Appendix X: Interview #8 137

Over audit planning tools, zoals TeamMate:

Een tool is in esssentie hetzelfde als de achterkant van een sigarenkistje, als je het daarop niet kan lukt het met een tool ook niet. Maar het mooie van een tool is dat het wel enig houvast geeft. Ook wij moeten achteraf traceerbaar ons werk gedaan hebben. Wij krijgen officiële reviews van o.a. de IIA en van het NBA, (omdat ik registeraccountant ben), en dan moet ik aantonen dat ik de kwaliteit handhaaf die ik zeg dat ik handhaaf en daar is die tool goed voor. Veel meer dan dat, als ondersteuning van onze audit, is het niet. Het is een formeel vastlegging van wat je doet. Het is van te voren goed bedenken wat je gaat doen en dit vastleggen helpt je, geeft je structuur en houvast tijdens de audit. Translation: It’s a formal registration of what you’re doing. It is considering in advance what you're going to do and this recording helps you, gives you structure and guidance during the audit.

Zodat er geen gaten ontstaan en het zorgt voor de compleetheid.

Precies.

Wat ik van TeamMate mensen voornamelijk hoor is dat het een tool is en dat het uiteindelijk vooral net zo goed is als je het zelf indeelt en het zorgt er met name voor dat je de audit zo compleet mogelijke uitvoert.

Maar je moet het er zelf eerst instoppen. Dus in zoverre helpt het je niet als timesaver, tenzij je heel veel herhaalwerk doet, en dat speelt bij ons minder.

Ik wil graag vastleggen wat je rol is binnen de organisatie en welke ervaring je hebt.

In augustus hoop ik mijn 40ste _{werkjaar te halen. Min of meer in dit vakgebied. Ik ben ooit}

begonnen bij wat nu PWC heet. Daar heb ik 17 jaar in de openbare audit praktijk gewerkt. Onderweg heb ik ook nog IT werk gedaan. Ik ben in 1992 overgestapt naar KPN. Daar heb ik eerst bij de interne accountantsdienst de PwC risico analyse benadering geïmplementeerd. Het was vooral een club die traditioneel testwerk deed, zoals de interne control mensen hier dat doen. Dat hebben we veel meer geprofessionaliseerd. Toen ben ik overgestapt naar een afdeling die zich met change management bezig houden. KPN moet je je voorstellen was een bedrijf dat net naar de beurs was gegaan en nog heel erg archaisch, ambtelijk georganiseerd rondom districten. En die districten liepen min of meer gelijk met provincies en die hadden alles zelf; hun eigen processen, hun eigen systeem. Het was een wonder dat je van Groningen naar Friesland kon bellen bij wijze van spreken. Dus dat bedrijf moest op de helling. Het moest allemaal gestandaardiseerd. Zoals dat dan gaat met IT, moet je van de 13 systemen die je hebt, moet je de minst slechte kiezen en zeggen die gaan we landelijk uitrollen en dan heb je een platform en dan kan je het nog een keer echt gaan doen. Bij die slag ben ik bij vernieuwingsmanagement gaan

138 werken en daar was ik de change controller. Dus dat ging het over de vraag, niet alleen veranderen we goed, maar is dan de kwaliteit van het proces en zijn de kosten van het proces dat daaruit komt, zijn die ook concurrentie-proof? En dat was best een lastige vraag, want er was geen concurrentie. We moesten daar een aanname voor doen. Het systeem waar echt concurrentie voor ontstond was mobiel. Daar heb ik een voorliefde voor change management aan overgehouden. Daar heb ik 9 jaar gewerkt in allerlei rollen, niet audit rollen vooral, maar wel heel veel kijken naar projecten. In 2001 ben ik bij KLM gaan werken als hoofd internal audit. Daar zochten ze iemand die kan vertellen waar dingen fout gaan en niet achteraf waar ze fout zijn gegaan. Daar werd ik na het samengaan met Air France, hoofd van de groep internal audit. Daarna kwam Wolters Kluwer op mijn pad. Een bedrijf in transitie, meer nog dan ik dacht. Ik ben ik 2008 hier gekomen en doe in essentie hetzelfde als dat ik bij al die andere bedrijven ook gedaan heb, maar dan toegesneden op WK’s behoeften. Ik zet mijn visie op verandering hier neer en dat betekent dat je een operational audit team runt, dat vooral vanuit business risico kijkt. En het business risico binnen dit bedrijf is vooral de verandering zelf. En dat heeft er toe geleid dat ik ook een soort tweede pet heb gekregen in de loop der jaren, dat heet bij ons quality assurance, dat is een tweede afdeling die ik trek. En die kijkt alleen naar grootschalige verandertrajecten. Naar de vraag of dit inderdaad goed gaat landen en binnen tijd en binnen budget. Daarnaast ben ik sinds 1987 docent bij Nijenrode. Inmiddels ook bij de UvA en heb ik ook wat gedaan voor de Vrije Universiteit. Daarnaast heb ik nog wat nevenrolletjes gedaan, zoals bestuurslid bij de IIA.

Wat zie je als het hoofddoel van een audit?

Het voorkomen dat dingen misgaan op basis van een risicoanalyse vanuit het bedrijfsbelang geredeneerd. Het is het ultieme doel om te voorkomen, dat kan eigenlijk nooit. Er is een metafoor; in het Confuciaanse China waren er twee broers, een tweeling, en dat waren alle twee perfecte dokters. De een kon iedereen genezen en de ander kon voorkomen dat je ziek werd. En die tweede rol is eigenlijk de rol van de internal auditor. Het is een hele ondankbare rol, want a: je kunt nooit aantonen dat je succes gehad hebt en b: je moet eigenlijk altijd zorgen dat die ander scoort. Je moet dus altijd een beetje achter de gordijnen blijven en dat is een soort ultieme rol voor je audit afdeling. Dat is een hele lastige rol, want tegelijkertijd moet je toch aan een raad van bestuur die meerwaarde aantonen. Dit moeten dat vertrouwen hebben en die moeten ook zien dat jij daar resultaten boekt. Dat is een lastig proces om te managen, maar dat is het ultieme doel. Daar kan je allerlei neven- en ondergeschikte doelen aan hangen zoals het geven van assurance aan partijen over processen, kwaliteit en security en noem maar op.

Dat is vooral niet overlappend. External audit zijn mensen die assurance geven voor de verslaggeving van een bedrijf. Die zijn namens allerlei partijen, waaronder de raad van commissarissen en de aandeelhouders, aan het kijken of de verslaggeving klopt. Wat natuurlijk maar een kleine sub-set is van waar het bedrijf mee bezig is. Als internal audit moet je je verdiepen in waar is dat bedrijf mee bezig? Wat zijn de risico’s wat die activiteit met zich meebrengen? En hoe kan ik op de beste manier een aandeel zijn in het vaststellen en voorkomen van het risico. Dat is een heel andere scope en een heel andere doelstelling.

External audit stelt dus eigenlijk vast dat het gerapporteerde klopt en internal is zich meer bezig met de processen van een organisatie.

Ja. Het begint eigenlijk met strategy execution. Wij stellen de strategie niet vast, maar op het moment dat deze vaststaat, is dat je aangrijpingspunt om te gaan kijken wat hier dan fout kan gaan. Doen wij nog wel goede dingen? En doen we die dingen dan ook nog goed? Translation: It actually starts with strategy execution. The company strategy is for us a starting point, from there on we assess the business risks of WK and see what can go wrong. Are we still doing the right things? And are we doing those things rigth as well?

Werkt de audit planning dan ook zo? Vanuit corporate strategies?

Absoluut. Je neemt kennis van de strategie en in ons bedrijf doen we een keer in de zoveel jaar op hoog niveau echt de strategie. Die zijn abstract en de vertaling daarvan waren de BDP’s, dat zijn nu de VSP’s. Dus wij nemen kennis van de VSP’s, die lezen we en proberen we goed te snappen. BDP’s en VSP’s zijn slide decks van 100/200 powerpoint slides, waarin het management van een entiteit of een divisie uitlegt aan de raad van bestuur dit gaan we de komende jaren doen om deze redenen, dit is het concurrentielandschap, dit is ons systeemlandschap, dit is onze portfolio en dit zijn de veranderingen die we daarin gaan doen en dit is wat het kost. De financiële vertaling heeft hier altijd een heel prominente rol, maar wij proberen om vooral ook de operationele vertaling te zien. Wat betekent dat nou? Wat ga je dan doen? En hoe concreter dat is, hoe meer je er aan hebt. Hoe vager het is, hoe meer je daarna ook met business management moet gaan praten om te snappen wat ze nu echt bedoelen. Dus wij doen een keer per jaar een soort update, op basis van de BDP’s of VSP’s. Dat doen we in augustus / september. En dan gaan we daarna op basis van de analyse van wat we gelezen hebben, gaan we met alle managers van de grote entiteiten praten en dan zeggen we dit denken wij te snappen van hoe jullie de wereld zien, klopt dat. Dit vinden wij wat wij dan als audit partij moeten gaan doen om jullie zo goed mogelijk te helpen te voorkomen dat er dingen fout gaan. Zien jullie dat ook zo? Die dialoog heb je dan. Dan gebruik je een trechtermodel omdat er in het begin meer onderwerpen zijn dan capaciteit om ze uit te voeren. Die trechter is in het begin heel

140 erg gevuld met heel veel ideeën. Langzaam maar zeker ga je die doos met ideeën een beetje schudden en dan praat je met management, je praat met de raad van bestuur, je praat met de audit committee, je praat met de corporate afdelingen van treasury, van tax en noem maar op. Hoe zien jullie dat? Dan wordt die doos met blokken wordt kleiner en steeds minder blokken ga je door die trechter heen schudden en op een gegeven moment heb je nog een aantal blokken over en die match je dan met je capaciteit. Kan ik dit aan? Zo niet, dan maak je daarna nog een keer keuzes in. Die keuzes leg ja dan voor aan je raad van bestuur, dan zeg je is het akkoord? Vinden jullie dit ook een goed plan? Meestal zeggen die ja. Soms zeggen ze van doe dit niet en dat wel. Daarna ga je naar de audit committee en dan ga je dat nog een keer doen. En dan zeg je dit is het plan, zij vonden het goed, vinden jullie het ook goed? En dan heb je nog een keer een discussie. Dan vragen ze meestal niet waarom dit onderwerp, maar hoe heb je dat selectieproces nou gedaan? Leg eens uit hoe je hieraan gekomen bent. En dan vertel ik het verhaal nog een keer met alle slides hoe we dat gedaan hebben. En dat selectieproces gaat ieder jaar weer een beetje beter, want inmiddels leer je wat er misschien nog meer belangrijk is en dan plak je weer een extra elementje in.

Dan ben je ook je proces aan het verbeteren?

Absoluut, want het is continue fine-tunen van het proces. Want het proces is niet eenduidig. Het proces en alles wat wij doen is heel erg toegesneden op wat wij denken dat Wolters Kluwer moet willen. Als ik hetzelfde bij KLM moet herhalen, zou ik het heel anders aanpakken. Niet qua essentie van het proces, maar wel qua gebieden die je dan pakt en qua manier waarop je ernaar kijkt en bepaal je met wie je praat. Want dat is per bedrijf natuurlijk anders.

Als ik het goed begrijp, je pakt dan het meerjarenplan, of eigenlijk de corporate strategy dat zich vertaald in de VSP’s, daarbij heb je overleg met het management van die entiteit en daar komen ideeën uit voort van wat eventueel geaudit zou moeten worden.

Ja. De uitkomst van die discussie is die hele grote lijst. En dan zijn er een aantal premissen die we handteren, die de lijst moeten verkleinen. Risico is er een van. De raad van bestuur heeft gezegd of je naar grotere acquisities wilt kijken, dan moet je dat eigenlijk tussen 6 en 12 maanden na acquisitie doen. Dus we willen dat je dat structureel doet. Daar kijken we specifiek naar. Ook de vraag van grote entiteiten, daar moet je niet te lang wegblijven. Dus daar moet iets van roulatie in zitten. Daar kan 4, 5 of 6 jaar tussen zitten, maar je moet naar Duitsland 1 keer in de zoveel jaar moet je daar wel heen. Dat is een groot land.

Is het dan ook omdat de risico’s daar groter zijn?

Ja, omdat het materiele belang groot is en daarmee ook de risico’s. In Roemenië kan het risico misschien veel groter zijn, maar de exposure is heel klein, want de omzet is klein. Dan is het

risico automatisch niet heel groot. Tenzij reputatie een rol gaat spelen. We streven natuurlijk naar 1 brand en als je dan in Roemenië een uitglijer maakt, dan is het wel Wolters Kluwer dat in de krant staat en niet meer een lokale naam. Daar moet je rekening mee houden en dat proberen we ook te verdisconteren in die aanpak.

Zit dat dan al in de risico analyse?

Ja.

En uit die risico analyse, dan ga je eigenlijk al fine-tunen naar welke delen je gaat auditen?

Ja, want je moet natuurlijk ook over divisies een beetje spreiden. Daar zit ook nog wel eens het verzoek van management aan vast. Die zeggen dan, wij voelen ons niet comfortabel bij XYZ, kan je daar een keer naar kijken? Raad van bestuur die zo zijn eigen prioriteiten heeft, van kijk hier of daar nog eens naar. Dus in die zin moet je daar een beetje in marchanderen. Maar uiteindelijk komt er altijd een lijst uit waarvan wij zeggen, ja dat spoort wel met ons beeld van risico.

En dan heb je een jaarplanning?

Dan heb je een jaarplanning. En die staat voor 90% in beton. En er zijn natuurlijk altijd brandjes die uitbreken plus additionele verzoeken. Mensen die zeggen, ik snap dat je hier nu wilt komen, maar we zijn net met een SAP implementatie bezig, misschien is het handig dat je het een paar maanden uitstelt. In grote lijnen klopt die planning. In detail wilt er nog wel een klein beetje iets schuiven.

Van de jaarlijkse planning, ga je naar de entiteiten zelf en heb je daar ook nog een bepaalde planning voor?

Absoluut. We gaan het proces van de engagement letter in. Dat is in feite de bevestiging aan het lokale management van dit is de scope en daar heb je een hoop voorbereiding voor. Interviewee #2 heeft met BAC samen een soort van financiële analyse tool gemaakt, waarbij we zeggen van op basis van de financials zijn dit aandacht vragende punten voor ons. Daar willen we eigenlijk naar kijken. Dan hebben we ook de risico analyse zelf gedaan, daar kwamen natuurlijk ook een aantal dingen uit waarom we zeiden dat deze entiteit moet op de lijst. Maar het zou ook goed kunnen dat je er nooit geweest bent. Dat is ook een reden om te gaan. En dan heb je geen enkele referentie en dan moet je op een andere manier te werk gaan. Dus wat we altijd doen is met de belangrijkste stakeholders van zo’n entiteit een gesprek houden. Dat zijn meestal meerdere calls. Waarbij we zeggen, leg ons je business uit. Vertel waar je staat. Vertel wat je competitive landscape is. Eigenlijk alles waar je mee bezig bent, wat je bezig houdt. En ook weer vanuit het VSP kan je heel gericht vragen stellen. En vervolgens vragen we waar blijf jij nou wakker van? Wat zijn jouw zorgen? En de ene is er heel open over en de ander moet je het eruit trekken, maar

142 dat leer je op den duur ook wel een beetje. En als ze merken dat je hun business snapt, dan worden ze ook opener. In het begin is er altijd een beetje argwaan…………. De cultuur van een bedrijf kan bepalend zijn in hoe open men is. Als je een fout maakt en het kan je kop kosten, dan is men wellicht niet zo open over hun processen. En dat kan ook tegen een bedrijf werken.

Er komen termen naar voren als risk assessment en control environment, hetgeen onderdelen zijn in het Coso framework. In hoeverre wordt het Coso framework gebruikt in auditing?

Het Coso framework is in ons bedrijf alleen maar van belang voor het framework dat de ICO’s gebruiken. Eigenlijk is het framework dat hier intern gebruikt wordt, is een Tabaksblad variant op SOX. PWC is hier in huis gehaald en heeft 10 cycles neergezet waarlangs de Internal Control Officers hun testing moeten doen. Dat is 10 jaar geleden ongeveer neergezet en 10 jaar lang niet geupdate. Je kan je voorstellen dat een bedrijf dat zo snel verandert als Wolters Kluwer, dat het framework niet helemaal meer toegesneden was op de dingen die we doen. Dat heeft de huidige manager onderkend. Die heeft gezegd dat gaan we aanpassen. Die is dat nu aan het doen en die worden meteen aan Coso 2013 aangepast. Het speelt wel een rol in ERM, maar zo ver relevant voor financial disclosures. We hebben als bedrijf niet gekozen voor een centraal ERM functie, omdat de CEO dat niet wilt. De CEO zegt, ik doe risico management en alles dat mij daarbij kan helpen is meegenomen, maar niemand anders hoeft dat namens mij nog ergens anders te gaan doen. Dat betekent dat wij nogal verkokerd naar risico’s kijken, want elke business doet dat voor zichzelf. De enige die dan wat breder kijken zijn Internal Control, alleen voor die financial disclosure en wij, voor ons audit universe. En ik denk dat er wel eens wat gaten vallen, omdat tussen de silo’s in, mensen dingen niet zien. Dat kan gevaarlijk zijn. Maar we moeten niet overdrijven, omdat er zo veel versnippering is, de risico’s kleiner zijn. Voor de meeste risico’s geldt dat door de versnippering deze risico’s ook alleen in deze entiteiten te vinden zijn en niet in de entiteit ernaast. Translation: For most risks one could assume that the dispersion of the