Magazine 01 januari 2010

Samenvoegen of niet?

Overlappen de functies interne audit, risk management en compliance inmiddels zodanig dat het efficiënter is ze samen te voegen tot één geïntegreerd ‘assurance house'? Meningen verschillen. Er zijn ook kanttekeningen. Maar er is ook nog een niet-inhoudelijk argument: een gecombineerde functie oogt op de arbeidsmarkt ‘sexier'.

Dit artikel is verschenen in de Accountant nr. 1/2, 2010

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Wat moet een interne accountant ofwel auditor zijn? Welke rol moet hij binnen een organisatie spelen? Die van de politieagent die erop toeziet dat financiële rapportage- en governance-regels strikt worden nageleefd? Moet hij zich dus ook in onafhankelijkheid een oordeel vormen over bijvoorbeeld het werk van risk managers die de temperatuur in de organisatie pogen te peilen? Of over- lappen de taken van de intern controle- rende auditor zozeer met die van de risk manager - die eveneens signaleert maar tevens vaak ook ondersteunt met concrete oplossingen - dat ze net zo goed als een eenheid kunnen opereren? Zeker nu grotere organisaties steeds vaker ook een afdeling compliance kennen - waar die rol van ‘politieagent’ waarschijnlijk vanzelfsprekender wordt ingevuld omdat compliance zich toch al met naleving van wettelijke regels en richtlijnen van toezichthouders bezighoudt.

Vaarwater

Nog maar kort geleden hadden vragen als deze een betrekkelijk academisch karakter. Net als compliance was risk management een vak in opkomst; relatief kleine disciplines met verantwoordelijkheden die per bedrijf sterk varieerden. En Interne audit was soms nog de afdeling die vooral bezig was om intern de boekhouding bij te houden en het management periodiek te informeren over de financiële gang van zaken.

Maar die nieuwe vakgebieden hebben zich de laatste paar jaar sterk ontwikkeld - onder meer door wat zich het laatste decenniumdecennium in de financiële markten heeft voorgedaan en de regel- en wetgeving die dat uitlokte. Hoe volwassener de afdelingen Risk Management, Compliance en Interne audit zijn, hoe meer de portefeuilles convergeerden en hoe nadrukkelijker ze nu in elkaars vaarwater komen. Bij de achterban van het Instituut van Interne Auditors (IAA) Nederland is de kwestie of samenvoegen van interne audit en risk management wel of niet logisch is, kennelijk zo dringend geworden dat op 12 november 2009 een symposium over dit thema werd georganiseerd.

Brancheverschillen

Opvallend , want voor buitenstaanders waarschijnlijk contra-intuïtief, is dat de heftige ontwikkelingen in de buitenwereld, zoals de financiële en economische crisis of andere incidenten, amper van invloed waren op de discussie over hoe die specialismen audit, risk management en compliance zich binnen organisaties moeten ontwikkelen. Dat bleek althans uit een enquête die driekwart jaar geleden werd gehouden door het advies- en detacheringsbureau AuditMatch/RiskMatch. Volgens Sander van Oosten, consultant bij dit bureau, bleken die actuele ontwikkelingen slechts bij zeventien procent van de 24 ondervraagde ondernemingen medebepalend voor de inrichting en afbakening van de functies. Veel belangrijker factoren zijn de branche waarin de organisatie actief is (en daarmee het toezichtregime dat daar al dan niet van kracht is), de volwassenheid van de wijze van beheersing (governance) van de organisatie, en de visie van het ondernemingsbestuur op het onderwerp.

Efficiencyvoordelen

Dat er nog steeds een verschil is in de mate waarin de functies audit, risk management en compliance zich hebben ontwikkeld, bleek volgens Van Oosten uit een andere vraag in de enquête. Honderd procent van de respondenten noemde audit ‘aanzienlijk tot volledig’ ontwikkeld, terwijl risk management door 88 procent, en compliance door slechts 71 procent zo werd beoordeeld.

Een nogal sterke interne gerichtheid is een kenmerk dat de drie disciplines met elkaar gemeen hebben. Maar in de omschrijving van de taken van interne audit zoals ook de brancheorganisatie die ziet, zit nog veel meer overlap met risk management. Zoals de beoordeling van hoe het management sleutelrisico's beheerst, de verslaglegging over en evaluatie van die risico's , maar ook het faciliteren en evalueren van overige risico's en het begeleiden van het management bij het reageren op zulke risico's. Dat zijn typisch de gebieden waar risk management en interne audit heel goed zouden kunnen samenwerken en efficiencyvoordelen zouden kunnen behalen.

‘Whistle blower’

Tijdens het IIA-seminar bleek dat die mogelijke voordelen ook door auditors wel worden gezien, maar de samenwerking kan tegen een grens aanlopen. Bijvoorbeeld daar waar het gaat om de taak van auditors om zich uit te spreken over de kwaliteit van risk management-processen en het verschaffen van assurance aan het management dat risico's correct worden geëvalueerd. Of zoals een symposiumdeelnemer, zelf auditor van een grote organisatie in de zakelijke dienstverlening, het verwoordde: “Ik sta onder meer op de loonlijst als officieel aangestelde whistleblower: Als risk management fouten maakt, ben ik degene die geacht wordt dat te melden. En zo hoort ook het in een goed governance-model’.

Valkuilen

Arnout van der Veer, chief risk officer bij Reed Elsevier, is een van de grote pleitbezorgers van een krachtenbundeling van risk management, audit en zelfs compliance tot één assurance house voor het bestuur van de organisatie. Maar hij liet wel merken zich zeer bewust te zijn van de valkuilen die in dat model kunnen ontstaan. “We begrijpen dat als risk management en audit bijvoorbeeld samen een model voor informatieverwerking ontwikkelen, we een partij van buiten - waarschijnlijk één van de big four consultants - moeten vragen dat te beoordelen. Dat kan audit dan niet meer doen. Maar het gaat er uiteindelijk om wat je vindt dat het zwaarst weegt. Zuivere toepassing van het governance-principe dat altijd helder moet zijn wie welke pet op heeft? Of het belang dat een organisatie uiteindelijk heeft bij het maximaal benutten van mogelijkheden om informatie uit te wisselen over processen die in de organisatie gaande zijn beschikbaar te maken, en daarmee een maximum aan efficiency behalen? Bij Reed Elsevier kozen we dus voor het laatste.”

Hybridemodel

Voordelen van een dergelijk hybridemodel ziet Van der Veer niet alleen in de operationele sfeer maar ook in de grotere impact die de afdeling op die manier heeft op het bestuur, en - zeker niet onbelangijk - een betere positie op de arbeidsmarkt: “Het werk van een auditor die zich ook met risicobeheer en - beoordeling mag bezig houden is gewoon interessanter. Je krijgt dus makkelijker goed opgeleide ambitieuze mensen.” Maar hybride kan in de organisatie soms ook ‘onduidelijk’ betekenen erkent Van der Veer. “Als je directeuren van een werkmaatschappij polst over problemen die er spelen, zeggen ze soms: ‘Als je me dat als risk manager vraagt wil ik je dat wel vertellen. Maar als je je pet van auditor op hebt, zeg ik het niet,want dan rapporteer je dat bij de holding. Daar heb ik geen zin in.’ Je moet dan wel eerlijk zijn en afspraken maken over wat je met de informatie gaat doen. Dat diffuse kan ook lastig zijn.”

Bedrijven nog niet klaar voor combinatie ‘governance, risk & compliance’

Een model waarin alle interne assurance-diensten die het bestuur van een organisatie aangeleverd krijgt door één geïntegreerde eenheid wordt geleverd, wordt aangeduid met governance, risk & compliance (GRC). Ter afsluiting van een RO-EMIA-opleiding scheef Jutta Heijmans een referaat waarin ze poogt de animo te schetsen bij zeven Nederlandse (voorheen) AEX genoteerde ondernemingen voor een dergelijke aanpak. Ook onderzoekt ze hoe implementatie van GRC de positie van interne audit zou beïnvloeden.

Haar conclusies: de diverse assurance-functies - the three lines of defence - zijn, ook tegenover elkaar, vaak nog amper uitgekristalliseerd. Van best practice blijkt nog geen sprake. Wel is er merkbaar behoefte om overlap te minimaliseren en lacunes af te dekken.

Over de eventuele impact van GRC voor afdelingen Interne audit concludeert ze: “Wanneer het GRC-raamwerk en de functies daarbinnen volwassen worden, kan internal audit daar in theorie meer op steunen. Aan de raad bestuur en de auditcommissie kan op een hoger niveau assurance worden gegeven. Maar in de praktijk is die situatie nog lang niet bereikt.”

Joop Brakenhoff, intern auditor bij Ahold, plaatst nadrukkelijk de kanttekening dat werkmaatschappijen waarschijnlijk niet erg warm zullen lopen voor iets als GRC. “De focus ligt daar gewoon op zaken doen. Niet op assurance. Wij proberen daarbij aan te sluiten met de ‘ORCA-aanpak’: eerst kies je je objectives en beoordeel de daarmee gepaard gaande risks. Daarna volgt control en pas tot slot beginnen we over het verstrekken de nodige assurance over het hele proces.”

Weinig ‘sexy’ imago interne audit ook reden om functie inhoudelijk te veranderen

Uit oogpunt van efficiency of conceptmatige zuiverheid is het een totaal irrelevant aspect, maar in de praktijk levert de arbeidsmarkttechnische kant van de zaak een zeer krachtig argument om de functies van interne audit, risk management en ook compliance te combineren. Johan Bogaard, director corporate auditor services bij Reed Elsevier: “Elke human resource managers kan je vertellen dat als bedrijven een advertentie plaatsten waarin ze zeggen dat ze een interne auditor zoeken, er weinig reacties komen - althans weinig van mensen die je voldoende communicatieve vaardigheiden hebben om ze ook op seniorniveau te kunnen inzetten. De functie riskmanager/auditor blijkt een interessanter publiek aan te trekken.”

Stiekem weet iedereen wel dat auditors dat zwakke imago een beetje aan zichzelf te wijten hebben. Krachtig communiceren blijkt vaak niet hun sterkste kant. Gevolg is niet alleen dat de buitenwereld het vak Interne audit nog altijd associeert met ‘interne boekhouding’ (bonnetjes nakijken), dus met ‘saai’, maar ook met het probleem dat de boodschap van een auditor op bestuursniveau niet altijd het gehoor krijgt die hij verdient. Bogaard: “Wij maken er geen geheim van dat we de betere mogelijkheden om goeie mensen te recruteren een sterk praktische argument vinden om de audit- en de riskmanagementfunctie te combineren. En dat is niet alleen een kwestie van naamgeving van de baan. Het werk is ook feitelijk gevarieerder, verantwoordelijker en interessanter.”

Twee enquêtes NIVRA en IIA over rol interne auditfunctie

IIA Nederland en de vakgroep INTAC van het NIVRA zijn afgelopen zomer gestart met twee nieuwe onderzoeksprojecten over de interne auditfunctie.

Het eerste is een onderzoek naar de relatie tussen de interne auditfunctie en governance, risk & compliance-afdelingen (grc) in Nederlandse ondernemingen. Het onderzoek beoogt te komen tot best practices voor de rol van een interne auditfunctie op dit gebied.

In januari 2010 is een grote enquête uitgezet onder de stakeholders van het project: risk managers, internal control managers, compliance officers en hoofden internal audit. Vervolgens zullen bij een aantal ondernemingen interviews worden afgenomen. INTAC en IIA willen de resultaten bekend maken op het IIA Congres in de komende zomer.

Het tweede project betreft een iets kleiner onderzoek naar de rol van de interne auditfunctie bij het proces van maatschappelijk verantwoord ondernemen van Nederlandse ondernemingen en organisaties. Dit onderzoek beoogt alle interne auditfuncties handvatten te geven voor een effectieve rol in dit proces. De desbetreffende enquête vindt plaats onder alle hoofden van interne auditfuncties in Nederland.

De resultaten worden in het voorjaar van 2010 verwacht.