Internal Audit bij CSM
Risicobeheersing is ‘hot’. Bestuursvoorzitter Jaap Vink van voedingswarenconcern CSM trok recentelijk in NRC Handelsblad de aandacht door te spreken van een interne accountantsdienst van maar liefst acht mensen. “Ik wil me continu zeker voelen”, zei hij. Hoe organiseert multinational CSM dit bedrijfsonderdeel?
Dit artikel is verschenen in de Accountant nr. 1, 2003
Bekijk alle artikelen uit dit nummer
Lieuwe Koopmans
“Zo’n tachtig procent van onze tijd gaat op aan wereldwijde operational audit. De raad van bestuur ziet op dit terrein voor ons de meeste toegevoegde waarde.” Zo zet Roel Schmidt, hoofd van de afdeling Corporate Internal Audit Services (CIAS) bij CSM, de toon aan het begin van ons gesprek. Deze operational audit krijgt het meest concreet vorm in de bedrijfsbezoeken van CIAS.
Schmidt schetst hoe zo’n bezoek in z’n werk gaat: “Bij elke bedrijfsentiteit stellen we vast wat de activiteiten zijn en verdelen dit onder in processen, zoals warehousing, inkoop, productie en geldstromen. Bij een bedrijfsbezoek geven we eerst een eigen presentatie om de te interviewen managers wat stof te geven om over na te denken. Ook vragen we documentatie op en hebben we mede op basis daarvan een diepgaand gesprek met iedere manager. Dan krijg je al een vrij scherp beeld van in hoeverre hij of zij zich van aanwezige risico’s bewust is en deze adequaat kan beheersen.”
De andere twintig procent van de beschikbare werktijd gaat grotendeels op aan de financial audit van alle Nederlandse maatschappijen.
Bezoekcyclus
Omdat CSM maar liefst 114 aparte entiteiten heeft is het volgens Schmidt niet mogelijk elk jaar alle onderdelen fysiek te bezoeken. “We hanteren daarom, gebaseerd op een risicoanalyse, een bezoekcyclus van één tot drie jaar voor belangrijke onderdelen en van vijf jaar voor kleinere. Ook onderdelen die net zijn overgenomen worden in het jaar van overname bezocht.”
Deze cyclus vraagt volgens Schmidt en Jan Visser, eveneens werkzaam bij CIAS, een afdeling van zes tot acht medewerkers. “Als je besluit tot inkrimping van deze afdeling wordt automatisch de bezoekcyclus ruimer. De omvang van de afdeling wordt bepaald door de mate waarin men risico wenst te nemen: hoe minder risico, des te groter de afdeling. Het is een kwestie van balans. CSM voelt zich happy bij de huidige omvang. Daarnaast is de afdeling ook een kweekvijver voor leidinggevende financiële functies, zoals controller.”
Alleen RA’s
Hoe heeft de afdeling zich de laatste tien jaar ontwikkeld?
Schmidt: “Begin jaren negentig hebben we een enorme slag gemaakt met de invoering van het welbekende COSO-model. Op basis van dit framework konden we het bestaan van onze afdeling binnen het concern ook beter verkopen. Verder zijn we niet alleen in omvang maar ook in kennis en ervaring gegroeid. We moesten mee met de groei die CSM doormaakte. Niet alleen steeg de omzet van het concern zeer sterk, ook de geografische verdeling veranderde. Tien jaar geleden haalden we nog zestig procent van de omzet in Nederland; nu is dat nog maar elf procent.”
Schmidt geeft aan dat de afdeling geen multidisciplinair karakter heeft: “We zijn allemaal registeraccountant, met een brede belangstelling en ervaring. Wel hebben we in het verleden bij automatiseringsprojecten externen ingehuurd, maar inmiddels hebben we op dit gebied voldoende kennis in huis.”
COSO-model
Het door CSM gehanteerde COSO-framework bestaat uit vijf onderdelen. De basis voor het interne beheersingssysteem is de ‘control-omgeving’. Daaruit vloeit voort de specifieke risicovaststelling, waarbij onderscheid wordt gemaakt tussen externe, strategische en functionele/procesrisico’s. Ook wordt een inschatting gemaakt van de waarschijnlijkheid van de risico’s. Op basis hiervan worden de daadwerkelijke beheersingsmaatregelen bepaald. Aandacht voor informatie en communicatie moet zorgen voor intern draagvlak en berichtgeving van voldoende kwaliteit. Wanneer dit allemaal loopt, dan is de organisatie goed in staat de risico- en interne beheersing adequaat te monitoren, de laatste en sluitende schakel in het framework.
Schmidt legt uit dat dit framework de basis is voor het interne beheersingssysteem van elk bedrijfsonderdeel. “Iedereen is binnen dit framework vrij om dit zelf verder in te vullen. Het concern is te divers om dit op centraal niveau voor alle entiteiten te bepalen. Wel moet natuurlijk iedere manager op dit terrein zijn eigen verantwoordelijkheid nemen. In de interne berichtgeving van elk onderdeel moet voldoende expliciete aandacht voor dit item zijn.”
Visser: “Deze verantwoordelijkheid volgt de hiërarchische weg naar de divisiemanager en naar de raad van bestuur. Deze laatste heeft onze afdeling weer als instrument om de kwaliteit van de interne beheersingssystemen te toetsen.”
Maar daarmee ben je er volgens Schmidt nog niet. “Monitoring is in dit kader het sleutelwoord, niet alleen door ons maar ook door de raad van bestuur en het divisiemanagement. Deze monitoring vindt niet alleen op centraal maar ook op lokaal niveau plaats, wat we voor de interne beheersing van CSM van eminent belang vinden.”
Overnames
In het geval van overnames werkt de CIAS van CSM alleen mee met het due dilligence-onderzoek als het een Nederlandse acquisitie betreft. Dit gebeurt onder de paraplu van een externe accountant. Bij buitenlandse overnames zit de afdeling alleen in het ‘nazorgtraject’ van de integratie binnen de bestaande organisatie.
Schmidt: “Wij beoordelen hoe ver ze zijn met hun interne beheersing en kijken of er in dit verband potentiële lijken in de kast zitten. Familiebedrijven die we overnemen zijn wat dat betreft een aandachtspunt. De vroegere bedrijfseigenaren hadden nooit zoveel gevoel bij dit soort onderwerpen en daar moet dus bewustzijn worden gekweekt.”
Overigens komen ze eigenlijk nauwelijks voor echte verrassingen te staan, stelt Visser. “CSM neemt nagenoeg altijd bedrijven over in dezelfde markt of met dezelfde activiteiten, wat de risico’s natuurlijk beperkt houdt.”
Op de vraag of daarin ook een verschil zit met ondernemingen als Numico en Ahold, die snel groeiden in sectoren waar ze niet bekend waren, houdt Schmidt zich op de vlakte: “Het zet je aan het denken en vaktechnisch was het een interessante case. Maar voor ons betekent het weinig, we zien geen reden om zaken te veranderen of aan te scherpen.”
Grote bedragen, grote risico’s
Eén van de aandachtsgebieden voor de interne accountant van CSM zijn zaken als grondstoffeninkoop en treasury. Schmidt: “Grondstoffeninkoop gebeurt nu meer centraal dan in het verleden, zowel in de Verenigde Staten als in Europa. De risico’s zijn daardoor groter, omdat het echt om enorme bedragen gaat. Als extra check bouwen we in dat contracten/verplichtingen in dit verband nooit door één functionaris alleen mogen worden aangegaan. Er zijn altijd minimaal twee handtekeningen nodig. Ook bij treasury heb je dit risico. Een relevant aspect is hier dan ook integriteit. Ik ben van mening dat integriteit niet makkelijk is te toetsen.”
Visser: “Bij deze twee zaken worden overigens, net als bij andere concernonderdelen, de interne beheersingssystemen niet centraal ingevuld. Daar zijn de afdelingen zelf verantwoordelijk voor, binnen het framework. Wel zijn we in dit verband een vraagbaak en toetsen we vanzelfsprekend periodiek de kwaliteit.”
Profiel CSM
Voedingswarenconcern CSM ontwikkelt, produceert, distribueert en verkoopt voedingsingrediënten. De focus ligt op bakkerij-ingrediënten, suiker, melkzuur en melkzuurderivaten. Het concern realiseerde in het boekjaar 2001/2002 een omzet van bijna € 3,5 miljard en een nettowinst van € 163 miljoen. Van de omzet wordt elf procent in Nederland behaald, de helft in de rest van Europa en voor een derde in de Verenigde Staten. Bij CSM zijn ruim 13.000 mensen in dienst, waarvan 11.500 in het buitenland.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...