Internal audit

Transparantie in de bestuurskamer

09 Jun 2016

Wie zekerheid wil hebben over de risico’s binnen een organisatie, doet er goed aan een internal auditfunctie in te richten. Sterker nog: een RvC heeft echt wat uit te leggen als een organisatie daar helemaal niets aan doet, stelt Vincent Moolenaar.

Om met de deur in huis te vallen: waarom zou iedere organisatie een goed ingerichte internal auditfunctie moeten hebben?
‘Met internal audit kun je tegenwicht creëren in je organisatie. Vanuit het bestuur gaat er een informatiestroom naar de RvC. Bedoeld of onbedoeld zit daar een bepaalde kleuring of filtering in. Internal audit beschikt over objectieve informatie en kan daardoor de risico’s goed in kaart brengen en een ander licht laten schijnen op de besluitvorming. Internal audit kan dus ook de keerzijde van de medaille laten zien. Belangrijker nog vind ik dat internal audit zorgt voor transparantie in de bestuurskamer. De grootste handicap voor een toezichthouder is asymmetrie in de   informatievoorziening; het bestuur beschikt over veel meer informatie dan de RvC. Dat zou je effectiviteit als toezichthouder kunnen aantasten. De rol van internal audit moet dus zijn om te zorgen voor zo veel mogelijk transparantie. Zodat het management voldoende informatie heeft om inzicht te krijgen in de belangrijkste risico’s, en toezichthouders erop toe kunnen zien dat die risico’s ook zo goed mogelijk worden gemanaged. Zo kan internal audit de spil zijn in het samenspel tussen bestuur en commissaris.’

Van waaruit zou de aansturing moeten plaatsvinden, het bestuur of de RvC? Daarover is ook discussie bij het opstellen van de nieuwe Corporate Governance Code.
‘Het maakt in mijn ogen niet uit wie de aansturing doet. Het allerbelangrijkst is dat beide organen overtuigd moeten zijn dat internal audit een objectieve aandrager van informatie is. Als dat niet het geval is, maakt het niet uit aan wie je rapporteert; dan werkt het namelijk niet. Het succes staat of valt in mijn ogen met drie dingen: structuur, proces en gedrag. Structuur betekent dat je nadenkt over waar je internal audit onderbrengt in je organisatie, vervolgens spreek je met elkaar het proces af om de internal auditfunctie in te richten en tot slot hangt het succes af van het gedrag van de boardroom-spelers. In deze combinatie moet het doel worden bereikt: een ongefilterde, transparante informatiestroom naar zowel het bestuur als de toezichthouders.’

Over welke kwaliteiten moeten internal auditors beschikken?
‘Ik geloof in diversiteit binnen het team, verbreding noem ik dat. Om uiteindelijk een goede diagnose te kunnen stellen, is het belangrijk dat een team het vraagstuk benadert vanuit verschillende perspectieven. Laat een probleem door vijf accountants beoordelen, en je krijgt een financiële analyse. Als vijf juristen naar dezelfde kwestie kijken, krijg je een analyse vanuit het wetboek. De toegevoegde waarde zit hem in de pluriforme, diverse samenstelling van de functie. Met juristen, commerciële mensen, medewerkers met een technische achtergrond, etcetera. Zo creëer je synergie, en een completere diagnose van het probleem. De samenstelling hangt af van de sector waarin je opereert. Diversiteit zit  niet alleen in achtergrond, maar bijvoorbeeld ook in ervaring.

De grootste handicap voor een toezichthouder is asymmetrie in de informatievoorziening

Zet mensen in het team die al eens hebben gezien hoe een project faalt. En stel daartegenover iemand die net uit de collegebanken komt. Een andere kritische succesfactor is verdieping van de competenties. In twee richtingen: ten eerste zijn sterke analytische vaardigheden vereist. Moderne internal audit houdt zich bezig met alle risico’s, niet alleen financieel maar ook operationeel en strategisch. Je moet hele diverse vraagstukken in korte tijd kunnen doorgronden.

Ten tweede moeten internal auditors beschikken over goede communicatieve vaardigheden. Waar het in wezen over gaat, is of je de organisatie meekrijgt. Je moet dus in staat zijn, ook al ben je als auditor vaak veel meer junior dan je gesprekspartners, om het management mee te krijgen. Dat vind ik ook een belangrijke drijfveer, je moet willen veranderen.’

Hoe is het gesteld met de inrichting van de internal auditfunctie bij Nederlandse organisaties?
‘De situatie is in Nederland nog steeds heel verschillend. Ik zie gelukkig een trend om te komen tot een moderne internal auditfunctie, het is al een stuk diverser dan het ooit geweest is. Maar er zijn ook nog steeds beursgenoteerde ondernemingen, meer dan dertig procent volgens de monitoring commissie, die verklaard hebben geen internal audit functie te hebben ingericht. Uiteindelijk is die grote verscheidenheid niet goed voor de professie. Daarom pleiten we er vanuit de beroepsgroep voor dat er meer best practices worden vermeld in de governance code. Zodat die meer sturend zijn voor organisaties die nog bezig zijn met de inrichting.’

Zie je het als een taak van de RvC om het initiatief te nemen voor het inrichten van een internal auditfunctie?
‘Ja, absoluut. Maar natuurlijk wel in dialoog, RvC en RvB moeten samen komen tot een passende oplossing voor hun organisatie. Maar ik vind dat je vandaag de dag wel wat hebt uit te leggen als RvC als je er bewust voor kiest om geen internal auditfunctie in te richten. Dat maakt je als toezichthouder uitermate kwetsbaar. Veel beursgenoteerde  organisaties zijn zo complex en opereren in zulke dynamische marktomstandigheden, dan lijkt het me dat je zekerheid wil hebben over de risico’s op alle aspecten van de bedrijfsvoering. De vraag naar transparantie is ongekend, er worden hogere eisen gesteld vanuit stakeholders en de maatschappij. Dan moet je je als commissaris niet naïef opstellen. Enerzijds is er brengplicht vanuit het management, maar ik vind ook heel duidelijk dat er een haalplicht ligt bij commissarissen om te onderzoeken of alle risico’s wel goed zijn afgedekt.’

Zijn commissarissen in dit opzicht inderdaad soms naïef?
‘Kijkend naar auditcommissies vind ik dat daar soms nog te veel wordt afgegaan op de compliancegedachte. Zo lang een bedrijf geen fraudes rapporteert of moeilijke vragen van de accountant krijgt, dan heb je als lid van de  auditcommissie weinig te vrezen. Je zult dan niet snel aansprakelijk worden gehouden door de samenleving. Maar de risico’s die een organisatie vaak opbreken, zijn juist strategisch. Juist op dit soort risico’s richt de auditcommissie zich vaak pas in tweede instantie. Dat wordt verklaard door als bijvoorbeeld een acquisitie misgaat, het vizier gericht is op de CEO en veel minder op de auditcommissie. Dat is eigenlijk gek; in plaats van dat het primaire toezichtorgaan wordt aangesproken, zijn de pijlen gericht op het management. Dat heeft te maken met de interpretatie van de rol van de auditcommissie. Deze is nog steeds hoofdzakelijk gericht op de jaarrekeningen en het jaarverslag en veel minder met het totale pallet aan risico’s dat een organisatie loopt.’

Mits goed uitgevoerd, wat is dan het effect van internal audit?
‘Voor mij zou het effect moeten zijn de voorspelbaarheid van de performance van de organisatie. Het laatste waar stakeholders op zitten te wachten is instabiliteit, als organisatie moet je een gestage koers varen. Internal audit helpt om de risico’s in kaart te brengen. Dat kan van alles zijn. Denk aan een IT-project dat een prima investering is, maar misschien is de projectmanager incapabel. Dat is dan een risico voor het slagen van het project. Een ander voorbeeld is een organisatie die een grote transitie doormaakt, en ondertussen de ongoing business volledig laat versloffen. Op dit soort momenten heeft internal audit een signalerende werking. Het is belangrijk dat internal auditors contrair kunnen werken. Bijvoorbeeld: het is belangrijk groei te realiseren, dus we moeten meer verkopen. Maar doe je dat niet op een manier die ten koste gaat van de winstgevendheid? Of als je bezig bent met een veranderingstraject, gaat dat dan niet ten koste van je bestaande business? Het management is vaak heel erg bezig met kansen, maar daar hangt altijd een risico aan. Internal audit kan bijdragen aan het transparant laten zijn van die risico’s.’

Wat zou je tot slot commissarissen en bestuurders nog mee willen geven?
‘Ik zou een pleidooi willen houden voor bestuur en toezichthouders om talentvolle medewerkers standaard een assignment te laten doen bij internal audit. In die functie leer je alle facetten van het bedrijf kennen, alle afdelingen, functies en niveaus zijn in beeld. Medewerkers kunnen bovendien eens goed uitgetest worden. Dat is win-win. Zij krijgen de kans om in een heel vroeg stadium een kijkje te nemen in de keuken van het bestuur en toezicht. Op hun beurt  krijgen bestuurders en commissarissen de kans om te kijken wat voor vlees ze in de kuip hebben.’

Vincent Moolenaar is sinds augustus 2015 Global Integration Program Leader bij Royal Ahold NV en bereidt vanuit die functie de voorgenomen fusie voor met de Delhaize Groep. Daarnaast is hij  voorzitter van het Audit Committee bij de Nederlandse Zorgautoriteit (NZa) en was hij tot april 2016 voorzitter van het Instituut van Internal Auditors Nederland.

Door Leonie Hage / beeld Mark Horn

 

Deel dit bericht

Deze website maakt gebruik van cookies.

Door gebruik te blijven maken van de website gaat u akkoord met het gebruik van cookies.

KPMG gebruikt cookies voor o.a. de volgende doelen: beveiligen van de website; optimaliseren van de website en de dienstverlening door o.a. analyses websitegebruik en statistieken; integratie met sociale media waardoor bezoekers informatie op onze website kunnen delen via sociale media en e-mail.

Wilt u meer weten over deze cookies lees dan onze Online Privacy Statement

Akkoord