deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 1
Enterprise Risk Services
Anticiperen op de toekomst. De veranderende rol van de internal auditor
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 2
Anticiperen op de toekomst De veranderende rol van de internal auditor
2
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 3
Anticiperen op de toekomst De veranderende rol van de internal auditor
Inhoudsopgave Voorwoord
5
Inleiding
7
Voordracht Jean Frijns “The Book of Rules rules.”
9
Schets huidige situatie “De betekenis van internal audit wordt zwaar onderschat.”
17
Scenario’s Het verkennen van de toekomst
29
Uitwerking Anticiperen op de toekomst
37
Bijlage: CFO’s over corporate governance en internal audit “Het transparantiemaximum is nu wel bereikt.”
47
Deelnemende bedrijven
53
Deloitte Enterprise Risk Services
54
3
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 4
Anticiperen op de toekomst De veranderende rol van de internal auditor
4
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 5
Anticiperen op de toekomst De veranderende rol van de internal auditor
Voorwoord De jaren negentig van de twintigste eeuw zijn de jaren geweest van het grenzeloze vertrouwen. Omdat er volop kansen waren voor iedereen stonden regels en procedures niet hoog op de agenda. Gevolg: terwijl de economie groeide moesten de interne auditdiensten (IAD) veelal afslanken. Inmiddels staat internal audit weer hoog op het prioriteitenlijstje bij de meeste organisaties. De hernieuwde waardering is natuurlijk allereerst veroorzaakt door de inter-nationale boekhoudaffaires die de wereld in de jaren na 2000 verrasten. Balanceren tussen regels en principes Na de schandalen ontstond er behoefte aan meer veiligheid, meer controle en beter toezicht. Corporate-governancecodes schoten als paddestoelen uit de grond en het doen en laten van organisaties wordt nu steeds meer bepaald door regels. Ook de code-Tabaksblat, die is ontwikkeld als een principle-based code, kan zich niet aan die ontwikkeling onttrekken. Er is een tendens om aanbevelingen en richtlijnen toch in regels vast te leggen. De commissie-Frijns is zich daarvan bewust, en probeert het midden te vinden tussen de letter en de geest van de code-Tabaksblat. Versterking internal governance Op grond van de nieuwe codes en de toegenomen druk vanuit de financiële markten zien CFO’s de noodzaak tot het versterken van de internal governance. Anticiperend op de toekomst worden de ‘checks and balances’ in de organisatie aangescherpt. Toename invloed internal auditor Die sterkere nadruk op internal control heeft ook de functie van de internal auditor ingrijpend veranderd. Natuurlijk ligt de verantwoordelijkheid voor de inrichting van de internal control allereerst bij de CFO’s en controllers, maar ook de internal auditor heeft een belangrijke rol bij het vormgeven van good governance. De internal auditor heeft meer invloed dan voorheen. Zijn positie in de organisatie wordt nog versterkt omdat die van buitenaf wordt gelegitimeerd. Als verlengstuk van de Raad van Bestuur kan hij zijn specialistische kennis inzetten op het gebied van financiële verslaggeving, compliance, risico-identificatie door het management, strategische risico’s en de risico’s van de financiële structuur. Toekomstperspectief In dit seminar hebben we de mogelijke rollen onderzocht die internal audit zou kunnen spelen bij de toekomstige governance-ontwikkelingen. Op basis van gesprekken met CFO’s, leden van auditcommissies en toezichthouders hebben we verschillende toekomstperspectieven geschetst. Een aantal scenario’s is nader uitgewerkt en geanalyseerd. De belangrijkste conclusie was dat de taak van de internal auditor zou moeten worden aangepast aan de situatie waarin het bedrijf zich bevindt. Internal auditors kunnen het management goede diensten bewijzen bij het opbouwen van een bedrijf door actief te ondersteunen bij het versterken van de control. Als onafhankelijke ‘assurance provider’ steunen ze hun CFO’s bij het onderkennen en vermijden van onnodige risico’s. Als adviseur van het management zijn ze daarnaast uitermate geschikt om het leidinggevend kader bij de les te houden. Gebruik maken van expertise Hoe corporate governance er in de toekomst er ook uit zal zien, het staat wel vast dat internal auditors er een belangrijke bijdrage aan kunnen leveren en actief kunnen meesturen. Het is daarom van belang dat internal auditors in de toekomst meer aandacht vragen voor hun ideeën, ook buiten hun eigen vakgebied. Zo zouden ze een grotere inbreng kunnen hebben bij de tweede rapportage van de commissie-Frijns. De uitkomsten van dit zevende IA Seminar onderschrijven die toegevoegde waarde. Toezichthouders en CFO’s doen zichzelf eigenlijk tekort als ze geen gebruik zouden maken van de expertise, het enthousiasme en de betrokkenheid van de internal auditors.
5
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 6
Anticiperen op de toekomst De veranderende rol van de internal auditor
6
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 7
Anticiperen op de toekomst De veranderende rol van de internal auditor
Inleiding Dagprogramma Ochtendprogramma: Oriëntatie en verdieping Primaire vragen: wie zijn we en waar staan we nu als internal auditors? Welke scenario’s zijn mogelijk? Waar moeten we ons op voorbereiden? Middagprogramma: De consequenties voor IA Wat is de impact van de scenario’s op mijn internal-auditafdeling voor wat betreft: - Rol en positie - Taak en verantwoordelijkheden - Resources en kennis Slot: Presentatie en paneldiscussie
Het zevende IA Seminar stond in het teken van anticiperen op toekomstige ontwikkelen. Het seminar verschafte de deelnemers inzicht in de huidige ontwikkelingen in het vakgebied en in de visie daarop van de internal auditors zelf. De vraag in welke richting internal governance zich ontwikkelt is cruciaal, omdat internal audit daar een belangrijke pijler van is. Een andere vraag die uitgebreid aan de orde kwam is wat toekomstige ontwikkelingen kunnen betekenen voor internal audit. In het hoofdstuk Scenario’s komen enkele mogelijke ontwikkelingen aan de orde. Bij de voorbereiding voor deze deze bijeenkomst zijn verkennende gesprekken gevoerd met directeuren, CFO’s, leden van auditcommissies en toezichthouders. Zij deden een aantal interessante uitspraken, die u terugvindt in de bijlage. Daarnaast zijn de meningen van internal auditors over de bestaande situatie gepeild met een korte survey. Een belangrijke conclusie die uit de voorbereidingen getrokken kan worden is dat de rol van de Nederlandse en buitenlandse aandeelhouders sterker wordt. Ook Frijns becommentarieert die trend in zijn speech. Er zal daarom meer rekening gehouden moeten worden met de positie van die aandeelhouder. Verder werd duidelijk dat vertrouwen, ook in de toekomst, de basis zal blijven van ons governancesysteem. Regelgevers en toezichthouders creëren echter wel steeds meer regels. Dat komt tegemoet aan de groeiende behoefte aan helderheid, waaraan internal auditors behoefte zeggen te hebben. Dat de rol van internal auditors verandert blijkt ook uit de vaardigheden die van internal auditors worden verwacht. In de survey worden ‘communicatieve vaardigheden’ en ‘begrip’ het vaakst genoemd. In drie stappen werden de deelnemers door het programma geleid. Stap 1 Schets van de huidige situatie. Hoe ziet de beroepsgroep zichzelf? Tien stellingen dagen de deelnemers uit zich helder uit te spreken over hun vak, hun verhouding tot het bestuur en de auditcommissie en de toegenomen regelgeving. De reacties maken duidelijk dat de beroepsgroep nogal uiteenlopend over zichzelf denkt, en dat de perceptie ook per sector verschilt. Maar het is ook duidelijk dat de internal auditors nog zoeken naar de precieze invulling van hun veranderende rol. Stap 2 Scenariodenken. Wat brengt de toekomst ons? Welke kant gaat het op? Krijgen we een periode waarin de bomen weer tot in de hemel lijken te groeien of worden we opgeschrikt door nieuwe schandalen? En welke consequenties heeft dat voor corporate governance, internal governance en uiteindelijk voor internal audit? Het verkennen van de toekomst blijkt waardevolle ideeën en inzichten op te leveren. Eveneens wordt duidelijk dat een gerichte voorbereiding op bepaalde ontwikkelingen mogelijk is. Stap 3 Uitwerking. Het formuleren van een reactie op een scenario. Vier groepen beraden zich op een mogelijke situatie in de toekomst en geven antwoord op de vraag wat de gevolgen zijn voor de rol en positie, en niet te vergeten voor het takenpakket van internal auditors in hun organisatie. De conclusie is dat scenariodenken een zeer bruikbaar instrument is bij het anticiperen op toekomstige ontwikkelingen en dat je een aantal van die ontwikkelingen in je eigen vakgebied zelfs actief kunt sturen.
7
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 8
Anticiperen op de toekomst De veranderende rol van de internal auditor
Voordracht Jean Frijns Voorzitter van de Monitoring Commissie Corporate Governance Code
8
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 9
Anticiperen op de toekomst De veranderende rol van de internal auditor
“The Book of Rules rules.” De code-Tabaksblat is zeer summier over de rol van internal audit. En dat terwijl internal auditors nauw betrokken zijn bij het invulling geven aan goed ondernemingsbestuur. Op de eerste dag van het seminar kreeg Frijns de kans te reageren. Hij deed dat door eerst de context te schetsen van good governance. Daarna ging hij in op de ontwikkelingen op het gebied van risicobeheersing en controle, en op de uitdagingen die hij ziet voor de internal auditor.
Prof. dr. Jean Frijns studeerde en promoveerde in de economische wetenschap aan de Katholieke Universiteit Brabant in Tilburg. In 1988 trad hij in dienst bij Stichting Pensioenfonds ABP, waar hij tussen 1993 en 2005 als directeur Vermogensbeheer eindverantwoordelijk was voor de beleggingen. Sinds 1995 is Frijns bijzonder hoogleraar Beleggingsleer aan de Vrije Universiteit te Amsterdam. In 2004 werd hij voorzitter van de Monitoring Commissie Corporate Governance Code.
Corporate governance Frijns begon zijn verhaal door een vergelijking te trekken tussen het Amerikaanse en het Europese model van corporate governance, om zo de code-Tabaksblat in perspectief te plaatsen. “Het uitgangspunt van het Amerikaanse governancemodel is klip en klaar”, stelde Frijns. “Het doel van een onderneming is het creëren van aandeelhouderswaarde en met een beetje geluk is er ook nog enige aandacht voor de aandeelhouderswaarde op de lange termijn. Daarnaast is het Amerikaanse governancemodel gefundeerd op het model van financiële markten, waar aandelen breed gespreid zijn.” Anders dan wij wel eens denken heeft de aandeelhouder in de VS weinig directe invloed, zei Frijns, omdat er geen dominante aandeelhouders zijn. Frijns: “Het bestuur krijgt in de VS voldoende bewegingsruimte om een onderneming te leiden. De wetgeving is voor een groot deel gericht op het beschermen van de positie van de kleine aandeelhouder ten opzichte van dat almachtige bestuur. “De corporate law, ofwel het ondernemingsrecht, geeft de bestuurder grote vrijheid van handelen maar maakt de bestuurder ook verantwoordelijk ten opzichte van de aandeelhouder. “Een bestuur dat alleen zijn eigen belang dient krijgt het erg moeilijk om uit te leggen dat hij de goede dingen heeft gedaan”, benadrukte Frijns. Daarnaast heeft de VS al sinds 1930 een zeer strikt stelsel van effectenrecht. Dat is na de beurskrach van 1929 ingesteld, samen met de Securities and Exchange Commission (SEC), de toezichthouder. Frijns: “Het hele basisidee van de wetgeving was toen al transparantie, volgens het zogenoemde sunlight-principe: als je maar zorgt dat iets volstrekt transparant is, dan gedragen mensen zich wel netjes. En hoewel het Amerikaanse ondernemingsrecht sterk principle-based is, is het effectenrecht rule-based en hard.”
“Sunlight-principe: als je maar zorgt dat iets volstrekt transparant is, dan gedragen mensen zich wel netjes.”
Het Europese model In Europa hebben we te maken met een ander governancemodel. In dit model heeft de onderneming meervoudige doelstellingen, en daarom is het veel lastiger om van buitenaf te beoordelen of het Bestuur het goed gedaan heeft. “In het Europese stelsel zijn veel checks and balances ingebouwd”, constateerde Frijns. “Je moet allerlei belangen behartigen en al die belangen mogen ook vertegenwoordigd zijn in het afwegingsproces. Daarnaast heb je in veel Europese landen nog een traditie van dominante aandeelhouders en hebben die aandeelhouders een belangrijke rol in de checks and balances. Het effectenrecht heeft in
9
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 10
Anticiperen op de toekomst De veranderende rol van de internal auditor
“De opkomstpercentages bij de AVA’s zijn nauwelijks verbeterd. Dat is een ernstige zorg, want als dat niet werkt moeten we het hele systeem nog eens tegen het licht houden.”
Poison pill De poison pill is een strategie om een (vijandige) overname te bestrijden. De kern van deze strategie bestaat uit het onaantrekkelijk maken van de aandelen. Er bestaan in principe twee soorten poisonpillstrategieën: de ‘flip-in’ en de ‘flip-over’. De ‘flip-in poison pill’ staat bestaande aandeelhouders toe om nieuwe aandelen te kopen tegen een korting. Bestaande aandeelhouders kunnen derhalve meer aandelen kopen tegen een lagere prijs, waardoor de winst voor de vijandige koper verwatert. De ‘flip-over posion pill’ staat bestaande aandeelhouders toe om na de fusie of overname aandelen van de vijandige koper tegen een korting aan te schaffen. Zo kan het zijn dat bestaande aandeelhouders na de overname aandelen van de vijandige koper kunnen aanschaffen tegen een ratio van 1 tegen 1,5. Al deze strategieën zijn er op gericht om de koper zoveel mogelijk te laten bloeden indien deze echt geïnteresseerd is in een overname. In elk geval zal de overname of fusie niet van een leien dakje gaan.
10
Europa traditioneel niet veel belang. Pas de laatste tien jaar heeft het effectenrecht veel meer ‘body’ gekregen in de vorm van strenger toezicht en aanvullende regels.” Tabaksblat Tabaksblat is in zijn opzet voor een deel Amerikaans georiënteerd. De code gaat uit van een beursgenoteerde onderneming met gespreid aandeelhoudersbezit. Frijns: “De codeTabaksblat kent geen grootaandeelhouders of dominante aandeelhouders. Naar Amerikaans model is er ook ruimte voor ondernemerschap en krijgt het bestuur de ruimte om te ondernemen.” De code is evenals het Amerikaanse ondernemingsrecht principle-based, maar is erg Europees in zijn interne checks and balances. Frijns: “Vergeleken met eerdere codes geeft Tabaksblat een veel grotere rol aan de Raad van Commissarissen in het kader van interne checks and balances. Verder geeft de code de Algemene Vergadering van Aandeelhouders (AVA) een essentiële rol in dat hele samenspel van checks and balances. Of de mix die Tabaksblat heeft gekozen de juiste is voor good governance zal de tijd ons moeten leren.” Bevindingen monitoringcommissie Tabaksblat gaat uit van versterking van de interne checks and balances. Dat betekent dat de AVA een grotere rol krijgt, die natuurlijk wel vervuld dient te worden. “Een gelukkige omstandigheid is dat er een nieuwe klasse van aandeelhouders opgestaan: de institutionele belegger”, legde Frijns de vinger op de zere plek. “Institutionele beleggers hebben een langetermijnperspectief en zijn daarmee in theorie de ideale aandeelhouders. We willen immers graag dat ondernemingen een goede langetermijnstrategie hebben. Institutionele beleggers worden in de code-Tabaksblat specifiek opgeroepen om die rol goed te vervullen. ”Heel lang heeft men gedacht dat de institutionele aandeelhouders wel iets zouden kunnen doen aan exorbitante beloningen. Maar in de praktijk, zo moest Frijns constateren, komt daar weinig van terecht.“ Helaas moet ik constateren dat ze dat tot nu toe nauwelijks beter hebben gedaan dan in de periode voor Tabaksblat. De opkomstpercentages bij de AVA’s zijn nauwelijks verbeterd. Dat is een ernstige zorg, want als dat niet werkt moeten we het hele systeem nog eens tegen het licht houden.” Buitenlandse aandeelhouders Tabaksblat gaat voorbij aan de dominantie van buitenlandse aandeelhouders bij veel Nederlandse beursfondsen. “In werkelijkheid is slechts tussen de 5 en 12% van de aandelen in handen van Nederlandse institutionele beleggers.” De meerderheid is dus in buitenlandse handen. Die buitenlandse investeerders zetten de toon en doen dat, volgens Frijns, soms op agressieve wijze. “De code was nog geen jaar oud toen de hele sfeer veranderde door het optreden van hedge funds die, vaak buiten de vergaderingen om, agressief probeerden om de strategie van ondernemingen beslissend te beïnvloeden. Dat was voor Nederland een relatief nieuwe ervaring. En daarop kregen we de reactie: is dit de bedoeling van Tabaksblat? Is dit wel wat we willen? Het zijn terechte vragen, die ik op dit moment helaas nog niet kan beantwoorden.” Disciplinering door de financiële markt Hoe moeten we hier tegenaan kijken vanuit het perspectief van de financiële markten? Frijns: “Eén van de instrumenten om besturen bij de les te houden is: disciplinering door financiële markten. De markt voor overnames houdt ondernemingen scherp. Amerikanen zijn inmiddels wel gewend aan zogenoemde raiders en overnemende partijen en hebben zich daartegen gewapend met poison pills. Poison pills zijn effectief zonder dat je de zittende aandeelhouders benadeelt. Het is een vrij effectief middel om tijd te winnen. Uiteindelijk moet een ondernemer nog steeds verantwoording afleggen aan de aandeelhouders.” Op zichzelf is disciplinering door financiële markten niets nieuws. Of het werkt hangt van de omstandigheden af. Hedge funds die ondernemingen verkocht willen zien aan private equity clubs zijn populair. Maar die strategie werkt alleen als die private equity clubs een hoge prijs kunnen bieden. Dat kan als de rente erg laag is en ze in staat zijn om de overgenomen onderneming voor 80 tot 90% te leveragen. “We moeten ons afvragen”, aldus Frijns, “wie de echte ‘boosdoeners’ zijn, de private equity clubs of de banken die maar al te graag geld uit lenen aan de overgenomen ondernemingen? Duidelijk is in ieder geval dat de onderneming wordt opgezadeld met de risico’s van de hoge leverage.”
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 11
Anticiperen op de toekomst De veranderende rol van de internal auditor
‘Leverage’ is de hefboomwerking waarmee met een relatief kleine investering grote winstkansen worden geschapen. Een populair middel om leverage te krijgen is het kopen van aandelenopties, die recht geven op koerswinst op aandelen die men niet bezit. Als er geen koerswinst is, lopen de opties waardeloos af en is de investering verloren. De term leverage wordt ook gebruikt als bedrijven het percentage schulden in hun balanstotaal verhogen.
Stakeholdermodel en financiële markten Als commissie vragen we ons af of de disciplinering door financiële markten verenigbaar is met ons stakeholdermodel. De traditionele doelstelling in het ondernemingsrecht stelt dat de doelstelling van een onderneming de continuïteit van de onderneming zelf is, alsmede de belangen van alle daarbij betrokkenen. De code-Tabaksblat is dat punt van die doelstelling al een beetje aan het oprekken. De code zegt dat de onderneming tot doel heeft om aandeelhouderswaarde te creëren op de lange termijn, met inachtneming van de belangen van alle andere stakeholders.” “We zijn er nog niet uit hoe we vanuit dat kader de opkomst van de activistische aandeelhouder moeten beoordelen”, benadrukte Frijns. “In elk geval vindt de commissie dat de macht van de aandeelhouder niet mag betekenen dat de strategie van de onderneming effectief buiten de AVA wordt vastgesteld, en in feite wordt gemaakt door een groep aandeelhouders in plaats van het bestuur van de onderneming. Het bestuur is primair verantwoordelijk voor de strategie van de onderneming, het bestuur heeft ook de verantwoordelijkheid om de belangen af te wegen en is daarop aanspreekbaar. Dat is een willekeurige aandeelhouder niet.” Private equity Private equity leidt, volgens Frijns, tot meer noodzakelijke dynamiek in de economie. “Maar groei is deels een proces van creatieve destructie, aldus Schumpeter (een Oostenrijks econoom (1883-1950)). Je moet iets kapotmaken om nieuwe dingen te creëren. Daar is ook empirische onderbouwing voor. Studies tonen aan dat private equity gemiddeld leidt tot hogere groei en meer innovatie.” Vanuit economisch perspectief zullen er daarom weinig mensen zijn die bezwaar maken tegen private equity. Aan de andere kant zal steeds opnieuw moeten worden bezien of een voorgestelde transactie, zoals de verkoop aan een private-equitypartij, gedreven is door ondernemingsspecifieke argumenten of alleen een arbitragespel van financiële markten is. Frijns: “Het betekent dat een bestuur van een onderneming voldoende sterk moet zijn om weerstand te kunnen bieden aan willekeurige overnamepogingen. Een stevig bestuur laat zich niet zomaar wegsturen en laat zich niet dicteren wat het moet doen.“
“De echte boosdoeners zijn niet de private equity clubs, maar de banken die maar al te graag het geld uitlenen.”
11
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 12
Anticiperen op de toekomst De veranderende rol van de internal auditor
Risicobeheersing en controle “De raad van bestuur moet in de vorm van een ‘in control statement’ onderbouwd verklaren dat de interne risicobeheersingsen controlesystemen op het gebied van de financiële verslagggeving adequaat en effectief zijn en dit jaar goed hebben gefunctioneerd.”
Internationale ontwikkelingen In de code-Tabaksblat staan uitgesproken bepalingen over in control statements. Dat is gevolgd op de invoering van de Sarbanes-Oxley Act in de VS. Ondernemingen moeten verklaren dat de cijfers kloppen, dat het proces waarlangs de cijfers tot stand komen klopt en dat ze daar voor instaan. En als dat niet zo is, dan heeft het bestuur een groot probleem. Er is echter een wereld van verschil tussen het strenge Amerikaanse rule-basedsysteem en de Britse Combined Code, die principle-based en relatief soft is, zo schetste Frijns de verschillen. “Een ander verschil is dat de Combined Code erg breed is en niet alleen gaat over de financiële verslaggeving en risico’s. De Amerikaanse SEC controleert alleen wat ze ook goed kunnen controleren, maar is wel streng. Als je iets opschrijft moet je het kunnen waarmaken. Dat is de belangrijkste reden waarom Sarbanes-Oxley smal is: het moet afdwingbaar zijn.” De grote vraag is natuurlijk welke weg we gaan volgen. De Europese Commissie is er niet uit en komt er volgens deskundigen de komende jaren ook niet uit. “Met name niet omdat de Engelsen absoluut niet af willen van de principle-based code en de Duitsers en de Fransen veel meer voelen voor een rule-based systeem. Nederland heeft gekozen voor een code die erg geïnspireerd door de Combined Code uit Engeland: principle-based en breed.” Verklaring Tot er overeenstemming is over één Europese code zal de code-Tabaksblat wel discussies blijven losmaken. En die discussies kunnen hoog oplopen, zo ondervond de monitoringcommissie. Zo ontstond er ophef over het woordje ‘verklaren’ in de code-Tabaksblat. “Toen juristen en accountants beursgenoteerde ondernemingen erop wezen dat ‘verklaren’ moest worden opgevat zoals het in Sarbanes-Oxley wordt bedoeld was het huis te klein”, herinnerde Frijns zich. “De monitoringcommissie wil, op het gebied van de financiële verklaringen, inderdaad een positieve verklaring. Het bestuur moet verklaren dat het in control is. De raad van bestuur moet in de vorm van een ‘in control statement’ onderbouwd verklaren dat de interne risicobeheersings- en controlesystemen op het gebied van de financiële verslaggeving adequaat en effectief zijn en dit jaar goed hebben gefunctioneerd.” Ten aanzien van de overige risico’s wil de commissie vooral inzicht en juist geen gesloten verklaring. “We willen weten wat voor deze onderneming de materiële risico’s zijn”, legde Frijns uit, “in welke mate ze worden beheerst en in welke mate het bestuur ze wil beheersen. Het bestuur is verantwoordelijk en kan zich niet verschuilen achter externe accountants. Het bestuur verklaart. Wij vonden dat een duidelijk standpunt, maar daar wordt nogal verschillend over gedacht.”
“Ook in uw beroepsgroep streeft men naar gesloten verklaringen, in standaardbewoordingen en op basis van een achterliggend ‘reportable proces’.”
12
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 13
Anticiperen op de toekomst De veranderende rol van de internal auditor
Punt van kritiek is bijvoorbeeld dat de voorstellen een duidelijke normstelling ontberen. Dat klopt ook, beaamde Frijns, omdat het gaat om een principe en niet om gesloten normen. Anderen merkten op dat het proces om tot een bestuursverklaring te komen ontbreekt. “Ook dat is waar”, gaf Frijns toe. “Maar de Code vertrouwt hierin op de kwaliteit van de interne checks and balances, en in het bijzonder op de inbreng van de auditcommissie.” Er is ook terecht op gewezen dat de rol van externe auditor bij de beheersing van de overige risico’s ontbreekt. Sommigen vrezen dat het ontbreken van een duidelijke normstelling tot verwarring leidt bij buitenlandse beleggers en bij sommige ondernemers. “Als we dat niet willen, dan moeten we simpelweg allemaal het Amerikaanse systeem, dus SOx, volgen”, wees Frijns op de consequenties. “Maar dat willen de meeste ondernemers, CFO’s en accountants niet.” The Book of Rules rules Waar we naartoe convergeren is ook voor de monitoringcommissie nog niet helemaal duidelijk. Het lijkt de kant op te gaan van meer regels. “Ook in uw beroepsgroep streeft men naar gesloten verklaringen, in standaardbewoordingen en op basis van een achterliggend ‘reportable proces’”, kaatste Frijns de bal terug. “Uiteindelijk krijg je dan, en ik citeer Jos Streppel (lid van de Raad van Bestuur van AEGON): ‘the Book of Rules rules’. Je kunt wel met een principe beginnen en in beginsel open normen hebben, maar in de praktijk blijken principes toch vaak te worden omgezet in een stel gesloten regels en instructies.” Aandachtspunten monitoringcommissie “We gaan dit jaar in elk geval meer aandacht besteden aan de verhouding tussen aandeelhouder en onderneming, en de rollen van het bestuur”, zei Frijns. “Het is belangrijk dat de verantwoordelijkheid van het bestuur duidelijk is.” Ook de rol van de Commissarissen staat hoog op het prioriteitenlijstje van de commissie. “In Nederland staan Commissarissen traditioneel op afstand en blijven ze buiten de relatie tussen aandeelhouder en het ondernemende bestuur. Buitenlandse aandeelhouders hebben daar geen boodschap aan. Die willen met de president-commissaris praten en dat kan hij ook maar beter doen. De Commissaris krijgt een veel zwaardere rol in die verhouding tussen wat de aandeelhouders willen en wat het bestuur van de onderneming wil.” Een ander punt waar Frijns dit jaar veel aandacht aan zal besteden zijn de jaarverslagen. “We zullen nadrukkelijk gaan bezien hoe de in-controlverklaring is ingevuld, en hoe we tot een goede best practice kunnen komen. Ik wil liever niet naar meer instructies, maar houd het liever redelijk open. “
13
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 14
Anticiperen op de toekomst De veranderende rol van de internal auditor
Positie internal auditor Deloitte, zei Frijns, vroeg hem om de positie van de internal auditor uit te diepen. “Daar was ik snel uit!”, zei hij uitdagend. “Volgens Tabaksblat heeft de externe auditor een rol in het maatschappelijk verkeer. Hij moet aan de aandeelhouders en de overige stakeholders vertellen dat wat er staat ook klopt. Dat hoeft de internal auditor natuurlijk niet te doen. De rol van internal auditor is afgeleid van de verantwoordelijkheden van het bestuur. De verantwoordelijkheden van het bestuur staan in Tabaksblat duidelijk omschreven. Het bestuur moet zorgen dat de financiële rapportage klopt, moet zorgen dat de risico’s juist in kaart zijn gebracht en goed beheerst worden, en moet zorgen dat de onderneming compliant is. De verantwoordelijkheden van de internal auditor zijn daarvan afgeleid. De internal auditor werkt voor het bestuur. Hij heeft natuurlijk wel een speciale positie, in die zin dat hij een rechtstreekse lijn heeft met de auditcommissie. Hij zal ook naar de auditcommissie moeten gaan als hij dingen tegenkomt die niet kloppen. Als er zaken fout zitten in de onderneming en de voorzitter van het bestuur reageert er niet op, dan zal hij - vanuit zijn beroepsethiek, maar ook volgens de code - de voorzitter van de auditcommissie op de hoogte moeten brengen. Binnen de onderneming is hij onafhankelijk.” Zijn taak in het proces van financiële verslaggeving is, aldus Frijns, ervoor te zorgen dat alle financiële cijfers op de juiste wijze tot stand komen. Hij zal een audit moeten doen op de interne risico’s. “Dat is denk ik wel een taak die iedereen ogenblikkelijk zal onderschrijven. Dat geldt ook voor compliance. De internal auditor is niet de compliance officer. Die zit midden in het proces en doet ook vaak al preventieve ingrepen. Maar de auditor moet wel kijken of dat proces van compliance goed is ingericht en of het goed werkt. Een vraag die ik nog aan de orde zou willen stellen is of een internal auditor ook moet kijken naar de strategische risico’s en de risico’s van de financiële structuur. Als hij zich daar niet voor gekwalificeerd voelt, moet hij het vooral niet doen. Als je de functie breed invult, moet wel duidelijk zijn of de accountantsopleiding adequaat is. Hetzelfde geldt voor de complianceopleiding. Ondernemingen staan tegenwoordig volledig open voor de financiële markten. Er worden zowel goede als kwade dingen van de financiële markt geïmporteerd, en het is dus belangrijk om te begrijpen hoe dat werkt.”
14
deloitte_ERS28.qxd
28-08-2006
14:38
Pagina 15
Anticiperen op de toekomst De veranderende rol van de internal auditor
Uitdagingen internal auditor “We leven momenteel in een omgeving die steeds meer regels dwingend voorschrijft.”
Ondernemerschap Ondernemen is risico nemen, dat is de kern van het ondernemen. Aan de andere kant kan het interne risicomanagement zo zwaar worden opgetuigd dat het het ondernemen in de weg staat. Dat argument wordt wel gebruikt voor een principle-based benadering. Kees Cools publiceerde onlangs ‘Controle is goed, vertrouwen is beter’. “Cools betoogt dat controle geen waarde toevoegt”, legt Frijns uit. “Mensen gaan meer waarde toevoegen als ze ook vertrouwen hebben of krijgen. We leven momenteel in een omgeving die steeds meer regels dwingend voorschrijft.” Uitdaging “Ik vind zelf dat het een taak voor de internal auditor is om een goede mix van principes en regels te vinden. En dat is per onderneming anders. Het hangt er heel sterk vanaf hoe coherent die onderneming is. Hoe sterk de cultuur is. Of je meer op regels of meer op principes moet kunnen vertrouwen. Het is een uitdaging voor die interne auditor om daarin mee te denken. Het is een beetje soft talk, maar het is niettemin essentieel.” Kwaliteit Welke eisen moeten we stellen aan internal audit? Frijns: “Een internal auditor dient niet alleen kennis te hebben van administratieve organisatie en controleprocessen. Hij moet die bedrijfsprocessen kennen en hij moet die operational audits kunnen doen. Maar mogen we ook verlangen dat een internal auditor in staat is om risico’s te kwantificeren? De enige ondernemingen die risico’s kwantificeren zijn banken en verzekeraars.”
“Hoe breed het takenpakket van de internal auditor moet zijn blijft een lastig punt.”
Positie Het is duidelijk dat de internal auditor een sterkere positie krijgt in de organisatie door externe legitimatie. Hij moet samenwerken met control en met compliance. “Het mag echter niet zo zijn dat er een compliancemodel is en een intern risicomodel en nog een intern rapportagemodel die alle drie los van elkaar staan. Dat leidt alleen maar tot ondoorzichtigheid. Misschien wordt het tijd om met alle aparte disciplines eens gezamenlijk dingen te ontwikkelen.”
15
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 16
Anticiperen op de toekomst De veranderende rol van de internal auditor
Schets huidige situatie
16
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 17
Anticiperen op de toekomst De veranderende rol van de internal auditor
“De betekenis van internal audit wordt zwaar onderschat.” De zaaldiscussie werd geleid door Jeroen Smit. Om erachter te komen hoe internal auditors de huidige situatie in hun vakgebied inschatten, vroeg Smit ze om te reageren op een aantal stellingen. Het publiek kon niet alleen stemmen, maar ook mondeling reageren. "Bedrijven investeren fors in internal audit, maar daar zie je in het nationale debat helemaal niks van terug."
Jeroen Smit (1963) begon in 1990 zijn journalistieke carrière bij Het Financieele Dagblad en was achtereenvolgens chef economie van het Algemeen Dagblad en hoofdredacteur van FEM/deWeek. In 2004 schreef hij de bestseller Het drama Ahold. Naast publicist en commentator is Smit ook presentator bij BNR Nieuwsradio.
Ruimte voor ondernemerschap? “Om eerlijk te zijn is internal audit voor mij, als relatieve buitenstaander, altijd nogal ongrijpbaar geweest. Het zal dus leerzaam worden vandaag”, opende Smit de zaaldiscussie. Hij constateerde dat Frijns weliswaar had geschetst in welke richting internal audit zich naar zijn idee ontwikkelt, maar dat er van eenduidigheid nog geen sprake is. “Er zijn totaal verschillende internal auditors. Gisteren hoorde ik ook de opmerking: ‘De grote schandalen ontstaan in de boardroom’ en daar komen internal auditors nu niet. Ik begrijp niet alles van jullie vak, maar het is me wel duidelijk dat het belangrijk is. Als het lukt om dingen intern op orde te krijgen, is iedereen daarbij gebaat. Frijns zegt: ‘Ondernemen is risico lopen’. De bereidheid om risico te nemen is de laatste jaren echter sterk beperkt door angst. Ligt hier nu niet een taak voor de internal auditor, om de ruimte voor ondernemerschap zo groot mogelijk te houden?” Angelsaksisch denken Navraag in de zaal leerde dat een grote meerderheid vond dat Frijns in zijn analyse de goede richting aangaf, hoewel niet iedereen het met die richting eens was. Zoals een van de deelnemers opmerkte: “Frijns geeft aan dat de aandeelhouder meer een primaire stakeholder wordt. Met die vorm van Angelsaksisch denken heb ik moeite.” Iemand anders miste duidelijke richtlijnen in Frijns’ verhaal: “Ik kreeg de indruk dat we het zelf maar moeten uitzoeken en we maar moeten doen wat ons het beste dunkt.” Een derde discussiant “miste wat Frijns zelf verwacht van internal audit. Ik had graag gezien dat hij stelling had genomen.”
“De bereidheid om risico te nemen is de laatste jaren sterk beperkt door angst.”
“Frijns vroeg zich een paar keer af of jullie wel breed genoeg zijn”, merkte Smit op. Waarop een deelnemer antwoordde: “Als je kijkt naar de hele governance-discussie, dan zie je dat bedrijven fors investeren in internal audit, maar daar zie je in het nationale debat helemaal niks van terug. De betekenis van internal audit wordt zwaar onderschat. Laten we eerst die discussie maar eens op tafel leggen, dan kijken we daarna wel verder.”
17
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 18
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 1:
“Ik ben in de eerste plaats een sparringpartner van de board.” De meningen over deze stelling waren nogal verdeeld. Interessant was dat niemand had aangegeven ‘geen mening’ te hebben. Blijkbaar leeft het onderwerp dus. Uiteindelijk was iets meer dan de helft van de aanwezigen het met de stelling eens.
Een paar reacties uit de zaal: “Ik ben het er helemaal mee oneens. De board is bezig met marketing, productontwikkeling enzovoort. Hoe kan ik daar als internal auditor een sparringpartner zijn? Wel op mijn eigen vakgebied, natuurlijk.” “Je ziet nu door alle druk op de Raad van Bestuur in verband met schandalen en dergelijke dat internal audit hoog op de agenda staat. Ik zit bijna wekelijks met de Raad van Bestuur om de tafel.” “Mensen in de business willen vooruit”, zei Smit. “Ze hebben over het algemeen een hekel aan regeltjes en wetjes. Als je sparringpartner wilt zijn, moet je dan niet de taal van de business spreken?” “Dat is juist het voordeel van internal auditors”, zei iemand uit de zaal. “Wij zitten continu bij de bedrijven zelf.” “Het hoger management is over het algemeen wel enthousiast over internal audit: zij staan in de wind. Bij het lagere management is het soms lastiger.” “De vraag of je sparringpartner bent, hangt af van de vraag of je pro-actief bezig bent in de business of dat je alleen bezig bent om ongelukken te voorkomen.”
“Als je sparringpartner wilt zijn, moet je dan niet de taal van de business spreken?”
18
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 19
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 2:
“Ik ben eerst onafhankelijk, daarna coöperatief.” Iedereen was het in meer of mindere mate met deze stelling eens. Wat, volgens Smit, de vraag oproept hoe hard je kunt bijten in de hand die je voedt.
Een paar reacties uit de zaal: “Onafhankelijkheid is heel belangrijk. Maar ik denk dat de meeste auditors zeggen: ‘Ik ben coöperatief met inachtneming van mijn onafhankelijkheid. Het belang van de onderneming staat voorop.” “Mijn organisatie is juist heel blij dat onafhankelijkheid voorop staat. Dat is helder en duidelijk. Die expliciete rol wordt gewaardeerd.” “Als je eerst coöperatief bent, brengt dat het gevaar met zich mee dat je zelf al gaat verklaren waarom zaken lopen zoals ze lopen. Je moet eerst sec constateren.” “Er speelt nu een discussie op de IIA-site (Instituut van Internal Auditors Nederland) over de uiterste houdbaarheidsdatum van een hoofd internal audit.” “De balans tussen onafhankelijkheid en samenwerking is belangrijk. Ik werk nu bij een bedrijf met meer dan 10.000 medewerkers. Dat bedrijf heeft een clubje mensen in Chili zitten die eigenlijk de ogen en oren van het bestuur zijn. Als die heel coöperatief zijn en zaken onder de mat vegen, dan gaat het mis. Zij moeten onafhankelijk zijn en signaleren. Aan de andere kant zijn er ook mensen die hun onafhankelijkheid misbruiken door hun mond te houden en zo meer geld op te strijken.” “Je moet opereren naast de Raad van Bestuur, zodat de Raad van Bestuur het plaatje krijgt zoals het hoort.” “Ik ben als internal auditor luid en duidelijk aanwezig.” “Als je namens internal audit te diep in een project duikt, is de vraag of je nog de guts hebt om bijvoorbeeld te zeggen: ‘dit systeem is knudde.’
19
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 20
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 3:
“Ik ben een voorstander van SOx.” Niet alle internal auditors werken bij organisaties waar SOx verplicht is. Wellicht verklaart dat waarom de groep die zich nog geen mening had kunnen vormen een respectabele 20% vertegenwoordigde. Desondanks wees een kleine meerderheid deze stelling af.
Een paar reacties uit de zaal: “Het nut is te beperkt voor de hoeveelheid tijd die het kost.” “SOx draagt wel bij aan transparantie. Bij een bedrijf van 13.000 medewerkers hebben wij ‘SOx-light’ ingevoerd. Dat werkt.” “Ik ben geen voorstander van SOx, wel van de principes erachter.” “Het gaat langzamer dan je zou willen.” “Het kost veel te veel geld en de codes zijn te weinig gericht op de Raad van Bestuur.” “Sinds SOx kun je niet meer zeggen: ‘Ik ben wel verantwoordelijk, maar niet schuldig.’ Verantwoordelijk = schuldig. Dat is een belangrijk voordeel.”
20
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 21
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 4:
“Ik geloof in: eerst de auditcommissie, dan de CFO en dan het management.” Een groot deel van het publiek was het met deze stelling oneens.
Een paar reacties uit de zaal: “Je moet de rollen zuiver houden. Internal audit is primair gericht op de Raad van Bestuur.” “Ook in Nederland mag je best een rol spelen bij de auditcommissie, als je er maar niet helemaal aan opgehangen wordt.” “Ik heb wel eens tegelijkertijd gerapporteerd aan de auditcommissie en de CEO. Dat is dodelijk: je wordt een bedreiging voor de board.” “Iets moet eerst uitgediscussieerd zijn voor het bij de auditcommissie komt. Het mag nooit een verrassing zijn voor de CEO.” “Wie zit er wel eens met de auditcommissie om tafel in afwezigheid van de Raad van Bestuur?” vroeg Smit. “Ik”, wordt er uit de zaal geroepen. “Maar dat duurt maximaal tien minuten!” Een ander zag er de voordelen wel van in: “De auditcommissie moet de kans krijgen haar zorgen te uiten. Met de Raad van Commissarissen en de Raad van Bestuur bij elkaar blijft het anders altijd ‘oude jongens krentenbrood’.” “Ik probeer het altijd te benaderen vanuit de gedachte: ‘Waar worden we met elkaar beter van?’ Als er een issue is, pak ik de desbetreffende lokaal manager bij zijn jas en zeg dat. Die rol heb je ten opzichte van de hele organisatie, vind ik.”
21
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 22
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 5:
“Ik vind 50 uur per week wel genoeg.” De meerderheid onderschreef deze stelling. Maar er waren ook afwijkende geluiden: “Als ik er 45 nodig heb, worden het er 45. Heb ik er 70 nodig, worden het er 70.”
22
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 23
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 6:
“Ik ben, voor alles, bewaker van de integriteit van de organisatie.” “Jullie zijn het er overwegend mee eens”, constateerde Smit.
Een paar reacties uit de zaal: “Iedere medewerker van een organisatie is een bewaker van de integriteit. Het integriteitklimaat binnen een organisatie is namelijk een belangrijke bepalende factor voor de effectiviteit van de getroffen controlemaatregelen. Bovendien beperkt een integer organisatieklimaat de kans op verslaggevingfraude daar waar controlemaatregelen ontbreken of ontoereikend zijn.” “Maar je bent wel verantwoordelijk voor je eigen integriteit. Internal audit heeft een controlerende taak.” “Ik ben niet degene die compliance afdwingt binnen een organisatie.”
23
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 24
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 7:
“Ik geloof in 'vertrouwen is goed, controle is beter'.” 'Controle is goed, vertrouwen is beter' luidt de veelzeggende titel van het boek van Kees Cools over de oorzaken van de 25 grootste internationale fraudes en boekhoudschandalen van de afgelopen jaren. Smit: "Wij hebben die stelling omgedraaid en wat blijkt ondanks de conclusie van Cools zeggen jullie toch: controleren die hap!"
Een paar reacties uit de zaal: “Ik heb bij een bedrijf gewerkt dat werkte op basis van vertrouwen en dat liep zeer uit de klauwen. Je moet de goede mix vinden.” “Maar pas als er vertrouwen is, is er plaats voor innovatie”, wierp Smit op. “Mensen komen toch alleen maar tot wasdom als je ze het vertrouwen geeft om te groeien?” “Ik zie controle als een instrument om vertrouwen zichtbaar te maken”, zei een deelnemer uit de zaal. “Het is niet het één of het ander.” “Als het misgaat, zoals bij Ahold, slaat het door. Dan is er alléén nog maar controle. De goede mix is de meest gezonde situatie.” “Wat heeft iedereen het toch over vertrouwen? Geloven doen we in de kerk, daarbuiten controleren we.” “Controle hoort bij audit.”
24
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 25
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 8:
“Ik ben in de eerste plaats adviseur van de board.” De afwijzing van deze stelling was vrijwel unaniem. Of, zoals iemand uit de zaal zei: “Je rol is in de eerste plaats om duidelijk te maken hoe het zit. Pas daarna kun je eventueel adviezen geven.”
25
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 26
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 9:
“Ik ben niet bang voor de externe accountant.” Bij het zien van de overweldigende meerderheid voor deze stelling kon de zaal een lach niet onderdrukken. “Een overtuigende score”, zei Smit. “Niet helemaal een verrassing. Mijn vraag is eigenlijk: Als de rol van de interne accountant verder wordt opgetuigd, wat is dan nog de rol van de externe accountant?”
Een paar reacties uit de zaal: “In de VS zie je dat zowel de externe accountant als de auditcommissie als de toezichthouders als de interne accountant nieuwe posities gaan innemen. De functies van interne en externe accountant gaan beide omhoog.” “We moeten niet concurreren, maar meer samenwerken.” “Je kunt discussiëren over de interpretatie van de regels. Vaktechnisch ga ik die discussie wel aan.” “De externe accountant blijft veel werk houden, maar op een iets nauwer terrein.” “Zelf werk ik als extern accountant en als internal auditor. Ik heb die twee functies altijd als sterk complementair beschouwd. Het probleem dat ik nu zie vanuit SOx en IAS is dat er wordt gezegd: de externe accountant mag voor de routinematige processen wel op de interne accountant steunen. Maar daar zitten de risico’s voor een organisatie niet! Je kunt de audit nu niet optimaliseren, omdat de externe accountant juist op gebieden als overnames en incidentele transacties niet langer op de interne accountant kan steunen.” “Misschien is de externe accountant wel bang van de internal auditor, omdat die zoveel kennis van het bedrijf opbouwt.”
26
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 27
Anticiperen op de toekomst De veranderende rol van de internal auditor
Stelling 10:
“Ik zou me nu het liefst een jaar in andere dingen verdiepen.” Opvallend is dat een aanzienlijk deel van de aanwezige internal auditors graag de bakens wil verzetten.
27
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 28
Anticiperen op de toekomst De veranderende rol van de internal auditor
Scenario’s
28
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 29
Anticiperen op de toekomst De veranderende rol van de internal auditor
Het verkennen van de toekomst In het tweede deel van de ochtendsessies werd de blik een paar jaar in de toekomst gericht, en wel op het jaar 2010. Bill Gates deed in 1995 de uitspraak ‘Internet is just a hype’, waarmee maar weer eens is aangegeven hoe onvoorspelbaar de toekomst is. En toch wil iedereen, dus ook elke organisatie, voorbereid zijn op de toekomst. Je wilt nu en in de toekomst in control zijn.
“Scenariodenken stimuleert creativiteit en het denken ‘out of the box’.”
Het scenariodenken Niemand weet natuurlijk hoe de toekomst eruit zal zien, en dat maakt het zo lastig om je erop voor te bereiden. Maar, vertelde inleidster Sandra Heuts, er is een methode die kan helpen bij het nadenken over hoe de wereld er over een paar jaar voorstaat. De methode staat bekend als scenariodenken en wordt al jaren met succes toegepast door grote organisaties. Scenariodenken geniet nog weinig bekendheid in de wereld van de auditors, terwijl het een onderwerp van onderzoek voor de auditor kan zijn. Ook kan de auditor wellicht een rol spelen in de opzet van het proces. Out of the box Scenariodenken is niet het opeenstapelen van zo veel mogelijk feitjes om tot een betrouwbare toekomstverwachting te komen. Er blijft immers altijd ruimte voor het onverwachte. Scenariodenken benadrukt eerder een aantal tendensen en bekijkt wat de gevolgen daarvan zouden zijn voor de toekomst. Het stimuleert creativiteit en het denken ‘out of the box’. Anticiperen op ontwikkelingen De meest interessante toepassing van scenariodenken, aldus Heuts, is dat het je in staat stelt om op mogelijke ontwikkelingen te anticiperen. Waar het om gaat is het identificeren van zogeheten ‘trigger points’, ofwel gebeurtenissen die kunnen plaatsvinden en op basis waarvan je kunt verwachten dat de toekomst zich in een bepaalde richting zal bewegen. Heuts noemde een paar mogelijke voorbeelden. “Wat gebeurt er bijvoorbeeld als alle babyboomers met pensioen gaan, en er nauwelijks nog jonge aanwas bijkomt? Of wat betekent het als er nog een beurskrach komt en we economisch in heel ander vaarwater komen?”
29
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 30
Anticiperen op de toekomst De veranderende rol van de internal auditor
“Welke mate van regelgeving krijgen we en welke kant gaat het op, en hoeveel wordt er aan regelgeving nog geaccepteerd?”
30
Scenario’s op basis van interviews met CFO’s De scenario’s die Heuts liet zien waren opgesteld aan de hand van interviews met de CFO’s van enkele grote beursgenoteerde ondernemingen, die voor het seminar hadden plaatsgevonden. “Twee belangrijke elementen bepalen de scenario’s. Allereerst de mate van vertrouwen. De organisatie bevindt zich in een krachtenveld met dynamische niveaus, en we weten niet precies welke kant het op gaat. Herstelt het vertrouwen in de organisatie, in onszelf, in elkaar, maar ook in de rol die de internal auditors vervullen? Er kunnen zich situaties voordoen waarin het vertrouwen beschaamd wordt en we weer teruggaan naar een situatie van extreem wantrouwen tegenover alles wat er gebeurt. Een tweede zeer belangrijke factor in het krachtenveld is de vraag in welke richting de regelgeving gaat. Dit wordt beïnvloed door wat er in Amerika gebeurt en wordt voorgeschreven, maar op de korte termijn bijvoorbeeld ook door de nieuwe regering die hier over anderhalf jaar aan het roer zit, en door wat de AFM, de commissie-Frijns of de NMA doen. Welke mate van regelgeving krijgen we en welke kant gaat het op, en hoeveel wordt er aan regelgeving nog geaccepteerd? Als dat nu ten opzichte van elkaar redelijk onafhankelijke krachtenvelden zijn, dan kun je modelmatig vier werelden onderscheiden waar het naartoe zou kunnen gaan. De wereld van extreme externe regelgeving, waarin relaties gebaseerd zijn op wantrouwen, en aan de andere kant weinig externe regelgeving, waarin vertrouwen een veel grotere rol speelt.”
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 31
Anticiperen op de toekomst De veranderende rol van de internal auditor
Vertrouwen Jeroen Smit onderscheidde verschillende fasen in de scenario’s die achtereenvolgens kunnen worden doorlopen. De eerste fase is die waarin het vertrouwen voorop staat en die relatief weinig regels en wetten kent. “Je zou het naïef kunnen noemen”, zei Smit, “maar ik noem het zelf de meest comfortabele situatie. Het is de kracht geweest van de Nederlandse economie in de Gouden Eeuw; een groot vertrouwen waar het Nederlandse bedrijfsleven lang van heeft kunnen profiteren. Als er vertrouwen is komen dingen tot ontwikkeling. Voor de duidelijkheid: in die fase bevinden we ons nu niet.”
31
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 32
Anticiperen op de toekomst De veranderende rol van de internal auditor
Chaos De fase die na het vertrouwen komt is, volgens Smit, die van de chaos. “Het is een fase waarin je je bewust wordt van problemen die moeten worden opgelost. Het is niet goed of slecht, zonder weerstand geen creativiteit, zo gaan die dingen. Tegenslagen zijn nodig.” Smit wees in dit verband op het bestaan van schandalen, maar ook op het terrorisme, die onrust in de hand werken. “Er ontstaat onzekerheid, aandeelhouders worden angstig, dingen komen tot stilstand. Niemand weet precies hoe het verder moet, en dan wordt onmiddellijk gekeken naar instanties, wet- en regelgevers, toezichthouders en ordehandhavers.”
“Er ontstaat onzekerheid, aandeelhouders worden angstig, dingen komen tot stilstand.”
32
Het logische gevolg is dat er ingrijpen wordt verwacht van de autoriteiten. Al is dat ingrijpen vaak ook maar symbolisch, zei Smit onder verwijzing naar het bouwfraudeschandaal. “Daar zijn we met z’n allen enorm boos om geworden, maar de manier waarop in de bouw wordt omgegaan al met het bestek, de verdeling van die kosten, dat is volgens mij al 150 jaar zo gegaan en dat is in Duitsland en Frankrijk nog steeds zo.” De zaal was het met Smit eens dat de fase van chaos inmiddels grotendeels achter ons ligt.
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 33
Anticiperen op de toekomst De veranderende rol van de internal auditor
Structuur De volgende fase die Smit onderscheidde was die van structuur. “Er komen nieuwe, zware regels en wetten, zoals bijvoorbeeld de code-Tabaksblat, en langzaam maar zeker groeit daardoor een nieuw vertrouwen. Vertrouwen in instituten, maar ook in de internal auditors, want die moeten helpen om zowel intern als extern alles te checken, en structuur te brengen in de chaos. Maar het vertrouwen is nog broos.” Iemand uit de zaal kreeg de lachers op zijn hand met de opmerking: “Wat ik een beetje proef is dat door al die regelgeving juist een chaos is ontstaan!” Waarop een ander zei: “Iedereen probeert iets te ontdekken, en er komt nu zoveel aan nieuwe regelgeving op ons af dat we ons zorgen gaan maken over wat er allemaal op gang is gekomen. Want die overdosis aan regelgeving kost niet alleen geld, maar het leidt ook de aandacht af van dingen die echt belangrijk zijn: ondernemerschap, het zaken doen.” Een belangrijk punt, gaf Smit toe. “Want het is in dit model heel goed mogelijk dat je niet automatisch de volgende fase ingaat. Je kunt ook terugvallen. We zitten nu in de fase van structuur, maar we kunnen door allerlei ontwikkelingen in bijvoorbeeld China weer terugvallen in onzekerheid en twijfel.” Een discussiant uit de zaal zag het herstel van vertrouwen nog niet helemaal voor zich. “De schandalen hebben we hoop ik achter ons en de politiek is sterker geworden. Maar er is nog steeds argwaan. Het basisvertrouwen heeft zich nog niet hersteld.” Toch, merkte iemand anders op, gaat de AEX wel weer naar een record. “En beleggers gaan de laatste tijd ook weer risicovoller beleggen.”
“Er komen nieuwe, zware regels en wetten, zoals bijvoorbeeld de codeTabaksblat, en langzaam maar zeker groeit daardoor een nieuw vertrouwen.”
33
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 34
Anticiperen op de toekomst De veranderende rol van de internal auditor
Control Idealiter, aldus Smit, zou je via die chaos naar meer regels gaan, tot die regels zichzelf hebben bewezen en er ruimte ontstaat voor nieuw vertrouwen. Zo kom je tot een zekere control. Wat is nu de rol van de internal auditor in 2010, vroeg Smit zich af. “Zitten we dan in chaos, in structuur of in control? Wat is de trend binnen je functie en wat heb je nodig om daar invulling aan te geven in de toekomst? Na de fase van control zou je terecht kunnen komen in de fase van vertrouwen. Is er iemand die gelooft dat we nu in de fase van control zitten?” Eén deelnemer bleek zich inderdaad niet te schamen voor zijn optimisme: “Ja, als je de beurs mag geloven als indicator. Maar ik zie het ook in de krant en ik hoor het als ik naar de mensen luister. Ik geloof daar wel in.” Over het algemeen was men van mening dat Nederland zich ergens in de fase van structuur bevond en zich naar de fase van control toebewoog. De uitdaging, vertelde Smit, was om nu vast te stellen met welke ontwikkelingen we vast rekening kunnen houden om te voorkomen dat we terugzakken in de chaos. De zwakte van de Nederlandse politiek werd als gevaar gezien. Maar de kleur van een nieuwe Nederlandse regering doet er niet veel toe, zo was de overheersende mening. “Op wereldschaal is de invloed van de Nederlandse politiek niet zo groot. Dus of er nu een links of een rechts kabinet komt is niet zo van belang.”
“Stel dat die regelgeving helemaal niet werkt tegen grote schandalen, dát is pas een groot risico.”
Transparantie Smit bracht de vraag wat dichter bij huis aan de hand van het begrip transparantie. Transparantie, betoogde Smit, kan ook doorslaan. Hij wees daarbij op de ophef die telkens ontstaat als er weer hogere jaarsalarissen uit de jaarverslagen worden gehaald. In dat geval, zei hij, lijkt transparantie het vertrouwen niet in de hand te werken. Smits suggestie om, als een auditor zou concluderen dat de hoge beloningen zouden leiden tot onrust, zijn baas te adviseren om het rustig aan te doen en zich aan de geldende CAO te houden, werd door de zaal met hilariteit begroet. Niet iedereen zou het risico van zo’n advies willen nemen. Wel merkte de zaal nog op dat je, als je mensen van dat niveau wilt hebben, er ook voor moet betalen. Een andere deelnemer signaleerde een breder probleem en zei: “Ik denk dat het een van de grote risico’s is dat zal blijken dat die regelgeving helemaal niet werkt tegen grote schandalen. Daar vestigen we dan onze hoop op.”
34
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 35
Anticiperen op de toekomst De veranderende rol van de internal auditor
“Zowel SOx als Tabaksblat vinden dat de toezichthouder nu eindelijk eens zijn rol moet gaan vervullen.”
Rol toezichthouders Daarop haakte Smit in door de rol van de toezichthouders aan de orde te stellen. “Zowel SOx als Tabaksblat vinden dat de toezichthouder nu eindelijk eens zijn rol moet gaan vervullen. Met name in Nederland is dat echt een punt. Onze Raden van Commissarissen bestaan uit gepensioneerde mannen van een jaar of 63, die het erbij doen. Zou dat niet veel professioneler moeten worden aangepakt? Natuurlijk er is al een ontwikkeling in die richting gaande. En de suggestie van die ontwikkeling is dat het toezicht scherper wordt. Dat er in een auditcommissie mensen komen die expertise hebben op financieel gebied. Dat is voor jullie ook prettig, want dan weet je ongeveer wat je aan die mensen hebt.” Hoe, vroeg Smit zich af, schatten de deelnemers het gevaar in van een zichzelf in stand houdend old boys network? Vooral omdat zij toch regelmatig met de Raad van Commissarissen en de Raad van Bestuur rond de tafel zaten. Een deelnemer bekende dat hij nogal geschokt was toen een bestuurslid hem vertelde dat de audit in Nederland veel beter was dan bijvoorbeeld in Engeland. “Terwijl ik altijd had gedacht dat het juist omgekeerd was. We zijn in Nederland veel verder dan we denken. Maar ik vind dat die mensen behoorlijke risico’s lopen voor een aalmoes. Ook de echt goede mensen, die nog lang niet de pensioengerechtigde leeftijd hebben bereikt.” Hoe moeten toezichthouders aan de samenleving laten zien dat ze beter toezicht houden? “Je ziet toch wel vaak dat het rituele dansen zijn”, verzuchtte iemand uit de zaal. “De boodschap wordt wel aangenomen, maar er wordt niet op het scherpst van de snede doorgevraagd.” Externe accountant Dat leidde tot de vraag hoe het staat met de kwaliteit van de accountants. Accountants, herhaalde Smit, moeten het vertrouwen in het financiële verkeer herstellen. “Zullen de externe accountants dat voor elkaar krijgen, of glijdt dat vertrouwen weer weg?” De zaal verwachtte dat de externe accountants eventuele problemen met hun vak zelf wel zouden oplossen. Zoals een deelnemer het formuleerde: “Wij runnen onze eigen business, en op het moment dat wij die niet in de hand hebben maken we het zelf kapot. Wij zullen er dus echt alles aan doen om dat te voorkomen. We zullen heel goed blijven kijken naar de instroom van de juiste mensen en de juiste opleidingen van onze medewerkers.”
“Het past wel bij de rol die jullie vervullen om op de rem te stappen.”
Terug naar chaos? Een deelnemer vroeg zich af of je geen rekening moet houden met de aard van de activiteiten van een organisatie, als je wilt vaststellen hoe groot de kans is dat die organisatie in chaos terugvalt. Bovendien was het volgens deze deelnemer misschien best mogelijk om ook in een fase van chaos een zekere mate van control te behouden. “Als je in een heel erg cyclische business zit, dan zit je ook vaker in chaos, en ik denk dat je ook in chaos in control kunt zijn. Deels dan. En volgens mij ligt daar de uitdaging. Niet in het voorkomen van chaos, want daar blijf je toch naar teruggaan, maar in het zoeken naar een manier om met die cyclus om te gaan.” De balans opmakend concludeerde Smit dat iets meer dan de helft van de deelnemers geloofde dat de kans dat Nederland in chaos terugzakt groter is dan de kans dat we naar de control-fase opschuiven. “Het zit natuurlijk ook wel in de aard van de internal auditor”, zei Smit. “Het past wel bij de rol die jullie vervullen om op de rem te stappen. Persoonlijk vind ik dat er veel dingen zijn die er nadrukkelijk op wijzen dat we juist weer omhoog gaan. Kijk maar weer naar de beurs.”
35
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 36
Anticiperen op de toekomst De veranderende rol van de internal auditor
Uitwerking
36
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 37
Anticiperen op de toekomst De veranderende rol van de internal auditor
Anticiperen op de toekomst Na de introductie van het scenariodenken kwamen de deelnemers zelf in actie. Elk van de vier geschetste scenario’s werd door een groep uitgewerkt.
De achterliggende vraag was hoe je in een specifiek scenario kunt sturen waar je heen gaat, en hoe je alert kunt blijven op veranderingen die in de lucht hangen. Per groep werden de bevindingen daarna aan de zaal gepresenteerd en aan een panel, dat ook uit deelnemers bestond. De presentaties betroffen achtereenvolgens de kwadranten control, vertrouwen, chaos en structuur. Een panel kreeg de kans om op elke presentatie te reageren.
37
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 38
Anticiperen op de toekomst De veranderende rol van de internal auditor
Control Rol/positie IA in organisatie • Kenmerken en aspecten Rol: • Assurance naar de Raad van Bestuur toe, er is sprake van veel regelgeving. • De IA is pro-actief, ontwikkelt nieuwe initiatieven, bewaakt aan de voordeur. Quality assurance in projecten. De IA levert een bijdrage in acquisitieprojecten. • Werkt de IA in de breedte of in de diepte? - Het werkveld verbreedt zich door nieuwe initiatieven, de consultancy is gericht op preventie. - Het werkveld wordt minder diep door de inbedding van control in de organisatie en is gericht op het in stand houden van het control framework. Positie: • De IA rapporteert aan de CEO, het vertrouwen is namelijk groot. • De rol van de auditcommissie blijft van belang, gegeven de druk vanuit de toegenomen regelgeving (het ervaren van nog meer verantwoordelijkheden). • De boardroom behoort tot het werkveld van de IA (dat is iets wat momenteel ontbreekt). • Door het effect van SOx en Tabaksblat is de rol van de externe accountant gemarginaliseerd, bijna beperkt tot het zetten van een handtekening. De rol van de interne accountant krijgt een groter gewicht. • Door de toenemende regelgeving en de wens van de toezichthouders komt er een grotere rol voor de toezichthouders en andere stakeholders. De ogen zijn meer gericht op de interne accountant.
Taken van IA/focus gebieden • Kenmerken en aspecten • Assurance: Er zal sprake zijn van een integrated audit (financial, operational, IT en compliance) op basis van COSO ‘VI’ (dit omvat ook de boardroom en strategie), alle vormen van auditing die we nu apart toepassen gaan we geïntegreerd uitvoeren. - We beperken ons tot de monitoring van internal controls. - We gaan meer steunen op control self assessments door het toenemen van het vertrouwen in regelgeving en in de organisatie. • De IA: een partner in development. • Kennis en kunde wordt aan de voordeur beschikbaar gesteld, we gaan niet achteraf constateren wat er fout is gegaan. • ‘a tempo auditing’, QA-rol op projecten. • Training, control awareness, dit is overigens niet perse het werk van de IA. • Het werkveld beslaat meer focusgebieden, er vindt een verbreding plaats. Nadere regelgeving vanuit de IIA is noodzakelijk in professional practices, maar ook in de uitingen die de auditor gaat doen, met name naar externe partijen als toezichthouders.
Resources en technologie IA • Kenmerken en aspecten Resources: • De auditcommissie heeft een grotere capaciteit dan nu, met meer mensen die afkomstig zijn uit de business. • Er vindt een specialisatie plaats, insourcing teneinde processen die dieper liggen te kunnen monitoren. • Zal de IA worden aangestuurd door een RA? Dat zal, afhankelijk van de business, verschillen. Technologie: • Er zal meer gebruik worden gemaakt van audit tools. We beperken ons hier tot het zogenaamde ‘smart sampling’, en richten ons niet op de gegevens gerichte auditing. • Continuous monitoring zal plaatsvinden binnen de organisatie, het toetsen door middel van real time auditing waardoor het signaleren al begint tijdens het proces. Hierdoor kunnen we er meteen op inspringen.
38
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 39
Anticiperen op de toekomst De veranderende rol van de internal auditor
Discussie panel & zaal Groei Niet verwonderlijk verwachtte men een groei van de afdeling internal audit, zowel kwantitatief als kwalitatief. De functie van internal auditors wordt breder. “We zullen in dit kwadrant niet meer de ondergeschoven partij zijn”, klonk het tevreden uit de zaal. “Verwachten jullie dat er nog meer mensen worden aangenomen?” vroeg Smit. “Dat is dan een positief verhaal.” “Ik verwacht juist dat het aannemen van meer mensen minder prioriteit zal hebben”, zei een deelnemer. “Ik denk dat ik met minder mensen hetzelfde of meer kan doen. We hebben dan namelijk wel multidisciplinaire mensen van een hogere kwaliteit.”
Vak aantrekkelijk maken Smit: “De helft van jullie verwacht dat we de komende jaren naar de control-fase toegaan. Wat betekent dat voor dit moment? Wat voor mensen zou je nu aan moeten nemen? Welke eisen kun je specifiek stellen? Denk er ook aan dat na de fase van control de fase van vertrouwen zal komen. Als je dan pro-actief wilt zijn, en je bent verantwoordelijk voor zo’n afdeling, dan moet je daar nu bij stilstaan en besluiten nemen.” “Ik denk wel dat je alles wat aantrekkelijker moet maken”, aldus een deelnemer. “Het beroep heeft een stoffig imago, en je moet een ander type mens zoeken. Je kunt niet alleen maar specialisten aantrekken. Je moet groepjes vormen, en de kennis die je zelf niet in huis hebt, moet je insourcen vanuit het bedrijf of vanuit consultants.” “Misschien moeten we het wel internationaal gaan zoeken”, opperde een panellid. “Of zouden we bijvoorbeeld meer vrouwen erbij moeten betrekken. Hoe dan ook is het waarschijnlijk handig om de ruimte die je hebt in de fase van vertrouwen te benutten om de geschikte mensen te zoeken voor de andere fasen.”
39
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 40
Anticiperen op de toekomst De veranderende rol van de internal auditor
Vertrouwen Rol/positie IA in organisatie • Kenmerken en aspecten • De IAD werkt meer ondersteunend aan het management, en ook gericht op expansie. • De IAD werkt als assurance provider maar opereert breder dan alleen op proces controls. • De IAD bekleedt nog steeds de rem-functie, ondanks de expansiegerichtheid. • De IAD bekleedt een zwaardere adviesfunctie. Dit maakt de rol van auditor moeilijker dan dat hij nu is. Momenteel praat iedereen over control en assurance, maar dat zal in de control-fase veel minder zijn. • De IAD heeft een awareness-functie voor strategische risico’s. • Er is veel ruimte voor operational audits gericht op efficiency en effectiviteit. • De IAD heeft een pro-actieve houding. Deze is naar de toekomst gericht en minder op het signaleren van wat er op dit moment fout gaat, de auditor gaat meedenken over de toekomst. • Een positionering onder de CFO is acceptabel, daar de CFO als spil in die expansiedrift een hogere positie inneemt. • De bezetting van de IAD komt onder druk te staan, je zou met minder mensen toe moeten kunnen.
Taken van IA/focus gebieden • Kenmerken en aspecten • Er komt een focus op soft controls als vertrouwen, integriteit. • De marketing van de IAD is tegen die tijd erg belangrijk; hoe krijgt de IAD draagvlak voor oordeel en advies? Krijgt de afdeling de financiële middelen daarvoor? • Er komt veel minder nadruk te liggen op compliance audits en financial audits. • Er zullen meer andersoortige audits (onderzoeken) als safety, health, duurzaamheid worden uitgevoerd. • De focus komt op de inrichting (de opzet) en minder op het detaillistisch checken van de werking. • We werken niet langer met follow-up audits. Als we iets geconstateerd hebben, hebben we vervolgens het vertrouwen dat dat verder goed gaat.
Resources en technologie IA • Kenmerken en aspecten • Er is veel aandacht voor het aansluiten bij de belevingswereld van het management. Helder communiceren, geen jargon: jip en janneke taal. • Er worden multidisciplinaire teams gevormd waarin bijvoorbeeld ook bedrijfskundigen, psychologen plaatsnemen. Als je je op soft controls wilt richten zul je ook die mensen moeten inschakelen. • Sociale vaardigheden zijn heel belangrijk. • Er is sprake van co-sourcing, van samenwerking met business teneinde de multidisciplinaire teams te vormen. • Het hoofd van de IAD is niet per definitie een RA. • De houdbaarheidsdatum van het hoofd van de IAD wordt korter, wanneer factoren als soft controls in het spel komen. Sociale verhoudingen spelen een rol, er ontstaat een vooringenomenheid, en dan past het niet om 5 jaar lang hetzelfde hoofd IAD te hebben. • De IAD faciliteert door de mensen zelf uit te voeren control self assessments, en gaat niet zozeer meer kijken naar de werking ervan. • Er wordt gezamenlijk een normenkader opgesteld. • Er zal meer gebruik worden gemaakt van benchmarks. • Er is meer ruimte voor maatwerk in tooling, in te hanteren modellen. We gaan ons niet meer richten op product tools voor het exact vastleggen van het dossier, want dat doen we dan ook niet meer.
40
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 41
Anticiperen op de toekomst De veranderende rol van de internal auditor
Discussie panel & zaal “We gaan naar het warme scenario van vertrouwen”, zei Smit. “We schaffen we de regels af want die hebben we dan niet nodig. We zitten nu in een sfeer die lijkt op die van de jaren negentig. De zaak is aan het uitbreiden, er is vertrouwen, het management wil expansie. In dit scenario vinden we de meeste rust. Maar we moeten niet vergeten dat het de stilte voor de storm is. Ik zie in dit scenario alleen maar blauwe luchten, en je zou verwachten dat juist jullie scherp blijven letten op naderend onweer.” Alert op early warnings “Dat is dus die remfunctie die we hebben ingebouwd”, zei een van de opstellers van het schema daarop. “Wij denken wel dat de functie van internal auditor in dit kwadrant wat minder zwaar is dan die op dit moment is.” “Denk aan Japan, waar momenteel alles gebaseerd is op vertrouwen”, merkte een deelnemer uit de zaal op. “Het is heel moeilijk om daar goede Engelssprekende monitors te vinden, en de mensen zijn er niet opgevoed met het idee van controle. Je moet je dan goed bewust zijn van je rol, en uitkijken dat de controle niet uitmondt in het verplichte nummertje.” Ik ben het met je eens dat we meer mensen nodig hebben en dat we in deze fase erg attent moeten zijn op early warnings dat het mis dreigt te gaan. Verder moeten we meer gebruik maken van de competenties binnen het bedrijf als het gaat om de soft controls.” Wat voor mensen hebben we nodig om die wolken tijdig te zien aankomen? “Mensen met visie”, meende een panellid. “Goede mensen die niet al te meegaand zijn.” “Maar wat in het verleden vaker gebeurd is bij internal audits en de interne accountantsdienst, was dat mensen die niet zo goed functioneerden in een tijd van overvloed makkelijk werden ‘weggezet’ bij die accountantsdienst. Juist in zo’n periode van vertrouwen kan ik me dat ook wel voorstellen, maar dat is voor het vak geen winst. Waar zitten dan de onafhankelijke geesten die je nodig hebt?” “Zou de auditcommissie die rol niet moeten vervullen?”, vroeg een panellid zich met instemming van de zaal af. “De auditcommissie is helemaal buiten beeld in dit scenario. Terwijl die juist in staat zijn die wolken te zien aankomen!”
41
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 42
Anticiperen op de toekomst De veranderende rol van de internal auditor
Chaos Rol/positie IA in organisatie • Kenmerken en aspecten Rol: • De IAD is een partner in risicomanagement, maakt een assessment van de chaos, om zodoende grip op de zaak krijgen. • De IAD is een partner in overleven op het gebied van cash flow management, kostenreductie, systemen, processen, rules, etc.. • Assurance is minder belangrijk, in deze fase zelfs absoluut ondergeschikt. • Flexibiliteit is vereist om zich aan te kunnen passen aan de veranderende omgeving (chaos). Positie: • De positie van de IAD is dicht tegen management aan. • De onafhankelijkheid is nu minder belangrijk.
Taken van IA/focus gebieden • Kenmerken en aspecten • Het actief spotten van risico’s en het wegen ervan (‘lijken in de kast’), samen met het management (het maken van een goede risicoanalyse, van inventarisatie threats) is een belangrijke taak. • Het actief spotten van quick wins (in onder andere cash flow, kosten), van een quick fix. Hier kun je je partnership laten zien, en een bijdrage leveren. • Het actief bijdragen aan proces- en systeemverbeteringen, het scheppen van kaders. • Een hands-on bijdrage leveren, coöperatie gaat voor onafhankelijkheid, onderdeel uitmaken van het team.
Resources en technologie IA • Kenmerken en aspecten • Samen optrekken met managers. • Competenties als verandermanagement, risicomanagement, organisatiekunde, projectmanagement zijn belangrijk. • Dit heb je niet allemaal in huis, dus: een flexibele inhuur van medewerkers, outsourcing, co-sourcing zal plaatsvinden. • Er zijn minder ‘echte’ auditors, accountants nodig, we werken niet meer vanuit het traditionele gebeuren. • De technologie, de tools ter ondersteuning in de reguliere auditactiviteiten zijn minder relevant. • Moet je het hoofd IAD na chaos-fase handhaven?
42
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 43
Anticiperen op de toekomst De veranderende rol van de internal auditor
Discussie panel & zaal Smit: “Een groot deel van dit gezelschap ziet de chaos-fase als een zeer reële mogelijkheid voor 2010. Toch zagen we ons tijdens de discussie ook wel in de control-fase zitten. Maar goed, in de chaos-fase zijn er veel mogelijkheden voor de auditcommissie om toegevoegde waarde te bieden. In feite komen jullie allemaal uit de fase van chaos, van de afgelopen jaren. Heeft deze ervaring jullie nog geholpen? Zet je nu dingen op papier waarvan het jammer is dat je die niet vier jaar geleden hebt bedacht? Stel dat je er over een aantal jaren weer in terecht komt, kom je er dan sneller weer uit?” “Ik denk dat je in die situatie sneller zult moeten afwijken van het pad dat je op dat moment volgt”, zei een deelnemer. “De vorige keer bleven we zelf te lang in onze oude rol hangen.” Afstand nemen Op welke manier kan dat in de toekomst voorkomen worden? “Door afstand te nemen van de druk van alledag, je planningsproces beter opzetten, elk jaar met elkaar doorspreken in welke fase je zit en wat er op dat moment nodig is”, stelde een deelnemer voor. “En je standaardbrilletje afzetten, om je heen kijken en zien wat er in je omgeving en binnen het bedrijf anders is dan in de voorgaande jaren.” Rampenplan “In de chaos-fase zien we ook dat onafhankelijkheid minder belangrijk wordt gevonden”, zag Smit. “Blijkbaar gaat het in deze fase meer om overleven. Kunnen we nu een plan maken om ons daarop voor te bereiden? Stel dat alles over een paar maanden omslaat. Wat kunnen we hier dan uit meenemen?” “De prioriteiten komen anders te liggen. De ratio’s gaan onderuit, en het gaat alleen nog om cash. Gewoon om harde cash”, meende een deelnemer. “We moeten eerst maar eens bepalen wat die chaos nou precies is”, vond een ander. “Ik denk dat er behoorlijk veel verschillende meningen over zijn. Zie je het als een externe kracht, of als iets dat in je organisatie zit? Daar volgt een heel andere stijl uit.” “Volgens mij kun je je niet echt op chaos voorbereiden”, aldus een panellid. “Je kunt wel een zekere robuustheid inbouwen en letten op de conjunctuurgevoeligheid van je organisatie.” “Jullie geloven dus niet in een rampenplan?”, vroeg Smit. Een deelnemer antwoordde: “Wij wel. Wij doen elke drie maanden een rollenspel waarin je dit soort dingen kunt verbeelden. We stellen ons bepaalde rampen voor. Zo leer je elkaar kennen en kom je erachter wie wat aankan.” Een vraag aan de zaal om na te denken over dingen die in de chaosfase waardevol konden zijn leverde nog een paar suggesties op, van crisismanagement en een back-up van het complete computersysteem tot het idee om internal auditors repressiever te laten optreden en managers die over de schreef zouden gaan met schande overladen te ontslaan. Smit beperkte de vraag en informeerde naar methoden om snel te weten wat er bij calamiteiten aan noodkredieten beschikbaar is. Een deelnemer uit de financiële sector had daar direct een antwoord op. “Dat is iets waar de toezichthouders ook sterk op letten. Ze willen niet dat een financiële instelling in een liquiditeitscrisis komt. Dus dat soort scenario’s liggen op papier vast en worden regelmatig getoetst. Je kunt je bijvoorbeeld afvragen wat het betekent als er een vertrouwenscrisis is waardoor alle klanten hun geld opvragen en de banken al het spaargeld wegtrekken.” Onafhankelijk blijven Smits idee om, met het oog op dergelijke scenario’s, de onafhankelijkheid van de internal auditor dan maar direct op het tweede plan te zetten, vond geen instemming in de zaal. “Ja”, gaf Smit toe, “dat zou betekenen dat je die onafhankelijkheid weer opnieuw zou moeten bevechten als je weer in de fase van control komt.”
43
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 44
Anticiperen op de toekomst De veranderende rol van de internal auditor
Structuur Rol/positie IA in organisatie • Kenmerken en aspecten Kernrol verandert niet: • In deze fase verwachten we weinig verrassingen. • Er vindt een onafhankelijke assessment plaats van de interne beheersing. • Het accent ligt op meedenken. Ontwikkelingen binnen de kernrol: • Er ligt een grotere nadruk op compliance vanuit het risicoperspectief van het bedrijf. • De IA denkt meer pro-actief mee met het senior management. Positie: • De band tussen de internal audit en de auditcommissie wordt sterker. • Je ziet een volwassen internal-auditfunctie binnen (met name) beursgenoteerde bedrijven.
Taken van IA/focus gebieden • Kenmerken en aspecten • Er is meer aandacht voor enterprise risk management. • Er is meer aandacht voor compliance. • Er is meer aandacht voor integriteit, voor soft controls. • De IA wordt ingezet als instrument van de auditcommissie. • Er is meer aandacht voor eigen kwaliteitstandaarden (zoals IIA standaarden).
Resources en technologie IA • Kenmerken en aspecten • Er wordt gebruik gemaakt van meer specialistische kennis (bijvoorbeeld de inzet van hackers, juristen). • Er is sprake van meer diversiteit (meer niet-RA’s worden ingezet). • We gebruiken een flexibeler resource model (in- en outsourcing). • Er is een ander type auditor; er is meer behoefte aan een pro-actieve, communicatieve auditor. • Er is meer aandacht voor de kwaliteit van auditors. • Er ligt meer nadruk op people management, op het behouden van goede mensen.
44
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 45
Anticiperen op de toekomst De veranderende rol van de internal auditor
Conclusie: zelf het heft in handen nemen “De fase van structuur lijkt sterk op de huidige situatie”, zei Smit. “En internal audit, de naam zegt het al, is erg naar binnen gericht. Maar is dit nou niet juist de fase waarin je naar buiten moet gaan? Moeten jullie geen deel uitmaken van het debat over nieuwe regelgeving? De rollen worden opnieuw gedefinieerd. Ik proef dat er een zekere weerstand moet worden overwonnen om het voortouw in de discussie te nemen. Iemand als Frijns lijkt ervoor open te staan om ook internal auditors op te nemen in de monitoringcommissie. Maar hij zal er niet zelf over beginnen. Ik zou internal auditors bijvoorbeeld graag vaker terugzien op de discussiepagina van het FD. Want daar begint het mee. Zo krijg je een zichtbare positie. Jullie twijfelen soms zelf aan jullie communicatieve vaardigheden, maar onderling kunnen jullie prima onder woorden brengen wat je ervan vindt. Je hoeft het ook niet altijd met elkaar eens te zijn. Geef je mening! Twijfel daar niet aan. Eis die aandacht en start onderling een openbare discussie om de positie van de internal auditor mee te nemen in de nieuwe corporate governance en de nieuwe regelgeving.”
Wim Eysink (partner, Deloitte) voegde aan de slotwoorden van Jeroen Smit nog de volgende conclusie toe: “Het seminar heeft zeer waardevolle ideeën opgeleverd over de toekomstige ontwikkelingen in corporate governance en de mogelijke rol van internal audit hierin. Internal auditors zijn gewend om van buiten naar binnen te kijken. Ik heb me vandaag gerealiseerd dat we dat wel eens te veel doen. We kijken naar wat er van ons wordt verwacht en reageren daar vervolgens op. Wat deze bijeenkomst duidelijk heeft gemaakt is dat we zelf het heft in handen kunnen nemen om te bepalen hoe we over belangrijke zaken denken. In de scenario’s van vandaag hebben we kunnen zien dat de toekomst niet alleen wordt gemaakt door degenen die onze diensten afnemen, maar ook door onszelf. Het is goed om ons ervan bewust te zijn dat we wel degelijk vanuit een eigen visie kunnen optreden als sparring partner. We moeten die visie verder uitwerken en er ook actief aandacht voor vragen. Perspublicaties en andere artikelen zijn een effectieve manier om in de openbaarheid te treden, juist als ze niet alleen maar in de eigen vakbladen verschijnen. We zouden ook de dialoog moeten zoeken met de commissie-Frijns. Hij heeft erkend dat er een verschil is tussen interne en externe accountants, en heeft ook toegegeven dat het onlogisch is om de een wel te consulteren en de ander niet. Daar ligt een kans die we zeker moeten aangrijpen. Tot slot wil ik nog zeggen dat ik het erg leuk heb gevonden om iedereen hier bij elkaar te zien en dat ik verheugd ben over het enthousiasme en de betrokkenheid van de deelnemers. Ik ben er absoluut voor om dit initiatief in de een of andere vorm door te zetten. Het is tijd voor nieuwe ideeën en een nieuwe visie.”
45
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 46
Anticiperen op de toekomst De veranderende rol van de internal auditor
Bijlage: CFO’s over corporate governance en internal audit
46
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 47
Anticiperen op de toekomst De veranderende rol van de internal auditor
“Het transparantiemaximum is nu wel bereikt.” Voorafgaand aan het seminar spraken we met verschillende CFO’s van beursgenoteerde ondernemingen uit uiteenlopende sectoren en met enkele toonaangevende beleidsmakers van financiële instellingen. We vroegen wat naar hun mening de invloed is van corporate governance en internal governance op het werkterrein van de internal auditor. Hieronder treft u een selectie aan van de reacties. Om de privacy van de deelnemers te waarborgen zijn alle bijdragen geanonimiseerd. De invloed van corporate governance en internal governance op het werkterrein van de internal auditor
Compliance brengt allerlei ontwikkelingen met zich mee in het kader van SOx en leidt onder meer tot deregulering. Verwacht u dat die lijn wordt doorgezet? “Het is, zoals met zoveel dingen in het leven, een kwestie van twee stappen vooruit en één achteruit. Er wordt veel geklaagd over de regelgeving. IFRS ondervindt ook in toenemende mate kritiek. Met name vanwege het feit dat er elk jaar een nieuw, dik boek met regels uitkomt dat iedereen moet lezen. Laten we in ‘s hemelsnaam Amerikaanse toestanden, waar raden van bestuur vergaderen met compliance officers en niemand meer durft te praten uit angst voor de consequenties, vermijden.” “Regelgeving op basis van best practices is te vrijblijvend. Datgene waar het echt om gaat zal formeel in wetgeving moeten worden vastgelegd, om naleving af te dwingen.” “Als je de compliance goed inricht krijg je meer transparantie. Ik heb mijn mening de afgelopen periode iets bijgesteld. Eerst was de algemene teneur in Nederland: het zijn wel heel veel regeltjes en het kost allemaal vreselijk veel geld. Ik denk nu dat een nulmeting van het interne beheersingssysteem heel nuttig kan zijn - en dat de regelgeving dat afdwingt. Er treden continu veranderingen op. Je moet je daar als bedrijf op instellen, omdat er met die veranderingen ook andere risico’s op je bedrijf afkomen. Je moet je dus steeds afvragen of je systeem van interne beheersing nog wel voldoet en of je daar nog wel op de juiste manier verantwoording over kunt afleggen. De wetgever wil dat wij in staat zijn om die controls te identificeren, waarbij we financiële onjuistheden jaarlijks kunnen voorkomen. En dat we die onjuistheden, áls ze plaatsvinden, tijdig kunnen opsporen. Gewoon terug naar de basis van het accountantsvak. Essentieel is wel dat het top-down gebeurt. Je krijgt dan veel meer inzicht. Ik voel me nu veel comfortabeler om te rapporteren en verantwoording af te leggen. Zeker als de accountant langskomt. Mijn interne compliance is veel strikter.”
47
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 48
Anticiperen op de toekomst De veranderende rol van de internal auditor
“Regelgeving op basis van best practices is te vrijblijvend.”
“De verhoogde aandacht voor corporate governance en regelgeving blijft, maar tegelijkertijd er is meer ruimte voor pragmatisme. Er zal steeds meer gefocust worden op de essentie. Amerika kent een heel formeel systeem, maar je moet pragmatisch zijn om de essentie af te dekken. De wereld staat niet stil, ook niet in China. In China zullen ze niet voor een vormsysteem gaan maar juist voor een inhoudelijk systeem. Zeker als ze op de internationale financieringsmarkt komen. Af en toe zullen we even een stapje terug doen, maar substance over form zal de trend zijn.” “Als er iets misgaat, krijg je altijd overreactie. Daarom verwacht ik dat we nu tegenreacties gaan krijgen. Het wordt allemaal veel te veel. De ene helft van Nederland houdt toezicht op de andere helft. Er mag ook zoiets bestaan als echt vertrouwen. We moeten oppassen dat we niet alles wat we doen gaan verantwoorden. Emerging markets staan nog aan het begin. Laten we wel wezen: daar gaat het een keer verschrikkelijk mis. De hele governancestructuur en de wet- en regelgeving is er buitengewoon matig. Waar wij allang geweest zijn, daar moeten zij nog komen. Overregulering, zoals bij ons, is echter ook niet goed. We moeten ergens in het verstandige midden uitkomen.”
“Af en toe zullen we even een stapje terug doen, maar substance over form zal de trend zijn.”
“In een land als China treedt weer een ander effect op. Daar komt het voor dat men wantrouwen in een bepaalde productgroep of de regelgeving daaromtrent, tracht te compenseren door een overmatige hoeveelheid regelgeving op dat gebied te introduceren. De regelgeving, niet de kwaliteit van het product wordt ingezet om het vertrouwen te herstellen.” “Ik geloof in different compliances for different purposes. Ik heb een compliance nodig voor mijn interne bedrijfsvoering, maar er ligt een nadrukkelijke scheiding tussen de compliance die nodig is om aandeelhouders een mate van zekerheid te bieden en de compliance die ik nodig heb als bestuurder of als commissaris.”
Worden er in de toekomst steeds meer eisen gesteld aan de transparantie van ondernemingen of juist niet? “Transparantie, transparantie, alles moet transparant. Daar ben ik geen voorstander van. Je krijgt dan zo’n sfeertje van: niemand doet zijn gordijnen dicht, zodat we allemaal bij elkaar binnen kunnen loeren. Want iemand die de gordijnen dicht doet... je weet maar nooit. Kijk naar de topsalarissen: die zijn allemaal transparant. Daardoor is het een rat race geworden, want iedereen zit naar elkaar te koekeloeren. Wat helpt dat? Transparantie moet een middel zijn en geen doel. Een middel om vertrouwen te houden, wat moet leiden tot een zekere mate van gezonde verantwoording bij mensen.” “Het transparantiemaximum is nu wel bereikt. Er is bij sommige organisaties zelfs sprake van een datadump. Er moeten tegenwoordig zoveel gegevens in de jaarrekening dat je je kunt afvragen of dat nog waardevolle informatie is. De informatie die je geeft moet bijdragen aan het kennisbeeld van de gebruiker. Je kunt een hoop getallen over de aandeelhouders uitstorten, maar wat hebben die daar in de praktijk aan? We hebben meer pragmatisme nodig. Laten we in de gaten houden wat de doelstellingen zijn en alleen de dingen doen waar het echt om gaat. Ik pleit voor een no-nonsense-aanpak, anders kan er ook geen geld verdiend worden. De transparantie moet niet worden uitgebreid, maar moet evenwichtiger worden. Regelgeving moet wel om de inhoud draaien.” “Wij zijn pro-actief bij disclosure, en communiceren op voorhand met de buitenwereld over wat we verwachten of zien aankomen. Ik raad iedereen aan maximaal te communiceren met de aandeelhouders en dat niet alleen achteraf te doen in de jaarrekening. Openheid vooraf over verwachtingen heeft mijn voorkeur boven het achteraf uitleggen van voldongen feiten.”
48
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 49
Anticiperen op de toekomst De veranderende rol van de internal auditor
“Bij elke stap die ik doe, heb ik vijf persconferenties nodig.”
Komt de sturing van de onderneming verder in handen van de aandeelhouder of van de board? “Het wordt een interessant gevecht. Je ziet nu ook ondernemers die denken: Ik haal mijn bedrijf gewoon van de beurs af. Ik stop ermee. Bij elke stap die ik doe, heb ik vijf persconferenties nodig. Dan zit ook de AFM nog in de zaal en als ik een verkeerde komma zet, dan word ik opgehangen. Waar ben ik in godsnaam mee bezig? Ik haal mijn centen wel op een simpelere manier, bijvoorbeeld via private equity. Ik ga gewoon ongenoteerd verder.” “De board blijft de onderneming sturen, maar de aandeelhouder wordt een steeds sterkere partij.” “We constateren meer shareholders activism op dit moment. Er is veel meer mondigheid bij de aandeelhouders die niet vinden dat de volledige waarde uit hun aandelen komt. Dat kan leiden tot aandeelhoudersactie. Maar ik geloof dat sturing in het bedrijf primair een zaak blijft van het bestuur. Als het gaat om het maken van strategische keuzes nemen de meeste bedrijven de aandeelhoudersmening mee als een punt op de agenda.” “Er is sprake van een onomkeerbaar proces. Het is zeker waar dat aandeelhouders veel kritischer zijn geworden. We zullen dus een intensievere discussie moeten voeren met aandeelhouders. Maar de leiding is en blijft in handen van het management en het bestuur.”
Neemt het vertrouwen van het publiek in organisaties toe of juist af?
“De regelgevers veronderstellen a priori onveiligheid. Dus zijn we dingen aan het repareren die niet kapot zijn.”
“De shareholder gaat ervan uit dat alles goed is tot het tegendeel bewezen is. Er is nooit iemand die ook maar één vraag stelt over de corporate-governancestructuur of over internal control. Niemand vraagt zich af wat de specifieke tekst van een internal control nou eigenlijk inhoudt. Het is sowieso goed, zolang het top-management doet wat het zegt. De regelgevers veronderstellen echter a priori onveiligheid. Dus zijn we dingen aan het repareren die niet kapot zijn. Het toezicht is overdreven. Dat wordt ervaren als een last en levert geen extra waarde op. De wetgevers moeten de balans zoeken en zich afvragen wat de markt nu echt nodig heeft. Maar wetgevers willen transparantie over strategie en risico, over mijn beloning en waar die van afhangt. En ze willen ook weten of je concrete plannen hebt en hoe je die denkt uit te voeren. Ik heb wel eens het gevoel dat de perceptie van hen die zijn aangesteld om de maagd te bewaken, anders is dan de perceptie van de maagd die weet dat ze al tien jaar geen maagd meer is.”
Zal het publiek vertrouwen blijven hebben in organisaties, of argwanend worden vanwege veiligheidsrisico’s als hacking? “Dat is een boeiend vraagstuk. Organisaties hebben er belang bij om het risico te verlagen. Een laag risico verhoogt de waarde van je onderneming. Hoe kun je dat managen? Als er vertrouwen is gaat men ervan uit dat dingen goed gemanaged worden. Als er geen vertrouwen is ontstaan onzekerheden. Tegen die onzekerheden worden voorzieningen getroffen, maar daar betaal je wel een prijs voor. De waarde van een onderneming wordt bepaald door de toekomstige cashflow. Stel: een organisatie gaat er vanuit dat ze een groei van 10 procent per jaar kan realiseren. Maar dan zegt iemand binnen de organisatie: ‘dat is wel heel optimistisch, we hebben wel te maken met nieuwe regelgeving. Dat betekent onzekerheid, laten we daarom maar 2 procent marge nemen.’ Dat betekent dat de discounted cashflow omlaag gaat, want die onzekerheden moet je ergens verrekenen. Wantrouwen heeft dus een directe invloed op de waarde van de onderneming.” “De Anglosaksische regelgeving lokt soms neurotische reacties uit. Er gaat iets verkeerd en er worden weer vijf nieuwe regels verzonnen. Er moet een reactie gegeven worden naar de markt, en die is vaak neurotisch in plaats van inhoudelijk gedreven.”
49
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 50
Anticiperen op de toekomst De veranderende rol van de internal auditor
Zullen organisaties eerder adaptable enterprises worden, waarbij een organisatie bestaat uit bouwstenen die eenvoudig zijn op te bouwen danwel af te stoten, of is de toekomst aan sterk verweven en geïntegreerde organisaties?
“Wij praten hier altijd maar over substance, maar de vorm komt nooit.”
“Organisaties zullen steeds meer reageren op de grotere macht van aandeelhouders. Wil ik een optimaal rendement halen uit in mijn organisatie, dan zou ik zo veel mogelijk gebruik moeten maken van mijn economy of scale. Dat betekent dat ik alle onderdelen van de organisatie zo goed mogelijk moet integreren en efficiencyresultaten moet behalen. Maar als er iets niet goed gaat, kan ik die fiets wel aan de kant zetten en moet ik de organisatie ontvlechten. Dat punt van ontvlechten zal eerder bereikt worden. Waar je in het verleden gewoon maar doorging op dat efficienyvoordeel moet je nu voorzichtiger te werk gaan, want uit een organisatie die zo is opgebouwd kun je moeilijker iets afstoten. Als elk onderdeel een zelfstandige organisatie is, dan is het eenvoudiger om te ontvlechten. Aangezien aandeelhouders mondiger zijn zal ik er meer rekening mee moeten houden dan ik vroeger gedaan zou hebben.”
Worden de toekomstige industriële ontwikkelingen gedreven door Angelsaksische landen of door de emerging markets? En worden organisaties in de toekomst meer gedreven door control of door ondernemerschap?
Over de ontwikkeling van de internal auditfunctie, nu en in de verder weg liggende toekomst
“In de Amerikaanse benadering is de vorm altijd belangrijker dan de inhoud. Dat geeft overigens wel meer duidelijkheid. Een zekere mate van pragmatisme is de Amerikanen niet vreemd. Als ze zien dat iets niet werkt, passen ze het gewoon aan. Ik zie die invloeden ook elders in Europa terug. Het grote voordeel is dat er tenminste wat wordt gedaan. Wij praten hier altijd maar over substance, maar de vorm komt nooit.”
Over de ontwikkeling van de internal auditfunctie, nu en in de verder weg liggende toekomst
Hoe ziet u de structuur van de auditfunctie qua samenstelling, bemensing en verantwoordelijkheden? Wordt de IA in- of extern? En welke rol speelt de IA als onderdeel van de internal governance? “Het hoofd Financiële Accounting stelt de jaarrekening op en zorgt voor de communicatie op dat vlak. Vervolgens kijkt de externe accountant wat hij ervan vindt. Dan is het een discussie tussen financial accounting en de externe accountant. De interne accountant is veel meer een auditor. Ik ben er niet voor dat internal audit een zelfstandige positie krijgt tegenover de auditcommissie. Als er dingen fout gaan moet de internal auditor kunnen zeggen: ik meld mij nu bij de president-commissaris. Maar als je een reguliere lijn hebt tussen internal audit en de auditcommissie krijg je een soort staat binnen de staat. Daar moet je heel voorzichtig mee zijn, anders weet de internal auditor niet meer wie zijn baas is. Naar mijn mening is je baas degene die je salaris betaalt. De internal auditor moet niet het maatje worden van de Raad van Commissarissen.” “Internal auditors moeten zich steeds breder gaan oriënteren. Zo zullen ze bijvoorbeeld het management gaan ondersteunen bij operational controls. Dat betekent dat internal audit uit meer bestaat dan alleen uit RA’s. Uiteindelijk moet de internal audit de waardecreatie van de organisatie gaan ondersteunen. Waar geen waarde was moet waarde gecreëerd worden voor de organisatie.” “Internal audit valt onder de controllers en niet direct onder de CFO.”
50
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 51
Anticiperen op de toekomst De veranderende rol van de internal auditor
“De internal auditor moet niet het maatje worden van de Raad van Commissarissen.”
“Internal audit is een functie van internal governance en valt direct onder de CFO. Internal audit wordt in onze organisatie benut om het comfortgevoel te vergroten, met name bij processen en waarderingen. De auditcommissie heeft als gebruiker ook belangen bij internal audit.”
Aan wie en hoe vaak rapporteert de internal auditor? Welke reikwijdte heeft de assurance? “Internal audit zou geen aparte rapportering moeten organiseren, maar als verlengstuk moeten opereren van het interne control-framework. De internal auditor moet een directe rapportagelijn hebben met de auditcommissie. Op directieniveau zou men een in-controlstatement moeten krijgen en een navenante rapportering door internal audit.” “Ik zie een transformatie van een klassieke operazangeres die massief aanwezig is naar een lenige balletdanseres die in staat zal moeten zijn om een spagaat te maken. Vroeger deed je je verhaal, je zong het de zaal in, en dat was het dan. Terwijl je nu veelzijdigheid aan de dag moet leggen. De spagaat waar ik op doel heeft te maken met het verstrekken van zekerheid en transparantie aan de toezichthouder en aan de Raad van Commissarissen. Het hoofd internal audit van vandaag moet over een sterke persoonlijkheid beschikken en ook onder moeilijke omstandigheden zijn recht houden. Aan de andere kant is het hoofd internal audit meer dan ooit het instrument van het management, om ervoor te zorgen dat zaken die zijn afgesproken worden nageleefd. Dat noem ik een spagaat. Ik kan de bonus voor de internal auditor niet aftekenen. Dat kan alleen de voorzitter van de auditcommissie. De auditcommissie wil dat er geen operationele targets in de verklaring staan die in tegenspraak zijn met datgene wat als primaire verantwoordelijkheid wordt gezien: het afleggen van verantwoording aan de buitenwereld. Daar heeft de auditcommissie een instrument voor nodig dat zekerheid geeft, namelijk de internal auditor. Ik heb zelf echter meer de behoefte om te kijken of er gebeurt wat we hebben afgesproken. Daar heb ik, als CFO, de internal auditor voor nodig.”
“Persoonlijke effectiviteit hangt sterk af van de mate waarin je op het belevingsniveau van een manager kunt komen.”
“Procesdenken gebeurt in een bedrijf niet automatisch. Als je alles op zijn beloop laat krijg je verzuiling. Persoonlijke effectiviteit hangt sterk af van de mate waarin je op het belevingsniveau van een manager kunt komen. Zoiets kun je niet trainen, dat moet je ook niet proberen. Tien jaar geleden was internal audit een rustplaats voor bejaarden, iets wat je de rest van je loopbaan kon doen. Het was helemaal niet spannend. Dat is sterk veranderd. Je zult je veel eerder aan omstandigheden moeten kunnen aanpassen. Dus heb je adaptieve mensen nodig.”
De reikwijdte van internal audit “Als internal audit niet kaderstellend is kan ze wel assurance geven. Tot haar taken behoren dan niet inrichting of uitoefening, maar wel de assurance. Ook compliance is een systeem dat internal audit niet kan uitvoeren, maar waar ze wel toezicht op moet uitoefenen. Risicomanagement is een verantwoordelijkheid van de controller. Bij onze organisatie is internal audit niet meer verantwoordelijk voor de externe rapportering, maar wel voor de kerngebieden financial, IT en operational audit.” “De interne accountant moet fungeren als een verlengstuk van het management en de advisory board. Een internal auditor is per definitie niet echt onafhankelijk. Internal audit is een instrument van het management. Maar als verlengstuk van het management moet ze bij de verschillende business units wel voldoende mandaat krijgen, om daar onafhankelijk te kunnen optreden en ondersteuning van de CFO te hebben.”
51
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 52
Anticiperen op de toekomst De veranderende rol van de internal auditor
De kennis en bemensing van internal audit “Er staat veel spanning op, goede mensen willen zelf in de organisatie invulling geven aan controls. Toetsing vraagt om inhoudelijkheid en conceptueel denken, wat niet iedereen gegeven is.”
De CFO is een gebruiker van de internal-auditdienst. Welke andere aspecten zijn vanuit zijn perspectief van belang voor de positionering? “Voor het management is het essentieel om transparant naar de markt te blijven en verantwoording te kunnen blijven afleggen aan de buitenwacht. Daarvoor moet je een organisatie hebben die vastlegt wat ze doet en hoe ze dat doet, targets die helder zijn en een internal auditor die snapt wat er in die business gebeurt. Hier ligt de grootste uitdaging: kennis hebben van de business, tegen de achtergrond van waar je voor opgeleid bent. Wat zijn de doelstellingen die het bedrijf zich heeft gesteld en hoe denkt men daar te komen? Welke processen en procedures hebben ze ingericht om er te komen? Wat voor risico’s zitten daarin, en zijn die er op de juiste manier uitgefilterd? Dat kan van enorme toegevoegde waarde zijn voor een bedrijf. Niemand verwacht van een internal auditor dat hij als een consultant op een stoel gaat zitten en vertelt hoe je dingen anders had moeten doen. Nee, het gaat om de reductie van onzekerheid. Het is het managen van executierisico.” “Internal control, interne beheersing en internal audit zijn helemaal niet leuk voor de mensen in de business. Je moet het dus zo brengen dat ze je zien als toegevoegde waarde: als wij het goed doen, dan beperkt dat het risico dat je voorafgestelde business-targets niet haalt.”
52
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 53
Anticiperen op de toekomst De veranderende rol van de internal auditor
Deelnemende bedrijven: ABP Akzo Nobel ASML Buhrmann Connexxion Corus DSM Getronics Hagemeyer Heineken ING Interpay
Liberty Global Nuon PGGM Rabobank Randstad Robeco Schiphol SNS Reaal Sovion Telegraaf Wolters Kluwer
53
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 54
Anticiperen op de toekomst De veranderende rol van de internal auditor
Deloitte Enterprise Risk Services Alles onder controle
Enterprise Risk Services Wilt u slagvaardig opereren, dan is het van essentieel belang dat u kunt vertrouwen op een waterdichte beveiliging van uw strategie, uw organisatie, uw informatie, uw operations, uw technologie en uw financieel management. Enterprise Risk Services biedt u die zekerheid. Hierin heeft Deloitte alle diensten gebundeld op het gebied van risicomanagement en control, inclusief onze IT-auditdiensten. Enterprise Risk Services pakt risico’s voor u aan Elke organisatie staat bloot aan talloze risico’s die u waarschijnlijk liever wilt vermijden. In veel gevallen biedt Enterprise Risk Services een op maat gesneden oplossing. We brengen in kaart wat u wilt bereiken, welke risico’s u daarbij loopt en welke maatregelen u kunt treffen om die risico’s in de hand te houden. De uitvoering van die maatregelen wordt kritisch gevolgd, waarna de effectiviteit van het hele proces nauwkeurig wordt beoordeeld. Een breed scala aan diensten Enterprise Risk Services kan u op veel gebieden van dienst zijn. Zo kunt u bij ons terecht voor interne auditdiensten, strategische risicobeoordelingen, het plannen en beoordelen van uw auditfunctie, het begeleiden van veranderingsprocessen, het uitbesteden van gespecialiseerde diensten of zelfs van uw volledige auditfunctie, interne audittraining en het analyseren van uw bedrijfscultuur. En dan hebben we het nog niet over zaken als communicatietechnologie en de beveiliging van uw informatiesystemen. Kortom: we bieden u alle mogelijkheden om slagvaardiger te opereren en uw klanten beter van dienst te zijn. Meer weten? Wilt u meer informatie over internal audit services, of over andere diensten van Enterprise Risk Services, neem dan contact op met: Deloitte Enterprise Risk Services Orlyplein 10 Postbus 175 1180 AD Amstelveen Tel: +31 (0)20 454 75 00 Fax: +31 (0)20 454 71 11
[email protected] www.deloitte.nl
Productie: Marketing Communications, Deloitte Tekst en vormgeving: GRAS communicatiebureau Fotografie: De Jong Bekedam Fotografen Drukwerk: Thieme Media Services
54
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 55
Anticiperen op de toekomst De veranderende rol van de internal auditor
55
deloitte_ERS28.qxd
28-08-2006
14:39
Pagina 56
Deloitte is met ongeveer 6.000 medewerkers en kantoren door heel Nederland de grootste organisatie op het gebied van accountancy, belastingadvies, consultancy en financiële advisering. Deloitte Nederland is een onafhankelijke memberfirm van Deloitte Touche Tohmatsu, met 135.000 medewerkers en vestigingen in 150 landen. Wilt u meer informatie over internal audit services, of over andere diensten van Enterprise Risk Services, neem dan contact op met: Deloitte Enterprise Risk Services Orlyplein 10 Postbus 175 1180 AD Amstelveen Tel: +31 (0)20 454 75 00 Fax: +31 (0)20 454 71 11
[email protected] www.deloitte.nl © Deloitte, september 2006
Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, its member firms, and their respective subsidiaries and affiliates. Deloitte Touche Tohmatsu is an organization of member firms around the world devoted to excellence in providing professional services and advice, focused on client service through a global strategy executed locally in nearly 150 countries. With access to the deep intellectual capital of approximately 135,000 people worldwide, Deloitte delivers services in four professional areas—audit, tax, consulting and financial advisory services—and serves more than one-half of the world’s largest companies, as well as large national enterprises, public institutions, locally important clients, and successful, fast-growing global growth companies. Services are not provided by the Deloitte Touche Tohmatsu Verein, and, for regulatory and other reasons, certain member firms do not provide services in all four professional areas. As a Swiss Verein (association), neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions. Each of the member firms is a separate and independent legal entity operating under the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.
Member of Deloitte Touche Tohmatsu