Vaker starten bij ‘de werking’

Tekent de verbreding van operational audit naar management control audit het einde van het vakgebied af? Of berust dit allemaal op één groot misverstand en moeten we deze ontwikkeling juist van harte toejuichen? In dit tweeluik kruist prof.dr. Mark van Twist hierover de degens met Ron de Korte RA RE RO CIA en drs. Jan Otten.

Mark van Twist waarschuwt in zijn artikel ‘Willen weten hoe het écht zit …’ voor het risico dat de verbreding van operational audit naar management control audit leidt tot slechts het beoordelen van ‘een papieren werkelijkheid’. Terwijl bij elke audit toch minimaal óók de vraag moet worden gesteld of een operational audit daar onderdeel van kan zijn. Gewoon omdat je als auditor wilt weten hoe het écht zit.

Impactvolle onderzoeken van de Algemene Rekenkamer met een hoog ‘Alberto Stegeman-gehalte’ en, naar wij aannemen, ook zijn waarneming van de recente auditpraktijk, geven hem aanleiding op te roepen tot herwaardering van operational auditing en te pleiten voor minder brave, ondeugender auditors met meer lef en durf. De ontwikkeling van de theorie vat Van Twist halverwege zijn artikel prima samen en ook zijn zorg dat veel audits ‘blij­ ven hangen’ bij de papieren werkelijkheid delen wij nadrukkelijk. Waar we in deze bijdrage op moéten reageren is de suggestie in het artikel dat management control auditing (MCA) daar de oorzaak van is. In de wetenschap dat Van Twist het boek Management control auditing, bijdragen aan doelrealisatie en verbetering veel beter kent dan hij in zijn artikel laat merken, zijn wij blij met deze mogelijkheid om de kern ervan in herinnering te brengen en er onze laatste inzichten aan toe te voegen.

Eisen aan goed onderzoek

Allereerst benadrukken we de algemeen geaccepteerde eisen te stellen aan goed onderzoek en dus ook aan audits. Audits zijn in ons boek (nog) beperkt tot toetsende onder­ zoeken, top-down startend met een verwachting in de vorm van een norm. Die eisen aan goed onderzoek zijn: relevantie/urgentie, deugdelijkheid (zowel betrouwbaarheid als validiteit) en doelmatigheid. Het auditen van ‘de papieren werkelijkheid’ zou op het eerste punt, relevantie, al van de auditkalender moeten vallen. We spreken bovendien onze twijfels uit over het fenomeen van een (jaar)kalender voor audits. Signalen uit de werkelijkheid, vaak komend vanaf de werkvloer, geven relevante onderzoeken meer urgentie en maken dat eerder voorgenomen onderzoeken in de wacht worden gezet. En als het auditen van de papieren werkelijkheid ondanks het gebrek aan relevantie nog steeds op de auditkalender staat, moet het alsnog worden genegeerd vanwege gebrek aan validiteit. Want suggereren dat de organisatie in control is als de toets van de papieren werklijkheid positief uitvalt, is minimaal als naïef te kwalificeren. De Alberto Stegeman-aanpak, die Van Twist propageert, is geen alternatief, omdat die in veel gevallen niet door de betrouwbaarheidstoets zal komen. Waar dit nog lukt houden wettelijke en ethische afwegingen ook auditors ‘met lef’ de uitvoering ervan tegen.

Suggereren dat de organisatie in control is als de toets van de papieren werkelijkheid positief uitvalt, is minimaal als naïef te kwalificeren

Onvolledig

De beschrijving door Van Twist van het concept management control auditing, dat Leen Paape met ons in 2004 introduceerde (en in iets andere termen ook door Arie Molenkamp is uitgeschreven), is onvolledig. Het uitgangspunt klopt: de auditor veronderstelt dat het management de verantwoordelijkheid pakt voor de gehele managementcontrolcyclus (plan-do én check-act). Dit past ook bij het wereldwijd overgenomen denken in drie lagen van beheersing (3LoD). De auditor ‘durft’ de verantwoordelijke als opdrachtgever te zien vanuit het vertrouwen dat deze de organisatiedoelstelling bovenaan plaatst. Onzekerheden worden besproken en de audit wordt gericht op het niveau waar meer zekerheid gewenst is. De kans dat dit op operationeel niveau is, is ruim aanwezig. Mocht de auditor tot de conclusie komen dat het vertrouwen in de organisatiedoelgerichtheid van de objectverantwoordelijke of de opdrachtgever onvoldoende is, dan zoekt de auditor een opdrachtgever (minimaal) één niveau hoger.

De opzet-bestaan-werkingonderzoeksaanpak

Wat veroorzaakt dan wél de onzes inziens terecht door Van Twist geconstateerde overmatige auditaandacht voor de papieren werkelijkheid in de praktijk? Naar ons idee is dat de te beperkte verwijdering van internal audit van de (externe) accountancypraktijk. Veel in accountancy, maar ook de in IT-audit opgeleide auditors, volgen ‘als vanzelf’ de opzet-bestaan-werkingonderzoeksaanpak. Dit komt voort uit het uitgangspunt in die opleidingen dat externe auditors ‘eenvoudig’ moeten kunnen vaststellen waar meer op betrouwbare verantwoordingsinformatie gerichte beheers­ maatregelen te treffen zijn. Het is voor die externen efficiënt om daartoe eerst procedurebeschrijvingen door te spitten. Je krijgt dan tegelijkertijd een beeld van waar het in de organisatie over gaat.

Dat al deze documentatie door de organisatie moet worden geschreven en onderhouden wordt in de afweging niet meegenomen. Ook niet dat het voor de organisatie lang niet altijd nuttig is of de noodzakelijke vernieuwing en flexibiliteit in de weg kan zitten. Een organisatie kan vanuit haar perspectief immers alleen in control zijn, wanneer verandering eerst volledig wordt uitgedacht en op papier weergegeven (water­ val). De door fraudes en deconfitures gedreven richtlijnen gebaseerd op COSO-IC van toezichthouders en certificatie-instellingen (ISO, NIAZ, et cetera) en door externe auditors en financials gedetailleerde werkprogramma’s gebaseerd op Sarbanes Oxly, Solvency, et cetera, hebben een druk gelegd op organisaties om alle werkzaamheden in procedures te beschrijven, de uitvoering van controles met evidence te documenteren en databases te vullen met vastleggingen die door de volgende line of defense (zichtbaar!) kunnen worden gecheckt, gecross-checkt en opnieuw van evidence kunnen worden voorzien. Auditrapporten en managementletters gaan meer over het ontbreken van parafen en evidence in de vorm van screenprints, die maken dat auditors en toezichthouders niet met zekerheid kunnen vaststellen dat…, dan dat het nog gaat over doelrealisatie. Ook het COSO-committee constateert een wereldwijde overmatige aandacht voor procedures en voelt zich daar mogelijk medeverantwoordelijk voor, wanneer het in 2017 oproept het framework toch vooral in te zetten voor het verbeteren van de performance en te richten op waardecreatie.

Blanco de werkvloer op

De opzet-bestaan-werkingaanpak is dermate ‘gewoon’ geworden dat we auditors in de praktijk verrassen wanneer we voorstellen eens ‘blanco’ de werkvloer op te lopen. Dit om waar te nemen hoe men in de organisatie werkt, welke werkzaamheden ‘beheerskracht’ hebben en welke doelen daarmee worden ondersteund (of risico’s worden vermin­derd). Een dergelijke inductieve auditaanpak toont ‘hoe het echt zit’ (Van Twist) en levert inzichten in beheersing door management en medewerkers die niet in de handboeken en instructies zijn vermeld. Vaak omdat de handboeken door externen of stagiairs zijn geschreven om te kunnen voldoen aan de aanbevelingen van auditors, risicomanagers, complancefunctionarissen en andere vaak ver van de werkvloer staande collega’s en toezichthouders. Het voorkomt boven­ dien de tunnelvisie die de deductieve of top-downaanpak nadrukkelijk als risico in zich heeft. De kans is groot dat de ongeschreven werkelijkheid waarin veel goed maar ook veel mis kan gaan, niet door de deductief te werkgaande auditor wordt waargenomen. Zelf direct waarnemen dat medewerkers inventief, met het klant- en organisatiebelang voor ogen, inspelen op veranderingen geeft de (niet te rule-based) auditor bovendien het vertrouwen dat beheerst wordt gewerkt. Soms als juist niet conform ‘de opzet’ een oplossing wordt gevonden en gedeeld. De ‘act’ staat niet alleen voor het actualiseren van de handboeken!

Overigens moet de herleving van data-analyse in de audit­ praktijk ook traditionele opzet-bestaan-werkingauditors aan het denken hebben gezet. De inzet van nieuwe technieken en vooral het type auditor dat het leuk vindt met die technieken de voetafdrukken van de werkelijke acties en mutaties zichtbaar te maken, brengen veel teweeg. Met name data- en proces mining tonen met regelmaat gegevensstromen en gebruik van functionaliteit in systemen die niet in handboeken en functioneel ontwerpen zijn beschreven. De deductieve vaststellen-dat-het-gaat-zoals-beschrevenaanpak heeft dat nooit boven water gehaald!

Hoe het werkelijk zit

Anders dan Van Twist suggereert geeft de MCA-benadering veel mogelijkheden te achterhalen ‘hoe het werkelijk zit’. Het vereist goed luisteren naar signalen van onzekerheid tijdens gesprekken met managers over hun managementcontrolsysteem en de bijbehorende informatievoorziening. Daar is niet direct lef voor nodig, laat staan onethisch handelen; wel inlevingsvermogen, nieuwsgierigheid en een hang naar ver­ nieuwing. Bovendien ‘vertrouwen tenzij …’ als uitgangspunt. We moeten vaker starten bij de werking. En dan kunnen we Alberto Stegeman gewoon bij de commerciële zenders houden.

Literatuur

• Bos, P., Korte, R. de en J. Otten, ‘Management control auditing: bijdragen aan doelrealisatie en verbetering’, Auditing.nl, Driebergen. Binnenkort in de tweede druk (2020) te verkrijgen via: www.Auditing.nl/ boekwinkel/