Stacks Image p2_n119704

Management Control Auditing

'Wat ons zoal bezig houdt'

De nieuwe lente!

Als de ‘internal auditor’ (ook) ‘Trusted Advisor’ (Maister, 2000) wil zijn, moeten we meer dan vertrouwen winnen: we zullen dezelfde taal moeten spreken als degenen wiens vertrouwen we waard willen zijn. Onze IIA-inc. President en CEO Richard Chambers geeft aan dat we vijf woorden en frasen moeten vermijden: ‘failed’, inadequate’, ‘ineffective’, ‘we found’ en ‘it appears’. Wij denken dat we het ook niet moeten hebben over wat er allemaal fout kan gaan, laat staan over ‘naderend onheil’. Toch start daarmee de eerste IIA-nl column, op persoonlijke titel geschreven door een IIA-bestuurslid.

Lees meer...

Aanrader: Leerpunten Kwaliteitstoetsingen. Lees met name de nuanceringen!

Het nét verschenen IIA-nl-document ‘Leerpunten uit de externe kwaliteitstoetsingen 2018’ bevat naast goed nieuws ook een zorg. Het rapport “beschrijft de resultaten van de analyse van de uitgevoerde externe kwaliteitstoetsingen in 2018. Het verschaft inzicht in de conclusies en aanbevolen verbeterpunten die frequent voorkomen. Hiermee beoogt IIA Nederland IAF’s handvatten te geven voor een volgende stap in hun kwaliteitsverbetering.”

Het document door de oogharen bekijkend geeft het een positieve boodschap weer. Iets kritischer analyserend scoren we nog niet overtuigend waar het de kern van de functie raakt: goed doordacht en transparant uitgevoerd onderzoek gericht op organisatievragen in het licht van doelrealisatie is die essentie. Onafhankelijke ophanging, formele communicatiestructuren, escallatierichtlijnen, et cetera …. zijn ‘slechts’ voorwaarden om aan die essentie te kunnen voldoen. We voldoen, vaak beter dan in andere landen’ aan die voorwaarden. Nu vol door ontwikkelen gericht op die essentie!

Lees meer...
Reacties

The Trusted Advisor: IIA’s antwoord op de vraag om meer toegevoegde waarde.

Maister’s Trusted Advisor is een prachtig concept om meer toegevoegde waarde te laten ervaren door management en in goed overleg met bestuur, management én Audit Committee is het haalbaar. Althans voor IAuditors die ook sterk aan zichzelf willen werken en een flinke uitdaging aan willen gaan. Want we zullen meer moeten doen dan ons ‘negatieve auditors-taaltje’ en onze oordelende houding achter ons laten om als Trusted Advisor te worden gezien. In deze bijdrage enkele belangrijke handvatten.

Lees meer...
Reacties

IIA’s Insight; het beoogde effect van de IAuditor als katalysator

In 2011 verscheen een IIA-onderzoeksrapport onder de titel Insight: Delivering Value to Stakeholders, waarin de term Insight werd neergezet als ‘a critical component of the recently developed Value Proposition for the profession’. In deze bijdrage analyseren we het potentiële effect van de term Insight als onderdeel van de nieuw verwoorde doelstelling van IA. Met name de term ‘cathalyst’ spreekt ons in relatie tot ‘Verbetergericht auditen’ erg aan.
We relateren het aan onze teksten in ‘Management Control Auditing: bijdragen aan doelrealisatie en verbetering’ uit 2017. [http://www.auditing.nl/boekwinkel/
] Vervolgens analyseren we IIA’s ‘bollenpresentaties’ en de eisen gesteld aan internal auditors. We sluiten af met een actielijst gericht op opleiding, marketing en randvoorwaarden voor het bijdragen aan ‘Insight’ bij de ‘afnemers’ van internal audits.

Lees meer...
Reacties

De communicerende vaten Assurance en Consulting activity

Nog net in de vorige eeuw verscheen een uitdagende definitie van Internal Auditing met de termen Assurance en Consulting activity. Het leidde tot veel discussie en gaf ook duidelijk ‘denkrichtingen’ weer binnen het IA-nl. Er is sprake van een tweedeling die je zou kunnen duiden in de accountancy-opgeleiden enerzijds en operational auditing-opgeleiden anderzijds.

Deze column is gebaseerd op een deel van het artikel over de definitie van IA, dat u kunt downloaden op http://www.mcaudit.nl/publicaties/. We raden u het oorspronkelijke artikel aan voor een nuancering en verdieping van wat u in deze column zult lezen.

In deze bijdrage beschrijven we de interpretaties van de IA-definitie die we in IIA-inc. literatuur en in praktijkgesprekken met hoofden en MT-leden Internal Audit tegenkomen en een idee hoe te komen tot meer eenduidigheid. We starten daartoe met het afpellen van de definitie van IA zoals opgenomen op de IIA-nl-site en zoomen in op het begrippenpaar Assurance en Consulting activityen auditterminologie uit de praktijk.

A. De definitie van Internal Auditing uit 1999 vertaald in het Nederlands

Op de IIA-nl site is een in het Nederlands vertaalde definitie van Internal Auditing van IIA-inc. opgenomen:

“Internal auditing biedt onafhankelijke en objectieve audit- en adviesdiensten, die bedoeld zijn om meerwaarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de doelmatigheid van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren.”

We moeten helaas wat kritisch op die vertaling reageren. Consulting activities is naar het Nederlands vertaald in adviesdiensten! En dat is toch wat wonderlijk wanneer je leest wat het IIA-inc. onder consulting activities verstaat: ‘activities as conducting internal control training, providing advice to management about the control concerns in new systems, drafting policies, and participating in quality teams.’ De term adviesdiensten wordt in de praktijk veel gehanteerd voor toetsende werkzaamheden waarbij de onderbouwing of de dossiervorming niet voldoet aan de verwachting van IFAc-assurance-producten. Hier dus een eerste effect van het gebruik en de extra lading van de term Assurance door IFAc!

Een tweede effect van de IFAc-terminologie is dat assurance wordt gelezen als een product waarbij drie partijen betrokken zijn (opdrachtgever, auditee en auditor) en Advisory wordt gehanteerd wanneer de opdrachtgever tevens auditee is. Dit is niet vreemd, omdat de rapportage-eisen van IFAc als bestaansreden hebben dat derden-gebruikers (veelal ook het maatschappelijk verkeer) een juiste interpretatie moeten kunnen vormen op basis van de uiting van de opdrachtgever gecombineerd met het oordeel van de auditor daarbij. Standaardisatie helpt ‘de verstandige leek’ een assurance-uiting niet mis te verstaan. En indien een opdrachtgever, tevens auditee, in de tweepartijen setting (mede) de normering kan bepalen op basis waarvan de auditor tot een uitspraak komt, kan minimaal de schijn ontstaan dat de auditor zijn oren te veel naar die opdrachtgever heeft laten hangen.

De vertaling van ‘effectiveness’ in ‘doelmatigheid’ in de Nederlandse definitie is om twee redenen niet juist: tekstueel en materieel. Meest gebruikelijk is doelmatig als een synoniem te zien van efficiënt en dat dan tevens moet zijn voldaan aan effectiviteit (doeltreffendheid)[1]. Maar onderzoekstechnisch is het aantonen van efficiëntie een lastige extra stap na het aantonen van effectiviteit! Dit standaard opnemen in de auditdefinitie creëert op voorhand een verwachtingskloof! We doen een poging dit concreet te maken:

Als effectiviteit betekent dat een weg wordt gevolgd die tot Rome rijkt en efficiëntie de ‘meest geschikte’ weg is naar Rome, kunnen we als auditor als eerste beoordelen of sprake is van effectiviteit door vast te stellen dat ‘men’ in Rome is aangekomen; of dat mag worden aangenomen dat dit goed mogelijk is. Om vervolgens ook de efficiëntie van de tocht naar Rome vast te stellen, moet het management eerst definiëren wat ‘meest geschikte’ behelst. De neiging is groot hier ‘de kortste weg’ in te vullen, maar die hoeft niet te stroken met andere (beleids)richtlijnen, bijvoorbeeld op het vlak van veiligheid, het kan ongeschikt zijn voor het voertuig dat de organisatie ter beschikking staat of niet in lijn zijn met nevendoelstellingen van de organisatie: teambuilding, site-seeing, nieuwe klanten ontmoeten et cetera. Omdat het duiden van effectiviteitseisen in de praktijk al lastig genoeg is, en efficiëntievraagstukken veel extra (onderzoeks)tijd vergen, gaan wij voor de term effectiviteit in de definitie (of kiezen we voor de persé nader te definiëren term: kwaliteit?).

Een verbetering in de vertaling naar het Nederlands is er ook: De IIA-inc.-definitie overschrijdt de verantwoordelijkheden van IA met de opmerking dat IA de auditobjecten evalueert én verbetert! ‘helpt … te realiseren’ is een belangrijke nuancering in de Nederlandse vertaling. Het maakt de eigenstandige verantwoordelijkheid van management concreet (en daarbij de onafhankelijkheid en objectiviteit van de auditor ten aanzienvan die objectenen de verantwoordelijken daarvanbij een volgende evaluatie). (Schijn van) afhankelijkheid is toch de grote zorg van auditors?

B. Nadere uitwerking van de begrippen Assurance en Consulting Activity

Als vermeld gaat de Nederlandse definitie van IA in de eerste zin al wat mank door de vertaling van ‘consulting activity’ in ‘adviesdiensten’. De uitleg van IIA-inc. van consulting activiteiten is: ‘advisory and related client service activities, the nature and scope of which are agreed upon with the client and which are intended to add value and improve an organization’s operations.’ Het Nederlandse ‘advies’ lijkt te zijn bedoeld als ‘alle IA-activiteiten die geen assurance mogen worden genoemd. Maar als vertaling van ‘advice’ is het een versmalling van wat IIA-inc. beoogt met Consulting activities. Andersom moet ‘to add value’ weer niet te strikt worden beperkt tot de Consulting Activities. We mogen toch hopen dat ook het verlenen van Assurance waarde toevoegt!

De verschuiving in veel literatuur van de term Assurance richting het gebruik van het woord door IFAc is begrijpelijk en wat ons betreft geen probleem, aangezien we Assurance en Consulting Services zien als communicerende vaten. Wat niet meer past binnen een interpretatie van Assurance maakt dan onderdeel uit van Consulting Services. Ook Urton Anderson presenteert het overeenkomstig en noemt het al in 2003 een Assurance/Consulting Continuum. Hij beschrijft in 2003 drie verschillen tussen assurance en consulting:

  • De drie-partijen (opdrachtgever, objectverantwoordelijke en auditor) versus twee-partijen (de opdrachtgever is tevens objectverantwoordelijke) opzet.
  • “Assurance engagements require an opinion as to the result whereas consulting engagements produce recommendations if indeed there is any formal reporting involved.”
  • “Consulting engagements may be declined by the audit function without need of elaborate justification. Assurance engagements are mandatory once it has been identified as an area of need.”

Het ‘meer-bazen-effect’ voor de auditfunctie komt hier nadrukkelijk tot uiting. Na accordering van de auditkalender wordt van de CAE verwacht deze na te leven en de consulting activities, veelal verzoeken buiten de auditkalender om van individuele leden van het AC of andere managers, te beperken tot wat de assurance-werkzaamheden niet schaadt. Herkenbare praktijk in Nederland, maar toch wonderlijk wanneer ‘toegevoegde waarde’ zo hoog in het vaandel hoort te staan!

De daaropvolgende tekst lijkt vooral te zijn ingegeven door het ‘schijn van afhankelijkheidsdenken’ door derde partijen als het gaat om werkzaamheden van IAD’s. Wat ons betreft mag die discussie worden beslecht met de uitspraken:

  • Als IA-werkzaamheden omwille van schijn van afhankelijkheid moeten worden beperkt tot de optiek van en worden verricht op de wijze van externe audits, kan het beter door die externen worden verricht.
  • Als IA-werkzaamheden verricht voor interne partijen een schijn van partijdigheid behouden voor derden, moet een externe auditor dit op basis van reviewwerk kunnen wegnemen (mits deze voldoende methodologisch is onderlegd).

Ook dit zien we als een vorm van external audit-denken; het miskent de grote toegevoegde waarde van een IAD binnen een organisatie die ‘in continuiteit’ het organisatiespecifieke ‘inademt’ en daarmee niet beperkt wordt door de beperkte (doorloop)tijd van een opdracht (een beperking van external audits).

Anders geformuleerd: Waarom worden mogelijke nadelen van interne betrokkenheid van auditors (collisiegevaar) steeds zwaarder benadrukt dan de voordelen zoals intrinsieke motivatie, doorleefd begrip van de organisatie en ervaring hebben met de (informele) organisatie? Overdrijving van het onafhankelijkheidsdenken veroorzaakt een enorme verarming van audits en templatisme. En ondergraaft daarmee als zodanig de o zo belangrijk geachte toegevoegde waarde …

C. Hoe te komen tot meer eenduidigheid?

We concluderen dat de bestaande definitie van IA al bij het uitkomen tot discussie leidde en negentien jaar later ook in Nederland nog verschillend wordt geïnterpreteerd. Wat iedereen lijkt aan te spreken is de nadruk op adding value (toegevoegde waarde) voor de organisatie. De manier waarop dat te bereiken en of dat met alleen Assurance kan of met Consulting activities moet (soms zelfs mag!) blijft afhankelijk van ervaring, achtergronden en misschien ook lef van de eindverantwoordelijk auditors.

Als we het Nederlandse veld aan IAD’s overzien speelt ook de branche en met name de dominantie van toezichthouders in de branche een rol. Laten we ook zo eerlijk zijn te onderkennen dat niet de auditor, zelfs niet de auditberoepsorganisatie, maar vooral topmanagement bepaalt hoe de IA-functie wordt ingezet en zich ontwikkelt.

En daarom is het goed uitvoerig te luisteren naar hun wensen en de achtergronden daarvan te doorzien. Wie bepaalt hun beeld het meest? Wat zijn hun grootste zorgen en daarmee hun behoeften? Om vervolgens na te denken over de mate waarin we dat klakkeloos gaan volgen of concreet maken wat we aanvullend kunnen betekenen en hoe dat het beste aan hen kan worden voorgelegd.

Een bekende valkuil is het (indirect) accepteren van verantwoordelijkheid voor procesbeheersing of doelrealisatie. Idealiter kan Internal audit slechts verantwoordelijk worden gehouden voor een goed ontworpen, uitgevoerde en gepresenteerde audit. En zelfs daarbij is hij al afhankelijk van de opdrachtgever en auditee. De auditor bepaalt niet de norm en dwingt dan ook geen aanpassingen in de procesbeheersing af.

Anders geformuleerd: Als de auditor constateert dat het management met verve de eigen verantwoordelijkheid uitdraagt en eigenaarschap toont, zijn er ‘geen grenzen’ aan de toegevoegde waarde-mogelijkheden van IA; helpen, adviseren, toetsen, ondersteunen… Het is uiteindelijk aan het management op grond van hun verantwoordelijkheid en eigenaarschap wat ze besluiten te doen met de uitkomsten van IA-werkzaamheden.[2]

Voorts mag van een post-academisch geschoolde onderzoeker worden verwacht dat de verwachtingen, onderzoekswerkzaamheden en de uiteindelijke betrouwbaarheid van het onderzoek concreet worden gemaakt. En ook de verantwoordelijkheden van (opnieuw) de opdrachtgever en auditee moeten daarbij worden geconcretiseerd en nageleefd.

We komen naar onze overtuiging snel tot eenduidigheid in terminologie en aansluiting bij verwachtingen, wanneer we ons ontdoen van auditjargon en ook rapporteren in de taal van de opdrachtgever. Alleen dit is al een reden om intern geen IFAc-rapportage richtlijnen te volgen.

En ook onze producten behoeven geen marketingterminologie.

  • Assurance mag weer ‘aanvullende zekerheid’ heten. En geef dan aan wat die aanvulling betreft en waar het op is gebaseerd.
  • Een Quick scan is een toetsend onderzoek met een beperkte scope of diepgang (of beide).
  • Een advies (uit een ‘Advisory engagement’) is de na onderzoek overgebleven alternatieve oplossing. Vermeld dan welke alternatieven om welke reden zijn afgevallen en wat de feitelijke onderzoeksbasis is voor die conclusie. U zult dan opmerken hoe weinig dit verschilt van een toetsend onderzoek dat onder de term Audit wordt aangeboden.

Wees transparant over de werkwijze, met welke optiek naar precies welk object u heeft gekeken en hoe zeker u bent over de onderzoeksuitkomst. De opdrachtgever en (zeker) de auditee weten al hoe complex de praktijk is die u gaat onderzoeken. Juist daarom vragen ze u deze te onderzoeken!

Kortom: wees concreet en denk goed na over hoe u en uw producten overkomen bij het (top)management.

Hoe dit aan te pakken hebben we uitvoerig beschreven in ons boek uit 2017: Management Control Auditing: Bijdragen aan doelrealisatie en verbetering (zie www.auditing.nl/boekwinkel) en is onderwerp van onze trainingen Verbetergericht Auditen.

Ron de Korte RA RE RO is Partner van ACS Partners te Doorn

Hij begeleidt 2een 3elijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/ onderzoeken en het verstevigen van de onderzoeks-, rapportage en adviesvaardigheden


[1] RPE artikel 1e. Doelmatigheid van het beleid: de relatie tussen de effecten van het beleid en de kosten van het beleid: Een (voorgenomen) handelwijze is doelmatig of efficiënt het bereiken van een doel met gebruik van zo weinig mogelijk middelen. De kosten in verhouding staan tot de opbrengsten.

[2] In ons boek ‘Management Control Auditing; bijdragen aan doelrealisatie en verandering’ is dit omschreven als de ‘ideaal situatie’ bij IA-verzoeken tot maatwerk audits.

Toon meer berichten...

Stacks Image p6_n106778

Coöperatie ACS Partners UA
Kasteel Moersbergen
Moersbergselaan 17
3941 BW DOORN

tel. +31 343 52 41 11

© jano, april 2017