Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
Continuous auditing en de (veranderde) rol van de IAD ... - Lime Tree
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>de</strong> CEO zodat <strong>de</strong> stijl wat veran<strong>de</strong>rt. Dat heeft dan meer rele<strong>van</strong>tie.”<br />
In wez<strong>en</strong> betreft het organiser<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie dus het<br />
vind<strong>en</strong> <strong>van</strong> <strong>de</strong> juiste balans?<br />
“E<strong>en</strong> <strong>van</strong> <strong>de</strong> mooiste voorbeeld<strong>en</strong> <strong>van</strong> hoe het zou moet<strong>en</strong> werk<strong>en</strong><br />
heb ik meer dan twintig jaar geled<strong>en</strong> gezi<strong>en</strong> bij Monsanto.<br />
Daar had je e<strong>en</strong> Internal Audit die voor e<strong>en</strong> kwart bestond uit<br />
beroeps internal auditors <strong>en</strong> voor driekwart uit an<strong>de</strong>re personeelsled<strong>en</strong>,<br />
tij<strong>de</strong>lijk in het ka<strong>de</strong>r <strong>van</strong> hun managem<strong>en</strong>t <strong>de</strong>velopm<strong>en</strong>ttraject.<br />
Daardoor bereikte je twee ding<strong>en</strong>, a. <strong>de</strong> Internal<br />
Audit verkoker<strong>de</strong> niet, hield zich niet met zelfbevrediging bezig,<br />
<strong>en</strong> b. <strong>de</strong> auditappreciatie bij <strong>de</strong> rest <strong>van</strong> het managem<strong>en</strong>t nam toe.<br />
Allebei elem<strong>en</strong>t<strong>en</strong> om het goed te do<strong>en</strong>. Of het nu Internal Audit<br />
heet of iets an<strong>de</strong>rs, of je certificat<strong>en</strong> hebt of dat je drie, vier titels<br />
achter je naam zet – <strong>van</strong> het imperium opbouw<strong>en</strong> word ik altijd<br />
e<strong>en</strong> beetje kriegel. Ess<strong>en</strong>tieel is dat je toegevoeg<strong>de</strong> waar<strong>de</strong> hebt<br />
in cont<strong>rol</strong>esituaties. I<strong>de</strong>aliter, afhankelijk <strong>van</strong> <strong>de</strong> situatie, d<strong>en</strong>k ik<br />
dat er e<strong>en</strong> bepaal<strong>de</strong> balans moet zijn tuss<strong>en</strong> cyclische <strong>en</strong> adhocaudits,<br />
in <strong>de</strong> zin <strong>van</strong> kortetermijnverzoek<strong>en</strong><br />
<strong>van</strong> het<br />
managem<strong>en</strong>t of an<strong>de</strong>rszins<br />
naar iets speciaals.”<br />
Wat vindt u <strong>van</strong> <strong>de</strong> verschuiving<br />
tuss<strong>en</strong> operational <strong>en</strong><br />
financial audit?<br />
“Als financial audit niet<br />
meer aanwezig is, dan is het<br />
niet goed. Er moet<strong>en</strong> financial<br />
audit skills binn<strong>en</strong> Internal Audit zijn omdat je <strong>de</strong> taal <strong>van</strong> <strong>de</strong><br />
financiële rapportage moet kunn<strong>en</strong> verstaan, an<strong>de</strong>rs loop je het<br />
risico om te veel in <strong>de</strong> silo te kom<strong>en</strong>. Door SOx zie je <strong>de</strong> weg<br />
terug. E<strong>en</strong> beweging <strong>van</strong> operational naar financial audit. En<br />
terecht! Het gaat ook om <strong>de</strong> balans tuss<strong>en</strong> operational <strong>en</strong> financial<br />
audit. Ik b<strong>en</strong> bang voor al die te veel gemoduleer<strong>de</strong>, te veel apart<br />
optred<strong>en</strong><strong>de</strong> clubs. Je hebt e<strong>en</strong> veel sterkere compliance-af<strong>de</strong>ling<br />
dan ti<strong>en</strong> jaar geled<strong>en</strong>. Je hebt e<strong>en</strong> aparte operation risk managem<strong>en</strong>tclub<br />
– ook in verband met Basel II – je hebt e<strong>en</strong> financiële<br />
administratie <strong>en</strong> <strong>de</strong> cont<strong>rol</strong>e die daar bij past <strong>en</strong> je hebt e<strong>en</strong> internal<br />
auditteam. Als die gezelschapp<strong>en</strong> niet op <strong>de</strong> e<strong>en</strong> of an<strong>de</strong>re<br />
manier sam<strong>en</strong>werk<strong>en</strong> of ding<strong>en</strong> afstemm<strong>en</strong> of soms ding<strong>en</strong><br />
sam<strong>en</strong> do<strong>en</strong>, dan krijg je e<strong>en</strong> gedrocht <strong>van</strong> e<strong>en</strong> organisatie. Maar<br />
alsjeblieft ge<strong>en</strong> aparte lijn<strong>en</strong> zoals in <strong>de</strong> medische wereld waar<br />
specialist<strong>en</strong> god zijn in hun eig<strong>en</strong> koninkrijk, want dan loop je<br />
grote risico’s als <strong>de</strong> patiënt meer<strong>de</strong>re problem<strong>en</strong> heeft, <strong>de</strong> e<strong>en</strong><br />
geeft je dit, <strong>de</strong> an<strong>de</strong>r iets dat daar averechts op werkt... Daar<br />
word je niet beter <strong>van</strong>.”<br />
Wat is <strong>de</strong> <strong>rol</strong> <strong>van</strong> <strong>de</strong> commissaris in het stur<strong>en</strong> <strong>van</strong> <strong>de</strong> internal auditfunctie?<br />
“Ik hoor altijd hetzelf<strong>de</strong> verhaal, dat <strong>de</strong> auditcommissie <strong>de</strong> baas<br />
<strong>van</strong> <strong>de</strong> internal auditors moet zijn omdat ze in <strong>de</strong> hele organisatie<br />
zitt<strong>en</strong>. Onzin! In <strong>de</strong> situaties waar ik mee te mak<strong>en</strong> heb zijn<br />
AUDIT magazine<br />
visie op internal audit<br />
auditcommissies <strong>en</strong> voorzitters daar<strong>van</strong> niet <strong>de</strong> baas <strong>van</strong> <strong>de</strong> internal<br />
auditors. Het feit dat <strong>de</strong> internal auditor bij <strong>de</strong> auditcommissie<br />
zit betek<strong>en</strong>t natuurlijk toch dat <strong>de</strong> auditcommissie meebepaalt<br />
hoe hij werkt <strong>en</strong> wat er met hem gebeurt. Kwartaalverslag<strong>en</strong> <strong>van</strong><br />
internal audits die toegepast zijn, resultat<strong>en</strong> daar<strong>van</strong>, het jaarplan,<br />
<strong>de</strong> risicogebied<strong>en</strong> waarnaar gekek<strong>en</strong> wordt, soms suggesties<br />
die opkom<strong>en</strong> naar aanleiding <strong>van</strong> ad hoc internal audits – het<br />
is allemaal in <strong>de</strong> auditcommissie aan <strong>de</strong> or<strong>de</strong>. Overig<strong>en</strong>s zit wat<br />
mij betreft <strong>de</strong> CEO ook altijd bij <strong>de</strong> auditcommissie, t<strong>en</strong>zij er<br />
conflicter<strong>en</strong><strong>de</strong> ding<strong>en</strong> zijn.”<br />
Hoe kan voorkom<strong>en</strong> word<strong>en</strong> dat ondui<strong>de</strong>lijkheid ontstaat over het<br />
opdrachtgeverschap <strong>van</strong> <strong>de</strong> internal auditfunctie?<br />
“Er is e<strong>en</strong>heid <strong>van</strong> leiding in <strong>de</strong> organisatie nodig <strong>en</strong> dat betek<strong>en</strong>t<br />
dat internal auditors ge<strong>en</strong> twee baz<strong>en</strong> moet<strong>en</strong> hebb<strong>en</strong>. Dus je<br />
moet ook als commissaris je plaats wet<strong>en</strong>. Maar <strong>de</strong> manier waarop<br />
je dan functioneert hoeft niet te betek<strong>en</strong><strong>en</strong> dat je als auditcommissie<br />
ge<strong>en</strong> invloed hebt. Ik vind dat je <strong>de</strong> zak<strong>en</strong> niet altijd<br />
te principieel of te orthodox moet b<strong>en</strong>a<strong>de</strong>r<strong>en</strong>. Als je bijvoorbeeld<br />
Het feit dat <strong>de</strong> internal auditor bij <strong>de</strong> auditcommissie<br />
zit betek<strong>en</strong>t natuurlijk toch dat <strong>de</strong> auditcommissie<br />
meebepaalt hoe hij werkt <strong>en</strong> wat er met hem gebeurt<br />
in <strong>de</strong> verga<strong>de</strong>ring <strong>van</strong> <strong>de</strong> auditcommissie constateert dat e<strong>en</strong> aantal<br />
ding<strong>en</strong> niet zo lekker gelop<strong>en</strong> is – in e<strong>en</strong> acquisitie bijvoorbeeld<br />
– dan moet daar iets aan gebeur<strong>en</strong>. E<strong>en</strong> <strong>van</strong> <strong>de</strong> pot<strong>en</strong>tiële<br />
instrum<strong>en</strong>t<strong>en</strong> die je hebt is <strong>de</strong> internal auditor erop af stur<strong>en</strong>.<br />
E<strong>en</strong> an<strong>de</strong>r voorbeeld. Je weet <strong>van</strong> e<strong>en</strong> meerjarig IT-project waar<strong>van</strong><br />
je in <strong>de</strong> loop <strong>de</strong>r jar<strong>en</strong> al hebt gezi<strong>en</strong> dat het meer kost <strong>en</strong><br />
pot<strong>en</strong>tieel min<strong>de</strong>r oplevert dan geraamd. Laat dan <strong>de</strong> internal<br />
auditor ernaar kijk<strong>en</strong>: hoe zit dat in elkaar? Welke vrag<strong>en</strong> er ook<br />
zijn t<strong>en</strong> aanzi<strong>en</strong> <strong>van</strong> e<strong>en</strong> bepaald project, ik vind het niet verkeerd<br />
om <strong>de</strong> internal auditor te vrag<strong>en</strong> om daar iemand bij te zett<strong>en</strong><br />
die via e<strong>en</strong> bepaal<strong>de</strong> monitoring scant: is dat in cont<strong>rol</strong>, wat<br />
is <strong>de</strong> governance <strong>van</strong> dat project, hoe is het ingebed, wat gebeurt<br />
er met <strong>de</strong> product<strong>en</strong> die er uitkom<strong>en</strong>, et cetera.”<br />
Kunn<strong>en</strong> internal auditors ook nog wat ler<strong>en</strong> <strong>van</strong> <strong>de</strong> manier <strong>van</strong> werk<strong>en</strong><br />
<strong>van</strong> <strong>de</strong> auditcommissie?<br />
“Zeker, e<strong>en</strong> goed elem<strong>en</strong>t <strong>van</strong> <strong>de</strong> praktijk <strong>van</strong> <strong>de</strong> auditcommissie is<br />
dat ‘we’ daar allemaal sam<strong>en</strong> om tafel zitt<strong>en</strong> <strong>en</strong> dat je gewoon<br />
praat over <strong>de</strong> problem<strong>en</strong> <strong>en</strong> wat daar aan te do<strong>en</strong> is. Dat maakt dat<br />
e<strong>en</strong> <strong>de</strong>el <strong>van</strong> die ou<strong>de</strong> gebied<strong>en</strong>strijd verdwijnt. Niemand aan tafel,<br />
ook <strong>de</strong> internal auditor niet, kan het zich nog permitter<strong>en</strong> om te<br />
weiger<strong>en</strong> om sam<strong>en</strong> te werk<strong>en</strong>. Ontsnapp<strong>en</strong> kan niet meer.”<br />
nummer 5 <strong>de</strong>cember 2008<br />
35