Willen weten hoe het écht zit…

Tekent de verbreding van operational audit naar management control audit het einde van het vakgebied af? Of berust dit allemaal op één groot misverstand en moeten we deze ontwikkeling juist van harte toejuichen? In dit tweeluik kruist prof.dr. Mark van Twist hierover de degens met Ron de Korte RA RE RO CIA en drs. Jan Otten.

Het is u wellicht ontgaan, maar in het land van internal audit heeft de afgelopen decennia een ware revolutie plaatsgevonden. De operational auditor is, langzaam maar zeker, verworden tot management control auditor. Maar moeten we deze beweging wel toejuichen? Graag zet ik in dit artikel mijn pleidooi uiteen voor de herontdekking, zelfs herwaardering van operational auditing.

Ondertussen heb ik alweer afscheid genomen van de Algemene Rekenkamer, maar ik weet nog goed welk audit­ rapport mij in het bijzonder inspireerde toen ik ruim vijftien jaar geleden werd verleid een benoeming te aanvaarden als lid in buitengewone dienst van het College. Het betrof een onderzoek naar de beveiliging van militaire objecten (TK 2003-2004 29 415, nrs.1-2), voortkomend uit het besef dat Defensie over grote voorraden wapens, munitie en spring­ stoffen beschikt die echt niet in verkeerde handen moeten vallen.

Het rekenkameronderzoek omvatte niet alleen de vraag hoe het beveiligingsbeleid van Defensie op papier was vormgegeven maar ook hoe dat in de praktijk werd doorvertaald naar de verschillende krijgsmachtonderdelen. Dus werd als onderdeel van het onderzoek niet alleen vastgesteld of er een beveiligingsplan was goedgekeurd door de verantwoorde­ lijk commandant, maar werd ook heel praktisch verkend of het mogelijk was om binnen te komen in wapenmagazijnen, vliegtuigen te bereiken op militaire vliegvelden, bouwtekeningen anders te classificeren en zo onvindbaar te maken, de koeling van de servers te saboteren, en ga zo maar door. Het onderzoek had grote impact. De beveiliging van militaire objecten werd na bezoek door de auditors van de Algemene Rekenkamer en de daarbij geconstateerde tekortkomingen en veiligheidsinbreuken snel en stevig verbeterd.

Er zijn acties die een wat andere houding en competentie vereisen dan die waarover de doorsnee auditor beschikt: minder braaf, ondeugender en met meer lef en durf

Onderzoek vitale infrastructuur

Een vergelijkbaar onderzoek van meer recente datum (2018) richtte zich op de vitale infrastructuur in Nederland: tunnels, bruggen, sluizen en waterkeringen. Hier werd door auditors van de Algemene Rekenkamer heel praktisch bezien of het mogelijk zou zijn om ongeoorloofd – fysiek en virtueel – toegang te krijgen tot de vitale infrastructuur voor het keren en beheren van water. Via misleiding slaagden testers erin toegang te krijgen tot niet-vergrendelde werkstations en een controlekamer, en ook om alleen gelaten te worden bij een open sleutelkast. Verder wisten testers een tijdelijke toegangspas te bemachtigen waarmee zij zich vrijelijk door de locatie konden bewegen en een bezoek konden brengen aan serverruimten en opslagruimtes voor kritische onderdelen. Ook werden door de testers laptops aangesloten op het netwerk en gedragingen vertoond (verborgen en openlijk) die eigenlijk meteen alle alarmbellen hadden moeten laten afgaan, zonder dat er werd ingegrepen.

Conclusie van het rekenkameronderzoek was niet alleen dat de crisisdocumentatie verouderd was (de papieren werkelijkheid), maar ook dat er aantoonbaar tekorten waren in de beveiliging, met als concreet gevolg dat het tot tweemaal toe lukte toegang te krijgen tot een object (de dagelijkse praktijk). Let wel, dat gaat om meer dan gelekte persoonsgegevens of verstoorde organisatieprocessen. Bij het keren en beheren van water kan het uiteindelijk gaan om een strijd op leven of dood en het maatschappelijk ontwrichtend risico dat Nederland gewoon onder water komt te staan.

Wegbewegen

Natuurlijk zijn er door de Algemene Rekenkamer (en vergelijkbare auditinstituten) nog diverse andere onder­ zoeken verricht die vooral indruk maken door hun praktische insteek en concrete opbrengst, gekoppeld aan direct herkenbare maatschappelijke meerwaarde. Maar dat is niet het punt dat ik hier wil maken. Deze tekst is geen lofzang op rekenkameronderzoek. Waar het mij om gaat is het type audit waar we in onderzoeken als deze over spreken. Naar mijn idee zijn het namelijk prachtige voorbeelden van wat in de literatuur operational auditing wordt genoemd.

Het punt dat ik in het vervolg van dit betoog wil maken is dat (ook bij de Algemene Rekenkamer helaas) het werk van auditors de neiging heeft om weg te bewegen van dit type audits naar een vorm van toetsend onderzoek dat in de literatuur bekend staat onder naam management control auditing: een toets van beheersmaatregelen op metaniveau, bedoeld om vast te stellen of de leiding in control is – waardoor de neiging kan ontstaan om steeds meer op afstand te raken van de dagelijkse praktijk (weten hoe het echt zit) en op te schuiven naar een toets van een werkelijkheid die alleen op papier staat, een parallelle orde van registraties, geformaliseerde procedures en vastgelegde kaders.

Van operational auditing naar management control auditing

De oorsprong van die beweging gaat zeker al terug tot de vorige eeuw. In 1997 verschijnt bijvoorbeeld de tweede druk van de Nederlandse klassieker Operational auditing, geschreven door Driessen, Kerk en Molenkamp. Zij omschrijven hun boek in het voorwoord als een poging om enig overzicht te bieden van de ‘state of the art’ van operational auditing in Nederland op dat moment, iets wat bij de eerste druk volgens hen nog niet lukte vanwege de snelle ontwikkeling in het vakgebied. Driessen cum suis (1997, p.49) merken dan al op – we spreken over eind jaren negentig – zelf heel te goed te begrijpen dat het adjectief operational aarzelingen oproept bij mensen die audits uitvoeren. Operational zou impliceren dat het object van onderzoek uiteindelijk de uitvoering van processen betreft en zich vooral zou richten op primaire bedrijfsprocessen of slechts een bepaald niveau van de organisatie (namelijk de werkvloer). Dat zou een te beperkte opvatting zijn, volgens hen.

Toch houden ze (in die editie van het boek althans) nog vast aan het begrip operational auditing, maar dan wel met de kanttekening dat operational auditing zich kan richten op de hele managementpyramide en dat ook secundaire processen object van toetsend onderzoek kunnen zijn. In latere edities (vanaf 2008) verdwijnt operational auditing van de kaft. Bij volgende herdrukken van het boek wordt gekozen voor het bredere label internal auditing.

Verwarring

Stelliger nog in de voorkeur voor een andere term dan operational auditing zijn onder meer Hartog, De Korte en Otten (2011, p.4-5), die in hun veel gelezen en vaak geci­teerde bijdrage aan het vakgebied opmerken dat de term operational auditor maar al te makkelijk tot verwarring kan leiden. De term wordt, zo merken zij op, geassocieerd met de operatie, oftewel, met de dagelijkse bedrijfsvoering. Dat is volgens hen inderdaad een belangrijk object van veel audits, maar ook andere objecten kunnen worden geaudit. Denk aan: projecten, afdelingen of kwesties als integriteit of cultuur en verandervermogen. Gemeenschappelijk is dat steeds gekeken wordt naar de beheersing, dus naar het managementcontrolsysteem. Zodoende is het beter te spreken over management control auditing, aldus Hartog, De Korte en Otten (2011, p.4-5).

Een begrijpelijke ontwikkeling…

De verschuiving in terminologie bij auditing, van operational auditing naar management control auditing, heeft allerlei consequenties, bijvoorbeeld als het gaat om de vraag waar de aandacht van de auditor zich primair op richt. Die verlegt zich langzaam van de betrouwbaarheid van informatie over de dagelijkse praktijk naar de kwaliteit van het managementcontrolsysteem, welbeschouwd een papieren construct.

Hartog, De Korte en Otten (2011, p.5-8) formuleren het zelf als volgt: ‘De auditor neemt het managementcontrolsysteem van de organisatie in beschouwing. Dat wordt bemoeilijkt omdat een dergelijk “systeem” niet direct kan worden waargenomen. Om het systeem van management control te kunnen onderzoeken en te beoordelen is het noodzakelijk dat het op de een of andere wijze “zichtbaar wordt gemaakt”.’ Daarvoor is een model nodig, aldus Hartog e.a. (2011). Het model vormt de basis om te onderzoeken en te beoordelen of de beheerssystemen op orde zijn. Management control vormt daarbij het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt.

Ook in latere publicaties van hetzelfde cluster auteurs wordt deze lijn van denken, waarin de focus van audit zich verlegt van ‘de praktijk’ naar ‘het systeem’, bevestigd. Bos, De Korte en Otten (2017, pp.30-31) schrijven bijvoorbeeld:

‘Operational auditing kwam in de jaren negentig van de vorige eeuw tot wasdom in Nederland. Het vakgebied ont­ stond uit de behoefte om de interne controle niet alleen op de financiële cijfers betrekking te laten hebben, maar ook op de onderliggende operationele processen.’ Het karakter ervan veranderde langzaam volgens hen, toen het beeld ontstond dat het management ook zelf wel voldoende aandacht had voor het organiseren van betrouwbare financiële en operationele verantwoording en de auditor hierop gerichte controles langzaam overdeed aan het management. In plaats daarvan ging de auditor zich langzaam meer toeleggen op de wijze waarop richtlijnen hierover van de leiding werden nageleefd.

In plaats van aandacht voor controle alleen ontstond aan­ dacht voor beheersing: control. Steeds meer ging het over beheersing van processen en dan in de brede zin van het woord: over betrouwbaarheid van de uitvoering, maar ook over andere kritische succesfactoren voor het realiseren van de organisatiedoelstellingen (denk aan efficiëntie, flexibiliteit of klantgerichtheid). In deze benadering maakt auditing dus geen deel uit van de managementcyclus als sluitstuk daarvan (praktijktoets), maar cirkelt het er als het ware op metaniveau omheen en beoordeelt het de hele cyclus.

Er is een gerede kans dat de auditor steeds intensiever en steeds specifieker gaat kijken naar hoe het formeel op papier geregeld is

… maar niet zonder risico’s

Op zich is de ontwikkeling van operational auditing naar management control auditing die breed in de publica­ties over het auditvakgebied is bepleit, best te begrijpen. Resumerend komt de argumentatie ongeveer hierop neer: het object van toetsend onderzoek kan meer omvatten dan alleen operationele processen, dus de audit hoeft zich niet te beperken tot alleen wat zich afspeelt op de werkvloer. Auditing is bovendien niet per se slechts het sluitstuk van de managementcyclus, gericht op de controle van de uitvoering. Het kan daarnaast ook de andere onderdelen van het managementcontrolsysteem omvatten, zoals bijvoorbeeld de formulering van beleid of de inrichting van organisaties, waarbij ook andere waarden centraal kunnen staan dan alleen betrouwbaarheid en de klassieke toetsingsvraag of er achteraf bezien gedaan wordt wat er vooraf is afgesproken.

In mijn ogen terechte kanttekeningen. De implicaties voor de professionele oriëntatie in het auditvak zijn helaas niet alleen positief, zo meen ik te mogen constateren. Omdat de aandacht zich verlegt (of milder geformuleerd: zich verbreedt) van concrete activiteiten naar conceptuele abstracties, zoals beheerssystemen of control frameworks, bestaat er een gerede kans dat de auditor steeds intensiever en steeds specifieker gaat kijken naar hoe het formeel op papier geregeld is. Oneerbiedig geformuleerd: of de handtekeningen wel zijn gezet, of administratieve procedures wel zijn vastgelegd, of plannen wel op orde zijn, of de verdeling van taken, bevoegdheden en verantwoordelijkheden wel transparant zijn gemaakt. Zo kan het zijn dat er – mede gestimuleerd door het werk dat de auditor verricht – naast de praktijk van alledag zich een steeds omvangrijker en ingewikkelder conceptuele werkelijkheid ontvouwt, die er op papier prach­ tig uitziet maar weinig zicht meer biedt op wat er nu echt speelt of aan de hand is. Dat is wat Michael Power de ‘audit society’ noemt… Als je er cynisch naar kijkt, is te zeggen dat het management zich hier enorm mee geholpen kan voelen (het doet immers geen pijn, je hebt er weinig profijt maar ook niet al te veel last van), maar of het op de lange duur ook bijdraagt aan de legitimiteit van de professie en de doorontwikkeling van het vak is de vraag…

Discussie en implicaties voor theorie en praktijk Onderzoek dat erop gericht is vast te stellen hoe betrouwbaar nu eigenlijk de informatie is die we ontvangen over wat zich in het werkproces afspeelt, valt niet (of in ieder geval niet alleen) te verkrijgen door netjes te vragen of je mag komen kijken op een aangekondigd moment. Denk in dat kader nog even terug aan de eerdergenoemde voorbeelden van betekenisvol rekenkameronderzoek naar de beveiliging van militaire objecten en de mogelijkheden om ongeoorloofd toegang te krijgen tot vitale infrastructuur.

Om écht goed zicht te krijgen op onderliggende uitvoeringspraktijken is niet zelden een verdekte opstelling nodig, geheimhouding over de aard en de inzet van het onderzoek; het vraagt erom de randen op te zoeken van wat is toegestaan en soms zelfs clearance vooraf om via een wetsovertreding te bekijken of anderen daar mogelijk ook toe verleid kunnen worden. Acties die vaak verbonden zijn met weerstand opwekkende woorden in het auditvak, zoals: inbreken, binnenvallen, rondkijken, uitlokken, misleiden, et cetera. Zulke acties vereisen wel een wat andere houding en competentie dan die waarover de doorsnee auditor beschikt: minder braaf, ondeugender en met meer lef en durf. En inzet op dit soort ambities past natuurlijk ook minder goed in het moderne streven van de auditor om partner van het manage­ ment te worden en niet langer als diens opponent te worden gezien. Het doet een beroep op ‘street wise’-vaardigheden die schaars zijn in de professionele omgeving waarin audi­tors worden opgevoed en opgeleid.

Inspiratie

Maar mooi is wel dat hier goed beschouwd een (verwaar­loosd) deel van de geschiedenis van het auditvak is te vinden. Niet het deel dat thuishoort op de afdeling ‘leuk en gezellig’, niet het deel dat makkelijk te verbinden valt met de wens om het imago van de auditor op te poetsen tot busines­spartner die alom gewaardeerd wordt door het management. Eerder van de afdeling ‘ingewikkeld en ongemakkelijk’, maar ook interessant en impactvol, in termen van maatschappelijke betekenis en doorwerking via alertheid van het manage­ ment en serieus genomen worden door de leiding.

Hier valt mogelijk inspiratie te ontlenen aan (vaak vervelend gevonden en weerstand opwekkende) journalisten als Alberto Stegeman die dit soort werk doen voor hun televisie­ programma’s. En hier valt mogelijk ook te leren van andere controle- en opsporingsinstellingen zoals bij de politie en het OM, waar infiltranten worden opgeleid en de veiligheid van vliegvelden bijvoorbeeld wordt getest door te kijken of het mogelijk is om veiligheidscamera’s te ontlopen en een tas vol wapens het vliegtuig in te smokkelen. Om vervolgens het management van de luchthaven daarmee te confronteren als het laatdunkend doet over de kans dat dergelijke risico’s zich zouden manifesteren.

Ik ben niet principieel tegen de verbreding van operational auditing naar management control auditing, maar wil er slechts voor waarschuwen dat zoiets zeker niet zonder risico is. Mij gaat het er niet per se om afscheid te nemen van toetsend onderzoek dat erop neer komt dat auditors managementsystemen onderzoeken en kijken naar control frameworks vanuit door de oprechte en begrijpelijke wens om organisatiebreed risico’s te mitigeren. Waar het mij om gaat is dat er bij elke audit tenminste óók de vraag wordt gesteld of ook een operational audit daarvan onderdeel kan zijn. Gewoon omdat je als auditor wil weten hoe het écht zit. Een groter respect voor juist dat aspect zou volgens mij goed passen bij herontdekking en herwaardering van het rijke verleden dat ons vak eigen is.

Literatuur

• Bos, P., Korte, R. de en J. Otten, ‘Management Control Auditing: bijdragen aan doelrealisatie en verbetering’, Auditing.nl, Driebergen, 2017.
• Driessen, A.J.G., Kerk, J.W. van der en A. Molenkamp, Operationele auditing, Een managementkundige benadering, Kluwer bedrijfsinformatie, Deventer, 1997.
• Driessen, A.J.G. en A. Molenkamp, Internal auditing, Een managementkundige benadering, Kluwer bedrijfsinformatie, Deventer, 2008.
• Hartog, P, Korte, R. de en J. Otten, ‘KAD+, Model voor het auditen van Management Control’, Auditing.nl, 2011.
• Korte, R. de, Meulen, I. van der en J. Otten, ‘KAD+, Management Control Auditing: bijdragen aan assurance & consulting activities’, Auditing.nl, Driebergen, 2011.
• Van Twist, M., Steen M. van der, Bouwmans H en H. Bekkers, De internal auditor in het publieke domein: drijfveren en dilemma’s, principes en paradoxen, Boom Lemma, Den Haag, 2013.