Van rapport naar resultaat!

Bijna elke internal auditor kent het gevoel: je levert een scherp en gedegen rapport op met concrete aanbevelingen, het management is het ermee eens… en vervolgens blijft het stil. De aanbevelingen verdwijnen op een actielijst, de deadline schuift op en zaken worden uiteindelijk pas aangepakt als het risico zich manifesteert. Of zelfs helemaal niet.

Hoewel de verantwoordelijkheid voor de opvolging formeel bij het management ligt, is het de vraag of de internal auditfunctie hierin niet meer kan doen. Zou het voor de gehele organisatie nuttig zijn als de internal auditfunctie bij de opvolging van de aanbevelingen een grotere rol neemt? Kan dit überhaupt? En zijn er ook andere mogelijkheden voor de internal auditfunctie om de opvolging te verbeteren? Vanuit deze invalshoek onderzocht ik in 2025 hoe de internal auditfunctie een rol kan spelen bij het versnellen en verbeteren van de implementatie van auditaanbevelingen.

Waarom opvolging ertoe doet

Een audit zonder opvolging is als een doktersrecept zonder uitvoering: het resultaat blijft uit. Een gebrekkige implementatie van aanbevelingen zorgt ervoor dat risico’s voortduren, processen suboptimaal blijven functioneren en dat het management een belangrijk signaal afzwakt. Voor de internal auditfunctie zelf is dat evenmin wenselijk: herhaalde bevindingen, afnemende motivatie bij auditors en het risico dat de auditfunctie wordt gezien als papieren tijger.

Het gangbare antwoord is: opvolging is de verantwoordelijkheid van het management. En daarmee is voor de internal auditfunctie de kous af. Maar is dit niet te kort door de bocht? De effectiviteit van internal audit hangt immers ook samen met wat er na de rapportage gebeurt.

Een audit zonder opvolging is als een doktersrecept zonder uitvoering: het resultaat blijft uit

Onderzoek: literatuur en praktijk

Mijn onderzoek bestond uit twee delen: een literatuurstudie en een praktijkonderzoek bij een aantal vergelijkbare organisaties. Op basis van de literatuur ontwikkelde ik een referentiekader met 42 factoren die een rol spelen bij de opvolging van aanbevelingen. Deze factoren heb ik gegroepeerd in vier basisprincipes:

1. commitment aan resultaten,
2. kwaliteit van de aanbevelingen,
3. assertieve monitoring en follow-up,
4. speciale aandacht voor belangrijke aanbevelingen.

De beroepsnormen van het Instituut van Internal Auditors (IIA) zijn als randvoorwaarde voor het referentiekader aangehouden, aangezien de internal auditfunctie daaraan gebonden is. De interviews in de praktijk bevestigden dit kader en gaven daarnaast verdieping aan wat in de dagelijkse auditpraktijk werkt.­

1. Commitment aan resultaten
Het eerste basisprincipe, commitment aan resultaten, gaat over verschillende vormen van commitment: de bereidheid van de auditor om samen te werken met de auditee, het effectief omgaan met weerstand tijdens het auditproces, de overtuiging van de auditafdeling voor een tijdige implementatie van aanbevelingen, en de overtuiging van de internal auditor over de toegevoegde waarde van de aanbevelingen.

Uit het onderzoek blijkt dat de auditfunctie vaak sterk gericht is op het opleveren van rapporten. Dat is logisch, het jaarplan moet gehaald worden, maar het kan ook de ruimte beperken om actief bij te dragen aan de opvolging van de aanbevelingen.

Een tijdige implementatie vraagt om commitment van zowel de auditafdeling als de individuele auditor. Dat begint met de samenwerking tussen auditor en auditee. Wordt er goed geluisterd, is er respect en is de meerwaarde van de aanbeveling duidelijk? Dan ontstaat er draagvlak. Ook het behouden van de relatie tussen de auditee en de auditor die het onderzoek uitvoerde, heeft een stimulerend effect bij de opvolging. Bovendien kent deze auditor de context en de betrokken auditee goed, waardoor bij de implementatie gerichter en efficiënter advies kan worden gegeven.

Weerstand is hierbij een belangrijke factor. Die kan verschillende oorzaken hebben, van negatieve emoties tot machtsverschuivingen of botsende waarden. Internal auditors kunnen leren deze vormen van weerstand te herkennen en daarop in te spelen. Bijvoorbeeld door de auditee actief te betrekken, open vragen te stellen en het doel van de audit (het waarom) expliciet te benoemen. Een kleine gedragsverandering aan de kant van de auditor kan veel verschil maken aan de kant van de auditee.

2. Kwaliteit van de aanbevelingen­
Het tweede basisprincipe behandelt de kwaliteit van de aanbeveling zoals schrijfwijze, toewijzing aan de juiste auditee, onderbouwing, onderscheid in significantie van aanbevelingen, onderliggende oorzaken en toetsing op haalbaarheid.

Goede aanbevelingen zijn helder, haalbaar en goed onderbouwd. Toch blijkt in de praktijk dat de aanbevelingen regelmatig passief, vaag, wollig of negatief geformuleerd zijn. Vooral wanneer de auditee zelf de tekst aanlevert. Een goede review met aandacht voor stijl en toon is dan essentieel. Door het gebruik van een standaardtemplate voor aanbevelingen, zodat duidelijk is welke elementen in een aanbeveling terug moeten komen en hoe een aanbeveling geformuleerd moet worden, wordt de consistentie en kwaliteit gewaarborgd.

Uit het praktijkonderzoek bleek dat vooraf vaak een toets op de haalbaarheid van de implementatie wordt uitgevoerd. Toch bleek dit geen garantie voor een tijdige opvolging: organisaties die deze toetsing toepassen, ervaren nog steeds aanzienlijke vertragingen bij de implementatie van auditaanbevelingen. Naar de oorzaak hiervan heb ik geen verder onderzoek gedaan.

3. Assertieve monitoring en follow-up­
Als derde basisprincipe is de monitoring en de opvolging van de aanbevelingen onderzocht. Veel auditfuncties rapporteren periodiek over de status van openstaande aanbevelingen. Maar opvolging vereist meer dan een rapport. Wat opvalt is dat het vaak ontbreekt aan een duidelijke beoordeling van de voortgang. Het senior management geeft zelden expliciet aan hoe hun implementatieplan verloopt, of waarom bepaalde aanbevelingen vertraging oplopen. Dit kan voorkomen worden door de rapportages actiegerichter te maken. Laat het management niet alleen de status geven, maar ook reflecteren op de oorzaken van de vertraging en aangeven wat er nodig is om te versnellen. Hierdoor wordt de rapportage een dialoog in plaats van een checklist.

4. Speciale aandacht voor belangrijke aanbevelingen
Het vierde basisprincipe is speciale aandacht voor belangrijke aanbevelingen. In geen van de onderzochte organisaties werd een aparte rapportage gemaakt voor de hoog-risicobevindingen waarvan de implementatie vertraagd is of dreigt te vertragen. Juist de implementatie van deze aanbevelingen kunnen een groot verschil maken in het risicoprofiel van de organisatie.

De focus op belangrijke aanbevelingen krijg je bijvoorbeeld door maandelijks een overzicht van deze belangrijke aanbevelingen – met een korte toelichting van de auditee – op te stellen. Een dergelijk overzicht kan antwoorden geven op vragen als: wat is de oorzaak van de vertraging? Wat is het verwachte implementatiemoment? Welke ondersteuning is nodig? Dit geeft het bestuur en/of het audit committee de juiste focus en creëert tegelijkertijd meer bewustzijn en urgentie bij het management.

Zeven tips voor de praktijk

Op basis van het onderzoek zijn er zeven concrete acties die de auditfunctie morgen al kan inzetten.

1. Versterk de start van je audit: maak vooraf afspraken met de auditee over het proces, het naleven van deadlines en benoem de toegevoegde waarde van de audit (het waarom) in termen van organisatiebelang.

2. Let goed op de non-verbale communicatie. Benoem deze signalen om miscommunicatie uit te sluiten. En vraag naar de mening van de auditee. Heeft de auditee zin in de audit? Zijn er zaken die op de achtergrond spelen die de audit en de implementatie van de mogelijke aanbevelingen kunnen verstoren?

3. Herken weerstand en speel hierop in: gebruik de kennis over weerstandsfases en gedragstypen om auditees beter te begeleiden richting acceptatie.

4. Investeer in de relatie: complimenteer de auditee met zaken die goed gaan, laat de auditor die het onderzoek heeft uitgevoerd in contact blijven met de auditee totdat alle aanbevelingen naar tevredenheid van de internal auditfunctie zijn geïmplementeerd.

5. Zorg voor kwaliteitsborging op aanbevelingen: gebruik een template voor het opstellen van aanbevelingen en doe een inhoudelijke en taalkundige review, zeker als de auditee zelf schrijft.

6. Maak monitoring meer dialooggestuurd: zorg dat het management in de rapportage altijd aangeeft hoe de implementatie van de aanbevelingen verloopt. Hierdoor krijgt de organisatie, inclusief de internal auditfunctie, zicht op de aanbevelingen die mogelijk over de deadline heen gaan.

7. Richt een aparte rapportagelijn in voor de belangrijke aanbevelingen: focus op de aanbevelingen die er echt toe doen en zorg dat deze zichtbaar blijven.

Tot slot

De beroepsnormen van het IIA zijn duidelijk: de verantwoordelijkheid voor opvolging van aanbevelingen ligt bij het management. Maar dat betekent niet dat de internal auditfunctie niets mag of kan doen. Door binnen de grenzen van onafhankelijkheid bewust te investeren in communicatie, relatie en opvolging, kan de interne auditfunctie daadwerkelijk bijdragen aan een hogere implementatiegraad.

Kan internal audit bijdragen aan tijdige opvolging van aanbevelingen? Jazeker! De internal auditfunctie zal hiervoor meer tijd moeten maken. Als uitbreiding van capaciteit niet mogelijk is, betekent dit minder audits. Maar het uitvoeren van veel audits heeft maar beperkte waarde als de aanbevelingen nauwelijks worden opgevolgd.