Petri Hofsté: 'Auditcommissie moet traditionele financiële focus verbreden'

Van extern naar intern toezichthouder
Het meervoudig lidmaatschap van wat vaak de zwaarste commissie in de raad van commissarissen wordt genoemd, sluit naadloos aan op Hofsté’s achtergrond als registeraccountant en haar loopbaan in de financiële sector, waar ze aan verschillende kanten van de tafel zat. Bij ABN AMRO was ze plaatsvervangend cfo tijdens de financiële crisis en de splitsing van de bank. Vervolgens stapte ze over naar De Nederlandsche Bank (DNB), waar ze als divisiedirecteur toezicht hield op de destijds noodzakelijk geachte cultuurverandering binnen de bancaire wereld. Na een kort intermezzo als cfro bij pensioenuitvoerder APG werd ze opnieuw toezichthouder, maar dan intern. Dit jaar heeft ze er twee ‘termijnen’ op zitten als beroepscommissaris.

Nieuwe toezichtthema’s
De rol van auditcommissies is aan het veranderen, merkt ook Hofsté. De auditcommissie richt zich binnen de raad van commissarissen op de kwaliteit en de integriteit van de financiële verslaggeving en de effectiviteit van de interne risicobeheersingssystemen, ter voorbereiding van de besluitvorming van de rvc over het toezicht op deze terreinen. Maatschappelijke ontwikkelingen en een paradigmaverschuiving op het gebied van governance hebben de agenda van de auditcommissie de afgelopen jaren fors uitgebreid, met nieuwe thema’s als langetermijnwaardecreatie, cultuur, stakeholdermanagement, digitale transformatie en duurzaamheid. Meervoudige waardecreatie vraagt om geïntegreerd sturen, toezicht houden en verantwoording afleggen. De auditcommissie moet de traditionele financiële focus dus verbreden: ook niet-financiële kpi’s meten en monitoren en beoordelen of de interne controle wel is toegerust voor nieuwe risicogebieden, zoals klimaat, cybersecurity en reputatie. En dan is er ook nog de coronacrisis.

Voor welke uitdagingen staan auditcommissies door de pandemie?
‘Organisaties hebben drie tot zes maanden in crisismodus gezeten. We hebben het afgelopen jaar dan ook vaker vergaderd, dichter op de bal gezeten. Het aantal rapportages nam enorm toe, net als de snelheid waarmee deze elkaar opvolgden. Bij Achmea bijvoorbeeld barstte de crisis meteen in volle hevigheid los bij de zorgverzekeringen. Bij Fugro stond er na zeven tropenjaren een herfinanciering gepland, die door de coronacrisis van de ene op de andere dag moest worden uitgesteld. Auditcommissies richten zich tijdens een crisis op liquiditeitsrisico’s, weerstandsvermogen en financiële en operationele continuïteit. Inmiddels is de crisis overal business as usual geworden. We gaan langzaam terug naar een normaal, maar mijn indruk is dat bedrijven op zoek blijven naar een beter normaal dan vóór de crisis.’

Hoe ziet dat nieuwe normaal eruit?
‘De coronacrisis heeft laten zien dat weerstandsvermogen weer hoger op de agenda moet. Onze reserves zijn afgenomen, doordat de focus de afgelopen decennia steeds meer op efficiency is komen te liggen. Het extra laagje spek is overal wegbezuinigd, terwijl dat laagje nodig is voor mindere tijden. Dus we moeten met elkaar het gesprek gaan voeren over de herwaardering van dat laagje spek, over liquiditeitsrisico’s en weerstandsvermogen.
Tijdens de coronacrisis werden bedrijven geconfronteerd met concentraties en afhankelijkheden in de supply chain. Financieel en operationeel risicomanagement moet dus beter op de kaart: niet alleen bij financiële instellingen, waar dat denken al verder ontwikkeld is, maar bij álle bedrijven. Bedrijven hebben trouwens ook andere goede inzichten aan de crisis overgehouden, zoals de aandacht voor sensitiviteitsanalyses en scenarioplanning. Verder zijn we ons bewuster geworden van het belang van de fysieke gezondheid en het geestelijk welzijn van medewerkers, het belang van diversiteit voor goede besluitvorming en van onze maatschappelijke relevantie en verantwoordelijkheid als bedrijfsleven.’

Welke rol ziet u voor auditcommissies bij ontwikkelingen als purposegedreven ondernemerschap, langetermijnwaardecreatie en duurzaamheid?
‘De auditcommissie adviseert de rvc over slechts een deel van de agenda. De auditcommissie gaat immers niet over de strategie zelf, maar kijkt of en hoe deze vertaald wordt in concrete doelstellingen en kpi’s die zich laten meten en monitoren en waarover bedrijven kunnen rapporteren. In wet- en regelgeving worden steeds meer eisen gesteld aan de manier waarop bedrijven zich maatschappelijk opstellen en verantwoorden, zoals het streven naar langetermijnwaardecreatie en rapportageplicht voor duurzaamheidsprestaties en andere niet-financiële thema’s.
Het is de taak van de auditcommissie om kennis en inzichten daarover naar binnen te brengen, de juiste vragen te stellen en ervoor te zorgen dat het op de agenda komt van de rvc. Op die manier kunnen de commissarissen een betekenisvol gesprek voeren met het bestuur: voldoen de missie en doelstellingen van de organisatie wel aan de maatschappelijke eisen die in de regelgeving zijn neergelegd en rapporteren we daar intern en extern inzichtelijk over? Indirect kan er via die route dus een stimulans van de auditcommissie uitgaan om de strategie meer op één lijn te brengen met het verwachtingspatroon in de samenleving.’

Veel auditcommissies worstelen met het kwantificeren en meetbaar maken van ‘zachte’ onderwerpen als cultuur of stakeholderwaarde. Wat is uw ervaring daarmee?
‘De kern van de rol van auditcommissie is toezien op de betrouwbaarheid en de relevantie van de gerapporteerde informatie en de systemen en processen om dat tot stand te brengen. Dat geldt zowel voor financiële als voor niet-financiële informatie. Neem bijvoorbeeld cultuur. De pandemie heeft impact gehad op het gedrag in organisaties. Een crisis zet immers alles op scherp en vergroot cultuuraspecten uit. Ongewenst gedrag brengt grote risico’s voor de organisatie mee. Een cultuuraudit kan die risico’s in kaart brengen. Als auditcommissie kun je daarover het gesprek aangaan met het management, internal audit en de externe accountant: hoe kunnen we inzicht krijgen in de cultuuraspecten van de interne controle of compliance en wat leren we uit dit soort onderzoeken? Belangrijk is wel dat de accountant over de kennis, kunde en capaciteit beschikt om ook dit soort niet-financiële thema’s mee te nemen in de audit.’

Is de auditcommissie zelf wel voldoende toegerust en adequaat samengesteld voor een bredere verantwoordelijkheid die ook niet-financiële thema’s omvat?
‘De toenemende breedte van de agenda vraagt dat de auditcommissie zich blijft ontwikkelen. We gaan dus regelmatig terug naar de schoolbanken, met programma’s voor permanente educatie. Is dat genoeg? Het is eigenlijk nooit genoeg.’ Lachend: ‘Ik ben zelf in elk geval een intensief gebruiker van die programma’s! Ook een diverse samenstelling van de auditcommissie is belangrijk, zodat de commissie mensen met verschillende expertises aan boord heeft, niet alleen financieel managers en accountants. Er is nu veel vraag naar mensen met kennis en kunde op het gebied van digitalisering, innovatie en nieuwe businessmodellen. Hetzelfde geldt voor expertise in cybersecurity, gezien de enorm toegenomen cyberrisico’s en het daaraan gekoppelde fraudegevaar. De auditcommissie hoeft overigens niet zelf alle kennis te hebben, je kunt ook gebruikmaken van de expertise in de organisatie, bijvoorbeeld door de belastingmanager of IT-directeur in de vergadering uit te nodigen voor een toelichting. Het is dan wel belangrijk dat de leden die input kunnen wegen en beoordelen, in samenhang met onderzoek van internal audit en de externe accountant.’

Veel bedrijven hebben naast de auditcommissie een apart risk committee. Als cfo vroeg u zich ooit af of die splitsing wel werkt. Hoe ervaart u dat nu?
‘Ik blijf het een ingewikkeld en kunstmatig onderscheid vinden, omdat je de resultaten van de organisatie nooit los kunt zien van de risico’s waarmee die resultaten behaald zijn. Je kunt het eigenlijk niet scheiden, in de business liggen die verantwoordelijkheden immers ook in één hand. Aan de andere kant zijn de terreinen finance en risicomanagement zo groot geworden, zeker in de financiële sector, dat het voor één commissie niet meer te behappen is. Bovendien kan splitsing helpen voorkomen dat de auditcommissie een soort eigenstandige mini-rvc gaat vormen, waar al veel van de besluitvorming wordt afgehecht. Het bewaken daarvan is sowieso een uitdaging, maar des te meer als zulke grote verantwoordelijkheidsgebieden als risk en audit in één commissie zitten. De splitsing daarvan vraagt wel om een goede afstemming. Ik zie vaak een kruisbestuiving: de voorzitter van de auditcommissie zit meestal ook in de risicocommissie en andersom.’

Hoe moeilijk vindt u het als oud-cfo om in uw huidige rollen niet op de stoel van de financieel directeur te gaan zitten?
‘Dat wordt steeds minder lastig, naarmate ik mijn huidige rollen als voorzitter en lid van de auditcommissie langer vervul. Ik ken mijn valkuilen. Het hangt af van aspecten als: kom je voldoende los van de cfo-rol, ben je je bewust van het feit dat je niet op diens stoel moet gaan zitten en niet moet bijspringen of ingrijpen als dat niet nodig is? Het is een leerproces en het hangt ook af van de kwaliteit van het bestuurlijke team.’

Als u terugkijkt, wat zou u dan als cfo van uzelf hebben gevonden als voorzitter van de auditcommissie? Bent u lastig?
Lachend: ‘Ik ben natuurlijk een echt meisje dat altijd alles heel goed probeert te doen, dus dat kan best irritant zijn. Ik ben ook een controlfreak, al doe ik elke dag weer mijn best om dat los te laten. Overigens is de situatie van tien jaar geleden niet helemaal vergelijkbaar met nu. De agenda is nu veel groter dan toen. Ik was destijds wel expliciet bij het bepalen van de agenda betrokken, waarbij ik die agenda ook aanvulde, om de auditcommissie meer inzicht te geven om haar rol goed te kunnen vervullen. Idealiter is er sprake van goede interactie tussen cfo en de voorzitter van de auditcommissie, ga je het gesprek aan om samen een stevige agenda te bepalen. Een cfo is niet goed bezig als hij of zij denkt: als ik maar geen last van de auditcommissie heb. Je kunt echt iets hébben aan de bijdrage van de auditcommissie, als je wederzijds bereid bent om over de wezenlijke onderwerpen het gesprek aan te gaan.’

De Autoriteit Financiële Markten stelt dat de auditcommissies scherper moeten worden, bijvoorbeeld bij de selectie van de externe accountant. Hoe kijkt u daartegenaan?
‘In het verleden was de selectie van de externe accountant vaak nog voorbehouden aan het bestuur. De Nederlandse corporate governance code heeft die verantwoordelijkheid nadrukkelijk bij de rvc neergelegd, geadviseerd door de auditcommissie. Als auditcommissie moet je die verantwoordelijkheid vervolgens wel némen. Bij Fugro bijvoorbeeld besluit de aandeelhoudersvergadering jaarlijks over de benoeming van de controlerend accountant. Om een goed onderbouwd besluit mogelijk te maken, geven we aan de rvc inzicht in hoe de externe accountant het voorgaande jaar heeft gefunctioneerd. Als auditcommissie wordt onze blik daarop vooral bepaald door onze gesprekken met het team van de accountant. Daarom wil ik ook graag horen wat de cfo ervan vindt. Daarnaast halen we met hulp van internal audit via interviews of een enquête input op uit de organisatie.’

Herkent u de kritiek van de AFM dat commissarissen en dus ook auditcommissies beter moeten controleren of bestuurders de aanbevelingen van de accountant over de controle wel opvolgen?
‘Ik vraag mij af of die constatering algemeen geldend is; ik herken die niet. Ik maak in mijn toezichthoudende functies nergens mee dat de bevindingen uit de accountantscontrole niet worden besproken, opgevolgd en gemonitord. Of controle-issues en te mitigeren risico’s zijn intern al geconstateerd en geagendeerd, óf we worden als auditcommissie via rapportages op de hoogte gehouden van de opvolging van de bevindingen van de accountant.
De constateringen en adviezen van de AFM kunnen natuurlijk wel helpen om effectiever te worden in onze rol en relatie met accountants. Bij kleinere ondernemingen is de toepassing van governancecodes soms nog minder ontwikkeld. Ook hierbij is een goede samenstelling van de auditcommissie essentieel, met voldoende auditkennis en -ervaring. Aan de andere kant werkt een auditcommissie met alleen maar accountants ook weer niet. Diversiteit is nodig: mensen die de juiste vragen kunnen stellen vanuit het perspectief van de business en andere invalshoeken.’

U was bij DNB destijds zelf verantwoordelijk voor het toezicht op banken. Hoe staat u in uw huidige rol van intern toezichthouder tegenover de invloed van extern toezichthouders?
‘De Europese Centrale Bank, DNB en AFM proberen in toenemende mate ook op het werk van de interne toezichthouder te steunen. Commissarissen worden getoetst, we voeren periodieke gesprekken met de extern toezichthouders en de toezichthouder onderzoekt de governance regelmatig. Een commissaris is dus onderdeel van het hele bouwwerk dat de extern toezichthouders in hun toezicht betrekken. De druk die je als intern toezichthouder van de extern toezichthouders voelt, mag er niet toe leiden dat je op de stoel van de bestuurder gaat zitten en je agenda laat domineren door de agenda van de extern toezichthouders.
Daar ben je dus zelf verantwoordelijk voor, maar ik vind dat best ingewikkeld. De extern toezichthouders hebben heel veel bijgedragen aan het bewustzijn van het belang van risicomanagement, governance en cultuur en aan de verbetering van systemen en processen. Maar zoals alle beslissingen met risico’s gepaard gaan, heeft ook dit resultaat van toezicht een risico-aspect. Als de druk op intern toezichthouders en op bestuurders zo toeneemt dat de extern toezichthouders via hen de facto aan tafel zitten bij de besluitvorming in de organisatie, dan verlam je die organisatie en creëer je een systeemrisico. Het is bijzonder lastig om te bepalen wanneer dat moment daar is, maar het is zeker belangrijk om daarover met elkaar in gesprek te gaan.’

Dit interview is gepubliceerd in Management Scope 05 2021.