Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree

de CEO zodat de stijl wat verandert. Dat heeft dan meer relevantie.”
In wezen betreft het organiseren van de internal auditfunctie dus het
vinden van de juiste balans?
“Een van de mooiste voorbeelden van hoe het zou moeten werken
heb ik meer dan twintig jaar geleden gezien bij Monsanto.
Daar had je een Internal Audit die voor een kwart bestond uit
beroeps internal auditors en voor driekwart uit andere personeelsleden,
tijdelijk in het kader van hun management developmenttraject.
Daardoor bereikte je twee dingen, a. de Internal
Audit verkokerde niet, hield zich niet met zelfbevrediging bezig,
en b. de auditappreciatie bij de rest van het management nam toe.
Allebei elementen om het goed te doen. Of het nu Internal Audit
heet of iets anders, of je certificaten hebt of dat je drie, vier titels
achter je naam zet – van het imperium opbouwen word ik altijd
een beetje kriegel. Essentieel is dat je toegevoegde waarde hebt
in controlesituaties. Idealiter, afhankelijk van de situatie, denk ik
dat er een bepaalde balans moet zijn tussen cyclische en adhocaudits,
in de zin van kortetermijnverzoeken
van het
management of anderszins
naar iets speciaals.”
Wat vindt u van de verschuiving
tussen operational en
financial audit?
“Als financial audit niet
meer aanwezig is, dan is het
niet goed. Er moeten financial
audit skills binnen Internal Audit zijn omdat je de taal van de
financiële rapportage moet kunnen verstaan, anders loop je het
risico om te veel in de silo te komen. Door SOx zie je de weg
terug. Een beweging van operational naar financial audit. En
terecht! Het gaat ook om de balans tussen operational en financial
audit. Ik ben bang voor al die te veel gemoduleerde, te veel apart
optredende clubs. Je hebt een veel sterkere compliance-afdeling
dan tien jaar geleden. Je hebt een aparte operation risk managementclub
– ook in verband met Basel II – je hebt een financiële
administratie en de controle die daar bij past en je hebt een internal
auditteam. Als die gezelschappen niet op de een of andere
manier samenwerken of dingen afstemmen of soms dingen
samen doen, dan krijg je een gedrocht van een organisatie. Maar
alsjeblieft geen aparte lijnen zoals in de medische wereld waar
specialisten god zijn in hun eigen koninkrijk, want dan loop je
grote risico’s als de patiënt meerdere problemen heeft, de een
geeft je dit, de ander iets dat daar averechts op werkt... Daar
word je niet beter van.”
Wat is de rol van de commissaris in het sturen van de internal auditfunctie?
“Ik hoor altijd hetzelfde verhaal, dat de auditcommissie de baas
van de internal auditors moet zijn omdat ze in de hele organisatie
zitten. Onzin! In de situaties waar ik mee te maken heb zijn
AUDIT magazine
visie op internal audit
auditcommissies en voorzitters daarvan niet de baas van de internal
auditors. Het feit dat de internal auditor bij de auditcommissie
zit betekent natuurlijk toch dat de auditcommissie meebepaalt
hoe hij werkt en wat er met hem gebeurt. Kwartaalverslagen van
internal audits die toegepast zijn, resultaten daarvan, het jaarplan,
de risicogebieden waarnaar gekeken wordt, soms suggesties
die opkomen naar aanleiding van ad hoc internal audits – het
is allemaal in de auditcommissie aan de orde. Overigens zit wat
mij betreft de CEO ook altijd bij de auditcommissie, tenzij er
conflicterende dingen zijn.”
Hoe kan voorkomen worden dat onduidelijkheid ontstaat over het
opdrachtgeverschap van de internal auditfunctie?
“Er is eenheid van leiding in de organisatie nodig en dat betekent
dat internal auditors geen twee bazen moeten hebben. Dus je
moet ook als commissaris je plaats weten. Maar de manier waarop
je dan functioneert hoeft niet te betekenen dat je als auditcommissie
geen invloed hebt. Ik vind dat je de zaken niet altijd
te principieel of te orthodox moet benaderen. Als je bijvoorbeeld
Het feit dat de internal auditor bij de auditcommissie
zit betekent natuurlijk toch dat de auditcommissie
meebepaalt hoe hij werkt en wat er met hem gebeurt
in de vergadering van de auditcommissie constateert dat een aantal
dingen niet zo lekker gelopen is – in een acquisitie bijvoorbeeld
– dan moet daar iets aan gebeuren. Een van de potentiële
instrumenten die je hebt is de internal auditor erop af sturen.
Een ander voorbeeld. Je weet van een meerjarig IT-project waarvan
je in de loop der jaren al hebt gezien dat het meer kost en
potentieel minder oplevert dan geraamd. Laat dan de internal
auditor ernaar kijken: hoe zit dat in elkaar? Welke vragen er ook
zijn ten aanzien van een bepaald project, ik vind het niet verkeerd
om de internal auditor te vragen om daar iemand bij te zetten
die via een bepaalde monitoring scant: is dat in control, wat
is de governance van dat project, hoe is het ingebed, wat gebeurt
er met de producten die er uitkomen, et cetera.”
Kunnen internal auditors ook nog wat leren van de manier van werken
van de auditcommissie?
“Zeker, een goed element van de praktijk van de auditcommissie is
dat ‘we’ daar allemaal samen om tafel zitten en dat je gewoon
praat over de problemen en wat daar aan te doen is. Dat maakt dat
een deel van die oude gebiedenstrijd verdwijnt. Niemand aan tafel,
ook de internal auditor niet, kan het zich nog permitteren om te
weigeren om samen te werken. Ontsnappen kan niet meer.”
nummer 5 december 2008
35