Anticiperen op de toekomst.

Enterprise Risk Services Anticiperen op de toekomst.

2

Inhoudsopgave Voorwoord 5 Inleiding 7 Voordracht Jean Frijns The Book of Rules rules. 9 Schets huidige situatie De betekenis van internal audit wordt zwaar onderschat. 17 Scenario s Het verkennen van de toekomst 29 Uitwerking Anticiperen op de toekomst 37 Bijlage: CFO s over corporate governance en internal audit Het transparantiemaximum is nu wel bereikt. 47 Deelnemende bedrijven 53 Deloitte Enterprise Risk Services 54 3

4

Voorwoord De jaren negentig van de twintigste eeuw zijn de jaren geweest van het grenzeloze vertrouwen. Omdat er volop kansen waren voor iedereen stonden regels en procedures niet hoog op de agenda. Gevolg: terwijl de economie groeide moesten de interne auditdiensten (IAD) veelal afslanken. Inmiddels staat internal audit weer hoog op het prioriteitenlijstje bij de meeste organisaties. De hernieuwde waardering is natuurlijk allereerst veroorzaakt door de inter-nationale boekhoudaffaires die de wereld in de jaren na 2000 verrasten. Balanceren tussen regels en principes Na de schandalen ontstond er behoefte aan meer veiligheid, meer controle en beter toezicht. Corporate-governancecodes schoten als paddestoelen uit de grond en het doen en laten van organisaties wordt nu steeds meer bepaald door regels. Ook de code-tabaksblat, die is ontwikkeld als een principle-based code, kan zich niet aan die ontwikkeling onttrekken. Er is een tendens om aanbevelingen en richtlijnen toch in regels vast te leggen. De commissie-frijns is zich daarvan bewust, en probeert het midden te vinden tussen de letter en de geest van de code-tabaksblat. Versterking internal governance Op grond van de nieuwe codes en de toegenomen druk vanuit de financiële markten zien CFO s de noodzaak tot het versterken van de internal governance. Anticiperend op de toekomst worden de checks and balances in de organisatie aangescherpt. Toename invloed internal auditor Die sterkere nadruk op internal control heeft ook de functie van de internal auditor ingrijpend veranderd. Natuurlijk ligt de verantwoordelijkheid voor de inrichting van de internal control allereerst bij de CFO s en controllers, maar ook de internal auditor heeft een belangrijke rol bij het vormgeven van good governance. De internal auditor heeft meer invloed dan voorheen. Zijn positie in de organisatie wordt nog versterkt omdat die van buitenaf wordt gelegitimeerd. Als verlengstuk van de Raad van Bestuur kan hij zijn specialistische kennis inzetten op het gebied van financiële verslaggeving, compliance, risico-identificatie door het management, strategische risico s en de risico s van de financiële structuur. Toekomstperspectief In dit seminar hebben we de mogelijke rollen onderzocht die internal audit zou kunnen spelen bij de toekomstige governance-ontwikkelingen. Op basis van gesprekken met CFO s, leden van auditcommissies en toezichthouders hebben we verschillende toekomstperspectieven geschetst. Een aantal scenario s is nader uitgewerkt en geanalyseerd. De belangrijkste conclusie was dat de taak van de internal auditor zou moeten worden aangepast aan de situatie waarin het bedrijf zich bevindt. Internal auditors kunnen het management goede diensten bewijzen bij het opbouwen van een bedrijf door actief te ondersteunen bij het versterken van de control. Als onafhankelijke assurance provider steunen ze hun CFO s bij het onderkennen en vermijden van onnodige risico s. Als adviseur van het management zijn ze daarnaast uitermate geschikt om het leidinggevend kader bij de les te houden. Gebruik maken van expertise Hoe corporate governance er in de toekomst er ook uit zal zien, het staat wel vast dat internal auditors er een belangrijke bijdrage aan kunnen leveren en actief kunnen meesturen. Het is daarom van belang dat internal auditors in de toekomst meer aandacht vragen voor hun ideeën, ook buiten hun eigen vakgebied. Zo zouden ze een grotere inbreng kunnen hebben bij de tweede rapportage van de commissie-frijns. De uitkomsten van dit zevende IA Seminar onderschrijven die toegevoegde waarde. Toezichthouders en CFO s doen zichzelf eigenlijk tekort als ze geen gebruik zouden maken van de expertise, het enthousiasme en de betrokkenheid van de internal auditors. 5

6

Inleiding Dagprogramma Ochtendprogramma: Oriëntatie en verdieping Primaire vragen: wie zijn we en waar staan we nu als internal auditors? Welke scenario s zijn mogelijk? Waar moeten we ons op voorbereiden? Middagprogramma: De consequenties voor IA Wat is de impact van de scenario s op mijn internal-auditafdeling voor wat betreft: - Rol en positie - Taak en verantwoordelijkheden - Resources en kennis Slot: Presentatie en paneldiscussie Het zevende IA Seminar stond in het teken van anticiperen op toekomstige ontwikkelen. Het seminar verschafte de deelnemers inzicht in de huidige ontwikkelingen in het vakgebied en in de visie daarop van de internal auditors zelf. De vraag in welke richting internal governance zich ontwikkelt is cruciaal, omdat internal audit daar een belangrijke pijler van is. Een andere vraag die uitgebreid aan de orde kwam is wat toekomstige ontwikkelingen kunnen betekenen voor internal audit. In het hoofdstuk Scenario s komen enkele mogelijke ontwikkelingen aan de orde. Bij de voorbereiding voor deze deze bijeenkomst zijn verkennende gesprekken gevoerd met directeuren, CFO s, leden van auditcommissies en toezichthouders. Zij deden een aantal interessante uitspraken, die u terugvindt in de bijlage. Daarnaast zijn de meningen van internal auditors over de bestaande situatie gepeild met een korte survey. Een belangrijke conclusie die uit de voorbereidingen getrokken kan worden is dat de rol van de Nederlandse en buitenlandse aandeelhouders sterker wordt. Ook Frijns becommentarieert die trend in zijn speech. Er zal daarom meer rekening gehouden moeten worden met de positie van die aandeelhouder. Verder werd duidelijk dat vertrouwen, ook in de toekomst, de basis zal blijven van ons governancesysteem. Regelgevers en toezichthouders creëren echter wel steeds meer regels. Dat komt tegemoet aan de groeiende behoefte aan helderheid, waaraan internal auditors behoefte zeggen te hebben. Dat de rol van internal auditors verandert blijkt ook uit de vaardigheden die van internal auditors worden verwacht. In de survey worden communicatieve vaardigheden en begrip het vaakst genoemd. In drie stappen werden de deelnemers door het programma geleid. Stap 1 Schets van de huidige situatie. Hoe ziet de beroepsgroep zichzelf? Tien stellingen dagen de deelnemers uit zich helder uit te spreken over hun vak, hun verhouding tot het bestuur en de auditcommissie en de toegenomen regelgeving. De reacties maken duidelijk dat de beroepsgroep nogal uiteenlopend over zichzelf denkt, en dat de perceptie ook per sector verschilt. Maar het is ook duidelijk dat de internal auditors nog zoeken naar de precieze invulling van hun veranderende rol. Stap 2 Scenariodenken. Wat brengt de toekomst ons? Welke kant gaat het op? Krijgen we een periode waarin de bomen weer tot in de hemel lijken te groeien of worden we opgeschrikt door nieuwe schandalen? En welke consequenties heeft dat voor corporate governance, internal governance en uiteindelijk voor internal audit? Het verkennen van de toekomst blijkt waardevolle ideeën en inzichten op te leveren. Eveneens wordt duidelijk dat een gerichte voorbereiding op bepaalde ontwikkelingen mogelijk is. Stap 3 Uitwerking. Het formuleren van een reactie op een scenario. Vier groepen beraden zich op een mogelijke situatie in de toekomst en geven antwoord op de vraag wat de gevolgen zijn voor de rol en positie, en niet te vergeten voor het takenpakket van internal auditors in hun organisatie. De conclusie is dat scenariodenken een zeer bruikbaar instrument is bij het anticiperen op toekomstige ontwikkelingen en dat je een aantal van die ontwikkelingen in je eigen vakgebied zelfs actief kunt sturen. 7

Voordracht Jean Frijns Voorzitter van de Monitoring Commissie Corporate Governance Code 8

The Book of Rules rules. De code-tabaksblat is zeer summier over de rol van internal audit. En dat terwijl internal auditors nauw betrokken zijn bij het invulling geven aan goed ondernemingsbestuur. Op de eerste dag van het seminar kreeg Frijns de kans te reageren. Hij deed dat door eerst de context te schetsen van good governance. Daarna ging hij in op de ontwikkelingen op het gebied van risicobeheersing en controle, en op de uitdagingen die hij ziet voor de internal auditor. Prof. dr. Jean Frijns studeerde en promoveerde in de economische wetenschap aan de Katholieke Universiteit Brabant in Tilburg. In 1988 trad hij in dienst bij Stichting Pensioenfonds ABP, waar hij tussen 1993 en 2005 als directeur Vermogensbeheer eindverantwoordelijk was voor de beleggingen. Sinds 1995 is Frijns bijzonder hoogleraar Beleggingsleer aan de Vrije Universiteit te Amsterdam. In 2004 werd hij voorzitter van de Monitoring Commissie Corporate Governance Code. Corporate governance Frijns begon zijn verhaal door een vergelijking te trekken tussen het Amerikaanse en het Europese model van corporate governance, om zo de code-tabaksblat in perspectief te plaatsen. Het uitgangspunt van het Amerikaanse governancemodel is klip en klaar, stelde Frijns. Het doel van een onderneming is het creëren van aandeelhouderswaarde en met een beetje geluk is er ook nog enige aandacht voor de aandeelhouderswaarde op de lange termijn. Daarnaast is het Amerikaanse governancemodel gefundeerd op het model van financiële markten, waar aandelen breed gespreid zijn. Anders dan wij wel eens denken heeft de aandeelhouder in de VS weinig directe invloed, zei Frijns, omdat er geen dominante aandeelhouders zijn. Frijns: Het bestuur krijgt in de VS voldoende bewegingsruimte om een onderneming te leiden. De wetgeving is voor een groot deel gericht op het beschermen van de positie van de kleine aandeelhouder ten opzichte van dat almachtige bestuur. De corporate law, ofwel het ondernemingsrecht, geeft de bestuurder grote vrijheid van handelen maar maakt de bestuurder ook verantwoordelijk ten opzichte van de aandeelhouder. Een bestuur dat alleen zijn eigen belang dient krijgt het erg moeilijk om uit te leggen dat hij de goede dingen heeft gedaan, benadrukte Frijns. Daarnaast heeft de VS al sinds 1930 een zeer strikt stelsel van effectenrecht. Dat is na de beurskrach van 1929 ingesteld, samen met de Securities and Exchange Commission (SEC), de toezichthouder. Frijns: Het hele basisidee van de wetgeving was toen al transparantie, volgens het zogenoemde sunlight-principe: als je maar zorgt dat iets volstrekt transparant is, dan gedragen mensen zich wel netjes. En hoewel het Amerikaanse ondernemingsrecht sterk principle-based is, is het effectenrecht rule-based en hard. Sunlight-principe: als je maar zorgt dat iets volstrekt transparant is, dan gedragen mensen zich wel netjes. Het Europese model In Europa hebben we te maken met een ander governancemodel. In dit model heeft de onderneming meervoudige doelstellingen, en daarom is het veel lastiger om van buitenaf te beoordelen of het Bestuur het goed gedaan heeft. In het Europese stelsel zijn veel checks and balances ingebouwd, constateerde Frijns. Je moet allerlei belangen behartigen en al die belangen mogen ook vertegenwoordigd zijn in het afwegingsproces. Daarnaast heb je in veel Europese landen nog een traditie van dominante aandeelhouders en hebben die aandeelhouders een belangrijke rol in de checks and balances. Het effectenrecht heeft in 9

De opkomstpercentages bij de AVA s zijn nauwelijks verbeterd. Dat is een ernstige zorg, want als dat niet werkt moeten we het hele systeem nog eens tegen het licht houden. Poison pill De poison pill is een strategie om een (vijandige) overname te bestrijden. De kern van deze strategie bestaat uit het onaantrekkelijk maken van de aandelen. Er bestaan in principe twee soorten poisonpillstrategieën: de flip-in en de flip-over. De flip-in poison pill staat bestaande aandeelhouders toe om nieuwe aandelen te kopen tegen een korting. Bestaande aandeelhouders kunnen derhalve meer aandelen kopen tegen een lagere prijs, waardoor de winst voor de vijandige koper verwatert. De flip-over posion pill staat bestaande aandeelhouders toe om na de fusie of overname aandelen van de vijandige koper tegen een korting aan te schaffen. Zo kan het zijn dat bestaande aandeelhouders na de overname aandelen van de vijandige koper kunnen aanschaffen tegen een ratio van 1 tegen 1,5. Al deze strategieën zijn er op gericht om de koper zoveel mogelijk te laten bloeden indien deze echt geïnteresseerd is in een overname. In elk geval zal de overname of fusie niet van een leien dakje gaan. Europa traditioneel niet veel belang. Pas de laatste tien jaar heeft het effectenrecht veel meer body gekregen in de vorm van strenger toezicht en aanvullende regels. Tabaksblat Tabaksblat is in zijn opzet voor een deel Amerikaans georiënteerd. De code gaat uit van een beursgenoteerde onderneming met gespreid aandeelhoudersbezit. Frijns: De code- Tabaksblat kent geen grootaandeelhouders of dominante aandeelhouders. Naar Amerikaans model is er ook ruimte voor ondernemerschap en krijgt het bestuur de ruimte om te ondernemen. De code is evenals het Amerikaanse ondernemingsrecht principle-based, maar is erg Europees in zijn interne checks and balances. Frijns: Vergeleken met eerdere codes geeft Tabaksblat een veel grotere rol aan de Raad van Commissarissen in het kader van interne checks and balances. Verder geeft de code de Algemene Vergadering van Aandeelhouders (AVA) een essentiële rol in dat hele samenspel van checks and balances. Of de mix die Tabaksblat heeft gekozen de juiste is voor good governance zal de tijd ons moeten leren. Bevindingen monitoringcommissie Tabaksblat gaat uit van versterking van de interne checks and balances. Dat betekent dat de AVA een grotere rol krijgt, die natuurlijk wel vervuld dient te worden. Een gelukkige omstandigheid is dat er een nieuwe klasse van aandeelhouders opgestaan: de institutionele belegger, legde Frijns de vinger op de zere plek. Institutionele beleggers hebben een langetermijnperspectief en zijn daarmee in theorie de ideale aandeelhouders. We willen immers graag dat ondernemingen een goede langetermijnstrategie hebben. Institutionele beleggers worden in de code-tabaksblat specifiek opgeroepen om die rol goed te vervullen. Heel lang heeft men gedacht dat de institutionele aandeelhouders wel iets zouden kunnen doen aan exorbitante beloningen. Maar in de praktijk, zo moest Frijns constateren, komt daar weinig van terecht. Helaas moet ik constateren dat ze dat tot nu toe nauwelijks beter hebben gedaan dan in de periode voor Tabaksblat. De opkomstpercentages bij de AVA s zijn nauwelijks verbeterd. Dat is een ernstige zorg, want als dat niet werkt moeten we het hele systeem nog eens tegen het licht houden. Buitenlandse aandeelhouders Tabaksblat gaat voorbij aan de dominantie van buitenlandse aandeelhouders bij veel Nederlandse beursfondsen. In werkelijkheid is slechts tussen de 5 en 12% van de aandelen in handen van Nederlandse institutionele beleggers. De meerderheid is dus in buitenlandse handen. Die buitenlandse investeerders zetten de toon en doen dat, volgens Frijns, soms op agressieve wijze. De code was nog geen jaar oud toen de hele sfeer veranderde door het optreden van hedge funds die, vaak buiten de vergaderingen om, agressief probeerden om de strategie van ondernemingen beslissend te beïnvloeden. Dat was voor Nederland een relatief nieuwe ervaring. En daarop kregen we de reactie: is dit de bedoeling van Tabaksblat? Is dit wel wat we willen? Het zijn terechte vragen, die ik op dit moment helaas nog niet kan beantwoorden. Disciplinering door de financiële markt Hoe moeten we hier tegenaan kijken vanuit het perspectief van de financiële markten? Frijns: Eén van de instrumenten om besturen bij de les te houden is: disciplinering door financiële markten. De markt voor overnames houdt ondernemingen scherp. Amerikanen zijn inmiddels wel gewend aan zogenoemde raiders en overnemende partijen en hebben zich daartegen gewapend met poison pills. Poison pills zijn effectief zonder dat je de zittende aandeelhouders benadeelt. Het is een vrij effectief middel om tijd te winnen. Uiteindelijk moet een ondernemer nog steeds verantwoording afleggen aan de aandeelhouders. Op zichzelf is disciplinering door financiële markten niets nieuws. Of het werkt hangt van de omstandigheden af. Hedge funds die ondernemingen verkocht willen zien aan private equity clubs zijn populair. Maar die strategie werkt alleen als die private equity clubs een hoge prijs kunnen bieden. Dat kan als de rente erg laag is en ze in staat zijn om de overgenomen onderneming voor 80 tot 90% te leveragen. We moeten ons afvragen, aldus Frijns, wie de echte boosdoeners zijn, de private equity clubs of de banken die maar al te graag geld uit lenen aan de overgenomen ondernemingen? Duidelijk is in ieder geval dat de onderneming wordt opgezadeld met de risico s van de hoge leverage. 10

Leverage is de hefboomwerking waarmee met een relatief kleine investering grote winstkansen worden geschapen. Een populair middel om leverage te krijgen is het kopen van aandelenopties, die recht geven op koerswinst op aandelen die men niet bezit. Als er geen koerswinst is, lopen de opties waardeloos af en is de investering verloren. De term leverage wordt ook gebruikt als bedrijven het percentage schulden in hun balanstotaal verhogen. Stakeholdermodel en financiële markten Als commissie vragen we ons af of de disciplinering door financiële markten verenigbaar is met ons stakeholdermodel. De traditionele doelstelling in het ondernemingsrecht stelt dat de doelstelling van een onderneming de continuïteit van de onderneming zelf is, alsmede de belangen van alle daarbij betrokkenen. De code-tabaksblat is dat punt van die doelstelling al een beetje aan het oprekken. De code zegt dat de onderneming tot doel heeft om aandeelhouderswaarde te creëren op de lange termijn, met inachtneming van de belangen van alle andere stakeholders. We zijn er nog niet uit hoe we vanuit dat kader de opkomst van de activistische aandeelhouder moeten beoordelen, benadrukte Frijns. In elk geval vindt de commissie dat de macht van de aandeelhouder niet mag betekenen dat de strategie van de onderneming effectief buiten de AVA wordt vastgesteld, en in feite wordt gemaakt door een groep aandeelhouders in plaats van het bestuur van de onderneming. Het bestuur is primair verantwoordelijk voor de strategie van de onderneming, het bestuur heeft ook de verantwoordelijkheid om de belangen af te wegen en is daarop aanspreekbaar. Dat is een willekeurige aandeelhouder niet. Private equity Private equity leidt, volgens Frijns, tot meer noodzakelijke dynamiek in de economie. Maar groei is deels een proces van creatieve destructie, aldus Schumpeter (een Oostenrijks econoom (1883-1950)). Je moet iets kapotmaken om nieuwe dingen te creëren. Daar is ook empirische onderbouwing voor. Studies tonen aan dat private equity gemiddeld leidt tot hogere groei en meer innovatie. Vanuit economisch perspectief zullen er daarom weinig mensen zijn die bezwaar maken tegen private equity. Aan de andere kant zal steeds opnieuw moeten worden bezien of een voorgestelde transactie, zoals de verkoop aan een private-equitypartij, gedreven is door ondernemingsspecifieke argumenten of alleen een arbitragespel van financiële markten is. Frijns: Het betekent dat een bestuur van een onderneming voldoende sterk moet zijn om weerstand te kunnen bieden aan willekeurige overnamepogingen. Een stevig bestuur laat zich niet zomaar wegsturen en laat zich niet dicteren wat het moet doen. De echte boosdoeners zijn niet de private equity clubs, maar de banken die maar al te graag het geld uitlenen. 11

Risicobeheersing en controle De raad van bestuur moet in de vorm van een in control statement onderbouwd verklaren dat de interne risicobeheersingsen controlesystemen op het gebied van de financiële verslagggeving adequaat en effectief zijn en dit jaar goed hebben gefunctioneerd. Internationale ontwikkelingen In de code-tabaksblat staan uitgesproken bepalingen over in control statements. Dat is gevolgd op de invoering van de Sarbanes-Oxley Act in de VS. Ondernemingen moeten verklaren dat de cijfers kloppen, dat het proces waarlangs de cijfers tot stand komen klopt en dat ze daar voor instaan. En als dat niet zo is, dan heeft het bestuur een groot probleem. Er is echter een wereld van verschil tussen het strenge Amerikaanse rule-basedsysteem en de Britse Combined Code, die principle-based en relatief soft is, zo schetste Frijns de verschillen. Een ander verschil is dat de Combined Code erg breed is en niet alleen gaat over de financiële verslaggeving en risico s. De Amerikaanse SEC controleert alleen wat ze ook goed kunnen controleren, maar is wel streng. Als je iets opschrijft moet je het kunnen waarmaken. Dat is de belangrijkste reden waarom Sarbanes-Oxley smal is: het moet afdwingbaar zijn. De grote vraag is natuurlijk welke weg we gaan volgen. De Europese Commissie is er niet uit en komt er volgens deskundigen de komende jaren ook niet uit. Met name niet omdat de Engelsen absoluut niet af willen van de principle-based code en de Duitsers en de Fransen veel meer voelen voor een rule-based systeem. Nederland heeft gekozen voor een code die erg geïnspireerd door de Combined Code uit Engeland: principle-based en breed. Verklaring Tot er overeenstemming is over één Europese code zal de code-tabaksblat wel discussies blijven losmaken. En die discussies kunnen hoog oplopen, zo ondervond de monitoringcommissie. Zo ontstond er ophef over het woordje verklaren in de code-tabaksblat. Toen juristen en accountants beursgenoteerde ondernemingen erop wezen dat verklaren moest worden opgevat zoals het in Sarbanes-Oxley wordt bedoeld was het huis te klein, herinnerde Frijns zich. De monitoringcommissie wil, op het gebied van de financiële verklaringen, inderdaad een positieve verklaring. Het bestuur moet verklaren dat het in control is. De raad van bestuur moet in de vorm van een in control statement onderbouwd verklaren dat de interne risicobeheersings- en controlesystemen op het gebied van de financiële verslaggeving adequaat en effectief zijn en dit jaar goed hebben gefunctioneerd. Ten aanzien van de overige risico s wil de commissie vooral inzicht en juist geen gesloten verklaring. We willen weten wat voor deze onderneming de materiële risico s zijn, legde Frijns uit, in welke mate ze worden beheerst en in welke mate het bestuur ze wil beheersen. Het bestuur is verantwoordelijk en kan zich niet verschuilen achter externe accountants. Het bestuur verklaart. Wij vonden dat een duidelijk standpunt, maar daar wordt nogal verschillend over gedacht. Ook in uw beroepsgroep streeft men naar gesloten verklaringen, in standaardbewoordingen en op basis van een achterliggend reportable proces. 12

Punt van kritiek is bijvoorbeeld dat de voorstellen een duidelijke normstelling ontberen. Dat klopt ook, beaamde Frijns, omdat het gaat om een principe en niet om gesloten normen. Anderen merkten op dat het proces om tot een bestuursverklaring te komen ontbreekt. Ook dat is waar, gaf Frijns toe. Maar de Code vertrouwt hierin op de kwaliteit van de interne checks and balances, en in het bijzonder op de inbreng van de auditcommissie. Er is ook terecht op gewezen dat de rol van externe auditor bij de beheersing van de overige risico s ontbreekt. Sommigen vrezen dat het ontbreken van een duidelijke normstelling tot verwarring leidt bij buitenlandse beleggers en bij sommige ondernemers. Als we dat niet willen, dan moeten we simpelweg allemaal het Amerikaanse systeem, dus SOx, volgen, wees Frijns op de consequenties. Maar dat willen de meeste ondernemers, CFO s en accountants niet. The Book of Rules rules Waar we naartoe convergeren is ook voor de monitoringcommissie nog niet helemaal duidelijk. Het lijkt de kant op te gaan van meer regels. Ook in uw beroepsgroep streeft men naar gesloten verklaringen, in standaardbewoordingen en op basis van een achterliggend reportable proces, kaatste Frijns de bal terug. Uiteindelijk krijg je dan, en ik citeer Jos Streppel (lid van de Raad van Bestuur van AEGON): the Book of Rules rules. Je kunt wel met een principe beginnen en in beginsel open normen hebben, maar in de praktijk blijken principes toch vaak te worden omgezet in een stel gesloten regels en instructies. Aandachtspunten monitoringcommissie We gaan dit jaar in elk geval meer aandacht besteden aan de verhouding tussen aandeelhouder en onderneming, en de rollen van het bestuur, zei Frijns. Het is belangrijk dat de verantwoordelijkheid van het bestuur duidelijk is. Ook de rol van de Commissarissen staat hoog op het prioriteitenlijstje van de commissie. In Nederland staan Commissarissen traditioneel op afstand en blijven ze buiten de relatie tussen aandeelhouder en het ondernemende bestuur. Buitenlandse aandeelhouders hebben daar geen boodschap aan. Die willen met de president-commissaris praten en dat kan hij ook maar beter doen. De Commissaris krijgt een veel zwaardere rol in die verhouding tussen wat de aandeelhouders willen en wat het bestuur van de onderneming wil. Een ander punt waar Frijns dit jaar veel aandacht aan zal besteden zijn de jaarverslagen. We zullen nadrukkelijk gaan bezien hoe de in-controlverklaring is ingevuld, en hoe we tot een goede best practice kunnen komen. Ik wil liever niet naar meer instructies, maar houd het liever redelijk open. 13

Positie internal auditor Deloitte, zei Frijns, vroeg hem om de positie van de internal auditor uit te diepen. Daar was ik snel uit!, zei hij uitdagend. Volgens Tabaksblat heeft de externe auditor een rol in het maatschappelijk verkeer. Hij moet aan de aandeelhouders en de overige stakeholders vertellen dat wat er staat ook klopt. Dat hoeft de internal auditor natuurlijk niet te doen. De rol van internal auditor is afgeleid van de verantwoordelijkheden van het bestuur. De verantwoordelijkheden van het bestuur staan in Tabaksblat duidelijk omschreven. Het bestuur moet zorgen dat de financiële rapportage klopt, moet zorgen dat de risico s juist in kaart zijn gebracht en goed beheerst worden, en moet zorgen dat de onderneming compliant is. De verantwoordelijkheden van de internal auditor zijn daarvan afgeleid. De internal auditor werkt voor het bestuur. Hij heeft natuurlijk wel een speciale positie, in die zin dat hij een rechtstreekse lijn heeft met de auditcommissie. Hij zal ook naar de auditcommissie moeten gaan als hij dingen tegenkomt die niet kloppen. Als er zaken fout zitten in de onderneming en de voorzitter van het bestuur reageert er niet op, dan zal hij - vanuit zijn beroepsethiek, maar ook volgens de code - de voorzitter van de auditcommissie op de hoogte moeten brengen. Binnen de onderneming is hij onafhankelijk. Zijn taak in het proces van financiële verslaggeving is, aldus Frijns, ervoor te zorgen dat alle financiële cijfers op de juiste wijze tot stand komen. Hij zal een audit moeten doen op de interne risico s. Dat is denk ik wel een taak die iedereen ogenblikkelijk zal onderschrijven. Dat geldt ook voor compliance. De internal auditor is niet de compliance officer. Die zit midden in het proces en doet ook vaak al preventieve ingrepen. Maar de auditor moet wel kijken of dat proces van compliance goed is ingericht en of het goed werkt. Een vraag die ik nog aan de orde zou willen stellen is of een internal auditor ook moet kijken naar de strategische risico s en de risico s van de financiële structuur. Als hij zich daar niet voor gekwalificeerd voelt, moet hij het vooral niet doen. Als je de functie breed invult, moet wel duidelijk zijn of de accountantsopleiding adequaat is. Hetzelfde geldt voor de complianceopleiding. Ondernemingen staan tegenwoordig volledig open voor de financiële markten. Er worden zowel goede als kwade dingen van de financiële markt geïmporteerd, en het is dus belangrijk om te begrijpen hoe dat werkt. 14

Uitdagingen internal auditor We leven momenteel in een omgeving die steeds meer regels dwingend voorschrijft. Ondernemerschap Ondernemen is risico nemen, dat is de kern van het ondernemen. Aan de andere kant kan het interne risicomanagement zo zwaar worden opgetuigd dat het het ondernemen in de weg staat. Dat argument wordt wel gebruikt voor een principle-based benadering. Kees Cools publiceerde onlangs Controle is goed, vertrouwen is beter. Cools betoogt dat controle geen waarde toevoegt, legt Frijns uit. Mensen gaan meer waarde toevoegen als ze ook vertrouwen hebben of krijgen. We leven momenteel in een omgeving die steeds meer regels dwingend voorschrijft. Uitdaging Ik vind zelf dat het een taak voor de internal auditor is om een goede mix van principes en regels te vinden. En dat is per onderneming anders. Het hangt er heel sterk vanaf hoe coherent die onderneming is. Hoe sterk de cultuur is. Of je meer op regels of meer op principes moet kunnen vertrouwen. Het is een uitdaging voor die interne auditor om daarin mee te denken. Het is een beetje soft talk, maar het is niettemin essentieel. Kwaliteit Welke eisen moeten we stellen aan internal audit? Frijns: Een internal auditor dient niet alleen kennis te hebben van administratieve organisatie en controleprocessen. Hij moet die bedrijfsprocessen kennen en hij moet die operational audits kunnen doen. Maar mogen we ook verlangen dat een internal auditor in staat is om risico s te kwantificeren? De enige ondernemingen die risico s kwantificeren zijn banken en verzekeraars. Hoe breed het takenpakket van de internal auditor moet zijn blijft een lastig punt. Positie Het is duidelijk dat de internal auditor een sterkere positie krijgt in de organisatie door externe legitimatie. Hij moet samenwerken met control en met compliance. Het mag echter niet zo zijn dat er een compliancemodel is en een intern risicomodel en nog een intern rapportagemodel die alle drie los van elkaar staan. Dat leidt alleen maar tot ondoorzichtigheid. Misschien wordt het tijd om met alle aparte disciplines eens gezamenlijk dingen te ontwikkelen. 15

Schets huidige situatie 16

De betekenis van internal audit wordt zwaar onderschat. De zaaldiscussie werd geleid door Jeroen Smit. Om erachter te komen hoe internal auditors de huidige situatie in hun vakgebied inschatten, vroeg Smit ze om te reageren op een aantal stellingen. Het publiek kon niet alleen stemmen, maar ook mondeling reageren. "Bedrijven investeren fors in internal audit, maar daar zie je in het nationale debat helemaal niks van terug." Jeroen Smit (1963) begon in 1990 zijn journalistieke carrière bij Het Financieele Dagblad en was achtereenvolgens chef economie van het Algemeen Dagblad en hoofdredacteur van FEM/deWeek. In 2004 schreef hij de bestseller Het drama Ahold. Naast publicist en commentator is Smit ook presentator bij BNR Nieuwsradio. Ruimte voor ondernemerschap? Om eerlijk te zijn is internal audit voor mij, als relatieve buitenstaander, altijd nogal ongrijpbaar geweest. Het zal dus leerzaam worden vandaag, opende Smit de zaaldiscussie. Hij constateerde dat Frijns weliswaar had geschetst in welke richting internal audit zich naar zijn idee ontwikkelt, maar dat er van eenduidigheid nog geen sprake is. Er zijn totaal verschillende internal auditors. Gisteren hoorde ik ook de opmerking: De grote schandalen ontstaan in de boardroom en daar komen internal auditors nu niet. Ik begrijp niet alles van jullie vak, maar het is me wel duidelijk dat het belangrijk is. Als het lukt om dingen intern op orde te krijgen, is iedereen daarbij gebaat. Frijns zegt: Ondernemen is risico lopen. De bereidheid om risico te nemen is de laatste jaren echter sterk beperkt door angst. Ligt hier nu niet een taak voor de internal auditor, om de ruimte voor ondernemerschap zo groot mogelijk te houden? Angelsaksisch denken Navraag in de zaal leerde dat een grote meerderheid vond dat Frijns in zijn analyse de goede richting aangaf, hoewel niet iedereen het met die richting eens was. Zoals een van de deelnemers opmerkte: Frijns geeft aan dat de aandeelhouder meer een primaire stakeholder wordt. Met die vorm van Angelsaksisch denken heb ik moeite. Iemand anders miste duidelijke richtlijnen in Frijns verhaal: Ik kreeg de indruk dat we het zelf maar moeten uitzoeken en we maar moeten doen wat ons het beste dunkt. Een derde discussiant miste wat Frijns zelf verwacht van internal audit. Ik had graag gezien dat hij stelling had genomen. De bereidheid om risico te nemen is de laatste jaren sterk beperkt door angst. Frijns vroeg zich een paar keer af of jullie wel breed genoeg zijn, merkte Smit op. Waarop een deelnemer antwoordde: Als je kijkt naar de hele governance-discussie, dan zie je dat bedrijven fors investeren in internal audit, maar daar zie je in het nationale debat helemaal niks van terug. De betekenis van internal audit wordt zwaar onderschat. Laten we eerst die discussie maar eens op tafel leggen, dan kijken we daarna wel verder. 17

Stelling 1: Ik ben in de eerste plaats een sparringpartner van de board. De meningen over deze stelling waren nogal verdeeld. Interessant was dat niemand had aangegeven geen mening te hebben. Blijkbaar leeft het onderwerp dus. Uiteindelijk was iets meer dan de helft van de aanwezigen het met de stelling eens. Een paar reacties uit de zaal: Ik ben het er helemaal mee oneens. De board is bezig met marketing, productontwikkeling enzovoort. Hoe kan ik daar als internal auditor een sparringpartner zijn? Wel op mijn eigen vakgebied, natuurlijk. Je ziet nu door alle druk op de Raad van Bestuur in verband met schandalen en dergelijke dat internal audit hoog op de agenda staat. Ik zit bijna wekelijks met de Raad van Bestuur om de tafel. Mensen in de business willen vooruit, zei Smit. Ze hebben over het algemeen een hekel aan regeltjes en wetjes. Als je sparringpartner wilt zijn, moet je dan niet de taal van de business spreken? Dat is juist het voordeel van internal auditors, zei iemand uit de zaal. Wij zitten continu bij de bedrijven zelf. Het hoger management is over het algemeen wel enthousiast over internal audit: zij staan in de wind. Bij het lagere management is het soms lastiger. De vraag of je sparringpartner bent, hangt af van de vraag of je pro-actief bezig bent in de business of dat je alleen bezig bent om ongelukken te voorkomen. Als je sparringpartner wilt zijn, moet je dan niet de taal van de business spreken? 18

Stelling 2: Ik ben eerst onafhankelijk, daarna coöperatief. Iedereen was het in meer of mindere mate met deze stelling eens. Wat, volgens Smit, de vraag oproept hoe hard je kunt bijten in de hand die je voedt. Een paar reacties uit de zaal: Onafhankelijkheid is heel belangrijk. Maar ik denk dat de meeste auditors zeggen: Ik ben coöperatief met inachtneming van mijn onafhankelijkheid. Het belang van de onderneming staat voorop. Mijn organisatie is juist heel blij dat onafhankelijkheid voorop staat. Dat is helder en duidelijk. Die expliciete rol wordt gewaardeerd. Als je eerst coöperatief bent, brengt dat het gevaar met zich mee dat je zelf al gaat verklaren waarom zaken lopen zoals ze lopen. Je moet eerst sec constateren. Er speelt nu een discussie op de IIA-site (Instituut van Internal Auditors Nederland) over de uiterste houdbaarheidsdatum van een hoofd internal audit. De balans tussen onafhankelijkheid en samenwerking is belangrijk. Ik werk nu bij een bedrijf met meer dan 10.000 medewerkers. Dat bedrijf heeft een clubje mensen in Chili zitten die eigenlijk de ogen en oren van het bestuur zijn. Als die heel coöperatief zijn en zaken onder de mat vegen, dan gaat het mis. Zij moeten onafhankelijk zijn en signaleren. Aan de andere kant zijn er ook mensen die hun onafhankelijkheid misbruiken door hun mond te houden en zo meer geld op te strijken. Je moet opereren naast de Raad van Bestuur, zodat de Raad van Bestuur het plaatje krijgt zoals het hoort. Ik ben als internal auditor luid en duidelijk aanwezig. Als je namens internal audit te diep in een project duikt, is de vraag of je nog de guts hebt om bijvoorbeeld te zeggen: dit systeem is knudde. 19

Stelling 3: Ik ben een voorstander van SOx. Niet alle internal auditors werken bij organisaties waar SOx verplicht is. Wellicht verklaart dat waarom de groep die zich nog geen mening had kunnen vormen een respectabele 20% vertegenwoordigde. Desondanks wees een kleine meerderheid deze stelling af. Een paar reacties uit de zaal: Het nut is te beperkt voor de hoeveelheid tijd die het kost. SOx draagt wel bij aan transparantie. Bij een bedrijf van 13.000 medewerkers hebben wij SOx-light ingevoerd. Dat werkt. Ik ben geen voorstander van SOx, wel van de principes erachter. Het gaat langzamer dan je zou willen. Het kost veel te veel geld en de codes zijn te weinig gericht op de Raad van Bestuur. Sinds SOx kun je niet meer zeggen: Ik ben wel verantwoordelijk, maar niet schuldig. Verantwoordelijk = schuldig. Dat is een belangrijk voordeel. 20