Verbetergericht rapporteren – deel 1

UIT DE IT-AUDITOR
Dit artikel is eerder gepubliceerd op deitauditor.nl

In 2013 mocht ik in het kader van het thema ‘effect-based auditen’ voor de NOREA-vakbroeders een presentatie verzorgen over onze verbetergerichte audits. Het moest wat prikkelend zijn. Vandaar mijn presentatietitel: ‘Arrogantie verblindt. Of maakt slechtziendheid arrogant?’

Ik wilde aangeven welke onderzoeksvereisten en randvoorwaarden er zijn voor een verbetergerichte audit. Door die prikkelende titel heb ik toentertijd veel toehoorders kunnen laten nadenken over nut en noodzaak van enkele ‘automatismen’ die in onze aanpak en soms ook in ons denken zijn geslopen. Mijn intentie is ook nu bij te dragen aan verbetering, door stil te staan bij wat de aard van het assuranceproduct kan doen met de relatie tussen de auditor en de auditee en hoe dit verschilt met de ideale situatie voor een verbetergerichte maatwerkaudit en -rapportage.

In deel 1 van deze bijdrage zal ik:

• schetsen wat de twee werelden waarin auditors zich begeven kenmerkt aan de hand van het inmiddels breed bekende ‘kruis’;
• aangeven hoe het verantwoordelijk management assurancerapporten vaak beleeft;
• de beleving van verbetergerichte maatwerkrapporten weergeven;
• beschrijven welke stappen aanvullend nodig zijn om vanuit een assurance audit alsnog een verbetergericht maatwerkrapport te kunnen maken.

In deel 2, dat later verschijnt, beschrijf ik enkele kenmerken en randvoorwaarden voor een verbetergericht maatwerkrapport door in te gaan op de structuur van het rapport, het taalgebruik in het rapport en de gewenste attitude van de auditor.

Het kruis

Met het ‘kruis’ (zie figuur 1), uitgebreid beschreven in ons boek Management Control Auditing, bijdragen aan doelrealisatie en verbetering’, willen we aangeven dat auditproducten idealiter verschillen per gebruikersgroep. Vanuit de organisatie naar de buitenwereld ligt de verantwoordingsdoelstelling voor de hand. Auditrapporten moeten met name de mogelijkheid bieden organisaties en situaties te vergelijken. De assurance-eisen van IFAC zijn terecht van toepassing, gericht op het beperken van subjectieve invloeden en specifieke (sub)doelstellingen die de beoogde vergelijkbaarheid verder bemoeilijken. Het streven naar standaardisatie van de auditaanpak en normering is daarbij logisch. De verantwoording richt zich nadrukkelijk op compliance en het voorspelbaar mitigeren van risico’s van onbetrouwbare verwerking en verantwoording. En omdat er geen opdrachtgever is bij wie je als auditor gemakkelijk te rade gaat, ontstaan auditproductdefinities, bij wet- en regelgeving passende interpretaties van auditors en vaktechnische standaardinterpretaties. De auditor wordt specialist in die interpretaties en normering en adviseert organisatieleden vanuit diezelfde op AO/IC gestoelde optiek.

Binnen de organisatie is het streven naar doelrealisatie dominant ten opzichte van de beschreven verantwoordingsvereisten. Het management moet een balans vinden in de vele onderling wedijverende kritieke succesfactoren: naast compliance en betrouwbaarheid vereisen onder meer flexibiliteit, efficiëntie, klant- en medewerkerstevredenheid, leverbetrouwbaarheid en innovativiteit bijzondere aandacht, gegeven de organisatiedoelen en strategie. De ‘werkelijkheid’ van de manager is daarmee vele malen complexer dan hij kan lezen in de auditnormering van assurancerapporten.

Dit verschil in complexiteit gecombineerd met de belangrijkste afnemer/opdrachtgever, komt in het kruis tot uitdrukking in de horizontale lijn: mono- tot multi-aspectmatigheid. Oftewel, richt het auditonderzoek zich op een of meerdere van de eerdergenoemde kritieke succesfactoren?

Het hiervoor genoemde leidt in extremen tot twee soorten audits: assurancegericht (linksboven) en maatwerk (rechtsonder). De wat confronterende uitspraken linksonder en rechtsboven in het figuur geven aan dat auditrapporten die specifiek geschreven zijn voor lezers buiten respectievelijk binnen de organisatie, niet ‘zomaar’ aan de andere doelgroep kunnen worden gezonden indien maximale effectiviteit van het auditrapport wordt nagestreefd. Een maatwerk auditrapport wordt door externen niet zomaar begrepen. En goed bedoelde inhoudelijke aanbevelingen in assurancerapporten moeten eerst worden vertaald naar de veel complexere werkelijkheid van managers alvorens ze (ook) kunnen bijdragen aan doelrealisatie.

Voor de auditor betekent de stap ‘van assurance naar verbetergericht’ dat het best-practicedenken moet worden losgelaten ten gunste van aandacht voor de specifieke maatwerksituatie van de manager. In de praktijk blijkt dit niet vanzelf te gaan. Het vergt zelfs een attitudeverandering, maar daarover later meer. In het kruis tonen we de twee werelden voor auditors: verantwoordings- of assurancegericht versus verbetergericht. Hierna wil ik duidelijk maken waarom juist in die verantwoordinggerichte wereld zelfoverschatting op de loer ligt, of liever: waarom de auditor gemakkelijk als betweterig wordt beleefd. Na wat kenmerken van beide soorten rapporten probeer ik aan te geven wat erbij komt kijken om een audit vanuit een assurancesituatie om te vormen tot een verbetergerichte situatie.

De beleving van assurancerapporten

Toetsers krijgen door de aard van het werk en de ‘opgelegde’ relatie gemakkelijk een negatief imago in de ogen van de objectverantwoordelijken. Wanneer deze niet zelf om de audit hebben verzocht, wórden ze getoetst en is in de verdediging schieten de natuurlijke reactie. Dit zijn redenen waarom, ondanks alle goede bedoelingen, juist assurance auditors gemakkelijk wat betweterig worden gevonden door auditees. Hiervoor zijn enkele verklaringen:

• De vereiste onafhankelijkheid van de objectverantwoordelijke bij audits ten behoeve van derden maakt dat de auditor zelf de specifieke norm afleidt van algemeen geldende richtlijnen of best practices.
• De gehanteerde normering moet algemeen toepasbaar zijn en het auditrapport goed vergelijkbaar met andere rapporten over eenzelfde auditobject. Het sluit daarom nooit helemaal aan bij de wens van het verantwoordelijk management.
• Als specialist op het vlak van beheersing van een deelaspect als bijvoorbeeld IT en werkend met best practices opgesteld door vakbroeders, is het extra lastig voor assurance auditors om begrijpelijk Nederlands te blijven schrijven.
• Met de kans op aansprakelijkstelling voor de effecten van de kwaliteit van de audit verjuridiseren de auditrapportageteksten ‘als vanzelf’.
• Degenen die zich gedupeerd voelen door de auditrapportage mogen aankloppen bij de beroepsvereniging van diezelfde auditor (althans in hun beleving).

Deze elementen gecombineerd dragen bij aan een beleving van een auditrapportagetekst die ver van de eigen werkelijkheid blijft. Pogingen dergelijke teksten in jip-en-janneketaal te schrijven juichen we van harte toe, maar maken in de weerbarstige praktijk waarschijnlijk weinig kans. Wel zien we teksten graag in de taal van de lezer en dus zonder auditjargon.

Lees als voorbeeld de volgende goedbedoelde adviserende tekst door de bril van een IT-objectverantwoordelijke die jaarlijks moet ‘vechten’ voor voldoende budget.

Op basis van de door ons uitgevoerde auditwerkzaamheden komen wij tot de conclusie, dat alleen met behulp van een verscheidenheid aan adequaat werkende compenserende en veelal handmatige maatregelen [applicatie X] in opzet en bestaan kan voldoen aan de eisen die worden gesteld in het normenkader. In aanvulling daarop achten wij het om redenen van efficiëntie en effectiviteit noodzakelijk dat controlemaatregelen die momenteel procedureel moeten worden ingericht alsnog in een volgende versie van [applicatie X] als een geautomatiseerde controle (zoals in ons oorspronkelijke normenkader) worden opgenomen. We kunnen derhalve op basis van de in [periode] verrichte werkzaamheden geen assurance verlenen in het kader van [situatie Y].

Wie gaat er bijvoorbeeld over de verhouding geprogrammeerde en ‘manuele’ beheersmaatregelen? Is dat niet mede afhankelijk van de gewenste wijze van (samen)werken op de afdeling? En van de vereiste flexibiliteit gerelateerd aan de volatiliteit van de benodigde procesondersteuning? Heeft de auditor dezelfde uitwerking van effectiviteit voor ogen als de auditee? En nog lastiger: van efficiëntie?

De beleving van verbetergerichte maatwerkrapporten

Verbetergerichte onderzoeken starten met het doorgronden van de redenen van de onderzoeksvraag. Als de auditor die redenen goed begrijpt kan worden geadviseerd over de precieze vraagstelling, de auditscope (het object en de auditoptiek), uitmondend in de normering voor de audit. De scope (inclusief optiek) moet aansluiten bij de complexiteit, gegeven de doelstelling van en aanleiding voor de auditvraag. Ook moet worden nagedacht over het product dat de auditor hier het best kan leveren. Vaak is een toetsend onderzoek niet het beste product bij de vraag van de opdrachtgever. Ook moet worden bepaald wie het best kunnen bijdragen aan het product.

Omdat hier een opdrachtgever het initiatief heeft genomen en zich afhankelijk van de auditor opstelt, kan een ideale opdrachtgever-opdrachtnemerrelatie ontstaan, mits de auditor:

• zich geïnteresseerd in de opdrachtgever en voldoende volgend opstelt;
• zich beperkt tot de exacte vraagstelling (dus of de uitkomst van een toets, of een advies, of de keuzemogelijkheden met voor- en nadelen, et cetera);
• zich weet te verantwoorden over de kwaliteit van de uitgevoerde werkzaamheden;
• wet- en regelgeving (waaronder die van zijn beroepsorganisatie) in acht neemt.

Wat betreft de regels van de beroepsorganisaties: daarover bestaan in de praktijk nogal wat misverstanden. De principle-based IIA-richtlijnen bieden internal IT-auditors ruim voldoende ruimte om verbetergericht te kunnen bijdragen aan de ondernemingsdoelstellingen. En ook NOREA biedt met Richtlijn 4401 en Studierapport Adviesdiensten alle ruimte. De richtlijnen voor interne accountants vormen hier de basis voor. Eventuele belemmeringen komen voort uit IFAC-interpretaties en de relatie met het werk linksboven in het beschreven kruis.

Rapporten van verbetergerichte maatwerkaudits kenmerken zich door hun aansluiting bij de specifieke aanleiding en vraagstelling van de audit. Omdat het onderzoek aansluit bij de maatwerkdoelstelling en de maatwerkoptiek, beleeft het management het onderzoek als direct relevant en positioneert de auditor zich naast het management, niet erboven.

Alsnog verbetergericht rapporteren na een op assurancegerichte audit?

Het belang dat binnen NBA en NOREA wordt toegekend aan de assurancegerichte onderzoeken, is terug te zien in de regelgeving en in de opleidingen tot accountant en IT-auditor. Een belangrijk percentage van de IT-auditwerkzaamheden worden direct of indirect verricht in opdracht van een externe accountant (linksboven in het kruis). Hoe zijn dergelijke auditwerkzaamheden daarna alsnog bruikbaar te maken voor verbetergerichte auditrapportages? Oftewel, hoe vergroot je alsnog de directe relevantie voor het verantwoordelijk management? We hebben naar mijn idee dan zeven stappen te gaan (zie figuur 2). Hierna volgt een toelichting bij vijf van deze stappen. Allereerst is er tijd en dus geld nodig, want ook deze aanvullende auditwerkzaamheden vereisen deugdelijkheid. U kunt niet volstaan met het tekstueel omvormen van de bevindingen uit de assurancerapportage in aanbevelingen, in de zin van ‘het herhalen van de norm’.

Stap 1 is dus zorgen dat u voldoende mogelijkheden krijgt om uw aanvullende werkzaamheden kwalitatief goed te kunnen uitvoeren. Denk onder meer aan budget, ruimte in de agenda’s van de betrokkenen en de beschikking over documentatie en bestanden. Idealiter hebt u ook gewerkt aan uw relatie met die betrokkenen. U moet zich immers in hun situatie kunnen inleven en zij mogen u leren kennen als iemand die met hen begaan is, naast dat ze erop vertrouwen dat u uw vak verstaat.

Stap 2 is het verrijken en organisatiespecifiek maken van de normering. Veel van de eerder gehanteerde normering zal nader moeten worden geconcretiseerd naar de specifieke situatie. U zult naast wet- en regelgeving en voorschriften van leveranciers ook kennis moeten nemen van interne regelgeving en beleid. U zult met interne functionarissen moeten onderzoeken welke ruimte er bestaat voor ‘verschillende wegen naar Rome’. Dit gegeven eerdergenoemde regelgeving, voorschriften en beleidskeuzen, maar mogelijk ook beloften aan stakeholders. Onderdeel is ook de risk appetite of geaccepteerde faalkans van het betreffende auditobject. Alleen zo komt u met het verantwoordelijk management tot een geaccepteerde hoogte van de lat en daarvan afgeleid tot uw verbetergerichte normenkader. Met verwijzing naar het kruis: uw werk wordt relevanter voor het management (lager op de y-as) en uw optiek verschuift naar rechts. Het moet specifieker en de gehanteerde KSF’en moeten als maatwerk onderling in balans worden gebracht.

Stap 3 is op basis van uw dossier van het verantwoordinggerichte onderzoek vaststellen welke werkzaamheden aanvullend nodig zijn. Dit, gezien de gewijzigde specifieke vraagstelling en wijzigingen, in de optiek en dus uw normering. Het vereist ook een aanvullend technisch auditontwerp dat u aan uw interne opdrachtgever voorlegt met de vraag: als ik deze toetsingen tegen deze normering verricht, hebt u er dan vertrouwen in dat ik uw onzekerheden voldoende wegneem?

Na een volmondig ‘ja’ volgt stap 4: de uitvoering en stap 5: de analyse. Daarvoor moet ik verwijzen naar het boek Management Control Auditing, bijdragen aan doelrealisatie en verbetering (2020). Hoog over zijn deze stappen vergelijkbaar met de meer traditionele audit. Maar het boek beschrijft diverse maatwerkalternatieven. Voorts komen andere dan toetsende onderzoeken in aanmerking. In dit artikel over verbetergericht rapporteren ligt de nadruk op de stappen 6 en 7.

Aanpassing van de hoogte van de lat op basis van de audituitkomsten is in een assurancesetting gericht op verantwoording natuurlijk ondenkbaar! Verbetergericht kan die hoogte mogelijk in de tijd op verschillend aspiratieniveau liggen. Maar natuurlijk nooit onder het door wet- en regelgeving vastgestelde niveau.

Dit is ook het moment om management te faciliteren in het bepalen van aanvullende acties, het prioriteren en onderling verdelen ervan. Ook vindt hier het overleg plaats over de wijze van rapporteren, gericht op het optimaliseren van de motivatie om te komen tot verbeteracties. Naast een auditrapport (stap 7) is te denken aan een nadere presentatie aan belanghebbenden, facilitering van sessies gericht op oorzaakanalyse en actieplannen, een diagnostische audit (lees: toetsing van het daadwerkelijk bestaan van mogelijke oorzaken of onderliggende problemen), et cetera.

Stap 7 omvat het auditrapport als document, waarin naast de aanleiding, het doel en de vraagstelling van de audit, een nauwkeurige object-scoping inclusief de gehanteerde optiek, te lezen is. De optiek kan worden gezien als de bril die de auditor heeft opgezet. Elke goede onderzoeker beseft immers dat de uitkomst afhankelijk is van de bril waardoor naar het object is gekeken én van de omstandigheden: op tien meter onder de zeespiegel zie je met je duikbril immers zelfs bij ideaal weer geen rood meer.

Over dit verbetergerichte auditrapport valt nog meer te zeggen. In deel 2 zal ik enkele kenmerken en randvoorwaarden voor een verbetergericht maatwerkrapport beschrijven, dit door in te gaan op de structuur van en het taalgebruik in het rapport én op de gewenste attitude van de auditor.