Doorstoten naar de top: internal audit Down Under

Tegenwoordig moet een organisatie haar toegevoegde waarde voortdurend duidelijk maken aan klanten en overige stakeholders. Dit geldt ook voor Internal Audit. Aan de andere kant van de wereld, in Australië, hecht Commonwealth Bank grote waarde aan de inzichten die Internal Audit creëert voor de rest van de organisatie.

Commonwealth Bank is een Australische internationale financiële instelling die in 1911 door de Australische regering is opgericht om agrarische activiteiten en de creatie van nederzettingen te stimuleren. De bank bedient zowel de particuliere als de zakelijke markt. De bank heeft een notering op de Australische beurs en is de grootste bank op het zuidelijke continent.

Het expliciet maken van de interne en externe stakeholders is uitdagend en complex tegelijkertijd. Wiens belangen staan voorop?

Bij Group Audit & Assurance (internal audit) werken tweehonderd mensen. De afdeling wordt goed gewaardeerd en een externe quality assessment review riep de afdeling in 2016 uit tot de nummer 1 internal auditafdeling van Australië.¹ De vraag rijst in welke aspecten het onderscheidende vermogen zit, waardoor deze afdeling zo succesvol kan opereren en toegevoegde waarde aan de rest van de organisatie biedt. Dit betreft de volgende aspecten:

• visie & focus;
• strategie & organisatie;
• risicocultuur;
• innovatie.

Visie & focus
Bij zowel de chief audit executive als het MT van internal audit staat het leveren van toegevoegde waarde voor alle stakeholders, zowel intern als extern, voorop. Hiertoe zijn zij continu op zoek naar manieren om zichzelf, het team, de afdeling en de organisatie verder te verbeteren. Internal audit gebruikt hiervoor het Business Model Canvas, dat begint met een stakeholderanalyse (zie figuur 1).

Het expliciet maken van de interne en externe stakeholders is uitdagend en complex tegelijkertijd. Wiens belangen staan voorop? Die van de aandeelhouders, de board, de afdelingshoofden of de klanten van de organisatie? Of zijn ze allemaal even belangrijk? Het concretiseren van de relevante stakeholders en hun verwachtingen helpt in het definiëren van de waarde die Internal Audit kan toevoegen.

Internal audit heeft zich onder andere tot doel gesteld de afdelingshoofden proactief te voorzien van inzichten die voortvloeien uit de werkzaamheden die zij groepsbreed uitvoert. Hiertoe is een tweewekelijks overleg tussen de verschillende subafdelingen van internal audit in het leven geroepen met als doel uitwisseling van lessons learned en identificatie van trends en afdelingsoverstijgende issues. Zo krijgen de afdelingshoofden latente risico’s en mogelijkheden voor efficiency- en effectiviteitsverbeteringen aangereikt, die zij kunnen gebruiken voor het beter beheersen en verbeteren van de eigen processen.

Met de uitkomsten van de Business Model Canvas-sessies stelt internal audit een driejarenplan op, gericht op kwaliteitsverbetering en innovatie. Dit plan wordt jaarlijks herijkt en vertaald naar een jaarplan met specifieke acties om het businessplan van de afdeling te realiseren.

Kwaliteitsbewaking en de implementatie van alle initiatieven ter vergroting van de toegevoegde waarde naast het ‘gewone’ auditwerk, kost tijd

Strategie & operatie
Kwaliteitsbewaking en de implementatie van alle initiatieven ter vergroting van de toegevoegde waarde, naast het ‘gewone’ auditwerk, kost tijd. Binnen internal audit is een apart strategy & operations team gecreëerd. Het team zorgt voor de methodologie, processen en systemen van internal audit, faciliteert het jaarlijkse audit planningsproces & de budgettering en stelt de afdelingsoverstijgende rapportages op voor de senior stakeholders. Daarnaast heeft zij de penvoering over het businessplan van de afdeling en faciliteert zij de uitwerking van de strategische initiatieven. Hierdoor worden de plannen daadwerkelijk geoperationaliseerd en geïmplementeerd.

Strategy & operations gebruikt een capacity development plan om op de langere termijn ervoor te zorgen dat mensen met de juiste achtergrond bij internal audit werken. Dit zijn niet alleen auditors, maar ook mensen met een zeer omvangrijke treasury- of kredietervaring, data-analisten en psychologen.

Het team zorgt ervoor dat de medewerkers en de afdeling als geheel zich blijven ontwikkelen. Hiertoe organiseert zij de benodigde trainingen en uitwisselingen. Dit laatste betreft niet alleen uitwisselingen tussen de auditteams, maar ook uitwisselingen met de business en de tweede lijn. Jaarlijks worden internal auditafdelingen bezocht van buitenlandse instellingen om ideeën op te doen over hoe internal audit verder kan worden verbeterd.

Risicocultuur
De wijze waarop gestalte is gegeven aan ‘risk culture’ auditwerkzaamheden is een voorbeeld van een actie voortvloeiend uit een Business Model Canvas-sessie. Inzicht in de risicocultuur is door internal audit jaren geleden geïdentificeerd als een belangrijke aanvulling op het meer traditionele auditwerk. Niet alleen een verhoogde aandacht van toezichthouders voor risicocultuur, maar ook het besef dat cultuur vaak aan de basis van auditbevindingen ligt, heeft geleid tot de ontwikkeling van een specifieke risicocultuur auditmethode.

Voor een juiste aanpak, uitvoering en diepgang van risicocultuur audits, zijn psychologen in dienst van internal audit. Deze helpen met het zichtbaar en meetbaar maken van dit onderwerp. Het is een standaard onderdeel van elke audit. Als gevolg hiervan zijn cultuur en knelpunten hierin meer geobjectiveerd en een bespreekbaar thema. Ook wordt gebenchmarkt tussen afdelingen.

Innovatie
Een duidelijk besef is aanwezig dat het implementeren van innovatieve concepten alleen zin heeft wanneer een kwalitatief goede vaktechnische basis staat. De kwaliteit van deze basis krijgt daarom continu aandacht. Dit gebeurt zowel binnen het auditproces zelf alsook op de resultaten van het auditproces. Op periodieke basis worden bijvoorbeeld onderlinge quality assurance reviews van dossiers uitgevoerd en is er een verplichte kwaliteitscontrole van de laatste conceptrapporten door een van de andere MT-leden.

Een van de manieren waarop de kwaliteit van de audits is verhoogd, is het vergaande gebruik van data-analyse. Zo is door de afdeling een dashboard ontwikkeld met meer dan honderd risico-indicatoren, specifiek voor branch audits.² Afhankelijk van het type audit kunnen de relevante indicatoren worden geselecteerd en wordt het veldwerk integraal en toch op efficiëntere uitgevoerd. De planfase van de branch audits is verkort van vele weken naar twee dagen. Dit wordt als positief ervaren door de auditors. Ook de medewerkers en het management van de branches zijn hier over te spreken, omdat zij minder tijd kwijt zijn aan het verzamelen en verstrekken van informatie aan internal audit en zij gedetailleerd inzicht in binnen de branch bestaande risico’s krijgen.

Het succes van internal audit begint met de visie en overtuiging dat internal audit van grote toegevoegde waarde kan zijn, bovenop de meer ‘klassieke’ auditbevindingen uit de individuele rapportages

Het traditionele auditproces zelf gaat op een agilewijze en is daarom omgedoopt tot ‘agile auditing’. Het doel van agile auditing is het verbeteren van het auditproces voor de auditee en de auditors en het verhogen van de kwaliteit van de auditbevindingen. Agile auditing komt neer op Afstemmen (met de hoofdletter A). Afstemmen met de auditee, maar ook intern afstemmen binnen de afdeling. Deze interne afstemming betreft dagelijkse zogenaamde ‘15 minuten huddles’, een staande afstemming tussen de leden van het auditteam zodat issues zo snel mogelijk kunnen worden besproken en opgelost. Het betreft ook afstemming met experts en collega’s die niet betrokken zijn bij de audit, maar aanpalend werk hebben verricht. Bijvoorbeeld via de verplichte ‘mid point review’, waarbij een senior auditor die niet bij de audit betrokken is, wordt gevraagd om met een onbevangen en frisse blik naar de aanpak van audit te kijken.

Conclusie

De ervaring bij Commonwealth Bank leert dat het succes van internal audit begint met visie en de overtuiging dat internal audit van grote toegevoegde waarde kan zijn voor een organisatie bovenop de meer ‘klassieke’ auditbevindingen uit de individuele rapportages. Vanuit de ambitie om meer te zijn dan controlerende auditors is een pragmatische aanpak nodig om dit te realiseren. Pragmatisch vanuit het oogpunt van de huidige invulling van de taak van internal audit en gebaseerd op een helder inzicht in de activiteiten die nodig zijn om hierin veranderingen aan te brengen. Pragmatisch ook vanuit de behoefte van de organisatie: bespreek met de stakeholders deze ambitie en hoe deze kan worden waargemaakt.

De ‘heilige huisjes’ van internal audit worden regelmatig tegen het licht gehouden. Dit heeft tot kleine en grote verbeteringen geleid. Schuw daarom niet om bestaande structuren te wijzigen, zoals de benodigde competenties bij Internal Audit, maar ook de wijze waarop en de frequentie waarmee met de business wordt gecommuniceerd. En zorg voor een organisatie die de mogelijkheid heeft om te innoveren.

Wij begrijpen dat niet alle organisaties een dergelijke, toch wel omvangrijke, afdeling internal audit kunnen optuigen als Commonwealth Bank. Toch hopen wij dat wij met het beschrijven van de vier aspecten visie & focus, strategie & organisatie, risicocultuur, innovatie, u hebben kunnen inspireren. Op basis van de beschreven voorbeelden, kan elke internal auditafdeling met kleine interne verbeteringen en grotere auditinnovaties haar toegevoegde waarde voor haar stakeholders verder vergroten. En daarmee doorstoten naar de top!

Noten

1. Externe review van de kwaliteit van organisatie, processen en audittechnieken van internal audit, conform de kwaliteitsstandaarden van het Chartered Institute of Internal Auditors.
2. In 2016 had Commonwealth Bank 1000 branches verspreid over heel Australië.