Zekerheid: een onbereikbare ambitie

Zekerheid: een onbereikbare ambitie

Auteur: Virginie de Rooij MSc
Beeld: Adobe Stock - Dorothe Wouters - Olga Shenderov
9 min

Als auditor houden we de organisatie een spiegel voor. We vertellen hoe de interne beheersing ervoor staat en hoe het risicomanagement is ingericht. We claimen met onze methoden zekerheid te kunnen verschaffen. Maar kan dat wel? De wetenschap blijkt deze ambitie al een eeuw geleden naast zich neer te hebben gelegd.

Bestuurders, de maatschappij, aandeelhouders. Het zijn verschillende partijen met verschillende belangen bij een organisatie, maar ze hebben allemaal een ding gemeen: ze willen graag weten wat er écht speelt binnen de organisatie. Want pas als zij transparante, objectieve informatie hebben, kunnen zij de juiste keuzen maken ten aanzien van de organisatie die zij besturen, vertrouwen of waarin zij hebben geïnvesteerd. Die informatie kunnen zij vaak niet zelf vergaren. Ze hebben daarom een onafhankelijke derde partij nodig, die objectief is.

Vraag stijgt

Die derde, onafhankelijke en objectieve partij is gevonden in de internal auditfunctie (Power, 1997). Hoewel nog niet alle organisaties deze functie hebben ingericht, stijgt de vraag naar dergelijke functies (al dan niet door druk van buitenaf). Deze ontwikkeling is ook te zien in de herziene Nederlandse Corporate Governance Code waarin de positie van de internal auditor nadrukkelijker naar voren is gebracht. Ook binnen de (rijks)overheid zijn functies gecreëerd die zorgen voor een onafhankelijke en objectieve blik op hoe de overheid functioneert en hoe dat beter kan.

Zoektocht

Die zoektocht naar objectieve informatie door verschillende belanghebbenden maakt de behoefte waaraan de internal auditfunctie moet voldoen helder: de organisatie of opdrachtgever een spiegel voorhouden hoe het er werkelijk aan toe gaat. Dit zoeken naar de werkelijkheid wordt al eeuwen gedaan door een andere beroepsgroep: de wetenschappers. Wetenschappers willen graag verklaren wat er om ons heen gebeurt. Om dit doel te bereiken, schetsen ze – net als de auditors – een beeld van de werkelijkheid. De manieren waarop auditors en wetenschappers te werk gaan verschillen echter sterk van elkaar.

In de International Professional Practices Framework (IPPF) van het IIA ligt vast hoe de internal auditor de organisatie een spiegel voorhoudt. Een spiegel die de werkelijkheid moet reflecteren. Hoe de wetenschapper zoekt naar de werkelijkheid veranderde in de loop van de eeuwen sterk. Waar internal auditors zoeken naar een beeld dat ze verwachten – door de verwachte beheersmaatregelen te verifiëren – hebben wetenschappers een stap gemaakt naar het zoeken naar het onverwachte door middel van falsificatie. Een reis door de ontwikkelingen die de wetenschap door de eeuwen heen heeft doorgemaakt, zou daarom een leerzame reis zijn voor ons auditors.

Objectiviteit

Wellicht is de eerste reactie van veel auditors dat audit geen wetenschap is. Dus waarom zouden we ons vakgebied langs deze meetlat leggen? Hoewel het doel van de auditor (waarderen of een oordeel geven) een andere is dan dat van de wetenschapper (verklaren), is hun startpunt wel hetzelfde: beiden schetsen een beeld van de werkelijkheid. Hoe zij dit beeld schetsen, is gebaseerd op dezelfde aannamen over de werkelijkheid.

De aanname die wij auditors doen is dat wij objectief zijn en ons niet laten beïnvloeden door anderen of door eigen belang in ons werk

De aanname die wij auditors doen – en die vastligt in onze Code of Ethics – is dat de auditor objectief is en zich niet laat beïnvloeden door anderen of door eigen belang in zijn of haar werk. Deze aanname is ook het uitgangspunt van de oudste wetenschapsfilosofische stroming: het rationalisme. Wetenschappers in deze traditie gaan ook uit van een objectieve werkelijkheid buiten henzelf die zij als buitenstaander kunnen bestuderen (De Vries, 1995; Koningsveld, 2006). De assumpties van auditors en rationalistische wetenschappers over de werkelijkheid zijn dus gelijk en wat zij doen is dat ook: het ‘op afstand’ schetsen van een beeld van de werkelijkheid.

Hoewel de doelen en uitgangspunten van auditors en rationalistische wetenschappers overeenkomen, verschillen hun methoden. Wat kunnen wij leren van de eeuwen aan ontwikkeling van het rationalisme?

Zekerheid is onmogelijk

De internal auditor geeft assurance. Assurance bij een vooraf gestelde norm. Dit kan zowel een norm zijn van een opdrachtgever als een norm die de auditor samen met de opdrachtgever heeft vastgesteld. Zoals een best practice, of bekende modellen zoals COSO IC. Wij auditors kunnen, met een deugdelijke grondslag, in onze rapporten zekerheid bieden aan de opdrachtgever over hoe het er in de organisatie aan toe gaat.

 

Maar bestaat er wel zoiets als zekerheid? De rationalist Karl Popper was daar begin 20e eeuw heel duidelijk over en kwam met een doorbrekend nieuw inzicht: zekerheid bestaat niet. Zekerheid geven is dus ook onmogelijk. Om dit aan zijn tijdgenoten uit te leggen, gebruikte hij het beroemde voorbeeld van de witte zwanen. Hoeveel witte zwanen moet je zien om zeker te weten dat alle zwanen wit zijn? ‘Heel veel’ is een intuïtief antwoord. Een auditor zou er misschien spreiding bij halen: ‘heel veel’ op verschillende plaatsen en in verschillende tijdvakken. Nee, zei Popper, ook al zie je een miljoen witte zwanen, je kunt nooit zeker weten of je op een dag geen zwarte zwaan tegenkomt. Uiteindelijk kwam de mensheid zo’n zwarte zwaan tegen aan de andere kant van de wereld: in Australië.

Achterhaald

Het idee van zekerheid is volgens de rationalisten dus achterhaald. Volgens Popper weten we nooit iets zeker, maar kunnen we wel steeds dichter bij het verklaren van de werkelijkheid komen door zaken ‘voorlopig aan te nemen’ en voortdurend verder te zoeken naar een ‘betere’ versie van de werkelijkheid (Popper, 2002). Om dit te kunnen doen zijn er natuurlijk methoden nodig. En juist in die methoden zit een tweede groot verschil tussen het vakgebied auditing en de rationalistische wetenschap.

Werken met verificatie

De auditor heeft een norm, werkt deze uit naar verwachte beheersmaatregelen of beoordelingscriteria en stelt vast hoe deze kunnen worden bevestigd tijdens het veldwerk. Dit is verificatie: je verwacht iets aan te treffen in het veldwerk en gaat daarnaar op zoek.

Het verifiëren van het bestaan van iets wat je verwacht aan te treffen, betekent nog niet dat iets wat je niet verwacht (een zwarte zwaan) er niet is

Rationalistische wetenschappers werkten tot in de 20e eeuw ook met verificatie. De leden van de Wiener Kreis – beter bekend als de logisch positivisten – introduceerden universele regels voor het ontwikkelen van een beeld van de werkelijkheid en wetenschappelijke kennis. Een van de regels was het verificatiecriterium: door middel van het waarnemen van feiten – de ‘rock bottom of knowledge’ – kon een theorie of model worden geverifieerd.

Falsificatie

Het was weer Karl Popper die deze manier van werken verwierp op basis van zijn eerdere claim dat zekerheid niet bestaat. Want het verifiëren van het bestaan van iets wat je verwacht aan te treffen, betekent nog niet dat iets wat je niet verwacht (een zwarte zwaan) er niet is. Popper introduceerde daarom het idee van falsificatie: we komen pas tot een beter beeld van de werkelijkheid als we juist actief op zoek gaan naar iets dat we niet verwachten (Popper, 2002). Door zelf te proberen ons beeld van de werkelijkheid omver te halen, komen we steeds iets dichter bij de échte werkelijkheid. We gaan actief op zoek naar het tegendeel. Hoewel absolute zekerheid niet bestaat, hebben we meer recht van spreken als we een verklaring of beeld van de werkelijkheid als voorlopig aanvaarden.

Maar kunnen we het ‘niet vinden’ van een verwachte beheersmaatregel binnen auditmethodologie dan toch ook niet zien als een vorm van falsificatie? Helaas niet. Om het voorbeeld van Popper opnieuw te gebruiken: het niet vinden van een witte zwaan is iets anders dan actief op zoek gaan naar een zwarte. Want als je een witte zwaan niet vindt, weet je nog niet of er wel zwarte te vinden zijn.

De werkelijkheid toetsen aan een model

Waar de rationalist ook falsificeert, verifieert de auditor enkel. De objecten van onderzoek van beide vakgebieden verschillen echter van elkaar. De rationalistische wetenschapper creëert met een theorie een model van de werkelijkheid. Door de erfenis van Karl Popper toetsen wetenschappers deze theorie nu door middel van falsificatie. De wetenschapper schept dus een beeld, en toetst dit beeld vervolgens met wat hij in de werkelijkheid tegenkomt. Klopt dit niet, dan wordt het model aangepast en is het verbeterd. De (vroegere) externe accountant deed dit eigenlijk ook. De opdrachtgever maakte – door middel van een jaarverslag – een afspiegeling van hoe een organisatie er financieel voor stond. Vervolgens toetste de accountant dit door in de ‘werkelijkheid’ (de balans en de financiële transacties) te gaan kijken hoe de organisatie er écht voor stond. De afspiegeling van de opdrachtgever werd getoetst aan de werkelijkheid.

Ideaalbeeld, niet de werkelijkheid zelf

In de loop der tijd, met de ontwikkeling van de internal auditprofessie, is op dit gebied iets opvallends gebeurd. Waar de wetenschapper (en de externe accountant) een model of jaarverslag namen als te toetsen object en dit toetsten aan de werkelijkheid, toetst de internal auditor de werkelijkheid aan een model of ideaalbeeld van de opdrachtgever. De internal auditor gebruikt namelijk in het vakgebied ontwikkelde modellen – zoals COSO IC, COSO ERM, COBIT of INK – of een ideaalbeeld van de opdrachtgever als norm in een audit, en niet de werkelijkheid zelf. Daarmee verifieert de auditor de praktijk aan de hand van een model, in plaats van het falsificeren van het model in de praktijk. Precies omgekeerd dus.

Problematisch

De manier van werken is door de jaren heen gelijk gebleven: het opstellen van een norm en het bevestigen van een verwachte beheersmaatregel. Het object van de toets is echter verschoven van het model naar de werkelijkheid zelf. Dit is om twee redenen problematisch. Allereerst zijn de modellen die wij in het vakgebied gebruiken, opgesteld door mensen met veel ervaring in het vakgebied. Zij hebben best practices gebruikt om deze modellen op te stellen. De modellen zijn echter niet streng getoetst (zoals in de wetenschap gebruikelijk is).

Hierdoor staat de vraag open of, bijvoorbeeld, de bouwstenen van COSO IC echt leiden tot interne beheersing. Als we COSO IC analyseren, blijkt dat het model claimt dat met de implementatie van de bouwstenen de organisatie een systeem van interne beheersing heeft opgezet. Of deze bouwstenen ook daadwerkelijk leiden tot een beheerste organisatie, is nooit wetenschappelijk getoetst (door middel van falsificatie). Bovendien worden de bouwstenen zeer breed gedefinieerd, zodat iedere manager hier zelf invulling aan kan geven. Dit leidt tot de vraag welke invulling de juiste is om te kunnen spreken van een beheerst systeem.

Een reis door de ontwikkelingen van de wetenschap zou een leerzame reis zijn voor auditors

Auditors doen wereldwijd aanbevelingen om huidige situaties in organisaties aan te passen naar het ideaalbeeld van deze modellen, maar er is nooit door middel van falsificatie getoetst of organisaties die voldoen aan dit ideaalbeeld, inderdaad meer beheerst zijn, beter presteren of langer bestaan.

Hoe nu verder?

Zowel het vakgebied als de individuele auditors kunnen iets leren van de ontwikkelingen die de rationalistische wetenschapsfilosofie in de loop der eeuwen heeft doorgemaakt. Het vakgebied auditing is aan de kant van de audit practitioners al sterk ontwikkeld. Het zijn ook deze practitioners die modellen opstellen van best practices, die zij tegenkomen in hun werkpraktijk. De wetenschappelijke kant van het vakgebied kan sterker worden ontwikkeld. Wie toetst de modellen die door practitioners worden opgesteld? Hier ligt een rol die kan worden gepakt door universiteiten en academici.

Beter beeld kunnen schetsen

Als het vakgebied zich verder ontwikkelt, zullen de auditors in hun dagelijkse werk de kennis die wordt opgedaan binnen het vakgebied kunnen gebruiken om een beter beeld te schetsen van een organisatie voor de opdrachtgever. Zoals de hedendaagse rationalisten weten, leidt meer bewijs niet tot meer zekerheid. In audits zal daarom ook niet langer alleen naar bewijs moeten worden gezocht, maar ook naar ontkenning van een verwacht beeld. Door falsificatie als onderzoeksmethode te introduceren naast de huidige werkwijze, kan tot meer zekerheid worden gekomen, ook al is absolute zekerheid onmogelijk. Hoe deze falsificatie er in de dagelijkse praktijk uit zou moeten zien, dient nader te worden onderzocht.

Zoals de hedendaagse rationalisten weten, leidt meer bewijs niet tot meer zekerheid

Waarom aanpassen?

Tot slot dan nog de hamvraag: waarom zouden we onze onderzoeksmethoden, die al jarenlang goed hebben gewerkt, aanpassen? Het belang van zo’n aanpassing ligt bij de bestuurders, de maatschappij en de aandeelhouders waarmee dit artikel begon. Deze partijen willen zekerheid over de organisatie die zij besturen, die zij vertrouwen of waarin zij hebben geïnvesteerd. Absolute zekerheid is echter niet mogelijk. Het is wel mogelijk om een steeds beter beeld te schetsen voor deze partijen. Daarbij moet transparant worden gemaakt op basis van welke modellen de auditor zijn beeld van de werkelijkheid heeft gebaseerd. Dit is de hoogst mogelijke vorm van inzicht die de verschillende belanghebbenden kunnen krijgen.

Ambitie bijstellen

Zekerheid is dus een onbereikbare ambitie. Die ambitie kunnen en zullen we moeten bijstellen. Ook met een bijgestelde ambitie heeft het vakgebied het in zich een brandende vraag in de maatschappij te beantwoorden door meer inzicht te geven in wat er werkelijk speelt. De onafhankelijke positie van de auditor is hiervoor bij uitstek geschikt. Door onszelf te ontwikkelen zullen we dit inzicht steeds beter kunnen geven. We moeten dan wel transparant zijn in wat wij de opdrachtgever kunnen bieden: het voorhouden van een spiegel. Een spiegel die steeds beter reflecteert.

De scriptie Een spiegel van de werkelijkheid van de auteur van dit artikel is de basis van dit artikel. De hele literatuurlijst is te vinden in de scriptie, die is gepubliceerd op de website van de SVRO (nominaties scriptieprijs 2018).

Over
Virginie de Rooij MSc is onderzoeker bij de Algemene Reken­kamer. Daarnaast doet zij onderzoek naar auditmethodologie aan de Erasmus School of Accounting and Assurance. Haar scriptie Een spiegel van de werkelijkheid werd door de examencommissie van de opleiding Internal Auditing and Advisory (Erasmus Universiteit) gewaardeerd met een 10. Tijdens het IIA-congres 2018 ontving zij de Internal Audit Scriptie Award.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Illusory risk management

Risicomanagement wordt doorgaans vormgegeven als een separaat systeem. In dit artikel ga ik na in hoeverre deze conventionele benadering ontaardt in een illusoir geheel. Als alternatief bespreek ik de waardemanagementbenadering, die managementteams helpt om samen te werken bij het blijven creëren én beschermen van wat hun kernstakeholders waardevol vinden. Op de jaarlijkse conferentie van IIA […]

Lees meer