Internal audit: integraal onderdeel van besturingsapparaat
Peter Wakkie, voorzitter van de raad van commissarissen van Wolters Kluwer en TomTom, over de cruciale competenties voor internal auditors. En over zaken waar Internal Audit zich wel én niet mee zou moeten bezighouden.
Welke stakeholder(s) moet een internal auditfunctie (IAF) volgens u primair dienen?
“Primair de raad van bestuur én de raad van commissarissen. Beide moeten een objectieve opinie krijgen van de third line of defense over de beheersing van de belangrijkste risico’s voor de onderneming. Een onafhankelijk oordeel van een IAF is cruciaal voor zowel de raad van bestuur als de raad van commissarissen.”
Wat is de toegevoegde waarde van een IAF?
“Een combinatie van factoren bepaalt de toegevoegde waarde: verstand van de onderneming, de controleomgeving, de markt én de vaktechnische vaardigheden. Een IAF moet in staat zijn om met deze kennis scherper te observeren, analyseren en bijvoorbeeld gevoeligheden eerder te onderkennen dan een externe accountant die toch wat meer op afstand staat. De externe accountant heeft ook veel baat bij een sterke internal auditfunctie. De IAF is een baken waarop zowel de onderneming als de externe accountant kunnen vertrouwen.”
“Het is een utopie om te denken dat je met protocollen de zaken in buitenlandse vestigingen op de rit krijgt. Hoe meer protocollen ik zie, hoe achterdochtiger ik word”
“Internal Audit heeft ook veel toegevoegde waarde in het krijgen van zicht op buitenlandse vestigingen (het zogenaamde ‘remote entity risk’). Het is een utopie om te denken dat je met protocollen de zaken in die buitenlandse vestigingen op de rit krijgt. Hoe meer protocollen ik zie, hoe achterdochtiger ik word. Zorg zoveel mogelijk voor Internal Audit on the spot. Als dat niet kan, zorg dan dat vanuit het hoofdkantoor de IAF regelmatig op pad gaat naar de buitenlandse vestigingen om ter plekke onderzoek uit te voeren. Wordt lokaal nu uitgevoerd wat er uitgevoerd moet worden? Uitvoering daar gaat het om! Problemen in een kleinere buitenlandse vestiging kunnen namelijk grote gevolgen hebben voor de onderneming. Een IAF die verstand heeft van de spelregels in het betreffende land en de culturele verschillen begrijpt is zowel voor de RvB als de RvC zeer waardevol.”
In welke richting moet de internal auditor zich bewegen: vertrouwensman van het bestuur? Van de RvC? Adviseur? Controleur?
“Een IAF als third line of defense is voor een commissaris belangrijk. De focus ligt daarbij dus op controle. Een IAF moet er niet naar streven om de vertrouwensman van het bestuur of de RvC te zijn, in ieder geval niet in die mate dat daardoor de controlefunctie op de achtergrond raakt. Een IAF is naar mijn mening geen adviseur. Daarmee beweegt een IAF zich buiten de third line of defense. Al is het natuurlijk zo dat een IAF door middel van de rapportages wel advies verstrekt. Maar een IAF primair als adviseur van de bedrijfsleiding? Dat zie ik niet. Om goed te kunnen functioneren is een IAF juist gebaat bij een zekere afstand tot de operatie.”
Moet je een IAF voor een bepaald type bedrijf, bijvoorbeeld beursgenoteerde bedrijven, verplichten? Of juist niet?
“Het is duidelijk dat een beursgenoteerd bedrijf veel verantwoordelijkheid heeft naar de markt. Een IAF helpt de onderneming invulling te geven aan die verantwoordelijkheid. In een jaarverslag van een beursgenoteerde onderneming dient daarom bijvoorbeeld voldoende aandacht te zijn voor de belangrijkste constateringen van een internal auditafdeling. De vraag is of je een IAF verplicht moet stellen voor beursgenoteerde bedrijven. Ik ben daar wel een voorstander van. In mijn optiek is een IAF gewoon een integraal onderdeel van het besturingsapparaat.”
Wat maakt volgens u een goede internal auditor?
“Ik geloof dat een goede internal auditor iemand is die een gedegen kennis heeft van het bedrijf en bij voorkeur al een tijdje binnen de organisatie werkzaam is geweest. Uiteraard beschikt de internal auditor over de benodigde vaktechnische bagage en weet hij deze te vertalen naar de verschillende disciplines in het bedrijf. Een goede internal auditor beschikt ook over een zekere sensitiviteit om het kaf van het koren te scheiden. Niet ieder risico of ieder geconstateerd probleem is namelijk een levensgroot probleem. Het is de kunst om de echt belangrijke zaken over het voetlicht te krijgen. Communicatie en taalgebruik zijn hierbij erg belangrijk, zowel mondeling als schriftelijk. Dat maakt dat een goede internal auditor ook een goede schrijver en redacteur is. Pas overigens op dat je als internal auditor geen stortvloed aan documenten produceert. Dit wekt wrevel binnen de organisatie. Een goede auditor moet daarnaast onafhankelijk zijn, in de goede zin van het woord. Niet te gemakkelijk bakzeil halen bij tegengas vanuit het management omdat je daarmee in no time je geloofwaardigheid verliest, maar ook niet constant het conflict zoeken.”
In hoeverre dient Internal Audit onderzoek te doen naar zaken als governance, soft controls, leiderschap en cultuur?
“Ik vind deze onderwerpen de verantwoordelijkheid van het management. Hier moeten internal auditors zich niet te veel mee bezighouden. Het is uitermate lastig voor internal auditors, als third line of defense, om over zaken als leiderschap en tone at the top te oordelen en hierover iets op papier te zetten. Ik zou hier Internal Audit niet voor willen gebruiken.”
Wanneer zou een IAF u als commissaris positief verrassen?
“Ik verwacht als commissaris dat Internal Audit fungeert als het sluitstuk op het werk wat de first en second line of defense hebben gedaan. Internal Audit geeft hierover de assurance. In uitzonderlijke situaties, zoals ten tijde van de boekhoudkwestie bij Ahold, vertrouwde en bouwde ik zeer op Internal Audit. Is dat verrassen? Internal Audit liet in ieder geval zien er te staan op het moment dat het nodig was.”
“Bedrijven creëren te veel interne regels in de vorm van reglementen en handleidingen waarvan het maar de vraag is of de inhoud daarvan door de betrokken medewerkers wordt gekend”
“Een internal auditafdeling zou ook een tegengeluid moeten laten horen waar het gaat om de toename van interne regels en protocollen. Bedrijven creëren te veel interne regels in de vorm van reglementen en handleidingen waarvan het maar de vraag is of de inhoud daarvan door de betrokken medewerkers wordt gekend. Een bedrijf is veel meer gebaat bij een beperkt aantal regels die dan ook door iedereen gekend wordt en waarvan de naleving door Internal Audit streng wordt gecontroleerd. Het creëren van te veel regels die niemand kent levert als zodanig een ‘deficiency’ op.”
U hebt onlangs uw ABN Amro-commissariaat neergelegd. Had de internal auditor van ABN Amro hierbij een rol kunnen of moeten spelen om dat te voorkomen?
“Internal Audit had hier niet echt een rol in te spelen. Het enige wat Internal Audit mogelijk had kunnen opmerken was dat de verantwoordelijkheden van de verschillende belanghebbenden, als het gaat om de beloning van topfunctionarissen van een door de Nederlandse overheid genationaliseerde bank, onduidelijk waren. Onduidelijkheden in verantwoordelijkheden kunnen in de praktijk vaker voorkomen. Het is dan zaak om zo vroegtijdig mogelijk dit te signaleren.”1
U bent hier op het kantoor van onze beroepsvereniging, het IIA. Hebt u nog tips voor het beroep en haar beoefenaars?
“Vergroot je zichtbaarheid. Internal Audit is te weinig zichtbaar in het publieke debat, daar lijkt het vrijwel altijd over de externe accountant te gaan. Jullie doen heel veel goed werk maar het komt te weinig naar buiten. Door je zichtbaarheid te vergroten word je aantrekkelijker voor kandidaten, zowel binnen de eigen organisatie als daarbuiten. Dit zal er ook toe leiden dat de kwaliteit van het beroep omhoog gaat omdat er betere mensen op af komen. Zoiets versterkt elkaar. Management kan door de toegenomen zichtbaarheid van Internal Audit zich ook meer bewust worden van het belang van Internal Audit. Het audit committee ziet dat wel, maar de rest van de organisatie moet hier ook weet van hebben. Internal Audit moet dan wel een helder model kiezen om zichzelf goed te kunnen neerzetten. Dus niet én vertrouwensman én adviseur én controleur.”
Als fervent lezer van biografieën: welke biografie moet iedere internal auditor gelezen hebben? En wat kan de internal auditor daarvan leren?
“Aan het lezen van biografieën kom ik niet meer echt toe. Wat ik recentelijk wel heb gelezen en wat echt verplichte kost is voor internal auditors is Thinking, fast and slow van Daniel Kahneman. Uitermate nuttig om te beseffen dat elk persoon zijn eigen oordeelsvorming schromelijk overschat. Het is heel belangrijk, ook als internal auditor, om je daarvan bewust te zijn.”
Noot
- NL Financial Investments is speciaal opgericht voor het beheer van aandelen van genationaliseerde ondernemingen in Nederland. Met de oprichting van NLFI is tegemoetgekomen aan de wens van de Tweede Kamer der Staten-Generaal om het aandeelhouderschap in enkele financiële instellingen op zakelijke, niet-politieke wijze in te vullen en de belangen op transparante wijze te scheiden.
Over
Mr. Peter Wakkie is partner bij advocatenkantoor Wakkie + Perrick, voorzitter van de raad van commissarissen van TomTom en Wolters Kluwer en commissaris bij BCD Holdings. Van 2009 tot 2015 was Wakkie commissaris bij ABN Amro en van 2003 tot 2009 lid van de raad van bestuur van Ahold. Daarvoor was hij advocaat, managing partner en partner bij De Brauw Blackstone Westbroek.
Reacties (0)
Lees meer over dit onderwerp:
Auditors opleiden: aandacht voor de rollen en competenties
Van auditors wordt verwacht dat ze in audittrajecten uiteenlopende rollen vervullen en een scala aan competenties beheersen. Hoe krijgen die rollen en competenties inhoud in de opleiding tot auditor?
Lees meerDe auditor is ook een leider!
Een auditor zonder leiderschapskwaliteiten, wie zit daar nu nog op te wachten? Het belang van leiderschap voor de auditor, waarbij het LiDRS-model aanvullend is op het IIA-competentieraamwerk.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.