Magazine 01 oktober 2007

No-go areas voor internal auditors

Intern toezicht bij ondernemingen wordt belangrijker. Maar internal auditors worden niet overal toegelaten, en veel raden van bestuur en directies schermen hun eigen functioneren en beloningsstructuur af voor doorlichting. Blijkt uit promotieonderzoek van Leen Paape.

Dit artikel is verschenen in de Accountant nr. 2, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

William Rothuizen

Wat is de invloed van corporate governance op de internal auditfunctie? Bijna vier jaar na de introductie van de code Tabaksblat koos Leen Paape dit actuele onderwerp voor zijn proefschrift Corporate governance: The Impact on the Role, Position and Scope of Services on the Internal Audit Function, waarop hij in juni 2007 promoveerde. Hij deed case studies bij ABN AMRO, TNT, Bank Nederlandse Gemeenten en de Informatie Beheer Groep, aangevuld met een survey waarop 144 bedrijven hebben gereageerd. Het onderzoek werd verricht op het Erasmus Insitute of Management van de Erasmus Universiteit.

Sterke groei

“Als je met bestuurders praat”, zegt Paape, “hoor je vaak dat de internal audit een nuttige functie is, gevolgd door een ‘maar’. Vraag je ‘wat maar?’, dan krijg je in veel gevallen te horen dat het wel goede mensen zijn, maar dat ze de business onvoldoende snappen en onvoldoende communicatief zijn. Dat soort argumenten kende ik al, verrassend waren ze niet.”

Het onderzoek laat zien dat het belang van de internal auditfunctie is toegenomen. De behoefte aan de functie is gegroeid en de afdelingen komen in rap tempo op: veertig procent van de internal auditdiensten bestaat korter dan vijf jaar, de afdelingen worden eerder groter dan kleiner en commissarissen tonen meer belangstelling voor het werk van de internal auditors.

“Daar staat tegenover dat er aspecten zijn van het functioneren van de internal auditfuncties waar je wel eens van schrikt”, zegt Paape. “Bijvoorbeeld waar het gaat om de toepassing van kwaliteitsmaatregelen. Dat blijkt dan nog maar uit surveys waarvoor de mensen zelf mogen aangeven of ze op iets scoren of niet. En zelfs dan moet je zeggen dat er van het hele instrumentarium van het beheersen van de internal audit nog veel is dat men niet gebruikt. Dat is een gebrek aan professionaliteit. Echt verrassend vind ik die uitkomst helaas niet. Het is goed als helder zichtbaar wordt dat de internal auditors veel dingen doen. Maar wat ze, bijvoorbeeld niet doen is kijken naar de toepassing van beloningssystemen.”

Huiverig

Een ander gebied waar internal auditors nauwelijks tijd aan besteden (ongeveer één procent) is de tone at the top, ofwel de cultuur en de integriteit binnen de organisatie. Paape: “Als we de financiële schandalen van de afgelopen jaren analyseren, zien we dat het bijna altijd de top is die heeft geknoeid. En nou net op het terrein van toepassing van beloningsinstrumenten en het ethisch handelen worden de internal auditors eigenlijk niet toegelaten. Vraag je aan commissarissen of ze het willen horen als er iets mis is, dan zeggen ze ja, en ze verwachten dat het hoofd internal audit dat komt melden. Maar vraag je het aan de bestuurders of de directie, dan zeggen ze dat de internal audit een andere functie heeft en daar vanaf moet blijven omdat die op dat terrein niet over een normatief kader beschikt en de nodige expertise mist. Maar expertise kun je opdoen of inhuren en een normatief kader kun je aangeven aan de hand van de gedragscode van de onderneming. Wat bestuurders niet zeggen is dat ze erg huiverig zijn om de internal auditor inzage te geven hoe ze met hun eigen beloningsinstrumentarium omgaan.”

Glad ijs

Paape sprak hierover met internal auditors en kreeg te horen dat zij het een belangrijk onderwerp vinden, maar ze gaven tegelijk aan dat ze bang zijn om op glad ijs te komen.

Sommigen vinden het eigenlijk niet erg dat ze op bepaalde terreinen niet worden toegelaten. “Gelet op wat de code Tabaksblat en allerlei rapporten beogen is dat een gemis”, oordeelt Paape. “De theorie zegt dat het gedrag van mensen positief kan worden beïnvloed via het beloningsinstrumentarium. Maar de praktijk zegt dat er op dit terrein iets mis kan gaan en dat je dus een auditor nodig hebt die daar zicht op geeft. En als de internal auditor dat niet doet, wie dan wel? De externe accountant blijft er ook af, dus dan doen de commissarissen dat volgens eigen inzichten. Als ik concludeer dat intern toezicht beter kan, dan slaat dat één: op het functioneren van de auditfunctie zelf. En twee: op het mandaat dat de functie heeft meegekregen, waaruit blijkt waar ze naar mag kijken en vooral waar ze niet naar mag kijken.”

Onafhankelijkheid

Dat raakt aan de veelgenoemde onafhankelijkheid van de auditor. “Onafhankelijkheid is een prachtig woord”, zegt Paape. “Maar in ons beroep is het een geloofsartikel waar je in de praktjk eigenlijk nauwelijks iets mee kan. Bij de voorbereiding van mijn proefschrift heb ik enkele collega's voorgesteld het woord onafhankelijkheid uit de definitie te schrappen en liever te praten over de mate van af hankelijkheid. Je moet het transparant maken, want laten we eerlijk zijn, de internal auditor is gewoon in dienst van een bedrijf en daardoor per definitie niet onafhankelijk. De collega's zeiden: nee, niet schrappen, zo kom je aan de fundamenten van het beroep. Maar verdiep je je in de begrippen die dienen om onafhankelijkheid te illustreren - integriteit, professionaliteit, objectiviteit enz. - dan merk je dat je daar niet echt mee uit de voeten kunt. Wat is een rechte rug? En wat is objectiviteit hier? De oplossing werd altijd gezocht in iemands organisatorische positionering. Je kunt hooguit zeggen dat de internal auditor zo objectief en onpartijdig mogelijk moet zijn.”

Buitenstaanders

Is een ingehuurde internal auditor onafhankelijker? Per definitie wel, meent Paape. Een external auditor staat weliswaar niet op de loonlijst maar wordt toch ook door de onderneming betaald. Bestuurders en commissarissen voelen overigens weinig voor het inhuren van buitenstaanders als onafhankelijker internal auditors. Ze komen met het argument dat de functie deel moet zijn van het bedrijf omdat een eigen auditor de mensen en de cultuur kent. Raden van bestuur lijken huiverig hun invloed op de rapportage van de internal auditor te verliezen.

Paul Koster van de AFM zei in dit verband op een symposium van de Erasmus Universiteit dat hij behalve de definitieve rapporten ook de conceptrapporten van de internal audits wilde zien, want als er een groot verschil is tussen die twee, dan is er iets aan de hand: of de auditor heeft geen goed rapport gemaakt of het bestuur heeft er zaken uitgehaald die het liever niet in de finale versie ziet staan. Paape zei hem: “Dat is niet de oplossing, want dan krijg je slechts de voorlaatste versie te zien die nauwelijks verschilt van de finale versie. Het gaat je om een reëel probleem, maar zo krijg je het antwoord niet.”

Contact met audit committee

De weerstand bij de raden van bestuur tegen het rechtstreeks rapporteren door de internal auditor aan het audit committee is groot, ook al zegt de code Tabaksblat dat het audit committee zich met de internal auditor moet verstaan.

“Die weerstand is begrijpelijk”, zegt Paape. “Maar de raden van commissarissen worden in toenemende bemand door mensen uit het buitenland die uit een one tier-omgeving komen - het Angelsaksische model - en die niet willen werken met de strikte scheiding tussen raad van bestuur/directie en raad van commissarissen van het Rijnlandse two tier-model. Dat brengt met zich mee dat de raden van bestuur zich steeds moeilijker kunnen verzetten tegen een directe rapportage van de internal auditor aan het audit committee. Maar het is geen uitzondering dat de auditor eerst even bij de bestuurders moet langskomen voordat hij naar het audit committee stapt.”

Enkele stellingen bij het proefschrift van Leen Paape

• Raden van commissarissen/audit committees dienen hun verantwoordelijkheid te nemen en de internal auditfunctie onder hun hoede te nemen.
• Een internal auditfunctie die niet gevraagd wordt haar werkzaamheden uit te strekken over het beloningssysteem van de organisatie en de tone at the top, wordt niet goed benut.
• Alhoewel het toegenomen gebruik van resultaatafhankelijk belonen heeft geleid tot uitwassen, hetgeen op zijn beurt weer heeft geleid tot vele corporate governance-initiatieven, hebben deze initiatieven op hun beurt weer niet geleid tot aantoonbaar minder schandalen.

Prestatiegebonden beloning hoofd IAD

In zijn proefschrift signaleert Paape een geval van een hoofd internal audit die een prestatiegebonden beloning geniet. “Dat gebeurt bij ABN AMRO”, zegt Paape. “Daar wordt de chief audit executive beloond op grond van performance-criteria die gaan over zijn functioneren en niet over de financiële prestaties van de bank als geheel. Beloningsinstrumenten behoren tot de krachtigste hulpmiddelen bij het beïnvloeden van het gedrag van mensen. Ook de internal auditor mag wat mij betreft worden gestimuleerd om zijn werk zo goed mogelijk te doen. Maar dat wil niet zeggen dat je alleen maar met euro's aan moet komen. Het kan natuurlijk ook met andere prikkels, zoals een schouderklop of andere incentives. Bij de openbare verdediging van mijn proefschrift vroeg een van de commissieleden: ‘Als de beloning afhangt van de financiële resultaten van de onderneming, dan krijgt het hoofd internal audit daar belang bij en dat willen we toch niet?’ Ik heb geantwoord dat een hoofd internal audit niet moet worden beloond op grond van de financiële resultaten van de onderneming, maar op zijn of haar eigen prestaties. Zoals: haal je je auditplanning, voldoe je aan de IIA-standaarden, heb je een kwaliteitbeheersingssysteem ingevoerd? Enz. Je kunt en moet een hoofd internal audit aanspreken en belonen op basis van zijn of haar specifieke targets, zonder dat dat direct raakt aan het resultaat van de onderneming.”