Adviseren als kans en plicht voor de (externe) interne auditor
Wat zijn inhoudelijk de voor- en nadelen, de hobbels en kuilen van een externe partij die vanuit een interne taakinvulling probeert bij te dragen aan het succes van een organisatie?
Mijn dagelijkse werk bestaat uit het adviseren en controleren van financiële instellingen op het gebied van interne beheersing en risicomanagement. Internal auditwerk dus. En dat doe ik als registeraccountant vanuit verschillende stoelen aan de ‘audittafel’. Bijvoorbeeld als ondersteuning van de tweede lijn, de uitvoerder van de derde lijn of als externe accountant. Maar niet bij dezelfde organisatie natuurlijk, dat kan niet.
Wat doet internal audit eigenlijk?
Het Instituut van Internal Auditors (IIA) definieert de missie van internal audit als: ‘Het verbeteren en beschermen van de waarde van een organisatie door op risico’s gebaseerde en objectieve assurance, adviezen en inzichten te bieden.’1
Volgens het IIA luidt de internationale definitie van het vak internal auditing: ‘Internal auditing biedt onafhankelijke en objectieve assurance- en adviesdiensten, die bedoeld zijn om meerwaarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de effectiviteit van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren.’2
Er is discrepantie tussen de terminologie van werkzaamheden op basis van de standaarden van het IIA en de standaarden van de NBA
Doelen
Op basis van deze definitie is internal audit gericht op de volgende doelen:
- het leveren van toegevoegde waarde;
- het verbeteren van de organisatie;
- het helpen van de organisatie bij het realiseren van haar doelstellingen.
De internal auditor doet dit door middel van het leveren van zekerheid (assurance) of advies (consult), terwijl hij tegelijkertijd onafhankelijk en objectief blijft.
Verschillen
Ik zie essentiële verschillen tussen de onderkende doelen. Een activiteit van internal audit gericht op het leveren van toegevoegde waarde is met name op de toekomst gericht of heeft betrekking op iets wat op dit moment speelt in de organisatie. De auditor kijkt voornamelijk vooruit.
Diensten van internal audit gericht op het verbeteren van de organisatie zijn met name gebaseerd op het verleden. Hierbij reflecteert internal audit op gebeurtenissen uit het verleden en houdt zij de organisatie een spiegel voor. De auditor kijkt voornamelijk terug.
Bij het realiseren van doelstellingen denk ik aan audits en adviezen die de link leggen tussen de strategie en de operatie van de organisatie. De auditor kijkt vanuit zijn centrale positie vooral opzij naar zowel de uitvoerende partijen als de strategiebepalers in een organisatie.
Assurance en consult
Daarnaast zie ik als essentieel verschil tussen de diensten assurance en consult dat bij assurance iets wordt getoetst aan een norm en de interne auditor zich een oordeel vormt over in welke mate iets voldoet, terwijl een consult gericht is op het helpen met beslissingen die moeten worden genomen door nieuwe inzichten te verschaffen, alternatieven te presenteren en/of informatie te verrijken. De gebruiker van het consult wordt hierbij in staat gesteld zelf een oordeel te vormen. Zie tabel 1 voor voorbeelden van activiteiten die internal audit kan uitvoeren.
Hoewel je kunt discussiëren of bepaalde activiteiten niet meerdere doelen raken, is er een belangrijk onderscheid te maken tussen de soorten producten die dit oplevert. Namelijk in hoofdzaak een opinie van de auditor (assurance) of een advies waarbij de gebruiker zelf een opinie moet vormen (consult).
Inhoudelijke voor- en nadelen van een externe partij
Het aantrekken van een externe partij als internal auditfunctie vindt in de praktijk met name plaats bij organisaties die geen interne auditor op de loonlijst kunnen of willen aanhouden. In bijvoorbeeld de vermogensbeheer- of pensioensector zijn interne controle of interne auditfuncties verplicht, maar dergelijke organisaties zijn niet altijd groot genoeg dat een (proportionele) invulling van de interne auditfunctie door middel van een interne afdeling is gerechtvaardigd. Een externe flexibele schil, waarbij bijvoorbeeld een accountantskantoor als interne auditor wordt aangesteld, kan dan een oplossing zijn.
Los van praktische voor- en nadelen, zoals kosten, flexibiliteit, teaming, zijn voor- en nadelen te bedenken die het werk van internal audit inhoudelijk beïnvloeden.
Complexe externe omgeving
Een voordeel van het aanstellen van een externe partij als uitvoerder van de interne auditfunctie is dat deze partij mogelijk bij soortgelijke organisaties over de vloer komt en daardoor uit de eerste hand ervaring heeft met en gedetailleerde kennis heeft van oplossingen voor praktische problemen. Simpel gezegd, je hoeft niet voor alles het wiel opnieuw uit te vinden.
In de vermogensbeheer sector is bijvoorbeeld vaak specifieke, nieuwe en gewijzigde wetgeving van toepassing, waar je als organisatie op moet reageren. Zeker daar waar proportionaliteit een rol speelt, is een belangrijke vraag hoe op een efficiënte manier voldaan wordt aan de wet en de praktische interpretatie van de toezichthouder hierop. Een externe internal auditor kan zijn kennis en ervaring met betrekking tot de visie van de toezichthouder of de wijze waarop sectorgenoten uitdagingen hebben geadresseerd, gebruiken bij de uitvoering van zijn werkzaamheden. Een externe partij kan zijn ervaring uit de eerste hand met good practices dus toepassen bij andere klanten.
Een ander mogelijk voordeel van een externe partij heeft betrekking op de onafhankelijkheid. Een externe partij is onafhankelijk van de uitvoering van de bedrijfsprocessen. Daar komt bij dat een externe partij in mindere mate afhankelijk is van de organisatie als geheel, omdat zijn baan niet afhangt van de continuïteit van de onderneming. Daar is tegenin te brengen dat een externe partij mogelijk commerciële redenen kan hebben die een objectief oordeel kunnen vertroebelen. Ook hier is het zeker niet zwart-wit, maar het kan een krachtenveld opleveren die de kwaliteit van de werkzaamheden positief beïnvloedt.
Complexe interne omgeving
Als inhoudelijk nadeel geldt dat hoe specifieker en complexer een organisatie is, hoe meer behoefte bestaat aan cliëntspecifieke expertise. Een vaste en langdurige verbondenheid met de organisatie heeft in complexe organisaties wellicht meer waarde dan kennis van (extern ingegeven) alternatieven.
Hobbels en kuilen van een externe partij
Een hobbel
De internal auditor wordt breed opgeleid en getraind. Hij moet van een breed scala aan onderwerpen en controletechnieken kennis bezitten, zodat hij informatie op waarde kan schatten. Multidisciplinariteit is nodig om diverse taken en verantwoordelijkheden goed te kunnen uitvoeren. De internal auditor moet daarnaast over diverse vaardigheden beschikken. Die vaardigheden zijn nodig om de juiste informatie te ontsluiten of om deze op de juiste manier te communiceren en rapporteren. En juist bij de wijze van rapporteren ligt een extra hobbel die een externe partij moet nemen.
De activiteiten van de internal auditor splitsen zich, zoals gezegd, op in zekerheid en advies. Een oordeel of een mening dus. De vraag wie het oordeel vormt heeft gevolgen voor de manier van rapporteren. Zeker wanneer de internal auditor die ook registeraccountant is, de uitkomsten van de werkzaamheden rapporteert op basis van de controlestandaarden van de Nederlandse Beroepsvereniging van Accountants (de NV COS van de NBA).
In de terminologie van externe accountants is er een strikt onderscheid tussen assurance en non-assurance. De externe accountant is gebonden aan strikte standaarden die erop gericht zijn duidelijk te maken wat wel en juist niet verwacht mag worden van de accountant en wat de waarde is van het verslag dat de accountant op basis van de NV COS-controlestandaard uitbrengt.
“With great power comes great responsibility”
Peter Parker – Spiderman
Waar je verwijzend naar de IPPF in interne auditrapportages terminologie tegenkomt zoals een full audit, een review audit of een quick scan audit, een a tempo review of een themaonderzoek, heeft de registeraccountant die rapporteert op basis van de NBA-standaarden het over of een audit, of bijvoorbeeld over specifiek overeengekomen werkzaamheden, of een advies. Voor de registeraccountant is niet elke activiteit van internal audit een audit zoals bedoeld in de standaarden van de NBA. Er is discrepantie tussen de terminologie van werkzaamheden op basis van de standaarden van het IIA en de standaarden van de NBA.
In de praktijk ken ik zowel registeraccountants die als extern ingehuurde internal auditfunctie rapporteren op basis van de IPPF, en als registeraccountant rapporteert op basis van de NV COS. Welke standaard je als (externe) internal auditor ook hanteert, je moet de gebruiker altijd goed uitleggen wat zijn verantwoordelijkheid is bij elk onderzoek en wat het eindresultaat van de werkzaamheden in opzet zal zijn.
Het kan zijn dat een externe accountant die als interne auditfunctie wordt ingehuurd een extra hobbel moet nemen wanneer hij op basis van de NBA-standaarden rapporteert.
Een valkuil
Een valkuil voor de externe ingehuurde internal auditor is mogelijk dat specialistische kennis en ervaring de facto zorgen voor een bedreiging van de onafhankelijkheid.
In het voorbeeld van de complexe externe omgeving kan een extern ingehuurde accountant die bij een andere klant het proces al van voor tot achter heeft doorlopen, op basis van die ervaring een advies aandragen dat zonder kritisch tegenwoord door de eerste lijn wordt aangenomen en geïmplementeerd.
De vraag is of er voldoende countervailing power binnen de organisatie is. De extern ingehuurde auditor heeft immers voorkennis van de verwachte uitkomst, omdat hij het al een keer heeft meegemaakt. Wie gaat daar nu effectief tegenin? De extern ingehuurde auditor loopt het risico de facto op de stoel van de eerste of tweede lijn te gaan zitten en dat is uiteraard niet de bedoeling.
Samenvatting en conclusie
Internal audit zit op een sleutelpositie in de organisatie. Onafhankelijk van de uitvoering van bedrijfsprocessen. Toegang tot alle informatie en tot iedereen die zij nodig acht te spreken. Internal audit is breed opgeleid en goed getraind. Die krachtige middelen brengen ook grote verantwoordelijkheden met zich mee.
Internal audit levert primair een van de twee producten: zekerheid (assurance) of advies (consult). Bij assurance toetst de internal auditor of iets voldoet aan een norm. De uitkomst daarvan is vaak niet zwart-wit. Het is vaak een afweging van de impact van bevindingen op het behalen van doelstellingen. Iets kan uiteindelijk voldoen aan de norm, ondanks dat er ruimte voor verbetering is voor het vergroten van de effectiviteit of efficiency.
De internal auditor haalt de kennis die hij nodig heeft voor het maken van afwegingen en het wegen van bevindingen of observaties uit ervaring, best practices, richtlijnen of andere guidance vanuit brancheorganisaties. Een externe partij als internal auditor kan daarbij beschikken over kennis van de praktische oplossing voor uitdagingen op basis van ervaringen bij andere (vergelijkbare) organisaties.
De positie en het kennisniveau van de internal auditor geven hem de kans – wat mij betreft zelfs de plicht – (intern of extern) om te adviseren, daarmee toegevoegde waarde te leveren en op termijn een trusted advisor te worden.
Een inhoudelijk verschil tussen een externe partij die de internal auditwerkzaamheden uitvoert en een interne afdeling is dat een externe partij wellicht meer kennis in de breedte heeft door ervaringen bij andere soortgelijke organisaties, en een interne afdeling wellicht meer kennis in de diepte heeft door een specifieke ervaring van een enkele organisatie. Maar ook dat is niet zwart-wit natuurlijk.
Wat voor mij wel zwart-wit is, is dat het niet geven van advies wanneer de kans zich voordoet of het geven van slecht advies, de toegevoegde waarde van de interne auditor devalueert. Ook als de primaire opdracht gericht is op het geven van zekerheid.
Vaktechnisch is er een uitdaging om bij het leveren van toegevoegde waarde in je rol van de derde lijn te blijven en niet op de stoel van de eerste of tweede lijn te gaan zitten. Ook de wijze van rapporteren is hierbij erg belangrijk.
Als internal auditor heb je de plicht te zeggen wat je doet, te doen wat je zegt en te zeggen wat je ziet. Gevraagd en ongevraagd. Wat mij betreft gaan auditing en adviseren dus hand in hand en sluit het een het ander niet uit. Daarbij maakt niet uit of het een externe of interne partij is die de werkzaamheden uitvoert.
Noten
1. https://global.theiia.org/standards-guidance/Pages/Mission-of-Internal-Audit.aspx
2. https://www.iia.nl/iia/vakgebied
Over
Bas de Jong MSc RA begon zijn carrière in 1999 bij Ernst & Young – sectorgroep Financiële instellingen – en volgde de opleiding tot registeraccountant aan Nyenrode Business University. Bas is sinds 2018 redactielid van Audit Magazine en director bij Solutional, waar hij sinds 2006 werkt. Solutional is een accountantskantoor dat onder andere internal auditdiensten aanbiedt aan financiële instellingen als vermogensbeheerders en pensioenfondsen.
Reacties (0)
Lees meer over dit onderwerp:
“Wat ik doe moet impact hebben”
Een gecombineerde afdeling met audit, compliance, risk en gegevensbescherming heeft interessante voordelen, maar kent ook specifieke aandachtspunten. Maya de Waal over de ontwikkelingen van de afdeling Audit, Monitoring en Control (AMC) van Hogeschool Rotterdam en de uitdagingen van de organisatie. Wie is Maya de Waal? “Sinds maart 2022 ben ik manager AMC bij Hogeschool Rotterdam […]
Lees meerDe Arie Molenkamp Award
Met de Arie Molenkamp Award (AMA) is tien jaar lang een award toegekend aan iemand die een uitzonderlijke bijdrage heeft geleverd aan de ontwikkeling van het vakgebied internal en operational auditing. Een terugblik en een vooruitblik.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.