De adviserende internal auditor: overdrijf het collisiegevaar niet…
Sinds jaar en dag speelt de vraag of en in hoeverre de internal auditor mag adviseren. Tegenstanders wijzen hierbij steevast op het zogenoemde collisiegevaar, waarover hieronder meer. Voorstanders benadrukken de meerwaarde van de adviezen van de internal auditor voor de organisatie, die zich immers in de regel richten op het mitigeren van risico’s en daarmee het optimaliseren van management control. De discussie lijkt maar niet te kunnen worden beslecht. Eigenlijk is dat vreemd, want het antwoord ligt vrij voor de hand, zo laat ik in deze bijdrage zien.
Collisiegevaar
Het collisiegevaar gaat over het risico dat adviseren de objectiviteit van de internal auditor in gevaar brengt. Stel dat de adviezen van de auditor worden overgenomen, maar deze in de praktijk niet blijken te werken. In hoeverre zal de auditor bij een volgende audit dit gegeven onderkennen en hierover durven te rapporteren? Immers, de auditor geeft hiermee blijk van eigen falen.
Een variant hierop speelt wanneer de adviezen van de auditor wel degelijk blijken te werken en de auditor bij een volgende audit – volledig terecht – een positief oordeel velt. Het is niet geheel ondenkbaar dat de verschillende stakeholders veronderstellen dat louter vanwege het feit dat de aanbevelingen van de internal auditor zijn opgevolgd, de auditor tot dit positieve oordeel komt. Ofwel, de auditor kan hiermee de schijn tegen krijgen.
Deze geschetste bedreigingen van de objectiviteit van de internal auditor zijn reëel en dienen niet te worden onderschat. De vraag is wel in welke situaties het collisiegevaar daadwerkelijk speelt. Om deze vraag te kunnen beantwoorden, moeten we eerst de verschillende soorten audits en verschillende vormen van advies uiteenzetten.
De internal auditor kan overwegen helemaal geen aanbevelingen of actiepunten te formuleren. Immers, hij heeft aan de voorkant van de audit al een referentiemodel op maat gemaakt
Verschillende soorten audits
Otten, Hartog en de Korte beschrijven in hun model ‘Het kruis’ het continuüm van auditopdrachten (Otten, Hartog, & De Korte, 2011). Aan de ene kant van het continuüm bevinden zich opdrachten die uitgevoerd worden ten behoeve van externe stakeholders, zoals de externe accountant en het maatschappelijk verkeer. Dit zijn de zogenoemde mono-aspectmatige audits. De gebruiker wenst de uitkomsten van dit type opdrachten eenduidig te kunnen interpreteren, zodat vergelijking met andere organisaties en in de tijd mogelijk wordt. Om dit te kunnen bewerkstelligen beperkt het onderzoek zich gewoonlijk tot één aspect, waarbij vraagstelling, referentiemodel en wijze van dataverzameling (vrijwel) volledig zijn gestandaardiseerd. Een voorbeeld van dit type auditopdrachten is de jaarrekeningcontrole.
Daartegenover staan de multi-aspectmatige of maatwerkaudits. De opdrachtgever, doorgaans een afdelings- of procesverantwoordelijke, formuleert hierbij vanuit zijn specifieke kennisbehoefte de auditvraag. In de regel belicht dit type opdrachten meer dan één aspect en dient het referentiemodel hierop speciaal te worden ontworpen.
Verschillende vormen van advies
Voorts kunnen we onderscheid maken in de verschillende vormen van advies die de internal auditor kan geven:
- Het jaarplan van de interne auditfunctie (hierna: IAF).
- Advies aan de voorkant van de audit.
- Aanbevelingen of actiepunten.
Ad 1. Het jaarplan van de IAF
Vrijwel iedere zichzelf respecterende IAF stelt minimaal jaarlijks een plan op met daarin uiteengezet de audits die zij in het komende jaar wil uitvoeren. Gewoonlijk ligt aan dit jaarplan een risicoanalyse ten grondslag. Hierbij wordt aan alle mogelijke objecten die voor een audit in aanmerking komen, de zogenoemde audit universe, op basis van vooraf bepaalde risicofactoren, zoals het strategisch belang, de met het object gepaard gaande kosten en de verwachtingen ten aanzien van het effect van de audit, een score toegekend. In de keuzen die in deze werkwijze besloten liggen, schuilt advies van de internal auditor en dit advies is zelfs drieledig: 1) de decompositie van de organisatie in objecten, 2) de selectie van risicofactoren die gebruikt worden om deze objecten te scoren, 3) de scores zelf, per risicofactor en (opgerold) per object. Het is gebruikelijk dat het jaarplan van de IAF wordt vastgesteld door de primaire opdrachtgever van de IAF, vaak de raad van bestuur of de audit committee van de raad van commissarissen, die hiermee feitelijk het jaarplan omarmt.
Indien de organisatie beschikt over een volwassen eerste en tweede lijn, dan doet de IAF er verstandig aan deze lijnen in het proces te betrekken. Zo kan zij bijvoorbeeld de risk officer de risicofactoren laten vaststellen en het management zelf laten scoren. De auditor faciliteert in dit geval het proces dat moet leiden tot de selectie van objecten die voor een audit in aanmerking komen. En ook dit kan worden gezien als een adviestaak van de internal auditor.
Ad 2. Advies aan de voorkant van de audit
De meest eigenlijke plek voor de internal auditor om te adviseren is aan de voorkant van de audit. Hiermee wordt bedoeld dat de auditor, uitgaande van de organisatiebrede beheerskaders en rekening houdend met de verschillende aspecten die voor de opdrachtgever van belang zijn, komt tot een referentiemodel op maat. Dit referentiemodel bevat de beheersmaatregelen die het aannemelijk moeten maken dat doelstellingen worden gerealiseerd.
Hierbij moeten door de auditor soms lastige keuzen worden gemaakt, zeker wanneer de verschillende aspecten elkaar bijten. Schrijven we, ten behoeve van de betrouwbaarheid, een extra controle voor aan het einde van het proces of laten we deze, ten behoeve van de tijdigheid, toch maar weg? Aangezien meerdere wegen naar Rome leiden en lang niet alle beheersmaatregelen rechtstreeks volgen uit wet- en/of regelgeving, is het van groot belang om het referentiemodel met de opdrachtgever af te stemmen en het door hem te laten vaststellen. Hiermee ontstaat namelijk de norm waartegen kan worden getoetst. Tegelijkertijd kan het afstemmen gezien worden als een eerste interventie. Niet zelden geeft de opdrachtgever aan de nog niet ingerichte beheersmaatregelen uit het referentiemodel direct te willen implementeren. En hiermee wordt aldus een gedragsverandering gerealiseerd, nog voordat het veldwerk van de audit is gestart.
Het moge duidelijk zijn dat het advies aan de voorkant van de audit vooral opportuun is bij multi-aspectmatige audits. Immers, bij mono-aspectmatige audits (grotendeels) is het referentiemodel een gegeven. Toch is het niet onverstandig om ook dergelijke referentiemodellen af te stemmen met de opdrachtgever. Al was het maar om duidelijkheid te verschaffen over wat van hem of haar wordt verwacht en tegen welke normen zal worden getoetst.
Enkel het doen van inhoudelijke aanbevelingen kan ertoe leiden dat de internal auditor zijn eigen vlees moet gaan keuren
Ad 3. Aanbevelingen of actiepunten
Veel internal auditors zijn gewend in hun auditrapport aanbevelingen of actiepunten op te nemen. Juist hier ontstaat het collisiegevaar. Vaak lossen auditors dit op door bij het formuleren van de aanbevelingen dicht bij de falende beheersmaatregelen in kwestie te blijven. Dit fenomeen noemen we het herhalen van de norm, door Driessen & Molenkamp ook wel de omgedraaide of Belgische aanbeveling genoemd (Driessen & Molenkamp, 2012).
Een voorbeeld kan dit verduidelijken. Stel dat de norm is dat iedere offerte voor verzending door een tweede medewerker wordt gecontroleerd. Uit de audit blijkt echter dat een aantal offertes voor verzending helemaal niet door een tweede medewerker is gecontroleerd. De auditor geeft vervolgens als aanbeveling dat iedere offerte voor verzending door een tweede medewerker dient te worden gecontroleerd. Een herhaling van de norm.
Het spreekt voor zich dat een dergelijke aanbeveling weinig toevoegt. Ze gaat namelijk volledig voorbij aan de daadwerkelijke oorzaken van de falende beheersmaatregelen. Weten de medewerkers in het voorbeeld wel dat alle offertes voor verzending moeten worden gecontroleerd? En beschikt de afdeling wel – gedurende het hele jaar – over voldoende capaciteit om deze beheersmaatregel adequaat uit te voeren? Daarbij kan een dergelijke aanbeveling behoorlijk denigrerend overkomen; iets wat een opdrachtgever over het algemeen niet motiveert en aanzet tot actie.
Overigens is er nog een tweede, minder evidente, reden dat auditors kiezen voor het formuleren van de aanbeveling als herhaling van de norm. Sommige auditmanagementsystemen dwingen het opvoeren van actiepunten namelijk af. Deze actiepunten, en niet de bevindingen zelf, vormen in deze systemen het uitgangspunt voor een zogenoemde follow-up audit. En dit is op zichzelf vreemd, daar de mate waarin een bevinding door het management is opgelost – en niet de mate waarin een actiepunt door het management is opgevolgd – centraal zou moeten staan bij een dergelijke audit.
Hoe kan het dan beter? De internal auditor kan allereerst overwegen helemaal geen aanbevelingen of actiepunten te formuleren. Immers, hij heeft aan de voorkant van de audit al een referentiemodel op maat gemaakt (of in ieder geval duidelijkheid verschaft over de normen waartegen zal worden getoetst), heeft vervolgens op een deugdelijke manier de werkelijke beheerssituatie in kaart gebracht en de verschillen, de bevindingen, met het management afgestemd. Je kunt je afvragen of het dan nog echt nodig is om het management met actiepunten ‘een duw in de goede richting’ te geven.
Daarnaast is het nog maar de vraag of de auditor überhaupt wel bekend is met de oorzaken van de falende beheersmaatregelen. Indien de audit probleemsignalerend van aard is geweest – en dat zijn verreweg de meeste internal audits – dan ligt dat niet erg voor de hand. Een dergelijke audit brengt weliswaar problemen in de beheersing aan het licht, maar verklaart lang niet altijd waar deze problemen vandaan komen.
Hiervoor is meestal een andersoortig onderzoek nodig, de diagnostische audit. De auditor brengt hierbij kortgezegd samen met het management de mogelijke oorzaken voor de geconstateerde problemen in kaart en onderzoekt vervolgens in hoeverre iedere mogelijke oorzaak daadwerkelijk debet is aan de problemen in de beheersing. Indien de auditor hieraan voorbijgaat, dan is het goed mogelijk dat diens aanbeveling op z’n best gaat leiden tot symptoombestrijding.
Indien de internal auditor er toch voor kiest aanbevelingen in het auditrapport op te nemen, dan luidt het stringente advies om deze vooral procedureel en niet inhoudelijk van aard te laten zijn. Hiermee wordt bedoeld dat het beter is een routekaart te presenteren die de opdrachtgever kan volgen om te komen tot een oplossing van de geconstateerde problemen, dan om met de oplossing zelf te komen. Immers, we hebben gezien dat dit laatste symptoombestrijding, en daarmee het collisiegevaar in de hand werkt.
Adviseer de opdrachtgever niet de communicatie of zelfs de cultuur op de afdeling te verbeteren, indien niet onomstotelijk vaststaat dat dit de geconstateerde problemen veroorzaakt. Beter is het dan om te adviseren een workshop te organiseren, waarin de medewerkers gezamenlijk op zoek gaan naar de werkelijke oorzaken van de falende beheersmaatregelen. Veel vaker zouden we daarnaast een nader (diagnostisch) onderzoek moeten voorschrijven naar deze oorzaken.
Het collisiegevaar nader beschouwd
Wanneer we de hiervoor geschetste verschillende soorten audits en vormen van advies in verband brengen met het collisiegevaar, dan blijkt dat dit gevaar zich niet in alle gevallen met evenveel overtuigingskracht openbaart. Sterker nog, enkel het doen van inhoudelijke aanbevelingen kan ertoe leiden dat de internal auditor zijn eigen vlees moet gaan keuren, met de hiervoor geschetste risico’s. Zie tabel 1 voor het volledige overzicht.
Tabel 1. Het collisiegevaar per soort audit en vorm van advies
Kortom, het valt allemaal wel mee met dat collisiegevaar. Zolang we onze adviezen maar in de juiste vorm en op het juiste moment ter tafel brengen. Veel vaker dan niet zal ons advies dan kunnen rekenen op de waardering van de opdrachtgever en leiden tot daadwerkelijke gedragsveranderingen. En is dat nu niet juist het doel van de adviserende internal auditor?
Dit artikel is eerder als bijdrage opgenomen in de bundel Auditors adviseren: Advies door en voor auditors. Deze bundel is kosteloos aan te vragen op de website van de Erasmus School of Accounting & Assurance.
Björn Walrave is partner bij Ferocia en hoofdredacteur van Audit Magazine. Hij doceert over het vakgebied internal auditing aan verschillende universiteiten en hogescholen.
Reacties (1)
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.
Lees meer over dit onderwerp:
Een audit naar de lobby van een gemeente
Externe afhankelijkheden zijn vaak een risico voor het behalen van de doelen van een gemeente. Deze risico’s worden gemitigeerd door het inzetten van een lobbyproces. Om dit proces te auditen is echter een normenkader nodig. Een dergelijk normenkader wordt in dit artikel gepresenteerd.
Lees meerHandvatten voor en ervaringen met root cause analyses
Voor een internal auditfunctie (IAF) is het een uitdaging om met aanbevelingen te komen die de kernoorzaken van een tekortkoming wegnemen. Een goede oorzaakanalyse vereist kennis van analysemethoden en voldoende vaardigheden om deze toe te passen. In het IIA-artikel ‘Oorzaakanalyses in het kader van audits’, december 2014, is aandacht besteed aan een aantal methoden/technieken die […]
Lees meer
Je kan je ook afvragen in hoeverre de internal auditor bij een adviesrol naar een 2e lijn schuift.