Magazine 01 december 2006

'Te veel verschuilgedrag'

Jean Frijns, voorzitter van de Monotoring Commissie Corporate Governance, ziet het belang van de internal auditfunctie steeds meer in. Hij maakt zich namelijk zorgen over de manier waarop de in control statement wordt geoperationaliseerd. “De raad van bestuur moet zich niet kunnen verschuilen achter de externe accountant.”

Dit artikel is verschenen in de Accountant nr. 4, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Arjan Gras

Internal auditors kunnen een belangrijke pijler vormen onder het internal governance-beleid van veel organisaties. Maar hoe ze die rol het best kunnen invullen is nog voer voor discussie. Dat bleek ook op het zevende Internal Audit Seminar, een bijeenkomst die jaarlijks wordt georganiseerd door Deloitte in samenwerking met het IIA, het Instituut van Internal Auditors Nederland. Gastspreker tijdens het seminar was Jean Frijns, voorzitter van de Monitoring Commissie Corporate Governance.

Hij schetste in zijn speech de ontwikkelingen op het gebied van corporate governance en de daarbij behorende regelgeving. Ook was hem verzocht de rol van de internal auditor uit te diepen. “En daar was ik snel uit”, zei hij uitdagend. “Volgens Tabaksblat heeft de externe auditor een rol in het maatschappelijke verkeer. Hij moet aan de aandeelhouders en de overige stakeholders vertellen dat wat er staat ook klopt. Dat hoeft de internal auditor niet te doen. De rol van de internal auditor vloeit voort uit de verantwoordelijkheden van de raad van bestuur. Het bestuur moet ervoor zorgen dat de financiële rapportage klopt, dat de risico's juist in kaart zijn gebracht en goed worden beheerst, en dat de onderneming aan de geldende codes voldoet.”

Volgens Frijns is het belangrijk dat de internal auditor een onafhankelijke positie inneemt in de onderneming: “Als er zaken fout zitten in de onderneming en het bestuur reageert er niet op, dan zal hij vanuit zijn beroepsethiek, maar ook volgens de code Tabaksblat de voorzitter van de auditcommissie op de hoogte moeten brengen. In die zin heeft hij een speciale positie.”

Breed takenpakket 

De positie van de internal auditor wordt sterker, volgens Frijns, omdat hij in zijn werk wordt gelegitimeerd door de diverse corporate governance-codes. Hij bevestigde ook dat een internal auditor daardoor meer in zijn mars moet hebben dan vroeger: “Een internal auditor dient niet alleen kennis te hebben van de administratieve organisatie en de controleprocessen. Hij moet de bedrijfsprocessen kennen en hij moet operational audits kunnen doen. Daarnaast moet hij samenwerken met de controller en met de compliance officer. Maar hoe breed het takenpakket van de internal auditor precies moet zijn blijft een lastig punt. Ik vind dat het een taak voor de internal auditor zelf is om een goede mix van principes en regels te vinden. En die is per onderneming anders. Het hangt er heel sterk van af hoe coherent die onderneming is. Hoe sterk de cultuur is. Of je meer op regels of meer op principes moet kunnen vertrouwen. Het is een uitdaging voor de internal auditor om daarin mee te denken.”

‘Zelfredzaamheid’

Uit de reacties op Frijns' toespraak bleek dat niet alle internal auditors gelukkig waren met zijn oproep tot zelfredzaamheid. “Ik kreeg de indruk dat we het zelf maar moeten uitzoeken en dat we maar moeten doen wat ons het beste dunkt. Ik miste wat Frijns zelf verwacht van internal audit. Ik had graag gezien dat hij stelling had genomen”, zei een deelnemer.

Een ander pleitte ervoor om eerst consensus te bereiken over de taken van de internal auditor: “Als je kijkt naar de hele governancediscussie, dan zie je dat bedrijven fors investeren in internal audit. Maar in het publieke debat zie je daar helemaal niks van terug. Het wordt zwaar onderschat wat internal audit betekent. Laten we eerst die discussie maar eens voeren, dan kijken we daarna wel verder.”

Beter profileren

Aan het eind van het seminar concludeerde Wim Eysink, partner bij Deloitte, dat internal auditors zich duidelijker en nadrukkelijker moeten profileren. “Daarnaast moeten we ook de dialoog zoeken met de commissie Frijns. Frijns heeft erkend dat er een verschil is tussen interne en externe accountants, en heeft ook toegegeven dat het onlogisch is de een wel te consulteren en de ander niet.” Enige tijd na het seminar verscheen een verslag van de bijeenkomst, waarvan Frijns het eerste exemplaar in ontvangst mocht nemen. Bij die gelegenheid kreeg Frijns voor de verandering zelf een aanbeveling. Heiko van der Wijk, secretaris van de IIA, merkte op dat de waarde van internal audit door iedereen werd onderkend, en voegde daaraan toe: “In dat opzicht zou het deelnemen van een internal auditor aan de monitoring commissie een uiting zijn van het toegenomen belang van internal auditing.”

Verschuilgedrag

Frijns gaf aan dat hij de internal auditfunctie heel belangrijk vond, maar nam een aanloopje om uit te leggen waarom: “De monitoring commissie maakt zich zorgen over de manier waarop het in control statement wordt geoperationaliseerd. De naleving van het statement neemt toe, maar dat is in veel gevallen puur in formele zin. En dat is uitdrukkelijk niet de bedoeling van de commissie. De raad van bestuur moet zich niet kunnen verschuilen achter de externe accountant.

“Raden van bestuur nemen nog onvoldoende hun eigen verantwoordelijkheid, zowel op het gebied van financial reporting als op het gebied van compliance. De commissie ziet nog te veel verschuilgedrag. Het mag er niet toe leiden dat een bestuur zegt: we hebben een internal auditor, een risicocommissie en ook nog een auditcommissie. Kortom, we voldoen aan alle voorwaarden. We zijn dus in control. Dat vind ik een vorm van non-transparantie. Want je vertelt alleen maar dat je processen hebt. Je zou ze moeten aanmoedigen om de vijf grootste risico's te noemen. Mijn gevoel is dat Nederlandse ondernemingen nog heel veel koudwatervrees hebben om dat ook te vertellen.”

‘Drievoudige controleslagen’

Daarom voelde Frijns ook weinig voor het voorstel van Eumedion. Eumedion behartigt de belangen van institutionele beleggers op het terrein van corporate governance om het bestuur te verplichten de management letter openbaar te maken. “Dat geeft de externe accountant namelijk veel te veel gewicht. Dan krijg je óf een uitgeklede management letter, óf je krijgt drievoudige controleslagen voordat de externe accountant het accepteert dat de management letter openbaar wordt gemaakt. Maar belangrijker nog is dat het de raad van bestuur zelf moet zijn die verklaart dat ze in control is. De raad van bestuur dient niet te zeggen dat ‘de externe accountant vindt dat we in control zijn’.

“Het bestuur is verantwoordelijk voor een goede inrichting van het proces, voor de monitoring daarvan en voor de audit, zodat ze zelf weet of de zaken goed in elkaar zitten. Over de volle breedte. Vanuit die denklijn kun je zeggen dat je als onderneming iets hebt uit te leggen als je geen internal audit hebt.”

Verplichte IAD?

Wim Eysink daagde Frijns uit om het belang van internal audit nog scherper te formuleren en poneerde de stelling dat elke zichzelf respecterende beursgenoteerde onderneming een internal auditafdeling moet hebben. Frijns: “Ik vind het een volkomen legitieme discussie, maar zonder feitelijk bewijs is het buitengewoon moeilijk voor de commissie om iets tot best practice te verklaren. Is er onderscheid te maken tussen ondernemingen met en zonder IAD, en draagt een goede IAD nu inderdaad bij aan een betere internal governance?”

Hij verwees naar de ervaringen met de vennootschapssecretaris, waar de commissie Tabaksblat zich sterk voor maakte. “De secretaris van de vennootschap zou twee hoofdtaken krijgen: het ondersteunen van de raad van commissarissen en ervoor zorgen dat de onderneming zich houdt aan de relevante regelgeving. Het blijkt nu dat dit een van de bepalingen is die vooral door kleine ondernemingen het vaakst niet wordt toegepast. Als reden geven ze dan op dat het te duur is of niet bij ze past. Dat verbaast me zeer, zeker als je bedenkt dat de vennootschapssecretaris ook andere taken mag uitvoeren.

Het gaat erom dat die functie geoormerkt is. Die moet er zijn, uit oogpunt van een voldoende onafhankelijkheid van de raad van commissarissen.”

Legal accountability

Frijns vindt dat de code Tabaksblat, ook zonder de IAD verplicht te stellen, wel voldoende aandacht schenkt aan de internal auditor: “Zoals gezegd: de verantwoordelijkheid voor good governance ligt bij de onderneming zelf. Die ligt niet bij de externe toezichthouder en niet bij de externe accountant. Dat is de filosofie van Tabaksblat. Vanuit die filosofie, die ik volstrekt onderstreep, worden buitengewoon vriendelijke dingen gezegd over de internal auditor.”

Moet diens positie worden versterkt?

“Ik heb daar in de commissie over gesproken. De algemene opinie is dat de functie van de internal audit eerst duidelijker moet zijn uitgekristalliseerd, voor de commissie de aanbeveling doet om in de nieuwe code de rol van de internal audit te verzwaren. Het zou wel passen in onze huidige filosofie om de verantwoordelijkheid van het bestuur te benadrukken.”

Frijns wees er op dat een zwaardere positie ook een keerzijde heeft: “Als je de internal auditfunctie als een specifieke vennootschappelijke functie neerlegt, dan hoort daar ook aansprakelijkheid bij. Een extern zichtbare functie kan niet zonder legal accountability. Dat is de andere kant van de medaille. Verantwoordelijkheid betekent ook verantwoording.”