Gerrit Zalm over de toegevoegde waarde van internal audit

Audit Magazine sprak met Gerrit Zalm, bestuursvoorzitter van ABN Amro en non-executive director bij Shell, over de relevantie van Internal Audit (IA).

Dit jaar geeft u acte de présence op het IIA Congres met het thema ‘Relevantie’. Wat is volgens u de relevantie van Internal Audit (IA)?

“Audit fungeert voor mij en mijn raad van bestuur als een paar extra ogen en oren. Ik lees van alle auditrapporten, enkele honderden per jaar, in ieder geval de summaries. Indien de uitkomst van het onderzoek de kwalificatie ‘weak’ of ‘needs improvement’ kent, lees ik verder. Op die manier krijg en houd ik een beeld van de verbeteringen die binnen de onderneming noodzakelijk zijn. Daarnaast zie ik Internal Audit als een soort interne consultant. Zij doet onderzoek en adviseert het management over bijvoorbeeld de wijze waarop risico’s kunnen worden gemitigeerd of de procesgang effectiever en efficiënter kan worden ingericht. Voor mij is Internal Audit echt een relevante club!”

Wat verwacht u van een interne auditfunctie?

“Belangrijk is dat ze niet alleen vertellen wat er mankeert, maar dat ze ook samen met het management overeenstemming bereiken over de oplossing. Vroeger gaf het management een reactie op de aanbevelingen van Internal Audit. Ik moest die managementreacties altijd vreselijk goed lezen om te controleren of ze wel voldoende ingingen op de aanbevelingen. Van dat systeem zijn we afgestapt. Tegenwoordig werken we met ‘agreed management actions’. Hierbij bestaat overeenstemming tussen IA en het management over wat er binnen welke tijdslijnen moet veranderen om het oordeel ‘adequate’ te kunnen krijgen. Ik vind dit een veel praktischer werkwijze, het maakt het werk van IA nuttiger. Randvoorwaarde is wel dat IA niet alleen problemen signaleert, maar ook meedenkt over de oplossing. Ze moeten dus een beetje hun nek uitsteken. Wat er gebeurt ingeval Internal Audit en het management er samen niet uitkomen? Dan komen ze op een hoger niveau uit en uiteindelijk bij mij! Die situatie heeft zich echter tot nu toe nog niet voorgedaan.”

“Ik wil dat IA los van de formele checks and balances onderzoekt hoe mensen in de wedstrijd zitten. Dat is weliswaar zacht, maar daarom niet minder belangrijk”

Nog meer?

“Daarnaast vind ik het belangrijk dat IA oog heeft voor gedrag, cultuur en tone at the top. Ik wil dat IA los van de formele checks and balances onderzoekt hoe mensen in de wedstrijd zitten. Dat is weliswaar zacht, maar daarom niet minder belangrijk. Dit is een nieuw en daarmee wellicht een beetje lastig onderwerp, maar het verdient wel de aandacht. Verder vind ik efficiency een belangrijk onderwerp. Soms zijn in de loop van de tijd meerdere controls ingericht, daar waar een of enkele controls zouden volstaan. Internal Audit heeft oog voor overbeheersing en de bijbehorende onnodige kosten. Een laatste verbetering die onder de huidige directeur Group Audit, John Bendermacher, is doorgevoerd is het zogenoemde ketendenken. We hebben nogal wat ketens in deze bank. Je kunt niet concluderen dat een hele keten soepel loopt, wanneer je als IA uitsluitend de procesgang in afzonderlijke afdelingen onderzoekt. Ook deze verbetering maakt het werk van Internal Audit relevanter!”

Moet er geen scheiding bestaan tussen audit en advies?

“Nee, ik geloof niet dat we daar beter van worden. Ik snap nog wel dat de externe accountant niet zijn eigen vlees moet keuren. Het sterke aan IA zoals wij dat nu hebben ingeregeld is dat ze niet alleen een vrijblijvend oordeel geven, maar dat ze ook adviseren over de benodigde acties. Indien we hier weer scheiding in gaan aanbrengen, dan zal dat het functioneren van Internal Audit alleen maar belemmeren.”

Welke stakeholder(s) zou een interne auditfunctie primair moeten dienen?

“De raad van bestuur. Dat geldt zowel voor ABN Amro als voor Shell. Als non-executive director bij Shell ontvang ik van IA weliswaar kwartaaloverzichten, de auditrapporten ontvang ik daar niet. Dat zou ik ook niet willen, het lezen van al die rapporten zou mij simpelweg te veel tijd kosten. Verder merken we dat toezichthouders zoals de ECB, DNB en de AFM, ook steeds meer laten valideren door IA. En dat is nuttig. Immers, IA heeft ook een valideringsrol en dat toezichthouders daar gebruik van maken, in plaats van dat ze alles zelf doen, vind ik niet erg. Soms is het planningtechnisch wat lastig, aangezien ECB en DNB pas in de loop van het jaar aankondigen welke onderzoeken ze van IA verwachten. Daarom nemen we tegenwoordig meer flexibiliteit op in de auditjaarplanning. En de externe accountant? Die houdt zich bij ABN Amro hoofdzakelijk bezig met het valideren van de jaar- en kwartaalcijfers. Hier doet IA betrekkelijk weinig aan en dat is prima.”

Een belangrijk onderdeel van uw missie is het creëren van een cultuuromslag. In hoeverre is het onderzoeken van gedrag en cultuur door Group Audit van toegevoegde waarde?

“Dat helpt mee. We doen veel om de cultuuromslag te realiseren. Zo organiseren we leiderschapsdagen waar ikzelf en anderen vertellen hoe het gedrag van leidinggevenden eruit zou moeten zien. De tone at the top is in mijn ogen extreem belangrijk, maar tegelijkertijd ontzettend moeilijk meetbaar. Uiteraard trekt IA de kar niet als het gaat om het realiseren van de cultuuromslag, maar door af en toe de vinger op de zere plek te leggen dragen ze er zeker wel aan bij. Dit vergt wel wat van IA. Voor een klassieke auditor blijft het onderzoeken van gedrag en cultuur een beetje eng. Het onderwerp laat zich nu eenmaal niet gemakkelijk objectief meten.”

“In januari hebben we vrijwel de hele top van onze vestiging in Dubai naar huis gestuurd, omdat interne regels waren overtreden”

Welke rol heeft Group Audit in de aanloop naar de beursgang?

“ABN Amro zal in delen naar de beurs worden gebracht. IA is betrokken bij allerlei voorbereidende activiteiten. Zo auditen ze het project zelf alsmede de ‘deliverables’ die voortkomen uit dit project. De toezichthouder moet voorts een verklaring van geen bezwaar geven. Mogelijk maken zij hierbij gebruik van de diensten van IA. Overigens zal er na de beursgang voor IA niet veel veranderen. Ik zie namelijk geen wezenlijk onderscheid tussen de rol van IA binnen een beursgenoteerde en een niet-beursgenoteerde onderneming.”

Heeft het beroep ten tijde van de grote bankschandalen gefaald?

“Je kunt eerder zeggen dat toezichthouders, raden van commissarissen en raden van bestuur hier de boot hebben gemist. In die tijd waren banken wellicht te dun gekapitaliseerd en werden onvoldoende liquide middelen aangehouden. Dit zijn geen typische zaken voor internal auditors. Je denkt eerder aan risk management.Overigens zijn er ook verhalen bekend van riskmanagers die aan de bel trokken en vervolgens door hun CEO aan de kant werden geschoven.”

Hoeveel kun je zien?

“Je kunt als IA onmogelijk alles zien. In januari hebben we vrijwel de hele top van onze vestiging in Dubai naar huis gestuurd. Niet vanwege fraude, zoals wel in de media werd gesuggereerd, maar omdat interne regels waren overtreden. Niet IA, maar een klokkenluider heeft ons hiervan op de hoogte gebracht. Uiteraard nemen we dergelijke zaken hoog op. Security Intelligence Management heeft direct een onderzoek gestart en IA heeft samen met compliance een dossieronderzoek uitgevoerd.”

Hoe kan Group Audit het nog beter doen?

“Per saldo ben ik heel tevreden over de ontwikkelingen binnen IA en over de wijze waarop IA functioneert! Echter, er is altijd verbetering mogelijk, ook voor IA. Allereerst hoop ik dat we de huidige vacatures kunnen invullen. We zijn op zoek naar goede, jonge interne auditors. Daarnaast mag de scope van IA van mij nog breder zijn. Binnen de bank rollen we sinds 2010 de principes van customer excellence uit, een stapsgewijze reis van continue verbetering gebaseerd op Lean-managementprincipes. Ik vind dat dit aspect ook binnen audits meegenomen mag worden. Zijn de verschillende afdelingen hier echt wel serieus mee bezig? En functioneert het?”

Wat maakt een interne auditor goed?

“Het profiel van de interne auditor is al lang niet meer gelijk aan dat van de klassieke boekhouder. Je dient over redelijk wat vaardigheden te beschikken om goed te kunnen functioneren als interne auditor. Een goede interne auditor heeft gevoel voor processen, is analytisch vaardig en kan goed communiceren. In discussies met het hogere management dien je bovendien indien nodig een rechte rug te tonen. Je moet wel durven, ook als er een intimiderende manager tegenover je zit!”

Hebt u nog tips voor interne auditors?

“Mijn tip zou zijn: vat je taak niet te krap op! Je bent de ogen en oren van onder meer de bestuursvoorzitter, dus bekijk de wereld ook vanuit zijn ogen; bepaal wat voor hem relevant is. En loop je tegen relevante zaken aan, neem ze dan mee in je onderzoek, ook al passen ze niet binnen je oorspronkelijke onderzoeksopdracht. Een ruime taakopvatting, dat zou ik willen bepleiten.