Agile auditing: waar blijft internal audit?

De begrippen agile, lean en scrum zijn momenteel hot. Iedereen doet er iets mee, of heeft een bekende die zich heeft gespecialiseerd in dergelijke methodieken. En dat is niet zonder reden, de resultaten zijn immers fenomenaal: meer dan 60% verhoging van de productiviteit en snelheid is geen uitzondering. Maar waar blijft internal audit?

Vanuit onze eigen praktijk herkennen we het potentieel en vele organisaties zijn enthousiast over de resultaten. Immers, wie wil niet een tevreden stakeholder, processen efficiënter inrichten of uitdagingen sneller en beter afwikkelen? In omgevingen die agile werken zie je vaak dat processen beter gepland worden, de doorlooptijd verkort wordt en de effectiviteit van deze processen wordt gemeten. De ‘schaduwkant’ van de aanpak schuilt erin dat in veel gevallen werkzaamheden worden verschoven en de performance van teams transparant wordt. Dit laatste leidt er in de praktijk toe dat in eerste instantie weerstand optreedt tegen de voorgestelde verbeteringen.

Waarom niet omarmd?

Lean en agile kennen hun oorsprong in productieomgevingen, maar worden tegenwoordig in vele branches toegepast. De vraag die daardoor opkomt is: waarom worden dergelijke methodieken niet door de internal auditfuncties (IAF’s) omarmd? Waarom zou je niet de IAF zo inrichten dat je effectiever de audits uit kunt voeren? Of dat je het auditproces veel efficiënter inricht, waardoor hetzelfde auditresultaat wordt bereikt in minder tijd, met minder inspanning of kosten?

Introductie in agile, scrum en lean

Het gebruik van jargon is ook in deze vakgebieden (helaas) geen uitzondering. Veel mensen laten zich afschrikken door de vele (!) concepten en principes en zien door de bomen het bos niet meer, dat is jammer. Want hoewel de 60% verhoging van de productiviteit en snelheid wellicht wat ambitieus ingestoken is, kun je met deze methodieken zeker verbeteringen doorvoeren in het internal auditvakgebied. Laten we echter beginnen met de beantwoording van de vraag: waar gaat het hier eigenlijk over? Wat betekenen agile, scrum en lean?

Agile – een iteratieve methode om wensen en eisen boven water te krijgen en aan de steeds veranderende eisen te blijven voldoen.

Scrum – een flexibele manier om (software)producten te maken. Er wordt gewerkt in multidisciplinaire teams die in korte sprints, met een vaste lengte van een tot vier weken, werkende (software)producten opleveren.

Lean – een managementfilosofie in het vakgebied van operations management die erop gericht is om maximale waarde voor de klant te realiseren met zo min mogelijk verspilling.

De methodieken hebben gemeen dat ze de toegevoegde waarde voor de stakeholders willen verhogen alsmede de productiviteit van medewerkers.

Scrum is niet hetzelfde als agile, maar is een van de manieren om het agile-gedachtegoed toe te passen

Agile
De geboorte van agile als term en concept is terug te brengen tot het Agile Manifesto (2001). De principes van dit manifest vormden een uitwerking van ideeën die halverwege de jaren negentig waren ontstaan en betreffen de volgende vier punten:

1. Mensen en hun onderlinge interactie boven processen en hulpmiddelen.
2. Werkende software boven allesomvattende documentatie.
3. Samenwerking met de klant boven contractonderhandelingen.
4. Inspelen op verandering boven het volgen van een plan.

Onder agile valt een aantal frameworks, zoals scrum, lean, kanban, extreme programming en six sigma. Scrum is dus niet hetzelfde als agile, maar is een van de manieren om het agile-gedachtegoed toe te passen. Het kan worden ingezet om in teamverband op een effectieve, flexibele manier software te ontwikkelen. Agile is in de wereld van IT al zeer succesvol gebleken, maar inmiddels wordt de werkwijze ook toegepast bij de afdelingen marketing, hr en finance. Vergelijkbare afdelingen die ook te maken hebben met interne stakeholders en klanten, net als IAF’s.

Dat het toepassen van de agile-methode en frameworks van toegevoegde waarde is voor internal auditors, blijkt uit het aantal IAF’s dat agile daadwerkelijk toepast. Maar de vragen van de meeste IAF’s, die nog niet of nauwelijks met agile hebben gewerkt, zijn: hoe kun je de verzameling van agile frameworks en principes succesvol toepassen op IAF’s en internal audits? En hoe zorg je ervoor dat er wordt voldaan aan de (minimale) beroepsstandaarden? Immers, ook agile auditors moeten zich houden aan de IIA Standaarden.

Agile en internal audit

Volgens de IIA Standaarden heeft de IAF te maken met inrichtingsvraagstukken (Attribute Standards 1000-serie) en uitvoeringsvraagstukken (Performance Standards 2000-serie). Deze inrichtingsvragen van de IAF kunnen verdeeld worden in de thema’s ‘positionering & doelstelling’, ‘personeel, ethiek en professionaliteit’ en ‘kwaliteitsborging en auditplan’ (zie figuur 1).

De uitvoeringsvraagstukken bevatten de thema’s ‘planning en voorbereiding’, ‘uitvoeren van de auditwerkzaamheden’ en ‘rapportage & follow-up’ (het internal auditproces, zie figuur 2).

Door het toepassen van agile-methodieken binnen de afdeling internal audit zelf wordt de toegevoegde waarde voor internal auditmedewerkers, de stakeholders en interne klanten flink verhoogd (zie kader Toegevoegde waarde). Door het toepassen van agile-methodieken in het auditproces zelf, verhoogt dit de snelheid en productiviteit van audits, en hiermee de toegevoegde waarde voor de opdrachtgever.

Concreet voorbeeld

Een concreet voorbeeld van hoe de vier agile-principes toegepast kunnen worden in het internal auditproces (zie ook figuur 3):

1. Audit backlog: het agile internal auditproces maakt gebruik van een internal audit backlog – een overzicht dat voortdurend bijgewerkt wordt met een flexibele en dynamische bepaling van de audit (deel)onderwerpen (ook features genoemd), in tegenstelling tot een statisch internal auditplan (bijvoorbeeld één jaar). De items op de internal audit backlog zijn in eerste instantie abstract aangaande de gewenste uitkomsten en de timing. Wanneer de IAF en zijn stakeholders de auditdetails verfijnen komt het auditgebied hoger op de backlog totdat het gebied klaar is om geaudit te worden.
2. Definition of ready: definition of ready (DoR) is van toepassing wanneer voor een item op de audit backlog overeenstemming is bereikt tussen de IAF en de stakeholders over de scope van de audit. Een voorwaarde is dat de IAF in staat is om het werk uit te voeren. Wanneer de DoR is bereikt, begint IA met de uitvoering van de audit.
3. Audit sprints: wanneer de IAF begint met de uitvoering van de audit, verdwijnt de audit van de backlog en worden de verschillende scope-elementen van deze audit onderverdeeld in afgebakende auditable entititeiten, zogenaamde sprints. Sprints zijn tijdvakken waarin een auditable entiteit moet worden voltooid, bijvoorbeeld een tot twee weken. Sprints zorgen voor een afbakening, proces, structuur en ritme voor het werk. Het tijdvak – de tijd waarin het auditteam een element moet voldoen – moet zorgen voor een strakke deadline, zonder dat dit stress oplevert. Door middel van iteratieve (wekelijkse en/of dagelijkse) scrum-sessies wordt het proces continu geoptimaliseerd.
4. Definition of done: de definition of done (DoD) beschrijft de output van de audit sprints. De DoD kan uitgedrukt worden in een mate van zekerheid, een lijst van bevindingen, risico’s of aanbevelingen of een (concept)auditrapport – afhankelijk van de wensen van het auditteam. De DoD moet behapbaar en niet te complex zijn om de audit sprints succesvol te laten zijn.

Als je verspilling wilt elimineren, dan is het allereerst van belang dat het team hetzelfde beeld heeft van de doelstellingen die gerealiseerd moeten worden

Productiviteit

Productiviteit blijft een lastig onderwerp voor IAF’s. De uitvoering van een opdracht, maar ook de tijd die het kost om het jaarplan op te stellen, wordt vaak uit het oog verloren. Binnen agile is het verminderen van verspillingen (waste) een van de kernbegrippen. Waste kan zich uiten in verschillende vormen: wachten op iets voordat je verder kunt, onnodig veel bewegingen (denk aan reizen!), processen die niet logisch meer lopen of te veel produceren (onnodig lange auditrapporten). Als je verspilling wilt elimineren, dan is het allereerst van belang dat het team hetzelfde beeld heeft van de doelstellingen die gerealiseerd moeten worden. Voorbeelden hiervan zijn:

• De gemiddelde doorlooptijd van een auditproduct mag niet meer dan zes weken bedragen.
• De doorlooptijd conceptfase naar definitief rapport is korter dan één maand.
• Maximaal één correctieronde per audit sprint.

Door deze KPI’s periodiek te meten en afwijkingen tussen de werkelijkheid en het doel te analyseren, krijg je inzicht in de verspillingen. Een beproefd middel binnen agile auditing is om aan het eind van iedere sprint een retrospective te organiseren, waarbij alle issues in het proces worden besproken en indien mogelijk, opgepakt. Dit model zou ook goed voor internal audit kunnen werken. Het is hierbij wel van belang dat je met het auditteam een veilige omgeving creëert, waarbij iedereen zonder gevolgen de verspilling kan benoemen, anders zullen de issues niet op tafel komen. En ten slotte kunnen iteratieve tijdschema’s voor sprints (auditable entities) helpen om de productiviteit te verhogen.

Het succes van de IAF zal afhangen van de werkelijke wil om beter te worden. Probeer in kleine stapjes te verbeteren

Food for thought

Of je nu wel of niet aan de slag gaat met agile auditing, alles draait uiteindelijk om de mindset en de interactie met de stakeholders. Het succes van de IAF zal afhangen van de werkelijke wil om beter te worden. Probeer hierbij in kleine stapjes te verbeteren. Om de hiervoor genoemde aandachtsgebieden morgen al te kunnen toepassen, is een stappenplan een in de praktijk beproefde aanpak om snel tot resultaat te komen:

1. Selecteer een audit om het agile-gedachtegoed te piloten op de elementen:
   a. kennis opdoen;
   b. inrichten structuur;
   c. lerend vermogen en delen van best practices.
   Wat helpt is het benoemen van een internal auditexpert in agile-methoden.
2. Definieer klantwaarde en bijbehorende doelstellingen (zet doelstellingen op de internal audit backlog).
3. Dissatisfiers direct aanpakken. Zorg dat de stakeholder krijgt wat hij verwacht door het auditproces te optimaliseren (definition of ready).
4. Waar zitten de verstoringen/verspillingen (waste):
   a. kijk in je agenda en check je mailbox van de afgelopen twee maanden;
   b. denk logisch na welke stappen je moet nemen en welke ‘nice to have’s’ zijn, bijvoorbeeld naast het versturen van een opdrachtbrief ook een separate aanbiedingsbrief te sturen.
5. Organiseer periodiek (dagelijks/wekelijks) een scrum-sessie waarin je alle operationele issues met elkaar bespreekt:
   a. hebben we de KPI’s gehaald, plus oorzakenanalyse?;
   b. wat hebben we afgelopen week gedaan en waar liepen we tegenaan?;
   c. wat gaan we komende week doen, wat hebben we nodig?
6. Bepaal de ideale doorlooptijd per auditopdracht en maak deze kortcyclisch (auditsprint en definition of done).
7. Optimaliseer sprintsnelheid (doe meer tijdens een sprint).
8. Houd een retrospective na iedere auditsprint om het proces nog beter te maken.

Toegevoegde waarde

Agile benadert de activiteiten vanuit de behoefte van de (interne) klant. Binnen agile wordt gesproken over het samenwerken met de (interne) klant en wordt het begrip toegevoegde waarde leveren aan de (interne) klant gehanteerd. Een mooi hulpmiddel om deze klantbenadering vorm te geven betreft het kanomodel.

Het kanomodel (zie figuur 4) bestaat uit twee assen: de horizontale as geeft aan in hoeverre de activiteit goed is uitgevoerd. De verticale as betreft de mate waarin de klant tevreden is over de dienst of het product.

Figuur 4. Het kanomodel

Wordt een klant heel blij van een dienst, dan zal hij de uitvoering als minder belangrijk ervaren: de klant kiest met zijn hart en niet met zijn hoofd. In deze gevallen is sprake van een delighter, die belangrijk is voor onder andere klantbinding. Bij een dissatisfier haakt de klant direct af als de executie niet goed is. Een voorbeeld hiervan zijn werkende remmen.

Hoe is dit nu te vertalen naar internal audit? IAF’s zouden zich vaker moeten afvragen welke interne klantwaarde zij nu leveren aan welke stakeholder. Bovendien is het ook van belang de vraag te stellen in welke mate de klant iets merkt van de activiteiten van internal audit. Door met een agile- en value based internal auditplan te starten, richt je de IAF op die gebieden die de meeste waarde toevoegen voor de klant. Dit kan ook helpen om de soms tegenstrijdige belangen van stakeholders af te wegen: waar is het belang voor de klant het grootst?

Tijdens de rapportage/follow-upfase is het belangrijk om rekening te houden met de klantwaarde. Veel IAF’s werken al met een feedbackmodel. In de praktijk lijkt het vragen van feedback meer een administratieve noodzaak dan een essentieel middel om de dienstverlening nog meer af te stemmen op de wensen van de klant. Het is bijvoorbeeld ook belangrijk om als internal audit de vraag te stellen welke vorm van feedback van de auditee wordt gevraagd. Stelt men ook wel mondeling de vraag of alleen via het standaardformulier? Bovendien is de tijd die verstrijkt voordat feedback wordt ontvangen een indicatie voor de betrokkenheid van de stakeholder.