De aanvullende stap in de IA-cyclus
Een internal auditfunctie (IAF) voert een x aantal internal audits uit per jaar, resulterend in een x aantal internal auditrapporten en een veelvoud aan internal auditbevindingen. Dit artikel pleit voor een extra stap in de internal auditcyclus om deze te vervolmaken. Deze stap beoogt brede organisatieproblemen en de dieperliggende oorzaken boven tafel te brengen door het strategisch analyseren van alle auditbevindingen.
Een aantal blinde mannen wordt geconfronteerd met een olifant en op de tast proberen zij erachter te komen wat het is. Degene die de poot betast, vermoedt dat het om een boomstam gaat, terwijl degene bij de slurf denkt dat het een slang is. “Nee”, zegt de blinde man die de staart vasthoudt, “ik voel een touw.” Ieder van de blinden had op de tast een deel van het lichaam van de olifant onderzocht, maar geen van hen had daardoor een juist beeld van het hele dier gekregen. De moraal van dit bekende Soefi-verhaal uit de 12e eeuw is dat wanneer de blinden hun waarnemingen zouden samenvoegen als verschillende puzzelstukjes van het grotere geheel, ze meer kans hebben om een beeld van ‘de hele olifant’ te krijgen.
Een IAF heeft vele bevindingen per jaar, waargenomen door vaak meerdere auditors. Kan een IAF met deze verschillende ‘puzzelstukjes’ een dieper beeld van de organisatieproblemen verkrijgen? Dit is de vraag die ik in het kader van mijn scriptie voor het Executive Internal Auditing Programme aan de Universiteit van Amsterdam heb getracht te beantwoorden. Dit artikel geeft een overzicht van het onderzoek.
Een IAF heeft vele bevindingen per jaar. Kan een IAF met deze verschillende ‘puzzelstukjes’ een dieper beeld van de organisatieproblemen verkrijgen?
De aanvullende stap
Mede door de toename van corporate-governanceregelgeving ontstijgt de toegevoegde waarde van de IAF meer en meer het ‘oude’ accounting en operationele niveau en ligt de meerwaarde in het bieden van aanvullende zekerheid en inzicht op strategisch organisatieniveau. Dit wordt tevens versneld door de recente maatschappelijke en beroepsprofessionele aandacht voor de oorzaken en preventie van de economische crisis en de rol hierin van de IAF. Denk hierbij aan de roep om vernieuwing van de code goed bestuur en de beantwoording hiervan door middel van het consultatiedocument met voorstellen voor herziening van februari 2016.
Tevens is de bredere rol van de IAF opgenomen in de meest recente definitie van internal auditing van het IIA en in de Codes (recente voorstel herziening Nederlandse Corporate Governance Code, Code Banken en Verzekeraars en regelgeving vanuit de toezichthouders zoals DNB en AFM) waardoor IAF’s inzicht dienen te verschaffen in en te rapporteren over governance, risicomanagement en de interne beheersing van de organisatie richting de raad van bestuur (RvB)/ het audit committee (AC).
Waarmaken rol
Hoe zorgen IAF’s ervoor dat zij deze rol waarmaken in de managementrapportages aan RvB/AC? Het antwoord op deze vraag dient gevonden te worden in de internal auditcyclus. Deze behoort te waarborgen dat IAF’s waarde toevoegen op dergelijk strategisch organisatieniveau. De huidige gangbare internal auditcyclus omvat een repeterend proces dat grofweg loopt van strategische doelen en risicoanalyse op organisatieniveau, naar een risk-based auditmeerjarenplan en auditjaarplan, naar uitvoering van de operationele audits en follow-up van de individuele auditbevindingen. (zie figuur 1).
Deze cyclus leidt van het strategische organisatieniveau naar het operationele niveau. Echter, de cyclus lijkt niet vervolmaakt, aangezien de feedback loop van het operationele niveau van de auditbevindingen terug naar het strategische organisatieniveau ontbreekt (zie pijl 3). Hierdoor mist de stap van het tillen van de operationele auditbevindingen naar een hoger strategisch abstractieniveau. Er is geen voorgeschreven stap in de huidige gangbare internal auditcyclus die de operationele auditbevindingen vertaalt naar het hogere organisatieniveau om aan te sluiten bij het strategische niveau waaraan en waarover de IAF dient te rapporteren.
Toevoegen stap en nieuwe definitie
In lijn met de toegenomen verantwoordelijkheid van de IAFop strategisch organisatieniveau en om managementrapportages te kunnen leveren aan de RvB/AC die aansluiten bij dit strategische niveau, zou een stap aan de internal auditcyclus dienen te worden toegevoegd. In deze stap dienen alle afgestemde en goedgekeurde operationele auditbevindingen periodiek geanalyseerd te worden met het doel organisatiebrede structurele problemen en de oorzaken die het behalen van de organisatiedoelen verhinderen, te identificeren. Het gaat dus om het identificeren van een rode draad of patronen in de verschillende operationele auditbevindingen. Deze extra stap heeft als werktitel ‘strategische analyse van auditbevindingen’ (zie figuur 2).
Om deze nieuwe stap in de auditcyclus verder te verkennen is allereerst een eenduidige definitie nodig, daarom is de volgende werkdefinitie opgesteld van ‘strategische analyse van auditbevindingen’: ‘Het periodiek uitvoeren van een multidimensionale traceerbare analyse door de IAF op de verzameling afgestemde internal auditbevindingen, met als doel het identificeren en aan de RvB/AC rapporteren van overkoepelende structurele problemen (patronen in de auditbevindingen) die het behalen van de strategische organisatiedoelen direct en/of indirect beïnvloeden.’
Praktische voorbeelden
Om een concreter beeld te schetsen van de mogelijke uitkomsten van strategische analyse van auditbevindingen volgen enkele voorbeelden, verzameld vanuit de interviews met hoofden van IAF’s:
- Cultuur en gedrag – Een dieperliggende oorzaak van veel auditbevindingen op operationeel niveau (zoals het niet naleven van beleid en procedures) is te vinden in de cultuur en het gedrag van de organisatie of afdeling. De oorzaak kan hierdoor worden gezocht in een gebrek aan (aandacht voor) soft controls en risk culture.
- IT – Veel organisaties in de financiële sector worden geconfronteerd met auditbevindingen die voor een groot deel te herleiden zijn tot het dieperliggende structurele probleem van ‘legacysystemen’. Door de langlopende contracten en verplichtingen met klanten van bijvoorbeeld banken en verzekeraars en de grote verscheidenheid in verkochte producten gedurende de afgelopen tientallen jaren is de administratie zeer complex. Als een gevolg hiervan is het IT-landschap zeer divers en hierdoor een mogelijke dieperliggende oorzaak van vele auditbevindingen op operationeel niveau.
- Governance, Risk & Compliance (GRC) – Een onduidelijke verdeling van rollen en verantwoordelijkheden over de verschillende assurancefuncties (three lines of defense) binnen een organisatie en een gebrek aan coördinatie tussen deze functies kan een mogelijke dieperliggende oorzaak zijn van patronen in auditbevindingen.
- Internal governance – Een gebrek aan (juiste, volledige en/of tijdige) doorvertaling van de strategie van de organisatie naar het normenkader van het management en uiteindelijk naar de operatie van de organisatie kan een mogelijke dieperliggende oorzaak zijn van veel symptomatische auditbevindingen op operationeel niveau.
- Structurele onderbezetting, onvoldoende expertise en/- of onrealistische doelstellingen – Veel organisaties in bijvoorbeeld de zorgsector worden geconfronteerd met auditbevindingen die voor een groot deel te herleiden zijn tot deze dieperliggende structurele problemen, leidend tot symptomatische auditbevindingen zoals het niet nakomen van procedures of het structureel niet behalen van doelen.
Voor de toezichthouder(s) zou een dergelijke analyse vertrouwen geven over de governance, het risicomanagement en de interne beheersing
Toegevoegde waarde
Strategische analyse van auditbevindingen ondersteunt de RvC/AC in haar toezichthoudende taken door deze van meer relevante, transparante en kernachtiger informatie te voorzien. Voor de RvB biedt strategische analyse van auditbevindingen een beeld van de organisatiebrede problemen en dieperliggende oorzaken die in de praktijk een gevaar vormen voor het behalen van de uitgezette strategische doelen. Tevens kan de RvB op basis van de uitkomsten van strategische analyse van auditbevindingen indien nodig (tussentijds) bijsturen in de strategie, middelenallocatie, interne beheersing, gedrag, cultuur, et cetera om zo de kansen op het behalen van de strategische doelen te vergroten. Voor de toezichthouder(s) zou een dergelijke analyse vertrouwen geven over de governance, het risicomanagement en de interne beheersing en het continue lerende vermogen van de organisatie.
Indien eventuele bevindingen van de toezichthouder(s) tevens worden meegenomen in de strategische analyse van auditbevindingen draagt het bij aan de verbetering van de samenwerking en een toename van het vertrouwen tussen toezichthouder en organisatie. Voor internal auditors stimuleert en faciliteert het periodiek uitvoeren van strategische analyse van auditbevindingen de kennisdeling onderling over zowel de uitgevoerde audits als over de organisatiebrede issues. Tevens kan het de bruggenbouwerfunctie van de IAF bevorderen door best practices uit het ene onderdeel van de organisatie te introduceren bij onderdelen waar zich problemen voordoen op een bepaald gebied.
Ten slotte is de IAF door strategische analyse van auditbevindingen beter in staat om, eventueel in samenwerking met andere functies, een eenduidig en overtuigend agendapunt te creëren bij de RvB/AC waardoor de IAF meer impact heeft.
Resultaten van het veldonderzoek
Mijn scriptie betrof een verkennend onderzoek van dit nieuwe begrip en exploreerde de werkdefinitie, voordelen, beperkingen en randvoorwaarden hiervan. Door negen interviews bij hoofden van IAF’s af te nemen, is een beeld verkregen van de mate waarin IAF’s een dergelijke analyse van auditbevindingen toepassen en wat de toegevoegde waarde hiervan is.Uit het veldonderzoek blijkt dat er wel degelijk behoefte is vanuit de klanten van een IAF (RvB en AC) aan een overkoepelend beeld van patronen in de auditbevindingen en dieperliggende oorzaken, gekoppeld aan de strategische doelen. Er is echter gebleken dat de IAF’s hier momenteel slechts deels en op een informele en impliciete manier invulling aan geven.
Uit de interviews blijkt dat er wel degelijk behoefte is aan een gestructureerde, geïntegreerde en eenduidige rapportage op dergelijk strategisch niveau
Hierdoor ontstaat in de praktijk een meer gefragmenteerd en ad-hocrapportage op basis van incidenten aan de RvB/AC, terwijl uit de interviews blijkt dat er wel degelijk behoefte is aan een gestructureerde, geïntegreerde en eenduidige rapportage op dergelijk strategisch niveau. Dit draagt bij aan transparantie en aan het stroomlijnen van de besluitvorming gericht op duurzame verbeteringen.
Vanuit elk van de negen interviews met hoofden van IAF’s kwam de wens naar voren voor een nadere invulling van wat benodigd is om strategische analyse uit te voeren. Er zijn negen randvoorwaarden geïdentificeerd om de analyse optimaal te kunnen uitvoeren, waaronder met name centrale registratie en classificatie van de bevindingen, een uniforme auditmethodologie en auditplanning met als uitgangspunt de strategie van de organisatie. Verder luidt de aanbeveling om dergelijke analyse (half)jaarlijks (afgestemd op de periodiciteit van rapportage aan de AC door de IAF) uit te voeren met het gehele IA-team, gefaciliteerd door een derde partij voor de frisse ‘outside-in view’.
De puzzelstukjes samenvoegen
Net zoals het onmogelijk was voor ieder van de blinden om iets groots als een olifant in een keer waar te nemen en zich een beeld te vormen van ‘de olifant als geheel’, zo is het voor internal auditors ook vrijwel ondoenlijk om de dynamiek en problemen binnen een organisatie in een keer te overzien en inzicht te verkrijgen in het geheel. Alle verschillende auditbevindingen die men aantreft in de vele verschillende internal auditrapporten zijn in feite allemaal stukjes van dat geheel.
Net als de blinden, hebben internal auditors de unieke mogelijkheid om de puzzelstukjes samen te voegen.Het is belangrijk om te erkennen dat men als organisatie nooit bij de juiste antwoorden kan komen zonder de juiste vragen te stellen. De grote uitdaging van de IAF ligt in het ontdekken wat de juiste vragen, en daarmee de organisatieproblemen, zijn om op deze manier meer toegevoegde waarde te leveren op strategisch niveau, mede in lijn met de nieuw voorgestelde vereisten in de NL Corporate Governance Code. Strategische analyse van auditbevindingen is een middel dat hierin een belangrijke rol kan spelen.
Over
Sjon van der Kley is manager bij KPMG Advisory binnen het Internal Audit, Risk & Compliance Services team. Zijn focusgebied is Internal Audit en governance, risk & compliance (GRC). Hij behaalde zijn RO-titel aan de UvA-ABS.
Reacties (0)
Lees meer over dit onderwerp:
De robot rukt op in internal auditing
Robotic process automation (RPA) als auditobject wordt steeds vaker opgenomen in het internal auditjaarplan bij organisaties. Tegelijkertijd worstelen internal auditfuncties (IAF’s) met de vraag hoe een RPA-audit uit te voeren. Daarnaast wordt er door IAF’s nog niet optimaal gebruikgemaakt van RPA. Tips voor het uitvoeren van een succesvolle RPA-audit en het automatiseren van audit (test)werkzaamheden. […]
Lees meerRO-opleiding: de verwachtingen zijn waargemaakt
Wat vinden studenten van de RO-opleiding die zij volgen? Audit Magazine vroeg het aan Fanny Kunneman, studerend aan de Erasmus Universiteit Rotterdam, en aan Judith van Duijn die de opleiding aan de Universiteit van Amsterdam volgt.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.