Liever geen aanbevelingen

In de rubriek Junior versus senior gaat een nieuwkomer in het vakgebied het gesprek aan met een doorgewinterde professional.  Dit keer Wessel Westerveld, junior bij InAudit, in gesprek met Joop Winterink, seniorexpert Interne Beheersing VGZ.

Gevormd door Philips

Wessel Westerveld (WW): “Na een studie bedrijfskunde, een aantal jaren in de muziekindustrie en een jaar in de e-commerce, ben ik bij InAudit in de interne audit terechtgekomen. Was de keuze voor interne audit voor jou een bewuste keuze?”

Joop Winterink (JW): “Mijn loopbaan startte bij Dijker & Doornbos, een van de voorlopers van het huidige PwC. Ik kwam daar terecht omdat ik een vakantiebaantje had bij de PTT (het Staatsbedrijf der Posterijen, Telegrafie en Telefonie, de voorloper van KPN en PostNL) en in het pand daarnaast zat dit accountantskantoor. Het betrof overigens met name werk dat we tegenwoordig als de samenstelpraktijk beschouwen. Na tweeënhalf jaar stapte ik bewust over naar de interne audit van Philips in Hilversum. Daar werden digitale telefooncentrales ontwikkeld. Vooral in mijn Philipsperiode ben ik gevormd in mijn ontwikkeling als het gaat om IT-audit en interne audit. Afgezien van enkele korte uitstapjes werk ik sindsdien altijd in de IT-audit of interne audit. De laatste jaren is daar ook een aantal toezichthoudende rollen bij gekomen.”

Joop Winterink: “Er zijn hele generaties accountancystudenten opgevoed met de winstbepalingsstelsels van Philips”

WW: “Al met al een loopbaan van bijna vijftig jaar in het vakgebied. Je hebt bij diverse organisaties gewerkt. Welke fase sprak je daarin het meest aan?”

JW: “Elke periode heeft me wat gebracht. Ik ben het meest gevormd door mijn tijd bij Philips. De overstap naar KPMG gaf me de mogelijkheid om te werken aan een gedegen IT-auditopleiding in Tilburg. Bij Rabobank hadden we vanuit IT-audit een kritisch toetsende rol, waarna ik doorstroomde naar IT-architectuur. Toch wilde ik weer terug naar de interne audit en zo belandde ik bij De Nederlandsche Bank (DNB). Daar was het internationale aspect bijzonder interessant. Bij de samenvoeging met de Pensioen- en Verzekeringskamer kwam er een mooie kans bij PGGM om daar als verantwoordelijke voor de hele interne auditfunctie aan de slag te gaan. In die tijd begon ook de invulling van een onafhankelijke tweede lijn meer inhoud te krijgen. Daarna ben ik overgestapt naar VGZ (destijds nog UVIT genoemd). Dat was niet alleen qua reistijd interessanter, maar zeker ook omdat er vier zorgverzekeraars samenkwamen en de mogelijkheid ontstond om een nieuwe samengevoegde interne auditfunctie op te bouwen. Inmiddels ben ik daar opgevolgd en ben ik nu kwartiermaker interne beheersing. Daarnaast ben ik bij enkele pensioenfondsen, waaronder het Rabobank Pensioenfonds, lid van het bestuur of sleutelfunctiehouder.”

WW: “In de jaren zeventig en tachtig was Philips dus niet alleen aanjager van innovaties op technisch vlak met de beroemde uitvindingen zoals cd’s, maar ook op het vlak van audit en accounting?”

JW: “Ja dat klopt. Er zijn hele generaties accountancystudenten opgevoed met de winstbepalingsstelsels van Philips, maar evengoed op het gebied van procesbeheersing, organisatiekunde en dus ook interne audit was Philips innoverend. Al in de jaren tachtig splitste Philips de interne auditdienst in specialisten die zich richtten op de interne beheersing en in een groep die zich specialiseerde in financial audit. Deze laatste groep werd bij KPMG ondergebracht en daartoe behoorde ik ook. Philips besloot dus al ruim voordat het algemeen gedachtegoed werd dat interne audit zich moet richten op de interne beheersing en niet op de financiële verantwoording.”

De toekomst van interne audit is IT-audit

WW: “Tegenwoordig zijn veel organisaties in hoge mate geautomatiseerd, maar toen jij je loopbaan begon was dat nog heel anders. Je hebt het zich van zeer nabij zien ontwikkelen en stond mede aan de basis van de IT-auditopleiding.”

JW: “Toen ik overstapte van Philips naar KPMG begin jaren tachtig was het nog de tijd van de doorschrijfboekhoudingen. Het nieuwe vakgebied IT-audit vormde zich toen. Destijds werd dit meestal nog als EDP-auditing aangeduid, waarbij EDP staat voor electronic dataprocessing. Ik stond mede aan de basis daarvan. De eerste generatie IT-auditors kon zich destijds zo inschrijven als RE bij het NOREA (dat pas in 1992 is opgericht). Ik was met Rob Fijneman en Hans Moonen betrokken bij de ontwikkeling van de IT-opleiding van TIAS.”

WW: “Wat is de invloed van digitalisering op het vak van de interne auditor?”

JW: “Laat ik het zo zeggen: de toekomst van interne audit is IT-audit. In mijn loopbaan heb ik gezien hoe allerlei processen steeds verder zijn geautomatiseerd en deze ontwikkeling is nog lang niet ten einde. Daarom is deze conclusie volkomen logisch. We zijn er overigens nog lang niet als het gaat om het stroomlijnen van processen. Vergelijk eens hoe snel en efficiënt de verwerking van klantenvragen bij een digitale dienstverlener als bol (voorheen bol.com) is en hoe dat werkt bij een gemiddelde verzekeraar of pensioenfonds. Het zou goed zijn voor bestuurders om periodiek een persoonlijke klantenreis bij de eigen organisatie te doorlopen.”

Joop Winterink: “Het streven naar betere interne beheersing betekent ook streven naar meer standaardisatie en het bestrijden van complexiteit. Complexiteit en gebrek aan standaardisatie zijn een risico voor de organisatie”

WW: “Ligt in het stroomlijnen van processen en verbeteren van de klantenreis ook een rol voor de interne auditor?”

JW: “In mijn tijd bij Rabobank heb ik het belang gezien van standaardisatie. Daar waar de automatisering vaak nog lokaal en decentraal was ingestoken, ontstond ook de nodige complexiteit. Deze complexiteit zorgde vervolgens voor inefficiënties en dat gaat ten koste van de klantenreis. Dus het belang om sommige bijzondere klanten of locaties op een ‘eigen’ wijze te bedienen, gaat dan ten koste van de grote stroom klanten die daardoor minder efficiënt wordt geholpen. Het streven naar betere interne beheersing betekent in mijn ogen ook streven naar meer standaardisatie en het bestrijden van complexiteit. Complexiteit en gebrek aan standaardisatie zijn een risico voor de organisatie, dus het zou zeker in een auditrapportage passen.”

Contraproductieve aanbevelingen

WW: “Waar haal je als interne auditor de meeste voldoening uit?”

JW: “Mijn missie is om te kunnen bevestigen dat de processen rondom het auditobject effectief worden beheerst. Het vinden van voldoende evidence om positieve assurance te kunnen geven, zou auditors eigenlijk de meeste voldoening moeten geven: een kort rapport met als conclusie positieve assurance. Maar in de praktijk is dit voor veel interne auditors juist ontzettend moeilijk. Auditors zien daarom altijd nog wel ergens risico’s. Bovendien wil je na enkele weken auditen ook graag laten zien dat je alles nauwgezet hebt onderzocht. Maar dat is niet het doel van de audit.”

WW: “Je kunt ook een positief oordeel geven en daarnaast nog enkele aanbevelingen ter verdere verbetering.”

JW: “Ik denk dat auditors zich moeten inhouden als het gaat om de neiging om aanbevelingen te geven. Ik ben daar niet van. Je neemt onbedoeld het denkwerk van de verantwoordelijke manager weg. Zet de eerste lijn liever in zijn kracht. Geef aan welke risico’s je nog ziet en laat ze daarmee zelf aan de slag gaan. Dan komen ze vrijwel altijd tot een betere oplossing. Maar nog belangrijker, als ze zich bewust worden van de risico’s, zullen ze intrinsiek gemotiveerd zijn om deze te beheersen. De motivatie is dan niet langer meer omdat het van de interne auditor ‘moet’, maar omdat ze zelf het geconstateerde risico beter willen beheersen.”

Wessel Westerveld: “Er zijn meerdere wegen die naar Rome leiden. De uitdaging is dan om steeds goed te analyseren of de interne beheersing effectief is”

WW: “Dus aanbevelingen kunnen contraproductief zijn?”

JW: “Wat je soms ziet is dat de goedbedoelde aanbevelingen niet goed worden begrepen. Vervolgens worden deze dan ook anders geïmplementeerd dan je als auditor voor ogen had. Dat leidt tot wederzijdse frustratie. Het is daarom veel belangrijker dat de auditee begrijpt waar je zorgen als auditor zitten. Dan kan hij daarmee aan de slag. Laat de auditee zelf nadenken en keuzen maken. Focus ook niet te veel op de symptomen, probeer de onderliggende oorzaken te achterhalen, maar blijf daarbij wel feitelijk. De opdracht voor de auditor is niet om aan te geven wat de auditee moet doen (als checklist), maar dat de auditee begrijpt welke problemen zijn geconstateerd en dat hij zelf aan de slag gaat met het oplossen van de problemen.”

JW: “Overigens is het niet alleen de schuld van de interne auditor. Ook toezichthouders zoals commissarissen, de DNB of niet-uitvoerende bestuurders bij pensioenfondsen kunnen soms onrustig worden van rapportages met weinig bevindingen of aanbevelingen. Bij toezichthouders met weinig ervaring als auditor roept dit onbewust de vraag op of de audit wel kritisch genoeg is geweest.”

Zet de eerste lijn in zijn kracht!

WW: “In je bijna vijftigjarige loopbaan heb je ook gezien hoe de three lines of defense zich hebben ontwikkeld. Kun je deze ontwikkeling in een perspectief plaatsen?”

JW: “Terugkijkend op de ontwikkeling van de three lines heb ik achteraf de indruk dat we hiermee de focus te veel op de tweede en derde lijn hebben gelegd en te weinig op de eerste lijn. Risicobeheersing begint immers in de eerste lijn. Op het moment dat deze eerste lijn het gevoel krijgt dat er nog zoveel anderen bezig zijn met risicobeheersing ontstaat het risico op afschuiven. De eerste lijn gaat zich dan concentreren op het realiseren van de KPI’s en tekortkomingen in de beheersing komen dan voor rekening van de risicomanagers of de auditors.”

WW: “Kun je dat toelichten?”

JW: “Je ziet deze ontwikkeling bijvoorbeeld als de externe accountant aangeeft dat hij onvoldoende bewijs heeft om te steunen op de interne beheersing. Dat leidt dan tot aanvullende werkzaamheden. Die worden vaak door de externe accountant uitgevoerd, maar ook de interne auditor kan hierin een rol hebben. Het is echter een afschuifsysteem. Na de aanvullende werkzaamheden wordt namelijk de verklaring verstrekt en iedereen gaat verder zoals het was. Er is geen leereffect en het jaar erna herhaalt de cyclus zich. Het tekortschieten van de beheersing door de eerste lijn wordt als het ware afgekocht. Dat is onwenselijk.”

WW: “Waar ligt als kwartiermaker interne beheersing de grootste uitdaging?”

JW: “Operationele managers, de eerste lijn, zijn vaak prima in control wat betreft de risico’s, maar de aantoonbaarheid daarvan is vooral de uitdaging. De meeste managers begrijpen wel dat aantoonbaarheid belangrijk is, maar ze vinden het niet leuk om er (te) druk mee te zijn. De uitdaging zit daarom in het motiveren van de eerste lijn om net een stapje verder te gaan om daarmee de interne beheersing aantoonbaar in orde te maken.”

Er zijn veel wegen die naar Rome leiden

JW: “Nu naar de jeugd: je bent bedrijfskundige en een jaar actief in het interne auditvak. Wat ervaar jij als inspirerend wat betreft dit vakgebied?”

WW: “Als interne auditor kun je in verschillende keukens kijken, dus je wordt altijd uitgedaagd. Het bijzondere van InAudit is dat je bovendien bij meerdere organisaties tegelijk actief bent. Dat geeft een brede blik. Sommige processen of auditobjecten kom je bij meerdere instellingen tegen en toch zie je dat iedere organisatie er haar eigen invulling aan geeft en het soms verschillend implementeert. Er zijn meerdere wegen die naar Rome leiden. De uitdaging is dan om steeds goed te analyseren of de interne beheersing effectief is. Het interessante aan interne audit is dat je de analyses samen met je collega’s maakt: heb ik het goed gezien?, hebben we voldoende onderbouwing?, et cetera. Het vak van de interne auditor is nog steeds vrij nieuw en erg dynamisch, maar ook gestructureerd. Ik heb het gevoel dat ik me hierin nog goed kan ontwikkelen, te beginnen met opleidingen.”

Joop Winterink: “Probeer de verleiding om aanbevelingen te geven te weerstaan. Het is veel beter om het initiatief bij je auditee te leggen”

Advies voor de volgende generatie

WW: “Om af te sluiten. Ik heb al enige werkervaring, maar als interne auditor heb ik nog veel te leren. Wat wil je mij en andere young professionals in het vak meegeven?”

JW: “Wees nieuwsgierig en leer om goed te luisteren en om goede vragen te stellen. Probeer de verleiding om aanbevelingen te geven te weerstaan. Het is veel beter om het initiatief bij je auditee te leggen. Zorg dat de auditee intrinsiek gemotiveerd raakt om zelf het initiatief te nemen om eventuele problemen op te pakken. Leg uit wat de doelstelling is, maar niet wat de auditee moet doen om daar te komen. Dan zul je zien dat je veel meer betrokkenheid en creativiteit losmaakt. En houd je rapportages kort. Maak je punt, maar realiseer je dat veel managers onrustig worden van dikke rapporten. De wil tot verbeteren van aantoonbare interne beheersing moet uit de organisatie komen, niet omdat de auditor erom vraagt.”