Ketenaudits – hoe doe je dat?

Organisaties worden steeds meer gezien als ketens of als een verzameling van ketens. Ketenaudits zijn een logisch antwoord. Maar wat is een goede aanpak voor een succesvolle audit op de beheersing van (waarde)ketens?

Vanuit verschillende invalshoeken wordt steeds meer naar de werking van het risicomanagementmodel gekeken dat in een keten wordt gebruikt. Over ketens kan spraakverwarring ontstaan. want wat is nu precies een keten, of beter, een waardeketen? Als het model van Porter (1985) wordt gevolgd bestaat een keten uit primaire en secundaire activiteiten die er gezamenlijk voor zorgen dat waarde wordt gecreëerd voor een onderneming.¹ Een optimaal werkende keten is dus van levensbelang voor een organisatie. In ketens is samenwerking tussen de verschillende activiteiten van groot belang voor een deugdelijke risicobeheersing.

Als we hier een standaard auditaanpak overheen leggen dan moeten we constateren dat dit een keten niet altijd afdekt. De standaard auditaanpak is vaak gebaseerd op individuele entiteiten in de organisatiestructuur. Deze vormen dan samen veelal een keten, maar er wordt in de risicobeoordeling en de daaruit volgende auditplanning weinig rekening gehouden met de onderlinge samenhang.

Voor complexere ketens is het van belang dat meerdere uit te voeren audits in samenhang bekeken worden om daarmee een oordeel over de totale keten te kunnen geven

Wil de auditafdeling meer toegevoegde waarde leveren dan helpt het om een ketenauditaanpak te introduceren. Dit kan op verschillende niveaus. In het geval van een eenvoudige keten kan worden gekozen voor het uitvoeren van één omvattende audit waarbij in een keer de hele keten wordt bekeken. In het geval van een complexere keten is het uitvoeren van één allesomvattende audit niet haalbaar. En zeker niet om een uitspraak te doen over de beheersing van de keten in zijn geheel. Voor complexere ketens is het dus van belang dat meerdere uit te voeren audits in samenhang bekeken worden om daarmee een oordeel over de totale keten te kunnen geven. Zie ook tabel 1 voor de verschillen tussen de traditionele aanpak en een ketenaanpak.

Voldoende afgedekt?

De vraag is of er in het planningsproces voldoende wordt gekeken naar de samenhang en afhankelijkheid tussen de verschillende individuele audits. Als je alle audits over elkaar heen legt wordt de keten dan voldoende afgedekt? Is de onderlinge samenhang voldoende in beeld gebracht om als basis te dienen om een uitspraak te doen over de mate van beheersing van een keten?

In dit artikel willen we een antwoord geven op de vraag wat nodig is om succesvol te zijn met een ketenauditaanpak. Meer specifiek, waar moet je rekening mee houden, welke randvoorwaarden zijn er, wanneer is een ketenaudit een succes?

Randvoorwaarden bij een ketenaanpak

Zoals aangegeven is een auditplan vaak vanuit de organisatiestructuur ingestoken. Om een draai te maken naar ketengericht auditen zijn er drie randvoorwaarden.

1 – Het verkrijgen en behouden van inzicht in de keten
Succesvolle organisaties zijn continu in beweging en daarmee ook hun ketens. Het is daarom niet verwonderlijk dat inzicht in de keten een relatief begrip is. Auditors dienen proactief te zijn in het actueel houden van dit inzicht. Een goede klant-relatie en periodieke gesprekken met ketenstakeholders zijn hierbij van belang. Aangezien organisaties zich steeds meer structuren naar ketens, kan de auditafdeling niet blijven vasthouden aan de ‘traditionele’ auditaanpak waarbij afdelingen of entiteiten afzonderlijk (en niet in samenhang) worden beoordeeld. Ketens (en daarmee de organisatie) veranderen op basis van interne en externe ontwikkelingen. Er moet daarom continu worden gekeken naar de te beoordelen ketenonderdelen om zo tijdig in te spelen op risico’s en mogelijkheden te signaleren om waarde toe te voegen.

2 – Een auditorganisatie met ketenverantwoordelijkheid
Een auditafdeling dient qua inrichting en werkwijze aan te sluiten bij de strategische doelstellingen van de organisatie.² Het doel is immers om een redelijke mate van zekerheid te geven over de mate van beheersing in relatie tot het behalen van de strategische doelstellingen. Er is een duidelijke trend waarneembaar dat organisaties steeds meer afscheid nemen van de traditionele, overwegend langs functionele en sterk hiërarchische georganiseerde structuren.

Steeds meer organisaties kiezen ervoor om hun structuur te beschouwen als een verzameling van waardeketens. De doelstelling is om leaner en meaner te worden zodat er sneller ingespeeld kan worden op veranderingen. Multidisciplinaire teams worden gecreëerd met als doel silodenken te vermijden en een snellere time-to-market te realiseren. De auditafdeling kan niet achterblijven en dient zich zo in te richten dat het hieraan een bijdrage levert. Het is echter niet gemakkelijk om een dergelijke wijziging door te voeren aangezien auditafdelingen veelal gebaseerd zijn op de gekozen organisatiestructuur en een traditionele auditaanpak volgen. De auditafdeling heeft dan ook meestal een achterstand op ontwikkelingen in de organisatie. Naast structuur en aanpak betreft dit ook een verandering in mindset, vaardigheden en deskundigheid. Idealiter wordt er binnen de auditfunctie gekozen voor een ketengerichte aansturing.

3 – Ketenaanpak vraagt om geïntegreerd denken
Afhankelijk van de complexiteit van de keten dient bij het opstellen van het auditjaarplan specifiek vastgesteld te worden welke audits vanuit een ketenperspectief uitgevoerd kunnen worden. Ketens omvatten veel processtappen die door verschillende afdelingen (IT, productie, administratie) uitgevoerd worden. De auditafdeling moet hier rekening mee houden door geïntegreerd te denken. Hierbij wordt multidisciplinair en over de organisatie heen gekeken naar de samenhang van processen, systemen en afdelingen. Dit leidt uiteindelijk tot een geïntegreerde planning. Uit te voeren audits worden in samenhang bekeken om vast te stellen of er op ketenniveau een afgewogen oordeel afgegeven kan worden. Ook de auditafdeling zal steeds meer moeten gaan werken in multidisciplinaire teams om aansluiting te houden bij de keten. Geïntegreerd denken is een belangrijke stap richting het daadwerkelijk uitvoeren van geïntegreerde audits.

Praktijkvoorbeeld hypotheken

Bij een meer traditionele auditaanpak voor een hypothekenproces wordt er gekeken naar individuele entiteiten, zoals een bankkantoor, een intermediair, een incassodochter, een financiële afdeling. Er kan ook gekeken worden naar specifieke aspecten zoals zorgplicht, achterstanden of zekerheden. Er is niet één auditplan hypotheken waarin alle audits die betrekking hebben op het hypothekenproces bij elkaar worden gebracht. Wel een audit per onderdeel of onderwerp, maar niet naar de hypotheekketen in al haar facetten.

Bij een ketenaanpak wordt op basis van de kennis van de hele hypotheekketen – zowel de primaire processen als acceptatie, beheer en bijzonder beheer als ook de secundaire processen zoals risk management en finance – een geïntegreerde auditplanning opgesteld als onderdeel van het auditjaarplan. Door holistisch naar de hypotheekketen te kijken kan een oordeel worden gevormd over de mate van beheersing van de hypotheekketen als geheel.

Praktische handvatten voor uitvoeren ketenaudits

De randvoorwaarden voor het succesvol uitvoeren van ketenaudits zijn nu duidelijk. In aanvulling hierop nog een aantal handvatten die kunnen helpen.

1 – Auditplan op basis van ketens
Zoals aangegeven vergt een ketenauditaanpak een andere manier van werken. Een auditorganisatie die predikt de ketenaanpak toe te passen maar haar organisatie niet inricht op een manier die de uitvoering hiervan ondersteunt – denk aan organisatiestructuur, taken en verantwoordelijkheden, auditplan – kan niet succesvol zijn. Uit de waardenhiërarchie van een auditafdeling blijkt waar prioriteit aan wordt gegeven. Zolang een auditplan gebaseerd is op een functionele en hiërarchische organisatie-inrichting is het vrijwel onmogelijk om dit te combineren met een ketengerichte aanpak. Je moet dan (stukjes van) audits aan elkaar plakken om er een keten uit te distilleren. Indien intrinsiek gekozen wordt voor een ketenauditaanpak dan blijkt dit uit de wijze van aansturing. Audits die bijdragen aan de audit coverage over een keten krijgen dan de voorkeur boven een audit die slechts een enkele functie beoordeelt.

2 – Ketendeskundigheid
Zonder kennis van de keten blijft het gissen welke deskundigheid van belang is om een oordeel te kunnen geven over de beheersing van de keten.³ Een andere inrichting van de auditafdeling, bijvoorbeeld het werken met multidisciplinaire teams gefocust op een keten, helpt om deze kennis of dit inzicht te krijgen. Daarnaast is het natuurlijk van belang om bij de auditteamsamenstelling nadrukkelijk stil te staan bij de vraag welke auditors er over de gevraagde kennis en kunde beschikken en of er eventueel expertise van buiten moet worden aangetrokken? Ook hier is weer een passende structuur, aansturing en waardenhiërarchie van groot belang voor succes.

3 – Cultuur en commitment
Een belangrijk aspect is de manier waarop men in de wedstrijd zit. Een auditorganisatie die ‘ketenauditing’ uitdraagt binnen de organisatie en intrinsiek gelooft in de toegevoegde waarde ervan, heeft een grotere kans om de ketenauditaanpak te laten slagen. Wie wil immers een product afnemen als de aanbieder ervan er zelf niet in gelooft. Een auditorganisatie met een krachtige tone at the top, een duidelijke waardehiërarchie en consistente besluitvorming is derhalve een voorwaarde voor succes bij het invoeren van een keten aanpak.

Zonder kennis van de keten blijft het gissen welke deskundigheid van belang is om een oordeel te kunnen geven over de beheersing van de keten

Conclusie

Organisaties veranderen en dus moet de auditaanpak meeveranderen. De doelstelling is om toegevoegde waarde te leveren. Door audits te focussen op ketens zullen nieuwe inzichten naar boven komen die de organisatie kan helpen haar doelstellingen beter te bereiken.

Is er dan één uniforme auditaanpak voor een keten? Zeker niet! Deze wordt bepaald door de complexiteit van de keten en de inrichting en aansturing van de organisatie en auditafdeling. In dit artikel zijn de randvoorwaarden en praktische handvatten aangegeven zodat de kans van het succesvol uitvoeren van ketenaudits zo groot mogelijk is. Het krachtigste middel is een duidelijk commitment, zowel in woorden als daden, om door ketengericht te werken meer toegevoegde waarde te leveren voor de organisatie.

Noten

1. Porter, M. E., ‘Competitive advantage: creating and sustaining superior performance’, 1985.
2. IPPF 2000 – Managing the Internal audit Activity.
3. IIA Code of Ethics – Deskundigheidsprincipe.