Koers op cultuur en langetermijnwaardecreatie

Daags na het uitkomen van de herziene Nederlandse Corporate Governance Code (de Code) sprak Audit Magazine met Jaap van Manen, voorzitter van de Monitoring Commissie en John Bendermacher, voorzitter van IIA Nederland, over de veranderingen in de Code en de rol van de internal auditor.

Wat beoogt de Nederlandse Corporate Governance Code?

Jaap van Manen (JvM): “Het belangrijkste doel van de Code is dat je een aantal spelregels, basisbeginselen, aangaande de driehoek aandeelhouder, bestuurder, commissarissen vooraf goed regelt. Zo hoef je tijdens het spel niet de spelregels te bedenken en is er evenwichtig aandacht voor alle belangen en aandachtsgebieden.”

Wat was de aanleiding om de Code te herzien?

JvM: “Er is een paar belangrijke redenen. Allereerst zien we dat de Code door de kleine honderd beursfondsen bijzonder goed wordt nageleefd. Toch hebben we in de periode vanaf de start van de Code in 2003 te veel incidenten gezien. Van een bankencrisis en woekerpolissen tot kartels en boekhoudfraude. Alles is terug te voeren op het op korte termijn boeken van mooie resultaten, maar het op lange termijn presenteren van dure rekeningen. Dit heeft veel schade veroorzaakt voor werknemers, klanten, overheid en natuurlijk aandeelhouders. Het leidde van claims, vervolgingen en reputatieverlies tot het abrupt moeten aanpassen van businessmodellen omdat die op drijfzand bleken te zijn gestoeld.”

JvM: “Wij merkten ook dat de Code steeds meer een aangelegenheid was geworden voor juristen en accountants in plaats van voor bestuurders, commissarissen en aandeelhouders. Daarom hebben wij voor de nieuwe Code in de consultatieronde uitgebreid deze groep opgezocht, los van de schragende partijen (FNV, CNV, Eumedion, VNO-NCW, VEB, VEUO, Euronext). Er zal niet snel een beursfonds te vinden zijn waar we niet met een commissaris of bestuurder hebben gesproken. Door het breed met de betrokken organisaties te bespreken zorgen we ervoor dat de herziene Code weer goed op de radar van deze driehoek staat en we de Code nieuw leven inblazen.”

Wat zijn de belangrijkste wijzigingen en vernieuwingen?

JvM: “De belangrijkste vernieuwingen zijn het centraal stellen van de langetermijnwaardecreatie in plaats van de kortetermijnwinst, de introductie van een gezonde bedrijfscultuur als onderdeel van goede corporate governance en een andere kijk op transparantie over risico’s en de beheersing ervan. Het lastige bij langetermijnwaardecreatie is de rol van aandeelhouders. Je ziet dat institutionele beleggers zich er steeds meer voor uitspreken, maar dat beleggers tegelijk elke week de benchmark moeten zien te verslaan. Het gevaar is dat een kortetermijnfocus ook op de bestuurskamers wordt overgebracht. Veel van de incidenten zijn terug te voeren op dit punt. Bestuurders hebben op basis van een verkeerde risicobereidheid verkeerde beslissingen genomen die voor de langere termijn fataal bleken. Wij vragen daarom sterk de aandacht van bestuurders en commissarissen voor deze risicobereidheid alsook voor hoe je deze risico’s beheerst.”

JvM: “Laat ik helder zijn: ondernemen zonder risico’s nemen kan niet! Het gaat erom dat je ze weloverwogen neemt, ze weet te managen en ze transparant verantwoordt. Hier ligt een verantwoordelijkheid voor zowel bestuurders als commissarissen. Commissarissen hebben als belangrijke taak vast te stellen dat hetgeen de bestuurders zeggen over de mate en wijze van beheersing ook klopt en de genomen risico’s passen bij de afgesproken risicobereidheid.”

Welke rol ziet u voor de IAF en de internal auditor?

JvM: “Bestuurders en commissarissen moeten zich altijd afvragen: klopt het? Bij kleine ondernemingen lopen ze er zelf rond en nemen ze vaak zelf de temperatuur. Grotere organisaties met meerdere vestigingen of vestigingen in verschillende landen moeten een systeem hebben om die temperatuur op een goede manier te kunnen nemen. Je komt dan op de manier hoe je dat regelt in de eerste en tweede lijn en hoe je vanuit de derde lijn de vraag kunt beantwoorden of alles werkt zoals het moet werken. De partij die bij uitstek geschikt is om die vraag te beantwoorden is de  interne auditfunctie (IAF). Mijn pleidooi is dat je niet alleen het goede programma en de goede mensen moet hebben, maar met name in de leiding van de IAF mensen hebt zitten die een serieuze gesprekspartner zijn voor bestuurders en commissarissen. Mensen met sterke sociale, communicatieve en bestuurlijke vaardigheden die volwaardige gesprekspartners van bestuurlijk zwaargewichten zijn.”

Jaap van Manen: “Natuurlijk heb je mensen nodig die grondig onderzoek doen, maar ook mensen met een rechte rug, die stevig zijn in de communicatie en een boodschap aan bestuurders of commissarissen kunnen overbrengen”

John Bendermacher (JB): “De Code is wat mij betreft helder over het belang en de rol van de IAF: het hebben van een effectieve functie is wel wat anders dan het puur hebben van de functie. Het gaat erom dat het een serieuze, volwaardige en relevante functie is die toegevoegde waarde levert aan de organisatie en haar stakeholders.”

JvM: “Natuurlijk heb je mensen nodig die grondig onderzoek doen, maar ook mensen die een rechte rug hebben, stevig zijn in de communicatie en een boodschap aan bestuurders of commissarissen kunnen overbrengen. Let wel, bestuurders en commissarissen zijn vaak internationaal en binnen verschillende takken van sport gepokt en gemazeld, die zoeken een gesprekspartner op niveau.”

JB: “Bestuurders en commissarissen zoeken naar zekerheid rondom de ‘groene smiley’-rapportages. Hun onderhuidse vraag is steeds: kloppen die met de werkelijkheid? Vanuit de IAF moeten wij een stuk onzekerheid wegnemen en ze die aanvullende zekerheid bieden.”

JvM: “Van commissarissen wordt heel veel verwacht, maar ze hebben eigenlijk altijd een achterstand. Ze komen vaak niet uit die organisatie, lopen er niet elke dag rond en hebben te maken met sterke bestuurders die de commissarissen moeten voorzien van informatie om op basis daarvan toezicht te kunnen houden. Ze moeten met die afhankelijkheid en (informatie)achterstand wel effectief toezicht kunnen houden. Het helpt hierbij als de IAF commissarissen tijdig van betrouwbare informatie voorziet. Velen onderschatten de moeite die commissarissen hebben en de machteloosheid die ze voelen om tijdig achter betrouwbare informatie te komen. Zeker als het misgaat zitten ze met het punt dat ze bepaalde zaken hadden moeten zien aankomen, maar het toch niet hebben gezien. Ervaren commissarissen hebben altijd wel een horrorstory paraat van wat ze hebben meegemaakt: zaken die al heel lang speelden, te laat naar boven kwamen en waar ze niets van wisten. Ik wil niet zeggen dat de internal auditor dat gat helemaal kan dichtlopen, maar hij is wel een heel belangrijke bouwsteen.”

Een communicatief sterke en vaardige IAF dus?

JvM: “Ja. De internal auditor moet altijd blijven werken vanuit het belang van de vennootschap. Een risico is dat de IAF wordt gebruikt voor oneigenlijke zaken, zaken die je beter aan bijvoorbeeld de financiële afdeling kunt overlaten. Ik wil voorkomen dat een sterke internal auditor oneigenlijke gaten dichtloopt en daarmee andere afdelingen lui maakt. Internal Audit is geen vliegende keep. Je bent er als IAF niet voor de uitvoering van de oplossing, maar voor het signaleren van het issue en het aandragen van verbetermogelijkheden. Commissarissen zien de IAF gelukkig als een belangrijke ‘enabler’ voor hun functioneren als toezichthouder.”

JB: “De internal auditor moet zeker geen manusje van alles zijn. Wat ik zou willen toevoegen is dat de internal auditor bij een AC een vangnet moet vinden dat hem steunt in zijn functioneren, ook en vooral als het in discussies met het bestuur een keer hard tegen hard gaat. Het moet niet zo zijn dat een auditor die terecht zaken signaleert er later bij zijn functioneringsgesprek op wordt afgerekend door een bestuurder.”

JvM: “Terecht punt. Je moet dus ook hoge eisen stellen aan een AC. Die mogen nooit een internal auditor in een conflictsituatie brengen door een bestuurder te confronteren met een ‘ik hoorde van de internal auditor dat’-citaat. Op basis van mijn ervaring vind ik dat je bij bepaalde onderzoeken, naar bijvoorbeeld mogelijke onregelmatigheden door een bestuurder, de internal auditor soms beter uit de buurt moet houden. Ongeacht de uitkomst kan het anders de werkrelatie met het bestuur verstoren. AC-leden moeten, bijvoorbeeld door intervisie, ook goed nadenken hoe ze de samenwerking met de internal auditor vormgeven en bijdragen aan de veiligheid, onafhankelijkheid en effectiviteit van de functie.”

Wat is de rol van de IAF bij de langetermijnwaardecreatie en de cultuur van de organisatie?

JvM: “Ik ben zelf ruim dertig jaar accountant geweest. Als accountants hebben we te laat gezien dat de sleutel tot succes ligt bij de heersende cultuur van de organisatie. Een organisatie werkt alleen naar behoren als de cultuur klopt. Fraude is vaak een cultuurissue, ieder systeem kan door een manager worden doorbroken. Als de heersende cultuur is dat je te allen tijde gehoorzaamt aan wat de baas van je vraagt, betekent dat het doorbreken van het systeem vrij gemakkelijk is. Cultuur is dus de wortel van de interne beheersing. Als IAF moet je dit soort zaken open met je bestuurders en commissarissen kunnen bespreken.”

Is er dan ook een ander soort internal auditor nodig?

JvM: “Ik geloof sterk in interdisciplinaire teams, meer dan in multidisciplinaire. Multidisciplinair houdt in dat je een stel specialisten, bijvoorbeeld accountants, juristen en ingenieurs, naast elkaar hun eigen ding laat doen. Interdisciplinair houdt in dat je een team hebt waar bepaalde kennis en kunde breed aanwezig zijn. Een auditor uit een interdisciplinair team kijkt vanuit meerdere invalshoeken naar een bepaald onderwerp. Niet alleen naar de cijfers, maar bijvoorbeeld ook naar het proces en de menskant. Je moet dus ook oog hebben voor de cultuur van een organisatie of afdeling. Corporate governance is ook een interdisciplinaire aangelegenheid. Het combineert accountancy, psychologie, recht en economie.”

JB: “We hebben hierin geen keus en zullen interdisciplinaire teams moeten hebben. We moeten immers in elke operational audit kijken naar de social en self controls, het gedrag achter de procedure. We zijn al lang geen interne ‘accountants’ meer die alleen naar de cijfermatige beheersing kijken, maar interne auditors die in de volle breedte kijken naar organisatiebeheersing.”

Welke relatie is er tussen de IAF en de externe accountant?

JvM: “Voor de externe accountant is heel duidelijk gedefinieerd waar deze verantwoordelijk voor is, namelijk de controle van de jaarrekening. Er zit een stuk overlap tussen het werk van de externe accountant en die van de IAF. Des te meer is het van belang dat ze met elkaar communiceren en kijken waar overlap is en hoe efficiëntie kan worden bereikt in het werk. Zonder uiteraard iets af te doen aan eenieders verantwoordelijkheid. Je moet ook steeds professioneel-kritisch blijven. Ik vind het dus goed als een externe accountant leemten bij de IAF signaleert. Omgekeerd vind ik het logisch dat de IAF betrokken is bij het evalueren en selecteren van de externe accountant.”

JB: “De externe accountant focust voornamelijk op financial risk en de internal auditor op non-financial risk. Als internal auditor ben je het hele jaar bij de organisatie betrokken, niet alleen in de controleperiode. Dat houdt in dat je logischerwijs meer en andere dingen ziet dan de externe accountant in zijn beperkte aanwezigheid. Voor de externe accountant is er overigens ook de rol om te beoordelen of de IAF een voldoende sterke positie heeft en speelt in de governance. Zo niet, dan kan de externe accountant dat opnemen in de uitgebreide controleverklaring.”

De Code geeft een onderneming ruimte om gemotiveerd geen IAF te hebben. Waarom?

JvM: “Bij een grote onderneming is het, mede uit kostenoogpunt, logisch dat je een IAF hebt. Kleine organisaties kunnen een andere afweging maken, maar wel altijd besproken met en geaccordeerd door zowel het bestuur als de commissarissen. Verantwoord moet worden hoe je dan wel overzicht en inzicht hebt in je risico’s en de mate van control. Als kleinere onderneming kun je je wellicht geen professioneel opgetuigde IAF permitteren, maar wel bepaalde werkzaamheden outsourcen naar een externe professionele partij.”

John Bendermacher: “Een eigen IAF verdient zich al snel dubbel en dwars terug. Kijk maar eens naar de kosten die je moet maken en de ellende die je hebt als zich een materieel incident voordoet”

JB: “In de meeste gevallen verdient een eigen IAF zich al snel dubbel en dwars terug. Kijk maar eens naar de kosten die je moet maken en de ellende die je hebt als zich een materieel incident voordoet. Een IAF helpt het verbeterpotentieel in een organisatie zichtbaar te maken.”

Hoe kijkt u aan tegen comply or explain in de huidige tijd?

JvM: “Ik vind het buitengewoon belangrijk dat bestuurders en commissarissen blijven nadenken en niet enkel een vinkje zetten. Zij moeten verantwoorde en verstandige keuzen maken en die transparant aan de buitenwereld uitleggen. Op het moment dat het rules based wordt, wordt het gecompliceerder en juridischer. Naleven wordt dan onderdeel van een industrie, van verdienmodellen. En de klant betaalt hiervoor, direct of indirect. Wij hebben als commissie bij allerlei belangengroepen de boot afgehouden en bepaalde elementen pas opgenomen toen bijvoorbeeld de schragende partijen, commissarissen of bestuurders het belang daarvan benadrukten. Zo is ook Internal Audit de afgelopen jaren duidelijk gegroeid van een onderwerp dat internal auditors zelf belangrijk vonden naar een onderwerp waarvan commissarissen aangeven dat ze niet zonder kunnen bij een goede uitoefening van hun rol. En in dat geval ben je echt relevant.”

Welke boodschap hebt u nog voor de internal auditors?

JvM: “Ga werken bij een onderneming die Internal Audit serieus neemt en waar je ertoe doet. Waar bestuurders en commissarissen willen meewerken aan jouw effectiviteit. Als de intenties aan de top niet de goede zijn, heeft het niet zoveel zin om daar als internal auditor aan de slag te gaan, dan ben je hooguit een ‘tick in the box’. Zorg dus dat je relevant bent.”