Daarnaast waren er binnen diverse business units en buitenlandse vestigingen medewerkers bezig met audit, interne controle en compliance, maar zonder dat er sprake was van duidelijke taakafbakening en voldoende afstemming met de centrale afdeling.”
Rapport Winter
Dit model had duidelijk nadelen en ondervond ook kritiek van toezichthouders. Tegelijk met de komst van George Möller als ceo, in juli 2004, werd besloten de positie van Internal Audit aanzienlijk te versterken. Het op verzoek van de Autoriteit Financiële Markten opgestelde rapport Winter en de daarin opgenomen kritiek op het beheer van beleggingsinstellingen, speelde ook een rol bij de verandering. Die kritiek betrof onder meer de transparantie omtrent de kosten, de kwaliteit van de interne controle en administratieve organisatie, en de toetsing daarvan. Bendermacher vindt de kritiek van Winter absoluut begrijpelijk, maar plaatst wel een kanttekening, omdat de lat in het verleden bepaald minder hoog lag.
Upgrade
Bendermacher: “De omslag in het belang dat toezichthouders hechten aan een actuele organisatie- en procesbeschrijving kwam erg plotseling. Maar inhoudelijk heeft de AFM wel gelijk. Procesbeschrijvingen waren vaak summier en beschrijving van de interne beheersingsmaatregelen ontbrak vaak. Binnen Robeco worden daarom alle procesbeschrijvingen en interne controlemaatregelen in 2005 ge-upgrade en wordt de uitvoering van de interne controle voldoende gedocumenteerd.”
Volgens Bendermacher behoort het tot de taak van Internal Audit om vast te stellen dat de interne risicobeheersing niet alleen adequaat is beschreven maar ook adequaat functioneert. Binnen beleggingsinstellingen hoort daar eveneens bij dat wordt vastgesteld of aan wet- en regelgeving wordt voldaan. Een voorbeeld is de zorgplicht die financiële instellingen voor hun klanten hebben. Bendermacher: “Internal Audit bekijkt of de documentatie rond zorgplicht, zoals het vastleggen van risicoprofielen van klanten, voldoende is ingebed in de processen en beoordeelt de werking van deze processen.”
Wereldwijd
Allereerst werd besloten dat Internal Audit rechtstreeks rapporteert aan de voorzitter van de management board. Bendermacher benadrukt dat dit niet slechts een positionering op papier is maar dat er feitelijk een rechtstreekse lijn is. ‘Concreet is er elke week een overlegmoment met George Möller. Daarnaast is er een rapportagelijn naar het audit committee van de raad van commissarissen.”
Een andere belangrijke verandering is de centralisering van Internal Audit. Er is nu sprake van een global mandate, wat betekent dat Bendermacher functioneel verantwoordelijk is voor alle internal audit-activiteiten die wereldwijd binnen Robeco Groep worden uitgevoerd. Dit betekent niet alleen dat bepaalde auditactiviteiten uit de business units worden
gehaald en worden gecentraliseerd. Ook internal auditors van buitenlandse vestigingen - New York, Toledo en Parijs - rapporteren nu rechtstreeks aan Bendermacher.
Verbeteracties
Het global mandate kreeg gestalte in een nieuw Internal Audit charter. Maar, om ook feitelijk één gezicht te tonen naar alle business units, zowel nationaal als internationaal, is bovendien in het eerste halfjaar de werkwijze geüniformeerd en vastgelegd in een Internal Audit Manual. Daarbij gaat het om zaken als risicoanalyse, audit planning, audit approach, dossiervorming, rapportering, follow-up monitoring en klanttevredenheidsmeting. Ook is op alle locaties de samenwerking met externe accountant Ernst & Young versterkt.
Bendermacher merkt op dat hij zich bij de professionalisering van zijn afdeling, naast alle NIVRA-regels, in ruime mate heeft bediend van de Standards for professional practices en het Position Paper van het Institute of Internal Auditors. Een belangrijk ‘zelf ingebracht’ aspect is het werken met verbeteracties in plaats van aanbevelingen. Naar zijn mening
zijn aanbevelingen te vrijblijvend. Verbeteracties met duidelijke eigenaren en deadlines voegen veel meer waarde toe en maken het meten van follow-up een stuk eenvoudiger.
Toekomst
Bendermacher verwacht dat zijn afdeling in het komende jaar verder groeit naar vijftien of zestien arbeidsplaatsen. “In 2006 zullen we de beloften waar moeten gaan maken en moeten uitgroeien tot een state of the art internal auditafdeling. Naast operational en IT-audits zullen we een grotere rol spelen in het SAS 70 auditwerk en zullen we audits doen op de integriteit van de managementinformatie. Daarmee zal de samenwerking met Ernst & Young, dat verantwoordelijk is voor de financial audit, verder worden uitgebouwd.”
Of de afdeling daarna nog verder zal groeien, is volgens hem afhankelijk van de efficiency die in de audits bereikt kan worden en van de capaciteit die nodig is om ad hoc- en non cyclische audits te verrichten. Voorbeelden van deze audits zijn project reviews, implementatie reviews van nieuwe processen of applicaties en fraudeonderzoeken. “Deze audits vormen nu ruim een kwart van het totale audit-werk.”
Bendermacher benadrukt dat groei voor hem geen doel op zichzelf is. Kwaliteit is dat wel. “Als wij door middel van onze audits continu bijdragen aan procesverbeteringen, waardoor Robeco aan aandeelhouder, toezichthouders en - last but not least - alle beleggers eenvoudig kan laten zien dat het in control is dan pas doen we het goed.”
Relatie met Rabobank
Robeco is een zelfstandige dochter van de Rabobank Groep, met eigen vergunningen, een eigen beheersingsapparaat en een eigen raad van commissarissen. Ondanks deze zelfstandigheid moet de internal audit-afdeling van de Rabo kunnen steunen op het internal audit-werk van Robeco. Dit komt mede voort uit het beleid van Rabobank om in de gehele organisatie in control te zijn.
Bendermacher: “Begin dit jaar werd daarom een service level agreement afgesloten met Audit Rabobank Groep. Deze overeenkomst stelt ons in staat om als volledig zelfstandige audit-afdeling te opereren binnen de gekozen governance-structuur, terwijl het Rabobank in staat stelt om input te leveren voor en toezicht te houden op onder meer risicoanalyse en audit planning.”
Verder kan de Rabobank quality reviews verrichten en is er maandelijks overleg. Bendermacher spreekt van ‘een goed evenwicht tussen zelfstandigheid en toezicht’.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...