Drie CAE’s die hun mening niet onder stoelen of banken steken
Hoe denken de CAE’s van de drie Nederlandse grootbanken over de samenwerking met de externe accountant, het auditen van cultuur en gedrag, de kwaliteit van de IAF en meer? Audit Magazine vroeg het aan Alessio Miranda (ING), John Bendermacher (ABN Amro) en Rudi Kleijwegt (Rabobank).
Op welke niveau geeft u oordelen?
Alessio Miranda (AM): “Oordelen worden gegeven per audit en eenmaal per jaar op business- en groepsniveau. Voor onze oordelen gebruiken we een vierpuntsschaal, van ‘strong’ tot ’unsatisfactory’.”
John Bendermacher (JB): “Ook wij geven oordelen per audit en daarnaast per kwartaal een oordeel per businessunit en voor de bank als geheel. Dit doen wij aan de hand van een vijf-puntsschaal.”
Rudi Kleijwegt (RK): “Het verschil met ABN Amro en de ING is dat wij geen oordeel geven voor de bank als geheel. Wel geven wij per audit een oordeel en per jaar over specifieke onderwerpen. Daarnaast gebruiken wij een vierpuntsschaal voor redelijke mate van zekerheid en een tweepuntsschaal voor beperkte zekerheid.”
Welke soort audits voert u uit?
AM: “Wij voeren risk-based audits uit bij de verschillende processen. Wat wij niet doen is zekerheid geven bij financiële gegevens.”
JB: “Onze werkzaamheden komen overeen met die van ING. Meer en meer stijgen we boven de processen uit met governance en cultuur en gedrag als objecten van audit.”
RK: “Ook hier verschillen wij van de andere twee banken. Wij tekenen intern ook de jaarrekening voor de Rabobank Groep af. Daartoe werken we goed samen met de externe accountant. Daarnaast voeren wij risk-based operational en compliance audits uit.”
Hoe vaak spreekt u de externe accountant?
AM: “Minimaal één keer per kwartaal, maar vaker in de periode van het vaststellen van de jaarcijfers en de SOx-aftekening”.
JB: “De externe accountant spreek ik zeker maandelijks.”
RK: “Ik spreek de externe accountant gedurende het jaar één keer per zes weken. Tijdens de financiële controles (jaarrekening en halfjaarcijfers) spreken we elkaar frequenter, een of twee keer per week.”
Discussie
Na het delen van deze feiten reageren de CAE’s met ja of nee op de vijf voorgelegde stellingen (zie tabel 2). Bij de vraag of een IAF verplicht moet worden wijkt de mening van Bendermacher af, maar hier speelt mogelijk mee dat hij ook voorzitter is van IIA NL. De CAE’s zijn nu opgewarmd en gaan met elkaar in discussie aan de hand van vragen.
De doelen van een IAF en externe accountants zijn verschillend. Moeten we meer samenwerken of ons beperken tot het delen van bevindingen en rapporten?
RK: “De doelstellingen kunnen verschillend zijn. Echter werkzaamheden die bij de externe accountant liggen kunnen ook door een IAF worden uitgevoerd, zoals werkzaamheden ten behoeve van de jaarrekeningcontrole. Het is natuurlijk belangrijk dat er een discussie is over wie welke werkzaamheden uitvoert. Uiteraard beslist uiteindelijk het bestuur hierover.”
JB: “De externe accountant heeft meer afstand van de organisatie dan de IAF. Dit is een van de redenen dat de herziene Corporate Governance Code bepaalt dat de IAF en externe accountant moeten samenwerken. Daarnaast maakt de COS 610 samenwerken lastig, immers, directe ondersteuning van de externe accountant is niet meer toegestaan.”
AM: “De IAF en externe accountant vullen elkaar aan en moeten samenwerken om de problemen in de organisatie op te lossen. Voor beiden is ‘sustainability’ van de organisatie een langetermijndoelstelling.”
Heeft de nadruk die de herziene Corporate Governance Code legt op cultuur en gedrag impact op de samenwerking tussen de internal auditor en externe accountant?
RK: “Dit zal geen invloed hebben op de samenwerking. Banken zijn gereguleerde organisaties en daar staat cultuur en gedrag al langer op de kaart. Het is voor ons en voor onze externe accountant geen nieuw onderwerp. Onze externe accountant heeft al veel werk inzake cultuur en gedrag gedaan en hun rapportage daarover was voor mij heel herkenbaar. Tevens heeft binnen de Rabobank cultuur en gedrag veel aandacht van de eerste, tweede en derde lijn, zoals bij HR en Compliance. Het bestuur vindt het ook een belangrijk onderwerp en ik ben hierover met hen in gesprek. We nemen het onderwerp ook in onze audits mee en de bevindingen op dit gebied worden per thema gegroepeerd.”
JB: “Ik denk dat de samenwerking wel gaat veranderen. Volgens de nieuwe Code moet het bestuur gaan rapporteren over cultuur en gedrag. Hier moeten de IAF en de externe accountant zich een mening over gaan vormen. Tevens moet de externe accountant meer tijd gaan besteden aan cultuur en gedrag. Eén keer per jaar toetsen is te weinig. De IAF kan dit gedurende het hele jaar doen. Zo worden onze auditors nu allemaal getraind op het auditen van cultuur en gedrag, waarna dit onderwerp in iedere audit meegenomen moet worden. Vervolgens worden de bevindingen opgerold. Daarnaast hebben wij samen met de afdeling Compliance al een aantal thematische reviews uitgevoerd op dit onderwerp.”
Alessio Miranda: “Vanaf 2017 worden in iedere audit engagement de cultuur- en gedragsaspecten meegenomen”
AM: “Bij ING is de externe accountant al betrokken bij cultuur en gedrag. Het staat ook al langer in de belangstelling van de ECB en de DNB. Ik denk wel dat er meer aandacht en tijd aan besteed gaat worden. Ook zijn wij binnen ING al langer bezig met cultuur en gedrag en hebben we recent een nieuwe aanpak geïntroduceerd. Vanaf 2017 worden in iedere audit engagement de cultuur- en gedragsaspecten meegenomen. Deze bevindingen worden vervolgens gebruikt om een dwarsdoorsnede te maken van cultuur en gedrag binnen ING. Daarnaast voert Compliance ook cultuuronderzoeken uit. Het is erg belangrijk dat het bestuur de IAF steunt bij het rapporteren van bevindingen ten aanzien van cultuur en gedrag.”
Is een IAF geschikt om cultuur en gedrag te auditen?
JB: “Nu misschien nog niet helemaal. Maar over een paar jaar maakt het auditen van cultuur en gedrag integraal onderdeel uit van het werk van een IAF. Als je het dan niet kunt heb je als IAF een probleem.”
RK: “Niet iedere auditor is al voldoende geschikt om cultuur en gedrag te auditen. Het onderwerp is niet gemakkelijk te onderzoeken. We moeten dat niet onderschatten.”
AM: “Klopt, het is gemakkelijker om te zeggen dat een proces niet werkt dan dat je collega’s aanspreekt op gedrag, dan wordt het al snel persoonlijk. Auditors moeten het enkel in processen denken loslaten en de durf hebben om bevindingen terug te geven over gedrag die deze processen beïnvloeden. Binnen ING hebben wij een specialist aangesteld op seniorniveau die zich alleen bezighoudt met het stimuleren en samenbrengen van bevindingen wat betreft cultuur en gedrag. Daarnaast is het in een multinationaal bedrijf belangrijk dat een auditor die de lokale cultuur kent deel uitmaakt van het auditteam.”
De externe accountant heeft ook een oordeel over cultuur en gedrag binnen een organisatie. Loopt u hiermee het risico van tegengestelde meningen?
JB: “Dat is juist voor mij een reden om bij dit onderwerp de samenwerking op te zoeken. Door de nieuwe Corporate Governance Code moet de externe accountant zijn mening geven over cultuur en gedrag zoals opgenomen in de rapportage van het bestuur.”
Rudi Kleijwegt: “Het belangrijkste is dat je een discussie voert over de bevindingen van de IAF en de externe accountant met het bedrijf. Hier leert zowel de auditor als de auditee van”
RK: “Je zult met de externe accountant in gesprek gaan over de bevindingen. In mijn ervaring is er meestal geen sprake van tegengestelde meningen, maar hooguit van nuanceverschillen. Het belangrijkste is dat je een discussie voert over de bevindingen van de IAF en de externe accountant met het bedrijf. Hier leert zowel de auditor als de auditee van.”
AM: “Mijn ervaring is dat er geen materieel verschil van inzicht bestaat tussen de IAF en de externe accountant over cultuur en gedrag. Voor mij gaat het erom dat je als IAF de organisatie wilt verbeteren en daarbij speelt cultuur en gedrag een belangrijke rol. Het gaat er niet om of bijvoorbeeld de ECB of de Governance Code dit voorschrijft.”
De kwaliteit van het auditwerk neemt in belang toe. Hoe en door wie wil je hierop beoordeeld worden en hoe kun je dit het best waarborgen?
RK: “Door ons wordt veel tijd besteed aan kwaliteit, door middel van QA-werkzaamheden en ook in het auditproces zelf. Een aantal van mijn auditors vindt dat het allemaal wel erg ver gaat. Het wordt soms als bureaucratische rompslomp ervaren. Wij willen graag innoveren in methodologie, je moet de vrijheid voelen om te doen wat je moet doen als auditor. De kwaliteitstoets van het IIA één keer per vijf jaar vind ik te weinig. In 2017 laten wij voor een aantal kernprocessen tussentijds de kwaliteit extern beoordelen. Daarnaast word je natuurlijk op kwaliteit beoordeeld door de externe accountant, ECB en vinden in ons proces checks plaats onder andere door self assessments.”
AM: “Wij hebben een QA-functie ingericht die niet zozeer kijkt naar formalistische zaken. Nemen de auditors valide beslissingen, ofwel, snijdt het hout? Het gaat meer om een leidraad. De auditors moet blijven nadenken. Door de QA-functie worden tien tot twaalf audits per jaar beoordeeld. Ik bemoei me hier nadrukkelijk niet mee. De QA-functie stelt een rapport met bevindingen op dat zonder inhoudelijke aanpassingen met het bestuur en de auditcommissie wordt gedeeld. Ook ik vind de frequentie van de IIA-toetsing niet genoeg. Zoals al eerder gezegd zijn de banken gereguleerd en zijn onze standaarden strenger dan die van het IIA. Daarnaast geldt dat bij ieder onderzoek van de ECB ook wordt gekeken naar de kwaliteit van het auditwerk. Alles wat mij helpt om de kwaliteit te verbeteren is welkom.”
John Bendermacher: “De IIA-toetsing één keer per vijf jaar is niet genoeg. Binnen ABN Amro voeren wij daarom jaarlijks self assessments uit”
JB: “In 2013 zijn wij door DNB beoordeeld, nu loopt een beoordeling door de ECB. De IIA-toetsing één keer per vijf jaar is niet genoeg. Binnen ABN Amro voeren wij daarom jaarlijks self assessments uit. En de externe accountant moet aangeven wanneer de kwaliteit van de IAF onvoldoende is.”
Hoe ziet de IAF eruit in 2020?
JB: “Dan wordt er veel gebruikgemaakt van proces- en datamining (inclusief data-analyse). Als je dat als IAF niet doet heb je geen toekomst. De werkzaamheden moeten efficiënter en slimmer.”
RK: “Als IAF heb je een grotere diversiteit aan medewerkers. Multidisciplinair. De een weet meer af van data-analyse en de ander meer van het auditen van cultuur en gedrag. Het wordt diverser.”
AM: “Ik ben het eens met de beide collega’s. Daarnaast geldt dat er veel op ons gaat afkomen zonder dat de auditcapaciteit wordt uitgebreid. De kwaliteit en toegevoegde waarde moeten omhoog. Investeren in mensen, diversiteit van vaardigheden, data-analyse en cultuur en gedrag is daarbij key.”
Over
Rudi Kleijwegt is sinds 2016 directeur Audit Rabobank. Daarvoor was hij directeur Toezicht & Compliance bij de Rabobank en bekleedde hij diverse functies bij de DNB.
John Bendermacher is sinds 2013 directeur Group Audit bij ABN Amro. Daarvoor werkte hij onder andere bij SNS REAAL, Robeco, NIBC en DNB. Bendermacher is voorzitter van IIA Nederland.
Alessio Miranda is sinds 2014 general manager Corporate Audit Services bij ING. Daarvoor werkte hij onder andere bij Lloyds Banking Group, AIB, Barclays en de Italiaanse Centrale Bank.
Reacties (0)
Lees meer over dit onderwerp:
“We zijn kritisch naar elkaar en houden elkaar scherp”
Wim Geerts (Defensie), Bas Wakkerman, (Algemene Rekenkamer) en Adrie Kerkvliet (Auditdienst Rijk) over de interne en externe auditfunctie en de relatie tussen de eerste, tweede, derde én vierde lijn.
Lees meerHoe kunnen CAE’s de samenwerking tussen IAF en EA het best inrichten?
Hoe richt de CAE de samenwerking tussen de internal auditfunctie (IAF) en de externe accountant (EA) in om te kunnen komen tot een effectieve en duurzame samenwerking?
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.