From the balcony to the dance floor!

Na 37 jaar bij Rabobank en met commissariaten in uiteenlopende sectoren weet Jos van Lange als geen ander wat er in bestuurskamers speelt en hoe internal audit echt impact kan maken. Hij pleit voor meer aandacht voor cultuur, technologie en adviesvaardigheden. En ziet auditors het liefst aanwezig op de werkvloer, dicht bij de operatie.

Welke aandachtspunten zijn er voor de commissaris bij internal audit?

“Dat begint met het three lines model. Als het bij de eerste en tweede lijn fout gaat, heeft de derde lijn het ook lastig. Cruciaal is of de lijnen er zijn, of ze goed lopen en hoe ze bemenst zijn. Het maakt uit of de mensen die er zitten over goede kennis en ervaring beschikken en of ze sociale vaardigheden hebben. Als je gesloten bent als een oester, is het lastig om impact te maken als auditor.”

En als het gaat om de relatie met de directie?

“De verhouding met de directie is voor de interne auditfunctie (IAF) heel belangrijk. Waar ik dus op let, is hoe een directie omgaat met de IAF: hoe serieus wordt de auditrol genomen? Dat heeft veel te maken met de gepercipieerde stevigheid van audit, en vooral met de statuur van de chief audit executive (CAE). Als die niet stevig staat of onvoldoende onafhankelijk is, heb je een probleem. Wat daarbij helpt, is dat de auditfunctie periodiek extern getoetst wordt. Of de standaarden nu van NOREA, NBA of IIA komen, dat geeft vertrouwen en inzicht in het functioneren.”

Welke ervaring heb je met de IAF?

“Door de gesprekken die ik als directeur en commissaris met interne en externe auditors heb gehad, ben ik de IAF meer gaan waarderen. Het gaat niet alleen om auditrapportages, maar om het ophalen van het beeld én het gevoel erbij. Een CAE heeft een uitzonderlijk overzicht over het hele bedrijf en heeft veel relevante kennis, zeker als hij langer meeloopt. Toen ik ooit gevraagd werd om voorzitter te worden van een auditcommissie bij een organisatie in zwaar weer, was het juist de externe auditor die de situatie goed kon duiden en mij daarmee het vertrouwen gaf om in te stappen. Een goed ingevoerde auditor, intern en óók extern, kent de organisatie buitengewoon goed.”

Kan een commissaris effectief toezicht houden zonder internal audit?

“Zelf heb ik nooit in de situatie zonder internal audit gezeten. Dus ik weet niet beter. Wel merk ik dat nog niet in alle sectoren de rol van de auditor altijd als vanzelfsprekend wordt ervaren. In de zorg of het onderwijs heeft de auditor meer moeite om impact te maken. In de financiële sector ligt dat anders. Audit is niet in elke organisatie even goed aanwezig. In de strak gereguleerde financiële sector wordt echter van commissarissen nadrukkelijk verwacht dat zij erop toezien dat auditprocessen effectief zijn ingericht. Ook zonder audit moet je echter checks and balances hebben. Je moet weten of er geen al te grote incidenten zijn. Je steunt bij een gebrek aan internal audit zoveel mogelijk op andere risk- en controlafdelingen of huurt expertise in. Ik heb te vaak gezien dat het zonder checks and balances fout gaat. Als het er niet is, moet je wel in staat zijn het te organiseren.”

“In de praktijk ervaar ik dat audit het vaak bij het rechte eind heeft en dat dingen nog niet goed genoeg zijn”

Zijn er auditrapporten geweest waar je als commissaris wakker van lag?

“Nee. Maar ik lig ook niet zo snel wakker. Als commissaris spit ik niet ieder auditrapport volledig en tot in detail uit, maar besteed ik wel altijd passende aandacht aan uitgevoerde, lopende en komende audits. Hoe meer auditrapporten er zijn, hoe kleiner de kans dat ze individueel besproken worden. Wel zijn alle volledige auditrapporten toegankelijk voor de auditcommissies én het volledige toezichtorgaan waarin ik opereer.”

Geen zorgen dus?

“Eventuele zorgen ontstaan vooral vanwege de verantwoordelijkheid die hoort bij de functie van commissaris, met name wanneer zich kwesties voordoen binnen de top van een organisatie. Ik merk ook dat de verantwoordelijkheid van commissarissen steeds scherper en nadrukkelijker wordt beleefd. De tijd van erebaantjes is voorbij – die verantwoordelijkheid voel je echt. Vanuit die hoek stel je jezelf soms de vraag: weet ik alles? Je ziet en spreekt als commissaris maar een beperkt aantal mensen. Mijn adagium is: no surprises. Commissarissen willen geen verrassingen of iets in de krant lezen waarvan ze niet wisten. En toch gebeurt het soms.”

Hoe wordt de toegevoegde waarde van internal audit zichtbaar voor de raad van commissarissen (RvC)?

“Dat is het meest zichtbaar als audit een probleem signaleert waarvan de RvC zich niet bewust was. Risico’s die nog niet zijn opgetreden, komen daarbij ook voor. Niets menselijks is de medewerkers vreemd. Een voorbeeld is cyber: je weet dat er bij sommige organisaties onvoldoende risicobewustzijn is. Dat is een veel groter risico dan een greep uit de kas. Het zijn signalen waar je niet altijd eenvoudig wat mee kunt. Naarmate je er meer mee bezig bent, stel je meer vragen. Bestuurders kunnen dat op een gegeven moment beu worden, maar je kunt als commissaris toch achterblijven met het gevoel: is dit nu alles?”

Kan een internal auditor ook impact maken met een groen auditrapport?

“Ja, ik ben ook blij met een groen auditrapport. Maar ik let er wel op dat men het daarna niet loslaat. Het grootste probleem is dat men bij een rood auditrapport voortvarend aan de slag gaat, een plan maakt en vervolgens opgelucht is als in een volgend rapport een positief oordeel staat – terwijl dat slechts de opzet en het bestaan betreft. Dan volgt er jubelstemming bij een groen oordeel, terwijl het uiteindelijk om de werking gaat. Ik heb liever een bedrijf zonder internal audit waar de werking goed is, dan een volledig traject van opzet, bestaan en werking waarbij je de laatste fase niet bereikt.”

Welke tips wil je internal auditors meegeven om hun impact te vergroten?

“Ik zeg altijd: ‘From the balcony to the dance floor.’ Zorg dat mensen zoveel mogelijk op de vloer zijn en face-to-facecontacten hebben. Mail is handig, maar de echte informatie krijg je bij de koffieautomaat. Voor dit soort rollen is het cruciaal dat je elkaar ziet. Soms gaan er dingen fout of zijn er problemen, dat is in elk bedrijf zo. Het gaat dan niet alleen om kennis en ervaring als auditor, maar ook om vaardigheden: hoe ga je met mensen om, hoe beïnvloed je bestuurders? Dan is het belangrijk dat je in dat toenemende belang van soft controls goed geëquipeerd bent. In mijn loopbaan als CEO en chief financial & risk officer (CFRO) en zeker ook als toezichthouder, heb ik juist enorm veel gesprekken met de CAE gehad. Naast fysieke aanwezigheid zijn ook adviesvaardigheden van groot belang. Als je geen boodschap kunt overbrengen, gaat dat ten koste van je impact.”

Hoe ga je om met meningsverschillen tussen internal audit en het management?

“Dat is gelukkig een zeldzaamheid. Als commissaris moet je dan vooral terughoudend zijn: niet op de stoel van de auditor of bestuurder gaan zitten. Wat je wel doet is terugduwen: je veroordeelt hen om er samen uit te komen, waarbij je van de directie begrip en respect voor audit verwacht. Het lastige aan een toezichtrol als commissaris is dat, als je zelf CEO bent geweest, je niet op de stoel van de directeur mag gaan zitten. Je vindt er al snel iets van. De mooiste discussies zijn die over strategie; formeel gaat de RvC daar niet over, maar de leden hebben vaak veel ervaring. Voor mij is het soms lastig om me niet inhoudelijk te bemoeien als het mijn eigen vakgebied betreft.”

Mag de auditor iets van de strategie vinden?

“Waarom niet? Doe er als bestuur je voordeel mee. Je moet het wel wegen naar de statuur en ervaring van de CAE. Net als een CFRO, CRO of CFO is de CAE een perfecte functie om ingewerkt te raken in het bedrijf en om te signaleren hoe het functioneert. Hoe ga je bijvoorbeeld om met bepaalde klantgroepen of producten in de strategie en welke keuzen maak je als organisatie? Audit bepaalt de strategie niet. Maar als de CAE een zinnige opmerking heeft, is het onverstandig om die te negeren.”

Wat doe je als auditbevindingen structureel terugkeren?

“Dat begint met het uitspreken van zorg. Auditopinies, actiepunten en de duur dat ze openstaan zijn standaardonderdelen van rapportages. Als het niet goed gaat, spreek je die zorg uit. Als het na verloop van tijd nog niet gaat zoals het zou moeten, ga je de escalatieladder op. Je schuift steeds verder op tot je bijna op de stoel van de bestuurder zit. Als bevindingen te lang uitstaan, praat je met het bestuurslid en de lagen daaronder. Als het onvoldoende opschiet, is dat vreselijk balen; vaak is het een cultuurkwestie. Soms is het gemakzucht. Niet voor niets is men bezig met gedrag en cultuur. En ik ben iemand van: afspraak is afspraak. Als je daar niet op kunt vertrouwen, moet je allerlei mechanismen inbouwen. Bij sommige mensen weet je dat je je geen zorgen hoeft te maken, bij anderen wel. Een van mijn controlemechanismen is dat ik veel schrijf en vastleg. Dat helpt, omdat je niet alles kunt onthouden.”

Hoe bewaak je als commissaris dat internal audit niet te dicht op het management zit?

“Ik zou die situatie niet gelijk als een probleem ervaren. Het management piept snel genoeg en je krijgt signalen als audit er te dicht opzit, maar dat komt zelden voor. In de praktijk ervaar ik dat audit het vaak bij het rechte eind heeft en dat dingen nog niet goed genoeg zijn: waar rook is, is vuur. Als audit er echt te dicht op zit, hoor je dat wel. Het is vaak meer een perceptie van de business, terwijl audit zelf denkt rechtvaardige vragen te stellen. Een afdelingsdirecteur bedenkt zich ook wel drie keer voordat hij naar de RvC stapt – dus als het wel gebeurt, weet je dat je alert moet zijn. Ook is er weleens geklaag over de druk van audit, risk en compliance – dat is van alle tijden en alle sectoren. Al is het de laatste tijd toegenomen, ook bij management en directie.”

“Op de IAF bezuinig je niet snel als RvC. De IAF is in die zin een van de exoten”

Welk effect heeft extern toezicht met de impact van internal audit?

“De financiële sector heeft het nadeel – of voordeel, hoe je het maar bekijkt – dat externe toezichthouders nadrukkelijk aanwezig zijn. Ze schrijven stevige rapporten en weten de mensen in de organisatie, waaronder de CAE, te vinden. In die strak gereguleerde context is de keuzevrijheid in het auditjaarplan beperkt. Je weet dan dat een deel van het jaarplan bestaat uit wettelijk verplichte audits en repeterende hoog-risico audits. Ik zou de financiële wereld gunnen dat er ook ruimte komt voor andere onderwerpen, maar de druk lijkt niet minder te worden. Er zijn steeds nieuwe ontwikkelingen waarop toezicht gehouden moet worden. Toen ik bij Rabobank directeur was in de tijd dat het de grootste internetbank van Europa was en er een internetstoring was, zat ik behoorlijk peentjes te zweten. Intussen is internet, de hele virtuele wereld, immens veel belangrijker én kwetsbaarder geworden.”

Hoe gaat de auditcommissie om met resourcebeperkingen binnen de IAF?

“Er is een jaarlijks proces voor het maken van het auditplan. Audit heeft daarbij een onafhankelijke positie. Als de CAE vindt dat er meer budget nodig is en dat kan onderbouwen, denk je als RvC wel drie keer na voordat je nee zegt. Ook als de CAE zegt dat de functie met minder capaciteit vervuld kan worden, moet je goed nagaan of hij dat zeker weet. In de praktijk geldt: wat nodig is, is nodig. Op de IAF bezuinig je niet snel als RvC. De IAF is in die zin een van de exoten. Belangrijk is ook dat er in het jaarplan standaard een percentage ‘onvoorzien’ is opgenomen. Als dat ontbreekt, maak ik daar altijd een opmerking over. Al is het maar om in geval van nood externen te kunnen inhuren. Je kunt bij krapte natuurlijk ook herprioriteren, maar dat onvoorziene budget voorkomt onverwachte resourcebeperkingen.”

Hoe belangrijk is sectorervaring voor auditors?

“Dat is bij elke afdeling van belang, maar het hoeft niet bij iedere auditor aanwezig te zijn. Het auditproces zelf is sterk gestandaardiseerd, wat ruimte biedt om als auditor ervaring in een nieuwe sector op te doen. Ik vind niet dat je alleen mensen met ervaring uit de eigen sector moet aannemen, al ligt dat bij een kleine IAF anders dan bij een grote. Een kleine IAF zou altijd enkele auditors met sectorervaring moeten hebben. De CAE dient ook te zorgen voor diversiteit en een mix van senior, medior en junior auditors. En zorg voor mensen met een aanjaagrol en innovatiekracht. Zij helpen de afdeling vooruit.”

Wat moet de volgende generatie auditors anders doen?

“Dat zit vooral in cultuur, gedrag en soft controls. Het staat al op de agenda, maar het gaat om de volgende stap. Daarnaast het gebruik van tools: er zijn steeds meer uitdagingen, zoals het gebruik van AI. De omgeving verandert snel. Daarom zijn vaardigheden, flexibiliteit en het vermogen om te investeren en te vernieuwen steeds belangrijker. Wat al belangrijk was – en dat blijft zo – zijn adviesvaardigheden en agility. Dat geldt zeker voor auditors. Iedere beroepsgroep is anders, maar auditors zijn vaak strak en rechtlijnig, terwijl de eerste lijn juist meer vrijheid zoekt. Naarmate de omgeving sneller verandert, wordt het adaptief vermogen steeds belangrijker.”