Wat vindt de commissaris?

Een gesprek met Edward Gaakeer RA, commissaris bij de lokale Rabobank De Langstraat in Waalwijk, over zijn visie op de relevantie van Internal Audit.

Wat is uw visie als commissaris op de relevantie van de IAF voor good governance binnen een organisatie?

“Good governance of stabiel beleid kan absoluut niet zonder de IAF. Dat is voor mij ondenkbaar. Ik zie de IAF als het geweten van een organisatie, de vinger aan de pols. Ze monitoren onder andere de beheersing van processen en verstrekken de juiste en betrouwbare informatie naar iedereen die daar verantwoordelijk voor is. Dus superrelevant, we kunnen niet zonder. Vertrouwen is goed, maar controle is beter.

In de Code Tabaksblat wordt aan de RvC van de beursgenoteerde ondernemingen gevraagd om, indien de organisatie niet over een IAF beschikt, dit jaarlijks te motiveren in het jaarverslag. Wat vindt u van (de effectiviteit van) dit beginsel uit de Code?

“Ik vind dit bizar. Tabaksblat vond ook dat dit niet kan. Als je de effectiviteit van het beginsel uit de Code onder de loep neemt, dan moet je vooral kijken naar wie het jaarverslag leest. Dat zijn over het algemeen de professionals, zoals toezichthouders en beleggers. Daarvan kun je je overigens afvragen of zij voldoende kennis en informatie van SOx hebben om dat überhaupt te kunnen beoordelen. Hoe wordt het gelezen, hoe wordt het begrepen en wordt het überhaupt wel begrepen? Met de bekende schandalen in het achterhoofd zou daarop een verplichting moeten rusten. Zou je willen beleggen in een bedrijf waarvan je weet dat ze zichzelf niet of onvoldoende controleren?”

Wat is in uw ogen de toegevoegde waarde van de IAF binnen de context van uw lokale Rabobank?

“Deze is niet anders dan welke ik zojuist al aangaf met betrekking tot good governance. Onze RvC zou haar rol als toezichthouder zonder de aanwezigheid van een IAF niet kunnen uitvoeren. De wijze waarop deze momenteel is ingericht geeft ons voldoende comfort. Daarbij merk ik op dat de Audit Rabobank Groep (derde lijn) deel uit maakt van die interne auditfunctie. Samen met de afdeling Control/Audit en de local compliance officer op de bank zorgen zij ervoor dat wij van een degelijke basis worden voorzien waarmee we het bestuur van de lokale bank op een goede wijze kunnen monitoren.”

“Ik ben van mening dat een beursgenoteerd bedrijf of een bedrijf van enige omvang altijd een IAF moet hebben. Dat is vanzelfsprekend”

Ziet u mogelijkheden tot verbetering van deze toegevoegde waarde?

“Tja, op dit moment eigenlijk niet. Het audit committee en dus ook de RvC, krijgt voldoende informatie. Mochten we meer informatie willen hebben dan is dat altijd binnen een acceptabele termijn beschikbaar. Omdat het audit committee altijd twee weken voor de reguliere RvC-vergadering al overlegd heeft met de directie en de local compliance officer (LCO) sluit dat naadloos op elkaar aan.”

Er zijn sectoren/branches waar de toezichthouder de IAF niet verplicht heeft gesteld. In hoeverre zal een verplichting tot invoering van een IAF helpen?

“In mijn eigen advies-/accountantspraktijk starten we per definitie met de primaire vragen: wat leg je vast, hoe leg je het vast, wie is waar verantwoordelijk voor, wie mag tekenen en hoe is de functiescheiding geregeld? Dat is altijd de basis. Ik ben daarom van mening dat een beursgenoteerd bedrijf of een bedrijf van enige omvang altijd een IAF moet hebben. Dat is vanzelfsprekend. Het ene na het andere ziekenhuis komt in de problemen. Dat heeft met interne controle en beheersing te maken. Dat kan niet anders. Ikzelf adviseer bedrijven, waaronder ook groeiende bedrijven. Vaak zijn deze geneigd eerst te kiezen voor commerciële groei. Directies hiervan die controle en beheersing voor zich uitschuiven, waarschuw ik dan ook. Heb je beheersing vanaf dag een op orde.”

U hebt zelf een achtergrond als registeraccountant. De bemensing van auditteams is de laatste decennia uitgebreid met andere auditspecialismen. Wat vindt u van deze ontwikkeling, bezien vanuit uw rol als commissaris?

“Dit is een hele positieve ontwikkeling. Ik heb die ontwikkeling zien aankomen: van gegevensgerichte controle naar risicogerichte en procesmatige controles. Vroeger controleerde je alle debiteurenlijsten of ze waren betaald. Door risicogericht te controleren maak je veel meer gebruik van de processen binnen een bedrijf. Daarbij komt dat steeds meer processen zijn geautomatiseerd. Binnen mijn bedrijf zit tegenwoordig op bijna iedere audit een ICT-er. Zeker wanneer het internetgerelateerde bedrijven zijn kun je eigenlijk niet zonder. Ik vind dat die toename van het aantal disciplines in een auditteam ervoor heeft gezorgd dat de relevantie van de auditfunctie is toegenomen. Het geeft Internal Audit veel meer inhoud. Toen we nog zonder ICT-expertise werkten heb ik een keer een accountantsverklaring moeten intrekken. Met de knowhow van zo’n IT-auditor zou dat nu niet meer zijn voorgekomen.”

Kan het audit committee de effectiviteit van de IAF voldoende waarborgen?

“De kwartaalrapportage zoals deze door de afdeling Control van de lokale bank wordt opgeleverd, wordt altijd via de directie (= bestuur) naar de RvC gestuurd. Toch kun je het ontbreken van deze rechtstreekse rapportage heel gemakkelijk ‘compenseren’. Dat begint al met het stellen van slimme vragen en altijd kritisch zijn op wat er nu eigenlijk staat. Dat staat of valt natuurlijk wel met de deskundigheid van een AC en RvC. Verder heeft ons audit committee ieder kwartaal een overleg met alleen de LCO. Het bestuur is bij dit overleg dus niet aanwezig. De LCO heeft een onafhankelijke, beschermde rol (ontslagbescherming en de mogelijkheid tot escaleren naar zowel de RvC als de afdeling Toezicht & Compliance van Rabobank Nederland) binnen de Rabobankorganisatie en steunt bij zijn oordeelvorming (sterk) op de IAF. We vragen de LCO op de man af of hij volledig vrij kan functioneren of dat hij ergens last van heeft. Bijvoorbeeld omdat hij onvoldoende geïnformeerd wordt of omdat hij zich onvoldoende toegang kan verschaffen tot de benodigde informatie. Daarnaast laat de AC/RvC zich natuurlijk ook nog informeren door de Audit Rabobank Groep (ARG) van Rabobank Nederland. ARG verschaft niet alleen aanvullende assurance over de (risico)beheersing van onze lokale Rabobank, maar meet tevens de onafhankelijkheid en betrouwbaarheid van de lokale IAF.”

Wat zijn volgens u de belangrijkste kenmerken van een IAF zodat deze de maximaal toegevoegde waarde kan leveren?

“Een ideale auditor is integer, deskundig en vakbekwaam. Deze auditor zoekt verder de samenwerking, is geen eiland die drie hoog op het eind van de gang ‘ons controleert’. De IAF rapporteert niet alleen aan de directie en toezichthouder, maar zou na het constateren van risico’s of verbeterpunten ook de verbinding moeten zoeken met de werkvloer. Hij moet dus ook het belang van de informele lijnen kunnen doorzien en daarop acteren. Die verbinding levert namelijk vaak weer feedback op, wat tegenwicht biedt aan het solistische karakter van de auditor en zijn bagage verrijkt. Ik noem overigens onafhankelijkheid niet als een kenmerk. Bij onafhankelijkheid heb ik namelijk een ander beeld dan binnen de Rabobank zichtbaar is en waar de auditor tussen de middag met de auditee luncht. Ik zie meer in functiescheiding dan in onafhankelijkheid.”

“De bekende schandalen komen niet zozeer voort uit het feit dat de auditfunctie heeft gefaald of niet goed ingericht is geweest, maar omdat de integriteit van de leiding bedenkelijk was”

Is uw rol als toezichthouder veranderd als gevolg van de toegenomen turbulentie in de financiële wereld? En is daarin de relatie met de auditfunctie gewijzigd?

“Ik ben als toezichthouder feitelijk pas actief geworden nadat de financiële crisis in alle hevigheid was losgebarsten. Dus hoewel ik het niet precies kan inschatten of we nu korter op de bal zitten dan pakweg vijftien jaar geleden, voel ik binnen onze raad wel degelijk de verantwoordelijkheid die van ons wordt verwacht. De publieke opinie heeft hieraan zeker bijgedragen. Overigens ben ik van mening dat de bekende schandalen niet zozeer voortkomen uit het feit dat de auditfunctie heeft gefaald of niet goed ingericht is geweest, maar dat de integriteit van de leiding bedenkelijk was. Er is geknoeid met side letters, consolidatie en overlopende posten. Maar wat je niet ziet kun je ook niet controleren. Daar waar de CFO of boekhouder door zijn leidinggevende wordt gedwongen de feiten te verdraaien, is de rechte rug van hem bepalend of de gepresenteerde cijfers al dan niet betrouwbaar zijn. In de relatie met de auditor en LCO is de commissaris daarom wel meer gefocust op aanwezige normen en waarden en hoe daar invulling aan gegeven wordt. Daarmee krijgen we onder andere een beeld van de integriteit van het bedrijf in het algemeen en van die van de bestuurder in het bijzonder.”

Binnen de Rabobankorganisatie is het niet gebruikelijk dat een RvC of AC zelfstandig auditopdrachten uitzet bij de IAF. Waarom niet?

“Nee, in de praktijk verstrekt de RvC/AC zelf heel weinig auditopdrachten. De planning binnen de Rabobankgroep is behoorlijk strak gereguleerd en is feitelijk gericht op alle relevante risico’s. Op dit moment is die aanleiding er dus niet, maar mochten er signalen binnen of buiten de bank zijn die duiden op bijzondere risico’s dan schromen wij uiteraard niet om nader onderzoek te (laten) doen. Primair is de IAF daarvoor de eerst aangewezene. Ik zie het als voorzitter van de AC meer als mijn taak om zicht te krijgen op de mate waarin de risico’s binnen de bank worden beheerst. De audits en controles van de IAF en LCO beschouw ik in dit kader als het voorwerk voor de betrouwbaarheid van de jaarrekening. Pas als we in die audits iets missen of er aanleiding is om te twijfelen aan de betrouwbaarheid op onderdelen, fungeren we als opdrachtgever voor een audit. Een controleopdracht zal echter nooit rechtstreeks bij een afdeling Control/Audit worden gelegd omdat dat onbedoelde effecten met zich meebrengt. Een eventuele controleopdracht van de RvC moet altijd worden aangekondigd. Ik acht het waarschijnlijker dat een RvC het bestuur eerst adviseert om bepaalde acties op te pakken alvorens die rol van opdrachtgever in te vullen. Je probeert als RvC de directie te stimuleren de juiste acties te ondernemen, en de verwachting te krijgen dat risico’s snel worden gemitigeerd.”