“Sarbanes-Oxley verbreedt scope internal auditors”

In de rubriek Uit de archieven herplaatst de redactie een artikel met aansluitend de actuele annotatie van de auteur om de ontwikkeling van een thema te schetsen. Dit keer kijkt Rob de Heus, de eerste hoofdredacteur van Audit Magazine, met de bril van nu naar het interview dat hij in 2003 had met James Roth, een pionier op het gebied van soft controls.

James Roth, Amerikaans onderzoeker en docent in het vakgebied internal auditing was op 12 juni 2003 in Nederland voor het seminar ‘Best practices in value-added internal auditing’ georganiseerd door het IIA. Hij behandelde thema’s als het weer actuele COSO-raamwerk en de recentelijk in Amerika ingevoerde Sarbanes-Oxley-wet. Rob de Heus van de redactie van Audit Magazine was aanwezig en nam de gelegenheid te baat om Roth aan de tand te voelen over de betekenis van deze ontwikkelingen voor onderwerpen als best practices en soft controls.

COSO opnieuw relevant

James Roth begon oorspronkelijk in het vakgebied Engelse literatuur, maar stapte al snel over naar internal auditing: “Ik werd geïnspireerd door de eerste artikelen van Larry Sawyer. Hij zag internal auditing als een manier om het gehele bedrijfsproces te verbeteren.” Roth ging werken voor chief auditor Roger Crowes, een van de toenmalige visionaire leiders in het vakgebied en lid van de Committee of Sponsoring Organizations of the Treadway Commission (COSO). “In het COSO-rapport herkende ik veel van zijn gedachten”, herinnert Roth zich.

“Destijds zijn we niet ver gekomen met het raamwerk uit het COSO-rapport, omdat het management niet wilde dat wij ons bezig gingen houden met softe, subjectieve en persoonlijke meetmethoden. Drie maanden voordat het COSO-rapport uitkwam ben ik voor mijzelf begonnen als consultant en trainer. Hierdoor kon ik, geïnspireerd door het COSO-rapport, geheel onafhankelijk adviseren en doceren over het beheersen van factoren als de bedrijfsomgeving, de communicatie, het management, de bedrijfsfilosofie, de strategie en het operationele proces. Tien jaar later lijken die ideeën nog steeds nieuw en relevant te zijn, zeker nu de Sarbanes-Oxley-wet het COSO-raamwerk weer voor het voetlicht heeft gebracht. Er is momenteel meer begrip voor het raamwerk en sommige bedrijven zijn overgegaan tot implementatie van de ideeën in hun bedrijfsproces.”

Nederlandse auditkennis op niveau

De kennis over auditing in Nederland blijft volgens Roth niet achter bij de rest van de wereld: “In de drie keer dat ik hier ben geweest om les te geven, raakte ik zeer onder de indruk van het niveau van de cursisten. Ze zijn zeer zakelijk, intelligent en hebben aan een half woord genoeg. Ook weet men het nodige van het COSO-raamwerk en van soft controls. Men benadert daarin het niveau zoals dat in de Verenigde Staten en Canada aanwezig is.” Roth grapt dat zijn waarneming wellicht veroorzaakt wordt doordat doorgaans alleen senior auditors zijn seminars morgen bezoeken.

Ontwikkeling in soft controls

Roth beschreef in 1998 het belang van soft controls in een artikel in het tijdschrift Internal Auditor. De Heus vraagt hem wat voor ontwikkelingen er in de afgelopen vijf jaar te zien zijn geweest op dit terrein. Roth kent geen nieuwe baanbrekende ontwikkelingen. Zijn studieonderzoek Control model implementation best practices uit 1997 is nog steeds actueel en hij weet inmiddels dat er auditafdelingen zijn die ermee werken. “Alhoewel het nog een minderheid is, zijn er steeds meer ondernemingen die het model omarmen”, constateert Roth. In zijn seminars spitst hij het model tegenwoordig meer toe op de Sarbanes-Oxley-wet. Zo doceert hij een evaluatieproces langs twee wegen. De eerste weg is om de beheersing van de hogere bestuursprocessen te onderzoeken. De tweede weg is om het interne bedrijfsproces te onderzoeken.

Een internal auditor mag nooit een risico accepteren omdat een manager dat vraagt

Obstakels voor implementatie soft controls

Er zijn nogal wat obstakels voor het implementeren van soft controls in de bedrijfsfilosofie en in de uitvoering van internal audits, vindt Roth: “Het grootste probleem is dat het subjectieve waarnemingen zijn die niet naar objectieve maatstaven beoordeeld kunnen worden. Verder betreffen ze de verantwoordelijke managers persoonlijk en zijn het daardoor gevoelige onderdelen. Het is daarom goed om één stap tegelijk te zetten. Probeer resultaten te tonen en begrip te creëren voor soft controls. Een ander obstakel zijn de auditors zelf, met name de meer ervaren medewerkers. Ze zijn gewend aan de eigen manier van werken en wijken niet graag af van hun standaardprocedures. Wanneer de bedrijfsleiding groen licht geeft voor implementatie is er een volgend obstakel: het vinden van de juiste instrumenten en technieken. Er bestaan honderden evaluatiemethoden, maar de enige die werkt is de methode die afgestemd is op de bedrijfscultuur en de managementstijl. Haal daar je ideeën vandaan en ontwikkel je eigen methoden.”

Toepassen Sarbanes-Oxley

Sectie 404 van Sarbanes-Oxley schrijft voor dat het management in de jaarrekening een mededeling opneemt over de effectiviteit van de interne beheersing van het proces van financiële verantwoording. Roth meent dat soft controls daarbij niet genegeerd kunnen worden. Sectie 404 stelt dat de mededeling wordt gebaseerd op geaccepteerde en gezaghebbende criteria, zoals bijvoorbeeld de vijf onderling samenhangende bouwstenen voor interne beheersing verwoord in COSO. De Heus vraagt vervolgens hoe je nu bijvoorbeeld over de component ‘controlenvironment’ verantwoording kan afleggen als de beoordeling daarvan het karakter heeft van maatwerk en bovendien subjectief is.

“De meest effectieve en efficiënte manier is een self assessment questionnaire die je door de hele organisatie laat invullen. Dus betrek niet alleen het hoger management erbij, maar ook de mensen op de werkvloer. De laatstgenoemden zijn de ultieme ervaringsdeskundigen voor de beoordeling van het bedrijfsproces zoals dat door het hoger management is gecreëerd. Als de evaluatie goed begeleid wordt, krijg je eerlijke informatie. Bij multinationals zal de questionnaire overigens per land moeten verschillen.”

Roth ziet de beperkingen van de methode: “Het COSO-raamwerk levert wel heel erg gedetailleerde informatie op. Je kunt niet alle elementen uit het bedrijfsproces evalueren en daarvan verklaren dat ze adequaat zijn. Het gaat erom dat een onderneming een doortimmerde evaluatiemethode hanteert, waarmee risico’s worden gedetecteerd en waarvoor vervolgens oplossingen worden gevonden. Dit is ook uitsluitend het doel van Sarbanes-Oxley. Het richt zich niet slechts op de resultaten van het onderzoek, maar op het ontdekken van materiële risico’s en aanmerkelijke inefficiënties.”

Meer nadruk op financial auditing

De vrees bestaat dat Sarbanes-Oxley een ommezwaai in internal auditing teweeg zal brengen, namelijk van de controle op effectiviteit en de efficiëntie naar meer financieel onderzoek en verslaglegging. Roth ziet dat inderdaad gebeuren en hij acht het nodig omdat het gaat om het onderkennen van grote bedrijfsrisico’s, maar men moet daarnaast ook blijven kijken naar de risico’s in brede zin. Uit onderzoek blijkt in ieder geval de verschuiving naar financial auditing. Er wordt meer tijd besteed aan het testen van reguliere financiële transacties en bij de controle van financiële transacties met een hoog risico is een nog sterker tijdsbeslag waar te nemen.

Roth vindt de verbreding van het blikveld positief, maar vraagt zich af waar men de tijd vindt om het uit te voeren: “Het kan alleen door minder operational audits te doen, minder consultancy (hetgeen gebeurt) en door het uitbreiden van de auditafdeling.” Roth zit dat hierdoor het werk van de auditor om reële risico’s te ontdekken vermindert, maar dit zal volgens hem beperkt blijven tot de korte termijn. Bovendien verwacht hij dat het bedrijf beter gaat functioneren, doordat businessmanagers worden gemaand om zelf ook risico’s te identificeren en de efficiency te controleren. De slimmere buisinessmanagers zullen zich realiseren dat deze controle toegevoegde waarde biedt en de directe resultaten in gunstige zin zal beïnvloeden.

Betrek niet alleen het hoger management erbij, maar ook de mensen op de werkvloer

Optimist

Roth erkent dat hij een geboren optimist is als De Heus aan hem voorhoudt dat Sarbanes-Oxley dus kennelijk meer kansen biedt dan beperkingen: “In het begin had ik ook het onaangename gevoel dat de klok voor internal auditors twintig jaar werd teruggezet. In sommige bedrijven gebeurt het inderdaad. Toch bewijst een recent onderzoek dat we op de goede weg zijn. Ongeveer 20% van alle auditafdelingen hanteert een formele methode om het ethische klimaat te evalueren. Nog eens 20% is van plan zo’n evaluatiemethode te ontwikkelen. Kortom, 60% van de auditafdelingen is bezig met soft controls! Een aanzienlijke stap in de goede richting.” Om het op zijn Amerikaans te zeggen: er zijn geen problemen, er zijn alleen uitdagingen.

Invloed Sarbanes-Oxley op best practices

De Heus is benieuwd of Sarbanes-Oxley Roths visie op best practices heeft beïnvloed. De Heus noemt als voorbeeld de risicoanalyse: “Sarbanes-Oxley eist dat men de risico’s inherent aan het bedrijfsproces identificeert, terwijl men in de auditpraktijk meer focust op de zogenoemde ‘residual risks’ (restrisico’s).” Roth ziet geen wijziging in zijn visie op best practices: “Je begint altijd met de inherente risico’s, omdat ze een sterke invloed hebben op de voorgang van de onderneming. Het is nu alleen anders, omdat in de financiële verslaglegging de risico’s groter zijn dan twee jaar geleden. De methode is niet veranderd: beheers de inherente risico’s en beoordeel de restrisico’s.”

Ook over corporate governance is Roth kristalhelder: “Het auditcomité wilde terecht een waakhond, maar de internal auditor kan die rol niet spelen. De internal auditor maakt deel uit van het bedrijf en moet in het bedrijfsbelang de manager adviseren. Dit betekent ook dat hij van mening kan verschillen met de manager over een onderwerp. Een internal auditor mag in ieder geval nooit een risico accepteren omdat een manager dat vraagt. Het is dan aan de manager om naar zijn superieuren te gaan. Een goede manager snapt dat de internal auditor hem wil helpen om zijn doelstellingen te behalen en doet er zijn voordeel mee.”

Ten slotte verleidt De Heus Roth tot een uitspraak over de uitdagingen voor internal auditors in Nederland. Roth begint met een open deur: “Probeer in de nabije toekomst meer en meer succesvol te worden op het hele gebied van soft controls.” Gelukkig vervolgt hij: “De uitdaging is om het management en het auditcomité te overtuigen met informatie waaruit blijkt dat de beheersing van het bedrijfsproces op orde is en dan bedoel ik niet dat alle betaalbaar gestelde facturen correct worden overgemaakt. In elk boekhoudschandaal, zoals bij de Barings bank, Enron en Worldcom, was er iets grondig mis in de beheersing van het bedrijfsproces. De internal auditor is de aangewezen persoon om het belang van control aan te geven, omdat hij deel uitmaakt van de onderneming en de enige is die opgeleid is en betaald wordt om kritisch, objectief en onafhankelijk na te denken over de beheersing van bedrijfsrisico’s.

    Annotatie van Rob de Heus

‘Sarbanes-Oxley verbreedt scope internal auditors’, was de kop van een artikel in nummer 4-2003 in Audit Magazine. Het is leuk om zo’n artikel nog eens terug te lezen. Dan komen de volgende gedachten bij mij op. De auditfunctie gaat grofweg over twee perspectieven; het verantwoordingsperspectief en het verbeterperspectief. De eerstgenoemde komt voort uit de accountantsfunctie – en later – de internal auditfunctie. Het verbeterperspectief heeft van oorsprong meer relatie met de operational auditfunctie.

Lange tijd is de zoektocht naar de mogelijkheden voor het auditen van soft controls geplaatst in het perspectief van de verantwoordingsfunctie. We wilden beter assurance geven aan de leiding door in de audits ook de beoordeling van soft controls mee te nemen. Ook ik heb daar in mijn boek Het auditen van soft controls (2000) dat ik samen met Mario Stremmelaar heb geschreven een poging toe gedaan. Maar ik kom daar wel wat op terug. Drie redenen/inzichten liggen daaraan ten grondslag:

Drie redenen/inzichten
Allereerst, er is geen algemeen geaccepteerd normenkader voor optimaal werkende soft controls. Als dat er wel zou zijn, dan beschikken we meteen over een handboek voor de meest ideale organisatie! Een illusie dus. De vraag of soft controls optimaal zijn ingericht en toegepast, is voor elke situatie anders.

Ten tweede zie ik nog steeds begripsverwarring over de term soft controls. Soft controls worden nog vaak verward met het aspect waar ze betrekking op hebben. Zo zijn bijvoorbeeld ‘helderheid’ en ‘betrokkenheid‘ geen soft controls, maar de mogelijke resultante van goed werkende soft controls. Maar hoe zien die soft controls er dan uit? Soft controls hebben in mijn optiek een relatie met intrinsieke motivatie en met geïnternaliseerd gedrag. Het is en blijft heel moeilijk om precies te duiden wat dat betekent voor de managementfunctie en hoe ver deze daarin wil gaan.

Ten derde, soft controls kun je niet beoordelen. Je kunt soft controls inventariseren, observeren en ook nog wel evalueren. Dat laatste bijvoorbeeld in de zin van: passen de soft controls goed in deze situatie? Wordt er aandacht aan gegeven…? Wordt er op een consistente manier invulling gegeven aan de managementfunctie, et cetera. Maar wees als buitenstaander terughoudend met een oordeel.

Krachtig
Als auditor ben je enorm krachtig wanneer je in staat bent te doorgronden wat er precies in een organisatie gebeurt. De zogenoemde ‘emic approach’ (Danielle Braun en Jitske Kramer, De corporate tribe) kan daarbij helpen. Kijk als auditor – zonder te oordelen – goed rond en probeer zicht te krijgen op wat er ‘onder het oppervlak’ gebeurt. Wanneer je met zo’n observatie ook iets kunt zeggen over soft controls is dat mooi meegenomen!