Vervang de chief audit executive tijdig!

In 2006 schreef ik in Audit Magazine de column ‘Leiderschap en het succes van een interne auditafdeling’. Daarin werd met een uitroepteken gesteld dat de uiterste houdbaarheidsdatum van een chief audit executive (CAE) beperkt is.

Daarnaast deed ik in deze column een oproep aan ondernemingen om het functioneren van de CAE periodiek te evalueren. Het functioneren van de CAE is geen constante factor en in een dynamische omgeving kunnen ook de verwachtingen ten aanzien van de rol wijzigen. Deze bijdrage gaat in op de bedreigingen voor het goed functioneren van de CAE. In dit kader wordt ook ingegaan op de houdbaarheid van een CAE.

Ethisch leiderschap CAE

De resultaten van het onderzoek van Van Staden en Steyn (2009) gaven al aan dat het profiel van de CAE een positieve invloed heeft op de kwaliteit van de interne auditfunctie. Een belangrijke rol die de CAE speelt is uiteraard het voor een organisatie realiseren van de doelstelling van interne auditing, namelijk ‘an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.’

In de praktijk worden interne auditors geconfronteerd met situaties waarin het management probeert druk uit te oefenen op de CAE

Daarbij zijn de ethische houding en het professioneel kritisch gedrag van de auditors van cruciaal belang. De leider van de interne auditafdeling speelt daarin een prominente rol. Hij bepaalt niet alleen voor zichzelf hoe om te gaan met ethische kwesties, maar ook hoe de overige interne auditors binnen de afdeling daarmee omgaan.

Bedreigingen

Het is belangrijk dat de CAE het hoofd biedt aan allerlei bedreigingen die op de loer liggen. Bedreigingen die de professioneel kritische instelling en de ethische oordeelsvorming van de interne auditfunctie als geheel mogelijk aantasten:

• druk van het management;
• invloed carrièreperspectief;
• tijdige voltooiing van audits en follow-up;
• bewaking onafhankelijkheid en integriteit;
• transparantie en openbaarmaking onjuiste informatie.

Druk van het management
In de praktijk worden interne auditors geconfronteerd met situaties waarin het management probeert druk uit te oefenen op de CAE. Dat kan heel direct, maar ook indirect of heel subtiel. Soms zien we dat rechtstreeks druk wordt uitgeoefend om de inhoud van een rapport of – op een hoger geaggregeerd niveau – de rapportage naar de auditcommissie aan te passen. Daarbij gaat het er dan om dat het management de inhoud gunstiger wil voorstellen. Bijvoorbeeld door bewoording af te zwakken, verzachtende omstandigheden toe te voegen of issues zelfs helemaal niet te vermelden. Alles zogenaamd in het belang van de mensen of de organisatie. Maar de uiteindelijke gedachte is dat het management daarop minder kan worden aangesproken.

Naast deze rapportagedruk is er bij interne auditfuncties met veel expertise ook sprake van een druk op interne auditors om de organisatie te ondersteunen in operationele taken. Denk daarbij aan het adviseren bij het opzetten van processen, het meehelpen oplossen van acute problemen of om – uit kostenoverweging – omvangrijke adviesopdrachten uit te voeren. Bij terughoudendheid of weigering van de CAE om urencapaciteit van interne auditors daarvoor beschikbaar te stellen, wordt dit vaak gezien als niet-coöperatief.

De CAE zal daarom een balans moeten vinden tussen het weigeren en het accepteren van dergelijke adviesopdrachten. Niet alleen in het licht van de realisatie van de jaarplanning en ad-hocverzoeken van toezichthouders, maar ook om het onafhankelijk functioneren van de afdeling te beschermen. We weten allemaal dat het belangrijk is voortdurend zorgvuldige afwegingen te maken om collisiegevaar te voorkomen.

Invloed carrièreperspectief
In veel organisatie wordt de functie van de interne auditafdeling ook gezien als kweekvijver voor toekomstig management. Interne auditors krijgen namelijk de gelegenheid om diep in de keuken van de organisatie te kijken. Zo kunnen zij bedrijfsprocessen doorgronden en de relaties leren zien tussen operationele processen en de weerslag daarvan in de cijfers. Het helpt in het ontwikkelproces van interne auditors en maakt hen bovendien waardevolle medewerkers die in de toekomst elders in de onderneming functies kunnen gaan bekleden. In sommige organisaties worden medewerkers als onderdeel van hun carrièrepad gedurende een korte tijd gestationeerd bij de interne auditfunctie. Daarmee krijgen zij ook een beter begrip van de functie en het belang ervan in hun latere carrière elders in de onderneming.

Een CAE die veelvuldig de vinger op de zere plek legt maakt geen vrienden binnen de organisatie, zeker als er koppen rollen als gevolg van rapportages

In het personeelsbeleid moeten uiteraard wel goede randvoorwaarden zijn geschapen. Daarbij gaat het om beloning in lijn met andere functies en voorwaarden voor doorstroming. Ervaren interne auditors hebben namelijk vaak veel kennis van de organisatie en processen en kunnen dan ook wellicht beter betaalde banen in andere bedrijfsonderdelen krijgen. Echter, een te snelle doorstroming kan een interne auditfunctie ook verzwakken. In de praktijk blijken meer en meer organisaties overigens nadrukkelijk bij de aanname van een interne auditor te kijken of hun profiel geschikt is om langduriger betrokken te kunnen zijn bij de organisatie.

Een kweekvijver heeft ook een keerzijde. Een CAE die veelvuldig de vinger op de zere plek legt maakt geen vrienden binnen de organisatie, zeker als er koppen rollen als gevolg van rapportages. In het licht van het veiligstellen van het carrièreperspectief kunnen er dan ook prikkels zijn die ervoor zorgen dat de CAE minder professioneel kritisch is of minder ethisch oordeelt. Hoe langer een CAE betrokken is, hoe meer dit een bedreiging vormt voor het goed functioneren van de CAE.

Tijdige voltooiing van audits en follow-up
Een van de doelstellingen van een interne audit is om probleempunten zichtbaar te maken en vast te stellen of management adequate maatregelen neemt om deze tijdig op te lossen. De doorlooptijd van een audit kan echter in het gedrang komen wanneer voor de audit relevante gegevens niet tijdig worden vrijgegeven of het management beantwoording van vragen onnodig uitstelt. Soms kan het management zelfs essentiële informatie achterhouden of vrijgave uitstellen met vertrouwelijkheid of gevoeligheid als argument. Een CAE zal dan krachtig moeten optreden.

In de fase waarin het conceptrapport moet worden afgewikkeld zal het management gevraagd worden acties te definiëren op de geconstateerde issues. Een niet tijdige reactie daarop of het geven van niet adequate of onvoldoende scherp geformuleerde managementacties kunnen tot vertraging leiden. Dit soort bewust traineren leidt uiteindelijk tot uitstel van de rapportage en de vrijgave van het definitieve auditrapport.

Als laatste noemen we de follow-up monitoring. Een CAE moet optreden als follow-upacties door het management niet tijdig of onvoldoende zijn. In dit soort situaties zal de CAE mogelijk stuiten op weerstand van het management. Een CAE moet dan een adequate houding hebben en zich daarbij gesterkt voelen door topmanagement en interne en externe toezichthouders. Als er in een organisatie overigens sprake is van lang openstaande punten, dan is dat wel een aandachtspunt. Het is een indicatie dat de issues opgeworpen door de interne auditors onvoldoende belangrijk zijn of dat de spelers in het governance spectrum onvoldoende hun rol hebben gepakt.

Bewaking onafhankelijkheid en integriteit
De IIA Code of Ethics wijst de interne auditors op hun verantwoordelijkheden en de naleving van deze regels. De persoonlijke belangen mogen de onafhankelijkheid en de integriteit van interne auditors niet aantasten. Naast de eerdergenoemde bedreiging van de druk van het management blijken interne auditors in de praktijk bewust of onbewust vertrouwelijke informatie vrij te geven aan onbevoegden binnen de organisatie.

Het is de verantwoordelijkheid van de CAE om preventieve maatregelen te nemen om integer handelen te bevorderen

Ook het buiten de organisatie bespreken van gevoelige informatie of het bewust lekken zijn uit den boze. In de dagelijkse werkzaamheden hebben interne auditors namelijk toegang tot veel vertrouwelijke informatie. Deze informatie kan onder andere gebruikt worden voor persoonlijk gewin, het beschadigen van collega´s of het bevoordelen van anderen. Het is de verantwoordelijkheid van de CAE om preventieve maatregelen te nemen om integer handelen te bevorderen en krachtig op te treden tegen auditors die niet integer omgaan met informatie.

Transparantie en openbaarmaking onjuiste informatie
De maatschappelijke ontwikkelingen van de afgelopen decennia hebben ertoe geleid dat het merendeel van de organisaties verplicht is om transparant te zijn en financiële en/of niet-financiële informatie te openbaren. Om de vereiste zekerheid te verschaffen voordat deze wordt vrijgegeven, worden interne auditors betrokken in de beoordeling van processen die leiden tot die informatie of de informatie zelf. Als een organisatie niet transparant is over misstanden of onjuiste informatie publiceert, getuigt het van moed als een interne auditor toch stelling durft te nemen en dit via de geëigende kanalen binnen de organisatie escaleert.

Als ook de raad van commissarissen meegaat met de beslissing van de organisatie, dan staat de interne auditor in de kou. Op grond van zijn ethische houding zal deze een ultieme afweging moeten maken of een continuering van het dienstverband nog mogelijk is. Immers, organisaties hebben in de regel een strikt beleid om (het vermoeden van) criminele activiteiten of wetsovertredingen te melden aan externe instanties. Dit betekent dat als de CAE eigenstandig een melding doet, dit kan worden gezien als overtreding van het bedrijfsbeleid, en de CAE kan daarvoor gestraft worden. In het recente verleden hebben we gezien dat klokkenluiders maar al te vaak de wrange vruchten plukken.

In de wereld van de externe accountants geeft de regelgeving ten aanzien van non-compliance with laws and regulations (NOCLAR) houvast en de mogelijkheid om de interne escalatieprocedure te doorbreken. Deze regelgeving is wereldwijd geïmplementeerd. Een dergelijke standaard ontbeert het international professional practices framework van het IIA (IPPF) anno 2022 en is wellicht een waardevolle aanvulling om de ethische rol van de interne auditor te versterken.

Houdbaarheid

De wereld van de externe auditors is sinds het Enron debacle in 2001 sterk veranderd. De zelfregulering is danig op de schop gegaan en vervangen door stringentere regelgeving die nauwlettend wordt gevolgd door toezichthouders. In de huidige samenleving is de zorg om de onafhankelijkheid van accountants groot. Dit heeft ook geleid tot het instellen van termijnen aan de betrokkenheid van auditors bij een cliënt. Dit in de gedachte dat een te nauwe betrokkenheid leidt tot ‘verkleving’ die de ethische houding en professioneel kritische instelling aantast. Een maximumtermijn aan de aanstelling zou de kwaliteit van externe audits bevorderen.

Bij de interne auditors komen we dit soort bepalingen in de IPPF niet tegen. Veelal ook niet in de interne audit charters. Het beroep van interne auditor kent op dit gebied – en vele andere terreinen – nog een hoge mate van zelfregulering. Kennelijk is er zoals bij de externe auditors geen urgentie om wel regelgeving die de kans op ‘verkleving’ verkleint te introduceren. Feit is wel dat er een grote hoeveelheid onderzoek aantoont dat de onafhankelijkheid van externe auditors wordt aangetast als de relatie langdurig is. Als er onderzoek naar zou worden gedaan bij interne auditors zal waarschijnlijk blijken dat dit ook geldt voor CAE’s. Immers, de prikkels die beschreven zijn in het voorgaande maken duidelijk dat de CAE ethisch en professioneel kritisch moet zijn.

Bij ondernemingen van openbaar belang is bepaald dat – naast interne roulatie van partners – een accountantskantoor na maximaal tien jaar moet roteren

Bij ondernemingen van openbaar belang is bepaald dat – naast interne roulatie van partners – een accountantskantoor na maximaal tien jaar moet roteren. Maar wat zou nu de norm voor de CAE moeten zijn? Naar mijn idee zal dat van geval tot geval moeten worden beoordeeld. Mij lijkt dat voor tien jaar – als niet eerder – de vervanging van de CAE aan de orde is. Ofschoon niet alle CAE’s hetzelfde zijn zal wetenschappelijke literatuur op het gebied van effectief leiderschap en ‘social bonding’-theorieën aanknopingspunten kunnen bieden voor een dergelijke beoordeling.

Conclusie

Het voorgaande maakt duidelijk dat de ethische houding van de CAE van cruciaal belang is voor het goed functioneren van de interne auditafdeling in het governance spectrum. Daarbij speelt het risico op verkleving een factor van betekenis die mogelijk de ethische houding en de professioneel kritische instelling van de CAE bedreigt. En mogelijk zelfs de kwaliteit van de interne auditfunctie als geheel aantast. Het advies aan organisaties is dan ook om de houdbaarheid van de CAE expliciet intern periodiek op dit gebied te evalueren. In het gesprek tussen de C-suite en de auditcommissie moet dit een onderwerp van gesprek zijn. Ook is dit een thema dat aan de orde komt bij externe quality assurance reviews van de interne auditfunctie.