Hoe blijft de internal auditor relevant?

Hoe blijft de internal auditor relevant?

Auteur: Max Lodder CISA – Raymond Wondergem MSc RO
Beeld: Adobe Stock - Casey Horner by Unsplash
7 min

In een wereld vol uitdagingen – kunstmatige intelligentie, environmental, social en governance, de groeiende behoefte aan psychologische veiligheid – wordt de rol van internal audit steeds veelzijdiger. Arco van de Ven, hoogleraar en commissaris, deelt in deze nieuwe rubriek zijn inzichten over hoe internal auditors relevant blijven in een steeds veranderende wereld.

Welke ontwikkelingen spelen er voor de internal auditor? 

“De mate van onvoorspelbaarheid in de huidige wereld maakt het uitdagend voor internal audit om objectieve normen te hanteren. Vaak toetsen we processen zonder te weten of de uitkomst daadwerkelijk klopt. Dit bemoeilijkt de traditionele aanpak van auditing, die sterk afhankelijk is van vaste normen.”

En daarnaast?

“Tegelijkertijd staan we voor twee belangrijke ontwikkelingen die het vakgebied verder transformeren: environmental, social en governance (ESG) en kunstmatige intelligentie (AI). Met ESG gaat het om niet-financiële informatie die voortkomt uit processen die vaak nog in ontwikkeling zijn en verre van stabiel. Dit vraagt om een herdefinitie van auditing: het gaat niet alleen om controle, maar ook om het mede vormgeven van deze nieuwe processen. Aan de andere kant zien we de opkomst van AI, die processen kan verbeteren, maar ook een onvoorspelbare impact kan hebben. Bij beide ontwikkelingen speelt complexiteit een grote rol, en dat maakt het lastiger om traditionele controlemechanismen toe te passen.”

Heb je een voorbeeld?

“Bijvoorbeeld het three lines model. Dat gaat uit van een stabiele werkelijkheid waarin de eerste lijn processen op orde heeft, de tweede lijn controleert, en de derde lijn onafhankelijk audits uitvoert. In een turbulente omgeving is het echter een uitdaging om resources zo in te zetten dat interne beheersing daadwerkelijk verbetert. Wanneer de eerste en tweede lijn over specifieke kennis beschikken, is het logisch deze in te zetten voor verbeteringen. Dat kan bijdragen aan een effectievere interne beheersing.”

“AI kan ook ondersteuning bieden bij besluitvorming. Bijvoorbeeld door patronen te herkennen in grote hoeveelheden data of door auditbevindingen uit de data te halen”

Hoe kan AI organisaties verder helpen?

“AI is een breed begrip en kan op verschillende manieren ingezet worden. Het kan bijvoorbeeld gaan om het gebruik van ‘webcrawlers’. Daarmee verzamel je gegevens van internet. Of om het stroomlijnen van processen die anders veel handmatige arbeid vereisen. AI kan dus helpen om processen efficiënter te maken. Daarnaast kan AI ook ondersteuning bieden bij besluitvorming. Bijvoorbeeld door patronen te herkennen in grote hoeveelheden data of door auditbevindingen uit de data te halen. Een voorbeeld hiervan is het gebruik van algoritmes door een bank bij het bepalen van rentetarieven voor hypotheken. Stel je voor dat je een basistarief hebt, maar dat dit wordt bijgesteld op basis van verschillende risicogroepen. Door AI toe te passen, kun je snel berekenen of de rentebepaling correct is en welk risico eraan verbonden is. AI maakt het mogelijk om dit soort complexere analyses veel sneller en met meer nauwkeurigheid uit te voeren.”

Welke rol gaat AI spelen voor internal audit?

“Recent was ik op een congres over auditing waar de discussie zich vooral richtte op hoe AI kan bijdragen aan een efficiëntere auditfunctie. Daarbij kwam een kernvraag naar voren: hoe betrouwbaar zijn AI-gegenereerde oplossingen? Dat weten we vaak niet, omdat AI-systemen functioneren als black boxes, waarbij dezelfde invoer tot verschillende uitkomsten kan leiden. Het vaststellen van de betrouwbaarheid van dergelijke systemen blijft een uitdaging.”

Is daar een oplossing voor?

“Een mogelijke oplossing ligt in het transparant maken van het proces. Bij AI-toepassingen is het cruciaal om inzicht te krijgen in de gebruikte bronnen en data. Toch biedt dat nog geen garantie dat de uitkomsten juist zijn. Een andere mogelijke oplossing is om als auditor meer naar het totstandkomingsproces te kijken. Het ingrijpen in of meedenken over processen kan auditors in een rol plaatsen die hen dichter bij de organisatie brengt, maar mogelijk ook hun objectiviteit kan aantasten.”

Arco van de Ven, ACN Management Consultants: “Ik verwacht dat auditors een rechte rug hebben en discussies en confrontaties durven aan te gaan”

Dient AI ter vervanging van de auditor of als aanvulling?

“Er moet altijd een mens naar de uitkomsten blijven kijken. Misschien komt er een moment dat de computer zelf kan werken, maar de vraag is dan wat die robots precies geleerd hebben en welk beeld ze hebben gevormd. We zijn daar nog lang niet. Als je kijkt naar het gebruik van kennis die we niet kunnen staven, dan heeft dat invloed op de organisatie. Het heeft ook invloed op de auditor zelf. Het is belangrijk om je te realiseren dat, zelfs als technologie steeds meer taken overneemt, de menselijke component cruciaal blijft. Vooral als het gaat om het begrijpen en interpreteren van de bredere context en de ethische implicaties van beslissingen. Technologie kan ondersteunen, maar de menselijke blik en kennis blijven onmisbaar voor het goed functioneren van de internal auditfunctie.”

Zijn internal auditors voldoende bezig met ethiek en cultuur?

“Als je kijkt naar waar het misgaat met interne beheersing, dan zijn vaak niet de formele systemen het probleem, maar control environment. Het gaat vaak mis door het ontbreken van psychologische veiligheid. Cultuur is niet alleen belangrijk voor interne beheersing en de effectiviteit en efficiëntie van processen, maar ook voor de uitstraling en reputatie van de organisatie. Neem bijvoorbeeld de situatie bij omroep WNL, waar de bestuurder klachten kreeg van medewerkers. De gebruikelijke aanpak is dan om te kijken of er regels zijn overtreden. Maar als je naar de beheersing kijkt en ziet dat medewerkers zich niet veilig voelen, dan moet je dat tegen de bestuurder zeggen. Je zou dan kunnen stellen: ‘Je bent niet meer geschikt voor deze functie.’”

Een andere insteek dus?

“Ja, het is een andere insteek dan wanneer je enkel kijkt naar een onderzoeksrapport waaruit blijkt of de regels wel zijn gevolgd. Steeds meer nadruk op compliance leidt tot een focus op hard controls. Dit komt ook door de toenemende wet- en regelgeving. Daarbij drijven extrinsieke eisen de intrinsieke motivatie uit de organisatie. Het gaat dan niet meer om het behalen van doelstellingen, maar om het voldoen aan regels. Alles wat belangrijk is, komt dan in wet- en regelgeving te staan. Terwijl de cultuur en ethiek – wat de basis is voor goede interne beheersing – uit het zicht verdwijnen.”

Wat verwacht je als commissaris van een internal auditor?

“Uiteindelijk verwacht ik dat ze een rechte rug hebben en discussies en confrontaties durven aan te gaan. De auditor moet zwakke plekken durven benoemen en sterk genoeg zijn om de organisatie te kunnen challengen. En dat alles in een redelijke, open en constructieve sfeer met het bestuur en commissarissen. Dit sluit ook aan bij mijn ervaringen in de praktijk. Ik vind het normaal dat als er een nieuwe CAE komt, je als commissaris op een bepaalde manier betrokken wordt bij het selectieproces. Ik heb zelf ook gesprekken gehad met nieuwe internal auditors van mijn commissariaten ter kennismaking. Zo is de drempel laag als er zich problemen voordoen.”

“Technologie kan ondersteunen, maar de menselijke blik en kennis blijven onmisbaar voor het goed functioneren van de internal auditfunctie”

Hoe kijk je als commissaris naar auditrapporten?

“Ik vind belangrijker wat er met auditrapporten gebeurt, dan de ernst van het rapport zelf. Dat zegt iets over control environment. Een rapport waaruit blijkt dat er niets mis is, had in principe ook over een ander onderwerp kunnen gaan. Eigenlijk wil je juist op zoek naar de dingen die schuren en waar het beter kan.”

Is een auditfunctie noodzakelijk?

“Veel organisaties hebben geen interne auditfunctie (IAF), en voor veel bedrijven is het ook niet verplicht. Het nut van een IAF neemt echter juist toe in deze hectische periode. Als alternatief kun je het vanuit de tweede lijn aanpakken. Maar controllers zijn vaak minder opgeleid en getraind in het uitvoeren van gedegen auditonderzoek. De turbulentie die we nu ervaren, maakt het des te belangrijker om af en toe op afstand mee te denken en overzicht te behouden. De vraag is of de maatschappij dit ook zo ziet. Vaak wordt er enkel gedacht in termen van zekerheden. En de risicoregelreflex – dat er een audit moet komen wanneer iets misgaat – leidt tot meer audits. Dit is moeilijk terug te dringen.”

Hoe beoordeel je als commissaris het functioneren van een IAF?

“Het is heel persoonsgebonden. Mijn beeld zal niet voor alle commissarissen gelden. Het gaat er wat mij betreft vooral om hoe een IAF zich verhoudt binnen de organisatie, hoe zij reageren, en of zij zich durven uit te spreken. Als je kijkt naar de materie, hoe goed ze de stof beheersen en hoe ze op vragen reageren, is dat belangrijk. Ook is het cruciaal hoe ze aan hun evidence komen en hoe het proces is verlopen. Was het alleen op papier, of hebben ze ook gesprekken gevoerd? En hoe open ze zijn in de gesprekken met het bestuur speelt ook een grote rol. Wees eerlijk als je bijvoorbeeld het jaarplan niet gaat halen. En laat zien dat je ervan leert.”

Hoe kijk je aan tegen risicomanagement?

“Internal audit moet zich meer richten op de effectiviteit van controls en minder op de naleving van procedures. Het gaat erom wat echt impact heeft. Een tweede punt is dat de risk appetite omhoog moet. We zijn heel goed in het bepalen van restrisico’s na het nemen van maatregelen, maar dat gebeurt vaak naast elkaar. Wanneer je maatschappelijk kijkt, zie ik nu dat we kapitaal vernietigen door te proberen alle risico’s af te wegen. Neem bijvoorbeeld de situatie in Ter Apel: de asielinstroom was te groot, maar tenten werden weggehaald omdat ze niet aan de voorschriften voldeden. We vinden brandveiligheid dus belangrijker dan dat mensen daar in de kou liggen. Veel risico’s zijn verankerd in wet- en regelgeving, maar je moet als organisatie juist kijken hoe je verschillende doelstellingen tegen elkaar afweegt en trade-offs maakt.”

Hoe dan?

“Compliance biedt weinig ruimte, je wilt als organisatie wel aan de wet voldoen. Het is belangrijk om de risk appetite te vertalen naar een concrete ondergrens. Dan ontstaat de discussie of je die ondergrens kunt handhaven. Als het gaat om volkshuisvesting, dan zijn er prestatieafspraken over duurzaamheid, betaalbaarheid en beschikbaarheid. Maar het probleem is dat mensen op dit moment geen woning hebben. Als dat onacceptabel wordt gevonden, moet je de regels versoepelen. Dit kan nieuwe problematiek opleveren. Maar je werkt wel aan een oplossing voor het oorspronkelijke probleem.”

Wil je nog iets meegeven aan de lezers?

“Gezien de hoge mate van complexiteit en onvoorspelbaarheid zou het mooi zijn als controllers en auditors meer samen optrekken. Ik pleit voor meer gezamenlijke opleiding en samenwerking tussen deze twee beroepsgroepen. Institutioneel zou het goed zijn om meer gezamenlijke initiatieven te ontwikkelen. De Vereniging van Registercontrollers kwam oorspronkelijk voort uit de NBA. Ik ben een groot voorstander van het idee om deze twee beroepsgroepen, controllers en internal auditors, dichter bij elkaar te brengen. In mijn ogen heeft de interne auditor meer gemeen met de controller dan met de registeraccountant.”

 

Over
Prof.dr. Arco van de Ven RA is als hoogleraar aan TIAS verbonden en partner van ACN Management Consultants. Hij is lid van de raad van toezicht van Aafje en lid van de raad van commissarissen van Hof Wonen.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.