Wendbaarheid met internal audit(deel)producten

Lean en agile hebben beide als hoeksteen het in de jaren zeventig revolutionaire ‘Toyotadenken’. Toch doen ‘we’ binnen de auditberoepsgroep deze al veel eerder ingezette ontwikkelingen in nieuwe zakken. Denk bijvoorbeeld aan een kort-cyclische auditplanning, het serieus nemen van opdrachtgeverschap of klantgerichtheid en het beter afbakenen van het onderzoeksobject.

Op het gevaar af dat u denkt weer een populair ‘agileverhaaltje’ te gaan lezen, zien we in deze bijdrage agile – in het Nederlands: wendbaarheid – als basis voor een relevantere en effectievere auditfunctie. Dit door anders om te gaan met de internal auditproducten die zij levert. Het komt naar ons idee nog te vaak voor dat de doorlooptijd van ontwerp tot rapportbespreking langer dan drie maanden bedraagt. Zelfs negen maanden is geen uitzondering. We hoeven ons dan toch niet te verbazen dat de relevantie van de onderzoeksvraag inmiddels flink is afgenomen? En daarmee de effectiviteit van de onderzoeksuitkomsten. Om nog maar te zwijgen over het imago van de auditfunctie…

Twee uitgangspunten

In deze bijdrage gebruiken we twee uitgangspunten voor het vergroten van de wendbaarheid van de interne auditfunctie (IAF):

• durf onderzoeken op te knippen en deelproducten op te leveren;
• heb regelmatig contact met de opdrachtgever.

Wij komen tot deze uitgangspunten in drie stappen. Allereerst richten wij ons op enkele verwonderpunten vanuit de auditpraktijk die weerbarstig zijn en een obstakel vormen voor wendbaarheid. Vervolgens benoemen we zes belangrijke vragen die vanuit het management aan auditors worden gesteld. Daaruit blijkt dat een toetsend onderzoek niet altijd de eerste keuze hoeft te zijn. Ten slotte doen we een voorstel voor een typering van (deel)producten van de auditafdeling. Die (deel)producten voorzien in antwoorden op de belangrijkste vragen van het management én dragen bij aan de wendbaarheid van de auditafdeling. Mede omdat het een regelmatig contact met de opdrachtgever vereist.

De typering van deelproducten geeft nader invulling aan het continuüm van assurance en consulting, zoals genoemd in de Standaarden. Wij werken ze uit als onderzoek en consulting, waarbij audit als product een vorm van toetsend onderzoek is en assurance als product een vorm is van audit die voldoet aan de IFAC-richtlijnen.

De initiële vraag aan de auditor is vaak niet wat de opdrachtgever het liefst wil ontvangen

Wat zien we in de huidige auditpraktijk?

Ondanks de ontwikkelingen in het auditvak op het gebied van wendbaarheid, blijkt de werkpraktijk van de auditor weerbarstig. Een vluchtige blik in een rapport van een willekeurige auditafdeling zegt voldoende. Veelal zien wij dat auditrapporten onderstaande indeling hebben: aanleiding, vraagstelling, normering, bevindingen, oordeel, aanbevelingen, managementreactie. Of de populaire PROA-indeling. Juist die combinatie van uitkomsten van verschillende (deel)onderzoeken maakt ‘de audit’, met het toetsende onderzoek als basis, helaas verre van wendbaar.

Positief

Zonder meer een positief aspect van genoemde indelingen is het achterliggende gedachtegoed:­

• Het verantwoordelijk management heeft het laatste woord. De auditfunctie is immers een tool of management.
• Een goede inhoudelijke aanbeveling vereist inzicht in de belangrijkste (lees: de grond)oorzaken.
• De lezer kan het geduide probleem of ‘de bevinding’ relateren aan een verwachting (lees: de norm van de auditor), waardoor ook het verantwoordelijk management hierop kan reflecteren.

Verwonderpunten

Natuurlijk kan het onderliggende onderzoek vaak beter. Hieronder noemen we enkele verwonderpunten:

• De als ‘risico’ geduide vermenigvuldiging van een kans en een te vermijden ‘probleemsituatie’ is onderhevig aan de subjectieve kans- en effectinschatting van de auditor. Uiteraard biedt dit een bepaald perspectief op de probleemsituatie, maar het is één perspectief. De inschattingen van de opdrachtgever c.q. gebruiker van het rapport kunnen leiden tot andere (risico)inzichten.
• De door de auditor opgezette bril is nog te vaak gekleurd door het (financiële) verantwoordingsperspectief en te weinig gericht op verbetering vanuit ‘de bedoeling’ (lees: missie) van de organisatie.
• De voorkeursoplossing van de auditor is niet vanzelfsprekend ‘de beste weg naar Rome’. Met andere woorden, inhoudelijke aanbevelingen die niet aansluiten bij de werkpraktijk van de opdrachtgever of gebruiker. Denk aan oplossingsrichtingen die te veel de nadruk leggen op de splitsing van taken, standaardisatie en verantwoordingen, of waarbij op andere wijze de aansluiting bij het gedachtegoed van het management ver te zoeken is.
• De auditor is niet in staat om de belangrijkste bevindingen kort en bondig neer te zetten, waardoor de opdrachtgever en gebruikers in een grote hoeveelheid details en bevindingen terechtkomen. Een geprioriteerd overzicht van de belangrijkste bevindingen uitgewerkt naar concrete effecten, blijft veelal uit.

Uitvoering laat te wensen over

Hoewel wij het idee achter het analyseren van grondoorzaken onderschrijven, laat de uitvoering nog veel te wensen over. Een belangrijke reden daarvoor is dat dit een specifiek soort onderzoek vereist waar (nog) te weinig auditors voor zijn opgeleid. Auditors die dit beseffen, richten zich bijvoorbeeld op het faciliteren van sessies met de verantwoordelijken. Waar onderzoek een interventie op zich is, is een faciliterende sessie een dubbele interventie: het draagt niet alleen bij aan inzicht, maar bovenal aan verbinding tussen de betrokken organisatieleden. En ook dat juichen we toe. We moeten ons wel goed realiseren dat dit aanvullende vaardigheden vergt van de auditor, waar in het carrièrepad nog niet vaak op wordt geselecteerd, noch op wordt getraind.

Kortom, het is positief dat we ons realiseren wat belangrijke (deel)auditproducten zijn voor onze afnemers. We proberen het echter allemaal tegelijk en leveren daarmee niet meer tijdig op. En óók positief: we kunnen nog veel leren en verbeteren! Daarover buigen we ons in de rest van deze bijdrage.

Dát doen wat relevant én urgent is

Op basis van veel gesprekken en reviewwerk denken we te mogen concluderen dat de initiële vraag aan de auditor vaak niet is wat de opdrachtgever het liefst wil ontvangen. Aan een auditor vraag je immers een oordeel te geven over de beheersing van een proces. Ook als je al weet dat het beter moet en zelfs wát er moet verbeteren. Die ervaring geven veel auditors ook als reden om standaard ‘minimaal oplossingsrichtingen’ aan te geven als sluitstuk van een vergelijking van de werkelijkheid met een norm. Echter, even doorvragen wat reeds bekend is, kan al leiden tot een relevantere onderzoeksvraag. Dat vereist minimaal één opdrachtgevergesprek meer dan de intake!

Tabel 1 geeft een overzicht van belangrijke vragen van opdrachtgevers aan de auditor en enkele soorten onderzoek passend bij relevante managementbehoeften. We gaan er vervolgens nader op in.

Ad 1. Werken we conform de richtlijnen?
De eerste vraag is een klassieke auditvraag. Afgeleid van de klassieke verantwoordingsfunctie, toetsen auditors beheersingsmaatregelen qua bestaan en werking (lees: in de werkpraktijk) aan opzet (lees: interne richtlijnen). Hoe concreter die richtlijnen zijn geformuleerd, hoe gemakkelijker de auditor behalve een conclusie ook een ‘oordeel’ kan geven.

Te vaak naar onze smaak voeden we die verwachting door als auditors zelfstandig een ‘ratingsysteem’ te hanteren om de complexe werkelijkheid tot stoplichtkleuren of smileys te reduceren. Als de opdrachtgever daadwerkelijk het antwoord op de auditvraag niet weet, kan het antwoord relevant zijn. Maar om dat te kunnen bepalen willen we, liefst op voorhand, weten wat de opdrachtgever zal doen met de uitkomst. Zowel bij een overwegend positieve als bij een negatieve uitkomst.

Het centrale richtsnoer om te voldoen aan de (kennis)behoefte van de opdrachtgever, is de auditdoelstelling. Als algemeen format voor de auditdoelstelling hanteren we daarom een constructie met de term ‘inzicht’ en de nadruk op wat we achter het woord ‘teneinde’ plaatsen. Immers, het doel is altijd om de opdrachtgever iets te doen inzien over een bepaalde situatie, zodat deze – op basis van het verkregen inzicht – verdere acties kan ondernemen. ‘Het vergroten van het inzicht van <opdrachtgever> in <object> … door … de uitkomsten te overleggen van een onderzoek uitgevoerd naar <aspect> van <object> … teneinde … de opdrachtgever <wanneer> in staat te stellen om <wat te bereiken>.’

In dit voorbeeld past: ‘[…] de uitkomsten te overleggen van een onderzoek uitgevoerd naar de belangrijkste oorzaken gericht op verbeteracties, waar niet conform de richtlijn wordt gewerkt […]’. Als dit voorafgaand aan de audit is afgestemd, laat de betreffende auditor het wel uit zijn hoofd om aanbevelingen te formuleren! Bij een negatief oordeel zal de auditor de opdrachtgever hooguit helpen herinneren aan zijn voorgenomen vervolgstappen.

Consulting omvat meer dan louter het leveren van advies. Adviesgericht onderzoek valt niet onder consulting activities

Ad 2. Hoe werken we aan het realiseren van de doelstellingen?
De actuele werkwijze van de klant is ook bij de tweede vraag object van onderzoek. De benadering verschilt echter. Het startpunt is niet een vooraf opgesteld normenkader – dat de werkelijkheid per definitie versimpelt – maar de auditor start diens onderzoek bij de complexe werkelijkheid.

Hier past een zogenaamd inductief onderzoek. De geïnventariseerde activiteiten worden daarna geanalyseerd op bijdragen aan de beheersing in lijn met ‘de bedoeling’. In plaats van starten met een uitgewerkte normering (de deductieve aanpak) kan deze vraag meer inductief worden beantwoord. Ook een tussenvorm is mogelijk, door een beperkt gedetailleerde normering uit te werken, meer ‘principle based’. Werken vanuit ‘deze bedoeling’ vereist dat X wordt bereikt of Y wordt voorkomen. De uit ‘de werkelijkheid’ opgehaalde beheersing kan in meer of mindere mate aan die ‘principes’ voldoen.

Ad 3. Zijn de richtlijnen nog actueel, dan wel relevant?

De derde vraag is weer een klassieke. Maar nu is een actuele procesbeschrijving het belangrijkste doel van het onderzoek en daarmee (naast de actuele werkwijze) een object van onderzoek. In veel auditrapporten gericht op voldoende procesbeheersing wordt een actuele procesbeschrijving als belangrijk middel vereist. Omdat dit nauwelijks voorkomt in de werkpraktijk, is dit de meest geschreven auditaanbeveling. En dit zonder duidelijke relatie met een oorzaak van geconstateerde problemen. Immers, ligt het onderliggende probleem in die ene procesbeschrijving die niet meer ‘actueel’ is, of ligt het in de complexe werkpraktijk, in gedrag, in een weerbarstige cultuur?

De simplistische aanbeveling rondom actualisering van procesbeschrijvingen zegt vooral veel over de standaardnormering (lees: het denkkader) van de auditor, veelal voortkomend vanuit de opzet-bestaan-werkingsystematiek, gehanteerd in de verantwoordingsfunctie.

Ad 4. Wat veroorzaakt de recente probleemsignalen?
De vierde vraag krijgen we als auditors helaas (te) weinig, terwijl het naar onze mening voor het bijdragen aan verbetering de meest cruciale is. Het is allesbehalve eenvoudig uit te voeren. En we hebben er als auditors ook maar beperkt ervaring mee. Het onderzoek vereist inventarisaties, analyses, facilitering, et cetera. Soms helpen bijvoorbeeld data-analyse, proces mining, flowcharting of brainstorming. Het is meestal maatwerk, vereist wendbaarheid, volharding en interdisciplinaire samenwerking. Maar het levert voor de opdrachtgever veel inzichten en voor de auditor enorm veel voldoening én waardering op!

Ad 5 en 6.
Ad 5. Hoe is het verbeterplan tot stand gekomen? Ad 6. Wat maakt dat de problemen nog niet zijn opgelost?
De vijfde vraag moet eigenlijk eerst nader worden ontleed. Immers, zonder nadere afbakening kan er een heel proefschrift over worden geschreven. Samen met de opdrachtgever zoekt de auditor naar de relevante aspecten om te onderzoeken en te beschrijven.

Net als de zesde vraag hebben we het in deze bijdrage opgenomen om aan te geven dat ook deelvragen gemakkelijk nog te weinig specifiek zijn en verschillende onderzoeksactiviteiten vereisen. Dit alles heeft te maken met de relevantie en urgentie: hoe zorg je er als auditor voor dat je de juiste behoefte met het juiste middel (relevantie) binnen een passend tijdspad (urgentie) beantwoordt.

Een benadering vanuit de IA-definitie én onderzoeksmethodologie

De IIA Standaarden vermelden dat de IAF een tweetal activiteiten uitvoert: assurance en consulting. In tegenstelling tot wat we in recente IA-leerboeken lezen, wordt wat ons betreft het verschil tussen assurance en consulting niet alleen bepaald door het aantal betrokken partijen (twee of drie). En ook is het verschil in diepgang van het onderzoek niet bepalend voor of iets assurance mág of ‘advies’ moét heten (de externe auditorsuitleg).

Het verschil zit in onze uitwerking in de activiteit die ten grondslag ligt aan het auditproduct (zie figuur 1). In lijn met de definitie uit 1998 is het onderscheid dat ook in het NOREA-rapport Adviesdiensten (2012) is gemaakt: gebaseerd op specifiek onderzoek (assurance) of zonder specifiek onderzoek (consulting). Overigens zal de als consultant opgeleide hier nadrukkelijk anders over denken!Figuur 1. Auditproducten

Consulting omvat meer dan louter het leveren van advies. Onder consulting valt onder meer counseling, facilitation, kennisoverdracht, bijdragen aan werkgroepen, en… advies! We moeten dus snel deze fout in de vertaling naar het Nederlands van de IA-definities aanpassen. Maar adviesgericht onderzoek valt dus niet onder consulting activities! Noch ontwerpgericht onderzoek, analyses en inventarisaties. Echter, onderdelen van consulting activities, zoals facilitation, presentaties en het ophalen van kennis uit specialistenpanels, zijn zeer waardevolle technieken bij de uitvoering van onderzoeken.

Aanpassen naar nieuwe werkelijkheid

Als we dan toch wat naar de nieuwe werkelijkheid willen aanpassen: we zullen het woord assurance niet meer los kunnen zien van de betekenis die accountants en IT-auditors er wereldwijd aan geven. Dat wel doen als internal auditor, leidt alleen maar tot verdere verwarring in het werkveld. Daarom stellen wij: assurance is toetsend onderzoek dat aan de rapportagevereisten van IFAC voldoet.

Dit alles in ogenschouw nemend past de Yin en Yang-presentatie die ook in ons boek Management Control Auditing uit 2017 (en 2020) is opgenomen. Daarin is ‘slechts’, maar zeer degelijk, de deductieve auditaanpak uitgewerkt, inclusief een gestructureerde gegevensanalysewerkwijze met de opeenvolgende matrices en het gebruik van de modus als middenmaat bij de oordeelsvorming.

Verdere spraakverwarring voorkomen

Om verdere spraakverwarring tussen auditors te voorkomen én het daarmee minder onbegrijpelijk te maken voor onze afnemers, doen we de volgende voorstellen:

1. Hanteer het eerder binnen NOREA uitgewerkte onderscheid tussen auditproducten (wel of niet gebaseerd op specifiek onderscheid);
2. Gebruik assurance slechts als het toetsende onderzoek moet leiden tot een algemeen overalloordeel met toepassing van een ratingsysteem. Laat duidelijk zijn dat vanuit internal audit dit ratingsysteem zelden tot nooit noodzakelijk is en sinds 2017 ook voor interne accountants niet meer verplicht is vanuit het NBA-lidmaatschap.

Voorstel soorten internal auditonderzoeken

Zie tabel 2 voor ons voorstel van soorten internal auditonderzoeken. Uit tabel 2 en figuur 1 blijkt dat er meer is in de wereld van de internal auditor dan louter assurancegericht onderzoek, maar bovenal dat de werkzaamheden meer omvattend zijn dan alleen toetsend onderzoek. Immers, het doel van de IAF is het evalueren en bijdragen aan de interne beheersing van de organisatie, zoals ook blijkt uit de Standaarden.

Redenerend vanuit onderzoeksmethodologie zijn er tal van andere onderzoeken mogelijk voor de internal auditor om bij te dragen aan de waarde van de organisatie. En zoals ook blijkt uit tabel 2: verschillende vormen van onderzoek geven antwoord op verschillende soorten vragen. Als de internal auditor die vraag c.q. kennisbehoefte van het management centraal stelt als onderzoeksdoelstelling, in plaats van het middel (lees: het normenkader en methode), borgt de auditor de waarde van de organisatie én voegt die er waarde aan toe.

Volgordelijkheid
Een scherp oog kan ook enige volgordelijkheid herkennen in de typering, gelet op de interventiecyclus van de manager. Na een inventarisatie, waarmee de inzichten van de opdrachtgever over de praktijk worden vergroot, volgt gemakkelijk het verzoek de opgehaalde informatie nader te analyseren. Er kan ook een adviesgerichte vraag uit volgen. En in het voorbeeld was al sprake van een ontwerpgericht onderzoek nadat de opdrachtgever een keuze had gemaakt op basis van een adviesgericht onderzoek. Kijk ook naar uw eigen praktijk. Na een weergave van wat afwijkt van de norm (of verwachting) kan u gevraagd worden te onderzoeken wat daarvan de effecten (kunnen) zijn. Of de oorzaken. En vervolgens op welke wijzen die oorzaken zijn weg te nemen (adviesgericht onderzoek) of hoe die verandering nader moet worden vormgegeven (ontwerpgericht).

Verschillende (deel)producten
Met deze inventarisatie proberen we de verschillende (deel)producten van de auditfunctie weer te geven. Ook hebben we de relaties tussen deze (deel)producten weergegeven. Door deze (deel)producten aan te bieden, ontstaan er meer mogelijkheden dan alleen assurance en consulting. Het laat onverlet dat veel vragen vanuit de praktijk een combinatie vergen van genoemde soorten onderzoek. Of een combinatie van onderzoek en consultingactiviteiten. Maar doe het niet allemaal tegelijk! Wees snel en concreet. Sta klaar voor een volgend verzoek en toon uw speciale kwaliteiten als professioneel onderzoeker!

Ontwerp die maatwerkonderzoeken die precies geschikt zijn voor managementkeuzen gericht op waardevergroting van de organisatie

Regelmatig contact met de opdrachtgever

Om aan de algemeen aanvaardbare kwaliteitseisen van onderzoek te voldoen zullen keuzen moeten worden gemaakt met toepassing van de ‘duivelsdriehoek’: relevantie, betrouwbaarheid en doelmatigheid. Zodra je aan relevantie ook urgentie koppelt, wordt duidelijker dat relevantie tijdafhankelijk is.

Idealiter bepaalt een opdrachtgever de relevantie én de deadline voor de onderzoeksuitkomst. De opdrachtgever moet immers tijdig kunnen handelen (mede) op basis van die uitkomst. De in de inleiding genoemde doorlooptijden van audits maken ze ongeschikt, omdat niet wordt voldaan aan de kwaliteitseis van urgentie. Bovendien is het verre van doelmatig wanneer de opdrachtgever adviezen wenst, maar daarop moet wachten omdat de auditor gewend is eerst te toetsen. Zoals we in genoemde MCA-boek beschrijven, was de gangbare betekenis van assurance: aanvullende zekerheid. Relevantie betekent dan: de onzekerheid van de opdrachtgever met onderzoek verkleinen tot het niveau dat deze zijn beoogde acties in gang kan zetten. Ondernemen blijft risico nemen.

Als we regelmatig met de opdrachtgever over de business kunnen praten, wordt steeds meer duidelijk over de onzekerheden en kunnen we met korte maatwerkonderzoeken de inzichten vergroten. Relevant en doelmatig met de nét benodigde betrouwbaarheid maakt wendbaar.

Een relevante, effectieve en wendbare IAF

In dit artikel hebben wij enkele soorten onderzoek genoemd die wegstappen van het klassieke verantwoordingsdenken. Deze internal audit(deel)producten gaan verder dan louter assurancegericht en toetsend onderzoek. Om deze andere producten dan assurance te leveren, heeft de auditor ook een andere mindset nodig: stap weg bij het 95% zekerheidsdenken! Maar bovenal: ontwerp die maatwerkonderzoeken die precies geschikt zijn voor managementkeuzen gericht op waardevergroting van de organisatie. Zo is de IAF niet alleen relevant en effectief, maar ook wendbaar. En werken we ook meer vanuit ‘de bedoeling’.