Ontwikkelingen in management control en auditing

Een jubileum is het moment om het verleden te romantiseren en de toekomst zonder zorgen te bezien. En ja, we zijn redelijk tevreden over wat er in 25 jaar is gepresteerd. Maar het verleden analyserend, verwachten we de start van een nieuwe fase, waarvan de loksignalen al luid en duidelijk klinken en waar veel van u lezers, naar onze mening ook aan toe zijn. Wij staan in ieder geval in de startblokken.

Terugkijkend is een opvallende beweging in de ontwikkeling van de afgelopen decennia er een van verwijding (en soms zelfs van verwijdering) en weer samenkomen. Je kunt het vergelijken met een grafische weergave van geluidsgolven. De verwijdingen vallen het meeste op omdat ze reuring en vernieuwing veroorzaken en het bijeenkomen geeft het meeste rendement voor een groter geheel. In beweging blijven dus!

Laten we aan de hand van het patroon van verwijden en samenkomen de afgelopen 25 jaar grofweg doorlopen, kijkend naar de belangrijkste bouwstenen: IT-auditing, operational auditing, internal auditing, de beroepsverenigingen, de vraag vanuit organisaties en (audit)opleidingen.

De ontwikkeling van IT-auditing

Het ontstaan en tot wasdom komen van het vakgebied IT-
auditing wordt veelal toegeschreven aan accountants die hun collega’s zijn voorgegaan en een weg hebben gebaand leidend tot de zo aantrekkelijk geachte integrated audit approach. In werkelijkheid kreeg IT-auditing pas goed vorm toen die in IT geïnteresseerde accountants hun thuisbasis verlieten en de samenwerking aangingen met IT-professionals die zich weinig aan jaarrekeningcontrolerichtlijnen en beroeps-reglementering gelegen lieten liggen. De verwijding was nodig om de oogkleppen van het AO/IC-denken even af te zetten en te leren van IT en IT-beheersing zoals het in het eigen domein was ontstaan.

IT-auditafdelingen (toen nog EDP-auditafdelingen geheten) binnen de vijf grote accountantsfirma’s trokken in accountancy opgeleide en zelfs nauwelijks in accountancy geïnteresseerde nieuwe medewerkers aan die diensten leverden die evengoed door de consultancytak konden worden en werden aangeboden. Bij enkele Big Five companies ging EDP-audit daadwerkelijk over naar de consultancytak. Het IT-auditvakgebied vergrootte zich, er ontstond kennis op vlakken die vanuit de beperkende accountancyoptiek niet voor mogelijk werd gehouden, maar de controleurs en hun controleklanten werden niet als vanzelf goed bediend.

Toont data-analyse niet dagelijks aan dat ‘de echte werking’ van systemen in grove mate afwijkt van de beredeneerde ‘werking’ die van ‘de opzet’ wordt afgeleid?

De logische reactie is dan het integreren van IT-auditkennis in de accountantsopleiding. Daar wordt nu decennialang voor gevochten en ja, het evolueert de goede kant op. Een geïntegreerde auditbenadering is de meest effectieve, beredeneerd vanuit de controleklant. Maar wordt de IT-auditor die slechts op dat terrein wordt ingezet ook de professional die de beroepsgroep NOREA zich bij de oprichting heeft voorgesteld?

De IT-ontwikkelingen hebben allesbehalve stilgestaan en daarmee zijn organisaties als geheel en iedereen als persoon, enorm van IT en IT-beheersing afhankelijk geworden. Zien IT-auditors, opgeleid vanuit het opzet-bestaan-werkingdenken van de accountant, deze afhankelijkheid in de volle breedte? Toont data-analyse niet dagelijks aan dat ‘de echte werking’ van systemen in grove mate afwijkt van de beredeneerde ‘werking’ die van ‘de opzet’ wordt afgeleid? Wanneer komt de verwijding die maakt dat we weer de juiste specialismen en ervaringen aan audits binden? Om vervolgens, na een toekomstig samengaan, weer effectief ‘integrated’ te gaan auditen?

Ontwikkelingen operational auditing

Ook het ontstaan van operational auditing wordt wel toegeschreven aan accountants. En zeker mensen als prof. Van Hulsentop RA zijn zeer verdienstelijk geweest wat betreft het verbreden van het AO/IC-denken in de beginjaren. Door medewerkers van interne accountantsdiensten en eerdergenoemde Big Five is kennis gehaald uit met name Canada. Mannen als Arie Molenkamp, Jan Driessen, Jens van der Kerk, Erwin Geeve, Jan Otten en Peter Hartog (en later Reinier Kamstra, Peter Bos en Alexander Babeliowsky) ontwikkelden (mee aan) belangrijke concepten terwijl ze in dienst waren van een van de Big Five-kantoren of ACS; maar wel onder de consultancyvlag en zonder accountantsopleiding. Leen Paape en Ron de Korte droegen vanuit een verantwoordelijkheid voor Internal Audit bij als ‘verlichte accoutants’. En dan vergeten we nog de bekende namen van de mensen die een belangrijke invloed hebben gehad op organisatorisch vlak; zij die hun invloed en netwerken hebben gebruikt ten dienste van het vakgebied.

Het ervaren ‘knellen’ van ideeën voor operational audit binnen accountancybolwerken (zowel in onderwijs als praktijkuitoefening) leidde tot verwijding:

• operational audit of adviesafdelingen naast interne accountantsdiensten;
• audit en consultancybureaus die ver weg bleven van financial auditing;
• het vertrek van het team van de eenjarige Operational Audit-opleiding van EURAC en het ontstaan van twee elkaar aanvullende RO-opleidingen van twee jaar aan de EUR en UvA.

Het samenkomen was zichtbaar in het ontstaan van internal auditafdelingen bemenst door RO’s en RE’s naast RA’s, met een product dat nadrukkelijk verder gaat dan vereist is of efficiënt lijkt voor de invulling van de jaarrekeningcontrolewerkzaamheden. Het enthousiasme waarmee RA’s aanvullend ook de RE- of RO-opleiding volgen. De innige samenwerking tussen de RO-opleidingen met hun RE-zusteropleiding. En het ‘opgaan’ van de VRO als SVRO in IIA Nederland. Maar wat ons betreft ook nadrukkelijk het samenkomen van assurance & consulting activities in de definitie van IIA Inc. uit 1999.

Beide RO-opleidingen lijken nog niet erg samen te zijn gekomen. Ze hebben zich voornamelijk apart van elkaar krachtig ontwikkeld; op enkele vlakken niet in dezelfde richting. Elke nadere duiding van verschillen doen we onder het voorbehoud dat beide auteurs (tot afgelopen zomer) op de hoogte waren van de ontwikkelingen van de EUR-variant en die van de UvA-variant via ‘hear-say’ en een beperkt aantal discussies tot zich hebben genomen. Maar belangrijke EUR-variantuitgangspunten lijken nog steeds reden tot discussie met de UvA te zijn:
­

• De internal auditor is niet per se in loondienst van de organisatie. Internal slaat niet op ‘in dienst’, maar op het internal gezichtspunt van de functie. De internal auditfunctie (IAF) is dus voor een groot deel ‘uit te besteden’, hoewel bijna volledig uitbesteden snel meer na- dan voordelen heeft.
• De IAF richt zich op het brede verantwoordelijkheidsgebied van de organisatieleiding. Om dat gebied professioneel te kunnen overzien vereist een IAF minimaal de auditspecialismen aangeduid als RO, RE en RA.
• Opdrachtgever van de IAF moet daarom niet zijn een als extern te kenschetsen partij. Toezichthouders krijgen idealiter via de raad van bestuur of een daartoe aanwezig gremium (audit committee) indirecte invloed op de inzet van de IAF.
• De RO-opleiding leidt op tot een internal auditor die het totale werkveld overziet, maar met respect voor de specialismen van zijn RE- en RA-collega’s. Hij verwacht datzelfde respect van hen op zijn (groeiend) specialisme, dat we het liefst aanduiden met ‘de gedragskant’.
• Kennis van onderzoeksmethodologie is noodzakelijk om de maatwerkaudits en niet-toetsende werkzaamheden te kunnen verrichten die voor de organisatie een meer directe bijdrage leveren aan doelrealisatie dan de (ook belangrijke) assurance getinte audits.

Wat had dat meer samengaan van beide opleidingen kunnen opleveren? Meer waardering voor de RO-titel? Een stevigere positie als RO binnen de IAF? Wij kunnen dat niet meer in gang zetten.

De RO-opleiding leidt op tot een internal auditor die het totale werkveld overziet, maar met respect voor de specialismen van zijn RE- en RA-collega’s

Internal auditors en de beroepsverenigingen

Met Arie Molenkamp hebben we jaren geleden al eens gewezen op de bijzondere uitkomst van ontwikkelingen leidend tot de huidige beroepsorganisaties:

• NBA voor alle accountants;
• NOREA voor alle IT-auditors;
• IIA/SVRO voor de intern werkzame accountants, IT-auditors, operational auditors en anderen werkzaam in een internal auditfunctie.

Effecten van de ontstane situatie zijn herkenbaar in woord en gedrag van internal auditors die behalve lid zijn van het IIA, tevens als lid van NBA of NOREA onder het IFAC-regime vallen (International Federation of Accountants). Dit omdat IFAC te weinig nadrukkelijk onderscheid maakt in:

• de risicodekkende maatregelen gericht tegen mogelijke schade aan het externe beroep;
• de ‘adding value based’ rolinvulling ten behoeve van de organisatieleiding gericht op realisatie van alle relevante organisatiedoelen.

Toch weet de ‘invoelend luisterende’ chief audit executive daar meestal wel zijn weg in te vinden. Ook de principle-basedbenadering van IIA Inc. biedt hen veel mogelijkheden. Die moeten dan wel naar hun finesses worden geïnterpreteerd. En dan lijkt het Engels van collega’s vaktechniek nog weleens tekort te schieten.

Natuurlijk, the proof of the pudding is in the eating. IAD is de afkorting van zowel de interne accountantsdienst als de internal auditdienst. Consulting activities zijn het predicaat van de internal auditor, maar komen er in de praktijk nogal eens bekaaid vanaf; en volgen de assuranceplanning. Wetgeving voor externe accountants zoals die gericht op de scheiding van audit en advies, hebben in de praktijk ook effect op beide soorten IAD’s. De door het  IIA Inc. in 1999 bedoelde term ‘assurance’ wordt nu gelezen in de IFAC-betekenis. En in de Nederlandse vertaling van de IIA Inc. definitie beperken we consulting activities nonchalant tot advies. Maar er is en wordt bij veel IAD’s nog steeds geëxperimenteerd en worden de grenzen opgezocht. En met slimme samenwerkingen tussen de IAD en de vernieuwers in het vakgebied, bijvoorbeeld door training-on-the-job, wordt de organisatieleiding regelmatig positief verrast. IAD’s krijgen in het na-SOx-tijdperk weer wat lucht, maar de benauwende toezichthoudereffecten in met name de zorg, onderwijs en financiële instellingen geven ons aanleiding te denken dat het weer tijd is voor verwijding.

Niet zo lang geleden hoorden we een RA RE nog verzuchten dat ze NOREA nooit hadden moeten laten ontstaan; het had binnen de NBA (NIVRA)-geledingen moeten bijven. De vraag is of NOREA zich dan ook zo zou hebben ontwikkeld. En andersom, welke kansen zou NOREA hebben gepakt wanneer het ook met een verhuizing op eigen benen zou zijn gaan staan, zich losrukkend van de perikelen die accountancy eigen is en bijvoorbeeld vol zou zijn gegaan voor een internationale samenwerking?

IIA Nederland is gestart als samenwerking tussen interne accountants en operational auditors. Dat samengaan had wat ons betreft veel eerder ook met IT-auditors moeten gebeuren. IIA Nederland is uit onvrede over de beperkte toegeeflijkheid van NBA ‘uit huis gegaan’, maar ze hebben elkaar nooit losgelaten. Dat blijft zichtbaar in de kleuring van de in samenwerking tot stand gekomen producten. Maar dat is niet meer dan logisch vanuit de noodzaak om compromissen te sluiten. Bovendien bedienen ze voor een belangrijk deel dezelfde doelgroep. Is de verwijding genoeg benut om bij een samengaan weer effectiever te zijn dan voor de keuze van de zelfstandige huisvesting en ondersteuning? Dat hangt af van wie van de partijen op welk vlak daadwerkelijk veranderd is.

Mede door het toedoen van toezichthouders is het verschil tussen external en internal audit verkleind. De vermelding van de rol en het belang van de IAF in de Corporate Governance Code is een feestje waard. Internal Audit staat op de kaart, niemand kan meer om het IIA heen. Dat heeft veel energie van met name het IIA-bestuur gekost en die is fors beloond.

Er is daarmee ook gekozen voor een model dat vóór deze uitwerking in de Code nog een goede optie was. De Code dwingt nu min of meer tot samenwerking, wat altijd ook het geluid is geweest vanuit NBA. En met samenwerking is nooit iets mis wanneer de belangen gelijk zijn, de invloed gelijk verdeeld, de producten (scope én optiek) niet door een van beide partijen wordt beperkt, et cetera.

Die andere optie, het verwijden van de verschillen tussen internal en external audit, maakt een ander belangrijk deel van de internal auditors enthousiast. Die knip tussen de nadruk op onderzoeken gericht op doelrealisatie door de IAF en op de verantwoording door de accountant, krijgt naar ons idee nu minder kans. En als we daarin gelijk hebben, is de volgende vraag: is dat erg?

Ontwikkelingen gezien vanuit de organisatie

Het denken in drie ‘verdedigingslinies’ heeft zich vastgezet in het governancedenken. Het is een model waarvan de precieze herkomst niet goed te achterhalen lijkt, maar dat wordt omarmd door aanhangers van organisatietheorieën met een minder rooskleurig mensbeeld. En ja, waar organisatieleden niet voldoende bereid zijn zich te richten tot de organisatiedoelstelling is het wantrouwen terecht en zijn ook wij voorstander van controle op controle op controle. Weer uit een dergelijke structuur kruipen moet echter haast onmogelijk worden genoemd.

Veel auditors die al wat jaren meedraaien herkennen de praktijk waarin iets vernieuwends door de derde lijn werd opgepakt en jaren later met veel moeite werd overgedragen aan de eerste of tweede lijn

Gelukkig gaan organisatieleden ook genuanceerd met die lagenstructuur om. En de praktische invulling ervan heeft de samenwerking vaak niet wezenlijk veranderd. Ook hier is sprake van een historie van verwijding en samengaan. Veel auditors die al wat jaren meedraaien herkennen de praktijk waarin iets vernieuwends door de derde lijn werd opgepakt en jaren later en met veel moeite werd overgedragen aan de eerste of tweede lijn. Risicomanagement is al vijftien jaar lang een duidelijk voorbeeld. Verbijzonderde interne controle een tweede. Dezelfde oude rotten in het vak herinneren zich dat het succes van Internal Audit veelal ten koste ging van afdelingen als Organisatieadvies en Onderzoek, maar ook ten koste van de uitbreiding van control, bijvoorbeeld de ontwikkeling van financial control naar managerial control.

En juist die ontwikkeling is nu gekeerd. Waar Internal Audit zich meer beperkt tot assurance (en daarbij in de samenwerking met de externe accountant de IFAC-definitie van assurance hanteert), laten afdelingen als Compliance, Control, Risk Control en Legal zich opleiden tot onderzoekers. Soms ‘verbiedt’ de IAD hen daar de term ‘audit’ voor te gebruiken, maar dat heeft natuurlijk geen invloed op hun inhoudelijke product en de effecten die ze er mee scoren.

Verwijzend naar het eerdergenoemde 3LoD-model verschuift Internal Audit naar een 3,5^e lijn en wordt die ruimte ingevuld door de 2^e LoD met voor de doelrealisatie zo belangrijke producten: de consulting activities zoals benoemd in de IIA-definitie. Overigens heeft ook de naleving van de strikte IFAC-transparantie-eisen een vergelijkbaar versterkend effect van verwijding van de ruimte tussen de internal auditor en het management. Dit geldt in zijn algemeenheid wanneer Internal Audit zich meer als External Audit gedraagt en in het bijzonder bij de overheid. Wanneer de keuze van de minister van Financiën om alle ADR-rapporten openbaar te maken letterlijk wordt nageleefd, moet dit toch invloed hebben op het aantal ‘vraaggestuurde audits’?

Veel topmanagement van organisaties heeft, de goede intenties en vele acties van met name IIA-bestuursleden ten spijt, bij audit nog steeds het beeld van ‘de externe toetser’. Die zal het management met regelmaat tonen dat het altijd beter moet en het topmanagement zelf maakt pragmatisch de keuzen wat daadwerkelijk wordt opgepakt of prioriteit krijgt.

Hun beeld is ook dat het merendeel van die toetsers ‘genetisch’ niet in staat is als manager direct bij te dragen aan de organisatie. Dat ‘type mens’ moet je ook niet vragen zich de kunst van het adviseren eigen te maken. De auditors die in aanbevelingen ‘het herhalen van de norm’ blijven zien, bewijzen hun gelijk.

De IAD als kweekvijver is ook in de ogen van het topmanagement een prachtig concept. Hun ervaring is dat de IAD goede controllers en mogelijk zelfs een CFO oplevert. Slechts enkele organisaties zien de IAD ook als een plek waar toekomstige managers ervaring opdoen bij verschillende belangrijke onderdelen van de organisatie. Ze leren het belang van beheersing in de zin van doelrealisatie en ook zich transparant te verantwoorden.

Wat dit betekent voor (audit)opleidingen?

Het idee dat elke auditberoepsgroep zijn eigen auditopleiding vereist, is gebaseerd op het denken in specialismen. En ‘specialist’ is dan gedefinieerd als iemand die op een beperkt terrein veel kennis heeft en dit mede door die beperking eenduidig weet toe te passen.
Alweer lang geleden is bij ESAA door het samenbrengen van de opleidingsteams van IT-audit en operational audit de effectiviteit vergroot door een grote wijziging in volgorde van vakken. Hierdoor kunnen sindsdien ook RA’s (en RC’s) de vakken, nodig voor een RE of RO-accreditatie, in een druk jaar afronden. Dit bleek efficiënt en een gat in de markt, waardoor het snel werd nagevolgd.

De gedachte van de management control auditor als auditor die meer dan één auditvakgebied beheerst, was er een basis voor. De terechte zorg van Arie Molenkamp: “Kun je een RA in slechts één jaar ook anders laten denken?”, zijn wij meer en meer gaan delen. Tegelijkertijd realiseren we ons dat je als opleiding altijd maar een beperkte bijdrage kunt leveren aan de ontwikkeling van auditors. Hoe goed de opleiding ook is, wanneer het in de praktijk niet met enthousiasme kan worden uitgeprobeerd… Terecht is de reactie van studenten regelmatig: ‘Eigenlijk zou je dit mijn leidinggevende zo eens moeten uitleggen’. Dat doen we ook veelvuldig bij in-housetrainingen en via permanente educatie, maar de eerste stap moet dan die leidinggevende zetten.

Aansluitend op de sluimerende wens van de topleiding van organisaties, is de ideale opleiding er een die aansluit bij het carrièrepad binnen een organisatie. Het ideaal is:

• met een management-developmentplan gericht ervaringen opdoen;
• in verschillende organisatieonderdelen;
• met een daarop aansluitende opleiding.

In Nederland zijn wij klaar voor een nieuwe beweging die de nadruk legt op het samenkomen van verschillende disciplines

Die opleiding is dan per definitie modulair opgezet en ondersteunt verscheidene routes. Dit kan betekenen: starten bij audit of bij een andere stafafdeling om te leren auditen/monitoren/beheersen, en om ‘vanaf de zijlijn’ te ervaren wat projectmatig veranderen vereist en kan betekenen. Om managementmodellen te leren waarderen én te leren relativeren. Om, zonder direct in het diepe te worden gegooid, te kunnen bijdragen aan ontwikkelingen in de organisatie. Om te ervaren dat beheersen meer is dan compliant gedrag afdwingen, dat structuren voorspelbaarheid beogen, maar ook uitnodigen tot het zoeken naar manieren om eromheen te kunnen. Dat management control meer is dan checken op hard controls en roepen dat soft controls ook belangrijk zijn.

Voor de auditberoepsgroepen betekent dit het in hun ontwikkeling ondersteunen van de (mogelijk tijdelijke) leden, gericht op doorgroei en waardegroei voor de organisaties. Voor het met name op het externe beroep gerichte NBA wordt dat een opgave. Het NOREA met een groot percentage Big Four- en zzp-leden zal zich ook eerst even achter de oren krabben.

Voor IIA Nederland is die stap niet zo groot als het in eerste instantie lijkt. Al hun leden en de bestuursleden staan tevens voor de ontwikkeling van hun organisatie. ‘Internal’ krijgt zo een extra betekenis. En ook van de Amerikaanse moederorganisatie, mede afhankelijk van contributies van hun partnerorganisaties, verwachten we niets dan bijval.

Zoals gezegd: in Nederland zijn wij klaar voor een nieuwe beweging die de nadruk legt op het samenkomen van verschillende disciplines, maar ook wat verwijding zal veroorzaken.