Meer dan kwaliteit

Auditors die auditors beoordelen. Het Kwaliteitsonderzoek Overheidsauditors (KOA) is een uniek en volwassen samenwerkingsverband van auditdiensten die bij elkaar de kwaliteitstoets uitvoeren voor het IIA, de NBA en NOREA. Ook organiseert het KOA kennissessies voor leden. Adri de Bruijn en Martijn van den Berg over het KOA en een belangrijk onderwerp van een kennissessie: de menselijke maat.

Kunnen jullie jezelf even voorstellen?

Adri de Bruijn (AB): “De helft van mijn werkzame leven heb ik gewerkt bij de overheid, eerst bij de Belastingdienst en daarna bij Defensie. Ik ben opgeleid als accountant en later heb ik de IT-auditopleiding (RE) gevolgd in Amsterdam. De andere helft heb ik gewerkt bij PwC (onder andere als partner) binnen de publieke sector als IT-auditor en later in de IT-advisering. In 2019 ben ik bij PwC gestopt. Vervolgens ben ik medio 2020 gestart als onafhankelijk voorzitter van het KOA. Daarnaast ben ik actief als voorzitter van de Raad voor Beroepsethiek bij NOREA en voorzitter van de toetsing van de onderwijsinstellingen voor de IT-auditopleidingen. Als laatste ben ik sinds september 2022 lid van het adviescollege ICT-toetsing, dat de overheid over grote IT-projecten adviseert.”

Martijn van den Berg (MB): “Ik ben opgeleid als bedrijfskundige. In 2009 heb ik de operational-auditopleiding (RO) gevolgd in Rotterdam. Ik heb altijd gewerkt binnen audit in het publieke domein. Ik ben begonnen bij de (voorlopers) van de Auditdienst Rijk en heb daar 12,5 jaar gewerkt. In 2018 heb ik de overstap gemaakt naar de Rijksdienst voor Ondernemend Nederland (RVO). Ik ben daar hoofd Internal Audit. We hebben een breed palet aan dienstverlening. De afdeling bestaat uit 45 collega’s verdeeld over drie teams. Eén team vervult de rol van certificeringsautoriteit in het speelveld van Europese subsidieverstrekking. De overige twee teams vervullen de interne auditfunctie voor RVO en het Instituut Mijnbouwschade Groningen (IMG). Daarnaast ben ik bestuurslid van het KOA en namens Nederland ook lid van het audit committee van de European Space Agency (ESA).”

Adri de Bruijn: “Het doel van het KOA is dat de auditdiensten bij elkaar de toets uitvoeren voor de kwaliteitstoets van de NBA, het IIA en NOREA”

Wat is het KOA?

AB: “Het KOA ontstond ongeveer twintig jaar geleden. Het KOA is een samenwerkingsverband en geen vereniging of stichting en heeft inmiddels 26 leden. De leden zijn auditdiensten binnen de overheid. Die variëren van heel klein (een fte) tot de Auditdienst Rijk (ruim zeshonderd fte). Ons ledenbestand is divers. Het doel van het KOA is dat de auditdiensten bij elkaar de toets uitvoeren voor de kwaliteitstoets van de NBA, het IIA en NOREA. Wij zijn geaccrediteerd voor de NBA en NOREA. Het IIA kent geen accreditatieproces. Iedere kwaliteitstoetser, ook die van het KOA, is verplicht om de opleiding kwaliteitstoetsing van het IIA te volgen. Daarnaast hebben wij een eigen training voor onze onderzoekers. We stellen voor de kwaliteitstoetsing teams samen die bestaan uit twee of drie leden van verschillende auditdiensten. Dit team voert de kwaliteitstoets uit bij een andere auditdienst op basis van gesloten beurzen. De aangesloten auditdiensten zijn verplicht om auditors vrij te maken om kwaliteitstoetsen uit te voeren.”

Hanteren de NBA, het IIA en NOREA dezelfde normen?

AB: “Er zijn verschillen in toetstermijnen van het IIA (vijf jaar), de NBA (zes jaar) en NOREA (vier jaar). We hebben binnen het KOA afgesproken dat bij de aangesloten leden een keer in de vier jaar alle toetsingen worden uitgevoerd die voor hen relevant zijn. Dit verschilt natuurlijk per IAF. Er zijn bijvoorbeeld IAF’s die de wettelijke jaarrekeningcontrole uitvoeren en IAF’s met alleen RO’s.”

MB: “Met deze termijn leggen we onszelf dus een strengere norm op dan door de beroepsorganisaties bepaald is.”

AB: “Bovendien hebben het IIA, de NBA en NOREA verschillende toetsingskaders en aanvullende wensen. Het IIA vindt het bijvoorbeeld belangrijk de mening van de stakeholders (bijvoorbeeld raad van commissarissen en de raad van bestuur) over de IAF mee te wegen. Deze onderdelen nemen we ook mee in de kwaliteitstoets bij de NBA- of NOREA-toets.”

Hoe kijken het IIA, de NBA en NOREA naar jullie?

AB: “Eerst was hun beeld dat we de hele overheid toetsen, maar dat is niet zo en dat is nu wel helder. Daarnaast hebben we periodiek overleg, bijvoorbeeld met het Toezicht op Kwaliteitstoetsingen van het IIA. Op deze manier hebben de beroepsorganisaties een beter beeld van wat we doen en vooral van wat we niet doen. De contacten met de beroepsorganisaties zijn goed.”

Hoe gaan jullie om met de verschillende groottes van de IAF’s?

MB: “De grootte van de IAF maakt in principe geen verschil. De verschillende beroepsorganisaties hebben normen opgesteld waaraan een IAF moet voldoen en daar marchanderen we niet in. Tegelijkertijd schetsen we ook de context van de IAF. Daarnaast zijn we met het IIA in gesprek, omdat we zien dat kleine IAF’s moeite hebben om aan een aantal normen te voldoen.”

Tegen welke uitdagingen lopen kleine IAF’s aan?

AB: “We hebben op dit moment twee situaties waarin we een IAF hebben met een zelfsturend team zonder CAE. De vraag is: wie is dan de kwaliteitsbepaler? Hoe ga je daarmee om.”

MB: “Daarnaast is de ‘ophanging’ van de IAF soms een discussiepunt. Als de IAF niet direct onder de CEO valt, welke escalatiemogelijkheden zijn er dan ingericht?”

Hoe wordt het oordeel bepaald?

AB: “De basis is de normstelling van de beroepsorganisaties. Het kwaliteitsteam stelt op basis van de normstelling een oordeel voor en twee bestuursleden zijn verantwoordelijk voor de begeleiding van het onderzoek. Het eindoordeel wordt in de bestuursvergadering vastgesteld.”

MB: “We hebben een verschil tussen een aanwijzing en een advies. Een aanwijzing is een noodzakelijke verbetering om aan de norm te voldoen en een advies is een verbetering om de IAF verder te versterken. Het komt daarbij ook weleens voor dat een negatief oordeel gegeven wordt. De IAF is er overigens zelf verantwoordelijk voor om de uitkomsten te delen met de beroepsorganisatie.”

Martijn van den Berg: “We streven groei van ons ledenbestand na, maar wel gepast, zodat de kwaliteit geborgd blijft”

Hoe kan een IAF toetreden?

MB: “Allereerst moet een IAF binnen onze doelgroep vallen. De IAF moet zich bijvoorbeeld in het publieke domein bevinden. Daarna voert het KOA bij elk nieuw potentieel lid een entreetoets uit. Dit is een kwaliteitstoets zonder eindoordeel. We krijgen er per jaar ongeveer twee of drie nieuwe leden bij. We streven groei van ons ledenbestand na, maar wel gepast, zodat de kwaliteit geborgd blijft. Groei behoort dus wel tot onze strategie, omdat het past bij de doelstelling om het niveau van audit binnen het publieke domein te verhogen.”

Wat zijn de grootste uitdagingen van het KOA?

AB: “Het vinden van voldoende kwaliteitstoetsers en het maken van de planning. We zien een verschuiving van de werkzaamheden van de IAF van financial naar internal audit, dat vraagt andere kennis. We organiseren jaarlijks een bijeenkomst voor de toetsers om hun kennis te actualiseren.”

MB: “Sinds een aantal jaren is een IAF in Caribisch Nederland lid, dan is het tijdstip van overleggen een uitdaging. Bovendien zou het mooi zijn als de drie beroepsorganisaties één toetsingskader ontwikkelen.”

Waar zijn jullie trots op?

MB: “Dat we in staat zijn om de kwaliteitstoetsen op een hoog niveau uit voeren met gesloten beurzen. Daarnaast is het mooi om te zien dat er onder onze leden een hecht netwerk ontstaan is.”

Hoe voorkomen jullie biases bij de kwaliteitstoetsers?

MB: “Door te werken met samengestelde teams, een review van het bestuur en een onafhankelijk deskundig adviseur.”

Wat is de waarde van het KOA?

MB: “Als getoetste IAF krijg je kwaliteitstoetsers die bekend zijn met de publieke sector. Daarnaast komen onze auditors als kwaliteitstoetsers bij andere organisaties, zij komen met goede ervaringen en best practices terug. Hierdoor vindt over en weer kennisuitwisseling plaats. In ons statuut (KOA) staat het bevorderen van kwaliteit van de leden. We hebben dit uitgangspunt lang heel ‘eng’ uitgelegd, in de zin van ‘we doen toetsingen’. Vanaf 2020 is het bestuur van KOA uitgebreid, daardoor is ruimte ontstaan om aan dit uitgangspunt breder invulling te geven.”

Wat is deze bredere invulling?

AB: “We organiseren kennissessies voor de leden van het KOA. Het doel van deze kennissessies is van elkaar te leren. We hebben een kennissessie gehad met Kris Douma, voorzitter van de NBA. Hij was in het verleden ook lid van de commissie van de Rijksuitgaven. Hij gaf in deze sessie terug hoe hij aankijkt tegen audit en de IAF. Daarvoor hebben we een sessie gehad over audit quality indicators.”

Onlangs organiseerden jullie een kennissessie over ‘de menselijke maat’

MB: “De menselijke maat is binnen de overheid een actueel thema. Een aantal leden van het KOA zijn uitvoeringsorganisaties en zij lopen aan tegen de dilemma’s die dit onderwerp met zich meebrengt. In mijn rol als CAE bij een uitvoeringsorganisatie stel ik mij de vraag: hebben wij bij de implementatie van de menselijke maat een stimulerende of een beperkende rol als IAF richting onze organisatie? In deze kennissessie zijn we begonnen met een presentatie van iemand van de Rekenkamer. Het gaat daarbij niet alleen om de menselijke maat van de uitvoeringsorganisatie, maar ook van de IAF naar de audittee. Durven we echt te luisteren naar de audittee en zijn uitdagingen? De regels zijn niet altijd zwart-wit en bevatten vaak speelruimte. De politieke sturing is namelijk nooit zo rigide dat je geen ruimte hebt. De uitdaging voor een publieke organisatie is welke ruimte je neemt en vervolgens hoe je deze genomen ruimte vanuit auditperspectief beoordeelt.”

Wat is de menselijke maat?

AB: “De menselijke maat is behoorlijk bestuur en behoorlijk bestuur ligt ook vast in het regeerakkoord. Dus je moet goed omgaan met je burgers en die raken soms verstrikt in alle regels. Daarnaast geeft oud-ombudsman Alex Brenninkmeijer aan dat de systeemwereld van de overheid heel waardevol is, maar ook erg complex. Volgens hem is het belangrijk om een interface te maken voor de burgers/gebruikers tussen hun wereld en de complexe systeemwereld van de overheid. Deze interface is dat je als overheid bereikbaar bent, mensen serieus neemt, mensen met respect behandelt en als laatste, het uitgangspunt hanteert dat de meeste mensen deugen. Dit ziet hij als de menselijke maat, ofwel behoorlijk bestuur.”

Martijn van den Berg: “Durven wij dat als auditor ook op te schrijven en te adviseren om de wet/norm aan te passen?”

Wat is het belangrijkste leermoment van deze sessie?

MB: “Durft een auditor ook vast te stellen dat ‘iets’ misschien niet volgens de letter van de wet is, maar wel in lijn met de geest van de wet. Durven wij dat als auditor ook op te schrijven en te adviseren om de wet/norm aan te passen? Daarmee kun je als IAF stimuleren dat de organisatie volgens de geest van de wet handelt. Voor organisaties is het al spannend om volgens de geest van de wet te handelen en het is niet de bedoeling om deze discussie dood te slaan. Dat vraagt ook een andere houding van auditors.”

AB: “Auditors hebben op dit gebied een signalerende functie. Zij kunnen afwijkingen van de regels signaleren, maar ook aangeven dat regels mogelijk knellen of dat er geen gebruik is gemaakt van de ruimte die soms in regels zit. Een mooi voorbeeld is binnen het UWV, daar heb je rode (niet afwijken), oranje (comply or explain) en groene (eigen beslisruimte) regels. Dus kijk als auditor naar de bedoeling achter de regels en signaleer als regels in de praktijk leiden tot niet-behoorlijk bestuur, maar oordeel niet.”