per se dat je veilig bent.” Vroeger gebruikte men voor IT- en bedrijfs- informatiebeveiliging de metafoor van de sinaasappel. “De harde buitenste schil was voldoende beveiliging voor de zachte kern, veronderstelde men. Nu moet een indringer door een laag-voor- laag-beveiliging gaan - als ware het een ui.” IT-risicomanagement is volgens Neves vooral de afwe- ging tussen de waarschijnlijkheid van risico’s, en de impact ervan. “Vanuit een helikopterview boven de business zie ik dingen die van binnenuit misschien niet zichtbaar worden.”
WERELDWIJD BLIJKEN de eisen waaraan auditors, compliance offi cers en juristen van grote bedrijven moeten voldoen, te veranderen. Voor bedrijven die te midden van alle globale uitdagin- gen en ethische diversiteit werkelijk aanspraak willen maken op een smetteloze reputatie, zijn techni- sche specialisatie of juridische vaardigheden niet langer genoeg. Gebod nummer één voor auditors en compliance offi cers: ‘Vertrouw, maar verifi eer’. NEVES: “Auditen is net als weten- schap gebaseerd op feitenonder- zoek, en verifi ëren of falsifi ëren.” IJKEMA: “Maar we verlaten ons niet volledig op ‘trust’ of op woor- den. We testen in documentatie of de situatie die geschetst werd, bevestigd wordt.” Tweede gebod: ‘Zet hulpmiddelen in waar ze het hardst nodig zijn’. NEVES: “Klopt. Als iets het label ‘bedrijfsgeheim’ krijgt, komt Vertrou- welijk op de eerste plaats. Moet
iets vooral fi nancieel helemaal kloppen, dan overweegt Integriteit. Moet informatie overal beschik- baar zijn, dan krijgt Beschikbaar- heid prioriteit.” Neves acht Shell structureel sterk in het nadenken over toekomstige risico’s. “Er is een Portugees spreekwoord ‘Nadat het huis beroofd is, ver- nieuwt men de sloten’. Dat willen we voorkomen.” Neves’ afdeling onderzoekt ook in welke richting bedrijfsonder- steunende IT zich zal bewegen, en hoe Shell daarin voorop kan gaan. “Natuurlijk helpt het dat Shell in een positie is waarin ook met bedrijven als Microsoft over- legd kan worden.”
UITEINDELIJK RAPPORTEERT Internal Audit - los van alle structuren en onafhankelijk - direct aan het EC en het AC: het Uitvoerend Comité en het Audit Comité. CONWAY: “Wat wij doen, is de control frameworks beoordelen tegen de doelstellingen van elke afzonderlijke business. Let wel, bij Shell gaat het soms om projecten van tien of twintig miljard dollar.” LUMENS: “Uiteindelijk willen we zowel Audit Comité, Board of Directors als onze aandeelhouders én de businesses de zekerheid kunnen geven dat de projectwaar- den en procedures optimaal zijn en de risico’s beperkt blijven.” NEVES: “Rapporteren is eigenlijk dokterswerk: er zijn symptomen, een diagnose, en aanwijzingen en suggesties voor genezing.” Levert ‘t geen ongemakkelijke situa- ties op, als auditors onvolkomenhe- den constateren?
NEVES: “Ik bespreek rapportages in de Assurance Committees van de businesses zelf; als het al een beetje afgekoeld is. Auditors daar- entegen worden in een omgeving geparachuteerd waar ze mana- gers die vaak senior aan hen zijn, moeten vertellen dat zaken niet kloppen.” “Er wordt heel hard gewerkt en mensen hebben vele verantwoordelijkheden”, zegt IJkema, “Dan is ‘n teleurgestelde reactie op een audituitkomst best begrijpelijk.” IJKEMA: “Wie dit werk wil doen, moet gezegend zijn met scepsis én inlevingsvermogen.”
NEVES: “We respecteren de businesses.” Als IJkema vervolgens stelt dat de onafhankelijke auditor er uiteindelijk is om de kwaliteit van de businesses te waarborgen, vindt dat brede instemming. LUMENS: “Ons is een mandaat verleend; de businesses kunnen vervolgens zelf verbeteringen bewerkstelligen.” CONWAY: “En: het is niet persoon- lijk. The job is to discover the truth. Het gaat om het realiseren van je businessdoelen. Met verbeteringen die ook aanvaard worden, en leiden tot erkende, duurzame ver- beteringen - a job well done.” LUMENS: “Wij zien onszelf niet als politieagenten, wij zijn hier om te helpen - ‘als je dit anders doet, kun je zo en zo vermijden...’.” CONWAY: “Het gaat om vertrou- wen.” Lumens: “En vertrouwen is iets dat iedere dag weer opnieuw verdiend wordt - dat geldt voor de businesses, de functies, en Shell Internal Audit.” ■
JOÃO NEVES ■ Master in Finance; bachelor in Management
■ 1999-2007: IT- en fi nanciële audits/risk assessments in Portugal en Australië
■ 2007: in dienst bij Shell ■ Vrije tijd: reizen (‘nieuwe culturen’), fi lm en foto- grafi e; familie & vrienden, voetbal