Met de voeten in het zand…
Wat levert de wisselwerking tussen de business en internal audit op? Moet je als hoofd Audit een auditopleiding hebben gevolgd? Vincent Moolenaar, voormalig voorzitter van IIA en tegenwoordig actief als toezichthouder, deelt zijn inzichten en ervaring.
Hoe kwam u terecht in het auditvak?
“Ik ben iemand die van alle markten thuis is. Ik heb bij twee grote bedrijven gewerkt, Shell en Ahold, in verschillende rollen. Na mijn studie bedrijfseconomie in Rotterdam ben ik begonnen bij Shell in commerciële functies. Vervolgens heb ik de stap gemaakt naar het algemeen management. Onder andere in Senegal. Uiteindelijk ben ik als onderdeel van de management-developmentgedachte gevraagd om hoofd lnternal Audit van Shell te worden. Ik was geen CAE, maar een van de twee global heads of audit. Hier leerde ik met een ander perspectief te kijken naar de bedrijfsvoering. Tevens kreeg ik met mensen te maken met een bredere portefeuille, en met de board of directors van Shell. Daar was ik niet mee bekend.”
Wat waren uw eerste ervaringen als global head of audit?
“Bij Shell was ik landenmanager in Senegal en stond ik met de voeten in het zand. Vervolgens werd ik verantwoordelijk voor Retail in heel West- en Centraal Afrika. Vanuit die rol begon ik in 2002 bij audit. Een jaar later was er bij Shell een corporate-governanceschandaal. Het bleek dat de bewezen oliereserves onjuist waren verantwoord in de jaarrekening. Dit leidde tot een aanpassing van de corporate governance van Shell, inclusief de interne audit- en risicomanagementprocessen. Ik zat redelijk dicht bij het vuur en kon bijdragen aan de herinrichting van een deel van de three lines of defense, met veel nadruk op risicomanagement. Voor deze herinrichting is het COSO ERM-model als referentie gebruikt.”
Hoe vond u de functie van global head of audit?
“Ik ben langer bij audit gebleven dan in mijn andere rollen bij Shell. Ik vervulde met veel plezier deze functie en heb samengewerkt met veel boeiende mensen. Het team was divers, het bestond uit zowel audit- als businessprofessionals en uit medewerkers uit verschillende landen. Het gebruikmaken van businessprofessionals vond ik fascinerend, omdat daarmee de gestructureerde methodologische aanpak van auditors wordt gecombineerd met businesskennis. Dit leidde tot goede audits die inzicht gaven in de beheersingsproblemen en daardoor echt impact hadden.”
“In principe doet iedereen aan risicomanagement, bewust en onbewust. Als je de straat oversteekt doe je ook aan risicomanagement, maar dat noemt niemand zo”
Waarom bent u overgestapt naar Ahold?
“Om privéredenen wilde ik niet meer beschikbaar zijn voor internationale functies. Na het fraudeschandaal in 2003 wilde Ahold in 2010 weer verder groeien en een passende strategie vormgeven. Dat had ook consequenties voor diverse functies. Ze wilden een CAE benoemen die businesskennis en audit wist te combineren. De internal auditfunctie bij Ahold bleek relatief veel voorbereidend werk te doen voor de externe accountant. Mijn opvatting is dat internal audit waarde moet toe voegen aan de organisatie. Het gaat erom dat zij bijdragen aan het verbeteren van de bedrijfsvoering. Dat gebeurt niet of nauwelijks als het leeuwendeel van de tijd besteed wordt aan werkzaamheden voor de externe accountant.”
“Bij Ahold heb ik een nieuwe auditstrategie ontwikkeld waarbij COSO ERM het uitgangspunt was. De aanpak was terugkijken, inzicht geven en vooruitblikken. Op basis van terugkijken werden bevindingen gedaan. Vervolgens werd inzicht gegeven in de oorzaken hiervan en werd vooruitgeblikt door aan te geven waarom het relevant was om verbeteringen door te voeren. Ik noemde dit ‘hindsight, insight and foresight’. Toen heb ik ervaren dat deze aanpak leidt tot draagvlak bij de verantwoordelijken in de business om verbeterpunten op te pakken. Zo draag je bij aan een lerende organisatie.”
Wat nam u mee van Shell naar Ahold?
“Bij Shell maakte internal audit onderdeel uit van management development en dat wilde ik ook invoeren bij Ahold. Binnen Ahold ben ik ook uitgenodigd om deel te nemen aan de selectie van young graduates. Vanaf het moment dat deze graduates bij Ahold kwamen werken heb ik contact met hen onderhouden. De eerste twee jaar moesten ze bijvoorbeeld de winkelorganisatie in. Na die twee jaar heb ik een aantal van deze graduates uitgenodigd om 18 maanden bij audit te gaan werken. Die kregen dan de gelegenheid om zowel de Europese als de Amerikaanse organisatie beter te leren kennen.”
De internal auditfunctie als kweekvijver voor managementtalent?
“Ik denk dat audit een katalysator is voor managementtalent en niet een kweekvijver. Auditors zijn bezig met het beoordelen van de kwaliteit van het risicomanagement. En deze achtergrond en ervaring is een belangrijke bijdrage in de ontwikkeling van managementtalent. In principe doet iedereen aan risicomanagement, bewust en onbewust. Als je de straat oversteekt doe je ook aan risicomanagement, maar dat noemt niemand zo. Mensen die een onderneming leiden hebben niet per se risicomanagementtools in hun gereedschapskist zitten. Door bij internal audit te werken wordt die bagage hen bijgebracht.”
Hoe belangrijk is het voor een CAE om een auditopleiding te hebben gevolgd?
“Dat is in mijn ogen geen voorwaarde om goed een auditfunctie te kunnen leiden. Als je aan mij zou vragen: ‘Kun je auditen?’, dan aarzel ik om deze vraag bevestigend te beantwoorden. Maar als je vraagt: ‘Kun je leidinggeven aan een auditfunctie?’, dan zeg ik: ‘Ja, dat kan ik’. Leiderschap is trouwens ook ‘hiring and firing’. Medewerkers die niet veranderingsbereid zijn en dogmatisch hechten aan de methodologie, zijn niet per se medewerkers die ik wil zien binnen de auditfunctie. Dat betekent dat je de juiste medewerkers moet aannemen, maar ook dat je afscheid moet nemen van medewerkers.”
“Leiderschap is ook ‘hiring and firing’. Medewerkers die niet veranderingsbereid zijn, dogmatisch hechten aan de methodologie, zijn niet per se medewerkers die ik wil zien binnen de auditfunctie”
Het gaat dus om goed leiderschap?
“Ja, en dan niet uitsluitend om vakinhoudelijk leiderschap. Er is meer nodig dan vakinhoudelijk leiderschap. Een CAE moet medewerkers kunnen inspireren, met ze in gesprek gaan, en de verwachtingen van de stakeholders managen. Een CAE moet als ‘thought leader’ op het gebied van governance, risicomanagement en audit actief zijn. Het doel van een auditfunctie moet niet zijn bevindingen rapporteren. Het belangrijkste is het hebben van een radar, dat moet leiden tot continue verbeteringen. Auditors zijn in mijn ogen ‘change agents’. Internal audit moet het denken over in control initiëren, zodat de verantwoordelijken in de business de noodzaak van veranderingen zelf gaan zien.”
Wat is het voordeel dat u geen auditachtergrond hebt?
“Ik word door niets gehinderd. Als ik accountant was geweest, had ik wellicht bepaalde inzichten niet gehad/gezien. Mijn waarneming is dat internal auditors met een accountancyachtergrond te vaak verhinderen dat waarde toegevoegd wordt aan de organisatie. Zij hebben te veel tijd en aandacht voor de ondersteuning van de externe accountant. Bij Ahold heb ik daarom goed gekeken naar deze rolverdeling. Het belangrijkste wat internal audit moet doen is het belang van Ahold behartigen en een vertrouwensrelatie opbouwen binnen Ahold. Ik denk dat ik daarom ook ben gevraagd om de fusie met Delhaize te begeleiden.”
Wat is het grootste verschil tussen een lijnfunctie en de rol van toezichthouder?
“Er is één groot verschil als je manager bent binnen een organisatie of toezichthouder: dat is informatieasymmetrie. Als toezichthouder heb je bijvoorbeeld vijf keer per jaar een vergadering, dat zijn enorme sprongen in de tijd die je maakt. Je bent kwetsbaar met betrekking tot de informatievoorziening vanuit het bestuur. Je gaat altijd uit van het goede van de mens, maar het maakt je kwetsbaar omdat je elkaar weinig ziet en weinig frequent met de organisatie bezig bent.”
Wordt de informatieasymmetrie verminderd door een auditafdeling?
“Dat hangt ervan af hoe de auditfunctie wordt ingezet. Het moet echt een interne auditfunctie zijn, een ‘extension of our line of sight’. Een interne auditfunctie moet een bijdrage leveren aan het comfort dat je als toezichthouder moet hebben. Dat wil zeggen dat de stuurinformatie die je krijgt voldoende representatief is voor datgene wat daadwerkelijk in de organisatie gebeurt. Je moet voldoende voeling hebben met de organisatie. Dat betekent ook een relatie opbouwen met de bestuurders. Maar ook zeker gebruikmaken van de interne auditfunctie. Ik denk dat nog te weinig toezichthouders zich realiseren dat het hun instrument is. Ik denk ook dat de relatie tussen de CAE en de auditcommissie van beide kanten nog onvoldoende wordt benut.”
Zijn we als auditors bekend bij toezichthouders?
“In veel gevallen kennen ze ons niet. Om dat te veranderen is er een push en een pull nodig. De push moet komen vanuit de interne auditfunctie. De functie moet duidelijk maken wat het potentieel is. Deze boodschap moet belanden bij het bestuur en de commissarissen. De pull moet komen van de beroepsorganisatie. Die moet ervoor zorgen dat bestuurders zich bewust worden van wat een interne auditfunctie kan. We worden nu ingehaald door datamanagers, functionarissen gegevensbescherming en CISO’s. In principe zijn we als beroepsgroep groot en relevant genoeg om de pull uit te voeren.”
“Ik denk dat de relatie tussen de CAE en de auditcommissie van beide kanten nog onvoldoende wordt benut”
Wat zijn uw ervaringen met toezichthouders toen u CAE was?
“Bij Ahold zat ik vijf keer per jaar aan de keukentafel van de voorzitter van de auditcommissie, zo heb ik een relatie met hem opgebouwd. Ik kon vrijelijk met hem praten over audits en deelde mijn observaties over de verschillende onderdelen binnen Ahold. Hij wist dat dat maar een heel klein deel van de werkelijkheid was en sprak ook met andere mensen om zich een beeld te vormen.”
Is een auditfunctie er voor de raad van bestuur of raad van commissarissen?
“Ik denk dat je dat niet moet scheiden. Ik zeg altijd: ‘De een betaalt mijn salaris en de ander leest mijn rapporten’. Maar ik laat mij leiden door het doel van de organisatie. Beide organen hebben het belang om de langetermijnwaardecreatie van de onderneming te ondersteunen. De een doet dat in operationele zin en de ander in de zin van klankbord, toezichthouder en werkgever.”
Als u één advies aan internal auditors kunt geven, wat is dat dan?
“Omring je met mensen die anders zijn dan jezelf. Diversiteit is randvoorwaarde om je scherp te houden. Het is belangrijk om vraagstukken vanuit diverse perspectieven te kunnen belichten. Daardoor krijg je een completere analyse en wellicht nieuwe inzichten. Auditors moeten zich voortdurend uitdagen om dogma’s te voorkomen en paradigma’s te doorbreken. Je moet overal kijken en je moet alles willen observeren (divergeren!) en pas in een zo laat mogelijk stadium in de audit moet je convergeren, want er moet een rapport met conclusies komen. Diversiteit helpt hierbij.”
Wat doet u voor de raad van advies van het IIA?
“In mijn tijd als voorzitter van het IIA heb ik gebruikgemaakt van de raad toen de nieuwe corporate governance code werd opgesteld. We hebben ons hard gemaakt om de interne auditfunctie in de code te krijgen. Ik heb daar met de raad over gesproken. Dan merk je dat het best lastig is dat de raad maar twee keer per jaar bij een discussie wordt betrokken. Ik heb met een aantal voorzitters gesproken over hoe ik denk dat de raad zou moeten functioneren. Er moet veel meer een actieve betrokkenheid zijn bij het wel en wee van het IIA. Er zitten namelijk supergoede mensen in. Het zijn grote namen, maar we moeten de samenwerking met het bestuur nog goed neerzetten om al het potentieel van de raad te benutten.”
U maakt deel uit van de programme board van de UvA EMIA-opleiding. Welke competenties moeten in ieder geval in het curriculum zitten?
“Auditors moeten leren verder te kijken dan klassieke onderwerpen als compliance en finance. Het gaat om risicomanagement, dat is belangrijk. Daarnaast is continuous auditing en monitoring al heel lang een onderwerp. Het is echter nog steeds lastig om met data en tooling tot iets te komen, audits moeten data driven worden. Auditors moeten competenties ontwikkelen op het gebied van data-analyse, RPA en artificial intelligence. Als derde moeten soft controls meer onderdeel worden van de audit. Deze controls zijn ook zeer relevant voor het in-controlvraagstuk.”
Over
Vincent Moolenaar studeerde bedrijfseconomie en vervulde diverse functies binnen Shell en Ahold. Hij is onder andere commissaris bij Deloitte Nederland, lid van de raad van toezicht van ProDemos, lid van de raad van de Ondernemingskamer, voorzitter van de programme board EMIA-opleiding in Amsterdam en lid van de raad van advies van IIA Nederland.
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.