Eumedion: speerpunt Internal Audit
Eumedion pleit in haar Speerpuntenbrief 2015 voor een meer informatieve en effectieve in control statement en internal auditfunctie (IAF). Audit Magazine sprak met Eumedion-directeur Rients Abma en IIA-voorzitter Vincent Moolenaar over de relevantie van de IAF voor institutionele beleggers.
Wat doet Eumedion?
Rients Abma (RA): “Eumedion behartigt de belangen van de bij haar aangesloten institutionele beleggers op het gebied van corporate governance en duurzaamheid. De aangesloten institutionele beleggers, ongeveer zeventig pensioenfondsen, verzekeringsmaatschappijen, beleggingsinstellingen en vermogensbeheerders, hebben een totaal belegd vermogen van meer dan € 5000 miljard. Zij vertegenwoordigen gezamenlijk 25 á 30% van de Nederlandse beursgenoteerde aandelen. Eumedion doet in de belangenbehartiging verschillende zaken.”
RA: “Eumedion probeert de wetgeving te beïnvloeden op onder andere het gebied van de positie van de minderheidsaandeelhouders en het vergroten van de transparantie van de beursgenoteerde ondernemingen. Eumedion ondersteunt ook de dialogen die haar deelnemers met beursgenoteerde bedrijven voeren en is als ‘thought leader’ een vraagbaak voor de leden op het gebied van corporate governance en duurzaamheid. In het kader van dat laatste is Eumedion ook een van de ‘schragende partijen’ bij de Nederlandse Corporate Governance Code. Eumedion heeft tot doel de corporate governance en duurzaamheidsprestaties van de beursgenoteerde ondernemingen te verbeteren teneinde een helder rendementsrisicoprofiel voor de deelnemers te realiseren.”
In de Speerpuntenbrief 2015 van Eumedion staat de IAF prominent op de voorgrond. Wat is de relevantie van de IAF?
Vincent Moolenaar (VM): “Een deel van de relevantie van een IAF wordt bepaald door wat is vastgelegd in de Corporate Governance Code. Een van de best-practicebepalingen betreft het hebben van een IAF. Die bepaling vinden wij in de praktijk echter niet toereikend, laat staan dat het een best practice is. Echter, een IAF is nog meer relevant als een onderneming het zelf wil in plaats van dat het alleen verplicht is vanuit wet- en regelgeving. Een IAF kan een bijdrage leveren aan haar relevantie door haar eigen toegevoegde waarde te tonen.”
VM: “Door de schandalen van de afgelopen jaren bij diverse spraakmakende bedrijven is er veel gebeurd op het gebied van corporate governance. Bestuurders moeten goed nadenken over de inrichting van het bedrijf en de opzet van een IAF. Dit laatste kan ook een belangrijke symbolische waarde hebben voor de beheersing van een onderneming. Een IAF alleen zorgt niet voor een voldoende goede corporate governance. Het management dient daadwerkelijk te accepteren dat er een IAF aanwezig is die hen een spiegel voorhoudt, de juiste vragen stelt en challenget. Als de onderneming dat accepteert is een goed opgezette IAF een symbool voor een cultuur van openheid en transparantie.”
RA: “Wij realiseren ons dat ondernemen gepaard gaat met risico’s nemen om rendement te kunnen genereren. Aandeelhouders nemen weloverwogen beslissingen op basis van de strategie en het gecommuniceerde risicoprofiel van een onderneming en willen daar transparant de resultaten van zien. Beleggers houden niet van negatieve afwijkingen ten opzichte van wat het management hen heeft voorgespiegeld. De laatste jaren zijn er de nodige negatieve verrassingen geweest bij beursfondsen waarbij je je als aandeelhouder kunt afvragen of het bestuur wel in control was bij het uitvoeren van de strategie en het beheersen van de risico’s. Met een goed functionerende IAF, interne procedures en controlemechanismen, kun je de kans op negatieve verassingen reduceren. Dit is ook de reden waarom Eumedion in de Speerpuntenbrief 2015 de noodzaak van een IAF onder de aandacht heeft gebracht bij beursgenoteerde ondernemingen.”
VM: “In de laatste tien jaar van de Corporate Governance Code is er veel gebeurd, veel vooruitgang geboekt. Er hebben zich echter ook recent ontwikkelingen voorgedaan die we nog kennen van eerdere jaren. Nog steeds moeten we vaststellen dat het glas op het gebied van corporate governance half vol is – en dus soms half leeg – en de Code blijvende aandacht nodig heeft. Bijvoorbeeld op het gebied van de IAF. Het management is erbij gebaat om een groep professionals met mandaat in huis te hebben die de organisatie de spiegel kan voorhouden, die vragen stelt die anderen niet hebben of niet durven te stellen, die de status quo en de performance beziet door een risicobril en deze kan challengen. Belangrijk is om te kijken hoe relevant de IAF door de top wordt gevonden en welke ruimte de IAF krijgt van het management om goed te kunnen functioneren. Zijn er vragen die je als IAF niet mag stellen? Of zijn er vragen waar het lijnmanagement de IAF juist onterecht als verantwoordelijke voor aanwijst en al doende de eigen verantwoordelijkheid niet neemt?”
Vincent Moolenaar: “Gedrag is de smeerolie van de organisatie. Je kunt nog zoveel structuur hebben, maar zonder goed gedrag loopt de motor van de onderneming vast”
De schandalen van de laatste jaren, ook recente, hebben veel te maken met niet-integer gedrag. Hoe kijkt Eumedion hiernaar?
RA: “Een IAF is onderdeel van het hele governanceraamwerk van een organisatie. Dit raamwerk begint bij de raad van bestuur (RvB) en het toezicht door de raad van commissarissen (RvC). De tone at the top begint dus helemaal aan de top. De drijfveer van de RvB is zoveel mogelijk omzet en winstgevendheid te realiseren en het opbouwen van een onderneming. Integer gedrag is daarbij essentieel. Aandeelhouders willen bestuurders challengen op de strategische, financiële en operationele doelstellingen. Van de RvC wordt verwacht dat zij kritisch is en op de rem trapt als er te veel risico wordt genomen.
RA: “Een goed functionerende, onafhankelijke en objectieve IAF is een goed hulpmiddel om de onderneming op de rails te houden en niet te laten ontsporen. Hier hoort ook het signaleren van ongewenst gedrag bij. Cruciaal is wel de open rapportagelijn tussen de IAF en de auditcommissie (AC). Het zou goed zijn als de monitoringcommissie dit onderwerp meeneemt en ook kijkt naar de kwaliteit die AC-leden moeten hebben. Op dit punt mag de Code best nog aangescherpt worden. Nu staat er dat het ‘een financieel expert’ moet zijn, dit mag een stuk scherper worden gedefinieerd.”
VM: “Gedrag is de smeerolie van de organisatie. Je kunt nog zoveel structuur hebben, maar zonder goed gedrag loopt de motor van de onderneming vast. Wat betreft het werk van een AC wordt dat nu nog erg belicht vanuit de financial-reportingexpertise. In het verleden zijn er zeker issues geweest over de voorspelbaarheid van de resultaten als gevolg van financial reporting issues. Overnames, marktkeuzen en projectmanagement zijn echter ook zeer belangrijk. Een AC-lid moet ook zicht hebben op dit soort niet-financiële risico’s. Een onderneming heeft een goede mix van AC-leden nodig om zicht te kunnen houden op de totale mix van risico’s. Een moderne, ervaren chief audit executive (CAE) zou bijvoorbeeld heel goed kunnen functioneren in een AC van een andere onderneming. Ik zou zo’n ontwikkeling toejuichen, het is echt een win-winsituatie.”
Welke rol heeft een IAF op strategisch vlak?
RA: “Op het gebied van de strategie wordt verschillend gedacht over de rol van de IAF. Bij grote overnames zien bestuurders vaak wel een rol weggelegd voor de IAF bij de integratie ervan. De strategie zelf is veelal voorbehouden aan de RvB en RvC. Pas na een besluit over de te volgen strategie zien bestuurders een rol voor de IAF bij de implementatie ervan.”
VM: “Die keuze van bestuurders begrijp ik wel. Iedereen heeft een andere mening over wat een strategische audit is. Maar als je aansluit bij de wijze waarop een operational audit wordt uitgevoerd, kan een geloofwaardige IAF een audit op het strategieproces uitvoeren. Dan kijk je naar de doelen, risico’s, afwegingen en het proces dat geleid heeft tot een strategische keuze: is het een deugdelijk en transparant proces geweest?”
RA: “We hebben in de praktijk meer dan voldoende strategische overnames gezien die waardevernietigend zijn geweest. De IAF kan goed voorafgaand aan zo’n overname een oordeel geven richting bestuur en commissarissen over de belangrijkste risico’s en over het gevoerde besluitvormingsproces. Dat willen aandeelhouders graag zien. Het geeft aandeelhouders meer comfort en zekerheid als ze weten dat een IAF ook naar dit soort belangrijke voorstellen kijkt.”
VM: “Het belangrijkste is echter de precieze onderzoeksvraag. Waarnaar is er bij een due-diligenceonderzoek gekeken? Alleen naar financiële effecten of bijvoorbeeld ook naar culturele- en integratierisico’s? Ook hier gaat het om de voorspelbaarheid en de transparantie in het besluitvormingsproces.”
Hoe zou de IAF verder in kracht kunnen toenemen?
VM: “Een IAF moet geloofwaardig genoeg zijn om op risico gebaseerde audits uit te voeren en te kijken naar alle significante organisatierisico’s. Hiermee kan ook een AC naar de toekomst toe worden ondersteund. Traditioneel kom je er als AC niet mee weg als er financial reporting of compliance issues spelen bij de onderneming. Maar hoeveel AC-leden nemen de verantwoordelijkheid op zich of worden door aandeelhouders verantwoordelijk gehouden bij het mislukken van bijvoorbeeld een groot ICT-project of een overname? Daar zitten juist de grootste risico’s voor ondernemingen. Zo blijkt uit onderzoek dat mislukte overnames en projecten vaak enorme impact op de marktkapitalisatie van ondernemingen hebben. De ‘opportunity costs’ van falende projecten zijn simpelweg enorm!”
Wat is de rol van de externe accountant?
RA: ”Als er geen IAF aanwezig is, dan heeft de externe accountant vaak een grotere opdracht of wordt hij voor het uitvoeren van audits extern ingehuurd. Als er wel een IAF is, dan controleert de externe accountant de jaarrekening: geeft deze een getrouw beeld van de werkelijkheid? Hij maakt daarbij gebruik van een materialiteitsgrens, veelal ter hoogte van ongeveer 5% van de winst, waardoor niet alles wordt gezien omdat het niet materieel is. Op lange termijn kunnen zich echter ook risico’s voordoen bij processen of posten onder de materialiteitsgrens, waar een IAF juist wel aandacht voor heeft. Daarnaast kan de IAF bepaalde aandachtspunten hebben die niet direct aan de jaarrekening te linken zijn, maar op langere termijn wel tot relevante risico’s kunnen leiden. Denk aan de IT-omgeving of cyber crime. Dit zou een moderne externe accountant ook moeten willen weten, aangezien het de continuïteit op de langere termijn kan bedreigen.”
Rients Abma: “De externe accountant moet op basis van zijn professionele oordeel en de cultuur die hij ervaart een oordeel opnemen in de controleverklaring of in de risicoparagraaf van het jaarverslag het juiste risicoprofiel is opgenomen”
VM: “De externe accountant en internal auditor kun je vergelijken met twee boekensteunen van een organisatie. Beide zijn relevant voor het evenwicht en de steun. Een externe accountant kijkt meer naar het verleden, de internal auditor kijkt met name vooruit. De belegger wil naast informatie over de cijfers van het verleden ook informatie over het risicoprofiel van de onderneming in de toekomst. En daar speelt de IAF een relevante rol in door een oordeel te geven over het risicomanagementsysteem. Een externe accountant kan ook naar de toekomst kijken door een oordeel te hebben over het functioneren van het three-lines-of-defensemodel binnen een onderneming. Neemt het management haar verantwoordelijkheid voor de beheersing van de risico’s en vervullen de tweede en derde lijn hun rol op de juiste manier?”
RA: “Eumedion wil een stap verder wil. De externe accountant moet op basis van zijn professionele oordeel en de cultuur die hij ervaart een oordeel opnemen in de controleverklaring of in de risicoparagraaf van het jaarverslag het juiste risicoprofiel is opgenomen. Dit is breder dan wat nu met de ‘marginale toets’ (verenigbaarheidstoets) verwacht wordt van de controlerend accountant. Hierover is Eumedion in discussie met de NBA.”
De externe accountant verantwoordt zich naar buiten. Moet een IAF dat ook gaan doen?
VM: “De externe accountant heeft een wettelijke rol naar het maatschappelijk verkeer. Een IAF moet zich niet zelfstandig verantwoorden naar buiten om een diffuse situatie te vermijden. Het toezicht op de onderneming ligt bij de RvC die wordt gevoed met informatie van de RvB, de IAF en de externe accountant. Ik zou het niet wenselijk vinden als een CAE zich in de aandeelhoudersvergadering zou moeten verantwoorden. Waar ligt de grens? Ga je dan bij IT-issues ook de CIO ter verantwoording roepen? De IAF kan wel meer zichtbaar worden. Het mandaat van de IAF zou bijvoorbeeld transparanter kunnen worden gemaakt door ook het Audit Charter van de IAF extern te publiceren op bijvoorbeeld de website van de onderneming, in aanvulling op de charters van de RvC.
RA: “Een IAF legt geen verantwoording af aan de aandeelhouders. Dit is de taak van de RvB, RvC en de externe accountant, die allen zijn benoemd door de aandeelhouders. Een IAF kan wel meer zichtbaar worden doordat de RvC in haar verslag opneemt hoe vaak en waarover is gesproken met de IAF. Ook kunnen en moeten de aandeelhouders meer in gesprek gaan met de AC en actief vragen hoe zij de IAF betrekt bij belangrijke issues.
Kan een organisatie zonder een IAF?
RA: “Door ondernemingen zonder IAF, ongeveer een derde van de midkap- en twee derde van de smallkap-fondsen, wordt als argument gebruikt dat dit te maken heeft met de (beperkte) complexiteit, het aanwezig zijn van korte lijnen, een finance- of controleorganisatie die eenzelfde soort werkzaamheden uitvoert of een externe partij, zoals de externe accountant, die de werkzaamheden uitvoert. Als dit inderdaad het geval is, is het soms wel te begrijpen.”
Vincent Moolenaar: “Bestuurders die een IAF afhouden en commissarissen die het accepteren, nemen een buitengewoon grote verantwoordelijkheid als zich in de beheersing incidenten voordoen”
VM: “Bij een aantal ondernemingen is echter een verandering nodig, dat zijn geen kleine niet-complexe ondernemingen meer. Door allerlei kleine overnames of fusies zijn deze bedrijven in de loop van de jaren heel groot geworden. De noodzaak voor een zelfstandige IAF is dan wel degelijk aanwezig, maar wordt niet zo gevoeld. Bestuurders die een IAF afhouden en commissarissen die het accepteren, nemen een buitengewoon grote verantwoordelijkheid als zich in de beheersing incidenten voordoen. Ook aandeelhouders hebben een verantwoordelijkheid in deze kwestie, een verantwoordelijkheid die niet in alle gevallen wordt ingevuld door druk uit te oefenen op bestuurders en commissarissen en deze stevig te challengen.
RA: “Er zijn diverse beursgenoteerde organisaties, zoals Fugro en Imtech, die lange tijd dachten wereldwijde complexe activiteiten uit te kunnen voeren zonder een IAF. Deze organisaties hebben in de loop van de tijd een verandering van het risicoprofiel meegemaakt en zijn daardoor bij uitstek organisaties waar een IAF niet langer afwezig kan blijven.
VM: “Verandering is van belang. Bij veel organisaties met een IAF zie je ook dat Internal Audit er heel anders uitziet dan tien jaar geleden. Je moet als IAF steeds blijven kijken hoe je toegevoegde waarde hebt en dus relevant bent en blijft.”
Over
Rients Abma is directeur van Eumedion.
Vincent Moolenaar is voorzitter van het IIA.
Reacties (0)
Lees meer over dit onderwerp:
Relevantie van audits: die hebben we zelf in de hand
Wat verstaan wij – internal auditors – maar vooral onze opdrachtgevers, onder audits en relevantie? Dat is niet slechts een woordenspel, de ideeën over relevantie worden sterk bepaald door de ideeën over auditing.
Lees meerGerrit Zalm over de toegevoegde waarde van internal audit
Audit Magazine sprak met Gerrit Zalm, bestuursvoorzitter van ABN Amro en non-executive director bij Shell, over de relevantie van Internal Audit (IA).
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.