Toezichthouders over de vloer
Bij governance-trajecten stuiten IAD's op tal van vragen. Veel is nog onduidelijk, stakeholders hebben uiteenlopende wensen en toezichthouders lijken soms nog op zoek naar adequate invulling van hun rol. KPMG Information Risk Management inventariseerde de problemen, in twintig interviews en een rondetafelgesprek met interne auditors van verzekeringsmaatschappijen, pensioenfondsen en pensioenuitvoerders.
Dit artikel is verschenen in de Accountant nr. 2, 2006
Bekijk alle artikelen uit dit nummer
William Rothuizen
“Er bleek behoefte aan een ‘discussie onder vakbroeders’ over de problemen die zij tegenkomen bij hun rol in governance-trajecten”, zegt Peter van Toledo die de inventarisatie samen met Chris Hoffman organiseerde. “De uitkomsten van de interviews en het rondetafelgesprek waren op onderdelen anders dan wij gedacht hadden. Met name wat betreft de rol van de toezichthouders en andere stakeholders. Toezichthouders stellen nieuwe eisen en hebben uiteenlopende wensen en interessegebieden die elkaar gedeeltelijk overlappen.”
Welke zekerheid?
In de interviews en het rondetafelgesprek kwamen uiteenlopende problemen aan de orde, zoals onduidelijke toetsingskaders, de vraag of het mogelijk is om tot een geïntegreerd risk & control framework te komen, en het fenomeen dat binnen een organisatie verschillende afdelingen en personen zich bezighouden met in control, wat tot wildgroei van risicoafdelingen kan leiden.
Maar de belangrijkste conclusie was dat het voor de geïnterviewden onvoldoende duidelijk is wat met name nieuwe stakeholders als AFM, DNB en audit committee precies willen, zeggen Hoffman en Van Toledo. “Die moeten hun rol nog duidelijker invullen. Ook zijn er besturen die niet duidelijk aangeven welke zekerheid zij ten aanzien van in control verlangen en of voor alle risicogebieden eenzelfde controlezekerheid noodzakelijk is. In het algemeen zouden de mensen die werken aan de organisatie van interne beheersing wat pro-actiever kunnen zijn, bijvoorbeeld door meer de dialoog met de stakeholders te zoeken.”
Dezelfde vragen
Boudewijn van der Woerd, directeur Auditing & Integrity van de Delta Lloyd Groep, nam deel aan het rondetafelgesprek. Hij ervaart dat verschillende toezichthouders en andere stakeholders, bijvoorbeeld de commissarissen of externe auditor, vanuit verschillende doelstellingen naar een onderneming kijken en dus ook eigen accenten leggen op terreinen waarvan zij de transparantie en beheersing gedetailleerder in beeld willen hebben. “We zien dat verschillende toezichthouders zich concentreren op hun primaire verantwoordelijkheidsgebied. Voor een College Bescherming Persoonsgegevens, dat met name op de privacy moet toezien, is dat relatief goed af te bakenen. Maar twee toezichthouders waarvan de een het gedragstoezicht heeft en de ander
het prudentieel toezicht, moeten zich beide baseren op het algemene stelsel van interne beheersing. Daar ligt een spanningsveld, want beide willen voor een deel op de hoogte zijn van dezelfde elementen en leggen vervolgens verschillende accenten. Dus ze stellen voor een deel dezelfde vragen. In het begin hebben we daar betrekkelijk veel last van gehad, omdat er van de kant van de toezichthouders vrij veel mensen over de vloer kwamen. Gaandeweg is hier verbetering in gekomen.”
Witwassen
Van der Woerd noemt als voorbeeld het voorkomen van het witwassen van crimineel geld (zie ook pagina 26). In de bankactiviteiten hebben dergelijke witwaspraktijken een hoger risicoprofiel dan in de verzekeringstak, waar dat risico nauwelijks bestaat. “Dus wat zou de onderneming graag zien? Een strakkere, op het risico afgestemde controle bij de bankdivisie, en minder strak in de verzekeringsdivisie. Maar het toezicht wijst op de wettelijke verplichting van maatregelen voor antiwitwaspraktijken in alle takken van het bedrijf en wil die controle ook voor alle verzekeringsactiviteiten veel gedetailleerder en frequenter in beeld hebben. Ook hier ligt een spanningsveld. Bij controle op de compliance zien we nogal eens dat er vanuit het toezicht grote druk komt op een themagericht onderzoek en dito risicoanalyse, specifiek voor die bepaalde regelgeving. Het vergt hier intern de nodige inspanning om dat ene aspect eruit te lichten. Goed voor elkaar, zegt de stakeholder, maar zoiets kost ons nogal wat geld.”
Spanningsvelden
Van der Woerd wijst erop dat veel elementen van governance zulke spanningsvelden kennen. De raad van bestuur of de raad van commissarissen moeten risicomanagement en governance op een hoog strategisch tactisch niveau in de greep hebben. Ze moeten niet te veel details aan hun hoofd hebben. “Dat is ook niet hun kerntaak. Maar er zijn stakeholders die op een totaal niveau over een bepaald beheersingsaspect in een grote organisatie geïnformeerd willen worden, terwijl het op een lager werkniveau slechts om een enkel gebiedje gaat dat niet afzonderlijk wordt gerapporteerd. Een belangrijke vraag is dan ook: voor wie doe je een risicoanalyse? Je kunt niet elke stakeholder op dezelfde manier bedienen.”
AFM rule based
“Wet- en regelgeving is niet altijd ten onrechte, maar het wordt de laatste jaren wel heel erg veel,” verzucht Bernhard de Vries, directeur Audit Services bij Fortis. Ook hij was deelnemer aan het rondetafelgesprek. “De structuur van het toezicht is veranderd door de splitsing in prudentieel en gedragstoezicht, waarbij niet altijd even duidelijk is wat DNB en wat AFM doet”, stelt hij vast. “Er zijn nogal eens overlappingen die je graag zou willen voorkomen en er zijn verschillen in invalshoek. De AFM werkt erg rule based in plaats van principle based of risk based. Er wordt vaak van uitgegaan dat wij audits puur op compliance verrichten, terwijl dat maar één van de aspecten is van onze integrated audits. Dan zie je veel aandacht voor het naleven van regeltjes en te weinig aandacht voor de interne beheersing, terwijl die toch van groot belang is voor de financiële industrie.”
Kosten en baten
Net als Van der Woerd wijst De Vries op de hoge kosten van bepaalde onderdelen van toezicht voor financiële instellingen. Naar zijn mening vaak onnodig hoog, door overlappingen en doordat er soms veel te veel informatie wordt gevraagd waarvan de relevantie twijfelachtig is. “De enorme uitbreiding van weten regelgeving leidt tot een forse administratieve belasting van de sector, zonder dat er een echte bewustwording is over de enorme toename van de kosten die dat met zich meebrengt. Wat is de verhouding tussen de kosten van het middel en het kwaad dat bestreden moet worden? Neem de melding van ongebruikelijke transacties. Compliance op dit gebied kost het Nederlandse bankwezen op jaarbasis zo'n zestig tot zeventig miljoen euro. Afgelopen jaar hebben MOT-meldingen geleid tot tien strafzaken, waarvan uiteindelijk slechts een deel tot veroordelingen heeft geleid. Daarvoor is dus een prijs van zestig miljoen betaald. De consument zal dat moeten opbrengen. Goed toezicht is echt niet verkeerd voor de financiële industrie. Maar een goede afweging van kosten en inspanningen is ook niet verkeerd.”
Roomser dan paus
Hoe is de verhouding van de IAD's met de toezichthouders en andere stakeholders? De Vries zegt dat hij streeft naar een goede discussie. Niet alleen vanwege de enorme toename van weten regelgeving, ook omdat er in het kader van de EU veel te weinig aandacht is voor het internationale karakter van financiële concerns als het Nederlands-Belgische Fortis. “De toezichthouders beperken zich tot de grenzen van een land. Daarbij kan Nederland met alle wetten en regeltjes uit de pas gaan lopen ten opzichte van de omringende landen. Nederland moet niet roomser willen zijn dan de paus. Als financiële instelling hebben wij steeds meer cross border-activiteiten waarbij het vaak moeilijk is aan te wijzen waar de grens van bepaalde activiteiten tussen Nederland en België ligt. Er ontstaat behoefte aan eenduidig toezicht voor financiële instellingen die internationaal opereren. Ik denk dat een internationaal karakter van toezicht houden in Europees verband steeds meer van belang wordt.”
Actief in gesprek
In de door KPMG georganiseerde discussie bespeurde Van der Woerd dat een deel van de aanwezigen het optreden van de toezichthouders met hun uiteenlopende wensen en invalshoeken nogal passief beleeft. Met een houding van ‘het overkomt ons’. “Toen heb ik verteld dat bij ons, zowel vanuit de bedrijfsleiding als vanuit de auditafdeling, wordt geprobeerd veel meer actief in gesprek te gaan met de toezichthouders. Zo hebben wij De Nederlandsche Bank gezegd: ‘Wat de Wet financiële dienstverlening betreft ligt het toezicht primair bij de AFM, dus de AFM is voor ons het aanspreekpunt over dat onderwerp. Je mag kennis nemen van alle desbetreffende rapportages en andere zaken, maar voorkom dat we twee keer hetzelfde verhaal moeten vertellen.’
Ook hebben wij de directeur van DNB uitgenodigd om het topmanagement van Delta Lloyd Groep te vertellen hoe hij tegen onze governance aankijkt. Op werkniveau moet je de contactpersoon van een toezichthouder kunnen bellen met vragen als: we lopen ergens tegenaan, hoe zien jullie dat? Zo komt er interactie. Als je de dingen op een goede manier met elkaar bespreekt kom je een heel eind. ‘Pas op, trek geen extra aandacht,’ hoorde ik sommigen opmerken. Maar dat vind ik de verkeerde insteek.”
Normering in control statement nog steeds onduidelijk
Voor ondernemingen in de niet-financiële sector zijn de problemen met de rol van toezichthouders zoals de financiële sector die ondervindt enigszins herkenbaar, maar minder prominent. Toezicht ligt vooral bij de AFM en die doet dat met het IFRS-boek in de hand. De externe accountant hanteert hetzelfde IFRS-boek dus in principe zouden de belangrijkste issues al besproken moeten zijn.
Wel heel herkenbaar voor bedrijven in de niet-financiële sector is de worsteling met de vraag hoe je tot een in control statement komt. “Nog steeds is er onduidelijkheid over de normering”, oordeelt Erik Mouthaan, corporate governance leader bij Deloitte. ”Wat is goed, wat is fout en hoe fout mag het zijn? Wanneer is er sprake van een tekortkoming die uiteindelijk een in control-verklaring in de weg kan staan? Ook ten aanzien van het proces is er een heleboel onduidelijkheid. Welke stappen moet je doorlopen om tot die verklaring te komen? In hoeverre kun je steunen op het werk en de bevindingen van interne en externe auditors? Hoe ver gaat het toezicht door de auditcommissie? Voor normering en evaluatie hebben de meeste bedrijven wel een control-handboek, maar de vraag is: is dat voldoende als de buitenwereld ernaar zou kijken?”
“Aan het in control statement, zoals vereist in de code Tabaksblat, kleeft eigenlijk nog meer onduidelijkheid dan destijds aan de SOx-verklaring. In het kader van SOx is er gedetailleerde guidance over wat er van de verschillende betrokkenen wordt verwacht, met name van de SEC en de PCAOB. Zoiets hebben we in Nederland helemaal niet. Daarmee wil ik uiteraard niet zeggen dat we in Nederland de kant van SOx op moeten, integendeel. Wel is naar mijn mening transparantie, wat toch centraal staat in de code Tabaksblat, niet gediend met onduidelijkheid. Zonder normering zal er snel sprake zijn van een verwachtingskloof. Als het een keer mis gaat, zullen stakeholders immers al snel maximale zekerheid aan het statement willen ontlenen, terwijl bestuurders uiteraard op minimale zekerheid zullen aansturen. De verwijzing naar COSO en de minimale invulling van het begrip reasonable assurance in het rapport van de commissie Frijns zijn wat dat betreft absoluut niet toereikend. Teleurstellend is dat we met z'n allen op die gebieden nog erg weinig bereikt hebben sinds het in control statement alweer zo'n tien jaar geleden zijn intrede deed. Dat is een issue voor alle betrokkenen voor de IAD's maar zeker ook voor de toezichthouders.”
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...