Corresponding author: Hans Strikwerda ( j.strikwerda@uva.nl ) Academic editor: Edo Roos Lindgreen
© 2020 Hans Strikwerda.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Strikwerda H (2020) Internal Audit: Van compliance naar performance audit? Maandblad Voor Accountancy en Bedrijfseconomie 94(3/4): 127-135. https://doi.org/10.5117/mab.94.47939
|
Gelet op ontwikkelingen in de aard van ondernemingen, in het bijzonder de steeds belangrijkere rol van immateriële activa en informatie, groeit er een vraag naar het ex-ante beoordelen van strategie, bestuur en bedrijfsvoering, ex-post beoordelingen schieten te kort. Daarmee moet de functie van internal audit niet door de bril van de eigen functie proberen te kijken naar wat er van de internal auditor zal worden gevraagd, maar door de brillen van de maatschappelijke vraag en die van de veranderende aard van de onderneming en de veranderende aard van activa. De traditionele kennis voor de auditfunctie is dan niet meer voldoende. Ook de internal auditor zal zich meer en bredere kennis eigen moeten maken om nieuwe situaties op een juiste wijze te toetsen.
internal audit, compliance, performance, immateriële activa, ex-ante assurance
Hoe zal de functie van internal auditor zich de komende jaren moeten ontwikkelen om van betekenis te zijn en relevant te blijven? Moet internal audit reflecteren op manifest maatschappelijke vragen naar risicomanagement, compliance en integriteit of moet internal audit reflecteren op de diepere maatschappelijke behoefte aan assurance en vertrouwen in bestuurders en in ondernemingen en instellingen? Wat worden de onderwerpen van internal audit? Verbreedt de functie zich van compliance audit naar performance audit?
Om deze vragen te beantwoorden worden eerst in paragraaf 2 drie perspectieven uiteengezet vanuit welke deze vragen benaderd zouden kunnen worden: het perspectief van het vakgebied internal audit zelf, het perspectief van de theory of the firm en het perspectief van ondernemingsbestuur. De strekking van deze paragraaf is, wil de internal audit geprepareerd zijn op de toekomst, deze door de bril van de new theory of the firm naar zijn functie en bijdragen zal moeten kijken. Omdat in de vraagstelling van het artikel performance wordt genoemd, wordt in paragraaf 3 een verduidelijking van de aard van performance management gegeven met als strekking dat performance management een ex-ante component kent, meer omvat dan financiële performance en dat het resource allocation process hierin een centrale rol speelt, met de nodige implicaties voor de onderwerpen van internal audit. In paragraaf 4 worden de implicaties van de paragrafen 2 en 3 voor de door de internal auditor benodigde vakkennis uiteengezet. In een heel korte paragraaf 5 wordt uitgelegd dat de toegevoegde waarde van de internal audit ook is om in de mist van vernieuwingen in organisaties betrokkenen te helpen de koers helder te houden in een wereld van conflicterende eisen. In de laatste paragraaf, paragraaf 6. wordt een conclusie geformuleerd, niet alleen op de vraagstelling van het artikel, maar wordt de functie van de internal auditor ook in een breder maatschappelijk perspectief geplaatst. Immers uiteindelijk vormt een maatschappelijke vraag de legitimiteit van de functie van internal auditor, niet alleen of deze met de juiste operationele vraagstukken bezig is.
Om antwoorden te vinden op deze vragen is het van belang vanuit welk perspectief, door welke bril naar de functie van internal audit wordt gekeken.
Is dat de bril van het vakgebied internal audit zelf? Deze benadering vinden we bijvoorbeeld in
Een tweede bril om naar de toekomst van internal audit te kijken zou kunnen zijn die van de theory of the firm (
Nu is de traditionele theory of the firm gebaseerd op materiële activa, op het samenvallen van de economische grenzen van de onderneming met haar juridische grenzen die dan weer samenvallen met de grenzen van die fysieke activa. Daarmee hangt samen dat de traditionele theory of the firm uitgaat van de scheiding van kapitaal en arbeid, waarin de werknemer geen onderdeel uitmaakt van de onderneming als nexus of contracts. In de new theory of the firm geldt dat immateriële activa belangrijker zijn voor de waardecreatie en de waarde van de onderneming dan materiële activa, zij het uiteraard dat er gradaties bestaan variërend van sector tot sector en van de aard van de individuele onderneming (
Dit laat onverlet dat er geen sluitende micro-economische theorie van de onderneming bestaat als basis voor besluitvorming. Er bestaan wel deelinzichten, maar gezien het karakter van sociale systemen hebben die veelal een correlatief karakter, geen causaal karakter. De betekenis daarvan is dat in economisch onderzoek wel vastgesteld kan worden dat immateriële activa meer bijdragen aan waardecreatie en de waarde van de onderneming, maar niet kan worden vastgesteld hoe dit precies verloopt. Alvorens de betekenis hiervan voor internal audit uit te meten is het van belang om een derde bril te definiëren.
Die derde bril is die van het vakgebied business administration (ondernemingsbestuur) en in het bijzonder daarbinnen het vakgebied administrative behavior (bestuurspsychologie). Administrative behavior handelt over de psychologische aspecten van besturen, in het bijzonder besluitvorming, maar de laatste jaren heeft zich dit verder ontwikkeld tot psychologische aspecten van denkprocessen voorafgaande aan besluitvorming, het zien van ontwikkelingen in de wereld, het interpreteren daarvan, het ontwikkelen van visie en dat vertalen in — vernieuwende — besluitvorming. Kernbegrippen in dit vakgebied zijn bounded rationality, satisfycing behavior, bounded knowledgeability, integrative thinking, conceptual complexity, rule-following decision making, et cetera. In de moderne administrative behavior wordt onderkend dat voor de waardecreatie, de waarde van de onderneming en een gezonde continuïteit van de onderneming, de intellectuele alertheid en het vermogen van het bestuur nieuwe omstandigheden en ontwikkelingen tijdig te zien, adequaat te interpreteren en daar bestuurlijke en operationele maatregelen aan te verbinden, cruciaal is (
Echter, de praktijk met Bower’s bottom-up resource allocation process, leert dat maar weinig bestuurders dit correct toepassen. In het bijzonder wordt vaak verzuimd vanuit een nieuwe strategie materiële condities te creëren in de organisatie zoals nodig om nieuw denken, observeren en interpreteren, en nieuw gedrag zoals nodig voor de strategie, te faciliteren (
Wat impliceert nu de veranderende aard van de onderneming, zoals uitgedrukt in de new theory of the firm, maar ook de negatieve ervaring met een op zich goed geformuleerd bestuursinstrument, het resource allocation process, nu voor de vraag of internal audit zich moet richten op compliance audit of op performance audit?
Omdat de functie van internal audit genoemd wordt in de Nederlandse Corporate Governance Code impliceert dit een verwachting vanuit de samenleving ten aanzien van de functie van internal audit in de onderneming. Die verwachting is niet gearticuleerd, hooguit zou gesteld kunnen worden dat die verwachting besloten ligt in de opvatting van de Monitoring Commissie Corporate Governance dat de Nederlandse Corporate Governance Code (2016) “zal bijdragen aan het vertrouwen in goed en verantwoord bestuur van ondernemingen en hun inbedding in de maatschappij” (NCGC – Preambule). Hierbij zou gedacht kunnen worden aan dat bestuurders zich houden aan wet- en regelgeving en overigens beschikken over een goed moreel kompas, maar de legitimiteit van een onderneming ligt er in de eerste plaats in dat een onderneming goederen en diensten voortbrengt zoals gevraagd door de samenleving en deze op een verantwoorde wijze ontwikkelt, produceert en distribueert. Het vertrouwen daarin geldt niet de ex-post beoordeling, immers dan zijn er de feiten, maar juist in de ex-ante beoordeling, als er nog geen feiten zijn, maar wel beslissingen genomen moeten worden.
Performance is steeds de resultante van beslissingen en initiatieven in het verleden; wordt op enig moment geconstateerd dat de performance niet is wat deze had kunnen of moeten zijn, dan kan aan de oorzaken niets meer worden gedaan. Dit impliceert dat performancemanagement in de eerste plaats proactief dient te zijn en op basis van backward planning gericht moet zijn op het tijdig organiseren van mensen, kennis, informatie, materieel, materiaal, een juiste organisatie (materieel en sociaal) zoals dat moet leiden tot de beoogde performance. In het systeem van performancemanagement worden financiële en niet-financiële parameters en numerieke waarden daarvoor gebruikt met betrekking tot de input, throughput (processen), output en outcome als ook de omgeving (
De idee van performance heeft niet alleen betrekking op de financiële prestaties van de onderneming, winst, aandeelhouderswaarde, maar evenzeer heeft de performance van de onderneming betrekking op de effecten van het beleid op de medewerkers, op toeleveranciers, op effecten voor de institutionele, de sociale en de fysieke omgeving (duurzaamheid), op het zijn van de onderneming als een goed vennootschappelijk burger, en op de bijdrage van de onderneming aan het maatschappelijk welzijn, economische groei en groei van de arbeidsproductiviteit en daarmee op langetermijnwaardecreatie.
Het nagestreefde vertrouwen in goed en verantwoord bestuur zal dus gebaseerd moeten zijn op een ex-ante beoordeling van de kwaliteit van de bestuurders, de kwaliteit van het beleid (de strategie), de kwaliteit van de organisatie, de kwaliteit van de uitvoering van de strategie, de kwaliteit van de bedrijfsvoering, et cetera. Immers, al deze factoren resulteren in de toekomstige performance van de onderneming in zowel de smalle, financiële betekenis als in brede zin.
Het beoordelen van de kwaliteit van bestuurders is een taak van de raad van commissarissen, een taak die begint met de selectie van de juiste personen naar kennis, inzicht en ervaring voor de specifieke situatie van de onderneming. Hierbij speelt het risico voor de raad van commissarissen van het perfect agent syndroom (
In die benodigde vakkennis schuilt wel een probleem. Artikel 9 BW2 impliceert dat zowel de bestuurder als de commissaris over de vereiste kennis, inzichten en begrip moet beschikken zoals nodig voor een behoorlijk toezicht op beleid en dus ook de uitvoering daarvan. Waar het gaat over de inhoud van de strategie kunnen inzichten worden ontleend aan het vakgebied strategisch management als onderdeel van het vakgebied bedrijfskunde. De technieken en inzichten zoals nodig voor een goede strategy execution maken geen onderdeel uit van het vakgebied strategisch management, maar van het vakgebied management control. De functie van strategy execution is onderdeel van de subfunctie van business control als onderdeel van de functie van management control en is daarmee deel van de financiële functie in de onderneming. Meer specifiek heeft de subfunctie van business control tot taak het beleid, de strategie, te vertalen in task control, dat wil zeggen, in subdoelen en subtaken, allocatie van middelen, attributie van beslissingsrechten, de organisatie van informatie en andere faciliterende functies, alsmede de monitoring taak op initiatieven, voortgang en prestaties, als voorwaarde voor een effectieve en efficiënte performance (
Omdat de registercontroller niet aan tafel zit bij het schrijven van codes voor corporate governance zien we dat daarin wel wordt gerept over de AO/IC, maar de veel kritischer functie van business control en in het bijzonder de kritieke functie van het middelenallocatieproces, wordt niet genoemd.
Er is dan het gevaar, bijvoorbeeld te zien in het Amarantis expert-rapport (
In de tweede plaats kunnen in de normen twee niveaus worden onderscheiden. Wat algemeen gangbaar is als norm heeft betrekking op het civiel recht, dan is van goed bestuurlijk handelen in een concrete situatie sprake als een ander redelijk opererende bestuurder hetzelfde zou hebben gedaan. De vraag is wel of dat criterium houdbaar is als op grote schaal fouten worden gemaakt zoals het geval is met het resource allocation process maar ook bijvoorbeeld dat systemen van managementinformatie worden gebaseerd op systemen voor verantwoordingsinformatie (
De NCGC hanteert niet dit begrip van best practice maar het civielrechterlijke begrip. Ter vergelijking, in de jaren vijftig kende Nederland als onderdeel van het naoorlogse industrialisatiebeleid een productiviteitsbeleid als basis voor de verhoging van de welvaart. In het kader daarvan waren er tripartiet samengestelde commissies die de wereld rondreisden op zoek naar best practices om die in Nederland in praktijk te brengen, naast overigens andere maatregelen. Die praktijk is zeer succesvol gebleken, eind jaren tachtig stond Nederland nummer één in de wereld wat betreft output per gewerkt uur.
Daarmee komen we op verdere aspecten van een ex-ante audit van performancemanagement, waar gebruikelijk is dat er ex-post wordt geaudit. Met de omslag van de waardebepaling van de onderneming op basis van accounting profit, balanswaarde en historische prestaties, naar een waardebepaling gebaseerd op geprojecteerde toekomstige kasstromen, verschuift de vraag naar assurance ook naar een ex-ante beoordeling van plannen, kwaliteit van mens en organisatie, van de opzet van de uitvoering, ook al weten alle betrokkenen dat nooit met zekerheid uitspraken over de toekomst gedaan kunnen worden. Deze verschuiving weerspiegelt een verschuiving in de samenleving naar proactief gedrag, voorbereid zijn, althans bij bepaalde groepen in de samenleving. De put dempen als het kalf verdronken is wordt steeds minder geaccepteerd. Het veranderende karakter van de onderneming, waarin steeds vaker immateriële activa dominant zijn, impliceert de noodzaak voor andere organisatievormen. Immers de toenemende rol van niet-codificeerbare, persoonsgebonden kennis impliceert dat deze kennis via interacties wordt ingebracht in het ontwikkelings- en productieproces, niet via transacties (
Dat dit zo is en zo werkt wordt door bestuurders en betrokkenen ook wel gevoeld, uitgedrukt in instrumentele waarden als ‘samenwerking’, ‘teamwork’, over de afdelingsgrenzen heen kijken, en dergelijke. Ook valt die erkenning daarin te zien dat vernieuwingen en veranderingen met eigen mensen doorgevoerd wil worden en niet met externen. Maar onvoldoende wordt onderkend dat het bestuur een aantal materiële maatregelen dient te nemen, dus geen cultuurprogramma’s, wil dit allemaal goed werken en vooral ook zijn die materiële maatregelen nodig opdat er geen roofbouw op mensen wordt gepleegd (
“Many organizations fail in strategy implementation because the necessary people, capital, and financial resources are not provided for in the budget, which, in these organization is done completely separately from the [operational] planning process. As a consequence, initiatives get implemented on the cheap, trying to steal time from already busy people and with funding scraped together from small improvements in the operating budget.” (
De praktijk leert dat wanneer aan bijvoorbeeld CFOs, controllers, wordt uitgelegd met welke maatregelen, met welk aangepast resource allocation process dit kan worden voorkómen, dat dan nogal eens, niet altijd, de reactie is: ‘te ingewikkeld, te complex, daar begin ik niet aan, laat mensen dat maar informeel onder elkaar regelen’. Maar er zijn ook voorbeelden van bestuurders die geconfronteerd met hoe het voor de patiënt en medewerker eenvoudiger te maken zich realiseren dat ze zelf meer complexiteit moeten absorberen en daarom benodigde maatregelen niet of halfslachtig nemen. Voor de internal auditor betekent dat deze over corresponderende complexe kennis moet beschikken om situaties op een juiste wijze te kunnen beoordelen.
Performancemanagement is niet het simpel stellen van financiële doelen. Performancemanagement is het proactief, holistisch realiseren van het systeem van inputs, processen, ondersteunende functies, het faciliteren en investeren in mensen, het realiseren van een goede organisatie, et cetera; dit alles doen functioneren in een dynamische context, opdat er sprake zal zijn van beoogde prestaties, waarbij de feitelijke prestaties wel gemeten en getoetst moeten worden, maar dat laatste is niet de taak van de internal auditor. Een belangrijke taak van de bestuurder is tijdig de juiste maatregelen nemen, te investeren in human capital, in information capital, het doorvoeren van noodzakelijke nieuwe organisatievormen (organization capital), maar ook zaken als stijl van leidinggeven, stijl van besluitvorming, het delen van kennis, et cetera, opdat er sprake zal zijn van een goede performance, in de brede zin van het woord. De internal auditor heeft een toegevoegde waarde in de fase van planvorming en van uitvoering, niet aan het eind van de rit, daar staat de externe accountant.
In het militaire bedrijf is er de uitdrukking ‘de mist van oorlogsvoering’ (Von Clausewitz 1833). Daarmee wordt bedoeld dat in weerwil van alle planning, voorbereiding, training, verkenningen en dergelijke, het feitelijk verloop van een militaire actie steeds plaatsvindt in een geheel van niet-voorziene omstandigheden, gebeurtenissen, onduidelijkheden, misverstanden en dergelijke Dat kan ook gezegd worden van de huidige economische ontwikkelingen en veranderingen. Er gebeurt veel, we maken er deel van uit, maar de interpretaties verschillen, er lopen oude en nieuwe opvattingen door elkaar, opvattingen over feitelijkheid en waarheid lopen door elkaar en nieuwe inzichten strijden met het feit van kennisverlies. Dit speelt op het niveau van de samenleving, het speelt op het niveau van de individuele onderneming, het speelt ook in discussies over professionele kennis. Het is in deze mist van fundamentele veranderingen in de economie, verouderde institutionele verhoudingen, onvoldoende investeren in kennis, het ontbreken van de houding van simplicity beyond complexity en de noodzaak van verhoging van de arbeids- of kennisproductiviteit en vermindering van stress en burnout (
De rol van internal audit met betrekking tot de performance van de onderneming moet ook gezien worden in het licht van wat er maatschappelijk speelt. Een probleem in onze economie is de stagnerende ontwikkeling van de productiviteit.
Dat plaatst dus vanuit het perspectief van een economisch beleid de internal auditor in een spanningsveld. De governance codes sturen de internal auditor in de richting van risicomanagement en compliance. De NCGC stelt in paragraaf 1.3.5 sub i dat de internal auditfunctie in ieder geval aandacht besteedt aan “gebreken in de effectiviteit van de interne risicobeheersings- en controlesystemen”. Het kan zijn dat er accountants en auditors zijn die dit breed opvatten, maar de vraag is of de gebruikte termen betrokkenen op het spoor zetten van de juiste vakkennis. Het ware beter geweest dat de NCGC had vermeld dat internal audit de opzet, toepassing en werking van het systeem van management control dient te beoordelen; in het bijzonder via de subfunctie van business control wordt dan automatisch de deur geopend naar vakkennis als bijvoorbeeld over strategy execution, de invalshoek van management accounting opent die deur niet. Verder, de samenleving vraagt impliciet aan die internal auditor dat deze behulpzaam is in het helpen doorvoeren van nieuwe organisatievormen met het oog op een duurzame performance van ondernemingen. De NCGC legt terecht de nadruk op langetermijnwaardecreatie, dat te realiseren in een veranderende economie vraagt om nieuwe organisatievormen toe te passen, die inderdaad een graad complexer zijn, maar dat vraagt om andere, dieper ingrijpende maatregelen dan wat in de NCGC wordt gesuggereerd, cultuur en waarden (
Waar in de naoorlogse periode bestuurders gedwongen werden te vernieuwen door het industrialisatiebeleid, de geleide loonpolitiek (waarin de stijging van contractlonen gekoppeld was aan stijging van de arbeidsproductiviteit), gefaciliteerd door de COP-experimenten van de SER
Prof. dr. J. Strikwerda is hoogleraar aan de Universiteit van Amsterdam, docent in het EMIA-programma, docent strategie in de leergang voor commissarissen van de Erasmus Universiteit, president-commissaris van een onderneming, lid van het audit committee van een van de departementen en auteur van De Nederlandse Corporte Governance Code: Ingeleid, toegelicht en becommentarieerd.
Concepten en methoden voor de bedrijfskunde zoals ontwikkeld sinds 1900 zijn, impliciet, gebaseerd op codificeerbare, niet-persoonsgebonden kennis. Deels had dit te maken met de opkomst van beta- en technische wetenschappen, deels had dit te maken met de financiering van de onderneming waarvoor de scheiding van kapitaal en arbeid nodig was. Sinds 1990, zo wordt aangenomen, speelt juist niet-codificeerbare, persoonsgebonden kennis een materiële rol in een toenemend deel van het bedrijfsleven, zonder dat methoden en technieken daarop goed zijn afgestemd.
ESB 4778, 10 oktober 2019. https://esb.nu/esb/20056023/inhoud-esb-4778-stagnerende-productiviteit
GRC = Governance, risk, compliance.
Sociaal Economische Raad. Commissie Opvoering Productiviteit: experimenten gericht op het verhogen van de productiviteit. Later werd dit de Commissie Ontwikkeling Bedrijfsvoering (COB), waarin ook meer gedragswetenschappelijke zaken werden meegenomen, taakroulatie, arbeidsplaatsverbetering en dergelijke. Dit is begin jaren negentig gestopt.