IA als tool of management slecht gebruikt door RvB

In de rubriek Uit de archieven herplaatst de redactie een artikel met aansluitend de actuele annotatie van de auteur om de ontwikkeling van een thema te schetsen. Dit keer Ewout Bouwman over zijn artikel ‘IIA als tool of management slecht gebruikt door RvB’ uit 2009.

Het lijkt erop dat raden van bestuur mogelijkheden laten liggen als het gaat om het gebruik van IA als tool of management. Voor veel organisaties is hier dan ook nog winst te behalen. Dit artikel geeft een kritische beschouwing en een handreiking voor verbetering.

De laatste jaren horen we steeds vaker de kreet ‘internal audit als tool of management’ voorbijkomen. Hiermee wordt aangeduid dat een internal auditfunctie ten dienste staat van de hoogste leiding in een organisatie, de raad van bestuur of, meer specifiek, de bestuursvoorzitter (CEO). Dit zien we terug in de positionering van auditfuncties en de rapportagelijnen. Internal auditfuncties zijn veelal (en steeds vaker) rechtstreeks onder de hoogste bestuurder in een organisatie ‘opgehangen’ (zoals ook voorgeschreven in de IIA Standaarden) en rapporteren rechtstreeks aan de RvB. De RvB kan internal audit inzetten op de onderwerpen waarover hij aanvullende zekerheid wenst. Als het goed is (en conform de definitie van internal auditing van IIA) gaat het dan om zaken die verband houden met de organisatiedoelstellingen. Hier staat tegenover dat een RvB ook goed moet weten om te gaan met deze ‘tool’.

Wat gaat er mis?

Beperkte betrokkenheid bestuur bij auditjaarplan
In het merendeel van de organisaties drukt het hoofd Internal Audit een zeer belangrijke stempel op de keuzen die gemaakt worden ten aanzien van internal audit. Deze keuzen komen deels tot uitdrukking in het audit charter/statuut en in nog belangrijkere mate in het auditjaarplan of -meerjarenplan. Hoewel dit begrijpelijk is, lijkt het of raden van bestuur hier mogelijkheden laten liggen. Men zou verwachten dat bestuurders duidelijk omlijnde ideeën hebben over welke onderwerpen aanvullende zekerheid geleverd moet worden en dat zij vervolgens internal audit ‘voor hun karretje spannen’. In werkelijkheid bepaalt internal audit zijn eigen agenda in hoge mate. In dit kader is het interessant eens nader in te zoomen op het proces van totstandkoming van het auditjaarplan, omdat hierin vrij fundamentele keuzen worden gemaakt.

De essentie van een planning in haar algemeenheid is het matchen van vraag en aanbod, zowel kwalitatief als kwantitatief en dat door de tijd heen. In termen van internal audit betekent dit dat in het jaarplan een selectie van objecten van onderzoek voor een bepaalde periode wordt vastgelegd. In het jaarplan wordt dus bepaald naar welke onderwerpen wel zal worden gekeken, maar daarmee ook waarnaar (nog) niet zal worden gekeken. Eveneens kan de vraag (over welke onderwerpen wenst de raad van bestuur aanvullende zekerheid?) consequenties hebben voor de wijze waarop de internal auditfunctie georganiseerd is (het aanbod). Hierbij gaat het om zaken als aannamebeleid, inhuur, opleiding en training, et cetera. Kortom, het jaarplan is het resultaat van besluitvorming over de inzet/toewijzing van schaarse auditcapaciteit voor een selectie van auditobjecten, waarover het management aanvullende zekerheid wenst.

De essentie van een planning in haar algemeenheid is het matchen van vraag en aanbod, zowel kwalitatief als kwantitatief en dat door de tijd heen

In de literatuur wordt een drietal methoden onderscheiden voor de selectie van auditobjecten, namelijk laten bepalen door de topleiding, laten aanmelden door proceseigenaren, en door internal audit zelf laten bepalen op basis van een risicobenadering.¹ In een rapport van het IIA wordt daarnaast ook nog de consultatie van het auditplan van het voorgaande jaar als vierde mogelijkheid genoemd.² In de praktijk gaat het vaak om een combinatie van deze methoden. Wanneer we kijken naar het proces van de totstandkoming van het jaarplan dan verloopt dit voor veel organisaties als volgt.

Het hoofd Internal Audit heeft een conceptlijst met onderwerpen voor het komende jaar op basis van parate kennis. Deze wordt eventueel aangevuld met de wensen van toezichthouders, vanuit een moedermaatschappij en de externe accountant. Daarbij worden de onderwerpen gevoegd die worden doorgeschoven van het voorgaande jaar (waar men door omstandigheden niet aan toe is gekomen).

Vervolgens wordt een ‘rondje langs de velden’ gemaakt waarbij de raad van bestuur en eventueel het management van organisatieonderdelen en enkele staffuncties om inbreng wordt gevraagd (al dan niet op basis van een ‘meerkeuzemenu’ dat wordt aangereikt door het hoofd Internal Audit). Eventueel wordt nog ruimte vrijgehouden voor audits op verzoek of om tijdens het jaar in te kunnen spelen op urgente onderwerpen. Op basis hiervan maakt het hoofd lnternal Audit een definitief voorstel dat ter goedkeuring wordt voorgelegd aan de raad van bestuur en eventueel het audit committee. Het ‘probleem’ is dat bestuurders zich in de totstandkoming van het jaarplan te sterk laten leiden door de (ideeën van) het hoofd Internal Audit in plaats hier zelf ideeën over te vormen.

Ik ben me bewust van het feit dat de beschrijving hiervoor generaliserend van aard is. In werkelijkheid verschilt de betrokkenheid van het bestuur uiteraard per organisatie, variërend van een beperkte passieve betrokkenheid, bijvoorbeeld wanneer een directie uitsluitend een reeds opgesteld jaarplan goedkeurt tot een actieve en intensieve betrokkenheid, wanneer de directie zelf risico assessments houdt en audits naar ‘haar’ belangrijke risico’s in het auditjaarplan laat opnemen.

Positionering en opdrachtgeverschap

De positionering en daarmee het opdrachtgeverschap van de internal auditfunctie is al jaren onderwerp van discussie. Volgens de laatste inzichten, die ook zijn opgenomen in de IIA Standaarden, dient er sprake te zijn van ‘’dubbele lijnen’, waarbij een internal auditfunctie hiërarchisch is opgehangen onder de raad van bestuur en daarnaast ook in contact staat met de commissarissen (audit committee).

De afgelopen jaren staat ook de rol van de commissarissen ter discussie en wordt er in het kader van een verwachtingskloof gesproken over een veranderende rol van commissarissen. Zij zouden meer actief betrokken moeten zijn bij de organisatie om hun toezichthoudende taak naar behoren uit te kunnen voeren. Ontwikkelingen die hieraan bijdragen zijn de maatschappelijke discussie die mede is ingegeven door de economische crisis, allerlei corporate governancecodes (al dan niet branchespecifiek) en een relatief nieuwe ontwikkeling, namelijk het aansprakelijk stellen van commissarissen voor misstanden (in december 2011 werd bekend dat het Centraal Fonds Volkshuisvesting (CFV) de oud-commissarissen van SGBB aansprakelijk stelt voor de saneringssteun die zij heeft moeten verlenen). Onlangs werd bekend dat er overeenstemming tussen beide partijen is en dat wordt afgezien van een aansprakelijkheidsprocedure.

Het lijkt aannemelijk dat commissarissen om hun ‘veranderde rol’ uit te oefenen ook op zoek gaan naar de instrumenten om goed toezicht te houden. Het gebruik van internal audit lijkt daarbij een voor de hand liggende keuze. Een ontwikkeling om toe te juichen omdat daarmee het toezicht wordt versterkt en het de impact van internal audit alleen maar kan vergroten. Daar staat tegenover dat er vanwege de verschillende, deels tegengestelde, taakstelling van de RvB en RvC sprake zou kunnen zijn van een ‘zero-sum-game’: hoe meer een internal auditfunctie ten dienste staat van het bestuur, hoe minder deze ten dienste staat van de commissarissen en omgekeerd. Een toename van de invloed vanuit de commissarissen op de internal auditfunctie leidt tot een afname van de invloed van de bestuurders daarop. De vraag is nu of bestuurders de komende jaren ‘hun tool’ (deels) uit handen gaan geven.

Wat kan beter?

Rechters behoren hun vonnis zelf te schrijven
Het goedkeuren van een jaarplan is wezenlijk anders dan actief inbreng daarvoor leveren. In dat kader zou ik graag willen verwijzen naar een discussie die gespeeld heeft rond het schrijven van een vonnis door rechters.³ Een aantal jaren geleden ontstond discussie over het feit dat rechters hun vonnissen lieten schrijven door een naaste medewerker. In reactie daarop werd er vanuit de beroepsgroep (rechterlijke macht) gerea­geerd dat de rechter in kwestie uiteindelijk verantwoordelijk is voor het vonnis en dat wie het vonnis had geschreven van ondergeschikt belang was of zelfs niet ter zake doende was. Dat het vonnis dus niet geschreven was door de rechter maar een naaste medewerker, zou geenszins van invloed zijn op het oordeel en de onderbouwing daarvan.

Tegenstanders, onder wie professor strafrechtsvergelijking Peter Tak, betoogden dat het van essentieel belang was dat rechters ook zelf het vonnis dat zij uitspreken schrijven, omdat degene die het schrijft, vrij vertaald, ook het bijbehorende denkproces doorloopt. Eventuele inconsistenties in redeneren en de beperking van de eigen opvatting worden veel meer duidelijk dan wanneer goedkeuring wordt gegeven aan datgene dat door een ander is geschreven.

Alleen goedkeuring?
De parallel met internal audit is dat bestuurders wanneer zij goedkeuring geven aan een jaarplan dat door het hoofd Internal Audit is opgesteld, zij onvoldoende zelf nadenken over waar nu daadwerkelijk hun assurancebehoefte ligt en waar internal audit van de meeste toegevoegde waarde zou kunnen zijn. Uiteindelijk is de raad van bestuur verantwoordelijk voor internal audit en dient deze rekenschap af te leggen indien de organisatie zich geconfronteerd ziet met onvoorziene risico’s die manifest worden. Net zoals een rechter verantwoordelijk is voor het door hem uitgesproken vonnis.

De raad van bestuur doet er verstandig aan om, voor het gesprek over het jaarplan met het hoofd Internal Audit, eerst eens zelf de gedachten hierover te laten gaan. Zeker wanneer de organisatie (nog) geen volwassen risicomanagement kent, waarbij onder andere door de hoogste leiding al regelmatig expliciet nagedacht wordt over de voor de organisatie belangrijkste risico’s en de beheersing daarvan. Een zelfstandige gedachtevorming door de bestuurder kan de bespreking met het hoofd Internal Audit ten goede komen, omdat zodoende beter kan worden vastgesteld of er sprake is van een gemeenschappelijk beeld wat betreft de belangrijkste organisatierisico’s. Daar waar dit beeld uiteenloopt ligt discussie voor de hand. Een pleidooi voor de benen op tafel dus!

Wat kan internal audit doen?
Het probleem dat hiervoor is uiteengezet, is in beginsel het probleem van de bestuurders, omdat zij onvoldoende gebruikmaken van intemal audit die als tool tot hun beschikking staat. Toch heeft ook intemal audit er baat bij wanneer bestuurders beter weten om te gaan met intemal audit. De voordelen voor intemal audit laten zich simpelweg samenvatten onder de generieke noemer van meer toegevoegde waarde voor de organisatie. Dit doordat de objecten van onderzoek door de bestuurder zelf gekozen zijn en niet worden aangedragen vanuit de auditfunctie. Daardoor sluiten de audits meer aan bij de assurancebehoefte van de bestuurders en zal de ‘gedragenheid’ van de uitkomsten groter zijn. Op de achtergrond speelt hierbij ook het bestaansrecht van internal audit, veel internal auditfuncties staan immers voor de uitdaging  om dit blijvend te bewijzen.

Noten

1. Driessen en Molenkamp, lnternal Auditing, een managementkundige benadering, 4e druk, 2008.
2. The lnstitute of lnternal Auditors (IIA), Characteristics of an lnternal audit activity, 2010.
3. De discussie werd onder andere gevoerd in een uitzending van het tv-programma Buitenhof op 28 april 2002. Aan deze discussie werd vervolgens nog eens ge­memoreerd in een debat in de Eerste Kamer over de Verruiming bevoegdheden enkelvoudige kamers op 25 juni 2012.

Annotatie van Ewout Bouwman

Wow, tien jaar geleden alweer! Zelf ben ik niet meer heel actief binnen het internal auditvakgebied. Met terugwerkende kracht vind ik het artikel behoorlijk opiniërend. En dat klopt, want als internal auditor word je geacht dingen te vinden. Niet waar?

Mijn betoog van tien jaar geleden bevat een generalisatie, namelijk over de totstandkoming van het auditjaarplan. Zelf heb ik een snelle check gedaan of er informatie beschikbaar is over hoe het opdrachtgeverschap van internal audit momenteel wordt ingevuld door organisaties. Data-gedreven is immers een mooi streven. Helaas kon ik zo snel geen recente empirische informatie vinden. Los van hoe het er momenteel precies aan toe gaat bij organisaties sta ik in hoofdlijnen nog steeds achter de ideaalsituatie die ik destijds betoogd heb.

Als ik het afpel, volgt mijn redenatie het volgende schema:

1. Internal audit als tool of management is de gewenste situatie. Dit impliceert dat internal audit een middel tot is en ten dienste staat van de hoogste leiding in een organisatie.

2. Ten dienste van de hoogste leiding staan, betekent ook dat daar vandaan de opdrachten worden ontvangen.

3. Het internal audit(jaar)plan is in dat kader een heel wezenlijk document. Er worden namelijk keuzen gemaakt: waar kijkt internal audit wel/niet naar. Bij het onderscheid tussen doen we het goed versus doen we het goede, gaat het dus om het laatste. Het auditplan bepaalt of je met de goede dingen bezig bent, namelijk met zaken die het hoogste management écht belangrijk vindt.

4. Goedkeuring geven aan een intern auditplan dat door een ander is opgesteld is echt wat anders dan zelf onderwerpen aandragen. Dat laatste is gewenst.

5. Daarom bij voorkeur eerst zelf de gedachten laten gaan. Hier bestaat een analogie naar brainstorming. Good practice daarvoor is dat iedereen zich individueel voorbereidt.¹ Alleen dan is een brainstormsessie vruchtbaar.

Noot
1. Furnham, A., ‘The Brainstorming Myth’, Business Strategy Review, 2003.