Trends in project auditing: wie wacht komt steeds te laat

In 2010 bracht IIA een publicatie uit over project auditing. Sam Huibers en Björn Walrave voerden een vervolgonderzoek uit naar de trends. In dit artikel vde belangrijkste resultaten. Naar aanleiding van het onderzoek is een rondetafelbijeenkomst georganiseerd.

In totaal deden 213 medewerkers van meer dan 88 verschillende interne auditfuncties mee aan het onderzoek. Het uitgangspunt van het onderzoek was het in kaart brengen van huidige trends en ontwikkelingen met betrekking tot de rol(len) van de auditor in projecten. In hoeverre is er bijvoorbeeld sprake van een verbreding van de meer traditionele assurancerol naar de meer adviserende en participerende rollen zonder de onafhankelijkheid van de auditor in het gedrang te laten komen? Tevens kwam in het onderzoek aan de orde welke methoden in de praktijk worden gebruikt om project audits uit te voeren.

Onderzoek

­­Algemene trends in project auditing
Project audits zijn een belangrijker onderdeel van het audituniversum geworden en projecten zijn steeds vaker het object van een audit (zie figuur 1). Uit het onderzoek kwamen, onder andere, de volgende algemene trends naar voren:
­

• Ongeveer driekwart van de interne auditfuncties voert projectaudits uit. Ruim de helft is hier de afgelopen vijf jaar mee gestart.
• Van de grotere interne auditfuncties (> 20 fte) voert meer dan 90% projectaudits uit. De interne auditfuncties die geen projectaudits uitvoeren zijn over het algemeen kleiner van omvang.
• Het overgrote deel van de interne auditfuncties audit slechts een klein deel van de aanwezige projecten.
• Veelal is het verantwoordelijk management of de (voorzitter van de) raad van bestuur opdrachtgever van projectaudits (zie figuur 2).

Ondanks het toenemend belang van project audits is er nog onontgonnen gebied. Het merendeel van de organisaties audit slechts een klein deel van de aanwezige projecten. In sommige gevallen ligt hier een gestructureerde risicobenadering aan ten grondslag waarin projecten worden geclassificeerd aan de hand van criteria als omvang, complexiteit en strategisch belang. De vraag blijft hoe in andere gevallen de selectie van projecten plaatsvindt. Wellicht geschiedt dit op een meer opportunistische wijze, zoals door het vervullen van ad-hocverzoeken van het management.

Rollen
Naast de meer traditionele assurancerol vervullen interne auditfuncties steeds vaker ook adviserende en participerende rollen in projecten. Zo vervult twee derde van de auditfuncties een klankbordfunctie en geeft advies over de projectbeheersing. Daarnaast geeft ruim 40% ook inhoudelijk advies. Meer dan de helft van de interne auditfuncties participeert in projecten door het aandragen van inhoudelijke aanbevelingen en oplossingen ten aanzien van projectbeheersing.

Er is een tendens om de auditor al in een vroeg stadium bij het project te betrekken (zie figuur 3). Klaarblijkelijk ligt de toegevoegde waarde van de auditor in een meer proactieve deelname vanaf het begin van het project in plaats van in het achteraf de balans op te maken.

De adviserende en participerende rollen zijn rollen die de auditor alleen met inachtneming van randvoorwaarden kan vervullen. Voorbeelden van deze randvoorwaarden zijn (Huibers 2012, 2013):
­

• De (IPPF) standaarden van IIA worden ook toegepast voor adviserende en participerende rollen.
• De aard van de activiteiten van de interne auditafdeling is vastgelegd in het auditcharter dat is goedgekeurd door de (auditcommissie van de) raad van commissarissen.
• De rol van de auditor wordt eenduidig vastgelegd in het projectcharter.
• Het management is altijd (eind)verantwoordelijk voor het bepalen van de risicovoorkeur van een project.
• Het management is altijd (eind)verantwoordelijk voor het managen van de risico’s binnen een project.
• De auditor adviseert, maar neemt zelf nooit besluiten ten aanzien van de aangedragen oplossingen.

Opvallend is dat slechts 18% van de respondenten aangaf dat de rol van de auditor in het projectcharter is vastgelegd. Hier valt nog terrein te winnen. Het vastleggen van de rol van de auditor in het projectcharter schept namelijk helderheid over wat de verantwoordelijkheid van de auditor is in relatie tot de overige stakeholders van het project, zoals het management.

Een meerderheid van de respondenten gaf, in de geest van de standaarden, aan het principe van functiescheiding toe te passen. Een belangrijke maatregel daarbij om de onafhankelijkheid te waarborgen is dat een auditor geen objecten mag auditen die gerelateerd zijn aan project(en) waar hij eerder advies- of participerende werkzaamheden voor heeft uitgevoerd. In enkele organisaties zijn er separate subafdelingen voor deze activiteiten, mits uiteraard de omvang van de auditfunctie dat toelaat.

Het merendeel van de project audits is naast systeemontwikkeling gericht op procesverbetering alsook op organisatieverandering

Methoden
De meeste organisaties maken gebruik van extern ontwikkelde projectmethoden, aangepast aan de organisatie. Organisaties die gebruikmaken van extern ontwikkelde projectmethoden, gebruiken voornamelijk Prince2 als basis (ruim 80%). Het merendeel van de interne auditfuncties hanteert, conform verwachting en auditstandaarden, de projectmethode(n) die de organisatie standaard gebruikt. Indien er aanvullende modellen worden gebruikt door de interne auditfuncties, dan betreffen dit vaak ook modellen gericht op projectmethodiek, al dan niet ontwikkeld door adviseurs. Het merendeel van de project audits is naast systeemontwikkeling gericht op procesverbetering alsook op organisatieverandering. Wat opvalt is dat in het algemeen nog weinig aanvullende methodieken worden gebruikt gericht op de inhoudelijke aspecten van het project dan wel op de cultuuraspecten. Een uitzondering hierop zijn twee voorbeelden die zijn genoemd met betrekking tot cultuuraspecten: balanced change card en een methode gericht op het blauwdrukdenken van De Caluwé om veranderingstrajecten in organisaties te typeren.¹

Rondetafelbijeenkomst

December 2013 vond naar aanleiding van het onderzoek een door IIA gefaciliteerde rondetafelbijeenkomst plaats. Sam Huibers en Björn Walrave gaven een samenvatting van de onderzoeksresultaten, rollen en randvoorwaarden. De deelnemers wisselden daarbij ervaringen in hun organisaties uit.

Birthe van der Voort van Deloitte gaf een presentatie over Project Predictive Analytics, een instrument om de succeskans van een project vooraf in te schatten en te verhogen. Daarnaast waren er diverse sprekers die voorbeelden uit de praktijk toelichtten. Marco Rozenberg van Heineken zette uiteen op welke wijze project audits binnen Heineken zijn vormgegeven. Hij illustreerde aan de hand van een groot internationaal veranderprogramma hoe Internal Audit steeds meer een businesspartnerrol vervult door op verschillende momenten en in diverse rollen te acteren.

Harry Kruk van Delta Lloyd ging onder meer in op de rol van Internal Audit binnen projecten en gaf daarbij onder andere aan hoe project audits worden geselecteerd. Daarnaast ging hij in op de invloed van sectorspecifieke regelgeving op de rol van de auditor. Opmerkelijk was dat een van presentatoren aangaf in plaats van ‘project auditing’ de benaming ‘project assurance’ te zijn gaan hanteren terwijl in een andere organisatie precies het omgekeerde het geval was. Hierdoor kwam onder andere de vraag aan de orde hoe het three lines of defensemodel toe te passen voor projectaudits. Het was duidelijk dat er geen sprake kan zijn van een one size fits all-benadering.

Noot

1. http://www.decaluwe.nl/

Literatuur

• Huibers, S.C.J. en B. Walrave, Trends in Project Auditing – Resultaten Onderzoek in Nederland, oktober 2013.
• Huibers, S.C.J., ‘The Role(s) of the Auditor in Projects: Proactive Project Auditing’, Taylor and Francis, American journal EDPACS, 2013, (www.iia.nl).
• Huibers, S.C.J., ‘Rol(len) van de (IT-)auditor in projecten’, Handboek EDP Auditing, 5313 – Informatiesystemen, uitgave 43, juni 2012, Alphen aan den Rijn, Kluwer, 2012.
• Huibers, S.C.J., Hartog, P., Michel, P., Boogers, L., Van der Nat, G., Webbers, D. en N. Verburg, Het Instituut van Internal Auditors Nederland (IIA), Project Auditing, Handvatten voor de Internal Auditor, IIA Nederland, www.iia.nl/sitefiles/project-auditing.pdf, 2010.