Stacks Image p95382_n119704

Management Control Auditing

'Lezen is denken met andermans hoofd'

Publicaties


Om onze publicaties over management control auditing te kunnen downloaden vragen we je je naam en je emailadres te registreren.

De meeste definities van risico bevatten de volgende twee elementen: de kans op een bepaald (negatief) gevolg en de ernst of de grootte van dat (negatieve) gevolg. Het product van deze twee elementen kwantificeert het risico. Of uitgedrukt in een formule: R (risico) = K (kans) x G (gevolg). Zo lijkt het alsof risicoanalyse een pure technisch-statistische activiteit is. Maar niets is minder waar. Al jaren wijzen maatschappij- en gedragswetenschappers op de onjuistheid van dit uitgangspunt. Zo stelt Loewestein, e.a. (2001) dat risico primair gedefinieerd moet worden als een psychologisch begrip dat berust op onzekerheid, angst voor verlies en gebrek aan beheersbaarheid.

Ondanks diverse discussies en publicaties lijkt er nog geen algemeen geaccepteerde definitie en methodiek voor soft controls voor handen te zijn. In dit artikel stellen de auteurs zichzelf de vraag of dat wel zo’n probleem is, en waarin de toegevoegde waarde van het onderscheiden en onderzoeken van soft (of social) controls eigenlijk ligt. Zij gaan hierbij in op de invloed van verschillende denkwijzen over mensen en organisaties.
Eind 2007 was er een alumni-bijeenkomst van de opleiding internal/operational auditing aan de Erasmus Universiteit Rotterdam. Deze bijeenkomst stond in het teken van de (on)bruikbaarheid van definities van soft controls. Diverse definities en omschrijvingen passeerden de revue. Sommige definities werden wat meer gewaardeerd dan andere, maar geen enkele definitie kreeg unanieme bijval.
De vraag is of algemene acceptatie van definities en methodieken op dit vlak wel mogelijk is. En, nog fundamenteler, wat is eigenlijk de toegevoegde waarde van het onderscheiden en onderzoeken van social controls?

Operational auditors plaatsen in praktijk de focus voornamelijk op de ‘hardere’ beheersmaatregelen. Soft controls, zoals de motivatie van de medewerkers, de cultuur en de stijl van leidinggeven worden nog slechts mondjesmaat beoordeeld. Wel is de belangstelling hiervoor sterk toegenomen; duidelijk is dat het integreren van deze controls de kwaliteit van het onderzoek en het oordeel vergroot. Het blijft echter lastig om de soft controls ‘handen en voeten’ te geven. In dit artikel wordt beschreven op welke wijze de soft controls meetbaar kunnen worden gemaakt en praktisch kunnen worden geaudit.

Geen samenvatting beschikbaar.

Auditrapporten moeten het visitekaartje zijn van de auditor’ leren wij onze studenten van de Internal/Operational Auditing opleiding. Ze moeten aan dezelfde hoge eisen voldoen als het auditonderzoek zelf, zodat het rapport de lezer overtuigt, zodat het de lezer aanzet tot actie.
Welke drie eisen mag u aan een auditrapport stellen?

Deze beschouwing doet op essayistische wijze verslag van een onderzoek naar de even interessante als ingewikkelde verhouding tussen auditing en advisering. Ten behoeve van het onderzoek dat aan deze beschouwing ten grondslag ligt is om te beginnen een conceptuele verkenning uitgevoerd teneinde het wetenschappelijk en praktijkgerichte onderzoek op dit terrein in kaart te brengen. Dat heeft de grondslag gevormd voor het gesprek dat vervolgens tijdens diverse bijeenkomsten is aangegaan met auditors die in de praktijk werken op de grensovergang tussen audit en advisering. De opbrengst daarvan heeft zijn weerslag gekregen in dit essay, dat woorden wil geven aan de (zich ontwikkelende) professionaliteit van de auditor die ook aan advisering doet.
Dit essay is er niet op gericht regels, normen en richtlijnen te definiëren voor advisering zoals in de beroepsgroep van auditors soms ook wel wordt beoogd. Sterker nog, deze beschouwing verkent juist ook de grenzen daarvan in relatie tot advisering, vanuit de veronderstelling dat een belangrijk deel van het advies- vak niet goed in dergelijke kaders te vangen is en tot op zekere hoogte zelfs in de weg kan staan aan een goede beroepsuitoefening.

De laatste jaren bestaat er bij auditors een groeiende belangstelling voor zogenaamde soft control. Dat deze belangstelling bestaat bij operational auditors is wel verklaarbaar. In de opleidingen voor internal en operational auditors wordt immers al enige jaren aandacht geschonken aan onderwerpen als cultuur en gedrag in organisaties. Maar ook in de wat minder voor de hand liggende hoek van accountants groeit de belangstelling voor dit fenomeen. Op zichzelf genomen is dat ook weer niet zo verwonderlijk, want hoewel er in de vakopleidingen voor accountants tot op heden weinig of geen aandacht bestaat voor soft controls, valt het voor ieder weldenkend mens niet te ontkennen dat juist menselijk gedrag van grote invloed is op de mare waarin organisaties zich in control kunnen noemen.

Het leergeschiedenisonderzoek is een voor auditors nieuwe manier om organisaties te onderzoeken en te beoordelen. De aanpak werd midden jaren negentig ontwikkeld door onderzoekers aan het MIT Center for Organizational Learning om de resultaten van verander- en leerprocessen in organisaties te kunnen beoordelen op een manier die deze processen ondersteunt en geen afbreuk doet aan de intrinsieke motivatie van betrokkenenen. De werkwijze is gebaseerd op inzichten en methoden ontwikkeld in ondermeer de culturele antropologie, sociologie, orale geschiedenis en action science.

Worden de regels nageleefd en als dat niet zo is, hoe komt dat dan? Handelt men in lijn met de Gedragscode? In welke mate zijn onze kernwaarden inderdaad leidend voor de medewerkers? Is de integriteit van handelen gewaarborgd? Lopen we daar geen reputatierisico? Ik wil geen bureaucratie met ‘Paarse krokodillen’, maar ook voorkomen dat iedereen naar eigen goeddunken handelt. Is dat nu goed geregeld? Bestaan er voldoende waarborgen dat de regels en procedures worden nageleefd?
Bovenstaande zijn mogelijke vragen die een manager aan de auditor zou kunnen stellen op het gebied van integriteit en compliance. Zij vragen om verschillende onderzoeken. Dé integriteit- of compliance-audit bestaat dan ook niet.

This paper reports - in essay form - on a survey of the equally interesting as complicated relationship between auditing and consulting. To start with, for the purpose of the survey that forms the basis for this opinion, a conceptual exploration was conducted in order to map the scientific and practical research into this field. That formed the basis for the following dialogue in various sessions with auditors who in practice work in the twilight zone between auditing and consulting. The outcome is reflected in this essay, which attempts to give expression to the (developing) professionalism of the auditor who also does consultancy work.
The purpose of this essay is not to define rules, standards and guidelines for consultancy work such as those that sometimes aimed for in the auditing profession. Indeed, this opinion precisely also explores its limits in relation to consulting, based on the assumption that an important part of the advisory profession cannot easily be defined within such parameters and could even, to a certain extent, form an obstacle to proper professional practice.

Al lange tijd bestaat er veel belangstelling voor integrated auditing. Het streven is dat zowel de effectiviteit van de audits als de efficiëntie worden verbeterd. Ondanks deze voorziene voordelen, komt het in de praktijk vaak maar moeizaam tot stand. Vaak is sprake van begripsverwarring en ook het veranderen en laten samenwerken van professionals is bepaald niet eenvoudig.
In dit artikel worden drie etappes met tien wegwijzers beschreven. Deze wegwijzers zijn praktische voorstellen om de hindernissen bij de implementatie van integrated auditing te overwinnen. De implementatie wordt daarbij bezien als veranderingstraject, waarin 3 etappes worden onderscheiden: 1. Richten: het bepalen van de visie en doelstellingen alsmede van de scope van integrated auditing; 2. Inrichten: het vormgeven van de ‘integrated audit’-functie; 3. Verrichten: het daadwerkelijk uitvoeren van de integrated audits.

Is het niet verwonderlijk dat IT-audits binnen veel organisaties los staan van de andere audits die worden uitgevoerd? En is het niet vreemd dat veel operational auditors met een boog om de geauto- matiseerde systemen heen lopen? In dit artikel wordt ingegaan op de overeenkomsten én verschil-
len tussen IT- en operational audits. Vanzelf wordt dan ook uitgekomen op de mogelijkheden (soms zelfs noodzaak!) tot samenwerking en de rollen van beiden daarin. We definiëren Management Control auditing en zien dat als een toekomstvaste audit- vorm waarin we niet zonder elkaar kunnen.

Operational auditing is een containerbegrip: de ‘leek’ hoort ‘het auditen van de operatie’ en vertaalt dit naar procesaudits. De accountant definieert het soms als de interimcontrole-werkzaamheden gericht op AO/IC. De (oudere) literatuur benadrukt veelal een top-down benadering gericht op de controle van de naleving van door het topmanagement uitgevaardigde ‘tight controls’. Operational auditing is daarmee een vakgebied dat wordt opgeëist door onder meer accountants, controllers, kwaliteitsauditors en consultants. Toch heeft het vakgebied een eigen beroepsvereniging, de Vereniging van Register Operational auditors (VRO), en twee postdoctorale opleidingen.
Dit hoofdstuk is als volgt opgebouwd. Gestart wordt met een overview van audit en de positie van Operational audit daarbinnen. Vervolgens worden enkele aspecten beschreven die van invloed zijn op de positionering van deze vorm van auditing. Daarna wordt in hoofdlijnen ingegaan op een auditframework, waarin de belangrijkste stappen worden geschetst die de auditor moet zetten en de keuzes die hij daarbij moet maken om methodologisch verantwoord en op basis van een gedegen onderzoek tot een antwoord te komen op de auditvraag.

In deze bijdrage aan ’20 over Internal/Operational Auditing; bijdragen aan governance & control’ treft u eerst een schets aan van de wijze waarop auditors in de praktijk omgaan met de combinatie van audit- en advieswerkzaamheden. Vervolgens wordt een nadere onderbouwing gegeven van de ‘auditmethode’ door de vergelijking met enkele uitgangspunten uit de wereld van wetenschappelijk bedrijfskundig onderzoek en onder welke voorwaarden toepassing van de auditmethode leidt tot de mogelijkheid om een andere wending te geven aan de te lang door ons als auditors gevoerde discussie: ‘audit en/of advies’. Uitwerking van deze werkwijze en bijbehorende rolopvatting in een auditcharter en opleidingsplan, brengt Internal/Operational Auditing in een volgend stadium van ontwikkeling.
Met dit artikel wordt beoogd duidelijk te maken dat:
¥ de auditor zich, meer dan veelal in de praktijk gebruikelijk, als bedrijfskundig onderzoeker moet gaan opstellen. We kunnen van de attitude en aanpak van de organisatie-onderzoeker veel leren.
een beter antwoord op het collisierisico dan scheiding van audit en advies is de opdrachten die momenteel als advisering of consultancy worden aangeduid, als audit te beschouwen en aan te pakken. Dit moet in nauwe samenwerking met de opdrachtgever en kan door diens vraag uit te werken in een concrete auditvraag en auditvoorbereiding en in een transparante onderzoeksopzet.

Operational audit (OA) is een containerbegrip: de ‘leek’ denkt aan ‘het auditen van de operatie’ en vertaalt dit in ‘procesaudits’. De accountant definieert het soms als de interimcontrole-werkzaamheden gericht op AO/IC. De (oudere) literatuur benadrukt veelal een top-down benadering gericht op de controle van de naleving van door het topmanagement uitgevaardigde ‘tight controls’ (centrale beheersmaatregelen). Operational auditing is daarmee een vakgebied dat wordt opgeëist door onder meer internal auditors, accountants, controllers, kwaliteitsauditors en consultants. Wij zien het als een “vak apart”.


Stacks Image p84272_n106778

Arnhemsebovenweg 40
3971 MK Driebergen
0343-524111
mcaudit

© jano, april 2017