Magazine 01 februari 2004

Werk aan de winkel

Anders dan CFO’s en controllers worden internal auditors in ‘Tabaksblat’ wél genoemd. Die geboden mogelijkheid moeten ze met beide handen aangrijpen om hun positie in het speelveld te verbeteren. Maar er is nog veel werk te doen.

Dit artikel is verschenen in de Accountant nr. 6, 2004

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Leen Paape

Op 9 december 2003 verscheen de definitieve versie van het rapport van de commissie Tabaksblat. In het eindrapport staat één bepaling over de internal audit-functie. Deze bepaling gaat verder dan hetgeen in het concept was vermeld. Daarin werd slechts gesteld dat de interne accountant functioneert onder verantwoordelijkheid van het bestuur. De nieuwe bepaling stelt daarnaast dat de ‘interne accountant’ een belangrijke rol kan spelen in het beoordelen en toetsen van interne risicobeheersings- en controlsystemen. Een belangrijke wijziging, die beter recht doet aan het belang van de internal audit-functie. Verder vermeldt de code bij de best practices voor de internal auditor dat de externe accountant en het audit committee worden betrokken bij het opstellen van het werkplan van de interne accountant.

Niet verplicht

Anders dan gewenst door onder andere het Instituut van Internal Auditors Nederland is de internal audit-functie echter geen verplichte functie en wordt er behoudens die ene bepaling niets gezegd over best practices. Tijdens de ‘Eye on Banking’-dag van Ernst & Young motiveerde Tabaksblat dat door te stellen dat interne accountants in Nederland momenteel zeer verschillende rollen vervullen en dat daardoor nauwelijks best practices te destilleren waren.

Bovendien zijn er nog veel ondernemingen die geen interne accountant hebben. Daarom was men er niet toe overgegaan, zoals in Amerika, een interne accountant verplicht te stellen. Toch was er meer te zeggen geweest over de internal auditor dan nu het geval is. Eerst een kort overzicht van de Angelsaksische regelgeving over interne accountants.

Verenigde Staten

In Angelsaksische landen zitten het management en haar toezichthouders in één gezamenlijke board; het zogenaamde one-tier-model. In Nederland (en omstreken) geldt het zogenaamde two-tier-model. Er bestaat een afzonderlijke raad van bestuur, plus een raad van commissarissen die daarop toezicht uitoefent.

De Sarbanes-Oxley-wet zegt nagenoeg niets over het functioneren van de internal auditor. Wel zijn de Securities and Exchange
Commission (SEC) en de New York Stock Exchange (NYSE) naar aanleiding van die wet aan het werk gegaan. Kort en goed hebben zij gemeend dat beursgenoteerde ondernemingen verplicht zijn een internal audit-functie te hebben. Daarnaast moet het audit committee als verbijzonderd toezichthoudend orgaan van de board, bestaande uit non-executives en onafhankelijk van het management, zich buigen over het functioneren van zowel de externe als de internal auditor. Daarmee wordt ook de onafhankelijkheid van de internal auditor beter gewaarborgd. Deze is immers in dienst van de onderneming en staat daarmee onder gezag van het management van die onderneming. Ook de planningen en rapportages van de internal audit-functie worden in het audit committee aan de orde gesteld en besproken.

Over de exacte opdracht aan de internal auditor wordt noch door de SEC noch door de NYSE gesproken, anders dan dat deze zijn planning moet opstellen met inachtneming van de op een risicoanalyse gebaseerde werkwijze. De exacte invulling van de internal audit-functie is daarmee afhankelijk van het risicoprofiel van de onderneming. Dat lijkt zo logisch als maar zijn kan. Overigens hoeft de internal auditfunctie niet per se in eigen huis te zijn opgenomen. Hij kan ook worden uitbesteed aan een derde, maar niet aan de eigen accountant.

Verenigd Koninkrijk

In het Verenigd Koninkrijk is de situatie vergelijkbaar. Sinds jaren bestaat daar de Combined Code for Corporate Governance, sinds 1999 ook wel aangeduid als de Turnbull code. Turnbull bepaalt dat een beursgenoteerde onderneming een internal auditfunctie zou moeten hebben en ook daar kan uitbesteding een mogelijkheid zijn. De code schrijft voor dat als die functie ontbreekt, er jaarlijks moet worden vastgesteld of dat nog steeds terecht is. In een afzonderlijk rapport heeft Robert Smith, voorzitter van een Britse commissie die heeft geschreven over audit committees het nodige gezegd over de taak en rol van het audit committee en de verhouding met interne en externe auditors. Deze bepalingen zijn nagenoeg conform met hetgeen de SEC daarover heeft vermeld. Ook Smith wijdt geen woord aan de exacte taakopdracht en samenstelling van de internal audit-functie, behalve dat een en ander weer een afgeleide is van het risicoprofiel van de onderneming.

Nederland

Tabaksblat heeft gelijk, er is een zekere verscheidenheid in de internal audit-functie in Nederland. Die verscheidenheid is echter minder groot dan zijn woorden suggereren. In het laatste decennium is op grond van de internationale ontwikkeling de internal audit-functie in rap tempo geëvolueerd. Tot voor tien jaar geleden was een groot deel van de internal audit-functies gericht op het certificeren van de interne jaarrekening en dus de zogenaamde financial audit. Daarna is er een ware revolutie opgetreden. Inmiddels is het overgrote deel actief op het terrein van de operational audit en is de financial audit in handen van de externe accountant gelegd.

Ook hier zijn internal auditors overgegaan tot een aanpak op grond van een risicoanalyse en worden de keuzes in taakopdracht en werkplanning daarvan afgeleid. De mondialisering van het beroep heeft ook geleid tot het ontstaan van IIA Nederland, een onderdeel van de wereldwijde beroepsorganisatie van internal auditors, IIA Inc. Beroepsstandaarden zijn daarmee geharmoniseerd en de manier van denken en werken in grote mate vergelijkbaar. De verschillen zijn drastisch ingeperkt en de nog bestaande verschillen in verschijningsvorm tussen ondernemingen, zijn te verklaren door de uiteenlopende risicoprofielen en de daaromtrent door het topmanagement gemaakte keuzes.

Géén internal audit

Blijft over de vraag of er nog veel ondernemingen zijn die geen internal audit-functie hebben. Van de aan de AEX genoteerde ondernemingen heeft zo’n tachtig procent een internal audit-functie en van de aan de AMX genoteerde ondernemingen zo’n kleine vijftig procent. Bij de overige beursgenoteerde ondernemingen leidt een voorzichtige schatting tot een percentage van vijftien à twintig. Omdat onbekend is welk deel zijn internal audit-activiteiten heeft uitbesteed, zijn de werkelijke percentages hoger. De vraag of het percentage ondernemingen dat een interne audit-functie heeft hoog of laag is, is niet te beantwoorden.
Percentages uit andere landen zijn mij niet bekend.

Op grond van het voorgaande acht ik de argumentatie van Tabaksblat om niet meer woorden te wijden aan de internal auditor enigszins mager. Tijdens een conferentie van internal auditors op 10 december 2003 meldde Gilles Izeboud, lid van de commissie Tabaksblat, dat internal auditors weinig reden tot klagen hebben. CFO’s, controllers en dergelijke zijn helemaal niet genoemd, terwijl de internal audit wel duidelijk aan de orde komt.

Laten we als internal auditors de geboden mogelijkheid om onze positie in het speelveld verder te verbeteren met beide handen aangrijpen. Daartoe is echter nog wel het nodige werk te doen. Als we vinden dat er in de onvermijdelijke Tabaksblat II meer moet worden gezegd over internal auditors, zullen we dat zelf moeten waarmaken en verdienen.

Nog veel werk te doen

Jules Muis laat in het januarinummer van ‘de Accountant’ (2004) over crises bij de Europese Commissie het volgende optekenen: ‘Interne accountants hebben geen zichtbare bijdrage geleverd aan het vermijden van deze crises. … Dit (COSO, toevoeging door de auteur) integrale instrument was aan het einde van de jaren negentig ruimschoots beschikbaar, maar de interne accountant kon er kennelijk onvoldoende effectief mee omgaan.’ Vergelijkbare woorden sprak Muis tijdens het symposium op 12 september 2003 aan de Erasmus Universiteit ter markering van het tienjarig bestaan van de postdoctorale opleiding Internal/Operational
Auditing.

Jim Emanuels stelt in hetzelfde nummer van ‘de Accountant’ dat de interne accountant positie moet kiezen en zich prominenter moet laten zien en horen. Ook Bill Bishop, president van het IIA Inc. liet zich niet onbetuigd bij het horen van het bericht dat de NYSE de internal audit-functie verplicht had gesteld voor beursgenoteerde ondernemingen: ‘We just received the press release on the new NYSE listing requirements. They specifically state that ‘Every listed company must have an internal audit function’ and go on to say this is to clarify that it is intended to be a requirement. This is a great victory. This also means that our profession now really must step up to the task. Standards and guidance, certification, research, quality, and professional development are all impacted.’

Wind mee

Op grond van een inmiddels lange rij financiële schandalen - Enron, Worldcom, Tyco, Adelphia, Ahold, Parmalat etc. - kan worden geconcludeerd dat de risico- en beheersingssystemen dit niet hebben voorkomen en dat publiekelijk nog weinig is gebleken van de effectiviteit van de internal audit-functie. De referentiemodellen zoals COSO - het Enterprise Risk Management Framework zal naar verwachting in het voorjaar in definitieve vorm het licht zien - zijn beschikbaar. Aan ons de taak om de geschapen verwachtingen waar te maken en de door Tabaksblat geboden mogelijkheid met beide handen aan te grijpen.

Iedereen staat op scherp en we hebben de wind mee. Audit-commissies garanderen een grotere mate van onafhankelijkheid en we kunnen rekenen op een gewillig oor voor de desbetreffende rapportages. De enige vraag die mij nog bezighoudt is of dat voldoende zal zijn om van ons te doen horen op een manier die op zijn minst het aantal debâcles kan verminderen. Ik zou willen besluiten met de woorden: ‘eerst zien en dan geloven’ en ‘nieuwe ronde, nieuwe kansen’. Maar tot slot toch nog een citaat van Muis: ‘De interne accountant moet zelf bepalen of hij dat aan kan en zijn rug recht kan houden. Voor iemand van zestig is dat gemakkelijker dan voor iemand van 45.’

Noot
Leen Paape is program director Internal/Operational Auditing aan de Erasmus Universiteit Rotterdam en partner PricewaterhouseCoopers Accountants. Dit artikel is op persoonlijke titel geschreven.