Ethisch dilemma voor internal auditors: mogen we overal werken?

De zomervakantie betekent voor mij altijd weer tijd om te lezen; over het algemeen non-fictie en vaak ook business gerelateerd. Zo heb ik deze zomer het boek over het consultancybedrijf McKinsey gelezen: De macht van McKinsey van Walt Bogdanich en Michael Forsythe. Een onthutsend boek over het reilen en zeilen van McKinsey. Het is schrikbarend te lezen hoe zij opereren: werken voor dubieuze regimes, boosten van verkopen van omstreden producten, maar ook hoe zij omgaan met belangenconflicten – of misschien zelfs wel opzoeken. In het boek kwam aan het licht hoe McKinsey heeft geholpen bij het vermarkten van verslavingsgevoelige producten als sigaretten, maar ook de pijnstiller OxiContyn van Purdue, dat heeft gezorgd voor een half miljoen doden in 20 jaar door overdoses [1]. Het bedrijf is inmiddels voor haar handelswijze veroordeeld tot een miljardenvergoeding.

Persoonlijk zou ik nooit voor een bedrijf als Purdue kunnen werken, maar bij mij kwam ook de vraag op of je wel als internal auditor bij een dergelijk bedrijf mág werken, rekening houdend met de voor de beroepsgroep geldende gedragscode van het IIA. Ik heb deze gedragscode er daarom maar eens op nageslagen.

Feitelijk worden in deze gedragscode alleen de vier beginselen, integriteit, objectiviteit, geheimhouding en competentie, uitgewerkt in een aantal gedragsregels. Naar mijn beleving is de code vooral gericht op gedragingen die vertrouwen moeten wekken voor de klanten en auditees van internal audit. Het belangrijkste beginsel dat van toepassing is op voornoemde situatie is integriteit. Hoewel de huidige gedragscode dit begrip niet expliciet definieert, biedt de nieuwe (concept) gedragscode meer duidelijkheid en wordt integriteit omschreven als “Behaving in a manner that can withstand scrutiny by peers and others. It involves fair dealing, truthfulness, and having the courage to act appropriately, even when facing pressure to do otherwise or when doing so might create potential adverse personal or organizational consequences.” [2]

De huidige gedragsregels bieden iets meer houvast (dan de beginselen) en dan met name 1.3: “Zijn niet bewust partij in enige onwettelijke activiteit en nemen niet deel aan handelingen die het beroep van internal auditor of de organisatie in diskrediet kunnen brengen.”

Je kan je afvragen of het werken voor een bedrijf die de wet overtreedt, betekent dat je bewust partij bent. Wat is de definitie van partij zijn? Mij lijkt in dienst zijn wel ‘partij zijn van’; maar hoe ver rijkt dat dan? Heineken die niet tijdig meewerkt aan het recyclen van blikjes? Moet je dan als internal auditor ook uit dienst, in mijn definitie van ‘partij zijn van’? Het lijkt mij redelijk om te kijken naar de gradatie van overtreding en of deze al dan niet bewust is. In geval van het voorbeeld van Heineken zou ik het te ver vinden gaan om uit dienst te treden bij een dergelijke overtreding. In geval van Purdue bestaat er bij mij geen twijfel: bij een bedrijf met zo’n schadelijke impact en overtreding van de wet is er geen andere optie dan het indienen van je ontslag als internal auditor.

Wellicht kun je het in dienst blijven bij ‘foute’ bedrijven nog goed praten c.q. gedogen met het argument dat sommige (institutionele) beleggers hanteren als zij blijven beleggen in bijvoorbeeld olie-reuzen: als je geen aandeelhouder bent, dan kun je ook geen invloed uitoefenen op het beleid. Dat argument gaat wat mij betreft niet op bij de uitoefening van een internal auditfunctie: als auditor bepaal je niet het beleid; je toetst hooguit of het efficiënt en effectief wordt uitgevoerd. Uiteraard controleer je ook of de bedrijfsvoering compliant is, maar als een organisatie willens en wetens strafbaar handelt, ook na hierop gewezen te zijn, lijkt mij een uitdiensttreding de enige optie. Je kan als internal auditor de organisatie niet eigenhandig bijsturen.

Ik besef dat het is lastig om vaste richtlijnen te ontwikkelen die van toepassing zijn voor elke situatie van niet wettelijk handelen door organisaties. Het blijft subjectief, denk ik. Dus ook hier komt professional judgement om de hoek kijken. Maar met de komende wetgeving over ESG, zoals de CSRD, verwacht ik dat er steeds vaker lastige situaties zullen ontstaan.

Ik ben benieuwd hoe mijn vakgenoten tegenaan kijken. Het is wat mij betreft wel een discussie waard.

Marc van Heese,
Partner bij ARC People

————

[1] US Supreme Court halts Purdue Pharma bankruptcy settlement pending review | Reuters

[2] Disposition of Glossary: 2017 International Standards for the Professional Practice of Internal Auditing to 2023 Proposed Global Internal Audit Standards.