De compliance officer over audit
Xander Smit, compliance officer bij Rabobank Nederland, heeft een achtergrond als controller en internal auditor bij Rabobank Nederland. Hij schetst het beeld van de compliance officer over audit binnen de context van Rabobank Nederland.
Compliance is een tweedelijnsfunctie waar audit op steunt. In hoeverre is er sprake van een wisselwerking en ondersteunt audit ook het werk van de compliance officer?
“De compliance officer bij Rabobank Nederland heeft, net als audit, een risicobril op. Compliance beziet hoe risico’s kunnen worden ondervangen door beheersmaatregelen, wordt regelgeving adequaat vertaald? De compliance officer beoordeelt de regels voor de lokale kantoren en de internationale vestigingen en heeft hierin ook een adviesfunctie naar de business. Uiteindelijk gaat het erom dat de lokale kantoren (de business) deze regels toepassen. Audit toetst vervolgens of de business zich houdt aan deze regels. Als dat niet het geval is, kan het zijn dat de business de regels simpelweg niet heeft opgepakt dan wel dat de regels niet uitvoerbaar zijn. De constateringen van audit leveren belangrijke informatie op voor de compliance officer en zijn zeer nuttig.”
Wat vindt compliance van de wijze van invulling van de taken door audit?
“De Audit Rabobank Groep (ARG) kent drie typen audits. De eerste twee zijn generiek van aard en kunnen een scala aan activiteiten van een lokale Rabobank omvatten. Een detailaudit wordt uitgevoerd als issues zijn gesignaleerd. Bij een lightversie van een detailaudit wordt gesteund op de werkzaamheden van de lokale controlafdeling. Het derde type audit is een thema-onderzoek. Uiteraard is de afdeling compliance zelf ook object van onderzoek. Bijvoorbeeld als onderzocht wordt of zij haar werkzaamheden goed heeft georganiseerd en uitgevoerd. Het is natuurlijk altijd even anders als je zelf auditee bent. Maar over de wijze van uitvoering en de deskundigheid van audit hebben we geen klagen. Ze worden echt gezien als kenners van de business.”
“Audit houdt compliance heel goed aan haar rol als tweede line of defense”
Welke raakvlakken zijn er tussen compliance en audit?
“Compliance denkt na over de vertaling van regelgeving en de inrichting van beheersmaatregelen. ARG is een goede toetssteen voor de toepasbaarheid van deze regels. Formeel zijn ze niet betrokken bij het opstellen van beheersmaatregelen, maar informeel zijn ze zeker bereid tot sparren.”
Voorziet u in de toekomst een verandering in de relatie tussen compliance en audit?
“Het zou mij niet verbazen als binnen de Rabo-organisatie de twee-eenheid tussen compliance en audit versterkt wordt. Ik bedoel hiermee dat, met behoud van ieders rol, de functies steeds meer samen zullen optrekken en elkaar steeds meer zullen vinden. Waar compliance nu soms zoekt hoe normen vorm te geven, zal daarover in de toekomst steeds meer duidelijkheid komen. Dit betekent dat op basis van meer en meer expertise, compliance steeds explicieter kan optreden naar de business over de toepassing van die normering/regelgeving. Ook audit heeft behoefte aan duidelijkere normen en beoordeelt die toepassing. Ik verwacht dat we meer gezamenlijk zullen optrekken om de organisatie te helpen, omdat we samen groeien in volwassenheid en expertise.”
Houdt audit zich naar de mening van compliance bezig met de kerntaken?
“Naar mijn mening zeker. De kerntaak van compliance is om risico’s vroegtijdig te signaleren, te begrijpen en op te pakken door middel van de opzet van beheersmaatregelen voordat risico’s zich manifesteren. Audit zit in dezelfde lijn. Wij gebruiken de uitkomsten van audit als trigger om ons werk te verbeteren. Binnen Rabo heeft de ARG echt impact. Hun onderzoeken blijken een van de belangrijkste aanleidingen te zijn voor kwaliteitsverbeteringen.”
Wat is het beeld van compliance aangaande de bemensing van de ARG?
“Binnen de ARG werken medewerkers met een mix aan achtergronden. Ongeveer een derde komt van externe accountantskantoren, een derde komt van lokale Rabobanken en een derde heeft weer een andere achtergrond. Dit leidt tot een goede mix van kennis en ervaring. De ARG staat bekend als een heel goede leerschool. Het staat daarom ook goed op je cv om bij de ARG gewerkt te hebben. Kwaliteit wordt (h)erkend.”
Vindt u audit verbeterd of verslechterd in de loop der jaren?
“Dat is moeilijk aan te geven. Ik vind dat ze hun werk goed doen. Veranderd is wellicht de wijze waarop de omgeving omgaat met de ARG. Lokale kantoren zijn zeer attent om te weten waar de ARG op let. In die zin hebben hun werkzaamheden een disciplinerende werking.”
Wat is uw beeld van de skills en opleidingen van de auditor?
“Eigenlijk kun je zonder sterke communicatieve vaardigheden niet verder bij de ARG. Er zijn in mijn beleving bijna geen auditors meer die hier zwak in zijn. Ze letten daar zelf goed op en coachen elkaar hierin. Ook is luisteren en aanvoelen hoe een boodschap landt bij je gesprekspartner een belangrijke skill. Ten slotte is het belangrijk om informele contacten binnen de organisatie te onderhouden en het belang hiervan in te zien. Het werkt als je vooraf al weet hoe mensen een gesprek ingaan. Ik vind over het algemeen dat auditors dit belang ook onderschrijven. Wat betreft opleidingen zie ik steeds vaker dat een operational auditopleiding wordt gevolgd. Ik vind zelf enige kennis van bijvoorbeeld psychologie en managementtheorieën voor auditors belangrijk. Ik zie echter niet dat auditors heel erg openstaan voor verdieping in psychologie.”
“Het is belangrijk om informele contacten binnen de organisatie te onderhouden en het belang hiervan in te zien”
Kan een compliance officer een goede auditor zijn?
“Ja, beiden denken als vanzelfsprekend in risico’s. Wellicht is de compliance officer minder ervaren/bedreven in het toetsen zoals auditors dat dagelijks doen of zoals auditors gewend zijn, maar uiteindelijk is het meest relevant voor de auditor om kennis van de business te hebben. En die kennis deelt de compliance officer.”
Kan een auditor een goede compliance officer zijn?
“Hier is er wel een klein verschil met de voorgaande vraag omdat voor de compliance officer een juridische basis belangrijk is. Van nature is een auditor niet bij uitstek geëquipeerd om werkzaam te zijn als compliance officer, maar ik geloof wel dat in de kern een auditor zich deze rol gemakkelijk eigen kan maken.”
Wat is het beste dat u als compliance officer geleerd hebt van een auditor?
“Audit houdt compliance heel goed aan haar rol als tweede line of defense. Ze spreken compliance erop aan als beleid aangescherpt kan worden of meer richting dient te geven aan de business. Dat is zeer waardevol.”
Over
Xander Smit heeft verschillende functies binnen de controldiscipline van de Rabobankorganisatie doorlopen (financial controller Rabobank Nederland, teamcoördinator afdeling Lokale Banken Analyse, manager Control Lokale Bank, business controller). Na drie jaar bij de Audit Rabobank Groep is Smit nu werkzaam als compliance officer bij Rabobank Nederland.
Reacties (0)
Lees meer over dit onderwerp:
De politiek over audit
Josien van Cappelle is twaalf jaar gemeenteraadslid, waarvan een aantal jaren fractievoorzitter. Zij ontving een Europese politieke prijs: de LeaDeR-prijs voor de beste politicus in de oppositie. Ze vertelt over haar ervaringen als politica met audits.
Lees meerSpelen op een andere toonhoogte
Michel Kee, voorzitter van het IIA-bestuur, nodigt de internal auditor met deze beschouwing uit zichzelf de vraag te stellen of er aan business impact gewonnen kan worden.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.