Magazine 01 september 2006

'Waarschijnlijk krijg je een splitsing van de IAD'

Met de invoering van SOx en Tabaksblat worden er steeds hogere eisen gesteld aan internal auditors. Bovendien prijkt interne beheersing hoog op het prioriteitenlijstje van raad van bestuur en auditcommissie. Drie deskundigen over een functie in beweging: “Men durft het spel net iets scherper te spelen dan in het verleden.”

Dit artikel is verschenen in de Accountant nr. 1, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Arjan Gras

Internal auditors zijn niet anders gewend dan dat ze hun werk op de achtergrond doen. De laatste tijd staan ze echter meer in de belangstelling dan ooit. “Vooral bij beursgenoteerde ondernemingen is de aandacht voor internal audit de afgelopen twee jaar gigantisch toegenomen”, constateert Fred van Eenennaam. “En dan met name in sectoren die minder voorspelbaar zijn, zoals telecom of biotechniek. Meer onzekerheid leidt tot meer nadruk op de IAD.”

Jan Driessen beaamt dat: “Sarbanes-Oxley, en in iets mindere mate Tabaksblat, hebben een enorme impact op het vak gehad. SOx bracht een verhoogde aandacht voor risicomanagement met zich mee. Daardoor hebben ook commissarissen en auditcommissies veel meer oog gekregen voor internebeheersingssystemen en internal auditors. Tegelijkertijd kregen internal auditors meer invloed en hebben ze nu vaak directer toegang tot auditcommissies. Het belangrijkste is echter dat ook het management nu aandacht heeft gekregen voor internal auditing.”

Scherper opereren

Volgens Erik Mouthaan is die veranderde positie in de dagelijkse praktijk goed merkbaar. “De IAD heeft vooral meer tanden gekregen omdat er gevoelsmatig iets is veranderd. IAD's voelen zich gesteund door SOx en de code-Tabaksblat. Daarnaast groeit, onder druk van de publieke opinie, het besef dat het belangrijk is dat internal auditors hun rug recht houden. Ook dat softe aspect draagt ertoe bij dat het gezag, de statuur van de IAD versterkt is. In die zin durft men het spel net iets scherper te spelen dan in het verleden.”

Tien, vijftien jaar bestond het cliché ‘als je niks kan, dan kun je nog altijd internal auditor worden’. Niemand zal dat nu nog durven te beweren. “Internal auditors vervullen een belangrijke rol bij het transparant maken van de organisatie en het governance-systeem”, zegt Driessen. “Er wordt meer verwacht van de internal auditor. Je ziet dat ook terug in de opleiding. Ik ben zelf verantwoordelijk voor de executive master of internal auditing-opleiding aan de Universiteit van Amsterdam. Je ziet dat IAD's veel meer vragen naar goed opgeleide mensen. De meeste bedrijven verwachten van internal auditors dat ze een RA-, REof RO-titel halen.”

Hogere eisen

Kortom: er worden hogere kwaliteitseisen gesteld aan internal auditors. En volgens Van Eenennaam gaat dat verder dan alleen vakinhoudelijke kennis. “Formeel is de positie van de IAD sterker geworden. In mijn beleving is de dynamiek tussen mensen echter minstens zo bepalend voor het succes van een IAD.

Het is een zeer complex en veelzijdig beroep geworden. Ga maar na: er zullen maar weinig internal auditors zijn die én een ruime voldoende scoren op de technische en vakinhoudelijke aspecten van het vak én beschikken over enige mate van entrepreneurschap, en ook nog eens een antenne hebben voor bestuurlijke verhoudingen.” Veel IAD's bezinnen zich op de vraag of ze willen doorgaan met het doorvoeren van SOx of juist veel meer internal audits willen uitvoeren, vult Driessen aan. “Het uitvoeren van die internal audits is natuurlijk interessanter dan het checken van allerlei internal controls. Internal auditors waren altijd al bezig met interne beheersing, alleen stond het niet altijd even hoog op de agenda van het management en de board, laat staan van de auditcommissie. Dat is veranderd.”

Verschillende meesters

Die toegenomen belangstelling van diverse kanten werpt de vraag op hoe de verhoudingen liggen tussen IAD, auditcommissie, cfo en ceo.

Mouthaan: “Een internal auditor moet in staat zijn om verschillende meesters te dienen, maar hij kan in elk geval een heel belangrijk nuttig en zinvol instrument zijn voor de cfo om greep te krijgen op zijn organisatie, of om uit te vinden waar de problemen in zijn organisatie zitten. Ik vind dat je een cfo niet het recht kunt ontnemen om te zeggen: ‘Ik wil dat de IAD bij die afdeling eens poolshoogte gaat nemen, want ik denk dat daar een probleem zit’.

Omgekeerd moet de IAD dan niet zo rigide zijn om te zeggen dat hij geen boodschap heeft aan de cfo, omdat alleen de auditcommissie de scope bepaalt. Dat leidt onherroepelijk tot suboptimale situaties. Het is een moeilijk punt en het leidt onvermijdelijk tot discussies over onafhankelijkheid, maar de IAD moet wel degelijk ook een instrument voor de cfo zijn.”

Niveaus van bemoeienis

“In de praktijk valt de IAD vaak onder de cfo”, zegt Driessen. “Ook omdat het budgetair een plek moet krijgen. Zodat de internal auditor een onafhankelijke positie heeft in het bedrijf en een directe lijn heeft met de auditcommissie. Men zegt wel dat de auditcommissie de echte baas is, maar in de organisatie heeft internal audit een onafhankelijke plek en rapporteert direct aan de ceo.”

Mouthaan: “Je hebt dus verschillende niveaus van bemoeienis. Je kunt stellen dat de auditcommissie zich meer bezighoudt met de randvoorwaarden voor de IAD en kennisneemt van de belangrijkste conclusies en bevindingen van de IAD. De cfo doet de dagelijkse aansturing en neemt met name de financiële risico's in acht. De ceo richt zich op de volledige breedte van de risico's, waar het intern belangrijk is die te onderkennen en actie te ondernemen.”

Sovjet-systeem

“Ik vind internal audit een tool voor de ceo en het management en niet voor de auditcommissie”, reageert Van Eenennaam. “Het gaat vooral om de checks en balances in het systeem. Daar moet de auditcommissie ook iets van vinden. Dat zij daarom één op één met de internal auditor praat en zich bemoeit met recruitment, vind ik volstrekt logisch. Er moet nu eenmaal een aantal waarborgen zijn. Maar ik vind de IAD een te belangrijke tool voor een ceo om die aan een auditcommissie te geven. Ik kan me nauwelijks voorstellen dat ik de auditcommissie de baas zou laten zijn van de IAD. Als een commissaris of een auditcommissie iets niet vertrouwt of iets wil weten, dan kunnen ze iemand inhuren die het onderzoekt. De IAD moet daar buiten blijven. Anders wordt het een soort Sovjet-systeem: de ceo is dan commandant, maar heeft ook nog een partijfunctionaris die over zijn schouder meekijkt. Dat is het model dat je dan hanteert.”

Rigide regelgeving

“Wat ik me afvraag”, zegt Mouthaan, “is of Nederland, misschien kan ik zelfs beter zeggen Europa, op de langere termijn de enigszins softe benadering van comply or explain kan handhaven. De kans is groot dat er een meer rigide regelgeving op ons af komt. Dat zou grote gevolgen hebben voor de IAD's. Op het moment dat je een rigide, SOx-achtige wetgeving krijgt, verandert het hele verhaal. Dan wordt het voor een IAD nog lastiger om een instrument van de cfo te zijn. De onafhankelijkheid gaat dan een veel grotere rol spelen. Dan is het logisch om die IAD nadrukkelijk te koppelen aan de auditcommissie, waar hij dan echt een verlengstuk van het toezicht wordt. De IAD houdt dan op een ondersteuning te zijn van het management. Naar mijn mening is een goede IAD beide, dus zowel verlengstuk van het toezicht als ondersteuning van het management. Maar de kans is groot dat de IAD over een paar jaar alleen nog een verlengstuk is van het toezicht. En zelf denk ik niet dat dat goed is”.

IAD splitsen

“Waarschijnlijk krijg je dan een splitsing van de IAD”, vervolgt Mouthaan. “Het ene deel krijgt dan een andere naam en zal de ene helft van de taak uitvoeren. En het andere deel wordt dan in feite de handen, voeten, oren en ogen van de auditcommissie.”

Ook Van Eenennaam denkt dat de regelgeving in de toekomst strikter zal worden. “Het aantal regels zal toenemen, om het risico van financiële malversaties te verkleinen.

Tegelijkertijd denk ik wel dat een deel van de niet-functionerende, onzinnige regels zal verdwijnen. Er zijn veel wanhopige regels die alleen zijn bedoeld om de zaak in de klauw te kunnen houden en die heel veel werk veroorzaken. Ik verwacht dat die zullen verdwijnen, maar dat het totaal van de procedures, regels en afdelingen zal toenemen. Je kunt een parallel trekken met de overheid die de regeldruk voor de ondernemers zo graag wil verminderen, maar daar niet in slaagt omdat onze samenleving zo veel complexer en zo veel meer gejuridiseerd wordt dat je bijna geen regels kunt schrappen.”

IAD verplicht?

Moet een IAD verplicht worden voor beursfondsen? De roep om steeds meer transparantie zou daar een argument voor kunnen zijn. Erik Mouthaan (Deloitte) ziet weinig in die suggestie: “Ik kan prima leven met de huidige situatie. Het Nederlandse recht, met name het burgerlijk recht, eist een bepaalde zorgvuldigheid van bestuurders. Die zorgvuldigheid betekent ook dat je rekening moet houden met wat anderen doen. Wat erg gebruikelijk is in het ondernemen stelt dus de norm voor anderen. Wijk je daarvan af, dan zul je met een heel goed verhaal moeten komen. Beursgenoteerde ondernemingen zonder IAD kunnen heel goede redenen hebben waarom ze die niet willen of waarom ze die contraproductief vinden in hun organisatie. Maar ze zullen zich wel moeten realiseren dat momenteel 22 van de 25 AEX-bedrijven een IAD heeft. Dat legt wel druk op de overige drie om uit te leggen waarom zij die niet nodig vinden.

Eigenlijk vind ik dat een prima mechanisme. Je geeft organisaties de ruimte om eigen keuzes te maken.” Jan Driessen (KPMG) staat niet zo afwijzend tegenover een wettelijke verplichting. “Ik ben daar wel voor, omdat internal auditors in het hele beheersingsraamwerk een cruciale rol vervullen. Ze vinden niet voor niets dat ze een onafhankelijke plek in de organisatie moeten hebben, omdat ze alleen dan het management van goede informatie kunnen voorzien. Hoe kan een raad van bestuur er zonder IAD zeker van zijn dat de informatie die hij krijgt ook klopt? Wie kan die informatie anders controleren? Controllers in elk geval niet. Die werken meestal voor lokale bazen, die via de reguliere lijnen rapporteren. Als ik zelf ergens bestuursvoorzitter van was zou ik toch behoefte hebben aan een onafhankelijke IAD.”

Drie deskundigen

Jan Driessen is werkzaam bij KPMG Management Assurance Services. Hij adviseert diverse profit- en non-profit-organisaties op het gebied van management control en operational auditing. Daarnaast is hij opleidingsdirecteur van de postdoctorale opleiding Operational Auditing aan de Universiteit van Amsterdam, maakt hij deel uit van de Klankbordgroep Educatie van IIA en is hij lid van de Programcommissie van de International Conference 2007.

Fred van Eenennaam is hoogleraar strategy and strategic dynamics aan Nyenrode Business Universiteit. Hij is directeur van het Nyenrode Strategy Center, het Nyenrode Digital Business Lab, voorzitter van Nyenrode Corporate Goverenance Network en programmadirecteur van de NCDNyenrode Commissarissencyclus.

Erik Mouthaan is bij Deloitte onder meer verantwoordelijk voor de corporate governance-gerelateerde dienstverlening voor grotere (inter)nationale bedrijven in Nederland. Hij heeft ervaring als accountant van beursgenoteerde ondernemingen en bekleedde diverse financiële functies in het bedrijfsleven, waaronder die van groepscontroller en hoofd interne accountantsdienst van Hagemeyer.

Professionalisering auditcommissie

Niet alleen de IAD's krijgen te maken met hogere kwaliteitseisen. Ook van auditcommissies wordt meer verwacht dan vroeger. Erik Mouthaan: “Toezichthouden is zo breed en complex geworden dat auditcommissies meer specialisten moeten inschakelen en er meer tijd in moeten stoppen. Een aantal auditcommissieleden zal waarschijnlijk tot de conclusie komen dat zij capaciteiten te kort komen om al die aspecten te kunnen afdekken. Dat moet als het ware een soort professionaliseringsslag inleiden. Waarschijnlijk niet volledig, maar er wordt nu al veel geroepen om financieel experts in de auditcommissie. Dat is ook logisch: ik kan me niet voorstellen dat je in een auditcommissie zit zonder financiële expertise. Wel moet het criterium ‘financieel expert’ nog nader worden ingevuld, zodat duidelijk wordt wat een lid van de auditcommissie precies in huis moet hebben.”

Auditcommissies zijn qua samenstelling nog niet of nauwelijks veranderd vindt Jan Driessen. “Het zijn nog steeds dezelfde soort mensen die dit werk doen. Er is meer vraag naar kennis van beheersingssystemen, maar tot nu toe zie ik niet dat auditcommissies als gevolg van SOx en Tabaksblat zijn veranderd. Ik heb geen auditcommissieleden zien opstappen omdat alle nieuwe eisen hen te veel werden. Ik zie wel dat ze zelf beter nadenken. De eisen zijn hoger geworden en auditcommissieleden hebben behoefte aan meer kennis. Ze willen beter worden geïnformeerd. Ik denk dat elk auditcommissielid inmiddels wel weet wat de IAD van zijn bedrijf doet. Dat was vijf jaar geleden nog regelmatig anders. Tegelijkertijd staan er natuurlijk meer punten op de agenda van de auditcommissie. Ik denk dat er met name de laatste twee jaar een paar goede slagen zijn gemaakt. Je ziet ook dat de auditcommissie vaker op informele basis voeling houdt met het bedrijf via de internal auditors.”