‘Je kunt niet alle risico’s beheersen’

29 Nov 2015

Het Nederlandse Audit Committee Institute (ACI) ging in 2005 van start, toen het belang van een krachtig en professioneel intern toezicht een grote impuls had gekregen door de Code Tabaksblat. Jaap Winter, indertijd lid van de Commissie Tabaksblat en nu voorzitter van het college van bestuur van de Vrije Universiteit, en Philip Wallage, hoogleraar Accountantscontrole en tot dit voorjaar partner van KPMG, over wat er veranderde in het intern toezicht en in de rol van de auditcomittee. Plus: wat zijn de vooruitzichten?

 

Jaap Winter: ‘De eerste jaren na de Code Tabaksblat waren vooral een tijd van inregelen van wat de Code allemaal vraagt van organisaties. Er moesten procedures worden aangepast en de samenstelling van de raad van commissarissen veranderde. De volgende stap is hoe je het toezicht effectief maakt. Je kunt processen veranderen maar mensen moeten het wel gaan doen. Dat proces van het vinden van de juiste dynamiek is nog steeds bezig.’

Is dat proces nu voltooid? Heeft die tien jaar dialoog een effectief intern toezicht opgeleverd?
Philip Wallage: ‘Dat is natuurlijk nooit helemaal bereikt. Ik denk wel dat de tijd van codificering en regels voorbij is. Het gaat nu om gedrag en, nog een stap verder: je verantwoordelijkheden erkennen en daarnaar handelen. Ik merk echter dat de roep om meer transparantie blijft toenemen. Dat wordt vaak gezien als een panacee voor betere corporate governance. Ik heb daar mijn twijfels over. De RvC en de auditcommissie moeten waken over de kwaliteit van de governance en de verslaggeving. Ik denk dat transparantie de vertrouwelijkheid die soms nodig is en het functioneren van een board kan hinderen. De auditcommissie heeft ook de plicht te zorgen dat informatie relevant is. Alles uitstorten over iedereen is dat niet. Het gaat dus niet zozeer om transparantie, maar om verantwoording.’
Winter: ‘Voorop moet staan of we met elkaar – bestuur en toezicht – snappen waarmee we bezig zijn en welke gevolgen het gevoerde beleid met zich meebrengt. Ik merk dat goed als voorzitter van het college van bestuur van deze universiteit. Ik wil weten waar de risico’s zitten en welke analyses nodig zijn om meer grip op die risico’s te krijgen. Dat is wat bestuur en intern toezicht allebei moeten willen.’
Wallage: ‘Jij ziet het niet als een plicht om verantwoording af te leggen, maar als een recht. En een belang.’
Winter: ‘Ja, dat is waar; ik merk dat nu goed. Ik wil dat mijn auditcommissie met mij meedenkt. Ik zie commissarissen helemaal niet als controleurs die over mijn schouder kijken en me op de vingers tikken. Ik wil dat ze met me meekijken hoe de zaken bewegen. En ik wil weten of ze goed snappen wat er gebeurt en of ze het daarmee eens zijn.’

Ik heb de indruk dat de laatste tien jaar juist het idee van de commissarissen als countervailing power veel nadruk heeft gekregen, in de governance discussie en ook in de wet- en regelgeving.
Wallage: ‘Het is heel goed dat er een systeem is met duidelijke rollen en verantwoordelijkheden.Dat betekent dat als een raad van bestuur een voorstel doet, de raad van commissarissen daar vanuit zijn eigen verantwoordelijkheid over spreekt, ermee instemt en de uitvoering ervan bewaakt.
Winter: ‘We komen uit een wereld waarin een toezichthouder niet veel méér deed dan ratifying; afzegenen van wat bestuurders doen. Dat accepteren we niet meer. Toezichthouders hebben een eigen verantwoordelijkheid om na te gaan of het beleid juist is of niet. De praktijk laat zien dat het vrij gemakkelijk is om te blijven hangen in die ratifying mode. Zowel voor bestuurders als voor toezichthouders. Als ik als bestuurder niet bereid ben mijn dilemma’s en vragen op tafel te leggen in een commissarissenvergadering, dan komen de commissarissen er nooit achter op het moment dat het zou moeten. Dan wordt het pas duidelijk wanneer de gevolgen zich manifesteren.’

Effectief intern toezicht is dus net zo goed een verantwoordelijkheid van het bestuur als van de commissarissen.
Winter: ‘Juist. Natuurlijk moet het niet alleen van mij als bestuurder afhangen, maar ook van de commissarissen zelf, want als ik een keer wat minder snel mijn dilemma’s deel, of als de raad van commissarissen zelf twijfels of vragen heeft, dan moet de raad uiteraard zelf initiatief tonen en zeggen: nu missen we iets.’
Wallage: ‘Tien jaar geleden legde het bestuur voornamelijk verantwoording aan een auditcommissie af met een presentatie. Dan ging de CFO voor de mensen staan en twee, drie uur alleen maar zenden. Nu zie ik bij de goede organisaties dat ze van tevoren stukken sturen – en niet te veel – en vooral de discussie aangaan.’

De laatste tien jaar is het takenpakket van de auditcommissie sterk verbreed. Naast financiële verslaggeving moet gekeken worden naar allerlei soorten risico’s, op gebied van compliance, reputatie, fraude, overnames, remuneratie, duurzaamheid en IT. Is dat een goede ontwikkeling?
Wallage: ‘Het is begrijpelijk dat we financiële risico’s of risico’s die een financiële impact hebben onderbrengen bij de auditcommissie, zoals IT en fraude. Het is wel de vraag of er voldoende deskundigheid aanwezig is. Die verbreding vergt een zorgvuldige samenstelling van de commissie.’
Winter: ‘Een ander punt is dat strategische risico’s zo tot de kern van het interne toezicht behoren, dat je die in de voltallige raad van commissarissen zou moeten bespreken. Als wij willen weten welke stappen we moeten zetten als het gaat om de ontwikkeling van de business en de ontwikkeling van markten en de concurrenten, moet de hele raad daar over praten. IT-risico’s bijvoorbeeld zijn niet alleen het risico dat er een systeem uitvalt, maar raken ook steeds meer de strategische kant van nieuwe businessmodellen.’
Wallage: ‘Ik vind dat het streven naar steeds meer risicobeheersing ook een negatieve kant heeft. We brengen allemaal druk risico’s in kaart, hopen niets te missen en brengen alle discussies op de juiste plek onder. Maar dat heeft ook een prijs in tijd, aandacht en kosten. Bovendien moeten we beseffen dat we niet alle risico’s kunnen beheersen. De illusie dat je dat wel kunt door alles te benoemen en in procedures te vatten is heel gevaarlijk. Je komt er een keer achter dat je een schijnzekerheid creëert. Risicomanagement betekent ook dat je accepteert dat je niet alle risico’s onder controle hebt.’
Winter: ‘Inderdaad. Bestuur en toezichthouders moeten samen een inschatting maken van de risico’s, daarbij kijkend naar de mate van waarschijnlijkheid en de mate van impact, en vervolgens een bewuste keuze maken welke risico’s met maatregelen worden verkleind of uitgesloten, en welke niet.’
Wallage: ‘Dat kun je allemaal netjes doen, maar als er dan toch iets gebeurt dat geclassificeerd was als heel onwaarschijnlijk maar met een grote impact, dan zegt de buitenwereld: je was niet in control!’
Winter: ‘In dat geval kun je het beste eerlijk en duidelijk uitleggen dat je alle scenario’s had onderzocht en tot de conclusie was gekomen dat dit risico niet te beheersen was, of dat de kosten ervan excessief zouden zijn geweest. En dat je daarom de bewuste keuze had gemaakt om dit risico te accepteren.’

Hoe zien de komende tien jaar van de auditcommissie eruit?
Winter: ‘Grote ondernemingen gaan de facto naar een audit- en risicocommissie. Ik kan me geen volwassen auditcommissie voorstellen die niet met enige regelmaat aan zijn bestuur vraagt: “Hoe zien en beoordelen jullie de risico’s van de onderneming?” Denk daarbij aan de risico’s die gerelateerd zijn aan de kerntaken van de auditcommissie: financiële verslaggeving, verantwoording en de processen die je op orde moet hebben om dat zorgvuldig te doen, om intern goed te sturen en extern verantwoording af te leggen.’
Wallage: ‘Audit heeft veel meer relevantie als je het kan koppelen aan risico’s en controls. Dan krijg je ook een inhoudelijke discussie. Ook in de relatie met de externe accountant levert dat toegevoegde waarde op. Ik denk wel dat er in de auditcommissie behoefte komt aan meer expertise, financieel maar ook op het gebied van IT, omdat de wereld steeds complexer wordt en regelgeving en verantwoordingsplicht blijven toenemen.’
Winter: ‘Toch zijn meer regels niet de weg naar beter toezicht. Ik hoop dat we dat gaan inzien. Meer regels tasten de eigen verantwoordelijkheid aan om na te denken. Ze verminderen de noodzaak voor mensen om zelf afwegingen te maken en de gevolgen van hun gedrag te onderkennen.’

Door Jan Schoenmakers
RAAD Magazine Nr. 1, juli 2015

Deel dit bericht

Deze website maakt gebruik van cookies.

Door gebruik te blijven maken van de website gaat u akkoord met het gebruik van cookies.

KPMG gebruikt cookies voor o.a. de volgende doelen: beveiligen van de website; optimaliseren van de website en de dienstverlening door o.a. analyses websitegebruik en statistieken; integratie met sociale media waardoor bezoekers informatie op onze website kunnen delen via sociale media en e-mail.

Wilt u meer weten over deze cookies lees dan onze Online Privacy Statement

Akkoord