FI: een visie op auditing vanuit waardecreatie

Auditing gaat over het geven van additionele zekerheid en advies, gericht op het realiseren van de strategie en de doelstellingen van de organisatie. De beroepsgroep ontwikkelt zich steeds verder in effectiviteit. In dit artikel presenteren wij FIT; een nieuwe visie op het creëren van waarde voor de auditor.¹

Organisaties bestaan omdat ze een behoefte invullen van een bepaalde klant, die minimaal kostendekkend moet worden georganiseerd. Als auditor leggen we in de scope van onze werkzaamheden de nadruk op de risico’s die de organisatie kan verhinderen om de strategie en bijbehorende doelstellingen te realiseren, ofwel, waardebescherming. In dit artikel nemen wij u mee in de volgende ontwikkelfase van de auditfunctie, van waardebescherming naar waardecreatie!

Waardecreatie vindt plaats door de organisatie te adviseren in het maken van eenduidige en evenwichtige waardenkeuzen (Focus), door invulling te geven aan vier verschillende, maar complementaire rollen van de auditfunctie (Inrichting) en door aandacht voor persoonlijkheidsstijl en de inbedding van Lean-principes in de audituitvoering (Transitie), ofwel, FIT.

Focus FIT in auditing

Het creëren van waarde begint bij het in beeld hebben van alle relevante stakeholders en diens belangen. Maar welke stakeholders zijn echt relevant en welke belangen moeten worden gediend? Organisaties maken keuzen in welke waarde ze voor welke belanghebbenden willen creëren. Dit gebeurt nog vaak impliciet en veelal iteratief. Naarmate besluitvorming meer ad hoc genomen wordt, wordt het integrale karakter van belangenbehartiging in de waan van de dag uit het oog verloren. Het gaat naast financiële waarde en waarde voor de klant om waarde voor medewerkers, maatschappelijke waarde en de benodigde organisatiewaarde (lees: organisatiekwaliteit) om al deze waarden te realiseren.

De integrale belangenafweging en daarvan afgeleid de waarde-doelstellingen worden door de eigenaren, directie en toezichthoudende organen gezamenlijk gemaakt. Het waarmaken van de gekozen waardedoelstellingen volgt in het management controlsysteem, waarbij de verantwoordelijkheid voor een adequate opzet en werking bij het management ligt. De auditor toetst de effectiviteit van het managementcontrolsysteem en wellicht de totstandkoming van de belangenafweging die de besluitvormer maakt.

De auditor kan interveniëren wanneer de balans in de keuzen ten aanzien van waardecreatie dreigt door te slaan

Maar er is meer. De auditor heeft ook een adviserende rol en kan van daaruit ondersteunen in de kwaliteit van het maken van de juiste keuzen in de waardecreatie en het consequent doorvertalen ervan. Dat wil zeggen, toetsen op consistentie in de waardeketen en de juiste vertaling op de verschillende strategische, tactische en operationele niveaus. Daarnaast kan de auditor interveniëren wanneer de balans in de keuzen ten aanzien van waardecreatie dreigt door te slaan. Voorbeelden hiervan zijn een eenzijdige focus op wet- en regelgeving, shareholdersvalue, risicobeheersing of juist onvoldoende oog voor de lange termijn (managementmyopia).² De risicoanalyse is cruciaal om de brug te slaan tussen prestatiesturing op de gemaakte keuzen in de waardedoelstellingen en beheersing van de risico’s op het niet realiseren ervan. De risicoanalyse is het gemeenschappelijk vertrekpunt voor de organisatie en de auditplanning op alle niveaus in de organisatie (strategisch, tactisch en operationeel). Op deze manier wordt een directe koppeling gemaakt met de waardecreatie die audit levert.

Wanneer de auditor nog zijn eigen risicoanalyse moet maken voor de auditplanning is er in het voortraject wat misgegaan. Want dan zeggen we impliciet dat de risicoanalyse van de organisatie van onvoldoende kwaliteit is en heb je de eerste auditbevinding te pakken. Kortom, de centrale boodschap in de Focus is ondersteuning bieden in het maken van keuzen en de doorvertaling hiervan, zodat de organisatie, inclusief audit, maximaal en integraal gericht is op dezelfde waardecreatie.

Inrichting FIT in auditing

Een goede organisatie-inrichting stelt ons in staat om in de transitie het waardepotentieel vanuit de Focus-fase te verzilveren. Structuur binnen de organisatie en ondersteunende auditmiddelen zijn slechts hygiënefactoren. Het verschil wordt gemaakt door de meer ‘zachtere’ bouwstenen, te weten cultuur en mensen. Voorbeelden hiervan zijn de cultuurdynamische en sociaalpsychologische processen zoals gedefinieerd door Otten/Van der Meulen. Om daadwerkelijk impact te hebben op het managementcontrolsysteem is het essentieel dat de auditfunctie vier rollen vervult (zie figuur 1).

Afhankelijk van de fase van de organisatie, de volwassenheid van het management en de specifieke situatie kunnen deze rollen in meer of mindere mate worden ingezet. De kwadranten ontstaan door de controlerende en adviserende rol van de auditor enerzijds en terugkijken versus richten op de toekomst anderzijds. Het kwadrant linksboven is de reguliere (operational) audit. Als metafoor hebben we gekozen voor de ‘brandweerman’. Als vanuit de eerste of tweede lijn onvoldoende risico’s zijn gesignaleerd, wordt dit geblust door de auditfunctie. In de praktijk zien wij vaak dat deze rol de meeste tijd en aandacht krijgt.

Links onder is de rol van ‘aannemer’, het meedenken met de organisatie over het verbeteren van het management controlsysteem. Rechtsboven is de rol van ‘architect’, die al bij de beginfase van het op verandering gerichte project, controles uitvoert op zowel de organisatorische maatregelen als de inhoudelijke richting van de verandering. Dit voorkomt dat achteraf vanuit de brandweerrol (linksboven) geconstateerd moet worden dat er gaten zitten in de nieuwe werkwijze en die dan vaak een stuk lastiger en kostbaarder zijn om te herstellen. Rechtsonder in de rol van ‘co-ondernemer’ spart audit over de veranderingen met directie en management.

Naast het onderkennen van deze vier rollen, gaat het om het effectief inzetten van deze rollen in de juiste verhouding. Deze inzet van rollen wordt bepaald door de keuzen gemaakt in de focusfase enerzijds en het huidige beheersingsniveau van organisatie(onderdelen) anderzijds. Dat betekent in de praktijk dat bij de strategische planning audit eerst vanuit de rol van ‘co-ondernemer’ meekijkt, vervolgens bij de belangrijkste programma’s en projecten als ‘architect’ projectcontroles uitvoert, het management adviseert over de inrichting van eerstelijnssturing en vervolgens de werking hiervan toetst.

Een ander voorbeeld is een proces waarin structureel wordt geconstateerd dat belangrijke beheersmaatregelen niet functioneren en doelstellingen niet worden gehaald. Het steeds weer rapporteren van dezelfde bevinding (‘repeated audit finding’) draagt dan niet bij aan herstel. Het meedenken over werkelijke oorzaken en bijpassende interventies wel. Dit betekent dat we in gesprek met de organisatie gericht tijd besteden aan de vier rollen, en dus niet alleen als ‘brandweer’ alle mogelijke belendende percelen nat houden.

Vertrouwen is misschien wel het belangrijkste menselijk kapitaal dat een organisatie heeft. Zonder vertrouwen is er geen waardecreatie

De mate van vertrouwen in de organisatie speelt een essentiële rol in de keuzen van de interventie. Vertrouwen is misschien wel het belangrijkste menselijk kapitaal dat een organisatie heeft.³ Zonder vertrouwen is er geen waardecreatie. Als gevolg van de tendens van ‘principle’ richting ‘rulebased’ toezicht binnen diverse sectoren, komen er steeds meer regels en procedures bij. Dit werkt wantrouwen in plaats van vertrouwen in de hand. Het is dan verleidelijk om als audit hierin mee te gaan en meer controles uit te voeren op de naleving van de regels waardoor dit effect wordt versterkt. Dit kan zelfs zo ver gaan dat medewerkers bijvoorbeeld geen nieuwe klanten meer durven aan te nemen, bang om de procedures niet goed te volgen en een derde rode vlakje te scoren met als gevolg disciplinaire maatregelen. Dit moet duidelijk anders. Bijvoorbeeld de vertrouwenscan die is ontwikkeld binnen het ministerie van Financiën en onder andere in het septembernummer van 2011 van Audit Magazine is gepubliceerd.⁴ Deze scan meet het vertrouwensniveau op basis waarvan gericht kan worden bijgestuurd in plaats van de organisatie te verstikken met nieuwe regels en procedures gemaakt voor de auditor.

Een ander goed voorbeeld is Appreciative Auditing gebaseerd op Appreciative Inquiry. Niet op zoek gaan naar wat niet werkt maar naar een veranderaanpak gebaseerd op wat er goed gaat en daarmee het vertrouwen stimuleert. Kortom audit als driver van vertrouwen en als herbevestiging van het aanwezige vertrouwen.

Transitie FIT in auditing

In de transitie wordt het waardepotentieel verzilverd. De aandachtsgebieden in de auditplanning zijn aligned met de keuzen van de organisatie in de focusfase. De interventies vanuit de vier rollen zorgen voor balans en vertrouwen als basis voor beheersing.

De juiste rol ingevuld door de juiste man/vrouw
Allereerst is het belangrijk om auditors effectief te matchen met de vier rollen, wat vraagt om het selectief inzetten en ontwikkelen van auditors. Co-ondernemerschap vraagt andere kennis en vaardigheden dan die van de brandweerman. Het uitgangspunt hierbij is de zogenaamde ‘sweetspot’, het overlappende gebied van de drie cirkels:⁵

1. kennis en vaardigheden – wat je meeneemt;
2. persoonlijkheid – wie je bent;
3. Interesses – wat je drijft.

Niet iedere auditor is in de verschillende rollen even goed op zijn plek. Het belangrijkste is een mix aan auditors die aansluit op de organisatiebehoefte. Daarnaast is een positief mensbeeld belangrijk. Vanuit je rol word je soms gevraagd om te bedenken wat er fout kan gaan, maar de basishouding moet zijn dat het glas halfvol is. En wat dus zeker niet gewenst is, is het schrijven van extra bevindingen als wisselgeld in de bespreking.

De juiste dingen doen
Naast een gebalanceerde mix van de verschillende rollen zijn de keuzen binnen de rol van belang. Welke audits worden met welke scope uitgevoerd en welk type onderzoek is gevraagd? Dus de mix tussen de hard en soft controls en aandacht voor vertrouwen. Daarnaast valt er vaak nog veel te winnen in de afstemming met de eerste of tweedelijnsplanning van controles. Het hierop aansluiten en voorkomen van niet-functionele doublures is gewenst. Hierin dient de organisatiebrede risicoanalyse als gemeenschappelijk vertrekpunt en kader voor afstemming tussen eerste en tweedelijnscontroles.

De dingen juist doen
Ten slotte valt in de transitie winst te behalen in de manier waarop de werkzaamheden worden uitgevoerd. Als we hier met een Lean-bril naar kijken dan valt er gelukkig nog genoeg te verbeteren. De richtinggevende vraag hierin is: voor welke activiteiten is de (interne)klant bereid te betalen? Dit betekent met deze bril op onze eigen processen bekijken, ofwel, de werkvloer op. ‘Go Gemba’ in het Japans. Enkele veelvoorkomende observaties waarvoor je echt geen Lean Black Belt hoeft te zijn om deze te zien, zijn de volgende.⁶

Bij probleemsignalerend onderzoek wordt weinig aandacht besteed aan de oorzaakanalyse en verbeteracties (de O en de A uit de SPROA⁷). Door gebruik te maken van oorzaak-analysemethoden en technieken uit de Lean-toolbox vergroten we de kans om de juiste oorza(a)k(en) te achterhalen aanzienlijk. Je hoeft hiervoor vaak niet eens complexe technieken in te zetten. Met een simpele maar doeltreffende Ishikawa (visgraatdiagram) aangevuld met wat metingen kom je al een heel eind.

Een tweede voorbeeld is de scope van de onderzoeken, deze is vaak zo breed dat het enkele weken duurt voordat de eerste beelden terugkomen. Er wordt in Lean-termen dan in ‘batch’ gecontroleerd in plaats van ‘one-piece-flow’. Dit kan opgelost worden door de hoeveelheid controlewerkzaamheden op te delen en in verhouding te brengen met de beschikbare auditcapaciteit en verandervermogen in de organisatie. Rapporteren op risiconiveau en niet wachten totdat een heel aandachtsgebied is afgewerkt en op die manier een batch met verbeterpotentieel in de organisatie brengen.

Kortom, een auditfunctie die prominent aanwezig is en als partner in business en partner in change FIT een aantoonbare bijdrage levert in de realisatie van de waardedoelstellingen van de organisatie, vol vertrouwen en met een positieve blik.

Noten

1. FIT staat voor Focus, Inrichting en Transitie en is een onderscheidende visie en methodische aanpak gericht op waardecreatie, ontwikkeld door de auteurs.
2. ‘Een visie op compliance vanuit waardecreatie’, Tijdschrift voor Compliance, oktober 2013.
3. Blommaert, T., Broek, S. van den en M. de Pooter, ‘Vertrouwen als bron voor prestaties’, MCA, oktober 2013, nummer 5.
4. Vertrouwenscan, R. Vos en R. Witte, Directie Begrotingzaken, ‘Vertrouwen geven en in control zijn; Hoe doe je dat?’ Handleiding voor de vertrouwensscan & Verslag van de expertmeeting Rijksacademie voor Financiën en Economie, ministerie van Financiën.
5. Business Model You, Tim Clark, Alexander Osterwalder, Yves Pigneur, 2012, pag. 114.
6. Lean werkt met verschillende kleuren banden om het behaalde kennisniveau aan te geven, white, yellow, green en black belt.
7. Systematiek van rapporteren: Situatie – Probleem – Risico – Oorzaak – Aanbeveling.

Dit artikel is geschreven op persoonlijke titel.