Auditmethodiek 2.0
Internal audit verandert in hoog tempo. Van auditteams wordt niet alleen zorgvuldigheid verwacht, maar ook richting, snelheid en zichtbare waarde. Aldus Mark Daamen en Björn Walrave van Ferocia, het bedrijf dat de Auditmethodiek 2.0 ontwikkelde: een gestructureerde, AI-ondersteunde aanpak voor relevante, deugdelijke en doelmatige audits.
Wat was de aanleiding om Auditmethodiek 2.0 te ontwikkelen?
Mark Daamen: “De aanleiding was een patroon dat we te vaak zagen: audits die technisch uitstekend waren, maar te weinig in beweging zetten. Dossiers waren compleet, bewijs stond als een huis en de bevindingen waren scherp geformuleerd. Toch voelde de eerste lijn zich onvoldoende eigenaar van de uitkomsten. Aanbevelingen verdwenen op actielijsten die keurig werden bijgehouden, terwijl de daadwerkelijke verandering uitbleef. Terugkijkend zagen we steeds hetzelfde mechanisme: de opdrachtgever werd te laat en te vluchtig betrokken bij de kern van de audit. De normen waartegen we toetsten waren inhoudelijk solide, maar niet geadopteerd door de mensen die ermee moesten werken. De audit was correct, maar niet van henzelf.”
Björn Walrave: “Dat is opmerkelijk, aangezien veel organisaties inmiddels het three lines model hebben omarmd. Volgens dat model ligt de verantwoordelijkheid voor een adequaat risicomanagementsysteem bij de eerste lijn: zij bepalen de koers, beheersen de risico’s en leveren de prestaties. De auditor toetst, geeft aanvullende zekerheid en draagt bij aan het lerend vermogen van de organisatie. Met Auditmethodiek 2.0 willen we deze rolverdeling explicieter maken en zorgen dat audits niet alleen correct zijn, maar ook daadwerkelijk bijdragen aan verandering.”
Mark Daamen: “We zagen steeds hetzelfde mechanisme: de opdrachtgever werd te laat en te vluchtig betrokken bij de kern van de audit”
Waarin verschilt Auditmethodiek 2.0 van meer traditionele auditbenaderingen?
Björn: “Een belangrijk verschil zit al aan de voorkant van de audit. In plaats van een klassieke intake waarin de auditor vooral zelf aan het woord is, begint Auditmethodiek 2.0 met een dialoog. Daarin maakt de opdrachtgever duidelijk wat hij met de audit wil bereiken, welke scope relevant is en hoe de gewenste mate van beheersing eruit moet zien. De auditor brengt methodologische scherpte in, helpt de scope te verhelderen en concretiseert het normenkader. Maar het is de opdrachtgever, vaak samen met de auditee, die richting geeft aan de opdracht, juist omdat hij ook de gevolgen van de uitkomst draagt. Dat verandert de energie aan de start: scope en normenkader voelen niet langer als iets wat audit oplegt, maar als een referentie die de eerste lijn mede heeft ontworpen. Herkenning en erkenning ontstaan daardoor al tijdens de voorbereiding, niet pas bij publicatie van het rapport.”
Mark: “In die voorbereiding is cocreatie het fundament. Het referentiemodel, dus het concrete en contextspecifieke normenkader, bouwen we samen met de eerste lijn. De auditor bewaakt de logica van doelstellingen, risico’s en beheersmaatregelen. Terwijl opdrachtgever en auditee invullen wat voor hen een realistisch en relevant niveau van beheersing is.”
Zijn er nog meer verschillen?
Björn: “Zeker. Dat zie je vooral in de rapportage- en opvolgingsfase. Het conceptrapport bevat nog steeds een feitelijk onderbouwd beeld, een scherp geformuleerd probleem en het bijbehorende risico. Maar waar auditors vroeger aanbevelingen presenteerden, organiseren we nu een werksessie waarin opdrachtgever en auditees zélf de oorzaken blootleggen en hun eigen acties formuleren. De auditor faciliteert, stelt de lastige vragen en bewaakt de logica tussen probleem, oorzaak en actie. Het resultaat is een verbeteragenda die inhoudelijk sterker is en meer draagvlak heeft, omdat zij ontstaat op de plek waar de verandering moet plaatsvinden.”
Mark: “Die omkering verandert ook de opvolging. Monitoring wordt geen administratieve afvinklijst meer, maar een gesprek over het effect van acties. De vraag is niet langer of iets is uitgevoerd, maar of het probleem echt is opgelost en het risico aantoonbaar is teruggedrongen. De auditee voert daarvoor zelf een eerstelijnscontrole uit, de tweede lijn toetst de kwaliteit en de auditor controleert steekproefsgewijs de uitkomsten. Zo blijft de driedeling in governance helder en rolvast. Omdat eigenaarschap ligt waar het hoort, kan internal audit zich richten op wat haar uniek maakt: de kwaliteit van de redenering, de deugdelijkheid van het bewijs en de betekenis van de uitkomst voor doelrealisatie en het lerend vermogen van de organisatie. Daarmee verschuift de rol van audit van het controleren van acties naar het toetsen van werkelijk effect.”
Gaat het nadrukkelijk betrekken van opdrachtgever en auditee niet ten koste van de onafhankelijkheid van de auditor?
Mark: “Integendeel. Onafhankelijkheid gaat niet over afstand, maar over rolzuiverheid. In Auditmethodiek 2.0 maken we juist veel explicieter wie waarvoor verantwoordelijk is. De opdrachtgever bepaalt welke informatie hij nodig heeft en draagt de gevolgen van die keuze. De auditee brengt in wat in de praktijk realistisch en relevant is. De auditor bewaakt de methodiek, de logica van doelen, risico’s en beheersmaatregelen en de kwaliteit van het toetsingsproces. Door die rollen helder te scheiden ontstaat scherpte en voorkomen we dat audit onbewust zelf normsteller wordt. Het oordeel blijft volledig onafhankelijk: de toetsing gebeurt altijd aan een vooraf overeengekomen normenkader, niet aan persoonlijke voorkeuren van de auditor.”
Björn: “Daar komt bij dat cocreatie plaatsvindt vóórdat het veldwerk begint. Dat is het moment waarop je samen een referentie ontwerpt. Zodra de toetsing start, is de rol van de auditor strikt die van toetser. De onafhankelijkheid staat daardoor niet onder druk, maar krijgt juist meer gewicht, omdat iedereen precies begrijpt waarop en waarom wordt getoetst.”
Björn Walrave: “Juist doordat het normbesef vooraf gedeeld is, verdwijnen veel misverstanden en discussies in de rapportagefase”
Kost deze manier van werken niet veel meer tijd?
Björn: “Het antwoord is tweeledig. Ja, het vooronderzoek vraagt extra investering: tijd om met opdrachtgever en auditee het gesprek te voeren over scope, norm en gezamenlijke taal. Maar nee, de audit wordt er niet trager van. Integendeel. Juist doordat het normbesef vooraf gedeeld is, verdwijnen veel misverstanden en discussies in de rapportagefase. Escalaties nemen af omdat oorzaken en acties door de lijn zelf zijn geformuleerd en in hun eigen planningsritme zijn opgenomen. De tijd die je steekt in het creëren van gemeenschappelijke scherpte win je terug in tempo, draagvlak en kwaliteit van verandering. Onze vrij toegankelijke AI-agents versterken dit effect: zij verkorten de doorlooptijd van het denkwerk zonder concessies te doen aan de diepgang en relevantie van de voorbereiding.”
Welke specifieke taken neemt AI in Auditmethodiek 2.0 over?
Mark: “We hebben een set AI-agents ontwikkeld die vrij toegankelijk zijn voor internal auditors. Zij ondersteunen juist in de kritieke voorbereidingsfase, waarin richting, scherpte en een gezamenlijke taal moeten ontstaan. Met enkele kerngegevens over het auditobject en de context kan een auditor binnen minuten een eerste beeld vormen van mogelijke risico’s, problemen en het krachtenveld. De AI-agents helpen vervolgens om de scope consistent te vertalen naar een helder geformuleerde auditdoelstelling. Ze reiken een conceptueel referentiemodel aan dat aansluit op gangbare frameworks en wet- en regelgeving. En doen suggesties voor risico’s en bijbehorende beheersmaatregelen. Ook bij het formuleren van tests en het bepalen van relevante bronnen bieden ze een solide vertrekpunt. Dat kan in het gesprek met opdrachtgever en auditee verder worden aangescherpt.”
Björn: “Belangrijk is dat deze AI-agents niets wegnemen van de professionele expertise van auditors. De AI-agents zijn geen orakels, maar hulpmiddelen: ze geven een vliegende start en maken het eenvoudiger om met sterke concepten aan tafel te verschijnen. Het is en blijft de auditor die de context inbrengt, het oordeel vormt en de verandering stimuleert.”
Welke waarde ervaren organisaties concreet van deze methodiek?
Björn: “Het grootste verschil dat organisaties merken is tempo én draagvlak. Besluitvorming gaat sneller omdat opdrachtgever en eerste lijn vanaf het begin meebepalen en het normenkader mede vormgeven. Daardoor verdwijnen veel misverstanden en discussies achteraf. Tegelijkertijd zien we meer implementatiekracht: verbeteracties komen niet van de auditor, maar uit de lijn zelf. Dat maakt ze realistischer, beter ingepast in bestaande processen en daardoor ook daadwerkelijk uitgevoerd.”
Mark: “Opdrachtgevers zeggen vaak dat de auditresultaten ‘van henzelf’ voelen. Dat is het verschil tussen een rapport dat in een la verdwijnt en een verbeteragenda die tot echte verandering leidt. Dáár zit de waarde: audits die niet alleen signaleren wat er misgaat, maar ook concreet bijdragen aan sterker risicobeheer en het realiseren van organisatiedoelen.”
Voldoet Auditmethodiek 2.0 aan de GIAS?
Mark: “Ja, volledig. De kernprincipes van onafhankelijkheid en objectiviteit zijn onverkort van kracht. Wat wij hebben gedaan, is die principes vertalen naar een aanpak die in de praktijk echt werkt. Zo sluit het gezamenlijk met de eerste lijn uitwerken van het referentiemodel goed aan bij principe 13.4 en het in werksessies met opdrachtgever en auditee vaststellen van acties bij principe 14.4. Daarmee voldoen we niet alleen aan de standaarden, maar brengen we de bedoeling van de GIAS tot leven.”
Björn: “Wij zien Auditmethodiek 2.0 dan ook niet als alternatief, maar als versterking. De GIAS zeggen wát internal audit moet zijn; onze methodiek laat zien hóe je dat in de praktijk bereikt. Met cocreatie, AI-ondersteuning in de voorbereiding en effectmeting in de opvolging helpen we auditors niet alleen aan formele naleving, maar vooral aan audits die zichtbaar waarde toevoegen aan de organisatie.”
Welke randvoorwaarden moeten aanwezig zijn om het goed te kunnen invoeren?
Björn: “De belangrijkste randvoorwaarde is een opdrachtgever die bereid is om echt aan het roer te staan. Dat betekent: vooraf expliciet maken welke informatie hij nodig heeft en verantwoordelijkheid nemen voor de keuzen die daaruit volgen. Zonder die betrokkenheid wordt het lastig om een normenkader te creëren dat gedragen wordt.”
Mark: “Daarnaast vraagt het om auditors die de rol van facilitator en sparringpartner durven aannemen. Niet alleen toetsen, maar ook het gesprek structureren en zorgen dat oorzaken en acties in samenhang worden opgepakt. Daar hoort scholing bij, want dit vraagt soms andere vaardigheden dan auditors traditioneel gewend zijn. Verder is een stevige borging in governance nodig: helder onderscheid in verantwoordelijkheden van de eerste, tweede en derde lijn. En ten slotte moet de organisatie bereid zijn om effectmeting centraal te stellen: niet langer tevreden zijn met afgevinkte acties, maar kijken of risico’s daadwerkelijk zijn teruggedrongen.”
Hoe wordt Auditmethodiek 2.0 in de praktijk uitgerold?
Björn: “We kiezen bewust voor een gefaseerde uitrol. Binnenkort ronden we een eerste consultatieronde af met hoofden van interne auditfuncties, waarin we de methodiek spiegelen aan hun praktijkervaring en prioriteiten. Tegelijkertijd is Auditmethodiek 2.0 al opgenomen in het leerprogramma van de postbacheloropleidingen Operational Auditing en IT-Auditing die wij samen met Habeo+ (het vroegere Avans+) aanbieden en in de Executive MSc of Auditing Studies aan de Amsterdam Business School. Zo bereiken we zowel de huidige auditleiders als de nieuwe generatie auditors. Zij raken vanaf het begin vertrouwd met de uitgangspunten van relevantie, deugdelijkheid en doelmatigheid. De uitrol verloopt dus langs twee sporen: praktijktoetsing én verankering in het onderwijs.”
Waar kunnen auditors de methodiek vinden?
Mark: “We willen dat zoveel mogelijk auditors met Auditmethodiek 2.0 aan de slag kunnen. Daarom hebben we een whitepaper geschreven waarin de aanpak uitgebreid wordt toegelicht. Daarnaast hebben we AI-agents ontwikkeld die auditors ondersteunen in de voorbereidingsfase, bijvoorbeeld bij het uitwerken van scope, normenkader en testplan. Zowel de whitepaper als de AI-agents zijn gratis beschikbaar via onze website.”
Over
Mark Daamen en Björn Walrave zijn partners bij Ferocia. Ferocia levert diensten op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement.
Reacties (0)
Lees meer over dit onderwerp:
De adviserende internal auditor: overdrijf het collisiegevaar niet…
Sinds jaar en dag speelt de vraag of en in hoeverre de internal auditor mag adviseren. De discussie lijkt maar niet te kunnen worden beslecht. Eigenlijk is dat vreemd, want het antwoord ligt vrij voor de hand.
Lees meerHandvatten voor en ervaringen met root cause analyses
Voor een internal auditfunctie (IAF) is het een uitdaging om met aanbevelingen te komen die de kernoorzaken van een tekortkoming wegnemen. Een goede oorzaakanalyse vereist kennis van analysemethoden en voldoende vaardigheden om deze toe te passen. In het IIA-artikel ‘Oorzaakanalyses in het kader van audits’, december 2014, is aandacht besteed aan een aantal methoden/technieken die […]
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.