Magazine voor internal en operational auditors
nummer 1 maart 2006
thema:
Ontwikkelingen in financial audit Interne en externe accountant: meer samenwerking nodig Nieuwe International Auditing Standards vereisen aanpassingen Ken uw grenzen bij beheersing frauderisico
TeamMate, de keuze van ruim 39.000 internal auditors.* TeamRisk
TeamMateEWP
een uitgebreide en flexibele tool die u, middels een op risicoanalyse gebaseerde aanpak, helpt bij het opstellen en uitvoeren van uw auditjaarplan.
een veelomvattend en op unieke wijze geïntegreerd systeem voor het elektronisch vastleggen van auditwerkzaamheden.
TeamSchedule
TeamCentral
een indrukwekkende tool voor de planning van audits en auditors.
een web-based systeem voor het bewaken van gerapporteerde uitzonderingen en het opstellen van managementrapportages over uitgevoerde audits.
TeamMate TEC een web-based systeem dat u in staat stelt een uren- en kostenregistratie te voeren voor uitgevoerde audits.
Het bekroonde en brede productaanbod van TeamMate, van risicoanalyse en auditplanning tot het bewaken van gerapporteerde uitzonderingen, is wereldwijd de keuze van ruim 39.000 internal auditors. Voor meer informatie over de modules van TeamMate kijkt u op pwc.com/teammate of neemt u contact op met Cuno de Witte, e-mail:
[email protected], telefoon: (020) 568 63 92 of Eva de Mooij, e-mail:
[email protected], telefoon: (020) 568 70 52.
*connectedthinking™ ©2006 PricewaterhouseCoopers. Alle rechten voorbehouden.
van de redactie
Ontwikkelingen in financial audit
Een interessante vraag die zich voordoet, is hoe de internal auditors omgaan met deze gewijzigde koers en wat deze ontwikkelingen betekenen voor de benodigde competenties voor de auditor. Hoe duurzaam is de ommekeer naar de financial audit? Ook andere ontwikkelingen zouden ons wakker moeten houden, zoals de nieuwe frauderichtlijn, de operational audit frameworks van COSO II en het auditen van de informatiesystemen. Of blijven we die als een black box bekijken?
Audit Magazine geeft u met dit eerste nummer van 2006 enkele boeiende inzichten in de ontwikkelingen in de wereld die financial audit heet. We doen dit met een gedeeltelijk nieuwe bezetting. Karin Laker, Reinier Kamstra, Laszlo Nagy en Rick Mulders zijn de redactie komen versterken. Sander Weisz is toegetreden tot het VRObestuur en heeft inmiddels afscheid genomen. Veel succes Sander! De redactie van Audit Magazine
Ronald Jansen Rick Mulders
Karin Laker
Ronald de Ruiter
Johan Hundertmark Reinier Kamstra
Arjen van Nes voorzitter
Het nummer van Audit Magazine dat voor u ligt gaat in op een aantal facetten van de
financial audit. De zich wijzigende relatie tussen externe accountant en interne auditor is het startpunt van waaruit wordt ingegaan op de nieuwe ISA-standaarden, waarna een korte duik wordt genomen in de IFRS-regelgeving. Verder wordt stilgestaan bij de nieuwe frauderichtlijn.
Laszlo Nagy
Op het terrein van financial audit hebben zich de afgelopen jaren belangwekkende ontwikkelingen voorgedaan die voor u als interne auditor ook van belang zijn en wellicht een grote impact op uw werkzaamheden hebben. De invoering van de nieuwe International Financial Reporting
Standards (IFRS) en de implementatie van Sarbanes Oxley 404 zijn er slechts twee die zeer duidelijk hun sporen hebben nagelaten in het huidige takenpakket van de auditor.
Montiano Blom
De jaarrekeningen 2005 van ondernemingen zijn zeker in deze periode een geliefd onderwerp op de financiële pagina’s van de kranten. Het management presenteert de resultaten van het afgelopen jaar en geeft tevens een schot voor de boeg omtrent de verwachtingen voor het komende jaar. Hierbij is de rol van de auditor, zowel de interne als externe, van cruciale betekenis. In menig onderneming ontmoeten de externe accountant en de interne auditor elkaar veelvuldig en intensief, juist op het terrein van de audit van financiële informatie
AUDIT magazine
nummer 1 maart 2006
3
Auditors Als auditor bij ING weet je zeker dat je in een
Spreken goede arbeidsvoorwaarden, veelzijdig
inspirerende werkomgeving terechtkomt.
werk en de mogelijkheid om jezelf te ontwikkelen
ING Corporate Audit Services (CAS) verricht
je aan? Zet dan een volgende stap in je Audit
Financial, Operational, IT en Compliance Audits
carrière bij ING Corporate Audit Services.
binnen de internationale werkomgeving van ING.
Ook als je nog bezig bent met een relevante
ING is groot genoeg voor jouw ambities en
opleiding nodigen we je van harte uit om te
persoonlijk genoeg om daarnaast ook ruime
solliciteren.
aandacht te hebben voor coaching en loopbaanontwikkeling.
Desi Kimmins, Recruiter, (020) 576 02 22.
Heb je een relevante opleiding en Audit-ervaring?
actief op het gebied van bankieren, verzekeren en
bij bekende merken als Nationale-Nederlanden, de Postbank, ING Bank en RVS. De veelzijdigheid van ING staat garant voor een grote diversiteit aan mensen, functies en loopbaanmogelijkheden. Maar hoe veelzijdig ING ook is, alle medewerkers hebben wel een aantal
wij diverse vacatures voor Senior Auditors, Auditors, en (Assistant) Audit Managers.
instelling. Wereldwijd zijn zo'n 114.000 medewerkers
vermogensbeheer. 33.000 van hen werken in Nederland
Solliciteren kan via onze site: www.ing.nl/werken. Voor vragen kun je contact opnemen met
In Amsterdam, Rotterdam en Den Haag hebben
ING is een internationaal opererende financiële
eigenschappen gemeen: ze zijn proactief, klantgericht,
Acquisitie naar aanleiding van deze advertentie wordt niet op prijs gesteld.
oprecht en open. Spreekt dit jou aan? Ontdek dan je mogelijkheden bij ING.
@#
inhoud Ontwikkelingen in financial audit Internal en external auditors: verschillende rol, gemeenschappelijk belang pag 6 Het lijkt of SOx de afstand tussen interne en externe accountants vergroot. Een goede zaak? Philip Wallage, hoogleraar Accountantscontrole en partner Department of Professional Practice bij KPMG, vindt van niet. “In het maatschappelijk verkeer lopen hun belangen parallel.”
Nieuwe controlestandaarden voor de financial audit pag 9 Nieuwe controlestandaarden betekenen dat accountants in een controlefunctie hun auditstrategie op onderdelen moeten herzien. Het biedt internal auditors en de externe accountant een unieke aanleiding om de samenwerking te herijken. Rik Roos (Deloitte) geeft een overzicht van de actuele ontwikkelingen.
De onmisbare rol van de interne accountant bij fraudebeheersing pag 14 Fraude raakt direct de financiële verantwoording. Maar het is niet alleen aan de externe accountant om frauderisico’s te onderkennen, de gevolgen te voorkomen of tijdig te ontdekken. Binnen de huishouding van de gecontroleerde kunnen interne accountants van grote waarde blijken, aldus Peter Schimmel (Ernst & Young).
IFRS: de nieuwe boekhoudregels voor (internationale) jaarverslaggeving pag 17 IFRS staat voor International Financial Reporting Standards. Maar wat houdt dat nu precies in? Audit Magazine zocht Jan Backhuijs (PWC) op, die haarfijn uitlegt wat de impact van deze nieuwe ‘boekhoudregels’ is.
Nieuw COSO-raamwerk lost problemen niet op pag 20 In 2004 publiceerde COSO haar raamwerk voor ‘Enterprise Risk Management’. Harmen Faber en Cees Visser (Ernst & Young) vragen zich af of dit raamwerk wel meerwaarde biedt.
Hoe houdt u het CBP buiten de deur? (2) pag 24 In het vorige nummer van Audit Magazine heeft Gilles van Blarkom (CBP) u ingelicht over de rol van het College Bescherming Persoonsgegevens bij de handhaving van de Wet Bescherming Persoonsgegevens en de instrumenten die zij daar voor inzet. Deel twee gaat nader in op het Raamwerk Privacy Audit en de handreiking.
Van vork tot pork: over auditing van voedselveiligheid op wereldschaal pag 29 Voedselveiligheid is door de BSE- en dioxinecrisis hoger op de agenda van retailers van levensmiddelen komen te staan. “Levensmiddelen en met name versproducten, is een risky business”, stelt Fons Schmid (Ahold). Hij kan het weten, want hij houdt zich al ruim twintig jaar bezig met voedselveiligheid.
rubrieken De mens achter de auditor Column van de sponsor Company level controls Verenigingsnieuws Nieuws van de opleidingen Boekalert De overstap Boekbespreking Round Table GAIN-werkgroep Trade, Industry and Services pag 54 Column Bob van Kuijck pag 34 pag 37 pag 38 pag 42 pag 44 pag 46 pag 48 pag 50 pag 52
COLOFON Audit Magazine wordt uitgebracht namens Het Instituut van Internal Auditors Nederland (IIA Nederland), tevens eigenaar van het magazine, en de Vereniging van Register Operational Auditors (VRO). De redactie nodigt lezers uit een bijdrage te leveren aan Audit Magazine. Bijdragen kunnen worden gemaild aan:
[email protected] Redactieraad: drs. W.J. Bos RO, Th. Smit RA CIA (voorzitter IIA Nederland), G.M. van Gameren RA RO (voorzitter VRO) Redactie: drs. A. van Nes RO (voorzitter), M. Blom CIA, drs. J.P.M. Hundertmark RA, CIA, drs. R.H.J.W. Jansen RO, drs. R. Kamstra, drs. K. Laker, drs. H.A. Mulders RA, drs. L.Z. Nagy RO EMIA, drs. R. de Ruiter RE RA RO CISA Verenigingsnieuws VRO en Nieuws van de Opleidingen: N. Arif RO Verenigingsnieuws IIA Nederland: drs. D.J.N. van der Hoop IIA Nederland: Postbus 7918, 1008 AC Amsterdam, tel.: 020-3010366, fax: 020: 3010392, e-mail:
[email protected], internet: www.iia.nl VRO: Postbus 505, 9200 AM Drachten, e-mail:
[email protected], internet: www.vronet.nl Bureauredactie: R. Harmelink,
[email protected] Uitgever: drs. J.Y. Groenink,
[email protected] Vormgeving: M. Maarleveld Advertenties: voor informatie over tarieven kunt u terecht bij Bureau IIA Nederland, tel.: 020-3010366, e-mail:
[email protected]. Abonnementen: IIA Nederland, Postbus 7918, 1008 AC Amsterdam, tel.: 020-3010366, fax: 020-3010392, e-mail:
[email protected] (zie ook de website: www.iia.nl). Abonnementen kosten € 75 per jaar, losse nummers € 25. Leden van IIA en VRO ontvangen Audit Magazine uit hoofde van hun lidmaatschap gratis. Abonnementen hebben telkens een looptijd van een jaar en gelden tot wederopzegging tenzij anders overeengekomen. Partijen kunnen ieder schriftelijk opzeggen tegen het einde van de abonnementsperiode, met inachtneming van een opzegtermijn van twee maanden. Audit Magazine verschijnt viermaal per jaar. Alle rechten voorbehouden. Behoudens de door de Auteurswet 1912 gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd (waaronder begrepen het opslaan in een geautomatiseerd gegevensbestand) en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande schriftelijke toestemming van de uitgever. De bij toepassing van art. 16b en 17 Auteurswet 1912 wettelijk verschuldigde vergoedingen wegens fotokopiëren, dienen te worden voldaan aan de Stichting Reprorecht, Postbus 3060, 2130 KB Hoofddorp, tel.: 023-7997810. Voor het overnemen van een gedeelte van deze uitgave in bloemlezingen, readers en andere compilatiewerken op grond van art. 16 Auteurswet 1912 dient men zich te wenden tot de stichting Reprorecht, Postbus 3060, 2130 KB Hoofddorp, tel.: 023-7997809. Voor het overnemen van een gedeelte van deze uitgave ten behoeve van commerciële doeleinden dient men zich te wenden tot de uitgever. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(en) en uitgever geen aansprakelijkheid voor eventuele fouten of onvolkomenheden.
© Dialoog uitgevers, 2006 Spelderholt 3, 7361 DA Beekbergen ISSN: 1570-856X D I A L O O G
UITGEVERS
AUDIT magazine
nummer 1 maart 2006
5
Ontwikkelingen in financial audit
Internal en external auditors: verschillende rol, gemeenschappelijk belang Door de Sarbanes Oxley Act (SOx) won de samenwerking tussen interne en externe accountants hernieuwd aan belang, vooral bij de grotere beursvennootschappen. Toch lijkt SOx de afstand tussen interne en externe accountants te vergroten. Een goede zaak? Philip Wallage, hoogleraar Accountantscontrole en partner Department of Professional Practice bij KPMG, vindt van niet. Hij is voorstander van een hechte samenwerking tussen interne en externe accountants en meent dat zij, hoewel hun rol weliswaar verschilt, een gemeenschappelijk belang hebben en moeten nastreven. Een interview.
Interview: drs. J. Hundertmark Tekst: B. van Breevoort
Wat zijn de implicaties van artikel SOx 404 voor de samenwerking tussen de interne en externe accountant?
“SOx is heel specifiek geënt op financial accounting. Door SOx is de relatie tussen de interne en externe accountant anders geworden, gezien het feit dat de externe accountant een uitspraak moet doen over de internal controls over financial reporting. Alleen is deze ‘revival van de samenwerking’ tussen de interne en externe accountant niet nieuw. Het komt alleen voort uit het teruggekeerde besef dat control en transparantie meer aandacht verdienen en daarin speelt internal control een grote rol. In dit licht overwegen beursvennootschappen in toenemende mate om een Internal Audit Dienst (IAD) in te richten. In de Code Tabaksblat wordt dit slechts impliciet geadviseerd. Omdat de ondernemingsleiding in Nederland een uitspraak moet doen of het in control is, moet de werking van de interne beheersingssystemen worden geëvalueerd. Daarbij kan zij de expertise van een IAD goed gebruiken, mits deze afdeling ruimte krijgt voor een min of meer onpartijdig geluid. Ook moet het management bepalen of het de IAD zowel naar de financial controls laat kijken als naar de operational en compliance controls. In de Verenigde Staten hebben de beursfondsen IAD’s die onderdeel zijn van het internal control framework
AUDIT magazine
nummer 1 maart 2006
6
zoals ontworpen volgens COSO. Daar is de IAD vaak betrokken bij het testwerk. De IAD kan testen zonder betrokken te zijn bij het ontwerpen, ontwikkelen of uitvoeren van controls, terwijl ook het interne evaluatieproces door de lijn wordt vastgesteld. Op grond van SOx mag de externe accountant gebruik maken van anderen (lees: internal auditors) zolang hij ‘principle evidence’ zelf vergaart. De externe accountant mag dus wel steunen op uitspraken van de IAD op basis van ‘competence’ en ‘objectivity’, maar als het management zijn oordeel baseert op de werkzaamheden van anderen, zoals de IAD, kan de externe accountant er weinig mee doen. Er gaan stemmen op om dit af te zwakken, omdat men inziet dat dit niet de bedoeling was van SOx. Toch is de afstand tussen interne en externe accountants daardoor wel wat vergroot en mijns inziens ten onrechte.” Wat is de ideale rol voor de internal auditor?
“Idealiter moet de ‘monitoring role’ van de IAD ingebed zijn in het internal control framework van een onderneming. Ik denk aan een routinematige cyclus waarin de IAD steekproefsgewijs vaststelt dat ook werkelijk wordt gedaan wat is afgesproken. Daarnaast is een hechte samenwerking tussen internal en external audit essentieel. Een voorwaarde is dat de IAD competent is
Ontwikkelingen in financial audit en hoog in de organisatie hangt en kan communiceren met de leiding en toezichthouders.” Welke mogelijkheden resten er na de Enron-affaire nog voor externe accountants om taken van IAD’s aan te bieden?
“Het evalueren van interne beheersingsprocessen is de primaire verantwoordelijkheid van de ondernemingsleiding. De externe accountant mag geen internal control framework ontwikkelen, bouwen of uitvoeren. Wel kan een externe accountant in opdracht van de ondernemingsleiding hulp bieden bij het ontwikkelen van een raamwerk voor toezicht en interne beheersing, of bijvoorbeeld een gap analysis uitvoeren. In het algemeen geldt het aloude adagium dat de externe accountant niet op de stoel van het management mag gaan zitten en bij zijn controle niet met ‘zijn eigen adviezen mag worden geconfronteerd’. In de
“De afstand tussen interne en externe accountants is vergroot” Amerikaanse omgeving bestaat er steeds minder ruimte voor de externe accountant om werkzaamheden van de interne accountant over te nemen (SOx Section II) om zo de onafhankelijkheid van de externe accountant te waarborgen. Het is de vraag of deze ontwikkeling zich voortzet.” Zou het mogelijk zijn dat een externe accountant de werkzaamheden van de internal accountant overneemt en zo ja, onder welke voorwaarden?
“Het is de vraag of dat wenselijk is. Ik zou als management zelf willen vaststellen of ik in control ben. Zij zijn daar niet voor niets verantwoordelijk voor. Dat vervolgens een externe accountant dit controleert en zijn onafhankelijke oordeel naar buiten brengt, is prima. Een belangrijk probleem zit bij de kleinere beursvennootschappen. In regelgeving als de Code Tabaksblat gaat men uit van ‘one size fits all’, maar dat ontkent de realiteit. Bij SOx nemen ze nu wat gas terug en denken ze na over een vrijstelling voor SOx 404 voor ondernemingen met een marktwaarde kleiner dan ongeveer 125 miljoen dollar. Een onderneming moet internal audit alleen uitbesteden als het zelf geen mogelijkheden daartoe heeft en moet dat wat mij betreft heel goed uitleggen. Want het is heel belangrijk om de evaluatie van internal control zelf in de hand te houden, al is het alleen al in verband met reputatiemanagement. Dus ook de TomToms van deze wereld moeten een IAD hebben.”
In Nederland kan de interne accountant (RA) een interne accountantsverklaring afgeven voor bijvoorbeeld de jaarrekeningcontrole. Is dat nog wenselijk? “Ik zie geen noodzaak om dat aan te passen, omdat die bevoegdheid toekomt aan elke RA op grond van zijn vaktechnische expertise. Ook in de nieuwe gedrags- en beroepscode wordt het gehandhaafd onder dezelfde eisen als gelden voor een externe accountant, met uitzondering van de noodzakelijke onafhankelijkheid naar de opdrachtgever. In Amerika zijn deze beroepsgroepen sterk van elkaar gescheiden, dus daar valt het niet mee te vergelijken. De Nederlandse situatie verdient de voorkeur, omdat men daardoor dezelfde ‘taal’ spreekt. Anderzijds vinden er nu marktontwikkelingen plaats die ertegen pleiten, zoals de wettelijke controle, de aanscherping van de onafhankelijkheidseis en de Wet Toezicht Accountants. Ik verwacht daarom dat de interne en externe accountant op termijn wat verder uit elkaar groeien qua opleiding en focus. Ook zullen sommige interne accountants zich mogelijk laten uitschrijven als RA, omdat ze niet mee willen in die verscherpte regels en risico’s. Toch vind ik dat een interne accountant niet voor deze verantwoordelijkheden moet weglopen. Interne en externe accountants worden voortdurend met dilemma’s geconfronteerd. Het is goed dat een RA het management aanspreekt op dilemma’s, regels en procedures. Ik hoop dus dat alle interne accountants RA blijven.” IAD’s bevatten in toenemende mate beroepsbeoefenaren uit andere hoek, zoals RO’s, RC’s en RE’s. Wat is hun waarde?
“Vanwege de verbreding van de auditobjecten en toenemende complexiteit van processen en regels is brede expertise nodig. Dat geldt trouwens voor zowel de interne als externe accountant. Multidisciplinaire samenwerking is noodzakelijk vanwege het uitdijende aantal specialismen. Daarbij is het wel belangrijk dat zowel externe als interne accountants de eigen beroeps- en gedragscodes met deze specialisten delen. Wij moeten in ieder geval onze toetsende rol afdwingen anders is samenwerking niet mogelijk. Verder is communicatie van wezenlijk belang. Zo is bijvoorbeeld dossiervorming geen vanzelfspre-
Philip Wallage Philip Wallage is partner bij KPMG en hoogleraar Accountantscontrole aan de Universiteit van Amsterdam. In beide functies is hij betrokken bij ontwikkelingen in corporate governance en, in het bijzonder, interne beheersing.
AUDIT magazine
nummer 1 maart 2006
7
Ontwikkelingen in financial audit kendheid bij andere specialisten. Daarom is een investering nodig in het adequaat neerzetten van het auditproces en hoe we daarin met elkaar omgaan. Het gaat daarbij ook om de juiste toon. RA’s wordt wel eens verweten dat ze bemoeizuchtig en arrogant zijn. Ga daarom met elkaar om de tafel zitten en leg uit wat de eis van objectiviteit inhoudt en waarom externe accountants bepaalde opdrachten niet kunnen aanvaarden.” Hoe gemakkelijk is de samenwerking met een IAD waar geen RA aan het hoofd staat?
“Daar ligt een mogelijk spanningsveld. De beroepsopleiding en het begrippenkader van de RA geven toch een aantal waarden aan voor een professionele omgang met elkaar. Op het moment dat die waarden niet als vanzelfsprekend worden gedeeld, is een kritische houding nodig. Er moet de overtuiging zijn dat je elkaar begrijpt. Een voorbespreking helpt de samenwerking op gang, maar het zal tijd kosten. Overigens zegt het voorgaande uiteraard niets over hun expertise. Eerlijk gezegd, we kunnen niet zonder deze specialisten. Het gaat er meer om dat de communicatie op dezelfde golflengte plaatsvindt.” Hoe kunnen de interne en externe accountant samenwerken in het kader van de Code Tabaksblat?
“Het eventueel doen van een uitspraak over internal control ten behoeve van derden is vooralsnog het domein van de externe accountant. Maar bij het intern evalueren van de opzet en de werking is mijns inziens een belangrijke rol weggelegd voor de
“De richtlijn is specifiek geschreven voor accountants belast met de jaarrekeningcontrole en vraagt hen een ‘professional scepticism’ aan de dag te leggen. Het frauderisico moet expliciet in alle fasen van het controleproces aan de orde komen. Er moet een risico-inschatting plaatsvinden en vastgelegd worden. In overleg met de ondernemingsleiding worden het frauderisico en de noodzakelijke controls besproken. Daarnaast moet de externe accountant openstaan voor fraudesignalen en daar aanvullende werkzaamheden op plegen. Bij al deze werkzaamheden kan de IAD als gesprekspartner dienen, hoewel het niet met zoveel woorden in de richtlijn staat. De IAD moet op zijn beurt interne fraudesignalen bespreken met de ondernemingsleiding, maar zou daarvan ook de externe accountant deelgenoot moeten maken.” Op welke andere terreinen is een rol weggelegd voor interne accountants?
“Automatisering gaat een steeds grotere rol spelen in de controlfunctie. Soft controls zijn niet te automatiseren, dus ook daar blijft de aandacht van de interne accountant geboden. Voor wat betreft het leveren van assurance zie ik allerlei nieuwe ontwikkelingen komen op het gebied van milieu en sociaal beleid. Daartoe is het nodig dat de korte lijnen tussen de interne en externe accountants behouden blijven, waarbij voor beiden duidelijk blijft dat de interne accountant een ‘tool of management’ is. En dat de interne accountant daarnaast de mogelijkheid heeft rechtstreeks te communiceren met het audit committee en de externe accountant.”
dimensies operational en financial audit?
“Die vraag is erg moeilijk te beantwoorden. Het hangt altijd af van de organisatie en de specifieke risico’s. Na een eerste inventarisatie van alle risicofactoren moeten de aandachtsgebieden voor internal audit worden geselecteerd door de ondernemingsleiding. Het audit committee moet daarop toezicht houden en spreekt met de ondernemingsleiding over de planning en de uitkomsten van de audits.”
IAD. Een IAD kan een organisatie doorlichten op integriteit. Het begint aan de top en moet vervolgens in de organisatie ingebed zijn. Zo kan een IAD bijvoorbeeld een anonieme enquête in de organisatie uitvoeren naar de ‘tone at the top’. Het resultaat van de enquête hoeft uiteraard niet in het jaarverslag, maar wel de mededeling dat het regelmatig wordt uitgevoerd. Ik denk dat met deze vormen van soft controls veel meer te winnen valt dan met andere vormen van control. Overigens heeft de Commissie Frijns in haar monitoringrapport aangegeven dat ondernemingen in ieder geval een uitspraak moeten doen over de opzet en werking van de financial controls en dat over internal en operational controls alleen de bevindingen gerapporteerd dienen te worden, zoals de geconstateerde materiële leemten en het plan van aanpak. Een onderneming hoeft voor die twee dimensies dus niet te verklaren dat het in control is. Deze zienswijze sluit meer aan bij de Engelse praktijk.”
nummer 1 maart 2006
en externe accountants?
Waar ligt voor de interne accountant het ideale evenwicht tussen de
“Ook de TomToms van deze wereld moeten een IAD hebben”
AUDIT magazine
Legt de recente frauderichtlijn RAC 240 een grotere druk op interne
8
Welke boodschap wilt u de interne accountant in het kader van de samenwerking met externe accountants meegeven voor nu en in de toekomst?
“Beiden moeten over en weer zorgen voor optimale communicatie. De interne accountant bezit veel informatie over de beheersingsprocessen en handelt in het belang van zijn onderneming als hij deze deelt met de externe accountant. En mocht de onderlinge communicatie onverhoopt niet goed zijn, spreek elkaar daar dan op aan. Hoewel ik vind dat de internal auditor een ‘tool of management’ is en de externe accountant er is voor de buitenwereld, lopen in het maatschappelijk verkeer hun belangen parallel. Als beiden dat als uitgangspunt nemen, is er een uitstekende basis voor samenwerking. Dus ik hoop van harte dat in- en externe accountants ook in de toekomst gemeenschappelijke waarden nastreven.”
Ontwikkelingen in financial audit
Nieuwe controlestandaarden voor de financial audit Nieuwe controlestandaarden betekenen dat accountants in een controlefunctie hun auditstrategie op onderdelen moeten herzien. Het biedt internal auditors en de externe accountant een unieke aanleiding om de samenwerking te herijken. Het helpt te voorkomen dat kosten voor accountantscontrole de pan uitrijzen. Essentieel daarvoor is dat internal auditors zich conformeren aan de nieuwste International Standards on Auditing. Alleen dan kunnen externe accountants en internal auditors de handen efficiënt ineenslaan. Een overzicht van de actuele ontwikkelingen.
Drs. R. Roos RA
International Standards on Auditing (ISA) fungeren als basis voor de Nederlandse Richtlijnen voor de Accountantscontrole. Ze vormen voor accountants in een controlerende functie de norm bij uitvoering van de financial audit. IFAC, de mondiale overkoepeling van accountantsorganisaties, publiceert in rap tempo een groot aantal nieuwe en gewijzigde ISA’s (zie tabel 1). Relevante materie dus, ook voor internal auditors. Dit artikel behandelt daarom de noviteiten in de ISA’s. De belangrijke ontwikkelingen houden verband met onder meer de controle van transacties tussen verbonden partijen, met de controle van schattingsposten en met de inschakeling van experts. Ook gel-
den sinds kort verscherpte documentatievereisten. Op de rol staan nieuwe voorschriften voor de materialiteitsberekening en voor groepscontroles. Bovendien wijzigt per ultimo 2006 de tekst van de reguliere accountantsverklaring. Het is maar dat u het weet. Dit artikel tracht ertoe bij te dragen dat de neuzen van controlerend accountants én internal auditors dezelfde kant op staan. Om dubbel werk van de IAD en de externe accountant te voorkomen doet het hier en daar ook suggesties voor de wijze waarop de internal auditor kan bijdragen aan een soepel verloop van de externe accountantscontrole. Het kan helpen een al te sterke lastenstijging te voorkomen.
Nieuwe ISA’s en de vermoedelijke ingangsdata ISA Titel ISA 230 Audit documentation (definitief) ISA 260 The auditors communication with those charged with governance (ontwerp) ISA 320 ISA 540 ISA 550 ISA 600
Materiality in the identification and evaluation of misstatements (ontwerp) Auditing accounting estimates and related disclosures (ontwerp) Related Parties (ontwerp) The audit of group financial statements (ontwerp)
ISA 701 The independent auditors report on other historical financial information (ontwerp) ISA 705 Modification to the opinion in the independent auditors report (ontwerp) ISA 706 Emphasis of matter paragraphs and other matters paragraphs in the independent auditors report (ontwerp) ISA 800 The independent auditors report on summary audited financial statements (ontwerp)
Vermoedelijke ingangsdatum Controles boekjaren op/na 15 juni 2006 Controles boekjaren op/na 15 december 2006 (mogelijk uitgesteld) Nog niet bekendgemaakt Nog niet bekendgemaakt Nog niet bekendgemaakt Controles boekjaren op/na 15 december 2006 (mogelijk uitgesteld) Accountantsverklaringen op/na 31 december 2006 Accountantsverklaringen op/na 31 december 2006 Accountantsverklaringen op/na 31 december 2006 Accountantsverklaringen op/na 31 december 2006
Tabel 1. Momentopname van de nieuwste (ontwerp)richtlijnen voorzien van de vermoedelijke ingangsdatum
AUDIT magazine
nummer 1 maart 2006
9
Ontwikkelingen in financial audit Transacties met verbonden partijen Verbonden partijen kunnen onderling direct of indirect elkaars beleid beïnvloeden. Het betreft bijvoorbeeld houdstermaatschappijen en groepsmaatschappijen, maar ook personen op sleutelposities zoals de directie en belangrijke aandeelhouders. Transacties met dergelijke partijen kunnen aanleiding geven voor een verhoogd risico op fouten in de jaarrekening. Nieuwe voorschriften vereisen daarom dat een controlerend accountant niet alleen de ondernemingsleiding, maar ook anderen zoals de legal counsel of de internal auditor, expliciet vraagt naar het bestaan van aanzienlijke niet-routinematige transacties met verbonden partijen. Wees daarop voorbereid. Het biedt een aanleiding informatie te verstrekken die anders mogelijk niet zou zijn gecommuniceerd. Naast een overzicht met alle namen van verbonden partijen is het bijvoorbeeld relevant om als internal auditor informatie paraat te hebben over de opzet en het bestaan van procedures rond de administratieve afhandeling van transacties met die partijen. De internal auditor helpt daarmee de externe accountant inzicht te geven in hoe bedrijfsprocessen werkelijk lopen en of het wellicht mogelijk is procedures te doorbreken. Een internal auditor bewijst de externe accountant een dienst als hij erop toeziet dat de onderneming alle transacties met verbonden partijen goed documenteert. Essentieel zijn gegevens over de beweegredenen, over de financiële impact en over de belangrijkste voorwaarden. Het vereenvoudigt voor de externe accountant de verzameling van controle-informatie die hij nodig heeft om de toereikendheid van de toelichting over dergelijke transacties te kunnen beoordelen. De internal auditor kan ook bijdragen aan een soepel verloop van de externe accountantscontrole door te zorgen dat (aanvragen voor) bevestigingen klaarliggen van alle relevante banken en advocaten. Het is namelijk van groot belang dat een controlerend accountant kennis neemt van dergelijke bevestigingen. Zij kunnen immers belangrijke informatie bevatten die duidt op transacties met verbonden partijen. Nieuw bij de financial audit is om, meer dan voorheen, onderzoek te doen naar de relaties met partijen die sterke invloed uitoefenen op de controlecliënt. Relevante materie, ook voor de
AUDIT magazine
nummer 1 maart 2006
10
IAD. Het speelt bijvoorbeeld als een grootaandeelhouder het management van de controlecliënt actief aanstuurt. In dergelijke situaties bestaat de mogelijkheid dat de lokale directie onder druk niet-marktconforme transacties aangaat die louter in het belang van bijvoorbeeld de grootaandeelhouder zijn. Bij het bestaan van transacties met verboden partijen vereisen de voorschriften te illustreren dat betrokken contractanten altijd al op juiste wijze waren geclassificeerd. Dit werpt soms een nieuw licht op een bestaande situatie. Hoe objectief zijn schattingsposten in de jaarrekening? Vanwege aannamen over onzekere factoren lenen jaarrekeningposten zoals voorzieningen, zich bij uitstek voor winststuring. Wie kent niet de verleiding om bij economische voorspoed te zorgen voor het spreekwoordelijke appeltje voor de dorst? Tegenwoordig heet dat echter al snel creatief boekhouden en is de maximale celstraf 25 jaar. De ondernemingsleiding zal inschattingen daarom altijd moeten voorzien van een adequate onderbouwing. Als de internal auditor al goed in kaart heeft hoe deze berekeningen tot stand komen, kan dat kostenbesparend werken bij de externe accountantscontrole. Het gaat bijvoorbeeld om de opzet en het bestaan van beheersingsmaatregelen en de eventuele ruimte daarin. Nuttig is dat de internal auditor erop toeziet dat de onderneming vastlegt hoe alternatieve scenario’s voor schattingen zijn onderzocht. Het kan anders voorkomen dat de externe accountant zelf kostbare berekeningen van alternatieven moet maken. Kennisname van dergelijke afwegingen wordt namelijk verplichte kost. Zinvol is het ook als de internal auditor ervoor zorgt dat een gedocumenteerde evaluatie beschikbaar is van de wijze waarop inschattingen uit voorgaande jaren zijn uitgepakt. Het zegt iets over de kwaliteit van de procedures. Voornoemde stappen zijn alle maatregelen om te zorgen dat accountants een kritischer houding aannemen bij de controle van schattingen in de jaarrekening. Zij dienen daarbij alert te zijn op een mogelijke vooringenomenheid van het management. De nieuwe ontwerprichtlijn geeft daarvoor een overzicht van indicatoren. Een dergelijke professioneel kritische benadering sluit goed aan bij de huidige respons op frauderisicofactoren. Aandachtspunten bij de inschakeling van experts De internal auditor kan bij zijn financial audit gebruikmaken van deskundigen om informatie te verkrijgen, bijvoorbeeld bij de controle van waarderingen tegen reële waarde. Deskundigen kunnen collega’s van de internal auditor zijn, maar ook externe professionals. Keuzen hierin hebben effect op de manier waarop de onafhankelijkheid van deze deskundige kan worden gewaarborgd. Ongeacht de mate van zelfstandigheid en objectiviteit kan een interne professional niet dezelfde mate van onafhankelijkheid bereiken als een externe deskundige. Ook is het bepalend voor de kwaliteitsprocedures waaraan de deskundige is onderworpen en voor bijvoorbeeld zijn affiniteit met accountantscontrole. Het is noodzakelijk om vast te stellen dat de opvatting van de deskundige over de definitie van bijvoorbeeld reële waarde en
Ontwikkelingen in financial audit over de te hanteren methodiek in overeenstemming is met die van de internal auditor. De methode die een deskundige hanteert voor het taxeren van de marktwaarde van onroerend goed hoeft bijvoorbeeld niet in overeenstemming te zijn met de eisen van financiële verslaggeving. Dit kan ook gelden voor de actuariële methoden die zijn ontwikkeld voor het maken van schattingen van verzekeringsverplichtingen, vorderingen wegens herverzekering en soortgelijke posten. De internal auditor doet er verstandig aan dit te bespreken met de deskundige en hieraan aandacht te besteden bij het lezen van het rapport van de expert. IFAC actualiseert momenteel de voorschriften over het gebruikmaken van de werkzaamheden van deskundigen. De huidige ISA focust zich op die gevallen waarbij de accountant expertise inschakelt buiten de vakgebieden verslaggeving of controle. Echter, ook daarbinnen ziet de accountant zich in toenemende mate genoodzaakt specialisten te raadplegen. Dit noopt tot uitbreiding van de reikwijdte van de Richtlijn. Ook werpt het de vraag op of een accountant in zijn verklaring aan de specialist zou moeten refereren. De ISA’s staan dat vooralsnog niet toe. IFAC verwacht over dit onderwerp in juli 2006 een ontwerprichtlijn te publiceren. Volgens de Nederlandse
Internal auditors bewijzen de accountant een dienst als zij erop toezien dat de onderneming transacties met verbonden partijen goed documenteert Gedrags- en Beroepsregels mag de accountant alleen naar een deskundige verwijzen ter motivering van een accountantsverklaring met beperking, of de accountantsverklaring van oordeelonthouding. In het ontwerp van de Verordening Gedrags- en Beroepscode komt dit echter niet langer aan bod. Aanscherping documentatievereisten De nieuwste controlestandaard over dossiervorming verscherpt documentatievereisten, moet dossierreviews vereenvoudigen en sluit daarmee aan bij de richtlijn over kwaliteitsbeheersing voor accountantskantoren. Deze verplicht kantoren om gedragslijnen en procedures vast te stellen die zorgen dat controlerend accountants de kwaliteitsbeheersingsmaatregelen naleven. De internal auditor zal dezelfde strenge documentatievereisten in acht dienen te nemen als hij wil dat de externe accountant efficiënt gebruik kan maken van zijn werkzaamheden. Een controledossier moet tegenwoordig zo zijn ingericht dat het
een ervaren accountant zonder cliëntspecifieke kennis kan overtuigen dat de controle is uitgevoerd in overeenstemming met de ISA’s en andere relevante wet- en regelgeving. Afwijkingen van ISAbepalingen moeten daarom zijn voorzien van gegronde argumentatie. Verder dient het dossier vastleggingen te bevatten over alle belangrijke risiRik Roos cogebieden. Dit sluit aan Drs. Rik Roos RA is audit manager bij bij recente richtlijnen over het Accounting & Auditing Center fraude en over kennis van van Deloitte Accountants bv en lid de huishouding. van de NIVRA-subcommissie Tot de verplichte vastlegRichtlijnen voor de Accountantsgingen behoort ook de controle.
[email protected] afwerking van controledocumentatie met ogenschijnlijk tegenstrijdige uitkomsten. Tevens moet bij dossierstukken duidelijk zijn wie de opsteller is, wie ze heeft beoordeeld en wanneer deze werkzaamheden hebben plaatsgevonden. De nieuwe controlestandaard beoogt ook bij te dragen aan convergentie in internationale regelgeving. Daarom is bij het opstellen ervan rekening gehouden met bijvoorbeeld voorschriften over dossiervorming van de Amerikaanse Public Company Accounting Oversight Board (PCAOB). Nieuwe controlestandaard voor materialiteit Het ontwerp voor een nieuwe controlestandaard geeft algemene referentiecriteria voor het vaststellen van de materialiteit op jaarrekeningniveau. Voor een onderneming met winstoogmerk is dat bijvoorbeeld een percentage van het resultaat voor belastingen of van de omzet. Het is nuttig dat de internal auditor hiermee rekening houdt bij het plannen van zijn werkzaamheden voor de financial audit. Het kan bijvoorbeeld voorkomen dat een externe accountant de controle op een later tijdstip moet uitbreiden omdat de internal auditor met een te hoge materialiteit zou hebben gecontroleerd. De ontwerprichtlijn geeft ook ijkpunten voor de materialiteit bij organisaties zonder winstoogmerk of in een specifieke bedrijfstak zoals beleggingsmaatschappijen. Uiteraard blijft het vaststellen van materialiteit ook in de toekomst uiteindelijk een kwestie van professionele oordeelsvorming. Een controlerend accountant dient ook rekening te houden met kwalitatieve aspecten van fouten zoals effecten op naleving van wet- en regelgeving of contractvereisten en mogelijke indicaties voor fraude. Nog in de maak is een geheel nieuwe richtlijn over foutenevaluatie. De huidige ISA’s kennen een dergelijke richtlijn niet.
AUDIT magazine
nummer 1 maart 2006
11
De mens achter Fortis?
Dat kun jij zijn!
Fortis Audit Services
(Senior) Auditors en Assistant Audit Managers Ons bedrijf Fortis Audit Services geeft “assurance” aan het management van Fortis omtrent beheersingsvraagstukken als corporate governance, risk management en internal control. FAS voert op pro-actieve basis integrated audits uit, die bestaan uit een combinatie van operational, ICT en finanancial audit werkzaamheden.
Fortis is een geïntegreerde financiële dienstverlener in bankieren en verzekeren. Met een marktkapitalisatie
van
EUR
23,6
miljard
(30/06/2004) en ruim 52.000 medewerkers behoort zij tot de 20 grootste financiële instellingen van Europa.
Auditor als business partner
In haar thuismarkt, de Benelux, neemt Fortis
Binnen FAS doe je in teamverband onderzoek naar de effectiviteit en efficiëntie van (financiële) bedrijfsprocessen, de kwaliteit van de informatieverstrekking en risicobeheersing binnen de organisatorische eenheden en je rapporteert hierover (regelmatig in het Engels). Daarnaast wordt (functieafhankelijk) van je verwacht (senior) auditors te begeleiden, op te leiden en aan te sturen. Je standplaats wordt Rotterdam, Utrecht of Amsterdam.
pakket financiële diensten voor haar particu-
een toonaangevende positie in met een breed
liere, zakelijke en institutionele klanten. Vanuit de expertise in de thuismarkt ontplooit zij haar Europese ambities via groeiplatforms. Fortis opereert ook in geselecteerde activiteiten met een wereldwijd bereik. In specifieke Europese en Aziatische landen maakt zij met succes
Indicatie van onze verwachtingen HEAO RA/AC of BE of universitair bedrijfseconomie • Werkervaring bij een van de grote accountantskantoren, een audit afdeling van een financiële instelling of in een relevant aandachtsgebied bij een financiële instelling • Sterk analytisch vermogen, uitstekende communicatieve en rapportage vaardigheden en een goede beheersing van Engels • Bezig met het volgen van een opleiding RO, RE of RA, of bereidheid om een van deze opleidingen te (ver)volgen.
Uitnodiging Roelie Haasbroek (030 – 226 3780) kan je meer informatie verstrekken. Een schriftelijke reactie kun je sturen aan Roelie Haasbroek, Fortis Audit Services (U01.07.15), Postbus 2049, 3500 GA, Utrecht. E-mail:
[email protected].
gebruik van haar knowhow en ervaring in bankverzekeren.
Fortis is genoteerd aan de beurzen van Amsterdam, Brussel en Luxemburg en heeft een gesponsord ADR programma in de Verenigde Staten.
Ontwikkelingen in financial audit Duidelijk is dat de controlerend accountant in elk geval alle bekende en waarschijnlijke fouten tijdig dient te gaan communiceren met de ondernemingsleiding. Dit draagt bij aan een klimaat waarin het gebruikelijk is fouten te corrigeren, ongeacht de omvang. Tot dusver hoeft de ondernemingsleiding alleen te bevestigen dat zij ongecorrigeerde afwijkingen niet materieel acht voor de jaarrekening. Voor wat betreft de schriftelijke bevestiging bij de jaarrekening bestaan er overigens initiatieven om onderscheid aan te gaan brengen tussen bevestigingen op postenniveau en op jaarrekeningniveau. Die voorstellen geven ook handreikingen om te bepalen welke functionaris in de onderneming welk type bevestiging zou moeten verstrekken en welke waarde dergelijke bevestigingen hebben voor de externe accountantscontrole. Groepscontroles Het ontwerp voor een geheel nieuwe richtlijn over groepscontroles behandelt aspecten die in de huidige ISA’s onvoldoende tot uitdrukking komen. Het betreft de opdrachtacceptatie door groepsaccountants, de toegang tot controledossiers van andere accountants, de allocatie van groepsmaterialiteit en de werkzaamheden rond consolidatie. Elementen daarvan zullen ook internal auditors raken die opereren in concernverband, bijvoorbeeld bij het besluit welke groepsmaatschappijen te betrekken in een financial audit en bij welke onderdelen te volstaan met een beperkte beoordeling van de cijfers. De richtlijn spitst zich toe op groepsmaatschappijen die voor de controle van groot belang zijn. Daarbij gaat het vooral om concernonderdelen met een verhoogd risico op fouten in de jaarrekening. Ook betreft het onderdelen waarvan activa, passiva, kasstromen, resultaat of omzet meer dan een bepaald percentage uitmaken van die geconsolideerde posten van het concern. Volgens de ontwerprichtlijn moet de groepsaccountant de controle daar zelf uitvoeren of tenminste sterk bij de uitvoering betrokken zijn. In de huidige situatie voeren ook andere accountants(kantoren) zulke werkzaamheden uit.
oordeelonthouding. Voor de accountantsverklaring bij een verkorte jaarrekening of bij overige historische financiële overzichten en voor het gebruik van additionele paragrafen komen eveneens aparte richtlijnen. Een onverplicht toelichtende paragraaf is louter bestemd voor ongewone aspecten die van groot belang zijn om de jaarrekening te kunnen begrijpen. Het betreft een belangrijke onzekerheid, aanzienlijke transactie tussen verbonden partijen, vervroegde toepassing van nieuwe verslaggevingstandaarden of belangrijke gebeurtenis na balansdatum. Een nieuwe paragraaf met overige mededelingen is bestemd voor aspecten die niet in de jaarrekening tot uitdrukking komen, maar die de accountant wel belangrijk acht om te rapporteren. Hij kan daarvan gebruikmaken als bijvoorbeeld niet wordt voldaan aan een of meer bepalingen uit het Burgerlijk Wetboek, terwijl het getrouwe beeld in stand blijft. Vooruitblik IFAC werkt hard aan de verschillende projecten die op korte termijn zullen uitmonden in ontwerprichtlijnen. In juli 2006 bijvoorbeeld verwacht IFAC te komen met een nieuwe richtlijn over het inschakelen van deskundigen. Een ontwerprichtlijn over externe bevestigingen staat op de agenda voor december 2006. De huidige ontwerprichtlijn ISA 320 Materiality in the identification and evaluation of misstatements wordt gesplitst. Er komen separate richtlijnen over materialiteit en foutenevaluatie. Ook loopt een project voor nieuwe controlestandaarden over interne beheersing en over mededelingen van de ondernemingsleiding. De volledige teksten van de (ontwerp)richtlijnen zijn te raadplegen op www.ifac.org.
Conclusie Belangrijke nieuwe ISA’s over bijvoorbeeld de controle van transacties tussen verbonden partijen en over de controle van schattingen illustreren dat codificatie van de financial audit nog lang niet ten einde is. Het betekent dat accountants in een controlefunctie zoals de IAD hun auditstrategie op onderdelen moeten herzien. De controleaanpak zal bijvoorbeeld meer dan voorheen gericht moeten zijn
Nieuwe tekst accountantsverklaring Vanaf 31 december 2006 geldt een nieuwe tekst voor de accountantsverklaring. Deze gaat uitgebreider dan voorheen in op de verantwoordelijkheden van het management voor de interne beheersing bij de totstandkoming van de jaarrekening. Er is een separate paragraaf gewijd aan de verantwoordelijkheden van de accountant. Nieuw zijn onder meer de verwijzingen naar de gedrags- en beroepsregels, naar de analyse van het risico op fraude en fouten, en naar de aard en diepgang van de controlewerkzaamheden rond de interne beheersing. Twee aparte richtlijnen moeten duidelijkheid gaan verschaffen over situaties die wel of geen afbreuk doen aan het oordeel van de accountant. Momenteel zijn beide onderwerpen vastgelegd in dezelfde richtlijn. In de loop van 2006 volgt een richtlijn die ingaat op de accountantsverklaring met beperking, op de afkeurende accountantsverklaring en op de accountantsverklaring van
op de opzet en het bestaan van procedures rond de identificatie en de afhandeling van transacties met verbonden partijen, en op de beheersingsmaatregelen inzake het onderzoek van alternatieve scenario’s voor schattingsposten. En dan te bedenken dat IFAC nog tal van projecten in de steigers heeft staan, onder meer over de inschakeling van experts, over de materialiteitsberekening en over groepscontroles. Uitdagingen genoeg dus om te voorkomen dat het leidt tot een onevenredig grote administratieve lastenverzwaring. Een positieve bijdrage daaraan kan worden bereikt door een efficiënte samenwerking tussen internal auditor en externe accountant. Essentieel daarvoor is dat ook internal auditors zich conformeren aan de nieuwste ISA’s.
Noot 1. De auteur heeft bij dit artikel gebruik gemaakt van de onderhavige Exposure Drafts en agendastukken van de IFAC International Auditing and Assurance Standards Board.
AUDIT magazine
nummer 1 maart 2006
13
Ontwikkelingen in financial audit
onmisbare rol
De van de interne accountant bij fraudebeheersing Hoffmann Bedrijfsrecherche stelt in een radiospotje dat zes procent van de jaaromzet verloren gaat door fraude en andere onregelmatigheden. Fraude raakt direct de financiële verantwoording. Gezien de taak van de accountant in relatie tot de wettelijke controle raakt fraude zijn werkzaamheden, wat overduidelijk blijkt uit de recent herziene RAC 240. Maar het is niet slechts aan de externe accountant om frauderisico’s te onderkennen, de gevolgen te voorkomen of in ieder geval tijdig te ontdekken. Binnen zijn organisatie laat hij zich bijstaan door experts. Binnen de huishouding van de gecontroleerde kunnen interne accountants van grote waarde blijken.
Drs. P.J. Schimmel RA
De verantwoordelijkheid van de externe accountant in relatie tot fraude en de jaarrekeningcontrole is aangescherpt door aanpassing van RAC 240 voor alle controles vanaf het controlejaar 2005. Navraag, evaluatie en identificatie van frauderisico’s in alle fasen van het controleproces, is veel nadrukkelijker geregeld dan voorheen. De externe accountant dient dit te doen vanuit de fraudedriehoek (druk, rationalisatie en gelegenheid), mogelijk leidend tot aanpassing in de aard en intensiteit van de controlemaatregelen (zie figuur 1). Meer dan voorheen wordt van de accountant een hoge mate van proactiviteit en professioneel scepticisme verwacht. Gezien ontwikkelingen als Sarbanes Oxley, de regelgeving van de PCAOB en de uit COSO voortvloeiende inzichten, lag de aanscherping van de RAC voor de hand. De accountant, gewend aan een focus op de beheersing van de gelegenheid, zal zich nu, meer dan Druk voorheen ook een oordeel moeten vormen over de beheersing van de factoren Fraudedriehoek druk en rationalisatie. Met 122 pagina’s is RAC 240 nu Rationalisatie Gelegenheid de meest uitgebreide richtlijn binnen de Richtlijnen voor de Figuur 1. De fraudedriehoek
AUDIT magazine
nummer 1 maart 2006
14
accountantscontrole en maakt daarmee zeven procent uit van de totale editie 2005. Het is duidelijk dat de accountant wat betreft fraude een grote materiële verantwoordelijkheid heeft! Hoe kunnen andere deskundigen behulpzaam zijn? De externe accountant in zijn certificerende functie moet van alle markten thuis zijn. Of het nu om actuariële aspecten gaat, aspecten van automatisering, regelgeving, toezichthouders of fraudebeheersing, de externe accountant moet er op kunnen aftekenen. Dit kan hij allang niet meer zonder ondersteuning van deskundigen, zowel vanuit zijn eigen organisatie als vanuit de gecontroleerde huishouding. Die deskundigen bieden kennis en kunde rond risicogebieden waarop zij dagelijks bezig zijn. Het is niet voor niets dat volgens de nieuwe RAC 240 de externe accountant de interne accountant verplicht moet consulteren waar het om fraude gaat. De rol van de forensische accountant In het algemeen houden forensische accountants zich bezig met accountantsonderzoek naar inbreuken op wet- en regelgeving. De aan de onderzoeken voorafgaande risicoanalyse om te doorgronden hoe het object van onderzoek te benaderen, schoolt de forensisch accountant in het onderkennen van mogelijk situaties waar
Ontwikkelingen in financial audit het frauderisico een rol speelt. Deze expertise is een aanwinst voor elke accountantscontrole. Daarbij is de forensisch accountant ook gewend te kijken naar zaken die fout zitten. De rol van expert of advocaat van de duivel bij controleplanningsessies, het deskundig bevragen van functionarissen van de gecontroleerde organisatie, het analyseren van de toereikendheid van het frauderisicomanagementproces, inclusief het incident-opvolgingsplan of het nalopen van voorgekomen incidenten; dergelijke activiteiten hebben voor de ervaren forensisch accountant weinig geheimen. De algemeen accountant die gewoon is te kijken naar zaken die goed gaan, zal daarbij eerder een te grote stap willen maken of genoegen nemen met deelwaarnemingen, waarbij de zoektocht naar de afwijking zelden gepast is. Bovendien, hoe moet hij bij gebrek aan ervaring de gegeven antwoorden in perspectief zetten, laat staan met waardevolle aanbevelingen komen in zijn managementletter. Het nadeel van de inzet van deskundigen is de meerprijs die de gecontroleerde huishouding daarvoor betaalt. Maar wat is de prijs die de onderneming betaalt als die deskundige niet wordt ingezet? De rol van de interne accountant Naast de signalerende rol die een interne accountant bij fraude vaak heeft, mag van de interne accountant meer worden verwacht. Zoals blijkt uit figuur 2 speelt de accountant zelf een belangrijke rol in de frauderisicobeheersing. De interne accountant speelt een essentiële rol bij de beheersing van het frauderisico. Hij zal die risico’s dienen af te vangen die zich niet door regelgeving en preventie laten beheersen. Hij zal naast het toezicht houden op de opzet, het bestaan en de werking van AO/IC, zelf activiteiten ontwikkelen om eventuele afwijkingen te signaleren. Cijferbeoordelingen en het periodiek in detail nalopen van risicogevoelige processen en transacties of soms zelfs het continu toezicht houden bij die processen of transacties, is een rol die vooral voor de interne accountant is weggelegd. Door toenemende complexiteit en omvang van processen is daarbij steeds vaker technische ondersteuning nodig, zoals computerprogramma’s die databestanden afgraven om de afwijkende jour-
Fraude Risico Management Risico’s Richtlijnen Regels Codes Afspraken Leidraad Tone at the top
Interne Beheersing: AO/IC
Internal audit
Resterende risico’s
naalposten in de gaten te kunnen houden of zelfs ‘real time’ alle mutaties volgen. Daarnaast speelt de interne accountant vooral in door Sarbanes Oxley gereguleerde omgevingen een voorname rol bij de continue analyse van het frauderisico. Hiertoe zal hij een proces aansturen dat in kaart brengt of de drie elementen van de fraudedriehoek (druk, rationalisatie en gelegenheid) in voldoende mate worden beheerst wat betreft bevordering/handhaving gewenst gedrag en preventie/detectie ongewenst gedrag. Per element van de fraudedriehoek kan dat proces worden weergegeven als in figuur 3. Ter ondersteuning van de verRisicoanalyse eiste risicoanalyses worden steeds vaker met behulp van stemapparatuur en via intranet Afspraken, normen, codes periodieke risk self assessments en control self assessments uitgezet. Op die manier Bevordering/ Preventie Handhaving kan de beleving van de werkvloer worden afgezet tegen de verwachting van het manageDetectie/ ment en bovendien kan dan Montoring worden nagegaan of bepaalde beheersingsactiviteiten sinds Figuur 3. Proces per element op basis van de fraudede laatste waarnemingen tot driehoek gewenste verbeteringen hebben geleid. De uitkomsten van de genoemde self assessments kunnen behulpzaam zijn bij een meer gerichte planning van de activiteiten van de interne accountantsdienst. De forensische interne accountant In toenemende mate ontwikkelen interne accountantsdiensten eigen forensische auditactiviteiten. Gezien de toegenomen aandacht voor fraudebeheersing een goede ontwikkeling, want bij de verantwoordelijkheid voor beheersing moet je uiteraard ook kennis hebben van wat er mis is gegaan, mocht dat onverhoopt voorkomen. Maar een waarschuwing is op zijn plaats. Uiteraard verdient een verdieping in kennis en vaardigheid aanbeveling. Zoals de externe accountant steunt op zijn eigen specialisten, zo dient de interne accountant dat ook te doen. Echter, als het aankomt op daadwerkelijk onderzoek van incidenten, dan kan dezelfde bedenking rijzen die geldt ten aanzien van de externe accountant: hoe zit het met de onafhankelijkheid en onpartijdigheid?
Risico Risico Onderzoek
Risico Risico Handhaving/ Bevordering Figuur 2. Frauderisicomanagement
Preventie
Montoring Detectie
Acceptatie
Het verrichten van bijzonder accountantsonderzoek in geval van een fraude-incident Het is in het belang van de accountant in geval van een vermoed fraude-incident meer kennis te hebben van de aard, de omvang en van de toedracht van het incident. Uiteraard heeft de externe accountant die behoefte ten behoeve van het getrouwe beeld van de jaarrekening, maar tevens ter vervulling van verplichtingen
AUDIT magazine
nummer 1 maart 2006
15
Ontwikkelingen in financial audit die voor hem voortvloeien vanuit RAC 240. De interne accountant heeft vergelijkbare behoeften, hoewel de verplichtingen voor hem niet in dezelfde mate gelden. Zowel de interne als de externe accountant moeten zich bij elk fraude-incident opnieuw afvragen of zij wel de meest geëigende partij zijn om het vaak vereiste bijzondere accountantsonderzoek naar het incident te verrichten. Bestaat het risico dat het toedrachtonderzoek ook de rol van de accountant betreft? Als die vraag met ‘ja’ beantwoord kan worden, dan zal met de primaire gebruiker van de uitkomsten van het onderzoek, zoals de raad van bestuur of het audit committee, moeten worden afgestemd of er niet verstandiger aan wordt gedaan een externe derde het onderzoek te laten verrichten. In het geval van SEC-situaties (voor aan de Amerikaanse beurs genoteerde bedrijven) kan die derde zelfs een van de huishouding onafhankelijke advocaat zijn die op zijn beurt een forensisch accountant kan inhuren. Uiteraard blijft dan de accountant, zowel extern als intern, belanghebbende en zal hij zijn eisen stellen aan het onderzoek in het belang van de nakoming van zijn eigen verantwoordelijkheid. Van interne accountant tot forensische interne accountant Interne accountants willen het niet graag van een commerciële derde aannemen, maar zelf forensisch of fraudeonderzoek doen houdt nogal wat risico’s in. Naast het mogelijke risico dat gebrek aan kennis, kunde en ervaring het onderzoek blameert, kan de onderzoeker zichzelf blameren, ook als hij een goed onderzoek heeft verricht. Eenmaal een fraudeonderzoeker, altijd een fraudeonderzoeker. Op zich is dat niet erg als dit een intentionele overstap betreft. Als het de bedoeling is dat na het eenmalige fraudeonderzoek weer over wordt gegaan naar de praktijk van alledag, dan kan de interne accountant nog wel eens bedrogen uitkomen. Verder kan fraudeonderzoek door de interne accountantsdienst vragen oproepen omtrent de onafhankelijkheid en onpartijdigheid van die interne accountantsdienst. Ervaring leert dat het verrichten van fraudeonderzoek vaak leidt tot een statuswijziging van de persoon die het onderPeter Schimmel zoek verricht. Bijna alle frauPeter Schimmel is als partner verbonden aan deonderzoek is of wordt als Ernst & Young. Hij is sinds 1995 werkzaam als persoonsgericht ervaren. forensisch acountant. Als zodanig is hij binImmers, het is niet het proces nen de wereldwijde Fraud Investigation & of de technologie die frauDispute Servicespraktijk verantwoordelijk deert; het zijn altijd personen. voor de medewerkers werkzaam in twintig Degene die een onderzoek Europese landen, van Nederland tot Rusland. naar het persoonlijk handelen Dit artikel is op persoonlijke titel geschreven. van een ander verricht is zel-
AUDIT magazine
nummer 1 maart 2006
16
den een populair figuur. Als het een collega is die het onderzoek doet, zoals in het geval van de interne accountant, wordt hij ook nogal eens als een soort verrader gezien. Bij een volgende gelegenheid in zijn reguliere taak als intern accountant zal hij bovendien moeilijk meer los worden gezien van zijn eerdere rol als fraudeonderzoeker. Zijn auto voor de deur kan al de gedachte oproepen dat er iets ernstig mis is in het bedrijfsonderdeel dat hij bezoekt. Hoewel de verantwoordelijkheid voor fraudebeheersing van de interne accountant belangrijk is, moet dat niet worden verward met het zelf moeten verrichten van bijzondere accountantsonderzoeken in geval van vermoedens van fraude. Een betrokkene kan, hoe goed het onderzoek ook is verricht, altijd met recht opwerpen dat de onderzoeker als onderdeel van de belanghebbende organisatie niet als onafhankelijk mag worden beschouwd. Op zich is dat nog wel een overkomelijk verwijt en inherent aan de positie van de intern accountant in het algemeen, maar wel een minpuntje bij het gebruik van het onderzoeksrapport in een gerechtelijke procedure. Het wordt lastiger als de (on)partijdigheid van de interne accountant ter sprake wordt gebracht. Juist omdat de verantwoordelijkheid voor fraudebeheersing (mede) bij de interne accountant ligt, kan een betrokkene opwerpen dat de interne accountant zelf partij is bij de toedracht. Dit argument is lastig te weerleggen en kan in hoge mate afbreuk doen aan de effectiviteit van de onderzoeksbevindingen. Daarom, waak voor het zelf uitvoeren van onderzoek naar fraude.
Conclusie In dit artikel is ingegaan op enkele zich ontwikkelende inzichten wat betreft de toepassing van de zogenaamde fraudedriehoek in relatie tot fraudebeheersing. De interne accountant is onmisbaar bij de beheersing van het frauderisico. Niet alleen ziet hij toe op de opzet, het bestaan en de werking van die beheersing, maar is hij er zelf een operationeel onderdeel van. Juist vanuit die verantwoordelijkheid dient de interne accountant te waken voor de schijn van partijdigheid die hij kan oproepen bij het zelf uitvoeren van bijzonder accountantsonderzoek ingeval van vermoedens van fraude.
Ontwikkelingen in financial audit
IFRS: de nieuwe boekhoudregels voor (internationale) jaarverslaggeving Na een aantal jaren van relatieve rust moeten alle Europese beursgenoteerde ondernemingen vanaf 2005 voldoen aan de nieuwe boekhoudregels, zoals voorgeschreven door de International Accounting Standards Board (IASB). Het resultaat kennen wij onder het acroniem IFRS: de International Financial Reporting Standards.
Tekst: drs. R. Jansen Beeld: I. Janssen
De IASB haakt met de nieuwe regels aan op een aantal belangrijke internationale ontwikkelingen. En dat roept de nodige vragen op! Waarom nieuwe regels op dit moment? Met andere woorden: wat was de trigger? Heeft IFRS al het gewenste brede draagvlak? Hoe gaan de Europese organen om met deze regels en wat is de impact van IFRS voor controllers, accountants en voor internal auditors? Als ‘leek’ heb ik nog niet eerder te maken gehad met IFRS. De redactie van Audit Magazine wilde dan ook graag een artikel over IFRS plaatsen. Het doel van dit artikel: zorgen dat ‘leken’ – zoals ik – op dit gebied iets meer te weten komen over IFRS. En dus zocht ik Jan Backhuijs op, die graag mijn vragen wilde beantwoorden. Jan Backhuijs is director bij PricewaterhouseCoopers en maakt onderdeel uit van het Technical Office van PricewaterhouseCoopers Accountants. Uit dien hoofde adviseert hij collega-accountants op het gebied van jaarverslaggeving en verantwoording. Daarnaast is hij voorzitter van de vaktechnische staf van de Raad voor de Jaarverslaggeving (RJ). Waarom hebben we ‘opeens’ nieuwe regels nodig voor financiële verslaggeving?
“Er is een paar belangrijke wereldwijde ontwikkelingen aan de gang. Er is een groeiende behoefte aan ‘dezelfde’ financiële informatie. De wereld is meer één markt geworden en dat geldt ook voor de kapitaalmarkt. Degene die het geld komen ‘ophalen’ moeten dezelfde eenduidige informatie verstrekken, anders bestaat er niet meer het gewenste comfort bij de investeerders.”
AUDIT magazine
nummer 1 maart 2006
17
Ontwikkelingen in financial audit Dat klinkt logisch, maar blijkt in praktijk toch lastiger dan je zou denken. Regels stellen en accepteren en je daar vervolgens ook aan houden is weer een ander verhaal. Jan verduidelijkt met een voorbeeld. “Europese landen hebben bijvoorbeeld de vierde en zevende Europese richtlijnen in hun eigen nationale wetgeving opgenomen en dan blijkt in de praktijk dat er toch ‘telkens andere’ nuances worden aangebracht. De regels worden verschillend geïnterpreteerd waardoor het doel niet wordt bereikt. Men wil graag eenduidige informatie in de markt.” Wat is dan het beste? Bestaat er geen stelsel met een set adequate regels op dit gebied?
“Het was tijd voor een internationaal orgaan dat voor het geheel ‘de beste regels’ ging verzamelen en samen liet smelten tot een adequaat stelsel van principes en regels. Dat orgaan is het IASB (de International Accounting Standards Board) geworden. In dit orgaan is ‘de hele wereld’ vertegenwoordigd. Je treft hierin vertegenwoordigers van de kapitaalverschaffers, de kapitaalgebruikers en erkende wetenschappers. En even voor de duidelijkheid: er zitten dus géén accountants in de IASB! IFRS is géén speeltje van accountants, al wordt dat wel vaak gedacht!” Oké, IFRS is dus een uniek project, maar hoe gaan de Europese landen dan om met IFRS, anders dan met de voorgangers ervan?
“Anders dan voorheen is IFRS Europese wetgeving aan het worden. De IASB-standaarden worden pas door de Europese Commissie goedgekeurd na een zorgvuldig implementatieproces. De Commissie krijgt hiertoe een advies aan de EFRAG (European Financial Reporting Advice Group), een organisatie van verschaffers, gebruikers en controleurs van financiële informatie in Europa. Bij een positief ‘inhoudelijk’ advies komt een meer politiek advies van de ARC (Accounting Regulatory Committee) waarin de vertegenwoordigers van de lidstaten zitten. Pas daarna volgt de goedkeuring door de Commissie en wordt het Europese wetgeving. Voor de beeldvorming is het belangrijk te weten dat ook IFRS in beweging blijft. Elke keer zijn er weer hobbels te nemen waarvoor weer nieuwe oplossingen moeten worden gevonden.” Welke organisaties krijgen nu te maken met IFRS? Wat is de impact van IFRS?
“In elk geval krijgen alle beursgenoteerde ondernemingen te maken met IFRS. Maar dat geldt niet alleen voor ondernemingen met aandelen maar ook voor ondernemingen met bijvoorbeeld obligaties die aan een beurs in Europa worden verhandeld. Publieke organisaties, zoals de provincie Zuid-Holland, die een obligatielening hebben uitstaan op de effectenbeurs, zullen daarom in die omgeving meer en meer op basis van IFRS worden beoordeeld! Daarnaast biedt de Nederlandse wetgeving de mogelijkheid ook niet-beursgenoteerde ondernemingen te laten volJan Backhuijs, PWC: “Voor de beeldvorming is het belangrijk te weten dat ook IFRS in beweging blijft. Elke keer zijn er weer hobbels te nemen waarvoor weer nieuwe oplossingen moeten worden gevonden.”
AUDIT magazine
nummer 1 maart 2006
18
Ontwikkelingen in financial audit doen aan de IFRS-standaarden. Dit kan door ze één op één toe te passen. Ook in de Nederlandse wetgeving zitten inmiddels duidelijke sporen van de standaarden van de IASB, maar ze zijn niet altijd verplicht. Zo mogen bepaalde financiële instrumenten tegen actuele waarde worden gewaardeerd. Daar lijkt de Nederlandse wetgeving op de regelgeving van IAS 39. Het moet echter niet. Ook in de publieke sector zien wij een toenemende aandacht voor het gebruik van internationale accounting standards. Per saldo is de impact dus groot!” Wat is er nieuw aan de principes van IFRS? Moeten betrokken bedrijven erg wennen aan IFRS?
“Het verschil begint met het feit dat alle IFRS-richtlijnen gevolgd moeten worden. Er kan dus niet van worden afgeweken.
omgeving zonder veel principles met veel meer gedetailleerde regels. Die is vooral gericht op de aandeelhouders van de onderneming. IFRS sluit door zijn principles meer aan bij de Rijnlandse traditie, gericht op de belangen van alle stakeholders. De bredere focus van IFRS sluit dus beter aan op onze cultuur, in afwijking op die van de US.” Europa moet nu écht gaan voldoen aan de regels. Gaat daarmee ‘de wereld’ veranderen?
“Het gaat in ieder geval een stuk verder dan wij tot nu toe gewend waren. En ja, daarmee is ‘de wereld’ veranderd! Veel onderwerpen worden anders behandeld onder het IFRS-regiem. Zo worden bijvoorbeeld preferente aandelen volgens IFRS gewoonlijk als vreemd vermogen beschouwd, terwijl Dutch
“IFRS telt momenteel zo’n 2300 pagina’s tekst en uitleg, dus dat hakt er wel in!” Er is géén ruimte voor eigen interpretatie. En hoewel IFRS ‘principle based’ is, krijgen bedrijven met veel meer regeltjes te maken. IFRS telt momenteel zo’n 2300 pagina’s tekst en uitleg, dus dat hakt er wel in! Aan de andere kant stellen we vast dat US GAAP véél uitgebreider is, dus het kan ook nog anders. US GAAP is veel meer ‘rule based’. Feit blijft dat Nederland aan de hoeveelheid regeltjes zal moeten wennen.” Waar zal Nederland het meest aan moeten wennen?
“Het belangrijkste verschil met de oude regelgeving ligt vooral in de uitgangspunten. De Nederlandse regelgeving is erg gericht op de resultatenrekening (baten en lasten) per periode, met ‘overlopende’ posten op de balans. IFRS is écht gericht op de balans. Het gaat om echte bezittingen en schulden, waarbij dikwijls fair value wordt toegepast bij de waardering.” De vraagtekens die ik ‘non-verbaal’ uitstraal komen aan bij mijn gesprekspartner. Hij gaat verder met een toelichting. “IFRS is meer toekomstgericht, het biedt ondersteuning bij economische beslissingen door gebruikers van een jaarrekening. De Nederlandse regels richten zich vooral op het afleggen van verantwoording over de achterliggende periode. IFRS heeft dus een ander doel en daarmee samenhangend een andere doelgroep.” Waarom heeft Europa dan niet gewoon gekozen voor US GAAP? Dat was al helemaal uitgekristalliseerd!
“Dat heeft vooral met besluitvorming en cultuur te maken. De hiervoor al beschreven goedkeuring van nieuwe IFRS door de Europese Commissie past niet goed in het proces zoals US GAAP tot stand komt. Daarnaast, US GAAP komt uit een
GAAP preferente aandelen tot het eigen vermogen rekent. We zullen samengestelde kengetallen anders gaan gebruiken. De cijfers stellen wat anders voor dan we gewend zijn. Dat betekent dat niet alleen controllers en accountants daaraan moeten wennen. Ook (lijn)managers krijgen hiermee te maken. Stel dat je als Nederlandse onderneming bedrijfsactiviteiten uitoefent in een land als Polen en je huurt daarvoor een gebouw dat je betaalt in US dollars. Dan ga je het feit dat je de huur afrekent in US dollars als een aparte component, los van het huurcontract in de balans verwerken. Dat wordt een embedded derivative genoemd, die iedere balansdatum tegen zijn eigen reële waarde wordt verwerkt. Daar moet je ook als ‘inkoper’ van weten, of als je de verhuurder bent! Het belangrijkste dat ik hiermee wil verduidelijken is dat IFRS een structurele uitwerking gaat krijgen in onze ‘reguliere’ bedrijfsactiviteiten en niet alleen controllers en accountants gaat bezighouden.” Dat betekent automatisch dat internal auditors hier ook wat van gaan merken.
“Ja, dat lijkt mij wel. Gegeven de meer gedetailleerde regelgeving zal ook de internal auditor dieper in de organisatie moeten gaan kijken of de organisatie zich daadwerkelijk aan de (nieuwe) regels heeft gehouden. In het perspectief van ‘internal control’, de beheersing van (bedrijf)activiteiten, zal de internal auditor niet alleen in de overgangsperiode meer werk moeten maken van de gewijzigde situatie. Ook daarna betekent IFRS dat meer op detailniveau gecheckt zal moeten worden of de verschillende functionarissen goed begrepen hebben wat heel concreet is bedoeld. Elke auditor zal dat begrijpen…”
AUDIT magazine
nummer 1 maart 2006
19
vaktechniek
Nieuw COSO-raamwerk lost problemen voorganger niet op In 2004 publiceerde COSO haar raamwerk voor ‘Enterprise Risk Management’. Volgens de auteurs biedt het een belangrijke meerwaarde ten opzichte van het COSO-raamwerk voor ‘Internal Control’ uit 1992. De eerste indicaties uit de literatuur en praktijk geven aan dat dit helaas niet zo is.
H. Faber en C. Visser
Om te bepalen welke meerwaarde COSO Enterprise Risk Management (COSO ERM) kan bieden, is door ons literatuur- en praktijkonderzoek gedaan naar de voornaamste knelpunten bij de toepassing van COSO Internal Control (COSO IC) en de mate waarin COSO ERM daarin tegemoet komt. Tevens is onderzocht of de praktische toepassing van COSO ERM wellicht nieuwe knelpunten met zich mee brengt.
tekortkoming aan de zijde van de auteurs van de beide COSOraamwerken. Vooralsnog zullen we het daarom moeten doen met beoordelingsstandaarden en -referenties voor individuele aspecten van het functioneren van organisaties, zoals die voor kwaliteits- en milieuzorg, arbeidsomstandigheden, voedselveiligheid en externe verslaggeving.
Knelpunten COSO IC Op basis van literatuurstudie en interviews zijn door ons vijf knelpunten geïdentificeerd onder de gebruikers van het COSO IC raamwerk. Hierna worden deze knelpunten kort toegelicht en wordt aangegeven in welke mate COSO ERM deze wegneemt.
2. Draagvlak management
1. Geen eenduidig normenkader
De belangrijkste kritiek op het COSO IC is altijd geweest dat dit raamwerk geen eenduidig normenkader aanreikt voor de integrale beoordeling van de effectiviteit van risicomanagement en interne beheersingssystemen. Het beschrijft daartoe slechts een aantal aandachtspunten en zelfs die worden onder enig voorbehoud gepresenteerd. In vervolg op de nieuwe nationale corporate governance-regelgeving, die in veel gevallen van bestuurders vraagt zich expliciet uit te spreken over de effectiviteit van – delen van – hun risicomanagement en interne beheersingssystemen, is de vraag naar een dergelijk normenkader alleen maar toegenomen. Ook COSO ERM voorziet helaas niet in deze prangende behoefte. Uiteraard is dit manco eerder het gevolg van de inherente veelzijdigheid en complexiteit van risicomanagement en interne beheersing, dan een
AUDIT magazine
nummer 1 maart 2006
20
In de praktijk blijkt het vaak moeilijk om het topmanagement van een organisatie duurzaam enthousiast te maken voor het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om daarbij expliciet het COSO IC-raamwerk te hanteren. Dit gebrek aan enthousiasme wordt vaak veroorzaakt door het hardnekkige misverstand dat risicomanagement en interne beheersingssystemen het goed functioneren en het aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen. Het feit dat de bedrijfseconomische rechtvaardiging van dergelijke systemen vooraf vaak niet eenvoudig te geven is, leidt eveneens tot een zekere terughoudendheid onder bestuurders om daarin te investeren. Ook COSO ERM biedt geen concrete handvatten om dit knelpunt weg te nemen. Echter, ook hier geldt dat dit moeilijk aan de auteurs kan worden toegeschreven. De kosten en omzetderving van risico’s die zich dankzij effectief risicomanagement en interne beheersing niet materialiseren, zijn nu eenmaal moeilijk objectief te begroten. De huidige tijdgeest lijkt bovengenoemd knelpunt ‘gelukkig’ voor een belangrijk deel als vanzelf weg te nemen. Enerzijds is er, na jaren van nagenoeg ongebreidelde economische voorspoed, van-
3. Ontbreken stappenplan
In de literatuur over COSO IC wordt vaak als punt van kritiek aangevoerd dat niet is voorzien in een duidelijk stappenplan voor het implementeren van dit raamwerk. Daardoor zou COSO IC slechts een conceptueel aantrekkelijk model zijn waarvan niet duidelijk is op welke wijze dit in de praktijk concreet het best ‘handen en voeten’ kan krijgen. Uit de interviews zijn echter geen duidelijke signalen naar voren gekomen dat het ontbreken van een stappenplan voor onoverkome-
E C
G
M P L IA N
R T IN C
O
E P O R
O
P E R
A T IO
N
IC A T E G R S T
Internal Environment SUBSIDIARY BUSIN S UNIT ES DIVISION ENTITY-LEVEL
daag de dag weer veel meer aandacht voor de efficiency en effectiviteit van bestuurlijke en operationele processen. Daarnaast verlangt veel van de hierboven genoemde nieuwe corporate governance-regelgeving veel explicieter van bestuurders dat zij hun eindverantwoordelijkheid voor het risicomanagement en de interne beheersing van hun organisatie serieus nemen.
S
vaktechniek
Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring
Het gebruik van COSO ERM ten opzichte van COSO IC heeft weinig praktische meerwaarde lijke problemen heeft gezorgd. Ook COSO ERM voorziet niet in een dergelijk implementatieplan, maar geeft in een apart werkdocument voor de afzonderlijke componenten van dit raamwerk wel praktijkvoorbeelden hoe deze geoperationaliseerd kunnen worden. 4. Permanente actualisering
Zowel uit de literatuur als uit de interviews is gebleken dat het lastig is om het risicomanagement en de interne beheersinssystemen van een organisatie steeds actueel te houden. Dit uiteraard in het bijzonder wanneer de organisatie hele snelle of ingrijpende wijzigingen doormaakt. Bijvoorbeeld als gevolg van efficiëntieprogramma’s, fusies en overnames of de invoering van nieuwe automatiseringssystemen. Dergelijke veranderingen resulteren enerzijds in andere, vaak onbekende, risico’s en anderzijds in het ‘wegvallen’ van bestaande, vertrouwde gevaren. De praktijk leert dan ook dat organisaties juist in dergelijke turbulente perioden in de (financiële) problemen komen. Vanuit die ervaring is het dan ook verwonderlijk dat organisaties dergelijke dynamiek vaak over zichzelf blijven afroepen zonder vooraf de consequenties van hun interne beheersingssystemen goed in kaart te brengen. Overigens wordt dit fenomeen in beide COSO-publicaties onderkend. Een mogelijke verklaring hiervoor is dat bestuurders over het algemeen beter worden gewaardeerd en beloond voor het oplossen van problemen dan voor het voorkomen daarvan.
5. Geen garanties
Ook de meest consciëntieuze toepassing van de COSO-raamwerken biedt geen garanties dat de organisatie haar (beheersings-)doelstellingen steeds zal realiseren. Sterker nog, in beide publicaties wordt uitgebreid stilgestaan bij de inherente beperkingen van risicomanagement en interne beheersingssystemen en expliciet aangegeven dat een redelijke mate van zekerheid het hoogste is wat men er van kan verwachten. Veel bestuurders en externe belanghebbenden van organisaties zijn hierover teleurgesteld en zien daarin soms hun rechtvaardiging om er dan maar geen enkele waarde aan te hechten. Daarmee staat de onvervulbare wens om het beste te bewerkstelligen helaas in de weg van de mogelijkheid om het goede te realiseren. Nieuwe elementen COSO ERM Uit ons onderzoek kwam ook naar voren dat COSO ERM ten opzichte van COSO IC een aantal nieuwe elementen introduceert die in de praktijk vaak lastig te zijn toe te passen. Enkele daarvan worden hierna toegelicht. 1. Cross-enterprise risk
Het COSO ERM-raamwerk introduceert het begrip cross-enterprise risk. Hiermee worden de onderlinge, soms wederzijdse, afhankelijkheden tussen individuele risico’s aangeduid. Deze onderlinge afhankelijkheden tussen risico’s kunnen er zowel toe leiden dat risico’s elkaar versterken (domino-effect) dan wel dat zij elkaar geheel of gedeeltelijk compenseren (hedge-effect). Het expliciet maken van de causale relaties tussen individuele risico’s verschaft beter inzicht in de uiteindelijke consequenties daarvan. Die informatie is zeer waardevol bij het bepalen van de juiste aard en omvang van de beheersingsmaatregelen voor individuele
AUDIT magazine
nummer 1 maart 2006
21
Zie jij de eenvoud achter complexe opdrachten? Oprechte interesse in het vak, de klant en de maatschappij: dat is wat KPMG’ers kenmerkt. Deze brede belangstelling is niet alleen doorslaggevend voor de kwaliteit van onze audits, adviezen en fiscale diensten. Maar ook voor de
ontwikkeling van onze mensen. Inmiddels hebben we ruim 4000 medewerkers, verspreid over zo’n 20 kantoren.
Internal Audit Services (IAS) is een jong en snelgroeiend onderdeel van KPMG en dienstverlener op het gebied van internal auditing en risk management. Dankzij een uitgebreid netwerk en state-of-the-art methoden en technieken maken we de verwachtingen waar van klanten in binnen- en buitenland. Onze kracht ligt op drie fronten: inhoudelijke advieskwaliteit, markt- en klantfocus en ondernemerschap. De opdrachten zijn complex en worden vaak op directieniveau verkregen. Binnen IAS, gevestigd in kantoor Amstelveen, zijn zo’n dertig professionals werkzaam. Momenteel zijn we op zoek naar nieuwe collega’s die met ons mee willen groeien.
Auditors en senior auditors De functie: Als auditor/senior auditor voer je internal audit-opdrachten uit bij (inter)nationale klanten. Soms met KPMG-collega’s, soms in audit teams voor klanten. Tegelijkertijd ben je betrokken bij product- en bij marktontwikkeling voor de IAS-praktijk. In deze functie ontwikkel je vakinhoudelijke kennis met commercieel besef en creëer je je eigen doorgroeimogelijkheden. De eisen: Je beschikt over een kritische blik, schrikt niet terug voor weerstand en bent analytisch en sociaal sterk. Eigenschappen die je tot de ideale teamspeler maken. Wat betreft het opleidingsniveau denken we aan een academicus – een bedrijfskundige of een econoom – die ervaring heeft met internal auditing. Ten slotte beschik je over ten minste vier jaar werkervaring. Voor meer informatie over deze functie kun je contact opnemen met Jan Driessen, telefoon (020) 656 76 52. Je kunt ook meteen per e-mail een sollicitatiebrief met c.v. sturen naar
[email protected]. Meer informatie over KPMG vind je op internet: www.kpmg.nl.
A U D I T TA X A DV I S O R Y
1370-02372_180x260.indd 1
23-05-2005 14:51:16
vaktechniek risico’s. Immers, beheersingsmaatregelen die vanuit de optiek van een enkel risico gerechtvaardigd zijn, kunnen in samenhang met andere risico’s bezien geheel of gedeeltelijk overbodig zijn en vice versa. COSO ERM wijst terecht op het bestaan van (inter-)dependenties tussen risico’s, maar geeft geen concrete handvatten voor de identificatie en beoordeling daarvan. 2. Risk appetite
Een ander nieuw element in COSO ERM is het begrip risk appetite. Hiermee wordt gedoeld op de hoeveelheid risico’s die een organisatie kan of wenst te accepteren. Om die tolerantiegrens te bepalen moet men niet alleen goed inzicht hebben in de waarschijnlijkheid en impact van de risico’s verbonden aan de doelstellingen van een organisatie, maar ook in haar veerkracht (risk resilience). Die veerkracht kan bijvoorbeeld bestaan uit financiële reserves maar ook uit het vermogen van een organisatie om zich aan te passen aan gewijzigde omstandigheden.
weten: operationeel, financiële verslaggeving en naleving. COSO ERM voegt daar ‘strategie’ als vierde categorie aan toe. Het verschil met COSO IC ligt in het expliciet(er) maken van de relevantie van de strategie van een organisatie voor de inrichting van haar risicomanagement en interne beheersingssystemen. Omdat uit ons literatuur- en praktijkonderzoek is gebleken dat dit bij het gebruik van COSO IC meestal inbegrepen is bij de categorie ‘operationeel’, lijkt de praktische meerwaarde van deze verfijning gering.
Bestuurders worden beter gewaardeerd en beloond voor het oplossen van problemen dan voor het voorkomen daarvan
Harmen Faber en Cees Visser Harmen Faber is onlangs afgestudeerd als Bachelor Technische Bedrijfskunde aan de Universiteit Twente. Cees Visser is partner Business Risk Services bij Ernst & Young
Ook het concept risk appetite laat zich met de kennis van vandaag nog moeilijk operationaliseren. Dit wordt enerzijds veroorzaakt doordat de gevolgen van individuele risico’s lang niet altijd in dezelfde meeteenheid – zoals geld – uitgedrukt kunnen worden. Anderzijds is het totaal van die gevolgen – vanwege de hierboven genoemde (inter-)dependenties van risico’s – meestal niet gelijk aan de rekenkundige som van de consequenties van individuele risico’s. COSO ERM bevat geen concrete aanzetten hoe hiermee om te gaan.
Accountants.
De volledige onderzoeksresultaten zijn weergegeven in een stageverslag getiteld: ‘Beheersing – Een vergelijking tussen de COSO raamwerken voor interne beheersing en enterprise risk management’, Harmen Faber, juni 2005.
3. Risico als kans
In het COSO IC-raamwerk worden risico’s impliciet gezien als gebeurtenissen of omstandigheden die een organisatie kunnen belemmeren bij de realisatie van haar doelstellingen. In COSO ERM wordt duidelijker dat risico’s lang niet altijd uitsluitend negatieve effecten hebben. Dit door de erkenning dat de waardecreatie van organisaties voor een belangrijk deel juist is gebaseerd op hun bereidheid en vermogen om risico’s aan te gaan. Echter, ook dit theoretische concept wordt in COSO ERM slechts zeer beperkt uitgewerkt.
Conclusie Ons onderzoek zocht een antwoord op de vraag welk COSO-raamwerk een organisatie het best kan gebruiken voor het implementeren van een intern beheerssysteem. Gebleken is dat de inherente knelpunten bij de praktische toepassing van COSO IC door COSO ERM niet worden weggenomen. COSO ERM biedt ten opzichte van COSO IC weliswaar een aantal conceptueel aantrekkelijke toevoegingen, maar die zijn helaas nauwelijks geoperationaliseerd. Op basis van dit onderzoek moet derhalve de conclusie worden getrokken dat het gebruik van COSO ERM ten opzichte van COSO IC weinig praktische meer-
4. Strategische beheersingsdoelstellingen
waarde heeft.
COSO IC onderscheidt drie groepen beheersingsdoelstellingen, te
AUDIT magazine
nummer 1 maart 2006
23
IA in de breedte Comply or Explain:
Hoe houdt u het CBP
buiten de deur? (2)
In het vorige nummer van Audit Magazine heeft Gilles van Blarkom u ingelicht over de rol van het College Bescherming Persoonsgegevens (CBP) bij de handhaving van de Wet Bescherming Persoonsgegevens (WBP) en de instrumenten die zij daar voor inzet. Deze instrumenten zijn een quickscan, de WBP-zelfevaluatie, het Raamwerk Privacy Audit en de handreiking bij dit raamwerk. In dit tweede deel van zijn bijdrage gaat Gilles van Blarkom nader in op het Raamwerk Privacy Audit en de handreiking.
Gilles W. van Blarkom RE
Scope privacy compliance-onderzoek • Object van onderzoek: het object van onderzoek betreft één specifiek benoemde verwerking van persoonsgegevens. De verantwoordelijke zal zelf de noodzakelijke afbakening moeten verzorgen. Voor het verkrijgen van een kwaliteitsoordeel, bestemd voor het maatschappelijk verkeer, wordt de verwerking bij het CBP gemeld ook als de verwerking ingevolge het Vrijstellingsbesluit WBP vrijgesteld is van melden of als er voor de organisatie van
AUDIT magazine
nummer 1 maart 2006
24
de verantwoordelijke een functionaris voor de gegevensbescherming (art. 62 WBP) is benoemd bij wie deze melding zou kunnen plaatsvinden. De voordelen van deze melding bij het CBP zijn: • de afbakening wordt door de verantwoordelijke zelf opgesteld, waarbij het aan de onderzoeker is om vast te stellen dat de aangetroffen verwerking van persoonsgegevens binnen die grenzen blijft; • de belanghebbende bij het kwaliteitsoordeel kan in het openbare meldingenregister bij het CBP vaststellen welke verwerking van persoonsgegevens is beoordeeld. Contouren voor Compliance
Toezicht en Zelfregulering
Om richting te geven aan het gebruik van het raamwerk is het document Handreiking bij het Raamwerk Privacy Audit opgesteld. Deze handreiking is een hulpmiddel bij het concretiseren van de open norm, te gebruiken bij het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerking. De handreiking is gebaseerd op het Raamwerk Privacy Audit. De handreiking is niet alleen bedoeld voor een onderzoeker die een privacy audit uitvoert bij een verantwoordelijke, maar kan ook door medewerkers binnen de organisatie worden gebruikt, bijvoorbeeld door een functionaris voor de gegevensbescherming of een security officer. In de handreiking is een concretisering van de wettelijke norm opgenomen. Deze zijn uitgewerkt op basis van de in Achtergrondstudies & Verkenningen, nummer 23, gedefinieerde risicoklasse (zie figuur 1). Van de website van het CBP (www.cbpweb.nl) zijn alle genoemde producten te downloaden. Op deze site staat ook een document waarin het standpunt van het CBP ten aanzien van de verhouding tussen toezicht en zelfregulering is beschreven.
Handreiking bij het Raamwerk Privacy Audit
Raamwerk Privacy Audit
WBP Zelfevaluatie
Quickscan Figuur 1. Contouren voor compliance
√
IA in de breedte Deze afbakening voorkomt dat een organisatie bijvoorbeeld zijn personeelsinformatiesysteem laat onderzoeken en de aldus verkregen beoordeling, bijvoorbeeld in commerciële uitingen, betrekking laat hebben op verwerkingen van persoonsgegevens betreffende zijn klanten. In de WBP wordt gesteld dat de wet van toepassing is op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. In de praktijk zal een verantwoordelijke een groot deel van de verwerking van persoonsgegevens inrichten binnen het IT-domein. Delen van de verwerking bevinden zich echter buiten dit domein, zoals postkamer, archief, papieren dossiers, vernietiging, handmatige verwerking. Bij het onderzoek dient de hele verwerking te worden beoordeeld, dus ook die delen die zich buiten het IT-domein bevinden. Een verantwoordelijke kan bepaalde onderdelen van een verwerking uitbesteden aan een gespecialiseerd bedrijf (een bewerker, artikel 14 WBP). Omdat een privacy audit de hele verwerking moet beoordelen, zal in deze situatie ook de omgeving van de bewerker aan onderzoek moeten worden onderworpen. Als een verantwoordelijke meerdere verwerkingen van persoonsgegevens in één melding aan het CBP heeft gemeld, zal het onderzoek op al deze verwerkingen betrekking moeten hebben. Kwaliteitsaspecten De onderstaande kwaliteitsaspecten met de op de WBP afgestemde definities zijn van toepassing op een compliance-onderzoek op het gebied van privacywet- en regelgeving: • Exclusiviteit: uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens. • Integriteit: de persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen. • Continuïteit: de persoonsgegevens en de daarvan afgeleide informatie moet zonder belemmering beschikbaar zijn overeenkomstig daarover gemaakte afspraken en wettelijke voorschriften. Continuïteit wordt gedefinieerd als de ongestoorde voortgang van de gegevensverwerking. • Controleerbaarheid: de controleerbaarheid is de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en de werking van een object. Tevens omvat het kwaliteitsaspect controleerbaarheid de mate waarin het mogelijk is vast te stellen dat de verwerking van persoonsgegevens in overeenstemming met de eisen ten aanzien van de hiervoor genoemde kwaliteitsaspecten is uitgevoerd. Deze vier kwaliteitsaspecten zijn gebaseerd op de standaard voor IT-audits. De open normen zoals die door de wetgever zijn opgesteld, hebben geen een-op-eenrelatie met deze kwaliteitsaspecten. Wel is het zo dat de standaard als kapstok gebruikt kan worden voor het compliance-onderzoek. Een standaard geeft houvast; een nieuw geïntroduceerd kwaliteitsaspect ‘privacy’ zou voor onnodige onduidelijkheid hebben gezorgd.
Norm De Wet Bescherming Persoonsgegevens biedt het normatief kader van waaruit de specifieke technische en organisatorische maatregelen voor een organisatie moeten worden afgeleid. Naast deze wet waarin de algemene privacybescherming wordt geregeld, is er mogelijk nog andere wet- en regelgeving waaruit normen voor de organisatie gehaald moeten worden. In de privacy audit moet alle relevante wetgeving in de beoordeling worden betrokken. Naast de algemene kaderwet kan, afhankelijk van de omgeving van de verantwoordelijke, er nadere regelgeving zijn met bepalingen die nadere regels geven met betrekking tot de bescherming van persoonsgegevens: • Vrijstellingsbesluit WBP: als een verwerking van persoonsgegevens wordt vrijgesteld van melden, dan geeft het Vrijstellingsbesluit WBP extra bepalingen die van toepassing zijn op de noodzakelijke maatregelen zoals die voor organisaties uit de WBP volgen.
Een kwaliteitsoordeel, bestemd voor het maatschappelijk verkeer, vereist een onderzoek door auditor die onafhankelijk is van de opdrachtgever • Sectorale wetgeving: hierbij worden de wetten bedoeld die speciaal voor een sector zijn ontwikkeld en waarin privacy een onderdeel is van de regelgeving. Voorbeelden van sectorale wetgeving zijn: Wgba, Wgbo, Wpolr, Wmk en sociale wetgeving. • Andere wet- en regelgeving: hierbij wordt regelgeving bedoeld die een horizontale werking heeft. Als voorbeeld geldt hier de Telecommunicatiewet. • Gedragscodes: er zijn bedrijfssectoren die een gedragscode (art. 25 WBP) hebben ontwikkeld. Dergelijke gedragscodes, goedgekeurd door het CBP, bevatten regels die bij een compliance-onderzoek in die sector als norm gebruikt moeten worden. • Algemene maatregel van bestuur: er kunnen sectoren zijn waarvoor bij Algemene maatregel van bestuur nadere regels worden gesteld voor de artikelen 6 tot en met 11 en 13 (art. 26 WBP). Dergelijke maatregelen bevatten eveneens regels die bij een compliance-onderzoek in die sector als norm gebruikt moeten worden. • Jurisprudentie: vanaf de inwerkingtreding van de WBP zijn en worden er door de toezichthouder en de diverse rechtscolleges uitspraken gedaan waarbij de open norm geconcretiseerd wordt.
AUDIT magazine
nummer 1 maart 2006
25
IA in de breedte Deze jurisprudentie vormt vanaf het moment van de uitspraak een onderdeel van het van toepassing zijnde normenkader. Toleranties bij de beoordeling Bij het beoordelen van een verwerking van persoonsgegevens zal de onderzoeker een vergelijking maken tussen de norm en de aangetroffen situatie. Als geen verschil wordt vastgesteld, functioneert het object conform de norm. Als verschillen worden aangetroffen, maakt het toetskader onderscheid in drie situaties: • Non-conformiteit: een structurele Gilles W. van Blarkom RE (stelselmatige), materiële tekortkoGilles van Blarkom is na een lange ming ten opzichte van de van toeloopbaan in de IT-sector sinds 1998 passing zijnde wet- en regelgeving werkzaam als privacy auditor bij het c.q. de daarvan afgeleide gedragsCollege Bescherming Persoonscodes waardoor de bescherming gegevens. Hij is daar belast met het van de persoonsgegevens van een uitvoeren van nalevingonderzoeken. of meer betrokkene(n) in ernstige Zijn mailadres:
[email protected] mate is of kan worden geschaad. Website: www.cbpweb.nl • Deficiëntie: een structurele (stelselmatige), niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscodes waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad. • Incident: een incidentele, niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscode waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad. Parallel aan de ontwikkeling van de Contouren voor Compliance is het CBP in overleg getreden met een aantal (audit) beroepsorganisaties en organisaties op het gebied van certificering. Dit overleg had tot doel te onderzoeken op elke wijze er, op basis van de Contouren voor Compliance, een ‘privacycertificaat’ ontwikkeld kon worden. Na zorgvuldige afwegingen door alle betrokken partijen resteerden het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA) en de Nederlandse Orde van Register-EDP-Auditors (NOREA) als de organisaties die op dat moment wilden investeren in dat onderzoek. Het CBP heeft daarbij een belangrijke voorwaarde gesteld. Alle documenten die in dit kader worden ontwikkeld, worden openbaar gemaakt. Dit garandeert dat elke partij, die op een later tijdstip een privacycertificaat wil ontwikkelen of die alsnog wil toetreden tot het samenwerkingsverband NIVRA/NOREA, daartoe alle gelegenheid zal krijgen.
AUDIT magazine
nummer 1 maart 2006
26
Gedurende de gesprekken tussen het CBP, het NIVRA en de NOREA werd gaandeweg duidelijk dat het goed zou zijn voor het succes van een privacycertificaat als de toezichthouder daarin geen actieve rol zou spelen. Afgesproken werd dat de twee beroepsorganisaties een Richtlijn privacy audit gingen ontwikkelen. Na het vaststellen van de Richtlijn, zo werd afgesproken, toetst het CBP of de toezichthouder vertrouwen in het stelsel heeft. Dit vertrouwen bestaat eruit dat elke belanghebbende ervan uit mag gaan dat een oordeel, afgegeven op basis van een privacy audit en uitgevoerd volgens de voorwaarden van de richtlijn, correct is. Het CBP heeft meer dan eens zijn tevredenheid uitgesproken over de huidige stand van zaken betreffende privacy audits en privacycertificering. Het CBP kijkt nu met belangstelling uit naar de verdere ontwikkelingen: • hoeveel auditorganisaties gaan zich richten op het uitvoeren van privacy audits? • hoeveel verantwoordelijken zijn geïnteresseerd in het laten uitvoeren van privacy audits? • worden er wettelijke toezichtarrangementen gebaseerd op de Contouren voor Compliance? • zijn er beroepsorganisaties die willen toetreden tot het consortium NIVRA/NOREA? Is er nu een uitdaging voor de VRO (Vereniging Register Operational Auditors) en IIA (Instituut van Internal Auditors Nederland)? VRO en IIA kunnen aan de hand van de eisen die gesteld worden aan de privacy auditor bepalen of en onder welke voorwaarden zij gesprekken met NIVRA/NOREA kunnen of willen aangaan. Het CBP moedigt VRO en IIA in ieder geval aan deze handschoen op te pakken. Privacy staat onder druk, maar de bescherming van de persoonlijke levenssfeer blijft de moeite waard. Deskundigheid en onafhankelijkheid In de Richtlijn wordt een privacy auditor gedefinieerd als de registeraccountant en/of de register EDP-auditor die beschikt over de vereiste gespecialiseerde kennis, ervaring en vaardigheden op het gebied van privacywet- en regelgeving. Hieruit volgt dat niet ‘per definitie’ elke RA of elke RE gekwalificeerd is voor het doen van privacy audits. Als bijscholing op het gebied van privacy een vereiste is voor de RA en de RE, dan is het dat ook voor de RO. Het doel van een door de verantwoordelijke gewenst onderzoek kan zijn dat deze wil laten onderzoeken in hoeverre de van toepassing zijnde privacywet- en regelgeving geresulteerd hebben in een adequaat stelsel van maatregelen en procedures. Aan de hand van de uitkomst kan vervolgens een verbetertraject worden opgesteld. Na afloop weet de verantwoordelijke dat hij geen angst hoeft te hebben voor een bedrijfsbezoek van de toezichthouder. De verantwoordelijke kan het (positieve) kwaliteitsoordeel ook willen gebruiken met als doel er commercieel voordeel mee te verkrijgen. Het door de auditor af te geven oordeel is dan bestemd voor het maatschappelijk verkeer. Bij een oordeel dat
IA in de breedte bestemd is voor het maatschappelijk verkeer is het van groot belang welke waarde de belanghebbende bij het oordeel hecht aan de betrouwbaarheid van dat oordeel. De betrouwbaarheid van een onderzoek en daarmee van het oordeel, wordt in de eerste plaats bepaald door de deskundigheid van de auditor. Daarnaast speelt de positie van de auditor ten opzichte van de verantwoordelijke een belangrijke rol. In de uitgangspunten die het CBP heeft gesteld aan een stelsel voor privacy auditing, is het woord onafhankelijkheid gelijkwaardig gesteld aan deskundigheid, onpartijdigheid en onderworpenheid aan geheimhouding. Richtlijn privacy audits In de Richtlijn privacy audits zoals die door het Koninklijk NIVRA en de NOREA wordt voorbereid, staat: ‘Deze Richtlijn is in eerste instantie gericht op de externe privacy auditor aan wie het is voorbehouden een assuranceopdracht met betrekking tot de bescherming van persoonsgegevens uit te voeren met als doel het afgeven van een assurancerapport voor het maatschappelijk verkeer (‘open verkeer’). Het is een interne auditor toegestaan een privacy audit uit te voeren voor interne doeleinden. In dat geval moet uit de tekst van het assurancerapport blijken dat er van onafhankelijkheid geen sprake is.’ In de gedrags- en beroepsregels voor de RA en de RE worden nadrukkelijke eisen gesteld aan de onpartijdigheid en de onafhankelijkheid van de auditor. Een RA of RE in dienst van een organisatie die een onafhankelijke positie inneemt ten opzichte van de verantwoordelijke, kan dus het oordeel bestemd voor het maatschappelijk verkeer afgeven. In de Gedrags- en Beroepsregels Register Operational Auditors (GBRO) komt het begrip ‘onafhankelijkheid’ niet voor. Dat betekent dat een auditor die alleen is onderworpen aan de GBRO het hier bedoelde oordeel niet mag afgeven. Het CBP hecht er aan dat de Richtlijn van NIVRA/NOREA op korte termijn van kracht zal worden. Het CBP hecht er tevens aan dat het stelsel zoals dat door de beroepsorganisaties is opgesteld op korte termijn onderschreven kan worden door VRO en/of IIA. Zoals in de Richtlijn nadrukkelijk wordt beschreven is een RA of een RE geschikt als privacy auditor als deze beschikt over de vereiste gespecialiseerde kennis, ervaring en vaardigheden op het gebied van ICT en privacywet- en regelgeving. Ditzelfde geldt voor de RO. Ook deze beschikt, op basis van de opleiding, niet over de hier bedoelde kennis en ervaring. Wat dat betreft zijn de RA en RE enerzijds en de RO anderzijds gelijkwaardig ongeschikt. Wat betreft de kennis en vaardigheden wordt er aan een gespecialiseerde opleiding gedacht. Er rest dan alleen de onafhankelijkheid waaraan de RO niet voldoet om een kwaliteitsoordeel bestemd voor het maatschappelijk verkeer, af te mogen geven. Toezicht en zelfregulering Als verlengstuk van het kwaliteitsoordeel zal een verantwoordelijke belang kunnen hebben bij een vorm van certificering. Ook
een toezichthouder kan belang hebben bij certificering. Het standpunt van het kabinet over certificering luidt dat certificering niet in de plaats kan komen van toezicht maar wel als een aanvulling daarop kan worden gebruikt. Certificering vereist twee voorwaarden voor succes. Als eerste moet het stelsel dusdanig zijn opgezet en ingericht dat de belanghebbenden bij het certificaat vertrouwen mogen hebben in het certificaat. Dit vertrouwen moet eruit bestaan dat de kans op het ten onrechte verlenen van het certificaat tot een minimum is beperkt. Een tweede voorwaarde voor succes is de herkenbaarheid van het certificaat. Deze herkenbaarheid is gebaat bij het introduceren van één modelcertificaat dat verleend wordt bij het voldoen aan de (wettelijke) norm, onafhankelijk van de organisatie die belast is met het onderzoek. Het CBP ondersteunt het initiatief van het Koninklijk NIVRA en de NOREA om met een door het CBP erkende Richtlijn privacy audit een eerste stap te zetten naar een privacycertificaat dat door twee beroepsgroepen wordt gedragen. Uit het feit dat het toezicht, zoals dat door het CBP wordt uitgevoerd, stoelt op de Contouren voor Compliance blijkt het vertouwen van het CBP in de zelfreguleringproducten (zie figuur 2).
wetgever
Wet bescherming persoonsgegevens beroepsorganisaties handhaving
Raamwerk + Handreiking Privacy Audit
auditorganisaties
onderzoek
privacy auditor
feitenonderzoek
verantwoordelijke
kwaliteitsoordeel
interventie
√
Figuur 2. Toezicht en zelfregulering
Het CBP ontvangt signalen dat andere beroepsorganisaties dan het NIVRA en de NOREA interesse tonen in een vorm van een privacy audit. Belanghebbenden bij het privacycertificaat hebben belang bij een uniform certificaat. Het CBP nodigt geïnteresseerde beroepsorganisaties van harte uit in overleg te treden met NIVRA/NOREA en te onderzoeken op welke wijze zij aan kunnen sluiten bij hun Richtlijn privacy audit.
AUDIT magazine
nummer 1 maart 2006
27
Een perfect uitgevoerd 1-2tje blijft een bron van inspiratie.
Organisaties worden steeds meer geconfronteerd met de verhoogde aandacht voor toezicht en transparantie. Internal audit-afdelingen worden daarbij steeds vaker uitgedaagd om hieraan een actieve bijdrage te leveren. Specialistengroep Business Risk Services van Ernst & Young is de logische partner voor het beantwoorden van deze uitdaging. Business Risk Services biedt concrete oplossingen voor complexe vraagstukken. Dit past bij onze manier van werken: duidelijk, no-nonsense en gericht op resultaat. We zijn perfect op elkaar ingespeeld.
Wil je meer informatie over Business Risk Services of een gesprek over de mogelijkheden binnen onze organisatie? Surf dan naar www.ey.nl of bel met Wimjan Bos (partner Business Risk Services) 020-549 74 35.
IA in de breedte
Van
vork tot pork:
over auditing van voedselveiligheid op wereldschaal Voedselveiligheid is door onder meer de BSE- en dioxinecrisis verhoogd op de agenda komen te staan van retailers van levensmiddelen. “Levensmiddelen en met name versproducten, is een risky business”, stelt Fons Schmid, vice president Food Safety & Consumer Affairs bij Ahold. Hij kan het weten, want hij houdt zich al ruim twintig jaar bezig met voedselveiligheid. Daarnaast implementeerde hij de afgelopen jaren een omvangrijk internal control-programma inclusief audits bij de Ahold-werkmaatschappijen, met als doel een zo optimaal mogelijke veiligheid voor consumenten te garanderen.
Interview: drs. A. van Nes Tekst: B. van Breevoort
Hoe heeft Ahold de beheersing van de voedselveiligheid ingericht?
“Het begint met de klant. Wat kan Ahold doen om de veiligheid te garanderen van wat de klant koopt en bereidt. Die veiligheid kan bedreigd worden door diverse factoren. De natuur speelt een rol (bijvoorbeeld schadelijke bacteriën), menselijk falen (bijvoorbeeld reststoffen die in de voedselketen terechtkomen) en de internationalisering van de maaltijd (levensmiddelen komen van over de hele wereld). Risico’s nemen toe door het grotere volume aan levensmiddelen en de inkoop op grote schaal. Daarnaast hebben bepaalde consumententrends invloed. Zo willen consumenten typische seizoensproducten het hele jaar door eten. Ook is er een toenemende behoefte aan gemaksmaaltijden, waarin een variëteit aan kant-en-klare ingrediënten bij elkaar wordt gevoegd. Ten slotte is de knowhow van consumenten over voedsel enorm achteruit gegaan. Men weet niet meer dat sinaasappels aan bomen groeien of dat spinazie niet opnieuw opgewarmd kan worden. Ahold heeft zich daarom ten doel gesteld om een optimale voedselveiligheid te garanderen. Dat betekende dat er systemen moesten worden ingericht die het product vanaf de klant tot aan de oorspronkelijke leverancier van de ingrediënten kunnen controleren. Niet van boerderij tot bord, maar vanuit de klant, van vork tot pork. Een blik op deze voedselketen leerde dat het al
snel bar ingewikkeld wordt. Bij Ahold hebben we het daarom systematisch aangepakt. We hebben een schema opgesteld met modules om zo alle stappen met de bijbehorende risico’s te kunnen identificeren en managen. Gestart is de bijbehorende visie op voedselveiligheid intern top-down te verkondigen, naar aandeelhouders, consumenten en andere stakeholders. Voor een effectieve implementatie is het namelijk noodzakelijk dat de visie en missie door de raad van bestuur wordt gedragen en uitgedragen. Zij moet ook de noodzakelijke middelen bieden en de structuren en verantwoordelijkheden vaststellen om te meten of de doelstelling ook wordt waargemaakt.”
AUDIT magazine
nummer 1 maart 2006
29
IA in de breedte Hoe heeft Ahold de leveranciers
Bedreigingen voor de voedselveiligheid • Ham-CI. Botulinum • Ham-Na-nitrate • Egg-Salmonella • Pork-E.coli • sausage-listeria • Alcohol-cardia/liver • Beef-vCJD • Etc.
en distributeurs zover gekregen?
“We hebben contracten afgesloten met de leveranciers waarin duidelijke specificaties zijn opgenomen en door middel van supply chain audits controleren we op de naleving. Daarbij speelt nog de moeilijkheid dat onze leveranciers producten leveren die gedeeltelijk uit ingrediënten van andere leveranciers bestaan. Voor die situatie hebben we een ketenaansprakelijkheid afgesproken en geldt er sinds 1 januari dit jaar de wettelijke eis dat altijd traceerbaar moet zijn waar de ingrediënten vandaan komen. Ook liggen er procedures en afspraken vast om bij gebleken risico’s producten terug te halen. Voor de distributie van levensmiddelen is de belangrijkste eis de temperatuurbewaking door de keten heen. Ook hier gelden wettelijke eisen.” En in de winkels? Als bijvoorbeeld het idee wordt gelanceerd om een open koeler in de
van tevoren onderzoek naar de oplossing die de grootst mogelijke veiligheid biedt en die het best voldoet aan de regelgeving. Soms kijken we dan ook bij andere organisaties voor een zogenoemde exchange of best practices. Onze afdeling grijpt echter niet overal in, want bij alle werkmaatschappijen zitten experts op het gebied van voedselveiligheid. Onze afdeling komt met name in beeld om te kijken of overal de procedures op de juiste manier zijn geregeld en worden nageleefd. Verder kijken we naar mogelijke verbeteringen en waar de procedures wellicht aangescherpt dienen te worden.” Bestaan er verschillen tussen de landen in de naleving van de procedures?
“Ja, dat is onvermijdelijk. Centraal-Europa is een goed voorbeeld. We hadden daar een groot muizenprobleem dat in de pers breed werd uitgemeten. We waren ons er al eerder bewust van dat daar kwetsbare plekken zaten, maar in deze regio kun je niet verwachten dat men even ver is als in West-Europa op een aantal gebieden. Daar leverden driehonderd leveranciers versproducten aan een winkel. We hebben het probleem planmatig aangepakt. Circa zes jaar geleden hebben we met onze concurrenten de koppen bij elkaar gestoken. We ontdekten dat de eisen per retailer voor 90 procent overeenkwamen omdat de standaarden alle gebaseerd waren op de Hazard Analysis Critical Control Points, een wereldwijd systeem geaccepteerd door overheden en wetgevers. Daarop hebben we onze verschillende sets van standaarden geharmoniseerd en vervolgens hebben we dit aan de leveranciers voorgeschreven. Een á twee keer per jaar laten we een onafhankelijke partij een audit uitvoeren op die standaarden. Hiermee is voedselveiligheid een non-competitieve waarde geworden en kan iedere retailer zich helemaal concentreren op de beste inkoopwaarde. De leveranciers zijn ook tevreden, omdat ze niet meer aan allerlei verschillende standaarden hoeven te voldoen.”
winkel te zetten met verse vis, wordt dan de afdeling Food
Werken de retailers ook op andere terreinen samen?
Safety erbij betrokken?
“Het samenwerken aan voedselveiligheid heeft geleid tot de oprichting van het Global Food Safety Initiative (GFSI), waarvan ik vier jaar voorzitter ben geweest. Wereldwijd is het een enorme beweging geworden. Van het oorspronkelijke aantal van 162 standaarden zijn er nu nog vijf tot zes standaarden over per levensmiddelengroep. Je kunt zeggen dat de debacles het samenwerken aan voedselveiligheid op de kaart hebben gezet. Het heeft verder van visie getuigd dat de betrokken CEO’s ervoor hebben gezorgd dat de food safety-specialisten in één hok zijn gezet om samen het probleem op te lossen.”
“Het Quality Department van Albert Heijn is daar heel nauw bij betrokken. Als er echter een meningsverschil ontstaat over de vereiste versheiddatum van de producten in zo’n open koeler, word ik daarover geconsulteerd en zal ik kijken naar de geldende wettelijke normen en Europese richtlijnen. Het kan voorkomen dat er in de landen waar wij opereren verschillen bestaan tussen eigen en Europese regelgeving. Dus zodra er een voornemen bestaat voor een productintroductie, doen we
AUDIT magazine
nummer 1 maart 2006
30
Wat voor onafhankelijke partijen voeren de audits uit?
“Dat zijn allemaal auditbureaus die gespecialiseerd zijn in certificering van voedselveiligheid, zoals Lloyds en SGS. Bedenk wel dat het belangrijk is om zelf ook metingen uit te voeren. In onze winkels voeren wij regelmatig operational controls uit, met name op voedseltemperatuur. Zo zijn al onze THT-codes (Tenminste Houdbaar Tot) gebaseerd op voedselveiligheid en
IA in de breedte Auditing for safety: Op het gebied van food safety bestaan onder andere de volgende soorten audits: • Food Safety Third Party audits • HACCP System Verification & Validation audits • Educational audits • Primuslabs.com audits • Sanitation audits • Distribution Center audits • Pest Control audits • Processing met HACCP • Processing zonder HACCP • Packing House audits met HACCP • Packing House zonder HACCP • NFPA audits • ISO Audits-9001/2000 en ISO 22000 • Greenhouse audits • Harvest Crew audits • Farm audits • Ranch audits • SQFI audits • BRC audits
hebben ze een ruime veiligheidsmarge. Verder krijgt de leverancier productspecificaties opgelegd die we in de eigen keten stelselmatig controleren. Om dit te effectueren besteden we veel aandacht aan training van ons personeel in de distributiecentra en in de winkels. We hebben manuals en voorschriften, waarover ook weer rapportages worden gemaakt. We schakelen derden in om store audits uit te voeren. Deze controleren alle kritieke elementen in de winkels en rapporteren hun bevindingen online aan het management. Uitbesteden is in dit geval relatief goedkoper: je hebt niemand op de loonlijst staan en er rijzen ook geen interne spanningen tussen het winkelmanagement en de controleurs. De belangrijkste resultaten van de store audits worden vermeld in audit letters gericht aan het audit committee. De Internal Audit Dienst moet in zijn risico-inventarisatie de manuals en operationale procedures controleren en vermelden hoe ze worden toegepast en hoe effectief ze zijn.” Wat is het rendement van al deze investeringen in audits?
Auditingstandaarden • ISO 22000 Manufacturing: - BRC Global Standard - International Food Standard - SQF 2000 - Verschillende HACCP criteria (Denemarken, Nederland, Singapore) • Agricultural: - EUREP GAP - SQF 1000 • en vele andere…
“Dat is moeilijk te bepalen. Feit is dat het afbreukrisico van een probleem met voedselveiligheid gigantisch is. Het heeft repercussies op vele terreinen: het gezondheidsrisico voor consumenten, omzetterugval, koersdaling, verlies van marktaandeel, ga zo maar door. In dat licht is het voor de focus van Albert Heijn op huismerken essentieel om meer grip te krijgen op voedselveiligheid. Ons huismerk is ons A-merk.
Onze maatschappelijke verantwoordelijkheid neemt eveneens toe. We kunnen alleen aan de toenemende vraag naar versproducten en kant-en-klaarmaaltijden voldoen als we de daarvoor geldende regels strikt volgen. We maken daarover duidelijke afspraken met de werkmaatschappijen. De business control code die voor mijn afdeling geldt, is ook een-op-een van toepassing op de werkmaatschappijen. Mocht er onverhoopt een recall nodig zijn van een product, dan organiseren zij het zelf. Dat gaat vrijwel geruisloos, want zo’n product haalt niet eens de winkel. Alleen als er in de communicatie een afbreukrisico dreigt, word ik geïnformeerd.” Hoe staat de voedselveiligheid in de branche er momenteel eigenlijk voor?
“Ieder jaar voeren we binnen het GFSI een zelfevaluatie uit. Dit is geen internal audit, maar een vragenlijst die op vrijwillige basis wordt ingevuld. Iedereen doet het en ik kan in alle bescheidenheid zeggen dat Ahold er goed voor staat.” Zijn er nog andere waarborgen? Tekent een CEO bij een in control statement in de zin van Sarbanes Oxley of de maatregelen voor voedselveiligheid zijn afgedekt?
“Ja, de CEO van een werkmaatschappij is daar wettelijk voor verantwoordelijk. Uiteraard steunt hij daarbij sterk op mijn collega’s bij de verschillende werkmaatschappijen. Mijn taak is om toe te zien dat men de maatregelen ook naar behoren kan uitvoeren. Men moet de middelen en het budget hebben en als dat niet het geval is, trek ik aan de bel. Eerst bij de CEO en als die niet luistert, ga ik naar de raad van bestuur. In de praktijk is dat nooit voorgekomen. Binnen Ahold zijn we doordrongen van het feit dat hier je reputatie van afhangt. Maar waakzaamheid blijft geboden. Het GFSI-model is nog maar vijf jaar oud en dus betrekkelijk nieuw. Het moet steeds weer worden aangepast. Al is het maar aan nieuwe technologische ontwikkelingen. We volgen ook wetenschappelijk onderzoek op de voet. Er kunnen namelijk nieuwe risico’s aan het licht komen. Denk bijvoorbeeld aan genetische modificatie. Ook daar moet beleid voor worden ontwikkeld. Genetische modificatie is op zich simpel. Het is een techniek. Wij stellen alleen de vraag of het veilig is of niet veilig. Daar verlaten wij ons geheel op het bestaande officiële toelatingsbeleid dat bepaalt wat wel en wat niet kan. Het raakt namelijk de volksgezondheid en is daarom een zaak voor de overheid. Voor wat betreft aspecten als milieuschade of de perceptie bij consumenten proberen we slechts kaders te scheppen in onze communicatie over genetische modificatie en laten we de consument altijd de keuze. Door dit beleid zijn wij een van de weinige retailers die genetisch gemodificeerde producten op de schappen hebben liggen.” Wat voor controls zijn er in het geval dat het mis gaat?
“Dit wordt grotendeels technologisch opgevangen. Wij kunnen op elk moment vanaf het schap tot aan de bron producten traceren. Bovendien leggen wij aan onze leveranciers op dat ook zij kunnen traceren waar de ingrediënten van hun product vandaan
AUDIT magazine
nummer 1 maart 2006
31
VERDWIJNT UW SCHERPE BLIK BIJ HET ZIEN VAN DE ONDERSTAANDE PROJECTEN?
De uitdagingen op financieel en boekhoudkundig gebied worden voor ondernemingen steeds groter. Noodzakelijk projecten zoals SOX, SAS 70, IFRS en Basel II zijn aan de orde van de dag. Vaak ontbreekt het bedrijven aan de specifieke projectkennis en de mankracht. Daarom is het fijn dat u kunt vertrouwen op de interim managers van Robert Half Management Resources. Specialisten met veel ervaring, vakkennis en bewezen leiderschapskwaliteiten. Met een netwerk van meer dan 109 kantoren wereldwijd is Robert Half Management Resources de aangewezen partner voor al uw financiële interim projecten. Bezoek voor meer informatie onze website www.roberthalf.nl of bel 0800 0999 000.
A Robert Half International Company • 330 offices worldwide • www.roberthalf.nl • 0800 0999 000
IA in de breedte komen. Nu wordt het voornamelijk geregistreerd via barcodes, maar in de toekomst gaan we radio frequency identification toepassen met chips, waardoor we een product nog gemakkelijker kunnen volgen.” Hoe zit het met de communicatie over een geopenbaard gezondheidsrisico?
“Vroeger was een recallprocedure niet eens wettelijk verplicht. De producenten en retailers probeerden het vaak onder de hoed te houden uit vrees voor imagoschade. Na de miskleun van Perrier kwam men tot het inzicht dat het verborgen houden van een gezondheidsrisico een nog veel groter risico met zich meebrengt. Zoiets kan zich genadeloos tegen je keren. De trend is tegenwoordig geheel omgekeerd. Recall wordt nu bij het minste geringste gedaan. Dit werkt ook weer averechts, want mensen worden er niet meer warm of koud van. Daardoor neemt de respons op recallprocedures aanzienlijk af en dat vind ik een zorgelijke ontwikkeling.” Laat de corporate afdeling Food Safety ook nog audits uitvoeren op
Fons Schmid
de food safety-collega’s bij de werkmaatschappijen?
Fons Schmid is 21 jaar werkzaam bij bij Koninklijke Ahold nv. Zijn
“Nee. Wij controleren of er controlestandaarden zijn geïmplementeerd en welke procedures zij handhaven. Soms is een probleem van voedselveiligheid een gegeven waar onze afdeling niet veel invloed op kan uitoefenen. Echter, het voorbeeld van Centraal-Europa laat zien dat we waar nodig wel degelijk onze expertise kunnen laten gelden. Vroeger was het natuurlijk nog spannender toen Ahold ook in Brazilië, Chili en Thailand zat. Maar ondanks dat dit niet meer zo is: never a dull moment.”
huidige functie is Vice President Food Safety and Consumer Affairs. Daarnaast is hij onder andere Chairman of EuroCommerce Food Policy and Consumer Committee, Board member of the Global Food Safety Initiative, Member of the EU Platform on Diet, Physical Activity and Health, European Food Retail observer in FHO/WHO Codex Alimentarius, Member of the EU Food Safety Platform, Member of the Steering Committee of EurepGAP, Member of the Board of the Dutch Food Law Association.
advies opleidingen interimopdrachten
advertentie
Management Audit Services MAS is gespecialiseerd in Internal Auditing Services en BIV/AO projecten. Al meer dan tien jaar opereren wij zelfstandig en onafhankelijk van de ‘Big 4’, dus ‘no conflict of interests’.
Jack Davidsz
Met onze werkzaamheden en opleidingen, onder meer CIA examentrainingen, hebben wij veel internal auditors en hun organisaties geholpen. Het realiseren van de doelstellingen van de klant staat bij ons voorop. Bent u geïnteresseerd en kiest u voor ervaring,
t] 0346 569738 f] 0847 474365 e]
[email protected] p] Postbus 1473
3600 BL Maarssen
kennis en objectiviteit, neem dan contact op met Jack Davidsz.
AUDIT magazine
nummer 1 maart 2006
33
de mens achter de auditor
Ronald Jansen interviewt Rob Cornelisse
Overdag werkt
“Een onderdeel stijldansen in trainingen zou een goede aanvulling zijn om de managementvaardigheden op te krikken”
Rob Cornelisse op de AID-afdeling van De
Nederlandsche Bank. Maar ’s avonds gaat hij los: samen met zijn vriendin bekwaamt hij zich vier keer in de week (!) bij verschillende dansscholen in het ballroomdansen. Over in control zijn op de dansvloer.
tomatisering, wetenschappelijk onderzoek en de divisie Toezicht. Deze divisie houdt toezicht op onder andere banken, verzekeringsmaatschappijen en pensioenfondsen. Daarnaast houd ik mij nog bezig met forensisch georiënteerde onderzoeken en het verlenen van technische assistentie aan IMF/wereldbank kiesgroeplanden. Onze kiesgroep bestaat uit centrale banken van landen in Oost-Europa die wij ondersteunen bij het opzetten en/of het verder professionaliseren van hun IAD’s.” Je bent ook actief voor het IIA. Ik heb gezien dat je in ieder geval trainingen verzorgt. Wat doe je precies?
Dag Rob. Om mee te starten: je werkt bij De Nederlandsche Bank. Vertel ons eens in een notendop wat je dagelijks bezighoudt daar bij de DNB. En waar woon je, woon je alleen of samen?
“Ik ben van huis uit afkomstig uit de Zaanstreek en dat kun je soms nog horen. Sinds 1998 woon ik in ‘de parel’ van de regio West-Friesland: Opmeer. Dat is een dorp ongeveer halverwege Hoorn en Schagen. Ik woon samen met Yvonne, die overigens ook bij DNB werkt. Wij zijn dus te typeren als een ‘bankstel’. Ik ben werkzaam binnen de IAD van DNB. De IAD bestaat in totaal uit zeventien medewerkers. De activiteiten van DNB zijn best veelzijdig, dus het werk van onze IAD is afwisselend. Voor de uitvoering van audits werken we vanuit een bankbrede risicoanalyse in multidisciplinaire teams. In ‘mijn’ team hebben we als aandachtsgebied het girale- en chartale betalingsverkeer, financiële stabiliteit, kantoorau-
AUDIT magazine
nummer 1 maart 2006
34
“Sinds 2001 ben ik actief voor het IIA, ik verzorg inderdaad trainingen. Specifiek de training ‘Introductie in IT-auditing’. Een heel leuk onderwerp en een training die ik ook met veel plezier geef. In eerste instantie bij de CPD (Commissie Professional Development - red.). De CPD was destijds verantwoordelijk voor de organisatie van seminars, congressen en trainingen. Omdat de werkzaamheden van de diverse werkgroepen uit elkaar gingen lopen, is toen besloten de organisatie van trainingen onder te brengen in een aparte commissie. De commissie Trainingen bestaat nu uit vier personen. We houden ons voornamelijk bezig met het opstellen van het trainingsprogramma. Daarvoor selecteren wij geschikte onderwerpen, trainers en locaties. Als er overigens nog organisaties zijn die ons willen ondersteunen door een trainingslocatie ter beschikking te stellen, dan kunnen ze met een van de commissieleden contact opnemen. Zo… een beetje reclame maken mag toch wel? Onze commissie monitort verder de kennisbehoefte van de beroepsgroep zodat we een goed en gevarieerd
programma kunnen aanbieden. Een van de resultaten daarvan is dat het IIA nu ook trainingen aanbiedt ter voorbereiding op het CIA-examen.” Het aardige van deze rubriek is dat we een kijkje nemen achter de schermen in het leven van een collega. Jij hebt één grote passie: ballroomdansen. Dat is weer helemaal hip sinds het vorig jaar zoveel aandacht kreeg op de Nederlandse TV. Hoeveel betekent deze passie voor je?
de mens achter de auditor “De uitzendingen van ‘Dansen Met Sterren’ op tv hebben hun uitwerking op het publiek niet gemist. Volgens mij is het in de dansscholen nog nooit zo druk geweest als dit seizoen. Het was natuurlijk ook erg leuk om te zien. ‘Dansen Met Sterren’ is overigens een programmaconcept dat uit Engeland over is komen waaien en, á la Big Brother, ook in andere landen is opgepakt. Zo heb ik in de Italiaanse versie de beroemde voetballer Diego Maradonna eens de Samba zien dansen. Dat was vanuit danstechnisch oogpunt bezien echt verschrikkelijk, zeker als je in aanmerking neemt dat het een ZuidAmerikaan is. Vervolgens scoort hij dan ook nog een negen bij de jury… onbegrijpelijk. Bij onze versie van ‘Dansen Met Sterren’ vond ik de jury ook wat zwakjes acteren; die waren met hun beoordelingen ook erg ‘lief’ voor de paren. Dit in tegenstelling tot de Engelse versie waarvan ik elke aflevering heb gevolgd. Daar werden
rustig enen gegeven en was het commentaar, overigens terecht, niet van de lucht. Het mooie van dit soort programma’s is dat er voor wat betreft stijldansen een groot vooroordeel, vooral bij mannen, is weggenomen. In Engeland deden hele populaire cricketspelers en twee wereldkampioenen in snooker en atletiek mee. Maradonna in de Italiaanse versie had ik al genoemd en in Nederland hadden we natuurlijk Jim en de zwemster Inge de Bruin. De keerzijde van die programma’s is dat het allemaal erg gemakkelijk te leren lijkt en dat juist dit waarschijnlijk bij veel startende dansparen weer tot teleurstellingen leidt. Voor de tv-programma’s hebben de sterren eigenlijk gewoon een ‘kunstje’ geleerd, waarmee ik niet wil zeggen dat het er slecht uitzag of dat het ze is komen aanwaaien. Ze hebben veel trainingsuren gemaakt, maar ze hadden wel privéles, één choreografie, één dans per keer en uitsluitend met één partner. De sterren vielen dan ook prompt door de mand toen zij in het programma van Jensen werden gevraagd even met elkaar te dansen. Dan worden plotseling andere dingen ook belangrijk, zoals het leidinggeven van de heer. Het is moeilijk om toe te geven, maar als er wat fout gaat, ligt dat vaak wel aan de man.” Hoe blijf jij op de dansvloer in control?
“Op de dansschool of in een echte wedstrijd is het echt andere koek vergeleken met wat in ‘Dansen met Sterren’ te zien is. Om te beginnen gaat het dan niet om één dans maar om een scala aan standaarddansen. In de ballroomsectie heb je het dan over de Engelse wals, Tango, Slow Foxtrot, Weense wals en Quickstep en voor de Latin komen de Rumba, Chacha-cha, Samba, Paso Doble en Jive aan de orde. Of die er allemaal inzitten, hangt dan overigens nog van het jaar en/of de klasse af. Maar drie in elke sectie zijn het er zeker. Daarnaast zijn er natuurlijk nog de andere paren op de vloer die je voorgenomen choreografie aardig in de war kunnen sturen als ze plotseling je pad kruisen. Al dansend moet je dus in elk geval beoordelen wat het effect kan zijn van wat je andere paren ziet doen, hoe dat jou ‘in
de weg’ kan zitten en hoe je dat gaat oplossen. Dat betekent snel kunnen inschatten hoe je je eigen programma aanpast waarbij je toch in staat moet blijven je eigen lijn vast te houden of terug te laten komen. Intussen moet je dat ook nog even met je partner communiceren waarbij uitgebreide mondelinge en schriftelijke consultatieronden helaas niet tot de keuzemogelijkheden behoren. De muziek gaat immers verder. ‘Floorcraft’ heet dat in de danssport. Wat dat aangaat zou een onderdeel stijldansen in trainingen een goede aanvulling zijn om de managementvaardigheden op te krikken. Op de dansvloer valt het immers direct op als je niet in control bent. In een organisatie kan een manager dat nog wel eens een poosje maskeren.” Wat heeft jouw voorkeur? Ballroom of Latin?
“Ballroom heeft mijn voorkeur. Wat ik zelf erg belangrijk vind, zijn een goede technische afwerking, figuren en lijnen die bij een paar passen qua postuur, gevoel voor de muziek en flair. Als je goed naar muziek luistert, kan je dat ook mooi gebruiken bij bepaalde figuren omdat bepaalde fragmenten in een muziekstuk soms heel mooi de uitvoering van een bepaald figuur kunnen versterken. Dit omdat het visueel en auditief matcht. Dat vraagt veel oefening. Zelf ben ik al zo’n twintig jaar geleden met dansen begonnen. Mijn vriendin moest er eigenlijk niet zo veel van hebben. Gelukkig is zij nu ook besmet met dit virus. Samen oefenen we nu vier keer per week bij drie verschillende dansscholen. Bij twee dansscholen in de normale groepslessen. Daar kun je heel mooi je ‘floorcraft’ oefenen omdat je niet alleen op de vloer staat. Bij één school zelfs met ongeveer veertig paren tegelijk. Bij dansschool Ger van Zandwijk in AmsterdamNoord hebben we daarnaast één keer per week privéles en kort voor een wedstrijd twee keer per week. We hebben juist voor hem gekozen omdat hij niet alleen een goede trainer is, maar zelf ook veel wedstrijdervaring heeft en dat vinden we erg belangrijk. Bovendien is het een aardige vent en dat is ook plezierig.”
AUDIT magazine
nummer 1 maart 2006
35
The Process of Success
BWise, leading Corporate Governance player
FOR MORE INFORMATION
in Europe.
PLEASE CONTACT BWISE AT +31 (0)73 6464911 OR VISIT OUR WEBSITE WWW.BWISE.COM
column
van de sponsor
Accountants moeten kleur bekennen E. Mouthaan*
inds de Code Tabaksblat wettelijk is veran-
S
Daarmee is echter nog altijd geen duidelijke normering
kerd, wordt van het management van beurs-
gegeven voor begrippen als ‘redelijke mate van zekerheid’,
genoteerde ondernemingen een uitspraak
‘materiele tekortkoming’ en ‘naar behoren gewerkt’. Niet
verwacht over de effectiviteit van de interne
duidelijk is bovendien wanneer er een indicatie is dat het
beheersing. Omdat er op dit gebied nog wei-
systeem niet naar behoren zal werken in het lopende jaar.
nig ervaring was en heldere normen ontbraken, publiceer-
Verder is geen invulling gegeven aan het proces om tot een
den veel ondernemingen in hun jaarverslag over 2004 nog
dergelijke verklaring te komen. Cruciale vragen ten aanzien
niet klaar te zijn voor een dergelijke verklaring. Daarmee
van bewijsvoering en documentatie blijven onbeantwoord.
behoorde best practice-bepaling II.1.4. van de Code
Ook wordt geen uitspraak gedaan of, en zo ja in welke
Tabaksblat tot de bepalingen met het laagste percentage
mate, gesteund mag worden op de bevindingen van de
naleving. De Commissie Frijns heeft dan ook aanbevelingen
externe accountant bij de jaarrekeningcontrole. Een ver-
gedaan omtrent de toepassing van dit principe, en spreekt
klaring van de externe accountant op de verklaring van
in dit geval van ‘good practice’. De commissie is van oor-
adequaatheid en effectiviteit van het bestuur wordt niet
deel dat aan best practice-bepaling II.1.4 wordt voldaan als
wenselijk gevonden. En ook geen woord over de rol van de
aan onderstaande punten 1 en 2 wordt voldaan.
interne auditor in het rapport van de Commissie Frijns. Kortom, de vragen en onzekerheden zijn er niet minder
1. Ten aanzien van financiële verslaggevingsrisico’s:
door geworden.
• wordt verklaard dat de risicobeheersings- en controlesystemen een redelijke mate van zekerheid geven dat de
Nu hebben zowel het NIVRA als het IIA nooit het initiatief
financiële verslaggeving geen onjuistheden van materieel
willen nemen om een antwoord op deze vragen te geven,
belang bevat;
die immers ook al onder de Code Tabaksblat bestonden. Dit
• wordt verklaard dat de risicobeheersings- en controle-
zou primair voorbehouden zijn aan het bedrijfsleven en de
systemen in het verslagjaar naar behoren hebben
toezichthouders. Op zich een begrijpelijk en verdedigbaar
gewerkt;
standpunt. Desondanks is voor externe accountants en
• wordt verklaard dat er geen indicaties zijn dat de risico-
interne auditors nu het moment gekomen om kleur te
beheersings- en controlesystemen in het lopende jaar
bekennen en met concrete antwoorden te komen. Bij voor-
niet naar behoren zullen werken;
keur in nauwe samenwerking met de organisaties voor
• eventuele tekortkomingen die mogelijkerwijs materiële
controllers en CFO’s.
gevolgen kunnen hebben en in het verslagjaar respectievelijk het lopende jaar zijn geconstateerd, worden gemeld,
Door expliciet een verklaring op te nemen ten aanzien van
waarbij tevens aangebrachte of geplande verbeteringen
financiële verslaggevingrisico’s is het in control statement
worden aangegeven.
immers nog meer gaan lijken op een SOX 404 statement, echter zonder een vergelijkbaar robuust assessmentpro-
2. Ten aanzien van andere risico’s (operationele/stra-
ces. Bovendien valt voor de leek al snel het onderscheid
tegische risico’s en wet- en regelgevingrisico’s):
weg ten opzichte van de strekking van de accountantsver-
• een beschrijving van de risicobeheersings- en controle-
klaring bij de jaarrekening. Hierdoor dreigt, nog meer dan
systemen op basis van de geïdentificeerde belangrijke
al onder de Code Tabaksblat het geval was, een nieuwe
risico’s wordt gegeven;
verwachtingskloof. Vooral bij buitenlandse investeerders.
• indien van toepassing, belangrijke tekortkomingen die in
Dit kan de relatie met de stakeholders ernstig verstoren en
het verslagjaar zijn geconstateerd worden gemeld, waar-
daarmee de concurrentiekracht van ondernemingen
bij tevens aangebrachte of geplande verbeteringen wor-
ondermijnen. De direct betrokken professionals (externe
den aangegeven.
accountant, interne auditor, controller en CFO) kunnen zich dan ook niet langer afwachtend opstellen. Duidelijkheid is
Voor wat betreft de inhoud van een ‘redelijke mate van
geboden, en wel snel.
zekerheid’ dient uitgegaan te worden van wat als zodanig geldt voor een zorgvuldig handelend bestuurder in de gegeven omstandigheden.
* partner bij Deloitte Accountants bv
AUDIT magazine
nummer 1 maart 2006
37
SOx
Company level controls: de
basis voor de vernieuwde SOx-aanpak?
Meer focus op de aandachtsgebieden waar het in het verleden fout is gegaan en minder focus op de processen. Dit is het nieuwe inzicht van de SEC en de PCAOB na de round table in april 2005 met Amerikaanse ondernemingen over de implementatie van de internal control-vereisten voor SOx 404. De feedback van de round table geeft aan dat ondernemingen verbeteringen hebben gerealiseerd ten aanzien van hun internal control en identificeert tevens mogelijkheden tot verbetering in de SOx 404-aanpak zodat onnodige werkbelasting en kosten kunnen worden verminderd.
A. Demneri en W. Swinkels
TRUST
Sinds 2002 staat governance sterk in de belangstelling bij multinationals door de Sarbanes-Oxley-wetgeving. De achterliggende gedachte van de SOx-wetgeving is om het vertrouwen van de financiële markten en samenleving te verhogen. De top van een onderneming heeft de schijnwerpers op zich gericht, waarbij de omgeving verlangt dat de CEO’s en CFO’s het vertrouwen in de beursgenoteerde ondernemingen en de kapitaalmarkt weer opbouwen. Het is duidelijk niet de tijd van ‘trust me’ maar ‘prove me’ (zie figuur 1).
Prove me
Trust me Tell me Show me
TRANSPARENCY Figuur 1. Trust - Transparency curve.
AUDIT magazine
nummer 1 maart 2006
38
‘Prove me’ ‘Prove me’ betekent dat de top richting aandeelhouders moet aantonen dat ze in control zijn, oftewel dat de cijfers betrouwbaar zijn. Maar is het in control zijn niet meer dan alleen maar cijfers? De financiële markten willen ook zekerheid over de continuïteit van de onderneming, de integriteit van de top en de waarborging van integriteit binnen een onderneming. Externe auditors hebben voor het geven van een oordeel over het interne beheer van een onderneming een raamwerk nodig. Door de SEC en het PCAOB wordt naar aanleiding van de SOx-wetgeving het COSO-raamwerk (het Internal Control - Integrated Framework) aanbevolen voor het beoordelen van interne risico beheersings- en controlsystemen. Het COSO-raamwerk helpt ondernemingen bij het ontwikkelen van een internal control-systeem waardoor een onderneming een grotere mate van zekerheid heeft dat zijn doelen worden behaald. Vanuit COSO worden drie doelen uiteengezet: • een efficiënt en effectief gebruik van resources; • betrouwbaarheid van de (financiële) rapportages; • voldoen aan wet- en regelgeving.
SOx Een beperking in de toepassing van het COSO-raamwerk Ontwikkelen Identificeren Matchen van Testen van Concluderen en gemeenschappelijk key controls key controls key controls rapporteren voor de Sarbanes-Oxley-verkader eisten is de sterke nadruk op Figuur 2. De vijf stappen van het in kaart brengen van company level controls slechts een van de doelen van het raamwerk, de betrouwbaarheid van de jaarrekening. De andere COSO-doelen worgen moeite kost company level controls handen en voeten te den minder direct gerelateerd aan de jaarrekening en komen geven. Hierdoor blijven de company level controls vaag en moeidaardoor minder onder de aandacht. Het COSO Internal Controllijk tastbaar terwijl wij van mening zijn dat ze in de praktijk juist raamwerk bestaat verder uit een aantal componenten: heel tastbaar zijn te maken. • control environment; • risk assessment; Value added approach • information & communication; Hoe kunnen de company controls leiden tot een value added • control activities; approach? Voor een effectieve en efficiënte aanpak van het in • monitoring. kaart brengen van company level controls door of namens het management, vormt een top-downaanpak het uitgangspunt. Er De componenten kunnen worden onderverdeeld in twee groepen. zijn vijf stappen die kunnen leiden tot een effectieve en efficiënte Enerzijds de proces controls, die naar voren komen bij de comaanpak (zie figuur 2). ponenten control activities en monitoring. Anderzijds de company level controls, die bestaan uit de componenten control enviStap 1 ronment, risk assessment, information & communication en Ontwikkelen Het creëren van een gemeenschappelijk (procesoverstijgende) monitoring. gemeenschappelijk referentiekader is de eerste stap richting De company level controls hebben een procesoverstijgend effect kader een gedragen, gedegen en begrijpbaar op de organisatie en kunnen een significante invloed hebben op kader. Hierbij kunnen de standaard objectives uit COSO het aande algehele beoordeling van de effectiviteit van internal control. grijpingspunt zijn. Maar dit raamwerk is te generiek en bevat te Daarnaast wordt in de praktijk de general computer controls veel vaktechnische termen. Voor mensen zonder financiële achvaak als aparte groep behandeld. In dit artikel zullen we niet spetergrond blijft het COSO-raamwerk te technisch. Daarom is het cifiek ingaan op de proces controls en de general computer convan belang om van een generiek uitgangspunt de stap te zetten trols, maar ligt onze focus op de company level controls. De richting het bedrijfspecifiek maken van de company controls. company level controls bestaan uit controls waarin het bij de Een gemeenschappelijk kader kan worden gerealiseerd door het schandalen fout is gegaan. Hierdoor zijn deze controls van groot gebruiken van de specifieke ondernemingstaal. Het is niet de belang in het kader van het governancevraagstuk. Deze company bedoeling om de company level controls-uitwerking beperkt te level controls bekijken wij vanuit het hoogste organisatorische houden tot de financiële managers. Juist de CEO, divisie- en niveau van een onderneming. business unit management, maar ook bijvoorbeeld HR- en legal managers moeten bijdragen aan een gemeenschappelijk referenHet belang van de company level controls tiekader. De specifieke ondernemingstaal dient dan ook van hen Uit recente publicaties van de SEC blijkt dat er door ondernevandaan te komen. Zij zijn voor een belangrijk deel verantwoormingen te veel nadruk is gelegd op het procesniveau en de daardelijk voor het zetten van de toon aan de top en dus zijn zij sleubij behorende controls in vergelijking met de company level contelpersonen in het bepalen van het company level control-kader! trols. Een mogelijke oorzaak hiervan is dat de company level controls minder tastbaar zijn. Er bestaat een minder directe relaStap 2 tie met de jaarrekening en er bestaan minder ‘harde’ normen. Identificeren De tweede stap is het focussen van de De SEC geeft in haar policy statement van 16 mei 2005 echter key controls onderneming op de echte - key - comaan dat ondernemingen onder andere een top-down, risk basedpany level controls. Dit zijn de controls aanpak moeten hanteren om het SOx 404-proces efficiënter uit te waar het management echt op steunt (bijvoorbeeld belangrijke voeren. Het startpunt van deze top-downaanpak is de company committees). Het in kaart brengen van deze controls verdient de level controls. De PCOAB heeft dit overgenomen in hun recente voorkeur boven het focussen op het afvinken van de aanwezignieuwe policy statement (PCOAB 2005-009, 2005). Deze nieuheid van alle COSO best practices. we richtlijn biedt de mogelijkheid om een meer efficiënt en Vaak zijn de company level controls versplinterd aanwezig bineffectief complianceprogramma op te zetten met een andere testnen de onderneming, maar er kan voor worden gekozen om alle aanpak en verminderde kosten. besturingsinstrumenten (c.q. company level controls) in hun De vraag is nu hoe deze verandering in aanpak concreet moet onderlinge samenhang vast te leggen in één governancedocument. worden ingevoerd. We merken in de praktijk dat het ondernemin-
AUDIT magazine
nummer 1 maart 2006
39
SOx Een top-downaanpak is belangrijk om onnodig werk op een lager niveau te voorkomen. Het inrichten van het company level control-kader start uiteindelijk toch vanuit het hoogste niveau. Door middel van vragenlijsten en diepte-interviews kan inzicht worden verkregen in de key company controls en de pijnpunten binnen de onderneming. Een open cultuur is wel een belangrijke voorwaarde voor het verkrijgen van goed inzicht in eventuele problemen. Naast een vragenlijst leiden ook individuele interviews tot goede resultaten.
Matchen van key controls
Stap 3
Als derde stap moet een vergelijking worden gemaakt van de company level controls op corporate level met de controls binnen de BU’s en entiteiten. Een belangrijke vraag betreft het uitvinden van waar de match ligt en waar de afwijkingen: in welke mate sluit het centrale besturingskader aan op de decentrale Aida Demneri en besturingskaders. Het resulWalter Swinkels taat van deze stap is een comAida Demneri en Walter Swinkels zijn pleet overzicht van de centrale werkzaam bij Deloitte Enterprise Risk en decentrale governanceServices. Dit artikel is op persoonlijke titel structuren en de mogelijke geschreven. Voor vragen en discussie kan gaten of doublures daartussen. worden gemaild naar ademneri@deloitDoor de gaten in het raamte.nl en
[email protected]. werk tijdig te identificeren, kunnen passende maatregelen worden genomen binnen de onderneming. Het inzicht in het totaal van de governance-elementen biedt de mogelijkheid om een grotere mate van uniformiteit te bereiken. Op corporate niveau kunnen controls worden gedefinieerd en geïmplementeerd. Hierdoor worden bestaande leemten, overlap en inconsistenties in het raamwerk verwijderd, hetgeen een efficiencyslag teweeg brengt.
AUDIT magazine
nummer 1 maart 2006
40
Stap 4 Testen van key controls
De vierde stap is het vaststellen of het vastgestelde company level controlsraamwerk bestaat en werkt zoals het in interne documenten is vastgelegd. Aan de hand van het vastgestelde company level controls-raamwerk worden de concrete testplannen opgesteld. Daarnaast is het van belang om te bepalen welke CLC getest moeten worden; welke controls moeten worden getest op corporate en welke op BU/Entityniveau. Het doel is om de testen uit te voeren op zo’n hoog mogelijk niveau om efficiencyvoordelen te bereiken. Vooral monitoring controls kunnen op het hoogste niveau worden getest. Een voorbeeld is het volgen van een code of ethicstraining. De uitvoering van zo’n training kan via een internetapplicatie (e-learning) plaatsvinden. De voltooiing van deze training door alle medewerkers kan op corporate niveau worden gemonitord. Ook het testen van de compleetheid van de gevolgde trainingen kan eenmalig worden getest op corporate niveau. Dit bespaart veel testen en tijd. Het daadwerkelijke begrip van de code moet wel op lokaal niveau worden gecheckt. Dit kan desnoods als specifiek onderdeel van proces level testing plaatsvinden. Sommige controls zijn echter landenspecifiek waardoor deze niet op corporate niveau, maar op local niveau moeten worden getest. Een voorbeeld is het uitvoeren van background checks. Voor deze control is het van belang dat de HR-manager van elk land begrijpt welke restricties van toepassing zijn. De background checks moeten immers worden uitgevoerd in overeenstemming met de lokale regelgeving. Ook de verplichtingen rondom de ‘whistleblower hotline’ moeten op lokaal niveau worden bekeken door het management. De Sarbanes-Oxley act vereist dat er een whistlebower hotline geïmplementeerd is binnen de onderneming. Op corporate level klinkt dit ook logisch als middel tegen fraude. Echter, deze whistleblower hotline leidt tot problemen in Europa door de wetgeving rond de bescherming van gegevens. Regelgeving in bijvoorbeeld Frankrijk maakt het moeilijk om iemand anoniem van fraude te beschuldigen. Medewerkers hebben onder meer het recht om geïnformeerd te worden dat een onderzoek naar hen wordt uitgevoerd. Voor Franse entiteiten is de whistleblower hotline dus geen adequaat middel voor het tegengaan van fraude. Hierdoor ontstaat een juridisch dilemma: door het opzetten van een whistleblower hotline in Frankrijk loopt een onderneming mogelijk tegen lokale wetgeving aan, terwijl bij het uitblijven van het implementeren van de whistleblower hotline niet wordt voldaan aan de Sarbanes-Oxley-wetgeving. De uitspraak van de SEC is dat de wetgeving op het gebied van integriteit breed is gedefinieerd en dat ondernemingen maatregelen moet nemen die het beste aansluiten bij de lokale regelgeving. Hieruit kan geconcludeerd worden dat een top-downaanpak noodzakelijk is, maar altijd in afstemming met de lokale situatie moet worden geïmplementeerd. Dat hoeft geen probleem te zijn zolang het management de afwijkingen voldoende beargumenteert en er geen lokale wetgeving wordt overtreden.
SOx Stap 5
De vijfde stap gaat in op het concluderen en rapporteren van de onderzoeksresultaten. Tijdens deze stap worden de deficiënties beoordeeld, acties gedefinieerd en gealloceerd als gevolg van de testresultaten. Een belangrijk onderdeel van het rapportageproces betreft het identificeren en vaststellen van de uitkomsten van het onderzoek naar de company level controls. In de analyse wordt inzicht verkregen in resultaten en issues per COSO-component. Een ontbrekende control hoeft niet altijd te leiden tot een deficiëntie, zie bijvoorbeeld het verhaal hiervoor rond de whistleblower hotline. Uiteindelijk moet het geheel van controls in samenhang worden bekeken en beoordeeld. Per COSO-component wordt de mate van significantie van de deficiënties beoordeeld door het corporate management. Op deze wijze wordt op een geconsolideerde manier een beoordeling gemaakt van de COSO-componenten op corporate niveau en op de verschillende niveaus binnen de onderneming (zie figuur 3). Concluderen en rapporteren
ls
ro nt
Zoals eerder genoemd, bestaat het COSO-raamwerk naast de company level controls ook uit de proces controls. De CEO en CFO moeten een uitspraak doen over het gehele COSO-raamwerk in het kader van de in control-verklaring. Tijdens de rapportagefase moet daarom een link worden gelegd tussen de company en de proces level controls. Door deze link te leggen kunnen eventuele gaten en doublures worden geïdentificeerd en bijbehorende risico’s worden gemitigeerd. Vernieuwingskansen in de scope van de SOx-aanpak De kwaliteit van het design en de effectiviteit van de company level controls is van sterk belang voor het bepalen van het niveau van de benodigde werkzaamheden op procesniveau. Daarom is geadviseerd om de werkzaamheden voor de company level controls voorafgaand aan de proces level controls assessment uit te voeren. Bij een omgeving met sterke company controls kan de scope van de proces controls-werkzaamheden worden gereduceerd, en vice versa (zie figuur 4). Hierbij moet wel worden opgemerkt dat er altijd een minimum niveau aan company level controls aanwezig dient te zijn om in control te kunnen zijn.
Groep CLCs
o
Divisie / BU CLCs
Gaten en/of doubleures?
Hoog
fc
eo
p Ty
Entiteit CLCs
Conclusie De veranderde inzichten van de SEC en PCAOB geven de mogelijkheden
}
Laag
Figuur 3. Integraal overzicht van de controls
Focus op Proces Level Controls
Proces Niveau Controls
Zwak
voor vernieuwing en verbreding van de controlaanpak. Deze aanpak biedt
Sterk
Company Level Controls
de volgende twee efficiëntiemogelijkheden: 1. Wij gaan uit van een top-downaanpak met een focus op de key controls
Minimum niveau CLC
Figuur 4. Scope van de company level controls
die aansluiten op het gemeenschappelijke kader van de onderneming. Hierdoor worden de implementatie, betrokkenheid en het draagvlak sterk verbeterd. 2. Effectieve company level controls bieden de mogelijkheid om de scope van de werkzaamheden te rationaliseren tot de werkzaamheden die echt nodig zijn. Door in een vroeg stadium aandacht te besteden aan de company level controls, kunnen de werkzaamheden op proces levelniveau sterk worden verminderd. Literatuur Deze aanpak biedt ook een goed handvat voor de verdere invulling van de Code Tabaksblat. De company level controls vormen namelijk de basis controls van elke onderneming. Meer aandacht voor deze basis controls kan bijdragen aan een meer gefundeerd antwoord op de vraag of een onderneming in control is. Hierbij bedoelen we met in control dat sprake is van een redelijke mate van zekerheid in het behalen van de doelstellingen,
• Committee of Sponsoring Organizations of the Treadway Commission (COSO), Executive Summary, september 1992. • PCAOB Release No. 2004-001, An audit of internal control over financial reporting performed in conjunction with an audit of financial statements, March 9, 2004. • PCAOB Release 2005-009, Policy Statement regarding the implementati-
met niet alleen aandacht voor de financiële processen maar ook met aan-
on of Auditing Standard No. 2, An Audit of Internal Control Over
dacht voor de bredere management controls.
Financial Reporting Performed in Conjunction with an Audit of Financial Statements (‘Auditing Standard No. 2’), May 16, 2005
AUDIT magazine
nummer 1 maart 2006
41
verenigingsnieuws
Uitzicht op een hectisch jaar De integratie tussen IIA en VRO, waarvoor
aansprakelijkheidsrisico’s buiten de vereni-
sorgelden moeten worden aangeboord. Op
jaren geleden met de samenwerking rondom
ging te liggen en wordt de onafhankelijkheid
dat laatste vlak zijn de eerste successen
Audit Magazine de eerste stappen werden
nog beter gewaarborgd.
geboekt en blijkt de belangstelling bij de grote partijen al hartverwarmend.
gezet, neemt steeds vastere vorm aan. Op 24 november 2005 werd in opeenvolgende
Mid-year meeting
Overigens hebben we ook als vereniging niet
ledenvergaderingen van VRO en IIA unaniem
Advocacy was een hoofdonderwerp op de
te klagen over belangstelling van sponsors
ingestemd met een volledige fusie tussen
jaarlijkse ‘mid-year’ meeting van IIA Inc.,
(zowel in geld als diensten) en vinden diverse
beide beroepsverenigingen. De uitwerking
begin december 2005, waar IIA-Nederland
gesprekken plaats over continuering daarvan,
van alle details zal in de loop van 2006 plaats-
met een ruime delegatie was vertegenwoor-
vaak gedurende langere periodes.
vinden, maar in de praktijk al vanaf begin dit
digd en daardoor op vele internationale
jaar gestalte krijgen op basis van één vereni-
beleidsterreinen input kon leveren.
Samenwerking
ging. De eerste uiting daarvan, de feestelijke
Een belangrijk issue bij dergelijke bijeenkom-
Een samenwerking met hogeschool Avans+
gezamenlijke nieuwjaarsborrel in Utrecht,
sten is de (rapportage over) voortgang van
heeft het IIA mogelijk gemaakt voor de CIA-
was een groot succes.
‘onze’ internationale conferentie in
examens van mei een gedegen CIA-training
Amsterdam in 2007. Ons streven om in 2007
aan te bieden, die meer is dan alleen een
Eind 2005 nam het bestuur van IIA het princi-
1750 deelnemers bij elkaar te brengen werd
examentraining. Vanwege de grote aantallen
pebesluit om het bureau uiterlijk aan het eind
met vreugde begroet. De diverse bij de orga-
examenkandidaten en in de praktijk gebleken
van dit jaar buiten het NIVRA-kantoor te huis-
nisatie ervan betrokken commissies (bemenst
behoefte, wordt verwacht dat deze training
vesten. Een task-force onder leiding van Thijs
door inmiddels bijna vijftig actieve vrijwilli-
een grote vlucht zal nemen.
Smit bereidt de verhuizing voor. In drie werk-
gers!) raken steeds intensiever betrokken,
Bij de examens van november behaalden 26
groepen (Huisvesting, IT/applicaties en HRM)
zeker nu de tijd steeds sneller lijkt te gaan.
mensen hun CIA-titel, terwijl ook de twee
worden specifieke aandachtspunten onder
We gaan een belangrijke fase in waarin het
deelnemers aan het CCSA-examen en één
de loep genomen. Overigens staat deze ver-
programma moet worden ingevuld met onder-
aan het CFSA-examen deze titels verworven.
huizing los van de inhoudelijke samenwerking
werpen en namen, een website moet worden
De slagingspercentages lagen hoger dan bij
met het NIVRA, die juist zwaar versterkt zal
opgezet, de marketingactiviteiten waarmee
de voorgaande examens, met 58 procent voor
gaan worden.
daadwerkelijk deelnemers worden getrokken
CIA, 100 procent voor CCSA en 100 procent
ten uitvoer moeten worden gebracht én spon-
voor CFSA.
Systeem voor toetsing Nu we na een jaar van leerzame pilots zo ver zijn dat het systeem van kwaliteitstoetsing goed lijkt te kunnen werken, is het hoog tijd voor een goede operationele invulling ervan. Oorspronkelijk werd gedacht deze te kunnen onderbrengen in de nieuwe onafhankelijke stichting waarin het College Toetsing Kwaliteit van het NIVRA wordt neergezet, maar inmiddels heeft het CTK te kennen gegeven af te stappen van het systeem van accreditatie. Dit noopt tot een eigen invulling die bovenal gericht is op de toetsing van internal auditors aan de eigen internationale standaarden, waar desgewenst een specifieke toetsing van RA’s aan kan worden toegevoegd (om dubbele toetsingen te voorkomen, wat altijd al ons streven was). Het bestuur heeft besloten om in 2006 een volledig systeem van toetsing in te voeren en daartoe een aparte stichting op te richten; daarmee komen de financiële en
AUDIT magazine
nummer 1 maart 2006
42
Nieuwe leden IIA
Nieuwe Groepsleden
• D. Boerman, Uti Nederland bv, geassocieerd • Drs. P.P.J. Bosch RO, Ernst & Young Accountants, gewoon • J.H. Brinker RA, Getronics Corporate bv, geassocieerd • M.J. Brouwer CIA, ministerie van Defensie, gewoon • S.B. de Graaf RS, Stichting Cordaid, geasscocieerd • Drs. K.L. Leijendekker RA RE CISA, Friesland Bank nv, geassocieerd • Drs. R.F. Nienhuis-de Jonge RA, Hogeschool Rotterdam, bureau AMC, geassocieerd • J. Peeperkom, TriFinance, geassocieerd • R.W.P. Pieters, Koninklijke Landmacht, geassocieerd • Ir. R.G.L. van der Put RE, ABN AMRO nv, gewoon • C. Vogel, UWV, geassocieerd • Drs. P.C. van Zuilen RA, KLM Royal Dutch Airlines, geassocieerd
• Ministerie van Financiën • Ministerie van Justitie • Ministerie van Binnenlandse zaken
Geslaagden Personen die het CIA-examen in november 2006 met goed gevolg hebben afgelegd: • A.J.M. van Spreuwel RA • Drs. J.A. Man • Drs. L.E. Jalink RC • Drs. J. Huisman RO EMIA • E.L. Verhaaf RE • Drs. J.H.M. van der Hulst RA • J.W.E. Matthijssen • B. Scholten • Ing. J.F. Kuperus RE • Drs. C.H. de Bruijn RE • Drs.ing. H.A.L.E. van Denzen RE • Drs. E.A.H.J. Fouarge
• Ir. V. Hoefakker RE CISA • Drs. P.A. Neelissen RA • R.W.P. Pieters • E. Ryan • L.K. Wallin • Drs. M.M. Geleedst RA • S.T. Yavuz • Drs. R. Moor CISA RE • Ir. A.L. Uittenbroek RE • Drs. K. Kegel RA • Drs. N. Eyssen RA • Drs. M.P.M. Konings RE • I. Kranenburg • G. van Tilburg Personen die het CFSAexamen in november met goed gevolg hebben afgerond: • P.A.W. Verheijen AA VA CB CIA Personen die het CCSA examen van november met goed gevolg hebben afgerond: • S. Burley • A. Riorda
verenigingsnieuws NOREA reageert op het afscheidsinterview van Pieter Moelker Door N. Arif In het vorige nummer van Audit Magazine hebt u het afscheidsinterview met Pieter Moelker kunnen lezen. Hij was degene die vanuit VRO de communicatie richting de leden voor zijn reke-
Reactie Pieter Moelker op de ingezonden
ning nam. In dat interview zegt Pieter iets over de relatie tussen de NOREA en het NIVRA. De
brief
ambtelijk-secretaris van NOREA, Wilfried Olthof heeft naar aanleiding hiervan een ingezonden brief gestuurd. U leest de letterlijke tekst van de genoemde brief met daarna de reactie van
“Als - niet actief opererend - RE-lid betaal ik
Pieter Moelker.
inderdaad jaarlijks de contributie aan de NOREA. Waar ik echter op doelde was dat
Ingezonden brief ambtelijk-secretaris van NOREA (integrale tekst)
in mijn waarneming de NOREA zich, na de oprichtingsfase waarin juist ook aandacht
Dames en heren,
was voor de doelmatigheid- en doeltreffendheidaspecten, al snel heeft beperkt tot
In het decembernummer van Audit Magazine is een interview gepubliceerd met Pieter Moelker,
het kwaliteitsaspect betrouwbaarheid,
scheidend eindredacteur van de VRO nieuwsbrief. Eén van zijn opmerkingen naar aanleiding
waarbij vanzelf heel dicht tegen de accoun-
van de samenvoeging VRO en IIA noopt tot een reactie. Hij zegt: “De NOREA, eens een zelfstan-
tancy is aangeschoven. In die periode heeft
dig opererende vereniging, is geheel onder de knoet van het NIVRA terechtgekomen en heeft
ook de inhuizing bij de NIVRA gestalte
daarom veel van zijn aantrekkelijkheid verloren”. De mate waarin een beroepsorganisatie al
gekregen, bezien in het licht van de ontwik-
dan niet aantrekkelijk is voor haar leden is uiteraard afhankelijk van de subjectieve beleving van
keling toen, een logische stap. De - in mijn
de leden zelf. Bij het eerste deel van zijn conclusie zou ik echter toch graag enkele kantteke-
ogen - interessante ontwikkeling van het
ningen willen plaatsen.
EDP-auditvak naar een objectieve op de beheersing gerichte functie ten behoeve
De NOREA is inderdaad een geheel zelfstandige beroepsorganisatie, mede door de eigen indivi-
van verbeteringen van de IT-infrastructuur,
duele contributiebijdrage van de leden, volstrekt onafhankelijk van opvattingen of standpunten
is daarbij totaal ondergesneeuwd. Op deze
van derden. Een aantal ondersteunende activiteiten wordt om redenen van doelmatigheid voor
ontwikkeling zat en zit het management nu
gemeenschappelijke rekening met het Koninklijk NIVRA uitgevoerd. Vakinhoudelijk zijn er soms
juist te wachten. De onafhankelijkheid van
raakvlakken of samenwerkingsmogelijkheden met de activiteiten van het NIVRA en soms tegen-
de opvattingen van het NIVRA was in die
gestelde of conflicterende opvattingen. Zo is er in 2002 een samenwerkingsconvenant gesloten
tijd onvoldoende. De EDP-auditfunctie is
met betrekking tot de ontwikkeling van audit- en assurance services. De gezamenlijke richtlijn
toen blijven hangen in het controlevraag-
inzake privacy audits die onlangs tot stand werd gebracht, is daarvan een concreet resultaat.
stuk ten behoeve van de accountant.
Echter, onze onafhankelijkheid geeft ons ook de vrijheid om kritische noten te kraken, zoals bij
Ik kan alleen maar verheugd zijn dat deze, in
de Ontwerp Gedrags- en Beroepscode van het NIVRA, waarbij naar onze smaak te veel wordt
mijn ogen beperkte, scope vanaf 2002 weer
afgeweken van de IFAC ‘Code of Ethics’ of bijvoorbeeld de Ontwerprichtlijn inzake de samen-
wat is verbreed, getuige de door Wilfried
werking met ‘materiedeskundigen’ waarbij de accountants blijkbaar nog steeds moeite hebben
aangedragen initiatieven van de NOREA. Ik
met het delen van verantwoordelijkheden met andere disciplines.
hoop dat deze lijn wordt voortgezet. Daarnaast hoop ik dat de VRO en het IIA de
Onafhankelijkheid is inderdaad een premisse voor een beroepsorganisatie. Daarnaast onder-
synergie blijven opzoeken, daar waar moge-
zoekt een volwassen organisatie ook samenwerkingsmogelijkheden en synergievoordelen met
lijk met andere beroepsorganisaties zoals
verwante beroepsorganisaties. Dit alles om de leden - naast de beroepskwalificatie - zoveel
NOREA, maar ook met het controllersinsti-
mogelijk toegevoegde waarde voor hun contributiebijdrage te leveren. Wij wensen IIA/VRO
tuut, teneinde de belangen van alle voor het
alsmede Pieter Moelker, veel succes in het bereiken van deze doelstellingen.
management opererende auditors goed te kunnen profileren ten opzichte van het
Met vriendelijke groet,
NIVRA. Dit is ook een van de randvoorwaarden voor het welslagen van het onderzoek
Wilfried Olthof
tot integratie van VRO en IIA, zoals aange-
ambtelijk-secretaris NOREA
nomen in de laatste ledenvergadering.”
AUDIT magazine
nummer 1 maart 2006
43
nieuws van de opleidingen Docententraining Op vrijdag 16 december 2005 vond weer de jaarlijkse training van de EMIA-docenten plaats. In het kader van de kwaliteitsborging van de opleiding organiseert de EMIA-opleiding jaarlijks een specifieke training voor alle
Vooraankondiging 10-jarig jubileum EMIA-opleiding aan de UvA
docenten. Op basis van evaluaties door de studenten en ervaringen van de docenten,
Dit jaar is het tien jaar geleden dat de EMIA-opleiding als Postdoctorale Opleiding
komen de onderwerpen tot stand die in deze
Operational Auditing aan de Universiteit van Amsterdam is gestart. Eind augustus 2006
training aan de orde komen. Naast het opfris-
wordt dit heugelijke feit gevierd. Op dit ogenblik zijn betrokkenen bij de opleiding, studen-
sen van de doceervaardigheden en het geven
ten en oud-studenten druk in de weer om invulling te geven aan deze dag. Over de invul-
van directe invulling aan de uitkomsten van
ling van deze dag, de precieze datum en plaats wordt u nog nader geïnformeerd.
de studentevaluaties, geven de docenten aan dat het succes van deze training met name ook ligt in het uitwisselen van ervaringen onderling en het leren van elkaar.
CIA-examentraining De EMIA-opleiding aan de Universiteit van Amsterdam organiseert jaarlijks trainingen ter voorbereiding op het CIA-examen. Dit voorjaar vindt de training plaats in de maanden maart en april, ter voorbereiding op het examen van 17 en 18 mei 2006.
UvA/Euroforum afsluitende bijeenkomst schriftelijke leergang Operational Auditing
De training beslaat zeven avonden van 18.30 tot 21.00 uur. Hoofddocent van de training is René Gemser. De overige docenten zijn Tonnie Buurman, Paul Willems, Erik van der Klei, André van der Ham en Erwin Burger. De examentraining is géén opleiding tot internal auditor. De behandeling van theorie is daarom beperkt. Naast een inleiding en toelichting per Part, ligt het accent op het collectief bespreken van examenvragen. Verdere examenvoorbereiding door middel van zelfstudie wordt aanbevolen. De training vindt plaats op de volgende data:
Op woensdag 25 januari 2006 vond de afslui-
• 7 maart 2006: Part I
tende bijeenkomst van de schriftelijke leer-
• 14 maart 2006: Part I
gang Operational Auditing plaats. De schrifte-
• 21 maart 2006: Part II exclusief IT
lijke leergang, uitgegeven door Euroforum, is
• 4 april 2006: IT deel van Part II en III
opgezet en ontwikkeld in samenwerking met
• 11 april 2006: Part IV
de EMIA-opleiding.
• 18 april 2006: Finance, deel van Part III
In deze leergang komen onder meer aan de
• 25 april 2006: Management Accounting, deel van Part III
orde wat de nieuwste ontwikkelingen zijn in besturing en beheersing van organisaties,
Voor studenten of oud-studenten van de EMIA-opleiding aan de Universiteit van
wat de toegevoegde waarde is van operatio-
Amsterdam is de deelname aan de training kosteloos. Voor niet-EMIA-studenten bedragen
nal auditing, op welke wijze state of the art
de kosten voor de training € 950.
operational audits worden uitgevoerd en de
Bij de training wordt gebruik gemaakt van de CIA Review-boeken van Gleim (meest recen-
do’s en don’ts bij de succesvolle implementa-
te druk). De deelnemers dragen zelf zorg voor de aanschaf van de boeken. Kosten voor
tie van operational auditing.
deze boeken en de kosten voor het examen zelf zijn voor rekening van de deelnemers. Een
In totaal namen ruim veertig cursisten deel
inschrijfformulier voor deze examentraining kunt u opvragen bij Mieke Koudijs:
aan deze leergang. Tijdens de afsluitende bij-
[email protected].
eenkomst hadden de deelnemers de gelegenheid specifieke vragen te stellen naar aanlei-
Meer informatie over het CIA-examen zelf, de aanmelding voor het examen, het bestellen
ding van het lesmateriaal, ervaringen met
van het studiemateriaal, vrijstellingen, et cetera vindt u op de IIA-website www.iia.nl.
medecursisten uit te wisselen en issues uit de eigen praktijk aan deskundigen voor te leggen.
AUDIT magazine
nummer 1 maart 2006
44
nieuws van de opleidingen Open dagen Erasmus School of Accounting & Assurance (ESAA) Cursus ‘Klassieke’ AO voor (EDP-)auditors
Op dinsdag 14 maart en 13 juni 2006 organi-
Bedrijfseconomie en Master of
seert ESAA voorlichtingsavonden voor geïn-
Management Control.
teresseerden in ons aanbod van onder
Over elk van de hiervoor genoemde oplei-
andere postgraduate masteropleidingen.
dingen wordt tijdens de voorlichtingsavon-
ESAA verzorgt binnen de Erasmus
den uitleg geven, zowel over de inhoud als
Generaties lang zijn (financiële) auditors
Universiteit Rotterdam momenteel vijf post-
over de opbouw van de opleiding. Tijdens
groot gebracht met de Administratieve
graduate masteropleidingen op het gebied
een informeel gedeelte is er tijd om vragen
Organisatie volgens Starreveld, de klassieke
van auditing en controlling, te weten
te stellen aan de medewerkers van de ver-
AO. In de huidige opleiding EDP-Auditing
Accountancy, Controlling, EDP-Auditing,
schillende opleidingen.
wordt in het vak Inrichting en Beheersing
Internal/Operational Auditing en Public
Hebt u of een van uw collega’s interesse in
van de Informatietechnologie (IBIT) minder
Controlling. Een postgraduate opleiding
een van de bovengenoemde opleidingen?
aandacht besteed aan deze klassieke AO.
Sustainability Management & Sustainability
Meldt u dan nu aan voor een voorlichtings-
Dit wordt door een aantal van onze klanten
Auditing start per september 2006. Voorts
avond van ESAA per e-mail:
als een gemis gezien. Om die reden heeft
herbergt ESAA ook de volgende masterop-
[email protected], of per telefoon:
ESAA besloten een cursus ‘Klassieke AO’
leidingen: Masterprogramma
010-4081521.
voor auditors aan te bieden. Deze cursus staat open voor iedereen die belangstelling heeft en sluit aan op de reguliere opleiding EDP-Auditing. De cursus heeft het karakter
Nieuw in collegejaar 2006-2007
van een stoomcursus. Dit betekent dat van de studenten veel zelfstudie wordt verwacht.
Ook in collegejaar 2006-2007 bieden we ons
Informatie en Inleiding Internal/Operational
Om toegelaten te worden tot het examen
succesvolle kopjaar voor afgestudeerden in
Auditing.
moet actief zijn deelgenomen aan het prak-
Accountancy, Controlling en EDP-Auditing
Van het tweede jaar stellen we de keuzemo-
tijkdeel van de cursus. De cursus start op 10
aan. Voor dit kopjaar is slechts een beperkt
dule open voor niet-studenten. In de keuze-
maart 2006 en loopt tot medio juni 2006. Voor
aantal plaatsen beschikbaar.
module behandelen we onderwerpen meer
nadere informatie: www.esaa.nl.
Komend jaar bieden wij op beperkte schaal
toegespitst op de drie richtingen Overheid,
de mogelijkheid om modules van het eerste
Financiële instellingen, Integrated audit/ont-
jaar separaat te volgen. In de periode sep-
wikkelingen. Op hoofdlijnen bestaat het pro-
tember tot december bestaat deze mogelijk-
gramma uit de volgende onderwerpen (wijzi-
heid voor de modules Administratieve
gingen voorbehouden):
Vooraankondiging Summercourse 2006
Organisatie, Financiële Management De EDP-Auditing opleiding van de Erasmus Financiële instellingen
Integrated Overheid
Multidisciplinaire samenwerking
x
Integriteitsaudits
x
Toezichthouders: ARK en DNB
x
Outsourcing en SAS70
x
Integrale risicoanalyse x
Integrale in control statement en CSA
x
VBTB en de Mededeling bedrijfsvoering
x
x
Auditing opleiding jaarlijks een Summercourse voor praktiserend EDP-auditors. Met deze Summercourse, dit jaar op 13, 14 en 15 juni, bieden wij u de mogelijkheid om
x
uit te diepen en over de gevolgen van deze ontwikkelingen voor uw beroepsuitoefe-
x
x
ning te discussiëren met professionele docenten die in de praktijk werkzaam zijn,
x x
samenwerking met de Internal/Operational
recente ontwikkelingen in het vakgebied x
De ROB
Forum met groepspresentatie per keuzemodule
audit
Universiteit Rotterdam organiseert in
dan wel hun sporen ruimschoots hebben x
verdiend in wetenschappelijk opzicht. De Summercourse biedt u gerichte permanen-
De kosten zijn afhankelijk van het aantal colleges per module. Voor meer informatie kunt u de
te educatie. U ontvangt daartoe een certifi-
nieuwe brochure voor het collegejaar 2006-2007 aanvragen per mail:
[email protected], per
caat van deelname. Voor nadere informatie
telefoon: 010-4081521, of bekijken op onze website: www.esaa.nl.
verwijzen wij u naar onze website: www.esaa.nl.
AUDIT magazine
nummer 1 maart 2006
45
nieuws van de opleidingen Round Table over auditing Afgestudeerd in december 2005 In december 2005 hebben de volgende studenten hun EMIA-bul in ontvangst mogen nemen:
Op maandag 10 april 2006 wordt in samenwerking met de EDP-Auditing opleiding, de jaarlijkse Round Table georganiseerd. Als verantwoordelijken voor de postgraduate opleiding EDPen Internal/Operational Auditing proberen wij onze studenten te wapenen en te vormen voor hun toekomstige rol. Onze opleidingen zijn dan ook voortdurend aan verandering onderhevig.
• Brenda van den Berk (ISC) • Josephine van Breukhoven (Ministerie van Landbouw, Natuur en Voedselkwaliteit) • Aland Griffioen (Ernst & Young) • Marc Huls (Rabobank Rotterdam) • Richard Koelemij (ABN-AMRO Bank nv) • Joop Maas (Sociale Verzekeringsbank) • Huub Smeets (Sociale Verzekeringsbank) • Remco Spruyt (Deloitte) • Jeroen van der Vinne (Deloitte)
Om als opleidingen aan te blijven sluiten bij de ontwikkelingen en verwachtingen van werkgevers, nodigen wij werkgevers uit met ons van gedachten te wisselen over hun visie op deze ontwikkelingen en de betekenis hiervan voor de competenties van hun auditors en hun opleiding. Daarnaast willen wij van de gelegenheid gebruikmaken om werkgevers te informeren over de (geplande) ontwikkelingen in onze opleidingen. Voor deze bijeenkomst kunnen werkgevers zich opgeven bij mevrouw IJ. Geerkens (
[email protected], 010-4082217).
boekalert
Suggesties van Milka Lesparre om bij te blijven
Gedoe komt er toch
bomen: rationaliteit, onderzoek, resonantie, herformuleringen, midde-
J. Swieringa en J. Jansen • Uitgeverij
len en beloningen, actuele gebeurtenissen en weerstanden. Hij legt uit
Scriptum • ISBN 90 5594 398 3 • € 16,00
hoe deze factoren kunnen worden aangewend in politiek, bedrijfsle-
In dit boek worden tien klassieke wijsheden
ven, bestuur, wetenschap, kunsten en het leven van alledag. Hij geeft
over organisatieverandering aan de kaak
vele voorbeelden, van Margaret Thatchers politieke veranderingen in
gesteld. Wijsheden waar op het eerste gezicht
Groot-Brittannië, Sir John Browne’s transformatie van BP, Charles
niets tegen in te brengen valt: natuurlijk moet
Darwins evolutionaire revolutie, tot de interacties tussen partners of
je draagvlak hebben, uiteraard is het belangrijk
vrienden en het ontstaan van nieuwe inzichten in het dagelijkse leven.
dat de top er achter staat. En er is niets tegen wijsheden: als ze zo vanzelfsprekend zijn, waarom is het dan nodig om
Controle is goed, vertrouwen nog beter
ze steeds weer te noemen? Wat is hun functie in het veranderingspro-
Over bestuurders en corporate governance
ces? Al die open deuren over organisatieverandering komen recht-
K. Cools • Uitgeverij Van Gorcum
streeks voort uit het klassieke gedachtegoed over organiseren en
ISBN 90 232 4176 2 • € 22,50
managen. Het zijn opvattingen die de bureaucratie juist veroorzaken of
Corporate governance gaat over macht.
versterken. Als je toe wilt naar een niet-bureaucratische, marktgerich-
Macht is noodzakelijk en productief, maar
te, innovatieve, dynamische organisatie zijn het dus misvattingen.
macht moet ook worden gecontroleerd.
Het adagium ‘geen gedoe’ is de rode draad die al die onzinnige wijshe-
Telkens weer, ook na de financiële schanda-
een helder doel. Maar gek genoeg is dat juist wat er ‘mis’ is met deze
den bij elkaar houdt. Maar organisatieveranderingen geven gedoe.
len van de afgelopen jaren, kwamen er nieuwe wetten en codes die de
Altijd. De boodschap van dit boek: probeer ‘gedoe’ niet te vermijden,
relatie tussen bestuurders, commissarissen en aandeelhouders probe-
maar zorg juist dat het op tafel komt.
ren te regelen en die eisen stellen aan verantwoording, transparantie en risicobeheersing. Maar zijn die wetten en regels wel effectief en
De kneedbare geest
wat zijn hun bijeffecten? Niet slechte formele corporate governance,
Howard Gardner • Uitgeverij Nieuwezijds
maar zonnekoninggedrag van CEO’s, hebzucht en geloof in luchtkaste-
ISBN 90 5712 214 6 • € 24,95
len zijn volgens de auteur de werkelijke oorzaken van de grote fraude-
Het is moeilijk ons denken te veranderen. Toch
schandalen. Op basis van gesprekken met vijftig CEO’s, commissaris-
zijn vele aspecten van ons leven juist daarop
sen en divisiedirecteuren laat hij zien wat de gevolgen van de corpora-
gericht; we proberen een collega te overtuigen
te governance-hausse zijn.
een taak anders uit te voeren, of we willen van
De toegenomen focus op control en risicobeheersing ten gevolge van
een eigen vooroordeel af. Leiders zijn bijna per
de corporate governance-golf motiveert niet en tast ondernemerschap
definitie mensen die anderen van gedachten
aan, zo blijkt uit zijn analyse van enquêtes onder 36.000 werknemers.
doen veranderen - of ze nu leidinggeven aan een
Prestatiebeloning is volgens de auteur niet de oplossing om mensen
land, een onderneming of een non-profitorganisatie.
harder, en in de gewenste richting, te laten lopen. Sturen op vertrouwen,
Op basis van inzichten uit cognitief onderzoek komt de auteur tot zeven
door medewerkers meer beslissingsruimte te geven en op zoek te gaan
factoren die het proces van gedachteverandering versnellen of dwars-
naar succeservaringen motiveert wél en verhoogt de productiviteit.
AUDIT magazine
nummer 1 maart 2006
46
Vooruit denken Vooruit
Erasmus Universiteit Rotterdam. Vooruit denken.
Strategie voor uw eigen toekomst
Internal/Operational Auditing (RO) (EMIA) Internal/Operational Auditing richt zich op meer dan beheersing alleen. Het richt zich in onze visie op het functioneren van de gehele management control cyclus, waaronder de risico’s die het behalen van doelstellingen in de weg kunnen staan. Het leervermogen staat voor de auditor voorop. De internal auditor is expert op het gebied van ‘risico en beheersing’. Voor Accountants (RA), EDP-Auditors (RE) of Controllers (RC) duurt de opleiding ruim een jaar. De opleidingsduur voor kandidaten met een universitair of HBO-diploma is afhankelijk van de vooropleiding en bedraagt anderhalf of twee jaar.
Denk vooruit en kijk voor meer informatie op www.esaa.nl
de overstap
Internal auditors vertellen over hun overstap naar een andere functie aan Milka Lesparre
Deze keer vertellen in de overstap twee zeer verschillende auditors over hun
Bob van Kuijck: “Het was ‘an offer I could not refuse’”
AUDIT magazine
nummer 1 maart 2006
recente carrièrestap.
Bob van Kuijck verruilde zijn functie als
directeur internal audit bij Interpolis voor een nieuwe uitdaging bij Sovion.
Harald Janssen maakte de stap van internal auditor bij NIB Capital naar Robeco.
48
Bob van Kuijck: “Directeur internal audit en compliance officer waren mijn functies bij Interpolis. Bij mijn aantreden trof ik een internal auditafdeling aan waaraan onvoldoende managementaandacht was besteed. In korte tijd hebben we de afdeling gezamenlijk omgevormd tot een afdeling met dertig medewerkers die serieus wordt genomen binnen Interpolis. Daarnaast gaf de ondernemingsleiding me de ruimte om de afdelingen Concern Compliance en Concern Incident Management (interne fraudebestrijding) met additioneel tien medewerkers, op te zetten. Het was een uitdagende taak om internal audit binnen Interpolis weer op de kaart te zetten. Ook het politieke spel met grootaandeelhouder Rabobank en DNB had zo zijn charme. De beste herinnering aan mijn tijd bij Interpolis is de teamspirit die ontstond binnen de afdeling Internal Audit om er gezamenlijk iets van te maken.”
Sovion-avontuur en het attractieve aanbod: een nieuwe afdeling opbouwen in een groot, onbekend internationaal concern, met een uitstekend perspectief. Kortom, ‘an offer I could not refuse’. Sovion is een Nederlandse organisatie die internationaal opereert in de voedingsindustrie. In korte tijd is de onderneming door fusies en overnames enorm gegroeid naar meer dan 15.000 medewerkers met een omzet van meer dan 7 miljard euro. Bij Sovion ben ik verantwoordelijk voor het opzetten van een nieuwe afdeling Internal Audit van circa vijftien medewerkers. Onder mijn werkzaamheden vallen onder meer het opzetten van de samenwerking met de externe accountant, het maken van een concernbrede risicoanalyse, het ontwikkelen van een nieuwe visie op de auditstrategie, het aantrekken van nieuwe medewerkers, het aansturen van het internal control project en het ondersteunen van het IFRS accounting manual.”
Gemengde gevoelens “Een headhunter benaderde me voor de functie bij Sovion. Zelf was ik niet op zoek. Ik had het prima naar mijn zin bij Interpolis, en met de fusie met Achmea in het vooruitzicht, uitstekende mogelijkheden. Het vertrouwen van medewerkers en management om de afdeling nieuw leven in te blazen maakte het afscheid dan ook moeilijk voor me. Als je dan vertrekt, neem je met gemengde gevoelens afscheid. Tot twee maal toe benaderde men mij voor deze functie bij Sovion. De eerste keer heb ik het aanbod om te komen praten afgewezen met het argument dat ik te kort bij Interpolis werkte en de klus nog niet af was. De tweede keer ben ik toch in gesprek gegaan en gevallen voor het
Fundament leggen “De internal auditorganisatie bij Sovion moet nog helemaal worden opgezet. Wat me het meest aanspreekt in mijn huidige functie is het onontgonnen terrein en de vrijheid een nieuwe afdeling naar eigen inzicht en visie met betrekking tot het vakgebied op te zetten. Bij Interpolis werd het bestaande huis verbouwd. Bij Sovion wordt opnieuw het fundament gelegd voor een volledig nieuw huis, een internal auditafdeling die waarde toevoegt aan de organisatie. De laatste jaren staat het evenwicht tussen werk en privé meer centraal en lijkt de balans beter te worden. Zou je dan met de jaren toch wijzer worden? Mijn thuisfront heeft de overstap naar Sovion tot nu toe als
de overstap positief ervaren. Zowel mijn vrouw als ik hebben onze eigen ambities in het werk die we afzonderlijk, maar wel in overleg, willen realiseren. Belangrijk is dat de resultante goed is en je beiden goed in je vel zit. Aan het eind van de dag moet je een goede huisvader zijn en de vaatwasser inruimen.” Toekomstbeeld “Ik ben geen ‘career auditor’, of anders gezegd, geen ‘auditor for ever’. Zelf aan de knoppen draaien als financieel directeur in de raad van bestuur en daarnaast commissaris zijn, lijken me leuke uitdagingen voor de toekomst. Maar voorlopig wil ik in het veld bezig zijn, wat prima past bij de agrarische inslag van Sovion.”
Harald Janssen: “Na drie jaar werkzaam geweest te zijn in de externe accountancy maakte ik bij de IAD van NIB Capital kennis met internal audit. Tot mijn taken behoorden de uitvoering van operationeel en financieel georiënteerde onderzoeken met als doel zekerheid te verschaffen over de adequaatheid, effectiviteit en efficiency van de onderzochte processen en de daaraan gerelateerde risico’s. Het was een leerzame periode.Werken bij een IAD heb ik ervaren als een ontdekkingsreis, met een opeenstapeling van afzonderlijke prestaties.
In de eerste drie jaar van mijn carrière hield ik mij bezig met de uitvoering van gestandaardiseerde controlewerkzaamheden op de financiële gegevens van de cliënt. Als internal auditor kijk je verder dan de financiële gegevens. Je bekijkt processen ook uit andere invalshoeken. Een gebrek in de interne controle hoeft bijvoorbeeld niet meteen te leiden tot een onjuistheid in de financiële gegevens, maar kan wel leiden tot een ander verhoogd risico. De variëteit bij internal audit is groter. De beste herinnering aan mijn oude functie is de kennismaking met het bankwezen en de internal auditfunctie. Een ervaring die me lang bij zal blijven was een ééndaags werkbezoek aan Londen deze zomer, exact twee weken na de aanslagen, toen er opnieuw met aanslagen werd gedreigd. Best bijzonder om bij aankomst op het vliegveld door speurhonden te worden belaagd en in een typische Londense taxi de plek des onheils te passeren, die is omgeven met bossen bloemen en fotolijstjes ter herinnering aan dierbaren.” Ontwikkelingsperspectieven “De voornaamste reden van mijn overstap waren ontwikkelingsperspectieven. Als je jezelf wilt ontwikkelen moet je de kans krijgen de volgende stap daadwerkelijk te zetten. Robeco bood mij daartoe meer mogelijkheden. Mijn nieuwe functie op de internal auditafdeling bij Robeco, de grootste beleggingsinstelling in Nederland, wijkt inhoudelijk niet veel af van mijn oude functie, met uitzondering van het soort werkzaamheden en natuurlijk de controleomgeving. Mijn nieuwe functie kent een grotere mate van zelfstandigheid en verantwoordelijkheid. Waar ik voorheen per onderzoek afhankelijk was van de risicoanalyse van een meer senior medewerker, kan ik daar nu zelf meer invulling aan geven. Op basis van een auditplan waarin met behulp van een risicoanalyse een eerste prioriteitsstelling is aangebracht, lever ik bijdragen aan onderzoeken die zich wereld-
Harald Janssen: “Werken bij een IAD heb ik ervaren als een ontdekkingsreis” wijd uit kunnen spreiden over alle business units van Robeco. Internal Audit Robeco maakt momenteel een aanzienlijke expansie en professionalisering door. Het aantal medewerkers is in één jaar meer dan verdubbeld van zes naar twaalf en we kunnen eigenlijk nog wel meer goede collega’s gebruiken. De wereldwijde aanpak van Internal Audit Robeco spreekt mij aan, met joint audits met buitenlandse collega’s en zo nu en dan een bezoek aan buitenlandse (verkoop)vestigingen.” Minder vrije tijd “Mede vanwege de toegenomen reistijd houd ik nu privé iets minder tijd over. Dit uit zich in het minder doordeweeks plannen van bezoekjes aan familie en vrienden of het later arriveren op voetbaltrainingen. Gelukkig ben ik wat dit betreft niet de enige en ik heb de balans uiteindelijk wel gevonden. Als ik over een jaar met trots kan terugkijken op de prestaties van het afgelopen jaar, is mijn overstap geslaagd. Ontplooiing vind ik belangrijk, maar over een tijdshorizon van vijf jaar kan ik daar nog geen zinnig woord zeggen. Concreet wil ik me de komende jaren richten op het leveren van een belangrijke bijdrage aan het verder opbouwen van de internal auditafdeling van Robeco. En op het behalen van mijn RA-titel, waarvoor ik alleen deels de stage nog moet doen.”
AUDIT magazine
nummer 1 maart 2006
49
boekbespreking
Macht der wet
Mauk Mulder • De logica van de macht • Uitgeverij Scriptum • ISBN 90 5594 320 7
R.J. Klamer Vijftien wetten van de macht, zit de wereld daar nu op te wachten? Die vraag stelde ik mij nog voordat ik het boek had gelezen en in een bijlage de vijftien wetten uitgeschreven zag. En nu ik het gelezen heb, ben ik een wijzer mens geworden. Met nog meer argumenten om nog vaker uit te gaan van wederzijds open overleg. Het boek is dus meer dan geslaagd, het overtuigt. ‘De logica van de macht’ van Mauk Mulder is een overtuigend boek. Maar ook een ‘eng’ boek. Het beschrijft de realiteit en de logica van macht op zo’n boeiende manier dat het observeren van al die machtslogica, ook in je eigen omgeving, bijna pijnlijk aandoet. Iedereen kent ze wel, personen die stellen geen macht en geen invloed te willen hebben, maar waaraan wel iedereen even vraagt hoe het moet met het nieuwe pro-
Dit boek beschrijft de realiteit en de logica van macht op een boeiende manier ject of wat hij vindt van die of die ontwikkeling. Die informele maar heel duidelijke macht is soms groter dan de macht die ligt bij de formele machthebbers. Hoe dat komt en waarom dat is, is maar één voorbeeld van wat in dit boek aan de orde komt. Toen ik jaren geleden mijn eerste managementcursus volgde werd daarin het begrip machtafstand reductie en machtafstand vergroting uitgelegd. Er werd gesteld dat iedere niet-machthebber streefde naar de verkleining van de
AUDIT magazine
nummer 1 maart 2006
50
afstand tussen hemzelf en de machthebber (joviaal doen tegen de baas, ‘inlikken’, et cetera, Machtswet 4) en dat iedere machthebber de afstand tussen hem en zijn ‘onderdanen’ probeert te vergroten (negeren, verkleinwoorden gebruiken, et cetera, Machtswet 2). Ik vond dat toen al fascinerend, maar heb er sindsdien nog maar weinig over gehoord of gelezen. Dit boek is dan ook een welkome aanvulling. ‘De logica van de macht’. De titel zegt alles over het boek. Het is een van de weinige sterke titels die ik ken. En net als boeken over projectmanagement en veranderingen hoort dit boek gewoon thuis in elke bibliotheek. Iedereen heeft iets met macht. Al is het maar omdat hij eindelijk wil begrijpen waarom zijn baas zo gek doet. Want zoals uit dit boek blijkt, is het gedrag van de baas gewoon logisch. En heeft de medewerker daar als niet-bedreigend personeelslid zelf de nodige steentjes aan bijgedragen (Machtswet 7) om in volgende fasen (als hij zelf aan de macht is gekomen) heel verschillend gedrag te gaan vertonen. (Afgeleide wet van de machtsfasen, combinatie van wet 2, 4 en 8).
Daarnaast wil het boek een soort handleiding zijn om zelf een studie van macht te maken in je eigen omgeving. Zelfreflectie met als doel verbetering. Ik vind dat niet direct nodig. Het zet mij niet meteen harder aan het denken en soms zakken de vragen naar het niveau van een praatclubje. Vooral in het laatste hoofdstuk komt de trainer Mulder uitgebreid aan het woord. Met grootse en goede plannen. Prachtige analysemogelijkheden en uitgebreide methodieken. Zou dat ook een machtsbewijs zijn (volgens wet 14)?
De manier waarop Mulder alle wetten beschrijft is door het gebruik van talloze voorbeelden (in kaders weergeven) heel duidelijk. Bijna iedere pagina bevat wel een uitgewerkt voorbeeld door middel van een observatie en een reflectie. Natuurlijk worden er veel voorbeelden uit de politiek en maatschappij gegeven. George Bush, Johan Cruijff, Els Borst en vele anderen worden met naam en toenaam genoemd. Dat maakt het boek aansprekend maar tegelijkertijd dateert dit het boek. Ik denk dat dit een van die boeken is die daardoor over een aantal jaren minder lezenswaardig zal zijn. Maar goed, nu is het aansprekend en werken de meeste voorbeelden uiterst verhelderend.
In mijn omgeving willen meer en meer mensen werken aan open en eerlijk overleg. Geen verborgen agenda’s. Transparantie. Dit boekt geeft aanwijzingen hoe dat zou moeten. Maar geeft vooral veel indringende informatie waarom het niet zo vaak lukt. Dat maakt het herkenbaar en ik moet erkennen dat ook ik naar macht streef (Wet 1). Maar dat is logisch hè.
Overigens is het mij enigszins ontgaan waarom Mauk Mulder de gevonden regels als wetten formuleert. Het lijkt alsof hij natuurwetten bedoelt. Dat heeft de ietwat gevaarlijke kant dat mensen reageren volgens de wetten van de macht alsof het natuurwetten zijn. De verontschuldiging ‘ik kan er niets aan doen’, ligt dan op de loer. En dat blijft natuurlijk onwaar. Het blijven keuzen. Wetten beschrijven dan de logica van de keuze en de gevolgen ervan, maar de verantwoordelijkheid voor de gemaakte keus blijft.
Renze J. Klamer is management consultant bij Sentle b.v. (www.sentle.nl) Jol 16-04, 8243 EB Lelystad Tel.: 0320-231280 e-mail:
[email protected]
EN NU VOOR KWALITEIT…
Je bent tevreden. De afgelopen jaren hebben opgeleverd wat je wilde. Maar toch. Er is meer. Ooit komt iedereen een keer met de SVB in aanraking. Bij de fijne dingen in het leven of door de onvermijdelijke dingen van het leven. Als kind, als ouder, als nabestaande. Schoolgaand, werkend of gepensioneerd. Dan keert de SVB uit. Beheert ze, verzorgt ze. Doelmatig, rechtmatig en geruisloos. Voor het leven. Wij weten wat het is om met bijna 4.000 medewerkers jaarlijks circa 25 miljard euro voor vier en een half miljoen klanten te beheren. INFORMATIE OVER WERKEN BIJ DE SVB: WWW.SVB.NL
OPERATIONAL AUDITOR Voor het hoofdkantoor in Amstelveen zoeken we een fulltime (ervaren) operational auditor, die deel gaat uitmaken van de sectie Operational Audit binnen de Interne Accountantsdienst (IAD). Als operational auditor verricht je vrij zelfstandig uiteenlopende taken die door de sectiemanager worden toegewezen. Als lid van een multidisciplinair team voer je audits uit. Je draagt zorg voor planning van de toegewezen audits en bent aanspreekbaar op de vaktechnische kwaliteit van de onderzoeken. Vervolgens zorg je voor het opstellen van een conceptrapportage en draag je bij aan de bespreking van de auditresultaten. Ook lever je bijdragen aan het auditbeleid, de risicoanalyse van de sectie en het activiteitenplan van de sectie. Voor deze functie beschik je over een academisch werk- en denkniveau. Je hebt met succes de postdoctorale studie EMIA afgerond of staat ingeschreven als RO. Je beschikt over een uitstekend analytisch vermogen, een creatieve en kritische instelling en goede mondelinge en schriftelijke uitdrukkingsvaardigheden. Verder ben je een enthousiast netwerker. Salarisindicatie: maximaal € 4.538,- bruto per maand bij een fulltime dienstverband. De SVB heeft een eigentijdse cao waarin een goede beloning inclusief dertiende maand, en de balans tussen werk en privé centraal staan. Zaken als zorgverlof en flexibele werktijden zijn prima geregeld. De SVB hecht waarde aan ontplooiing en biedt uitstekende studiefaciliteiten. Een assessment kan deel uitmaken van de procedure. Informatie: Herman Keyzer, sectiemanager Operational Audit, telefoon (020) 656 56 07, of op www.svb.nl Sollicitaties binnen twee weken naar: SVB, t.a.v. Jacqueline Kroese, afdeling HR-Services, Postbus 1100, 1180 BH Amstelveen. Of per mail:
[email protected] Acquisitie naar aanleiding van deze advertentie wordt niet op prijs gesteld.
benchmark
Round Table GAIN-werkgroep Trade, Industry and Services Op 22 december 2005 organiseerde de GAIN-werkgroep Trade, Industry and Services een round table. De internal auditafdeling van Biomet Europe bv trad als gastheer op. Een drietal interessante onderwerpen die uit de GAIN-evaluatie eerder dat jaar naar voren was gekomen, werd ingeleid en uitgebreid bediscussieerd. Uiteraard was er ruimte voor de deelnemers om te netwerken en ervaringen en ideeën uit te wisselen.
Drs. F. den Eerzamen RO
Vertegenwoordigers van twaalf internal auditafdelingen van bedrijven uit de GAIN-groep Handel, Industrie en Dienstverlening legden de (voor sommigen erg lange) weg naar Dordrecht af om de Round Table bij te wonen. Christiaan Koreman, gastheer, en ondergetekende, trekker van de GAIN-industriegroep, beten het spits voor de round table Deelname aan GAIN? af. Naast de jaarlijkse benchmark GAIN is een gestandaardiseerde benchmark onder interne auditafdelingen service gericht op een jaarlijks onderzoek is de round table een uitermavan auditdiensten als geheel. De dienst te geschikt forum om onderwordt aangeboden vanuit het IIA en wordt werpen of thema’s die door jaarlijks door IIA NL voor Nederlandse proGAIN-deelnemers interessant fit- en non-profitorganisaties georganiseerd. worden gevonden, wat meer in Tijdens de eerstvolgende bijeenkomsten in detail te bespreken. Doel van maart 2006 worden de instructies voor de deze round table was dieper in GAIN benchmark 2006 toegelicht. te gaan en ervaringen te delen Heeft uw internal auditafdeling interesse om over methodieken van audit deel te nemen de GAIN benchmark, neem rating, risk-based auditing en dan contact op met John Bendermacher het auditen op basis van corvoor de groep Financials & Insurance porate-instructies. (
[email protected]), Thomas van Tiel voor de groep overheden (
[email protected]) of Filip den Eerzamen voor de groep Handel, Industrie en Dienstverlening (
[email protected]). U vindt hierover ook informatie op de website van IIA NL (www.iia.nl)
AUDIT magazine
nummer 1 maart 2006
Diversiteit aan audit ratingmethodieken Cor Noordzij, voormalig hoofd internal audit bij Gasunie, zette in een boeiende inleiding uiteen hoe binnen de
52
IAD van Gasunie en bij Shell wordt omgegaan met audit ratings in de rapportages die naar aanleiding van verrichte audits worden opgesteld. Binnen Gasunie worden audit ratings verstrekt van één naar vijf, die op basis van een kwalitatieve afweging van de geconstateerde bevindingen worden afgegeven. Deze ratings worden vastgesteld op basis van een aantal componenten die afgeleid zijn van zowel managementdoelstellingen als het besturingsmodel (beleid, organisatie, procesbeheer, beoordeling en waardering). Tijdens zijn presentatie trok Noordzij ook een vergelijking met de bij Shell en ExxonMobil toegepaste systematiek, waar een reeks van termen wordt gebruikt die verband houden met de verspreidingsgraad en impact van de geconstateerde bevindingen op de organisatie of het organisatieonderdeel. Uitgangspunt bij het toekennen van een rating is dat geen sprake is van een rekenkundige exercitie maar dat professional judgement het uitgangspunt vormt. Hieraan dient een uitgebreide teamconsultatie vooraf te gaan en wordt de toegekende rating gemotiveerd in het rapport opgenomen. Een duidelijke motivatie van de rating dient een eenzijdige focus op de rating te vermijden waardoor de nadruk blijft liggen op de aard van geconstateerde bevindingen. Risk based auditing Jan Grooten, manager internal audit bij DSM, leidde de twee andere thema’s in. Hij belichtte hoe vanuit het DSM-perspectief het plannen van audits gebeurt op basis van risicobeoordeling van alle ‘auditable units’. De resulterende risicorating bepaalt de tijdspanne waarbinnen een unit wordt bezocht voor een operational audit. Deze ratings worden bepaald door risicobeoordelingen van de IAD, lokaal management en het audit committee.
benchmark De discussie maakte duidelijk dat risk based auditing zeer verschillend wordt toegepast. Aangedragen werd dat risk based audits tevens op basis van een risico-inventarisatie binnen de hele onderneming, geïnitieerd door het lijnmanagement, kunnen worden gepland en uitgevoerd.
Drs. Filip den Eerzamen RO Filip den Eerzamen studeerde af in bestuurskunde aan de EUR in 1996. Na stages bij de Auditor General (rekenkamer) in Zuid-Afrika en het ministerie van Financiën in Den Haag werkte hij als consultant bij de Zuid-Afrikaanse rekenkamer. Van 1997 tot
Corporate instructies De laatste presentatie behandelde de wijze waarop binnen DSM corporate-instructies als referentiekader voor operational audits worden gehanteerd. Deze set van instructies is gebaseerd op het COSO-model en dienen in algemene zin als normenkader voor de inrichting van processen. De vraag kwam naar voren of deze instructies werkbaar zijn voor de organisatie als geheel en of de creativiteit hierdoor niet belangrijk wordt gehinderd. Er bestaat consensus over het feit dat creativiteit het feitelijke ondernemen moet betreffen en niet het creatief omgaan met noodzakelijke procedures en regels waaraan de onderneming zich dient te conformeren. Bij DSM zal de IAD processen en organisatieonderdelen als geheel blijven auditen in plaats van alleen compliance audits te verrichten. Daarnaast is het afwijken van de instructies mogelijk mits hiervoor een toereikende verklaring kan worden aangedragen.
2002 werkte Filip als onderzoeker bij de Algemene Rekenkamer, daarnaast was hij als projectcontroller betrokken bij ontwikkelingsprojecten in Zuidelijk Afrika. Sinds 2002 werkt hij als senior internal auditor bij Koninklijke Vopak nv. In 2001 sloot Filip met goed gevolg de postdoctorale opleiding Internal/Operational Auditing af aan de EUR. Sinds eind 2005 is Filip trekker van de GAIN benchmark groep Handel, Industrie en Dienstverlening van IIA Nederland.
IN MEMORIAM
HERMAN TIJTHOFF Op 11 februari jl. vernamen wij dat Herman Tijthoff, eerder in die week, op 65-jarige leeftijd is overleden. Als operational/ internal auditors verliezen wij in hem een markante en geliefde persoonlijkheid. Herman heeft aan de wieg gestaan van het vormgeven van het beroep van operational auditor in Nederland; initiatieven op het gebied van structurering en professionalisering van het vakgebied operational auditing heeft hij altijd gestimuleerd en gesteund. Ook heeft hij met raad en daad de instelling van het post-HBO en postdoctoraal onderwijs bijgestaan. Voor de eerste lichtingen studenten aan de postdoctorale opleiding aan de EUR was Herman een zeer aansprekend figuur. Vanuit zijn praktijkkennis bij Shell verzorgde hij uitermate boeiende colleges. Buiten de colleges kenden wij hem als een betrokken en warme persoonlijkheid, die zeer begaan was met het initiatief van de eerste lichting afgestudeerden om een beroepsvereniging in het leven te roepen. Herman heeft ook altijd een belangrijke rol gespeeld in de Raad van Advies van de VRO. Hierin heeft hij tot het jaar 2000 zitting gehad. Verder toonde hij zijn betrokkenheid door op verenigingsbijeenkomsten, zoals ledenvergaderingen, en de meer sociaal bedoelde
ontmoetingsmomenten als de traditionele nieuwjaarsborrel, aanwezig te zijn. Herman was daarbij altijd als kritisch lid, maar zeker ook als mens aanwezig, kenmerkend was dat hij belangstellende praatjes hield met deze en gene, over een diversiteit aan onderwerpen; financieel-economische zaken, internationale politiek en kunst. Ook na zijn vervroegde pensionering bleef hij zich in zetten voor de VRO, als lid van de Raad van Tucht. In de eerste zittingen van deze raad, eind 2005, heeft hij een belangrijke rol gespeeld. Dat de discussie rond de mogelijke integratie van de VRO en IIA hem boeide, bleek wel door zijn aanwezigheid bij de VRO-ledenraadpleging, het afgelopen najaar in Scheveningen. Hier deelde hij wederom in heldere bewoordingen zijn mening met de andere aanwezigen. De VRO verliest in Herman een warm en zeer betrokken lid. Hij heeft zich altijd met hart en ziel ingezet voor de ontwikkeling van het vakgebied en de VRO in het bijzonder. Wij wensen zijn vrouw, kinderen en zijn kleinkinderen een verder leven vol goede herinneringen aan Herman toe, in het besef dat hij ons veelvuldig en altijd zeer bewogen over hen verhaalde.
AUDIT magazine
nummer 1 maart 2006
53
column
de toestand in de auditwereld
Countervailing
power through cooperation
Dr. J.R. van Kuijck*
Is de samenwerking met de externe accountant luxe of bittere noodzaak? Dat is de vraag die in deze column centraal staat. Laten we beginnen te redeneren vanuit de externe accountant. Niemand zal ontkennen dat accountantskantoren op winst gericht zijn en trachten deze te maximaliseren. Daarbij zou ik mij puur willen richten op de core business, de jaarrekeningcontrole. In deze business spelen onder andere complexe verslaggevingregels, ‘professional judgement’ en het risico van aansprakelijkheidstelling een grote rol en dit zijn belangrijke determinanten van de accountantskosten. Tegenspel van de gecontroleerde onderneming zorgt ervoor dat de externe accountant ondersteund wordt bij het maken van correcte, evenwichtige vaktechnische afwegingen bij de controle van de onderneming. Het is dan ook duidelijk dat als deze ‘countervailing power’ ontbreekt, de accountant vrij baan heeft en dat de accountantskosten, is mijn stellige overtuiging, (tot grote hoogte) zullen stijgen. Recentelijk werd ik nog geconfronteerd met een voorbeeld uit de praktijk waar een extern accountantskantoor ruim baan kreeg. Het betreft de vergelijking van twee niet-beursgenoteerde ondernemingen die in dezelfde sector actief zijn, maar qua grootte een factor twee verschillen. Een belangrijk verschil is dat in de kleinere onderneming de interne accountantsdienst zich bezighoudt met financial audits en samenwerkt met de externe accountant. In de grote onderneming is de interne accountantsdienst voornamelijk bezig met operational audits en werkt men niet of nauwelijks samen met de externe accountant. De accountantskosten van de grotere onderneming bedragen meer dan tien maal de kosten van de half zo grote onderneming. Ofschoon beide organisatie uiteraard niet identiek zijn, is het verschil in accountantskosten zeer opmerkelijk en kan dit naar mijn idee in belangrijke mate worden verklaard door het ontbreken van de countervailing power. Dit praktijkvoorbeeld maakt duidelijk dat de onderneming ‘tegenwicht’ moet bieden aan de
AUDIT magazine
nummer 1 maart 2006
54
‘macht’ van de accountant, zodat de accountantscontrole zonder franje wordt uitgevoerd. In beginsel zijn de CFO en de interne accountant de aangewezen deskundigen om de externe accountant scherp te houden. Maar omdat de interne accountant (RA) dezelfde deskundigheid heeft als de externe accountant, dezelfde vaktaal spreekt en qua signatuur (onafhankelijk, onpartijdig) meer overeenkomt met de externe accountant, geniet de interne accountant wat mij betreft de voorkeur. Maar hoe is op dit moment de samenwerking met interne accountants? Ik wil niet al te pessimistisch zijn, maar in veel gevallen is deze beroerd en is aan de samenwerking geen goede invulling gegeven. Zo is er vaak geen gezamenlijke planning die uitgaat van een ‘audit coverage’ die noodzakelijk is voor de jaarrekeningcontrole. Ook is er in veel gevallen niet eens sprake van een ‘review model’ waar de externe accountant systematisch steunt op het werk van de interne accountant, zoals systeembeoordelingen of audits naar de betrouwbaarheid van de financiële informatie en rapportages. Deze samenwerking zou moeten worden verbeterd. Immers, de diepgang van de werkzaamheden van de interne accountant kunnen over de gehele breedte van de onderneming vele malen groter zijn dan die van de externe accountant. In een goed opgezet controleplan kan dit leiden tot meer zekerheid over de opzet en werking van het systeem van interne beheersing, hetgeen zowel voor de verklaring bij de jaarrekening alsook bij een ‘in control statement’ van nut is. De externe accountant zal dan op grond van efficiencyoverweging niet anders kunnen dan steunen op de beoordeling van de interne accountant. Hier ligt volgens mij dan ook voor een groot deel de toegevoegde waarde van de interne accountant. Kortom, het is geen luxe, maar bittere noodzaak dat interne en externe accountants beter gaan samenwerken. * directeur internal audit bij Sovion.
[email protected]
www.protiviti.nl
Business Risk
Technology Risk
Internal Audit
R ISK A N D H OW I T C A N S P U R
SHARE HOLDE R
VALUE T
he typical shareholder
building an infrastructure that
isn’t overly fond of
delivers a constant, clear view
risk, yet strategic risk
of your risks so you can limit or
improving
capitalize on them. It’s a model
returns. That’s whereEnterprise
for continuous improvement,
Risk Management comes in.
and it’s precisely how we’ve
Named a leader in the field
helped many Fortune 1000
is essential for
by Forrester, Protiviti can partner effectively
companies grow their value—something the
with your organization to identify and assess
typical shareholder is quite fond of, indeed.
your risks. Address those risks most critical to your
*Source: The Forrester Wave™: Enterprise Risk Management Consultants, Q4 2005
success. Evaluate your progress. And advance
For a copy of our “Enterprise Risk Management” white paper,
on to your next priorities. All the while, you’ll be
call 020 346 04 00 or send a mail to
[email protected].
*
Know Risk. Know Reward.™ Protiviti B.V., Delflandlaan 1, 1062 EA Amsterdam
© 2006 Protiviti B.V.
Ondernemen is kansen benutten en verantwoord risico nemen. Wij beheersen graag uw risico’s.
De dynamiek van de moderne samenleving dwingt ondernemingen en overheidsinstellingen risico’s bewust te managen. Als u wilt dat uw organisatie maximale prestaties levert dan zijn betrouwbaarheid en zekerheid de eerste vereisten. Zij vormen immers de basis voor een adequate sturing en controle. Deloitte heeft al haar activiteiten met betrekking tot informatiebeveiliging, risicomanagement en control gebundeld binnen Deloitte Enterprise Risk Services. Wilt u meer informatie ontvangen? Stuur dan een e-mail aan
[email protected] of bel: (020) 454 70 00. www.deloitte.nl
Accountants•Belastingadviseurs•Consultants•Financieel Adviseurs•