‘Rapporteren wat je ziet’

‘Rapporteren wat je ziet’

Auteur: Drs. Nicole Engel-de Groot RA
Beeld: Shutterstock
5 min

De rapportages van de IAD van DNB zijn op verzoek van de auditcommissie veranderd. Audit Magazine sprak met Alex Hilgevoord, hoofd IAD, over hun vernieuwde rapportages.

Welke rapportages brengt de IAD uit?

“Elke audit mondt uit in een rapportage met onze bevindingen. Daarnaast brengen we een kwartaalrapportage uit voor de directie, en daarna, voor de audit commissie. De audit commissie heeft een duidelijk beeld hoe zij geïnformeerd wil worden. Op basis van hun verzoek hebben we de kwartaalrapportage vernieuwd. Deze rapportage is ten opzichte van het verleden doelgerichter, compacter en informatiever geworden. Het zijn nu vijf á zes kantjes met de details in een bijlage. Voorheen hadden we meer de neiging te veel details in de rapportage te stoppen waardoor de boodschap wellicht verzandde. Het is een kunst om enerzijds niet te veel details op te nemen in de rapportage, maar anderzijds wel voldoende concreet te zijn opdat voor de lezer duidelijk is wat er aan de hand is en waar het zich afspeelt. Een heldere, concrete rapportage is enorm belangrijk. Het geeft ons ‘leverage’ in de organisatie wanneer wij in onze rapportage helder benoemen wat zich waar afspeelt. Daarnaast leidt een heldere rapportage met concrete aanbevelingen tot betere besluitvorming.”

“Het is een kunst om enerzijds niet te veel details op te nemen in de rapportage, maar anderzijds wel voldoende concreet te zijn”

Rapporteren jullie alleen (negatieve) bevindingen?

“We doen geen appreciative auditing. Dus ja, onze auditrapportages vermelden bevindingen op die punten waar de organisatie zich kan verbeteren. Onze auditaanpak start met een prikkelende negatieve hypothese. Bijvoorbeeld: ‘informatie is niet goed beveiligd’, of: ‘proces X is onvoldoende beheerst’. Vervolgens werken we deze hypothese uit in detailhypothesen volgens het waarom-waarom-waaromprincipe. Op het laagste niveau beoordelen we welke controls benodigd zijn en deze controls gaan we testen. Daarnaast brengen we voor bijna elke control de verklarende gedragscomponenten in beeld. Dat wil zeggen dat we niet alleen willen weten of een control werkt, maar als de control niet werkt waarom dat zo is. Het kan zijn dat er iets incidenteel fout is gegaan maar evengoed kan het zijn dat de medewerker onwetend, onwelwillend, onkundig of niet voldoende bevoegd is.

Wat is de meerwaarde van de bevindingen?

“De meerwaarde van onze bevindingen schuilt in het begrijpen waarom een control niet werkt. Vaak blijkt dat root-causes zich niet geïsoleerd voordoen op één afdeling of proces maar dat er sprake is van een organisatiebreed voorkomende oorzaak die ervoor zorgt dat controls in meerdere processen niet werken. DNB is wat dit betreft niet uniek. Het consequent doorgronden van de oorzaak van niet werkende controls is relatief nieuw voor onze afdeling. We hebben deze auditaanpak opgezet in samenwerking met onze collega’s, die zich bezig houden met de toezichtaspecten gedrag en cultuur. De kracht is dat we niet gedrag en cultuur tot auditobject verheffen, maar dat we gedrag en cultuur als te onderzoeken elementen toevoegen aan al onze audits, zelfs onze EDP-audits.”

Alex Hilgevoord, DNB: “We bieden een spiegel. Het gaat erom dat er een gesprek ontstaat over zaken die aandacht vragen en de IAD heeft daar een belangrijke rol in.

Moet je als auditor alles kunnen onderbouwen met bevindingen?

“Een van mijn collega-CAE’s vergeleek zijn rol als auditor ooit met die van de hofnar. Je kunt alles zeggen tegen de koning maar je hoofd gaat er nooit af. Tegelijkertijd zijn er anderen, bijvoorbeeld Thijs Smit (momenteel chief internal auditor CHV), die zeggen dat een auditor een relatie toch steeds een beetje stuk maakt. De houdbaarheid van de auditors en de CAE is daarom niet oneindig. Ik geloof dat je als auditor best ver mag gaan om gewoon te zeggen en te schrijven wat je vindt. Je mening geven zonder dat je ergens uitgebreid onderzoek naar hebt gedaan waarbij alles gestoeld is op gedocumenteerde bevindingen.”

“Een belangrijk onderdeel van onze kwartaalrapportage bestaat uit onze indrukken: wat zien we in de organisatie, welke patronen nemen we waar, waar vragen we aandacht voor? We bieden een spiegel. Het gaat erom dat er een gesprek ontstaat over zaken die aandacht vragen en de IAD heeft daar een belangrijke rol in. We dienen, los van onze audits en daaraan gerelateerde bevindingen, ook terug te geven wat we zien en wat we daarvan vinden.”

Hoe zorgen jullie voor urgentie voor acties?

“Onze auditrapportages zijn concreet. Er moet duidelijk blijken wat zich waar voordoet. De auditcommissie stuurt hier zeer nadrukkelijk op. Uit onze rapportages dienen zij te kunnen lezen wat de bevindingen zijn en waarom zaken niet op tijd zijn opgelost. We nemen voor elke managementactie een vervaldatum op. Als de vervaldatum overschreden wordt zal de divisie uitleg moeten geven en kan de directie of de auditcommissie om een nadere uitleg vragen. Dit vergroot onze leverage in de organisatie.”

Wat vindt u van het openbaar maken van jullie rapportages?

“Bij de Scandinavische Centrale banken gebeurt dit al. Ik ben er zelf geen voorstander van. Je gaat dan toch een soort van zelfcensuur toepassen. Juist het intern kunnen noemen van man en paard is waardevol, dat ga je misschien minder snel doen. Op het vlak van monetair beleid zie je dat in de Verenigde Staten en Europa de autoriteiten meer en meer communiceren en daarmee de verwachtingen in de financiële markten actief sturen. Forward guidance wordt dit dan genoemd.”

“Ten tijde van de financiële crisis in 2008-2009 telden journalisten het aantal verlichte ramen ‘s avonds laat bij DNB om zo af te leiden of er wat aan de hand was”

Welke rol speelt social media in het communicatiebeleid van DNB?

“Ten tijde van de financiële crisis in 2008-2009 telden journalisten bij DNB het aantal verlichte ramen ‘s avonds laat om zo af te leiden of er wat aan de hand was. Toen in het weekend een bankbestuurder werd gesignaleerd op het Frederiksplein kwam er een geruchtenstroom op gang. Social media versterken in toenemende mate dit soort geruchten. Binnen toezicht zijn we toentertijd al actief social media gaan monitoren. Wat was de teneur van de berichtgeving, wat betekende dit voor concrete financiële instellingen en wat gaan we daarmee doen? We hebben toen besloten actief te communiceren met de buitenwereld om feiten en fictie te scheiden. Tegelijkertijd is je mate van transparantie als toezichthouder per definitie beperkt en moet elk woord op het spreekwoordelijke gouden schaaltje.”

Maar jullie zijn als IAD zelf niet actief op social media?

“Ik vind dat wij als IAD zelf niet actief dienen te zijn op social media. Uiteraard mag je dit privé doen maar uit hoofde van je werknemerschap dien je uitermate terughoudend te zijn met werkgerelateerde berichtgeving. Het is glad ijs, je loopt een groot reputatierisico als zaken opgepikt worden die niet bestemd zijn voor de buitenwereld.”

Ten slotte, waar gaan jullie nog aan werken in de rapportages?

“We zijn van plan om voor de eigen afdeling kritieke prestatie-indicatoren (KPI’s) te ontwikkelen die aan moeten geven hoe wij als IAD ons werk doen. De KPI’s dienen zaken als kwaliteit en klanttevredenheid te meten. Wij stellen ons daarmee kwetsbaar op, maar wat we zelf vragen aan onze auditees dienen we ook zelf te belijden. Professionaliteit dus en motivatie om jezelf te verbeteren!”

Over
Alex Hilgevoord werkt sinds 1997 bij De Nederlandsche Bank, daarvoor werkte hij zes jaar bij Deloitte. Bij DNB was hij de eerste zes jaar toezichthouder bij banken, sinds 2013 is hij afdelingshoofd Internal Audit.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp: