Magazine 01 september 2013

'Actief meedenken over risico's': internal audit bij ASML

Niet alleen audits doen maar ook adviezen geven over risicomanagement. Die lijn heeft Martin Reinecke, hoofd Corporate Risk & Assurance bij technologiebedrijf ASML, voor internal audit bij zijn bedrijf ingezet.

Dit artikel is verschenen in Accountant nr. 9, 2013

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Internal audit bij ASML

Het integreren van internal audit met andere risicomanagementgroepen is een beweging die sinds enkele jaren te zien is in het bedrijfsleven. Deze bedrijven zien die keuze als een logische stap. Internal auditors komen overal, zien veel en weten daardoor wat er speelt in de onderneming. Ze kunnen daardoor waardevolle input geven aan hun directe collega's bij risicomanagement. Bij ASML, een van de belangrijkste producten van systemen voor de halfgeleidersfabricage, is er niet alleen deze ‘interne’ input, maar denken internal auditors ook actief met andere bedrijfsonderdelen mee over risico's. De basis voor deze beleidskeuze ligt in het zogeheten DNA van ASML, stelt Martin Reinecke. “Het bedrijf is in zijn aard sterk risiconemend. Grofweg gezien voeren we één product, hebben één hoofdproductievestiging en doen zaken met slechts een beperkt aantal afnemers en kritische leveranciers. Verder opereert ASML in een hoog-cyclisch industrie. De pieken kunnen heel hoog zijn en de dalen heel diep. Het bedrijf moet daarom snel kunnen reageren op de veranderingen in de economie. De cfo van ASML vond daarom in 2008 al dat internal audit een groep moest zijn die het management continu uitdaagt en een sparringspartner is bij het omgaan met risico's.”

Eén groep

Reinecke zette sinds zijn aantreden bij ASML in 2008 samen met zijn voorganger de eerste stappen bij internal audit, toen nog een zelfstandige afdeling. “We verbreedden de scope van de audits van compliance-onderwerpen met meer operationele aspecten. Meer aandacht voor productie, levering en sinds kort ook, weliswaar nog beperkt, productontwikkeling. Meer dus naar het hart van de business, waar ook de risico's van het bedrijf liggen.”

Vervolgens werden internal audit, corporate security en business continuity management binnen één groep geplaatst. Deze groep werd recentelijk nog uitgebreid met corporate sustainability. “We vonden dat deze twee zaken meer relatie hadden met risicomanagement dan met bijvoorbeeld IT en bedrijfsontwikkeling. Bij corporate security gaat het vooral om het beschermen van intellectueel eigendom, bij corporate sustainability om ASML op lange termijn levensvatbaar te houden. Dit zijn twee belangrijke risicogebieden voor het bedrijf. Het is dan efficiënter om de werkzaamheden dan ook daadwerkelijk vanuit een enkele risicomanagementgroep te coördineren.”

Adviseren én audit

Het gaat er volgens Reinecke uiteindelijk om zicht te krijgen welke keuzes voor ASML belangrijk zijn. “Wat doe je wel en wat niet. Wat zijn de consequenties en risico's van bepaalde beslissingen. Mijn afdeling Corporate Risk & Assurance kan op dit punt een belangrijke adviserende rol spelen. We kunnen de risico's in kaart brengen en aangeven op welke manier je ze kunt beheersen. Ook op lager niveau in de organisatie, bijvoorbeeld bij de implementatie van een nieuw IT-systeem, kunnen we hierover meedenken en meehelpen.” Reinecke benadrukt dat internal audit hierbij een rol moet spelen. “Ik vind het goed dat internal auditors meer samenwerken met de andere onderdelen van risicomanagement. En dat ze gezamenlijk adviezen geven aan andere onderdelen van de onderneming. Een voorbeeld is een internal auditor die met een collega van security management meedenkt over risico's bij de invoering van een nieuw IT-systeem.”

Het is volgens Reinecke in het bedrijfsbelang van ASML dat dit nieuwe IT-systeem goed staat. “Een eventuele audit op dit systeem achteraf is dan minder belangrijk. Dit kan ook een jaar of twee jaar na de implementatie.” Auditors hoeven van Reinecke daarentegen geen voltijds-adviseurs te zijn. “Het is niet de bedoeling dat internal audit zijn primaire taak (audit) laat vallen. Het blijft een onderdeel met een belangrijke eigen verantwoordelijkheid.”

Soms spanning

“Mijn ervaring met internal audit in mijn eerdere werkfuncties is dat auditors op verzoeken om samenwerking en ‘meedenken’ met andere afdelingen in hun bedrijf vaak terughoudend reageren”, zegt Reinecke. “Men vindt dat het botst met hun onafhankelijkheid en rol binnen hun bedrijf. Ik zit op de lijn dat internal auditors hun kennis en vaardigheden behalve voor audit ook op het vlak van risicomanagement kunnen inzetten. Ik erken dat het hebben van twee petten in het werk bij een auditor soms spanning kan oproepen. Aan de ene kant ben je soms controlerend, aan de andere kant een adviseur. Auditors kunnen hier volgens mij flexibel en pragmatisch mee omgaan. Een flexibele opstelling levert bovendien meer draagvlak op voor internal audit binnen het eigen bedrijf. Bij ASML zie je dit nu gebeuren.”

Overzichtelijke bedrijven

Een belangrijke vraag is of dit werkmodel voor internal audit kan worden gebruikt door andere bedrijven. Reinecke is van mening dat vooral middelgrote bedrijven en grotere ondernemingen die, net als ASML, overzichtelijk zijn, er mee uit de voeten kunnen. “De onderdelen internal audit en risicomanagement zijn in dit type bedrijven relatief klein. Bij ASML bijvoorbeeld, werken bij Corporate Risk & Assurance ongeveer twintig mensen, waarvan zes bij internal audit. Dit is nog klein genoeg om goed overzicht te kunnen houden.”

Bij grote multinationals met een complexe organisatie werken bij risicomanagement en internal audit vaak meer dan honderd man. “Met zoveel mensen is het niet eenvoudig dit samen te voegen tot één groep. Het is moeilijker te managen. Alleen al de grote hoeveelheid informatie die moet worden uitgewisseld, is een probleem. Het maakt slagvaardig optreden lastig.”

Reinecke is dan ook blij met de overzichtelijke structuur bij ASML: “Goed samenwerken en delen van informatie aan de top tussen risicomanagemnent, security en internal audit functies kan veel voordelen opleveren.”

Zuid-Afrikaanse auditor in Nederland

Martin Reinecke groeide op in het Zuid-Afrikaanse Johannesburg en volgde daar ook de accountancyopleiding. Na zijn praktijkopleiding bij Ernst & Young, een aantal jaren werken bij het South-African Institute of Chartered Accountants en later bij Deloitte kwam Reinecke in 1999 naar Deloitte in Nederland. “Mijn Zuid-Afrikaanse CA(SA)-titel wordt erkend in Nederland, er is op dit punt tussen beide landen sprake van reciprociteit.”

Hij begon in 2008 bij de internal auditafdeling van ASM en werd in 2010 hij verantwoordelijk voor internal audit en risicomanagement. De verschillen in internal audit tussen Nederland en Zuid-Afrika zijn volgens de Zuid-Afrikaan qua methodiek niet groot. “Wel heb ik het idee dat in Zuid-Afrika er meer nadruk ligt op vaardigheden, terwijl in Nederland auditors meer vakinhoudelijk kijken. Daarnaast is internal audit in Zuid-Afrika meer dan in Nederland duidelijk een kweekvijver voor toekomstig management.”

Is de cfo een risico?

Dit voorjaar werd op Accountant.nl een discussie gevoerd over de risico's die voortvloeien uit de cfo-functie. De cfo is aan de ene kant verantwoordelijk voor rapportering en financiering, aan de andere kant zijn er voor de cfo mogelijk prikkels door variabele beloning. Dit kan een risico vormen voor de integriteit van de cfo en de kwaliteit van zijn werk. Martin Reinecke, hoofd Corporate Risk & Assurance van het beursgenoteerde ASML, vindt dat een onderneming dit risico beperkt kan houden, vooral door te kiezen voor goede persoonlijkheden in het management. “Niet alleen de cfo, maar de hele management board. Daarnaast zie ik het belang van goede checks & balances in een onderneming. Dit zorgt voor het verkleinen van risico's op dit gebied.”