Agile auditing: effectief en flexibel werken

Hoe verhoog je de effectiviteit van de auditafdeling? Dat kan door agile-elementen toe te passen. Agile plannen en agile rapporteren zorgen voor meer flexibiliteit en doeltreffendheid.

Veel internal auditafdelingen hanteren een structuur waarin een junior auditor samenwerkt met een meer ervaren collega, die rapporteert aan de manager. Naast periodieke voortgangsgesprekken worden ook obstakels en dilemma’s vaak doorgeschoven naar het management. Dit kan het auditproces vertragen en de relevantie van het resultaat ondermijnen. Agile werken helpt om deze vertragingen te verminderen en de effectiviteit van het team te vergroten.

Relevante GIAS-standaarden

Bij de inrichting van de internal auditfunctie zijn met name de volgende GIAS-standaarden van toepassing:

• Domein II – Ethiek en professionaliteit: standaard 3.1 (competentie).
• Domein IV – Managen van de auditfunctie: standaarden 9.2 (auditstrategie), 10.2 (personeelsbeheer), 12.3 (prestatiemanagement).

Om als auditafdeling agile te kunnen werken, moeten bepaalde randvoorwaarden zijn ingevuld:

• Formuleer heldere doelstellingen – Waarom wil je agile werken? Wat wil je ermee bereiken? (GIAS 9.2).
• Stel een competent en gemotiveerd team samen – Teams moeten zelfstandig kunnen werken en besluiten nemen (GIAS 3.1, 10.2, 12.3).
• Informeer en betrek de organisatie – De agile werkwijze vereist inzet en commitment van de hele organisatie.
• Stel doelen zonder te detailleren – Plan auditonderwerpen, maar laat ruimte voor prioritering en aanpassing.

Te vaak zijn rapporten lijvig, vol herhaling en te uitgebreid onderbouwd, waardoor de kernboodschap verwatert

De rol van het management verandert

Als je kiest voor een agile werkwijze, verandert ook de rol van het auditmanagement. Om het team verantwoordelijkheid te laten nemen zijn de volgende managementtaken cruciaal:

• Verwijderen van obstakels – Escaleer waar nodig als de organisatie het auditteam niet voldoende faciliteert.
• Werven en trainen van auditors – Zorg dat het team de juiste vaardigheden bezit om agile te kunnen werken.
• Optreden als scheidsrechter – Bijvoorbeeld bij het kiezen tussen verschillende aanpakken of bij rapportreviews.
• Onderhouden van externe relaties – Blijf aanspreekpunt voor directie en audit-/risk committees en deel relevante informatie met het team.

Niet altijd de beste aanpak

Agile is niet in elke situatie toepasbaar of wenselijk. Een onervaren auditteam heeft intensievere aansturing nodig en is daardoor minder geschikt. Daarnaast moeten stakeholders bevoegd zijn om zelfstandig beslissingen te nemen. En bij audits met beperkte interpretatieruimte, zoals SOx- of compliance-audits, is de toegevoegde waarde van agile beperkt.

De Agile Planning Onion

Agile planning bevordert flexibiliteit en responsiviteit in audits. De Agile Planning Onion (zie figuur 1) visualiseert zes lagen van planning en verbindt deze met relevante GIAS-standaarden.

• Strategie (GIAS 9) – Langetermijnvisie en auditdoelstellingen.
• Stappenplan (GIAS 9, 11) – Selectie en prioritering van audits op strategische waarde.
• Levering – Vertaling van behoeften naar user stories en prioriteiten in het werkprogramma.
• Iteratieplanning (GIAS 13) – Opdelen van de scope in behapbare taken, met ruimte voor tussentijdse bijsturing.
• Dagelijkse planning (GIAS 13, 14) – Coördinatie en probleemoplossing tijdens de uitvoering.
• Conclusie (GIAS 14) – Reflectie en afronding op basis van opgedane inzichten.

Agile rapporteren

Hoe vaak wordt een auditrapport écht gelezen en gebruikt? Te vaak zijn rapporten lijvig, vol herhaling en te uitgebreid onderbouwd, waardoor de kernboodschap verwatert. Dat kan anders. Een auditrapport is essentieel om zekerheid te verschaffen over de interne beheersing (assurance) en om verbeteringen in gang te zetten. Voor bestuurders en senior management zijn rapportages een belangrijk stuurmiddel.

Volgens de IIA Standaarden (GIAS) is een internal auditor verplicht gemotiveerd verslag te doen van zijn bevindingen. Rapporteren is daarmee een kerntaak binnen internal audit volgens de GIAS-standaarden 14.5 en 15.1:

• GIAS-standaard 14.5 – Internal auditors moeten een conclusie van de opdracht opstellen waarin de resultaten worden samengevat. De conclusies van een assuranceopdracht moeten het oordeel van de auditor omvatten.
• GIAS-standaard 15.1 – Voor elke opdracht moeten internal auditors een definitieve communicatie opstellen met daarin de doelstellingen, scope, aanbevelingen en/of actieplannen (indien van toepassing) en conclusies.

Identificeren en vastleggen

Een effectieve manier om veldwerk en rapportage beter te verbinden, is door bevindingen direct tijdens het veldwerk te identificeren en vast te leggen. Agile auditing werkt met korte sprints en snelle bijsturing, wat goed past bij deze werkwijze. Bevindingen worden tijdens het veldwerk al afgestemd met de auditee. Zo ontstaat vroegtijdig draagvlak en wordt de feitelijke juistheid direct vastgesteld. In deze fase analyseren auditteam en auditee samen de grondoorzaken van de bevindingen. De auditee formuleert vervolgens acties om deze aan te pakken. Is dat nog niet mogelijk, dan worden mitigerende maatregelen vastgesteld.

Een bewuste structuur maakt het rapport compacter én waardevoller voor de lezer

Veldwerk

Idealiter werken de eerste, tweede en derde lijn in één systeem, waarbij bevindingen uit de auditmodule direct doorstromen naar een actie- en opvolgmodule. Zo ontstaan al tijdens het veldwerk complete bevindingen mét overeengekomen acties. Dit maakt de rapportagefase aanzienlijk korter. In het uiteindelijke rapport volstaat een korte onderbouwing met verwijzing naar de onderliggende documentatie. Bevindingen en acties worden samengevat opgenomen en in bijlage toegelicht. Na review door de chief audit executive (of gemandateerde auditor) wordt het rapport gedeeld met de auditee en vervolgens verspreid binnen de organisatie. Een managementreactie is optioneel, maar snelheid is leidend.

Van ‘waste’ naar waarde

Auditrapporten zijn vaak te uitgebreid. Herhalingen, uitgebreide verantwoordingen van aanpak, of bevindingen met laag risico die al zijn opgelost, dragen weinig bij. Toch worden ze vaak opgenomen. Een effectief auditrapport is helder en to the point. Dat bereik je door:

• korte, duidelijke zinnen te gebruiken;
• informatie scanbaar te maken met bullets;
• visuele elementen (tabellen, grafieken) in te zetten;
• iconen en kleuren te gebruiken om hoofdpunten te accentueren;
• een heldere kernboodschap te formuleren;
• vakjargon te vermijden.

Een bewuste structuur maakt het rapport compacter én waardevoller voor de lezer. De impact neemt toe als de boodschap duidelijk is en uitnodigt tot actie.

Experimenteren, leren en verbeteren

Agile werken in het rapportageproces betekent: experimenteren, leren en continu verbeteren. Een waardevol auditrapport is beknopt, actiegericht en afgestemd op de lezer. Door veldwerk en rapportage beter te verbinden en overbodige informatie te schrappen, verkort je de doorlooptijd én verhoog je de impact. Focus en eenvoud zijn de sleutel: breng bevindingen en acties helder in kaart, vermijd details en ondersteun waar mogelijk visueel. Een korter rapport betekent niet minder inhoud, maar juist méér effect. Door auditteams iteratief te laten werken, kunnen zij beter inspelen op veranderende omstandigheden. Agile versterkt het eigenaarschap, vergroot de betrokkenheid van stakeholders en verhoogt de effectiviteit van audits.