Internal Audit: Van compliance naar performance audit?

Hans Strikwerda

doi:10.5117/mab.94.47939

Hans Strikwerda^‡

‡ University of Amsterdam, Amsterdam, Netherlands

Corresponding author: Hans Strikwerda ( j.strikwerda@uva.nl )

Academic editor: Edo Roos Lindgreen

This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.

Citation: Strikwerda H (2020) Internal Audit: Van compliance naar performance audit? Maandblad Voor Accountancy en Bedrijfseconomie 94(3/4): 127-135. https://doi.org/10.5117/mab.94.47939

Samenvatting

Gelet op ontwikkelingen in de aard van ondernemingen, in het bijzonder de steeds belangrijkere rol van immateriële activa en informatie, groeit er een vraag naar het ex-ante beoordelen van strategie, bestuur en bedrijfsvoering, ex-post beoordelingen schieten te kort. Daarmee moet de functie van internal audit niet door de bril van de eigen functie proberen te kijken naar wat er van de internal auditor zal worden gevraagd, maar door de brillen van de maatschappelijke vraag en die van de veranderende aard van de onderneming en de veranderende aard van activa. De traditionele kennis voor de auditfunctie is dan niet meer voldoende. Ook de internal auditor zal zich meer en bredere kennis eigen moeten maken om nieuwe situaties op een juiste wijze te toetsen.

Trefwoorden

internal audit, compliance, performance, immateriële activa, ex-ante assurance

1. Inleiding

Hoe zal de functie van internal auditor zich de komende jaren moeten ontwikkelen om van betekenis te zijn en relevant te blijven? Moet internal audit reflecteren op manifest maatschappelijke vragen naar risicomanagement, compliance en integriteit of moet internal audit reflecteren op de diepere maatschappelijke behoefte aan assurance en vertrouwen in bestuurders en in ondernemingen en instellingen? Wat worden de onderwerpen van internal audit? Verbreedt de functie zich van compliance audit naar performance audit?

Om deze vragen te beantwoorden worden eerst in paragraaf 2 drie perspectieven uiteengezet vanuit welke deze vragen benaderd zouden kunnen worden: het perspectief van het vakgebied internal audit zelf, het perspectief van de theory of the firm en het perspectief van ondernemingsbestuur. De strekking van deze paragraaf is, wil de internal audit geprepareerd zijn op de toekomst, deze door de bril van de new theory of the firm naar zijn functie en bijdragen zal moeten kijken. Omdat in de vraagstelling van het artikel performance wordt genoemd, wordt in paragraaf 3 een verduidelijking van de aard van performance management gegeven met als strekking dat performance management een ex-ante component kent, meer omvat dan financiële performance en dat het resource allocation process hierin een centrale rol speelt, met de nodige implicaties voor de onderwerpen van internal audit. In paragraaf 4 worden de implicaties van de paragrafen 2 en 3 voor de door de internal auditor benodigde vakkennis uiteengezet. In een heel korte paragraaf 5 wordt uitgelegd dat de toegevoegde waarde van de internal audit ook is om in de mist van vernieuwingen in organisaties betrokkenen te helpen de koers helder te houden in een wereld van conflicterende eisen. In de laatste paragraaf, paragraaf 6. wordt een conclusie geformuleerd, niet alleen op de vraagstelling van het artikel, maar wordt de functie van de internal auditor ook in een breder maatschappelijk perspectief geplaatst. Immers uiteindelijk vormt een maatschappelijke vraag de legitimiteit van de functie van internal auditor, niet alleen of deze met de juiste operationele vraagstukken bezig is.

2. Drie perspectieven

Om antwoorden te vinden op deze vragen is het van belang vanuit welk perspectief, door welke bril naar de functie van internal audit wordt gekeken.

2.1 Het perspectief van de internal audit zelf

Is dat de bril van het vakgebied internal audit zelf? Deze benadering vinden we bijvoorbeeld in Ramamoorti (2003): Internal Auditing, History, Evolution, and Prospects. Het vak kent een lange geschiedenis, een vaktechnische ontwikkeling, ontwikkelingen in de definitie van het vak en ook een brede scope van onderwerpen, niet alleen financial audits, fraudedetectie, maar ook operational audits, management audits, EDP-auditing, performance audits, et cetera. In deze benadering laat het vakgebied zich beïnvloeden door ontwikkelingen op het gebied van corporate governance, risicomanagement, de rol van gedragswetenschappelijke elementen en dergelijke. Door deze bril gezien schrijven Ratliff and Reding (2002, geciteerd door Ramamoorti 2003): “Auditors of the 21st century must be prepared to ‘audit’ virtually everything – operations, control systems, performance, information and information systems, legal compliance, financial statements, fraud, environmental reporting and performance, and quality.” Het perspectief van het vakgebied kan als voordeel hebben een nadruk op de vakontwikkeling en de opleiding van internal auditors, een nadeel kan zijn dat keuzes worden gemaakt vanuit het belang van de professie in plaats van het belang van de onderneming respectievelijk de samenleving.

2.2 Het perspectief van de theory of the firm

Een tweede bril om naar de toekomst van internal audit te kijken zou kunnen zijn die van de theory of the firm (Foss 2000; Swinkels 2012). Immers de legitimatie van internal audit als economische activiteit moet niet gezocht worden in het vakgebied zelf, maar in de context waarin internal audit opereert. Impliceert de theory of the firm de noodzaak van de functie van internal audit? De theory of the firm heeft tot doel te verklaren wat het bestaansrecht is van ondernemingen, waarin economische activiteiten door een hiërarchie worden gecoördineerd, niet door een prijsmechanisme, gegeven dat er een marktmechanisme is dat vraag en aanbod coördineert (Coase 1937). Die verklaring ligt dan daarin dat de markt transactiekosten kent, met als gevolg dat veruit de meeste economische (gespecialiseerde) activiteiten door de zichtbare hand van het management worden gecoördineerd, niet door de onzichtbare hand van Adam Smith (Chandler 1977; Simon 1991). De uitoefening van die coördinatietaak door het bestuur van de onderneming is niet triviaal. Deze uitoefening wordt gekenmerkt door fenomenen als informatieasymmetrie, het niet altijd direct observeerbaar zijn van inspanningen en prestaties, divergentie in motieven tussen bestuurder, managers en medewerkers, mogelijkheden om informatie te manipuleren, beperkingen in informatieverwerving, verwerking en interpretatie, en andere onvolkomenheden in planning, monitoring en beoordeling van input, inspanning, compliance en prestaties. Dit geheel kan worden geduid met de term agency costs; deze spelen binnen de onderneming zo mogelijk nog meer dan tussen aandeelhouders en bestuurders (Pratt and Zeckhauser 1991). Opdat het bestuur voldoet aan de norm de activiteiten van en binnen de onderneming efficiënter te coördineren dan het marktmechanisme dat kan of doet, moet het bestuur die informatieasymmetrie binnen de onderneming binnen de perken houden en dat impliceert op de primaire rapportage en monitoring van processen de noodzaak van een tweede informatiekanaal, in de vorm van internal audit en deels ook via andere stafafdelingen. Dit is overigens niet uniek voor het bedrijfsleven, deze dubbele lijn is al ouder, in het leger en in de katholieke kerk. Hierbij spelen twee ontwikkelingen. Als gevolg van technologische ontwikkelingen, in het bijzonder de digitale communicatie, internet, maar ook als gevolg van open standaarden en bilaterale handelsovereenkomsten, is de markt de afgelopen decennia veel efficiënter geworden. Deels heeft dit zich geuit in een afbouw van de verticale integratie, deels daarin dat er strengere eisen worden gesteld aan die interne coördinatie, wil er geen sprake zijn van een positieve break-up value, het bewijs dat het bestuur van een onderneming tekort schiet. Daartegenover staat dat door de dalende kosten van informatie ook de kosten van de interne coördinatie zijn afgenomen.

Nu is de traditionele theory of the firm gebaseerd op materiële activa, op het samenvallen van de economische grenzen van de onderneming met haar juridische grenzen die dan weer samenvallen met de grenzen van die fysieke activa. Daarmee hangt samen dat de traditionele theory of the firm uitgaat van de scheiding van kapitaal en arbeid, waarin de werknemer geen onderdeel uitmaakt van de onderneming als nexus of contracts. In de new theory of the firm geldt dat immateriële activa belangrijker zijn voor de waardecreatie en de waarde van de onderneming dan materiële activa, zij het uiteraard dat er gradaties bestaan variërend van sector tot sector en van de aard van de individuele onderneming (Arrow 1974; Fandel et al. 2010; Jensen 2000; Kaplan and Norton 2004). Hiermee hangt samen dat er sprake is van een verschuiving in het gewicht van te hanteren bestuursinstrumenten. Hoewel de traditionele Weberiaanse hiërarchie niet verdwijnt, wordt deze overvleugeld door een hiërarchie van missie, waarden en processen, door een hiërarchie van kennis en door de hiërarchie van de productarchitectuur (althans in het geval van complexe producten). In de moderne organisatieleer geldt dat in het ontwerp van de interne organisatie van de onderneming de factoring of decision making en de organisatie van informatie belangrijker zijn dan de structuur in traditionele zin (Simon 1997). In de vooroplopende praktijk zien we dat in de vorm dat goede CEOs zich persoonlijk bemoeien met de functionaliteit van de systemen voor informatievoorziening en er voor zorgen dat de missie en (finale) waarden consistent en volledig worden gecodificeerd in alle systemen, processen en procedures van de interne organisatie.

Dit laat onverlet dat er geen sluitende micro-economische theorie van de onderneming bestaat als basis voor besluitvorming. Er bestaan wel deelinzichten, maar gezien het karakter van sociale systemen hebben die veelal een correlatief karakter, geen causaal karakter. De betekenis daarvan is dat in economisch onderzoek wel vastgesteld kan worden dat immateriële activa meer bijdragen aan waardecreatie en de waarde van de onderneming, maar niet kan worden vastgesteld hoe dit precies verloopt. Alvorens de betekenis hiervan voor internal audit uit te meten is het van belang om een derde bril te definiëren.

2.3 Het perspectief van het ondernemingsbestuur (business administration)

Die derde bril is die van het vakgebied business administration (ondernemingsbestuur) en in het bijzonder daarbinnen het vakgebied administrative behavior (bestuurspsychologie). Administrative behavior handelt over de psychologische aspecten van besturen, in het bijzonder besluitvorming, maar de laatste jaren heeft zich dit verder ontwikkeld tot psychologische aspecten van denkprocessen voorafgaande aan besluitvorming, het zien van ontwikkelingen in de wereld, het interpreteren daarvan, het ontwikkelen van visie en dat vertalen in — vernieuwende — besluitvorming. Kernbegrippen in dit vakgebied zijn bounded rationality, satisfycing behavior, bounded knowledgeability, integrative thinking, conceptual complexity, rule-following decision making, et cetera. In de moderne administrative behavior wordt onderkend dat voor de waardecreatie, de waarde van de onderneming en een gezonde continuïteit van de onderneming, de intellectuele alertheid en het vermogen van het bestuur nieuwe omstandigheden en ontwikkelingen tijdig te zien, adequaat te interpreteren en daar bestuurlijke en operationele maatregelen aan te verbinden, cruciaal is (Helfat and Peteraf 2015; Martin 2007). Deze intellectuele alertheid is in de eerste aangelegenheid een taak van het bestuur, maar de grondlegger van de bestuursdoctrine, Henry Fayol (1841–1925), wees er al op, vooruitlopend op latere economische onderbouwing daarvan, dat bestuurstaken deels en naar verhouding ook binnen de onderneming gedecentraliseerd dienen te worden (Fayol 1918/1999; Hayek 1945; Simon 1962). In de vakliteratuur staat dit bekend onder de uitdrukking sensing and sensemaking in de organisatie, ofwel ook lager in de organisatie, mede afhankelijk van de aard van de taak, dienen medewerkers alert te zijn op nieuwe omstandigheden, nieuwe ontwikkelingen, die te interpreteren en daarop te acteren (Weick 1995). Deze taak in de organisatie werd benadrukt en gestructureerd in het bottom-up resource allocation process (RAP) als een van de belangrijkste bestuursprocessen voor het realiseren van een nieuwe strategie, transformaties en innovaties (Baldwin and Clark 1994; Bower 1986; Burgelman 1983; Christensen and Bower 1996; Jensen 2003; Porter and Wayland 1992). Bower’s RAP is niet slechts een kapitaalallocatieproces c.q. een budgetteringsproces, maar beoogt een veel fundamentelere functie. De doelen van dit proces zijn om:

managers lager in de organisatie te dwingen na te denken over de toekomst, op mogelijks kansen, ontwikkelingen en gebeurtenissen en zicht daarop te prepareren (pro-active control);
het ontwikkelen van emotionale verbondenheid (commitment) aan de in de strategie verbonden doelen, financieel en niet financieel, nieuwe producten, proces capaciteiten, et cetera;
het vinden van een voor de waardeontwikkeling van de onderneming optimale allocatie van de schaarse resources (financieel en niet-financieel) van de onderneming;
coördinatie, het proactief diachroon en synchroon op elkaar afstemmen van activiteiten capaciteiten, ontwikkelingen en dergelijke;
dat door de participatie in en bijdragen aan het planningsproces managers zichzelf in het grotere geheel van de onderneming zien en daarmee een beter begrip van de werking van de onderneming ontwikkelen en leren welke bijdragen ze kunnen leveren;
motivatie, dat managers lager in de organisatie door participatie in het planningsproces zien wat het realiseren van (sub)doelen hen oplevert in materiële beloning en sociale erkenning;
het reduceren van de kennisasymmetrie tussen de vloer en de leiding, respectievelijk het maximaliseren van de (menselijke) informatieverwerkende capaciteit van de onderneming zoals nodig voor groei en continuïteit.

Echter, de praktijk met Bower’s bottom-up resource allocation process, leert dat maar weinig bestuurders dit correct toepassen. In het bijzonder wordt vaak verzuimd vanuit een nieuwe strategie materiële condities te creëren in de organisatie zoals nodig om nieuw denken, observeren en interpreteren, en nieuw gedrag zoals nodig voor de strategie, te faciliteren (Bower and Gilbert 2005). Het gevolg is dat het resource allocation process in de praktijk veelal is gedegenereerd naar budgetprocedures, wat als gevolg van budget gaming resulteert in een suboptimale allocatie van middelen, suboptimale operationele doelen en dus een suboptimale performance van de onderneming (Jensen 2001; Jensen 2003). Daarbij is juist een concentratie op financial performancemanagement er de oorzaak van dat kennis van en de aandacht voor de kwaliteit van de bedrijfsvoering, waaruit die financial performance moet resulteren, achteruit is gegaan (Bloom et al. 2007).

3. De aard van performancemanagement

Wat impliceert nu de veranderende aard van de onderneming, zoals uitgedrukt in de new theory of the firm, maar ook de negatieve ervaring met een op zich goed geformuleerd bestuursinstrument, het resource allocation process, nu voor de vraag of internal audit zich moet richten op compliance audit of op performance audit?

Omdat de functie van internal audit genoemd wordt in de Nederlandse Corporate Governance Code impliceert dit een verwachting vanuit de samenleving ten aanzien van de functie van internal audit in de onderneming. Die verwachting is niet gearticuleerd, hooguit zou gesteld kunnen worden dat die verwachting besloten ligt in de opvatting van de Monitoring Commissie Corporate Governance dat de Nederlandse Corporate Governance Code (2016) “zal bijdragen aan het vertrouwen in goed en verantwoord bestuur van ondernemingen en hun inbedding in de maatschappij” (NCGC – Preambule). Hierbij zou gedacht kunnen worden aan dat bestuurders zich houden aan wet- en regelgeving en overigens beschikken over een goed moreel kompas, maar de legitimiteit van een onderneming ligt er in de eerste plaats in dat een onderneming goederen en diensten voortbrengt zoals gevraagd door de samenleving en deze op een verantwoorde wijze ontwikkelt, produceert en distribueert. Het vertrouwen daarin geldt niet de ex-post beoordeling, immers dan zijn er de feiten, maar juist in de ex-ante beoordeling, als er nog geen feiten zijn, maar wel beslissingen genomen moeten worden.

Performance is steeds de resultante van beslissingen en initiatieven in het verleden; wordt op enig moment geconstateerd dat de performance niet is wat deze had kunnen of moeten zijn, dan kan aan de oorzaken niets meer worden gedaan. Dit impliceert dat performancemanagement in de eerste plaats proactief dient te zijn en op basis van backward planning gericht moet zijn op het tijdig organiseren van mensen, kennis, informatie, materieel, materiaal, een juiste organisatie (materieel en sociaal) zoals dat moet leiden tot de beoogde performance. In het systeem van performancemanagement worden financiële en niet-financiële parameters en numerieke waarden daarvoor gebruikt met betrekking tot de input, throughput (processen), output en outcome als ook de omgeving (Simons 2000, p. 60). De keuze van die parameters is kritisch en moet per specifieke situatie bepaald worden.

De idee van performance heeft niet alleen betrekking op de financiële prestaties van de onderneming, winst, aandeelhouderswaarde, maar evenzeer heeft de performance van de onderneming betrekking op de effecten van het beleid op de medewerkers, op toeleveranciers, op effecten voor de institutionele, de sociale en de fysieke omgeving (duurzaamheid), op het zijn van de onderneming als een goed vennootschappelijk burger, en op de bijdrage van de onderneming aan het maatschappelijk welzijn, economische groei en groei van de arbeidsproductiviteit en daarmee op langetermijnwaardecreatie.

Het nagestreefde vertrouwen in goed en verantwoord bestuur zal dus gebaseerd moeten zijn op een ex-ante beoordeling van de kwaliteit van de bestuurders, de kwaliteit van het beleid (de strategie), de kwaliteit van de organisatie, de kwaliteit van de uitvoering van de strategie, de kwaliteit van de bedrijfsvoering, et cetera. Immers, al deze factoren resulteren in de toekomstige performance van de onderneming in zowel de smalle, financiële betekenis als in brede zin.

Het beoordelen van de kwaliteit van bestuurders is een taak van de raad van commissarissen, een taak die begint met de selectie van de juiste personen naar kennis, inzicht en ervaring voor de specifieke situatie van de onderneming. Hierbij speelt het risico voor de raad van commissarissen van het perfect agent syndroom (Jensen and Meckling 1998), maar dat risico is voor rekening van de raad van commissarissen. Het beoordelen van de kwaliteit van de strategie respectievelijk het beleid is eveneens een aangelegenheid van de raad van commissarissen zoals vastgelegd in BW2: 140/250 tweede lid (Strikwerda 2009). Echter, in de ontwikkeling van de strategie spelen, mede afhankelijk van de aard van de beoogde nieuwe strategie ten opzichte van de bestaande, organisatorische aspecten, die te maken hebben met de hiervoor genoemde intellectuele openheid voor nieuwe ontwikkelingen en de interpretatie daarvan. In de uitwerking van een strategie is er sprake van een endogene relatie tussen de beoogde strategische doelen en de bestaande organisatie. Het bestuur heeft de plicht er voor te zorgen dat in de zogeheten systemic context van de organisatie, dat zijn al die materiële factoren die het denken en initiatiefnemen van medewerkers beïnvloeden, zodanige omstandigheden worden gecreëerd dat medewerkers ook met transformationele initiatieven komen, ontwikkelingen in de omgeving niet wegredeneren, het belang van de onderneming als geheel als uitgangspunt nemen, niet slechts dat van de eigen afdeling, et cetera (Bower and Gilbert 2005; Simons 2005; Sull 2005). De praktijk leert dat bestuurders hierin of nalatig zijn of anderszins tekortschieten. Omdat een juiste vertaling van een nieuwe strategie naar een nieuwe systemic context bepalend is voor de kwaliteit van de uit te werken strategie, moet dit onderwerp zijn van toezicht door de raad van commissarissen. Het beginsel van self-control (dit is dat een gezond mens in staat is zijn of haar gedrag zelfstandig zo te reguleren dat gestelde doelen zelfstandig worden gerealiseerd en dat die mens dit ook eerst zelf wil beoordelen voordat een superieur dat beoordeelt, zodat omgekeerd geldt dat een systeem voor control zo opgezet moet zijn dat betrokkenen de gelegenheid hebben voor self-control) impliceert dan, mede gelet op de intrinsieke complexiteit van de noodzakelijke bestuursmaatregelen, juist ook voor allerlei afdelingen, dat het bestuur er behoefte aan zal hebben dat eerst intern, door internal audit wordt beoordeeld of maatregelen goed worden ontworpen, besloten en geïmplementeerd, alvorens de raad van commissarissen zich daarover buigt. Dit vormt dan een eerste aspect van de ex-ante performance audit. Het betekent wel dat internal audit zich de hiervoor benodigde vakkennis moet eigen maken in het bijzonder over het vakgebied strategy execution (Strikwerda 2017). Deze kennis is voorhanden (bijvoorbeeld in Kaplan and Norton 2008; Simons 2000). Maar deze kennis maakt onderdeel uit van het vakgebied management control en daarmee van de opleiding tot registercontroller, niet van de opleiding tot registeraccountant noch die van internal audit. Hierdoor krijgt deze kennis niet de aandacht die nodig is in het systeem van corporate governance.

4. Het probleem van nieuwe vakkennis

In die benodigde vakkennis schuilt wel een probleem. Artikel 9 BW2 impliceert dat zowel de bestuurder als de commissaris over de vereiste kennis, inzichten en begrip moet beschikken zoals nodig voor een behoorlijk toezicht op beleid en dus ook de uitvoering daarvan. Waar het gaat over de inhoud van de strategie kunnen inzichten worden ontleend aan het vakgebied strategisch management als onderdeel van het vakgebied bedrijfskunde. De technieken en inzichten zoals nodig voor een goede strategy execution maken geen onderdeel uit van het vakgebied strategisch management, maar van het vakgebied management control. De functie van strategy execution is onderdeel van de subfunctie van business control als onderdeel van de functie van management control en is daarmee deel van de financiële functie in de onderneming. Meer specifiek heeft de subfunctie van business control tot taak het beleid, de strategie, te vertalen in task control, dat wil zeggen, in subdoelen en subtaken, allocatie van middelen, attributie van beslissingsrechten, de organisatie van informatie en andere faciliterende functies, alsmede de monitoring taak op initiatieven, voortgang en prestaties, als voorwaarde voor een effectieve en efficiënte performance (Anthony and Govindarajan 2007). Dit betekent dat voor de subfunctie van business control meer en andere kennis nodig is dan bedrijfseconomische kennis, er is vakkennis nodig. Illustratief is dat in de industrie voor deze functie de meest geschikte personen die met een ingenieursopleiding zijn (Goretzki and Strauss 2018). De deelfunctie business control moet overigens niet worden verward met de positie van business controller zoals die vaak wordt aangetroffen op het niveau van de business unit. De praktijk leert, zeker bij de wat minder grote ondernemingen, dat de drie deelfuncties van management control, financial control, business control en process control, niet separaat georganiseerd zijn en dat als gevolg van de nadruk op corporate governance, risicomanagement en compliance, de nadruk wordt gelegd op financial control en process control (AO/IC) met verwaarlozing van de functie van business control. Waarbij aangetekend moet worden dat ook in de opleidingen voor registercontroller de aandacht voor business control tekortschiet. De externe accountant beoordeelt de kwaliteit van business control hooguit marginaal, omdat deze, in tegenstelling tot de twee andere deelfuncties, niet essentieel is voor een betrouwbare jaarrekening, los ervan dat de externe accountant niet gekwalificeerd is business control te beoordelen.

Omdat de registercontroller niet aan tafel zit bij het schrijven van codes voor corporate governance zien we dat daarin wel wordt gerept over de AO/IC, maar de veel kritischer functie van business control en in het bijzonder de kritieke functie van het middelenallocatieproces, wordt niet genoemd.

Er is dan het gevaar, bijvoorbeeld te zien in het Amarantis expert-rapport (Commissie Onderzoek Financiële Problematiek Amarantis 2012) dat dan accountants, ingeschakeld om een expert-rapport te schrijven, eigen normen hanteren voor beleidsuitvoering (in technische termen het vertalen van strategie in task control), dat is onjuist. Immers een auditor mag nooit zelf de normen opstellen waartegen een situatie of proces geaudit wordt, die normen moeten worden ontleend aan wat gangbaar is in het maatschappelijk verkeer en aan de wet. In de eerste plaats geldt dat die normen als gevolg van ontwikkelingen in de aard van de onderneming, van waardecreërende processen in ontwikkeling zijn, denk aan de historische van Joseph Bower en de moderne van Kaplan and Norton, daarover heen komt een nieuwe stroming gebaseerd op big data en op goedkope sensoren.

In de tweede plaats kunnen in de normen twee niveaus worden onderscheiden. Wat algemeen gangbaar is als norm heeft betrekking op het civiel recht, dan is van goed bestuurlijk handelen in een concrete situatie sprake als een ander redelijk opererende bestuurder hetzelfde zou hebben gedaan. De vraag is wel of dat criterium houdbaar is als op grote schaal fouten worden gemaakt zoals het geval is met het resource allocation process maar ook bijvoorbeeld dat systemen van managementinformatie worden gebaseerd op systemen voor verantwoordingsinformatie (Johnson and Kaplan 1987). Het tweede niveau is dat van de best practice als norm waaraan goed bestuur en bedrijfsvoering wordt getoetst. In de economie is een best practice een voor een functie, fabricageproces, supply chain, een meest efficiënte oplossing die een nieuwe norm stelt in de markt, ook al wordt deze best practice door slechts één onderneming toegepast (denk bijvoorbeeld aan de na-oorlogse best practice van de divisie-organisatie, Peter Drucker’s boek daarover The Concept of the Corporation was gebaseerd op één case, General Motors (Drucker 1946)).

De NCGC hanteert niet dit begrip van best practice maar het civielrechterlijke begrip. Ter vergelijking, in de jaren vijftig kende Nederland als onderdeel van het naoorlogse industrialisatiebeleid een productiviteitsbeleid als basis voor de verhoging van de welvaart. In het kader daarvan waren er tripartiet samengestelde commissies die de wereld rondreisden op zoek naar best practices om die in Nederland in praktijk te brengen, naast overigens andere maatregelen. Die praktijk is zeer succesvol gebleken, eind jaren tachtig stond Nederland nummer één in de wereld wat betreft output per gewerkt uur.

Daarmee komen we op verdere aspecten van een ex-ante audit van performancemanagement, waar gebruikelijk is dat er ex-post wordt geaudit. Met de omslag van de waardebepaling van de onderneming op basis van accounting profit, balanswaarde en historische prestaties, naar een waardebepaling gebaseerd op geprojecteerde toekomstige kasstromen, verschuift de vraag naar assurance ook naar een ex-ante beoordeling van plannen, kwaliteit van mens en organisatie, van de opzet van de uitvoering, ook al weten alle betrokkenen dat nooit met zekerheid uitspraken over de toekomst gedaan kunnen worden. Deze verschuiving weerspiegelt een verschuiving in de samenleving naar proactief gedrag, voorbereid zijn, althans bij bepaalde groepen in de samenleving. De put dempen als het kalf verdronken is wordt steeds minder geaccepteerd. Het veranderende karakter van de onderneming, waarin steeds vaker immateriële activa dominant zijn, impliceert de noodzaak voor andere organisatievormen. Immers de toenemende rol van niet-codificeerbare, persoonsgebonden kennis impliceert dat deze kennis via interacties wordt ingebracht in het ontwikkelings- en productieproces, niet via transacties (Jensen 1998),¹ Deze interacties ter wille van combinatorische innovaties zoals nodig voor de moderne performance worden gefaciliteerd in de vorm van projecten, end-to-end processen en strategische thema’s dwars over afdelingen, business units, en dergelijke heen, en zijn daarmee in termen van de economische theorie van knowledge governance governancemechanismen die toegevoegd moeten worden aan het bestaande systeem van internal governance (Foss and Michailova 2009). Daarbij moet een aantal materiële maatregelen worden doorgevoerd in de systemen voor managementinformatie, rapportage, HR-systemen en -beleid, en in ICT-systemen, wil deze interactieve samenwerking tussen kenniswerkers over afdelingen heen vruchtbaar zijn, maar ook, dat in termen van bestede uren, tussenopbrengsten, de raad van commissarissen adequaat toezicht kan houden op de uitvoering van de strategie. Los ervan dat het goed organiseren van die interactieve samenwerking cruciaal is voor de performance van de onderneming, niet alleen financieel, maar ook in termen van het ontwikkelen van nieuwe kennis en retentie en ontwikkeling van kenniswerkers. Hierbij speelt dan ook nog dat de aard van de kenniseconomie met zich meebrengt dat nieuwe kennis daar ontstaat waar een kenniswerker haar of zijn kennis, gebruikt om nieuwe vragen van afnemers op te lossen. Ofwel, in steeds meer situaties moet de lange termijn en de korte termijn gemanaged worden op het niveau van de individuele kenniswerker. Voor de internal auditor betekent dit dat geaudit moet worden of nodige systeemveranderingen worden gerealiseerd voordat van medewerkers anders denken en handelen wordt gevraagd. Immers het Interactionist Perspective Model uit de leer der sociaal-psychologie van organisaties leert dat voor de meeste mensen geldt dat hun gedrag dominant door de context wordt bepaald, niet door persoonlijke eigenschappen (Greenberg and Baron 2003, p. 82).

Dat dit zo is en zo werkt wordt door bestuurders en betrokkenen ook wel gevoeld, uitgedrukt in instrumentele waarden als ‘samenwerking’, ‘teamwork’, over de afdelingsgrenzen heen kijken, en dergelijke. Ook valt die erkenning daarin te zien dat vernieuwingen en veranderingen met eigen mensen doorgevoerd wil worden en niet met externen. Maar onvoldoende wordt onderkend dat het bestuur een aantal materiële maatregelen dient te nemen, dus geen cultuurprogramma’s, wil dit allemaal goed werken en vooral ook zijn die materiële maatregelen nodig opdat er geen roofbouw op mensen wordt gepleegd (Bower 2003; Kanter 2009; Kaplan and Norton 2008). Bijvoorbeeld, er moeten urenbudgetten worden opgesteld en bewaakt, maar ook moet er managementinformatie zijn om zelf-organisatie, resource mobilization en fast feedback-informatie te faciliteren. Goed bestuur, een efficiënte uitvoering van een strategie, vereist dat een situatie dient te worden voorkomen zoals door Kaplan and Norton (2001, p. 293) omschreven:

“Many organizations fail in strategy implementation because the necessary people, capital, and financial resources are not provided for in the budget, which, in these organization is done completely separately from the [operational] planning process. As a consequence, initiatives get implemented on the cheap, trying to steal time from already busy people and with funding scraped together from small improvements in the operating budget.” (Kaplan and Norton 2001, p. 293).

De praktijk leert dat wanneer aan bijvoorbeeld CFOs, controllers, wordt uitgelegd met welke maatregelen, met welk aangepast resource allocation process dit kan worden voorkómen, dat dan nogal eens, niet altijd, de reactie is: ‘te ingewikkeld, te complex, daar begin ik niet aan, laat mensen dat maar informeel onder elkaar regelen’. Maar er zijn ook voorbeelden van bestuurders die geconfronteerd met hoe het voor de patiënt en medewerker eenvoudiger te maken zich realiseren dat ze zelf meer complexiteit moeten absorberen en daarom benodigde maatregelen niet of halfslachtig nemen. Voor de internal auditor betekent dat deze over corresponderende complexe kennis moet beschikken om situaties op een juiste wijze te kunnen beoordelen.

Performancemanagement is niet het simpel stellen van financiële doelen. Performancemanagement is het proactief, holistisch realiseren van het systeem van inputs, processen, ondersteunende functies, het faciliteren en investeren in mensen, het realiseren van een goede organisatie, et cetera; dit alles doen functioneren in een dynamische context, opdat er sprake zal zijn van beoogde prestaties, waarbij de feitelijke prestaties wel gemeten en getoetst moeten worden, maar dat laatste is niet de taak van de internal auditor. Een belangrijke taak van de bestuurder is tijdig de juiste maatregelen nemen, te investeren in human capital, in information capital, het doorvoeren van noodzakelijke nieuwe organisatievormen (organization capital), maar ook zaken als stijl van leidinggeven, stijl van besluitvorming, het delen van kennis, et cetera, opdat er sprake zal zijn van een goede performance, in de brede zin van het woord. De internal auditor heeft een toegevoegde waarde in de fase van planvorming en van uitvoering, niet aan het eind van de rit, daar staat de externe accountant.

5. De mist van de vernieuwing

In het militaire bedrijf is er de uitdrukking ‘de mist van oorlogsvoering’ (Von Clausewitz 1833). Daarmee wordt bedoeld dat in weerwil van alle planning, voorbereiding, training, verkenningen en dergelijke, het feitelijk verloop van een militaire actie steeds plaatsvindt in een geheel van niet-voorziene omstandigheden, gebeurtenissen, onduidelijkheden, misverstanden en dergelijke Dat kan ook gezegd worden van de huidige economische ontwikkelingen en veranderingen. Er gebeurt veel, we maken er deel van uit, maar de interpretaties verschillen, er lopen oude en nieuwe opvattingen door elkaar, opvattingen over feitelijkheid en waarheid lopen door elkaar en nieuwe inzichten strijden met het feit van kennisverlies. Dit speelt op het niveau van de samenleving, het speelt op het niveau van de individuele onderneming, het speelt ook in discussies over professionele kennis. Het is in deze mist van fundamentele veranderingen in de economie, verouderde institutionele verhoudingen, onvoldoende investeren in kennis, het ontbreken van de houding van simplicity beyond complexity en de noodzaak van verhoging van de arbeids- of kennisproductiviteit en vermindering van stress en burnout (Strikwerda 2018b), dat de internal auditor een constructieve rol kan spelen. De maatschappelijke functie van de onderneming, impliceert dat een bijdrage wordt geleverd aan de groei van de arbeidsproductiviteit en dat dus met best practices wordt gewerkt.

6. De maatschappelijke context en de positie van de internal auditor

De rol van internal audit met betrekking tot de performance van de onderneming moet ook gezien worden in het licht van wat er maatschappelijk speelt. Een probleem in onze economie is de stagnerende ontwikkeling van de productiviteit.² Hierin spelen meerdere factoren, een er van is het gebrek aan kennisoverdracht van de wel zeer productieve frontier firms naar de rest, ofwel er is in het bedrijfsleven een probleem om over te stappen op de meer complexe, maar efficiëntere organisatievormen (Andrews et al. 2015). Deels heeft dit met gebrek aan kennis te maken, deels maken bestuurders de fout vast te houden aan de oude eenvoud. Waar in de USA het inzicht grond heeft gevonden dat de financiële functie meer complexiteit moet absorberen om het voor klanten en medewerkers eenvoudig te houden, houden bij ons CFOs liever vast aan GRC-afdelingen³ (Hidalgo 2015; Strikwerda 2015).

Dat plaatst dus vanuit het perspectief van een economisch beleid de internal auditor in een spanningsveld. De governance codes sturen de internal auditor in de richting van risicomanagement en compliance. De NCGC stelt in paragraaf 1.3.5 sub i dat de internal auditfunctie in ieder geval aandacht besteedt aan “gebreken in de effectiviteit van de interne risicobeheersings- en controlesystemen”. Het kan zijn dat er accountants en auditors zijn die dit breed opvatten, maar de vraag is of de gebruikte termen betrokkenen op het spoor zetten van de juiste vakkennis. Het ware beter geweest dat de NCGC had vermeld dat internal audit de opzet, toepassing en werking van het systeem van management control dient te beoordelen; in het bijzonder via de subfunctie van business control wordt dan automatisch de deur geopend naar vakkennis als bijvoorbeeld over strategy execution, de invalshoek van management accounting opent die deur niet. Verder, de samenleving vraagt impliciet aan die internal auditor dat deze behulpzaam is in het helpen doorvoeren van nieuwe organisatievormen met het oog op een duurzame performance van ondernemingen. De NCGC legt terecht de nadruk op langetermijnwaardecreatie, dat te realiseren in een veranderende economie vraagt om nieuwe organisatievormen toe te passen, die inderdaad een graad complexer zijn, maar dat vraagt om andere, dieper ingrijpende maatregelen dan wat in de NCGC wordt gesuggereerd, cultuur en waarden (Strikwerda 2018a, p. 68–69).

Waar in de naoorlogse periode bestuurders gedwongen werden te vernieuwen door het industrialisatiebeleid, de geleide loonpolitiek (waarin de stijging van contractlonen gekoppeld was aan stijging van de arbeidsproductiviteit), gefaciliteerd door de COP-experimenten van de SER⁴, gefinancierd door de gelden uit de Marshall-hulp, moet nu die hulp op het niveau van de onderneming georganiseerd worden, in het systeem van corporate governance. De raad van commissarissen heeft via zijn taak de bestuurder te adviseren, daarin een opgave. In die opgave heeft de raad van commissarissen een trait-d’union naar de organisatie nodig in de vorm van internal audit. Niet vanwege wantrouwen jegens de raad van bestuur, maar om de raad van bestuur te helpen zijn menselijk tekort te overstijgen, en daarmee tekortkomingen in aandacht en in rapportage; in de mist van de huidige veranderingen is het geen enkel individu gegeven een volledig begrip te hebben van al die veranderingen, van wat nodig is om doelen te realiseren en van wat er mis kan gaan (Weick and Sutcliffe 2015).

Prof. dr. J. Strikwerda is hoogleraar aan de Universiteit van Amsterdam, docent in het EMIA-programma, docent strategie in de leergang voor commissarissen van de Erasmus Universiteit, president-commissaris van een onderneming, lid van het audit committee van een van de departementen en auteur van De Nederlandse Corporte Governance Code: Ingeleid, toegelicht en becommentarieerd.

Literatuur

Andrews D, Criscuolo C, Gal P (2015) Frontier firms, technology diffusion and public policy: Micro evidence from OECD Countries. In: The future of productivity: Main background papers. OECD (Paris). http://www.oecd.org/economy/growth/Frontier-Firms-Technology-Diffusion-and-Public-Policy-Micro-Evidence-from-OECD-Countries.pdf

Anthony RN, Govindarajan V (2007) . Management control systems. McGraw-Hill/Irwin (Boston MA).

Arrow KJ (1974) The limits of organization. Norton (New York).

Baldwin CY, Clark KB (1994) Capital-budgeting systems and capabilities investments in U.S. companies after the second World War. Business History Review 68(01): 73–109. https://doi.org/10.2307/3117016

Bloom N, Dorgan S, Dowdy J, Van Reenen J (2007) Management practice and productivity: Why they matter. http://growingjobs.org/downloads/management_practice.pdf

Bower JL (1986) Managing the resource allocation process. Harvard Business School Press (Boston MA).

Bower JL (2003) Building the Velcro Organization: Creating value through integration and maintaining organization-wide efficiency. Ivey Business Journal 68(2): 1–10.

Bower JL, Gilbert CG (2005) A revised model of the resource allocation process. In Bower JL, Gilbert CG (eds.) From resource allocation to strategy. Oxford University Press (Oxford): 439–456.

Burgelman RA (1983) A model of the interaction of strategic behavior, corporate context, and the concept of strategy. The Academy of Management Review 8(1): 61–70. https://doi.org/10.5465/amr.1983.4287661

Chandler AD (1977) The visible hand: The managerial revolution in American business. The Belknap Press of Harvard University Press (Cambridge, MA).

Christensen CM, Bower JL (1996) Customer power, strategic investment, and the failure of leading firms. Strategic Management Journal 17(3): 197–218. https://doi.org/10.1002/(SICI)1097-0266(199603)17:3<197::AID-SMJ804>3.0.CO;2-U

Coase RH (1937/1991) The nature of the firm. In Williamson OE, Winter SG (eds.) The nature of the firm: origins, evolution, and development. Oxford University Press (Oxford): 18–33.

Commissie Onderzoek Financiële Problematiek Amarantis (2012) Autonomie verplicht. https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2012Z20884&did=2012D45266

Drucker PF (1946) Concept of the corporation. John Day (New York).

Fandel G, Backes-Gellner UU, Schlüter M, Staufenbiel JE (eds.) (2010) Modern concepts of the theory of the firm: Managing enterprises of the new economy. Springer-Verlag (Berlin, New York).

Fayol H (1918/1999) Administration industrielle et générale. Dunod (Paris).

Foss NJ (ed.) (2000) . The theory of the firm: Critical perspectives on business and management, Vol. I-IV. Routledge (London).

Foss NJ, Michailova S (2009) Knowledge governance: Processes and perspectives. Oxford University Press (Oxford, New York).

Goretzki L, Strauss E (2018) The role of the management accountant: Local variations and global influences. Routledge, Taylor & Francis Group (London, New York).

Greenberg J, Baron RA (2003) . Behavior in organizations. Understanding and managing the human side of work. Prentice-Hall (Upper Saddle River, NJ).

Hayek FA (1945) The use of knowledge in society. American Economic Review 35(4): 519–530. https://ssrn.com/abstract=1505216

Helfat CE, Peteraf MA (2015) Managerial cognitive capabilities and the microfoundations of dynamic capabilities. Strategic Management Journal 36(6): 831–850. https://doi.org/10.1002/smj.2247

Hidalgo CA (2015) Why information grows: The evolution of order, from atoms to economies. Basic Books (New York).

Jensen MC (1998) Foundations of organizational strategy. Harvard University Press (Cambridge, MA).

Jensen MC (2000) A theory of the firm: Governance, residual claims, and organizational forms. Harvard University Press (Cambridge MA).

Jensen MC (2001) Corporate budgeting is broken, Let’s fix it. Harvard Business Review 79(10): 94–102. https://hbr.org/2001/11/corporate-budgeting-is-broken-lets-fix-it

Jensen MC (2003) Paying people to lie: the truth about the budgeting process. European Financial Management 9(3): 379–406. https://doi.org/10.1111/1468-036X.00226

Jensen MC, Meckling WH (1998) The nature of man. In Jensen MC (ed.) Foundations of organizational strategy. Harvard University Press (Cambridge MA).

Johnson HT, Kaplan RS (1987) Relevance lost: The rise and fall of management accounting. Harvard Business School Press (Boston MA).

Kanter RM (2009) SuperCorp: How vanguard companies create innovation, profits, growth, and social good. Crown Business (New York).

Kaplan RS, Norton DP (2001) The strategy-focused organization: How balanced scorecard companies thrive in the new business environment. Harvard Business School Press (Boston MA).

Kaplan RS, Norton DP (2004) Strategy maps: Converting intangible assets into tangible outcomes. Harvard Business School Press (Boston MA).

Kaplan RS, Norton DP (2008) The execution premium: Linking strategy to operations for competitive advantage. Harvard Business School Press (Boston MA).

Martin RL (2007) The opposable mind: How successful leaders win through integrative thinking. Harvard Business School Press (Boston MA).

NCGC (2016) Monitoring Commissie Corporate Governance. De Nederlandse Corporate Governance Code. https://www.mccg.nl/?page=5178

Porter ME, Wayland R (1992) Capital disadvantage: America’s failing capital investment system. Harvard Business Review 70(5): 65–82. https://hbr.org/1992/09/capital-disadvantage-americas-failing-capital-investment-system

Pratt JW, Zeckhauser RJ (eds.) (1991) . Principals and agents: The structure of business. Harvard Business School Press (Boston MA).

Ramamoorti S (2003) Internal Auditing, History, Evolution, and Prospects. Institite of Internal Auditors (Altamonte Springs, FL). https://na.theiia.org/iiarf/Public%20Documents/Chapter%201%20Internal%20Auditing%20History%20Evolution%20and%20Prospects.pdf

Ratliff RL, Reding KF (2002) Introduction to auditing: Logic, principles, and techniques. The Institute of Internal Auditors (Altamonte Springs, FL).

Simon HA (1962) The architecture of complexity. Proceedings of the American Philosophical Society 106(6): 467–482. http://links.jstor.org/sici?sici=0003-049X%2819621212%29106%3A6%3C467%3ATAOC%3E2.0.CO%3B2-1

Simon HA (1991) Organizations and markets. Journal of Economic Perspectives 5(2): 25–44. https://www.aeaweb.org/articles?id=10.1257/jep.5.2.25

Simon HA (1997) Administrative behavior: A study of decision-making processes in administrative organizations. Free Press (New York).

Simons R (2000) Performance measurement & control systems for implementing strategy. Prentice Haal (Upper Saddle River NJ).

Simons R (2005) Levers of organization design: How managers use accountability systems for greater performance and commitment. Harvard Business School Press (Boston MA).

Strikwerda J (2009) Terug van weggeweest: De strategy audit. Holland Management Review 125: 23–31.

Strikwerda J (2015) De Cfo: Een duizendpoot en nog niet voldoende. Holland Management Review 164: 63–70.

Strikwerda J (2017) Strategy execution: An integrative perspective and method for the knowledge-based economy. SSRN. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2934415

Strikwerda J (2018a) De kwaliteit van kenniswerk: Hoe werk-gerelateerde stress kan worden voorkomen. Holland Management Review 181–182. (Oktober-December): 73–86.

Strikwerda J (2018b) De Nederlandse Corporate Governance Code: Ingeleid, toegelicht en becommentarieerd. Mediawerf (Amsterdam).

Sull DN (2005) When the bottom-up resource allocation process fails. In Bower JL, Gilbert CG (eds.) From resource allocation to strategy. Oxford University Press (Oxford): 93–98.

Swinkels WHA (2012) Exploration of a theory of internal audit. Faculteit voor Economie en Bedrijfskunde, Universiteit van Amsterdam, Eburon (Delft).

Von Clausewitz (1833/2008) Zum Kriege (At war). Nikol.

Weick KE (1995) Sensemaking in organizations. Sage (Thousand Oaks, CA).

Weick KE, Sutcliffe KM (2015) Managing the unexpected: Sustained performance in a complex world. John Wiley & Sons, Inc. (Hoboken, NJ).

Noten

Concepten en methoden voor de bedrijfskunde zoals ontwikkeld sinds 1900 zijn, impliciet, gebaseerd op codificeerbare, niet-persoonsgebonden kennis. Deels had dit te maken met de opkomst van beta- en technische wetenschappen, deels had dit te maken met de financiering van de onderneming waarvoor de scheiding van kapitaal en arbeid nodig was. Sinds 1990, zo wordt aangenomen, speelt juist niet-codificeerbare, persoonsgebonden kennis een materiële rol in een toenemend deel van het bedrijfsleven, zonder dat methoden en technieken daarop goed zijn afgestemd.

ESB 4778, 10 oktober 2019. https://esb.nu/esb/20056023/inhoud-esb-4778-stagnerende-productiviteit

GRC = Governance, risk, compliance.

Sociaal Economische Raad. Commissie Opvoering Productiviteit: experimenten gericht op het verhogen van de productiviteit. Later werd dit de Commissie Ontwikkeling Bedrijfsvoering (COB), waarin ook meer gedragswetenschappelijke zaken werden meegenomen, taakroulatie, arbeidsplaatsverbetering en dergelijke. Dit is begin jaren negentig gestopt.