“Ik geloof heilig in een houdbaarheidsdatum voor de CAE”
Thijs Smit vervulde in het verleden als vrijwilliger diverse functies binnen IIA Nederland en was van 2003 tot 2008 voorzitter. Tegenwoordig is hij voorzitter van KIN (Kwaliteitstoetsingen IIA Nederland). Een interview met Smit over de houdbaarheid van een CAE.
Wie is Thijs Smit?
“Je zou kunnen zeggen dat ik van geboorte internal auditor ben. Direct na de heao ben ik gestart bij de interne accountantsdienst van de toenmalige PTT (nu PostNL). In die tijd heb ik het internal auditvak zien ontstaan. Daar heb ik ruim negentien jaar gewerkt. Vervolgens heb ik als chief audit executive (CAE) gewerkt bij Hoogovens, Corus, Ahold, SNS Reaal en SHV. Ten tijde van de grote crisis bij Ahold in 2003 was ik in dienst bij Ahold. De afgelopen vier jaar ben ik werkzaam als consultant. Ik geef trainingen en colleges over ons mooie vak en voer kwaliteitstoetsingen uit namens het IIA.”
Bent u al lang verbonden aan het IIA?
“In 1998 kwam ik, vlak na oprichting, in het bestuur van IIA Nederland. In het eerste jaar was ik voorzitter van de commissie Vaktechniek. Daarna kwam ik in het bestuur, dat heb ik tien jaar gedaan. In 2003 tot 2008 in de rol van voorzitter. Van 2009 tot 2013 zat ik in het bestuur van IIA Global in Amerika. Bij de ECIIA (Europese IIA) ben ik vijf jaar bestuurslid geweest waarvan de laatste twee jaar als president. Ik heb in de jaren dat ik betrokken was bij het IIA het nodige gezien, waaronder de fusie tussen de VRO – de rechtsvoorganger van het huidige SVRO – en het IIA NL.”
Was de term internal audit al in zwang toen u begon?
“Nee, je was assistent interne accountant. Ik heb jarenlang jaarrekeningen gecertificeerd, interne certificering noemden we dat. Een fenomeen dat in het bedrijfsleven niet of nauwelijks meer voorkomt. De ontwikkeling naar internal audit heb ik meegemaakt. De focus verschoof van volledig gericht op financiële gegevens naar operational audits en compliance.”
Bestaat er zoiets als de houdbaarheid van een CAE?
“Ja, dit bestaat en daar geloof ik heilig in. Hier heb ik vijftien jaar geleden al eens een artikel over geschreven. Ik sluit me graag aan bij de praktijk van de externe accountant: na vijf tot zeven jaar rouleren. Zelf vind ik een termijn van zes jaar het mooist. Vertrekken in de eerste twee jaar is zonde van alle energie die je als CAE en organisatie steekt in het leren kennen van het bedrijf. Je hebt die jaren nodig om een bedrijf goed te leren kennen. Je moet de cultuur van een organisatie volledig doorgronden, dat wil zeggen: de onderstroom van de organisatie kennen. De onderstroom is cruciaal voor het functioneren van een CAE. Na twee jaar word je pas effectief. Het management moet namelijk het gevoel hebben dat jij het bedrijf door en door kent.”
Hoe doe je dat als CAE?
“Een voorbeeld: wanneer je CAE bij een supermarktbedrijf bent, zou je een tijdje in een filiaal van de supermarkt moeten werken. Ik heb bij Ahold in totaal in mijn eerste jaar vier weken in een filiaal gewerkt. Hierdoor leer je wat er écht speelt in een bedrijf. Die investering doe je in de eerste twee jaar. Dit is een zware periode, want je moet naast diepgaande kennis opdoen van de basisprocessen ook bouwen aan de internal auditfunctie, visie ontwikkelen en auditjaarplannen schrijven. Na de twee ontwikkelingsjaren heb je een raad van bestuur en een auditcommissie die in je geloven. In de twee jaren die hierna volgen, kunnen audits gedaan worden die echt waarde toevoegen. Hierbij kunnen de audits soms best een beetje pijn doen. Het zou niet goed zijn als auditors al acht á tien jaar ergens werken en nog nooit op de tenen hebben gestaan van een directeur of manager, dan heb je hoogstwaarschijnlijk je rol niet goed ingevuld. De auditor moet spreekwoordelijk ‘het kiezeltje in de schoen zijn’.”
“Je moet de cultuur van een organisatie volledig doorgronden, dat wil zeggen: de onderstroom van de organisatie kennen. De onderstroom is cruciaal voor het functioneren van een CAE”
Hoe hebt u dit aangepakt?
“Altijd als ik in mijn rol als CAE over cultuur begon, met name over cultuurelementen die niet zo goed zijn, worden mensen ongemakkelijk. Na vijf tot zeven jaar is de magie vaak verdwenen. Daarna is het wat mij betreft tijd voor iets anders, en dit idee heb ik verder uitgewerkt. De start zou zijn dat de definitie van internal audit veel beter omschreven zou moeten worden in de Corporate Governance Code. Internal audit zou een meer onafhankelijke rol moeten krijgen. Tegenwoordig heeft vrijwel elke auditafdeling een lijn naar de auditcommissie, maar dit blijft meestal wat vrijblijvend. Het is eigenlijk raar dat de auditcommissie niet de opdrachtgever is voor de vijfjaarlijkse kwaliteitstoetsing van de internal auditfunctie (IAF).”
Moet de auditcommissie toezicht houden op de IAF?
“Ja, dat vind ik wel. Daarnaast vind ik dat de roulatie van de CAE opgenomen zou moeten worden in de Corporate Governance Code, net als bij de externe accountants. Ik zou willen pleiten voor een maximale termijn van de CAE van 6 jaar. In het nieuwe systeem zou het functioneren van de CAE beoordeeld moeten worden door de directe lijnbaas (vaak CEO) en de voorzitter van de auditcommissie samen. De primaire rapportagelijn moet wel naar de CEO blijven.”
Waarom dan?
“In mijn tijd bij Corus (met one-tier board) heb ik meegemaakt dat de effectiviteit van de CAE afneemt als de primaire directe rapportagelijn met de voorzitter van de auditcommissie is. Hierdoor werd ik als CAE op een te grote afstand gehouden door het bedrijf, omdat ik een te grote invloed had. De IAF zou onderdeel moeten zijn van het bedrijf en dichtbij het managementteam moeten staan. Dit is een waarborg voor de goede verstandhouding tussen de CAE en raad van bestuur. Uit ervaring kan ik zeggen dat het niet goed afloopt met de CAE die een conflict krijgt met zijn eigen raad van bestuur.”
Kunt u iets meer vertellen over deze ervaring?
“Dit heb ik in de praktijk meerdere malen zelf ondergaan en van andere CAE’s gehoord. In geval van geconstateerde evidente misstanden of grote risico’s moet je een lastige boodschap brengen aan je raad van bestuur. Het kan gaan om misstanden die om direct ingrijpen vragen. Dergelijke boodschappen kunnen binnen de raad van bestuur ‘slecht vallen’. Ik heb deze situatie zowel bij Ahold, SNS als SHV meegemaakt. Overigens in totaal verschillende situaties. Bij Ahold was er sprake van verkeerd handelen door de raad van bestuur zelf (side letters), bij SNS verkeerd beleid in de onroerend-goeddivisie (Property Finance) en bij SHV van onrechtmatige transacties bij dochterbedrijven (omkoping). Zolang je rapporteert over zaken die een caissière, CFO van een dochteronderneming of een filiaalmanager aangaan, vindt iedereen het prima. Het wordt pas spannend als de bevindingen de voorzitter van de raad van bestuur persoonlijk kunnen raken. Dán moet je als internal auditor nog steeds je werk goed kunnen doen.”
Hoe kun je deze rol als CAE toch op je nemen?
“De rapportagelijn zou primair naar de raad van bestuur moeten zijn. De auditcommissie moet toezicht houden op de IAF. Het aanstellen, beoordelen van het functioneren en de beloning van de CAE hoort daar zeker bij. Om als CAE professioneel onafhankelijk te zijn, zou het ook goed zijn een incentive beloning toe te kennen die na het verstrijken van de termijn (idealiter zes jaar) wordt uitgekeerd.”
“Zolang je rapporteert over zaken die een caissière, CFO van een dochteronderneming of een filiaalmanager aangaan, vindt iedereen het prima. Het wordt pas spannend als de bevindingen de voorzitter van de raad van bestuur persoonlijk kunnen raken”
Na de termijn? Waarom?
“Het is niet wenselijk om CAE’s mee te laten doen aan de jaarlijkse programma’s voor variabele beloning. De onafhankelijkheid en professionaliteit kunnen in het gedrang komen wanneer een 40-jarige CAE met een hypotheek en een jong gezin zijn baan dreigt te verliezen. De CAE kan in een dergelijk gevallen mogelijkheden zoeken om zijn baan te redden die de onafhankelijkheid bedreigen. Een variabele beloning na het verstrijken van de termijn zorgt ook voor een buffer om de tijd te overbruggen. Het zou goed zijn om deze variabele beloning van CAE te verankeren in de Corporate Governance Code.”
Hebt u zelf ook de eerder besproken termijn van zes jaar toegepast?
“Ja. Behalve bij SHV, toen was het zeven jaar. De termijn van zes jaar heb ik niet bewust gevolgd, het is zo gelopen. Toen ik CAE van (nu) PostNL was, was ik daar na vijf jaar wel klaar. Ik ging daar weg om ‘de wereld te veroveren’. Bij andere werkgevers is het ook op natuurlijke wijze gebleven bij maximaal zes jaar. Bij Ahold heb ik zes jaar gewerkt. Drie jaar voor de crisis en drie jaar erna.”
Hoe kun je als auditor bijdragen aan een cultuurverandering?
“Bij SNS heb ik dit gedaan samen met de externe hulp van KPMG. Als IAF moet je niet de illusie hebben dat je de hele cultuur van een organisatie kunt doorgronden en onderzoeken. Ik heb geleerd dat je het proces voor een cultuurverandering moet laten faciliteren door een buitenstaander. Die kan de cultuurverandering makkelijker overbrengen. Het kan provocerend overkomen als de CAE dat doet. Bij echte fundamentele cultuurproblemen zou ik iemand inhuren als procesbegeleider. Dat werkt als een katalysator. Het gaat namelijk niet alleen om wat je zegt, maar ook wie het zegt. Bij SNS heeft dat heel goed uitgepakt.”
Hoe belangrijk is een goed proces?
“Een goed proces van kwaliteitstoetsingen binnen de IAF kan daarnaast ook helpen om de positie van de IAF, vooral ten opzichte van het audit committee, goed te waarborgen. In het ideaalmodel verricht een IAF in het eerste jaar een zelfassessment die wordt gedeeld met de raad van bestuur en het audit committee. In het tweede jaar ook weer een zelfassessment, maar dan met een beoordeling van een externe partij en in het derde jaar een externe toetsing. Daar zijn we nog lang niet aan toe, maar je ziet wel dat het karige systeem van eens in de vijf jaar een externe toetsing op zijn retour is. Er is een beweging gaande dat IAF’s zich frequenter laten toetsen. Er zijn meerdere auditafdelingen in de financiële sector die zich nu eens in de drie jaar extern laten beoordelen. Wat mij betreft een goede ontwikkeling, want belangrijke processen binnen een onderneming beoordelen we ook jaarlijks en niet eens in de vijf jaar.”
Wat gebeurt er als een CAE over de houdbaarheidsdatum is?
“Dat varieert sterk. Soms zal de CAE defensief gedrag gaan vertonen om zijn IAF te beschermen tegen aanvallen van partijen als het management van decentrale eenheden, bijvoorbeeld divisies/business units. Ook kan het omgekeerde gebeuren en kan de CAE te veel onderdeel worden van de cultuur van de organisatie waardoor een effectieve derdelijnsfunctie in gevaar komt. Uiteraard zijn er ook CAE’s die na zes jaar nog prima functioneren.”
Wat zeggen de internationale standaarden over de termijn van een CAE?
“Die zeggen daar niets over. Het is geen wetmatigheid. Sommige CAE’s zitten wat langer en doen hun werk goed. Echter, de tegenwerkende krachten in een organisatie worden op een gegeven moment heel sterk, daarom zou ik een maximum van zes á zeven jaar willen aanhouden. In een deel van de wereld zijn de IIA Standaarden gedeeltelijk tot wet verheven. Als wij standaarden gaan veranderen, zoals bijvoorbeeld een maximumtermijn voor een CAE, dan moeten dergelijke landen de wet veranderen. Veranderingen van standaarden is een heel intensief traject. In Nederland is de Corporate Governance Code heel belangrijk, dat heeft internal audit veel meer power gegeven. Daar zou ik op inzetten als IIA Nederland.”
“Ik heb geleerd dat je het proces voor een cultuurverandering moet laten faciliteren door een buitenstaander. Het kan provocerend overkomen als de CAE dat doet”
Ziet u al verandering de afgelopen jaren?
“Ja, het rouleren is toegenomen in de afgelopen jaren. Dat juich ik toe. Natuurlijk zijn er in Nederland meerdere CAE’s die tien jaar of meer op hun positie zitten. Op zich geen ramp, want degenen die ik ken werken nog prima. Nog meer rouleren van CAE’s zou een goede zaak zijn. Er zou wel een goed financieel vangnet moeten komen voor CAE’s, zodat ze ergens op terug kunnen vallen (de eerdergenoemde buffer, rechtspositie, et cetera – red.). Het IIA zou bijvoorbeeld een pool chief auditors kunnen maken.”
Is het raadzaam dat een CAE na zijn termijn een andere – eerste of tweedelijns – functie gaat bekleden?
“Dit is niet ondenkbaar. Dat kan zeker als je hart daar ligt. Maar je vraagt het eigenlijk aan de verkeerde persoon. Ik heb dit wel één keer gedaan in het begin van mijn carrière. Bij PostNL ben ik na vijftien jaar CAE anderhalf jaar CFO geweest bij een Belgisch distributiebedrijf dat net was gekocht. Ik heb toen veel geleerd over internal audit. Bijvoorbeeld hoe goed gerapporteerd kan worden. Voor ieder probleem dat je aanlevert, moet een oplossing aangedragen worden. Je zou als auditor een handelingsperspectief moeten bieden. Ik vind het zelf lastig, maar begrijp wel dat er veel draagvlak is als een CAE uit de business komt.”
Over
Thijs Smit is auditconsultant en docent internal auditing aan de universiteit van Amsterdam. Daarnaast voert hij namens het IIA kwaliteitstoetsingen op auditfuncties uit. Voorheen was hij voorzitter van het IIA, president van ECIIA en CAE bij PostNL, Corus, Ahold, SNS Reaal en SHV.
Reacties (0)
Lees meer over dit onderwerp:
“Vanaf jaar vijf gaat er wat kraken"
In dit drieluik over de houdbaarheid van de CAE vertellen Jantien Heimel, Marcel Bongers en John Bendermacher hoe zij hiernaar kijken en wat hun geleerde lessen zijn als CAE.
Lees meerKijken hoe het zit
Een jaar geleden aangetreden als directeur van de Rekenkamer Rotterdam. Een jaar met de focus naar binnen en nu het eerste interview met de buitenwereld. Marjolein van Asselt over het belang en de uitdaging van onafhankelijkheid en impact hebben.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.