Verbetergericht rapporteren – deel 2

Dit artikel is eerder gepubliceerd op deitauditor.nl

In deel 1 beschreef ik welke stappen aanvullend nodig zijn om vanuit een assurance-audit alsnog een verbetergericht maatwerkrapport te kunnen maken. Daarbij schetste ik wat de twee werelden waarin auditors zich begeven kenmerkt, en gaf ik aan hoe verschillend het verantwoordelijk management assurancerapporten en verbetergerichte maatwerkrapporten beleeft. In dit tweede deel beschrijf ik enkele kenmerken en randvoorwaarden voor een verbetergericht maatwerkrapport door in te gaan op de structuur van en het taalgebruik in het rapport én op de gewenste attitude van de auditor.

De structuur van het verbetergerichte auditrapport

Op basis van de beschreven aanleiding of doelstelling van de audit en de achtergrond van de auditor, moet de lezer in de praktijk vaak maar zien te interpreteren welke bril de auditor heeft opgezet. Algemene verwijzingen naar managementmodellen zoals COBIT of COSO geven de lezer slechts een globaal idee en vereist dat de gedachten achter het model bekend zijn. In verbetergerichte auditrapporten vermelden we welke deelaspecten van het object met welke subdoelstelling zijn bekeken én wat de opdrachtgever daar mee moet kunnen doen. Het maakt bijvoorbeeld nogal wat uit of we een applicatie beoordelen op de juiste en volledige verwerking van invoer of op de mate waarin het management de doorlooptijden denkt te kunnen terugbrengen.

De van managementletters bekende PROA-indeling (probleem, risico, oorzaak, aanbeveling) krijgt in auditrapporten vaak een inkleuring die afhangt van de auditor. In lijn met IIA-richtlijnen behoort elke uitkomst van een belangrijke vergelijking te worden gerapporteerd, niet alleen de afwijkingen (als probleem of bevinding). Bovendien vereist ook de gerapporteerde oorzaak adequaat onderzoek als u aanvullende zekerheid suggereert.
En gebruikt u de term risico als product van kans en effect? Of is het ‘slechts’ wat u bedacht hebt als ‘wat kan er fout gaan?’. Brand u niet zelfstandig aan een kans-inschatting. En u raadt het al: er is geen basis voor inhoudelijke aanbevelingen zonder:

• voldoende zekerheid over de oorzaken (het zijn er bijna altijd meer);
• concrete duiding van de effecten van het ontbreken van een beheersmaatregel;
• een geobjectiveerde kansinschatting of duiding van de beperkingen van uw onderzoek.

Er komt nogal wat bij kijken om de uitkomsten van een op verantwoording gerichte audit (assurance) geschikt te maken voor een op verandering gerichte maatwerkaudit

In verbetergerichte auditrapporten is geen ruimte voor ‘aanbevelingen’ die slechts herhalen wat ontbreekt ten opzichte van de normering. En natuurlijk, als u in een IT-auditrapport alleen zou rapporteren welke parameters ten onrechte uit staan, past een overzicht van de parameters die conform de eisen moeten worden ingesteld. Maar zou u die bij nader inzien aanbevelingen noemen?

Procedurele-aanbevelingen beschrijven wat u zou gaan doen wanneer u op de stoel van de opdrachtgever zou zitten. Die zijn prima en vaak zinvol mits u de moeite heeft genomen te voelen hoe ongemakkelijk die opdrachtgeverstoel zit. Oftewel: alleen als u een voldoende beeld heeft van diens complexe werkelijkheid!

Auditors die zich realiseren hoe complex een maatwerksituatie is, zullen zich niet willen branden aan de effecten van hun beperkte kennis van de complexe situatie en van de beperkte beschikbare tijd en budget voor de toetsing. En terecht!

Een tweede structuurkeuze bestaat uit de elementen die veelal in matrixvorm zijn opgenomen (zie figuur 1).

Los van dat het oordeel in een dergelijke matrix vaak beter conclusie kan heten, suggereert het dat elke afwijking van de norm moet worden gevolgd door een aanbeveling. Reviews laten zien dat onervaren auditors de matrix zo kunnen interpreteren, waardoor de druk om alle vakjes te vullen gemakkelijk leidt tot ondoordachte tekstjes. Veelal ontbreekt het nog aan inzicht in de omvang van het probleem, de complexiteit, de kosten en haalbaarheid van de benodigde verbetering, et cetera. In een organisatie met een ‘stevige’ leiderschapsstijl staat die tekst desondanks gemakkelijk op actieopvolgingslijsten en worden ze meegenomen in kwartaalupdates en follow-up audits. Wanneer de auditor in die omgeving ook nog gevolg geeft aan het verzoek gebruik te maken van stoplichticonen is elke balans in het rapport zoek. De rode kleur werkt op de manager net als op de spreekwoordelijke stier. Gevolg is al snel dat er geen aandacht meer is voor wat wél is bereikt in die complexe werkelijkheid, met veelal onvoldoende middelen om alle beloften te kunnen waarmaken. Als auditor ben je minimaal medeverantwoordelijk voor de invloed van je teksten! In verbetergerichte audits zou een dergelijke matrix er beter kunnen uitzien zoals weergegeven in figuur 2.

Een verwachting van de auditor is gebaseerd op interne en externe regelgeving en op de beheersmatige voorkeuren van de opdrachtgever en de objectverantwoordelijke. Deze verwachting moet, zo concreet als nog efficiënt is, worden uitgeschreven en is de basis voor een vergelijking met de werkelijkheid.

Eventuele verschillen worden geanalyseerd op hun effecten en worden eventueel voorzien van een conclusie. Vervolgens kan de auditor een sessie organiseren waarin de uitkomsten en effecten worden besproken. Gefaciliteerd door de auditor worden die effecten door de verantwoordelijken gewogen, acties voorgesteld en geprioriteerd. Voor de rapportage betekent dit een apart hoofdstuk waarin de auditor beschrijft wat de uitkomsten van genoemde sessie waren in de vorm van voorgenomen en geprioriteerde acties van het verantwoordelijk management. Dit hoofdstuk vervangt daarmee in het geheel de goedbedoelde inhoudelijke aanbevelingen en veel van de procedurele aanbevelingen.

Naar mijn stellige overtuiging is het bovendien belangrijk dat alle managers in de hele managementhiërarchie zelf de acties monitoren en erover rapporteren. De follow-upverantwoordelijkheid van de auditor is gericht op diens eigen leervermogen en op de vaststelling dat het management blijft monitoren en met regelmaat nagaat of de eerder bedachte acties nog opportuun en de best passende zijn. Elke nadere bemoeienis van de auditor is gebaseerd op intrinsieke interesse of gebaseerd op een vervolgopdracht. Bij verbetergericht passen opdrachten zoals onderzoek waarom de verbeteracties nog te weinig effectief zijn of onderzoek naar de oorzaak van de overgebleven probleemsignalen.

Een gouden rapportageregel is: schrijf in de taal van de lezer

Het taalgebruik van het verbetergerichte auditrapport

Een gouden rapportageregel is: schrijf in de taal van de lezer. In de verbetergerichte voorbeeldmatrix was om die reden ‘norm’ vervangen door ‘verwachting’ en ook in PROA de R van ‘risico’ vervangen door ‘effecten’. Maar naast taalgebruik heeft dit natuurlijk alles te maken met verantwoordelijkheden en vereisten van goed onderzoek doen.

Veel in accountancy- en IT-auditing opgeleide auditors redeneren ‘als vanzelf’ vanuit opzet-bestaan-werking. Op de eenvoudige vraag: wat is de opzet van een proces?, volgt vaak pas na enige tijd het antwoord: de procesbeschrijving. En de vervolgvraag: wat als die er niet is?

Goed onderzoek en begrijpelijk rapporteren voor de lezer betekent: gebruik geen jargon en geef precies aan wat je onderzoekt. In dit voorbeeld is er sprake van twee onderzoeken:

1. Onderzoek naar de procesbeschrijving om vast te stellen dat deze als basis voor de normering van de procesaudit kan dienen.
2. Onderzoek naar de beheersing van het proces met een normering die gebaseerd is op de procesbeschrijving d.d. […].

En natuurlijk is opzet-bestaan-werking slechts een van de mogelijke onderzoeksmethoden naar een adequate procesbeheersing (namelijk een top-downvariant, deductief).

Oké, geen jargon meer. Maar de president van het IIA-inc, Richard Chambers, daagt ons in zijn boek Trusted Advisors; Key Attributes of Outstanding Internal Auditor (2017) uit om ook de woorden ‘failed’, ‘inadequate’, ‘ineffective’, ‘we found’ en ‘it appears’ niet meer te gebruiken!

In hoofdlijnen schrijft Chambers:
On communication it is about the right tone, active listening, and delivery of the message – whether verbal or written. When communicating avoid the following five words: Failed, Inadequate, Ineffective, ‘We found’ and ‘It appears’. Six characteristics are critical to building a relationship with the customer:

1. Positive Intent. Trusted advisors demonstrate a positive intent that makes it clear that he or she isn’t set on being right but is set on finding the right answer.
2. Diplomacy. Trusted advisors are adept in direct, forthright communication (including listening) skills, political astuteness, and sensitivity to the organization’s culture and how things get done.
3. Prescience. Trusted advisors can ‘see around corners.’ They anticipate the needs of clients before the needs are even evident, and they identify issues before they arise.
4. Trustworthiness. Trusted advisors walk the talk, keep confidences, operate with integrity, and are obsessive about maintaining credibility with clients.
5. Leadership. Trusted advisors often set the tone for the entire internal audit staff.
6. Empathy. Trusted advisors understand and focus on each stakeholder’s point of view, and they are sensitive to those needs and feelings.

In de lijst met bronnen en citaten in het boek van Chambers kom ik grote namen tegen zoals Stephan R. Covey en zelfs Socrates, maar bijvoorbeeld David H. Maister ten onrechte niet. Maister redeneert niet vanuit de oordelende auditor, maar vanuit een ‘expert advisor’. Toch ontlopen de kenmerken van die expert, de kenmerken van veel traditionele assurance-auditors niet veel (zie figuur 3).

‘Goal is to be right. Solves problems, decides and is in charge.’ De basis voor een potentieel arrogant imago? Versus: ‘Goal is to help. Helps clients make own decisions. Teams with client throughout the process.’

Taalgebruik is zeer bepalend voor hoe de auditor overkomt en daarmee of het management geïnteresseerd is in wat de auditor te vertellen heeft. Verbeteren vereist willen leren. Willen leren begint met willen luisteren. Maar dat gebeurt alleen als de auditor zelf ook luistert en openstaat voor dialoog. Dit vereist vaak een attitudeverandering van de auditor omdat ons taalgebruik mede het gevolg is van onze attitude.

Attitude

Maister hanteert nagenoeg dezelfde opsommingen voor zijn trusted advisor als Chambers.¹ Bijvoorbeeld in The 5-step Trust Building Process (zie figuur 4).²

Zowel Chambers als Maister redeneren vanuit de klant. Maar bedoelen ze dezelfde klant? Chambers lijkt de trusted-advisorrol te relateren aan non-assuranceproducten, oftewel de consulting activities of advisory services – door Urton L. Anserson eenvoudigweg de ‘twee-partijensituatie’ genoemd.³ Dat past bij Maisters trusted advisor omdat die adviseur zich volledig richt op de verantwoordelijk manager. Maar lees opnieuw de zesde ‘characteristic’ van Chambers: ‘Empathy: trusted advisors understand and focus on each stakeholder’s point of view, and they are sensitive to those needs and feelings’.

Chambers lijkt daarmee ook een trusted advisor te willen worden voor bijvoorbeeld aandeelhouders, klanten, leveranciers en medewerkers. Die mensen zal hij mogelijk niet eens persoonlijk ontmoeten, laat staan dat zorgvuldig een vertrouwensrelatie zal worden opgebouwd, zoals Maister eist.

Voor verbetergericht rapporteren betekent dit dat we moeten overwegen om voor elk type stakeholder een separate maatwerktekst te schrijven. Willen we hen binnen hun verantwoordelijkheid tot eigen acties laten komen, dan moet die tekst hen motiveren om vanuit die eigen verantwoordelijkheid zelf na te denken over hun eigen bijdragen aan de vereiste acties. In veel situaties zal dat te veel gevraagd zijn. Juist door de verschillende gezichtspunten van de diverse stakeholders, zult u de behoefte voelen u als auditor vrij autonoom op te stellen en u vooral zorgen te maken over een mogelijke schijn van afhankelijkheid. Ik herken hierbij veel kenmerken van Maister’s expert (zie figuur 3).

Goed onderzoek en begrijpelijk rapporteren voor de lezer betekent: gebruik geen jargon en geef precies aan wat je onderzoekt

Maar niets staat ons in de weg om te starten bij onze opdrachtgever. Onze verbetergerichte attitude moet voorkomen dat we slechts onderzoeken en rapporteren wat diens ondergeschikten zouden moeten doen maar nu nalaten. Ook onze opdrachtgever heeft daarin een belangrijke rol en verantwoordelijkheid. Overtuig de opdrachtgever dat diens eigen rol idealiter onderdeel van de object-scope is. Maister’s rol als advisor is het meest herkenbaar in de fase waarin de auditor deze manager adviseert tijdens het opdrachtgeversgesprek. We noemen het in ons boek: ‘advies aan de voorkant’.⁴ Alle elementen van de (trusted) advisor zijn in deze fase aan de orde.

Natuurlijk moeten de randvoorwaarden passen bij de hiervoor genoemde situatie. Zo moet het auditteam aan de beroepskwaliteitprincipes kunnen voldoen. Wat mij betreft moeten de kwaliteitseisen voor het ontwerp en de uitvoering van maatwerkaudits worden aangescherpt. Ook kan er bijvoorbeeld veel veranderen aan de standaard rapportagerichtlijnen in veel auditcharters. Altijd alle auditrapporten naar het auditcommittee, de stuurgroep, de externe accountant, et cetera sturen, past niet bij de trusted-advisorrol. Er moet minimaal ruimte zijn om af te wijken als dit de effectiviteit ten goede komt. Mogelijk past het bij Chambers’ Trustworthiness; het past zeker bij Maisters concrete aandachtspunten gericht op ‘managing expectations’. De voor ons meest relevante van de in totaal elf punten zijn:

• Agree on methods and frequency of communicating.
• Decide who should get which reports.
• Agree how often a report should be delivered.
• Agree how many reports will get used.
• Agree what milestones and progress reviews are needed.

Tot slot

Er komt nogal wat bij kijken om de uitkomsten van een op verantwoording gerichte audit (assurance) geschikt te maken voor een op verandering gerichte maatwerkaudit. Maar het is zeker mogelijk en zal de effectiviteit én het imago van de auditor sterk verbeteren.

Noten

1. Trusted Advisors: Key Attributes of Outstanding Internal AuditorsKindle Edition, Richard F. Chambers, 2017.
2. The 5-step Trust Building Process, Maister, Green, Galford, The Trusted Advisor, Free Press, 2000.
3. Urton L. Anserson, Internal Auditing; Assurance & Advisory services (4th edition), The Internal Audit Foundation, 2017.
4. Management Control Auditing; Bijdragen aan doelrealisatie en verbetering, Peter Bos, Ron de korte, Jan Otten, uitg. Stichting Auditing.nl, tweede druk 2020.