“Het is nog niet te laat”

Marc van Heese, partner bij ARC People, vertelt over de innovatie van de internal auditfunctie en hoe we deze toekomstbestendig kunnen houden.

Wie is Marc van Heese? En via welke wegen loopt zijn carrière tot dusver?

“Ik begon na het afronden van mijn studie Bedrijfskunde in Rotterdam bij KPMG Management Services. Dat onderdeel was met name actief in AO/IC en daar kwam ik voor het eerst in aanraking met internal audit. Via Mees Pierson kwam ik terecht bij Achmea Internal Audit, waar ik mijn RO-opleiding heb behaald. Daarna ben ik in 2005 samen met een collega een bedrijfje begonnen in Internal Audit en heb ik een zzp-platform ontwikkeld.”

“Omdat de meeste processen die je tegenkomt ondersteund worden door IT dan wel volledig op IT gebaseerd zijn, ben ik ook de RE-opleiding gaan volgen. In 2013 startte ik samen met Sander van Oosten AuditPeople. Vorig jaar hebben we er RiskPeople en CompliancePeople aan toegevoegd, met als overkoepelend label ARC People. Samenvattend kun je stellen dat ik mijn hele werkende leven actief ben in internal audit en aanpalende vakgebieden, in diverse rollen, variërend van riskmanager tot hoofd Internal Audit. Die laatste rol vervul ik nog steeds op ad-interimbasis bij een kleinere verzekeraar.”

U hebt een blog geschreven over het innovatieve karakter van internal audit of eigenlijk, in uw ogen, het gebrek daaraan. Kunt u de blog samenvatten en uw zorgen toelichten?

“In mijn blog (https://www.auditpeople.nl/nieuws/houden-we-internal-audit-nog-voldoende-future-proof/ – red.) zeg ik dat we dagelijks horen dat de wereld in een heel hoog tempo verandert. Naast geopolitieke ontwikkelingen zijn die veranderingen vooral ingegeven door technologische ontwikkelingen. Denk aan het incorporeren van blokchain in bestaande businessmodellen, ‘quantum computing’, ‘quantum internet’, ‘artificial intelligence’, en zo verder. Allerlei nieuwe technieken tuimelen over elkaar heen, wat maakt dat bestaande businessmodellen razendsnel achterhaald lijken te raken.”

“Dat deze ontwikkelingen bepalend zijn voor bedrijfsmodellen, en daarmee ook voor internal audit, is evident. Maar wat is nu het juiste antwoord van internal audit op al deze ontwikkelingen? Hoe kunnen wij hierin meegaan en relevant blijven? We roepen vaak dat we meer dan een ‘assurance provider’ willen zijn, een ‘insight provider’, of – nog beter – een ‘trusted advisor’. Ik vraag me sterk af of wij dat als beroepsgroep nu goed doen en of we daar wel goed voor worden opgeleid.”

“Ik vraag me echt af waarom RE en RO twee gescheiden opleidingen zijn nu bijna alles
om IT draait”

“We hebben nu wettelijke verankering in de Corporate Governance Code en ook Europese wetgeving zoals IORP II en PSD2 verplichten een internal auditfunctie. Dat is natuurlijk heel goed, maar nu moeten we het als beroepsgroep ook waarmaken. Begrijp me goed, ik ben uiteraard voorstander van internal audit en zie ook de grote toegevoegde waarde ervan, maar dan moeten we alle ontwikkelingen wel kunnen bijbenen. Ik wil geen functie worden die er puur is vanwege externe dwang, maar door intrinsieke motivatie van de organisatie zelf. Ik wil niet dat we een functie zijn die door het eventueel wegvallen van wetgeving direct wordt opgeheven.”

“Kijk voor de grap even naar internal-auditvacatures bij de bekendere ‘disruptive organisations’. Bij deze openstaande auditvacatures kom je nogal vaak de term SOx tegen, deze bedrijven zijn genoteerd aan de NASDAQ en moeten daarom voldoen aan SOx. Dat lijkt dan toch te duiden op internal audit als een verplicht nummer, of in ieder geval voor een groot deel. Terwijl we zoveel meer waarde zouden kunnen toevoegen dan sec het testen van financial controls.”

Hoe snel gaan de ontwikkelingen?

“Ik denk werkelijk dat we ons vergissen in de snelheid van ontwikkelingen. Ik lees al dat blokchain volgens sommigen alweer verouderd is en dat de ‘flash-channel’-techniek beter is. Ook twijfel ik of de focus op data-analyse, waar iedereen mee bezig is, nog vernieuwend genoeg is. Is er straks geen artificial intelligence tool waar je je data instopt, de tool vervolgens zelf externe databases betrekt zoals het weer, verkeer, et cetera, en met conclusies komt die we als auditor niet hadden kunnen bedenken? Wat is de rol van internal audit dan nog bij data-analyse? Google weet nu al eerder dan de huisartsen wanneer er een griepgolf is. Als we op de huidige manier blijven acteren, houden we het best nog even vol, maar actie is geboden. Ik gebruik graag als voorbeeld het sprookje over de waterlelie die elke dag in omvang verdubbelt en dus in toom moet worden gehouden. Als de vijver halfvol is, zeggen we ‘dat pakken we morgen als eerste op’. Dan zijn we dus te laat. Kijk ik naar het onderzoek van PWC State of the audit profession van 2017 dan onderbouwt deze mijn zorgen: het aantal stakeholders dat vindt dat internal audit significante waarde toevoegt, daalde van 54% naar 44%.”

Kunt u een voorbeeld geven waaruit blijkt dat we achterblijven bij de ontwikkelingen?

“Vooropgesteld, ik zeg niet dat alle internal auditfuncties achterblijven en ik wil ook niet beweren dat ik in de toekomst kan kijken. Ik denk dat de internal auditfunctie prima is geëquipeerd voor het uitvoeren van gedegen en onafhankelijk onderzoek waar een organisatie wat mee kan, maar we moeten wel naar de goede onderwerpen kijken. Onderwerpen die aansluiten bij de strategie en ontwikkeling van de organisatie en haar omgeving.”

“Ik zie nog veel afdelingen vooral bezig met het auditen van business as usual: alle processen in drie jaar raken en daarnaast nog even een audit op een belangrijk project. Ik vind dat we veel meer naar changeprocessen moeten kijken en ook veel meer naar buiten moeten kijken. Natuurlijk moeten we zorgen dat er geen klanten en geld door de achterdeur naar buiten gaan, maar nu er zoveel ‘disruptive’ veranderingen zijn, zou de focus veel meer buiten de organisatie moeten liggen en hoe de organisatie deze veranderingen ten eerste signaleert en vervolgens daarop acteert. We moeten geen strategie bepalen, maar wel inzicht geven in wat er speelt en welke consequenties dat heeft voor de strategie en de interne organisatie.”

En de bemensing van de auditafdelingen?

“Ik hoor nog steeds van auditafdelingen die bij voorkeur alleen maar RA’s willen, omdat die goed weten hoe je een gedegen dossier moet opleveren. Dan maak ik me zorgen over de toegevoegde waarde van die afdeling. Ik vraag me af hoeveel afdelingen geabonneerd zijn op de nieuwsbrief van (bijvoorbeeld) security.nl waarin alle securitylekken, virussen, et cetera, worden genoemd en die dan kijken wat de gevolgen daarvan zijn voor hun eigen organisatie. Op het IIA Congres van afgelopen juni werd verteld dat de verwachting is dat al het dataverkeer van de afgelopen jaren door de Chinezen en Amerikanen is opgeslagen en dat met quantum computing de encryptie te kraken is en alles dus te lezen is. Hoeveel auditors zijn dit na het congres intern gaan bespreken met het management en hebben in kaart gebracht welke risico’s dit met zich mee brengt? Ik denk dat het aantal tegenvalt.”

“Ik hoor nog steeds van auditafdelingen die bij voorkeur alleen maar RA’s willen. Dan maak ik me zorgen over de toegevoegde waarde van die afdeling”

Jullie zijn actief als wervings-, selectie- en interimbureau. Welke ontwikkelingen ziet u in de markt? Vragen bedrijven al om andere profielen?

“Bijna elke nieuw gezochte auditor moet IT-affiniteit hebben. Er is ook zeker meer vraag naar IT-auditors. Enkele bedrijven vragen ook om echte ‘hardcore’ IT’ers, maar dat aantal valt vooralsnog mee. We zien ook meer vraag naar trainees. Dat zijn net afgestudeerden, vanuit diverse studierichtingen, breder dan economie en bedrijfskunde, die na een gedegen opleiding starten bij de klant en daar training on the job krijgen. De frisse blik van deze jonge starters (de generatie Y) valt goed bij klanten. Op het laatste congres is het ook herhaaldelijk gezegd: haal jonge mensen in je team voor meer innovatie. Deze generatie heeft toch een hele andere kijk op zaken dan oudere generaties.”

“Op interimgebied zie je dat er steeds vaker specifieke skills worden gevraagd: niet meer gewoon een internal auditor of een IT-auditor maar een internal auditor die alles weet van AVG of een IT-auditor die alles weet van SAP of logische toegangsbeveiliging. Dat lijkt te duiden op meer specialisatie. Als auditor kun je gewoonweg niet alles meer weten: er zijn te veel ontwikkelingen op het gebied van IT en wetgeving.”

U hebt het gehad over wat afdelingen anders moeten doen. Maar wat is volgens u de rol van het IIA hierin?

“Voor het plaatsen van de blog heb ik deze ook naar voorzitter Jantien Heimel gestuurd om haar hierover te informeren omdat  ik het a) netjes vond als partner van het IIA en b) wilde aanbieden om samen met het IIA op te trekken in het toekomstvast houden van het internal auditvak. Elke internal auditor en auditafdeling heeft hierin uiteraard zijn eigen verantwoordelijkheid, maar ik denk dat het opstarten van initiatieven vanuit het IIA een aantal grote voordelen biedt. Het biedt structuur, een groot netwerk, brede communicatie en wellicht ook de nodige funding. Inmiddels heeft het eerste brainstormgesprek plaatsgevonden met twee leden van het IIA-bestuur en ik hoop en verwacht dat dit een positief vervolg gaat krijgen.”

Hebt u ook concrete oplossingen voor de geschetste problematiek?

“Als een echte auditor zou ik willen zeggen dat we daar eerst goed onderzoek naar moeten doen. Maar ik kan wel wat suggesties doen. Zoals in de blog aangegeven ben ik voorstander van een soort ‘deltawerkenplan’ binnen het IIA op dit onderwerp. Laten we starten met een commissie die binnen een korte periode met een gedegen plan komt hoe het vakgebied voor de toekomst relevant te houden. Ik denk dat daarin een aantal onderwerpen aan de orde moeten komen. We moeten allereerst kritisch kijken naar de opleidingen. Ik vraag me echt af waarom RE en RO twee gescheiden opleidingen zijn nu bijna alles om IT draait. Ik zou ook willen pleiten voor een vorm van samenwerking met de IT-auditberoepsvereniging NOREA.”

“Auditafdelingen zelf zouden alvast kritisch kunnen kijken naar hun planning: doen we wel de goede dingen? Niet te veel business as usual en te weinig change. Ik denk ook dat het in vervolg daarop goed is om te kijken naar de samenstelling van het team. Hebben we de juiste expertise in huis, hebben we nog een frisse blik? En ik denk dat kleinere teams met een grotere flexibele schil beter zijn, zodat de benodigde specifieke kennis kan worden ingehuurd op het moment dat het nodig is.”

Ziet u het nog zitten met het vak?

“Zeker. Het is een schitterend vak: ik ben hierin niet voor niets al zo lang actief. Zoals eerder gezegd, ik ben ervan overtuigd dat een internal auditafdeling veel kan betekenen voor het succes van een organisatie. Dat moet zo blijven, maar dan moeten we wel tijdig veranderen. Het is nog niet te laat, de vijver is nog niet halfvol. Ongetwijfeld zijn er afdelingen die hierin al heel ver zijn. Ik nodig ze bij deze uit om hun kennis te delen en het vak vooruit te helpen.”