Akoepedie voor controllers?
Enkele medicijnmannen uit de regio nemen het initiatief genomen voor een bijeenkomst van beroepsgenoten. Gezamenlijk moeten zij door middel van regendansen toch in staat zijn krachten los te maken die de zo felbegeerde regen brengen. De bijeenkomst is een lust voor het oog. Medicijnmannen met fel getooide kleuren beschilderd komen in grote getale van heinde en ver toestromen. Er valt veel te leren. Na een lange dag van vergadering en toespraken nadert het hoogtepunt van de bijeenkomst.
De avond is gereserveerd voor een groot dansfeest met veel voedsel en geestrijk vocht. De hele nacht wordt er uitbundig gedanst. Men bewondert elkaars nieuwe vondsten en bekwaamheden. Langzaam raakt het hele gezelschap in trance. Het wordt een uitzinnig regendansfestijn dat de ganse nacht voortduurt. Intussen schreeuwt de natuur om water als nooit tevoren en al die uitzinnige dansen brengen geen drup regen. Gek genoeg schijnt dat de medicijnmannen niet meer te deren. Zij dansen….. L’art pour l’art oft ewel kunst omwille van de kunst? Luisteraar De titel van mijn afscheidsrede bevat het woord Akoepedie.
Akoe relateert aan het Griekse werkwoord akouein (luisteren). Akoepedie laat zich vertalen met behandeling van luisterdefecten of dovenhulp. Net als de auditor is de controller een luisteraar, een observator. Hij dankt zijn bestaan aan niet afl atende pogingen tot waarheidsgetrouw waarnemen, registreren en analyseren, in zijn geval ten behoeve van de bedrijfsleiding en de aandeelhouders.
Het controllersvak ontwikkelde zich uit het boekhoudersschap tot een veredeld analytisch métier. Maar doet het over de hele linie wat het moet doen? De achter ons liggende beursschandalen wijzen in een andere richting, evenals de meer recente problemen in de bankwereld. Van de laatste kun je je afvragen: hebben alle bankcontrollers, risk managers, interne auditors en accountants liggen slapen? Is er sprake van een luisterdefect dat om een oplossing vraagt? Van accountants is al jaren sprake van een verwachtingskloof (lees vermeende prestatiekloof). Is dit bij de controller ook het geval?
Intussen is door allerlei regelgeving op het gebied van corporate governance de verwachting van de rol van controllers en controleurs opgeschroefd. Wordt hier de parallel zichtbaar met de medicijnmannen, die zich beijveren in de stijl van dansen en het bediscussiëren van de toekomst van het métier, maar zich niet bekommeren om het feit dat de regen uitblijft ? Ofwel: is hier sprake van l’art pour l’art?
Collega Nielen (Koninklijke Universiteit Brabrant), eens mijn copromotor en een bewezen goede voorspeller, schreef : ‘Met het complexer worden van de samenleving groeit de behoefte aan steeds meer ordening. Onze moderne maatschappij is inmiddels afh ankelijk van een immens aantal ordelijke oplossingen voor dagelijkse problemen. We moeten verwachten dat deze trend naar ordening zich nog lange tijd doorzet: er zullen steeds meer ordelijke oplossingen komen.’ (Nielen, 2005)
Het geloof in steeds maar meer regels om problemen op te lossen knaagt aan de wortels van de democratie. Deze regelzucht leidt tot een verstikkende bu- reaucratie die de ondernemingslust verstilt en de burger tot wanhoop brengt. Regering op regering neemt zich voor te dereguleren, maar in de praktijk dijt de regelgeving steeds meer uit. Inmiddels zijn alle beursgenoteerde en sommige andere ondernemingen opgezadeld met de Sarbanes-Oxley Act (US Congress, 2002) en in het kielzog daarvan Nederlandse variant Tabaksblat (Tabaksblat, 2003). Daarvoor is een immens dure inspanning geleverd, maar het heeft de grote problemen bij de banken niet kunnen voorkomen.
L’art pour l’art? Waarom is niet eerst een grondige evaluatie gemaakt van het falen van controllers en controleurs, voorafgaand aan het invoeren van nieuwe regels? IT-factor onderschat In 1985 schreven collega Smulders en ik in een artikel in De Accountant: ‘De kwaliteit van de opgeleverde informatie( waaronder de eindcijfers) wordt bepaald door de kwaliteit van de organisatie en de informatiesystemen die haar hebben voortgebracht.….’ (Mollema en Smulders 1985). Sinds die tijd heeft de automatisering een enorme vlucht genomen en is zij als het ware het woonhuis van de administratieve organisatie en interne controle geworden.
Een logische ontwikkeling zou zijn geweest dat de controller zich steeds meer daarop en ergo op de informatietechnologie (IT) zou richten. Tenslotte is er een gedeeltelijk causaal verband tussen de kwaliteit van informatie en de organisatie die haar voortbrengt. Collega Heemstra van de Open Universiteit Heerlen stelt : ‘Vanaf 1990 beseff en steeds meer organisaties dat met de inzet van IT aanzienlijk competitief voordeel te behalen is, werkprocessen c.q. organisaties op een andere manier kunnen worden ingericht en samenwerking tussen organisaties volkomen anders vorm gegeven kan worden.’ (Heemstra, 1997)
Tien jaar later, anno 2007, is dit realiteit. Om de problemen nog groter te maken zien we ook nog eens de papierloze samenleving op ons afk omen. (Mollema, 2006 ) Een maatschappij waar originele papieren documenten hun plaats afstaan aan betrouwbare digitale records in computersystemen, waarvan de integriteit alleen is vast te stellen door het beoordelen van het ingebouwde beveiligingssysteem, een kundigheid die thans op het terrein van de IT-audit ligt. Ook is de informatieverstrekking aan de buitenwacht sterk veranderd. Informatiestromen van de onderneming naar de beleggerswereld geschieden met steeds grotere frequentie en ontwikkelingen als Extended Business Reporting Language (XBRL) brengen dit in een stroomversnelling.
Intussen is het met het ITgehalte van de controllersopleidingen niet veel beter gesteld dan dat van de accountantsopleidingen: IT is nog steeds een ondergewaardeerd onderwerp. Cosmetische aanpassingen brengen geen soelaas. Er is eerst een grondige attitudeverandering nodig bij controllers en hun beroepsorganisatie ten aanzien van IT. Met onwillige honden is het kwaad hazen vangen zegt een oud spreekwoord. In de accountantswereld heeft zich naast de traditionele accountantsprofessie een IT-georiënteerde ondersteunende variant ontwikkeld: de IT-auditing.
Een dergelijke variant bestaat er voor controllers niet. Het gevaar is dat de controller zich marginaliseert. Bijvoorbeeld als het bedrijf overgaat op ERP-systemen. Een controller die in een dergelijk verstrekkend project niet deskundig participeert, mist de boot. Veranderingen probleem De CEO van een grote fi nanciële instelling, destijds mijn chef, zei: ‘De grootste risico’s van mijn bedrijf zitten in veranderingen die zich soms geleidelijk maar vaak ook abrupt voordoen.’ Die veranderingen zijn al een groot probleem voor de controller ver voordat ze dat voor de auditor zijn. Immers de administratieve organisatie, accounting en consolidatie moet voortdurend aanpassen aan de veranderingen. Voor een groot deel zitten deze veranderingen in de computersystemen.
Inmiddels heeft risk management een belangrijke positie ingenomen en is COSO 2 ofwel Enterprise Risk Management Framework (Coso 2004)) geïntroduceerd. Daarin is de aandacht voor risicobeheersing eveneens aangescherpt. In dat kader kunnen we stellen dat een stroomlijning van de controllerfunctie met risk managementmethodes zeer gewenst is. Beide putten uit dezelfde bronnen en rapporteren aan dezelfde lagen van management en bestuur. Het management kan de aanbevelingen vanuit risk management en control alleen eff ectief opvolgen als deze met één mond spreken.
Daarbij is het de taak van de controller om de risicoanalyses aan te sluiten bij het grootboek en de kwartaal- en jaarverslaggeving. (zie ook Mollema 2003) Dit gezegd hebbend, schets ik enkele aanbevelingen voor de toekomst:
1 De onderneming heeft een krachtig optredende raad van commissarissen, bijgestaan door een deskundig auditcomité (ook wanneer dat niet wettelijk verplicht is) dat stevig tegenspel biedt aan het management als het gaat over de fi nanciële verantwoording en de kwaliteit van de achterliggende AO/IC en IT.
2 Het management organiseert minstens tweemaal per jaar risk-assessmentsessies en stuurt op grond van de uitkomsten haar risicoprofi el bij.
3 Gespecialiseerde risicomanagers staan het management bij in de risk assessment en ook in het op ondernemingsniveau bewaken van product- en operationele risico’s met behulp van complexe modellen.
4 Controllers consolideren de cijfers, analyseren de performance en brengen met name in kaart wat de relatie is tussen de bedrijfsprestaties en eventuele veranderingen in het risicoprofi el.
5 Controllers krijgen – vergelijkbaar met interne auditors – een meer zelfstandige positie.
6 Controllers scholen zich in IT, voldoende om de betrouwbaarheid van de administratieve organisatie, de daarbij horende computersystemen en de voortdurende aanpassingen daarin te kunnen beoordelen. Voor controllers is het zaak dat ze zich niet door IT-analfabetisme en door de opkomst van risicomanagement laten marginaliseren tot boekhouder. In een zo dynamische tijd als de onze kan dat niet meer. Dit heeft uiteraard consequenties voor de postinitiële opleidingen tot controller, zoals die ook aan de Erasmus School of Accountancy & Assurance wordt gedoceerd.
De titel ‘akoepedie voor controllers?’ is natuurlijk een beetje suggestief, maar wellicht toch niet geheel uit de lucht gegrepen. Kleine hoorapparaten kunnen in dovemansoren grote wonderen verichten. Op dit gebied ben ik een empirisch deskundige. Graag wil ik dit artikel aanreiken aan de controllerprofessie als een klein hoorapparaat.
Em. prof. dr. Kornelis Mollema RE, RA werkte in de openbare accountancy, in het internationale bank- en verzekeringswezen (als concerncontroller en als chief auditor) en daarnaast aan de Vrije Universiteit en vervolgens als hoogleraar aan de Erasmus School of Accountancy & Assurance. Bij de laatste hield hij onlangs zijn afscheidsrede.