Magazine

Menig muurtje moet nog om

Waar Sarbanes-Oxley eindigt, begint integrated control. Menig muurtje zal nog moeten worden omgehaald voordat dit als cultuurelement tussen de oren zit. Vijf vrouwen aan één ronde tafel geven hun mening.

Dit artikel is verschenen in de Accountant nr. 1, 2008

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Peter van Rietschoten

Wat komt er na de shocks van SOx? Dat dit hele pakket aan regelgeving loont, daar is men het wereldwijd wel over eens. De kwaliteit van proces- en controlebeschrijvingen is in tal van organisaties immers sterk verbeterd. Het ‘in control-zijn’ van managers is niet meer een vrijblijvende bijkomstigheid, maar een wettelijke plicht. Control frameworks behoren inmiddels tot de standaarduitrusting van organisaties en met de testresultaten van de beheersingsmaatregelen kan er zelfs kruisbestuiving plaatsvinden naar andere rapportagelijnen.

Maar zo eensgezind als men is over nut en gevolgen van de voorbije ‘controle- aardbeving’, zo eens is men het nu ook over de vraag: ‘en vervolgens?’ Het antwoord lijkt te gaan naar integrated control: naar een integratie, koppeling dan wel logische samenvoeging van controle- en beheerssystemen binnen en buiten de financiële discipline, op basis van een langetermijnvisie voor de gehele onderneming.

Veel vrouwen

Twee zaken zijn op voorhand opvallend bij integrated control. Ten eerste de overeenkomstige ontwikkeling (lees: verbreding van het werkterrein naar buiten de finance) bij zowel de controlediscipline als bij internal audit. En ten tweede het feit dat een relatief groot aantal vrouwen verantwoordelijk is voor de teams die integrated control moeten implementeren. Dat tweede punt vormde de aanleiding voor het rondetafelgesprek dat begin december 2007 onder de naam ‘Women in integrated control’ in Amsterdam plaatsvond. Bij aanvang van de bijeenkomst werd gesuggereerd dat mannen eigenlijk maar één ding tegelijk kunnen en dat vrouwen meer zijn ingesteld op multi-tasking. Vrouwen zouden ook meer organisatievaardigheden hebben.

‘Silodenken’

Waar, of niet waar: er was in ieder geval een aansluiting met de eerste stelling die de deelnemers werd voorgehouden: ‘De Nederlandse silodenken-cultuur en anti- regelcultuur verhinderen een goede integrated control’.

Margaret Plaum-van den Berg, vanuit COMRAFI BV thans projectleider Compliance Risk Assesment en Fraude Risk Assesment bij KPN, stelde instemmend dat de Nederlandse ondernemingscultuur nogal ‘korte termijnerig’ is, vooral gericht op het schoonhouden van het eigen straatje. “Voor een goede integrated control is een gezonde organisatorische ‘basishygiëne’ nodig, en dat wordt vaak overgeslagen.”

Jolanda Messerschmidt, financial controls manager bij Shell International, ging met haar mee. “Er is ook nooit echt een prikkel of noodzaak geweest om integrerend te denken. Er is wel vaak ‘politiek’. Het belang van de eigen business unit gaat boven dat van bijvoorbeeld de global environment. Iets of iemand moet dat doorbreken.”

Hetgeen al snel tot de conclusie leidde dat de implementatie van integrated control niet een kwestie is van vrouw of man, maar van een projectsponsor. Ook volgens Tamara Monzón, project director SOx bij Delta Lloyd Groep. En wel bij voorkeur ‘een sponsor’ in de top: “Het gaat immers om een hoge doelstelling, die voor de gehele organisatie overkoepelend is.”

Marjo van Ool, chief internal control officer bij Akzo Nobel, was het daarmee eens. “Om in een internationale onderneming als de onze de Nederlandse, Amerikaanse en Japanse verschillen te kunnen overbruggen, heb je met dit soort projecten inderdaad een sponsor aan de top nodig.”

Plaum merkte daarbij op dat de sponsor dan wel consequent moet zijn. “Niet het ene vragen en vervolgens een unit op een specifieke target afrekenen. Sponsors moeten geen squeezes gaan aanleggen. Ze moeten wel durven een verandering echt door te zetten.”

Valkuilen

Barbara Majoor, director department professional practice bij KPMG en hoogleraar auditing en assurance bij Nyenrode, reageerde als eerste op de stelling ‘De afgenomen loyaliteit bij medewerkers heeft het frauderisico vergroot en is een valkuil voor integrated control’.

Gespreksleider Marleen Janssen Groesbeek, redacteur bij het Financieele Dagblad, vertelde ter inkleuring dat sinds de overname van ABN AMRO door Fortis het aantal ‘klokkenluiderachtige’ e-mails van ABN-medewerkers sterk is toegenomen.

Majoor: “Of de stelling waar is, weet ik niet. Wat in ieder geval voor een goede integrated control nodig is, is een goede principehouding. Valkuil vind ik overigens te sterk uitgedrukt, maar het eventuele verband moet wel een punt van aandacht zijn.”

Plaum kon zich niet in de stelling vinden. “Nederland is niet erg veranderingsbereid. En als die veranderingen er toch moeten komen, leidt dat niet zozeer tot meer frauderisico, maar wel tot meer onzekerheid. En katten in het nauw maken rare sprongen, vaak dan in de vorm van klokkenluiden.” Waar ze nog aan toevoegde dat SOx wel veel meer controles heeft gebracht, maar dat daardoor de risico's zelf niet echt zijn verminderd. “Als er al een valkuil is, dan is het SOx wel.” Volgens Messerschmidt en anderen zou de stelling beter kunnen worden omgedraaid: ”Een goede integrated control voorkomt een daling van de loyaliteit.”

Vervolgens werd vastgesteld dat een goede integrated control ook wordt bemoeilijkt door veel variaties in top en cultuur, bij veel veranderingen in de organisatie, als de stabiliteit sowieso gering is en wanneer het ontbreekt aan draagvlak. Van Ool: “Naast een sponsorship aan de bovenkant van de organisatie heb je dus ook een positieve tone at the top nodig.”

Controle willen

Op de stelling ‘Compliance is verheven tot een doel op zich, maar het voldoen aan regels staat niet gelijk aan integrated control’ kwamen uiteenlopende reacties. Plaum: “Is compliance een doel op zich? Integrated control is in ieder geval een middel om tot die compliance te komen.” Messerschmidt: “Nee, compliance is geen doel op zich, er moet een visie achter zitten, het is een vertaling van een grond- gedachte.”

Majoor sloot zich daarbij aan: “Mee eens, compliance zonder visie is nutteloos, dat werkt niet.”

Tamara Monzón leek vervolgens een brug te slaan: “De opdracht zou moeten zijn: hoe kom je van de enge compliance-visie naar de brede integrated control-visie. Volgens mij kan SOx daarbij helpen.” Van Ool voegde daaraantoe: “Mits je logische verbindingen tot stand brengt.”

Plaum waarschuwde echter: “Er is meer, je moet zeker ook de attitude veranderen. Bij voorkeur van ‘niet gecontroleerd willen worden’ naar ‘wél gecontroleerd willen worden’. En ook ‘ik ben in control’ zou de grondhouding moeten zijn.”

Uitdijend universum

Nog meer praktijk kwam ter sprake naar aanleiding van de stelling ‘Bij implementatie van integrated control zijn balans en grens moeilijk te vinden.’ Hetgeen unaniem door de tafel werd beaamd. Van Ool: “Je hebt al gauw met een uitdijend universum te maken. Ik aarzel dan ook om strategische beheersmodellen in integrated control mee te nemen.”

Plaum: “Integratie is zinvol waar die synergie oplevert. Bij grote verschillen in materialiteit zal integratie moeilijk zijn.” En vervolgens kwam de kwestie van de definitie van integrated control weer ter tafel. Met als conclusie dat de eenduidigheid die SOx wel had, voor integrated control nog niet is gevonden.

Monzón had een heldere benadering: “Integrated control is in feite niets meer dan het identificeren van overlap in de controle, en die eruit filteren.”

Bleef echter staan de opmerking van Van Ool over het strategische aspect. Ook lijkt er nog veel discussie mogelijk en nodig te zijn over de toepasbaarheid van tests en denkmodellen en hoe om te gaan met inherente risico's en over de vraag wanneer er een bruikbare balans bereikt is in de weging van de diverse risicobloedgroepen.

Lef

Enig venijn zat wel in de staart. Ten eerste kwam er veel kritiek op de commissie Frijns die, door meer nadruk te leggen op financial control in plaats van op integrated control, de code Tabaksblat zou hebben ontkracht.

Majoor onderschreef die kritiek: “Frijns biedt managers voor wie het ‘in control-zijn’ van de code Tabaksblat te moeilijk zou zijn, een uitweg.”

Van Ool: “Er bestaat kennelijk een angst om elk risico uit te sluiten.”

Plaum voegde daaraan toe dat er ook angst bestaat voor juridische aansprakelijkheid. Majoor: “Managers durven niet.” Ook de externe accountant kreeg een vermaning. De stelling ‘De externe accountant is nuttig voor financial reporting, maar niet voor integrated control’ kreeg de handen op elkaar.

Monzón: “Ja, want de externe accountant volgt doorgaans te veel een segmentenbenadering.”

Messerschmidt: “Het hangt én van de persoon af én van zijn of haar accountant-zijn. Aan sommigen heb je heel veel, aan anderen helemaal niets.”

Plaum: “Ook de externe accountant zou wel wat minder angstig mogen zijn.” Waarna de finale conclusie werd getrokken: ‘Voor integrated control is durf nodig. Er is geen gebrek aan kennis, wel nog aan lef.’

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.