26-03-2015
26-03-2015

Interview Brigitte de Vries

Protiviti en IIA organiseerden in 2014 op 4 november voor het eerst de Internal Audit Innovation Award. Het IIA en Protiviti hebben de ambitie om Internal Audit als vakgebied verder te helpen groeien en onder de aandacht te brengen. De Internal Audit Innovation Award levert hieraan een bijdrage. Brigitte de Vries van Staedion is de winnaar van de Internal Audit Innovation Award 2014 geworden. Zij toonde aan hoe een procesaudit in de vorm van een processimulatie kan worden uitgevoerd. Brigitte organiseert in maart 2015, in samenwerking met de Commissie voor Professional Auditors at Small audit shops (Pas), een round table om te laten zien hoe krachtig en innoverend je kan zijn ook als eenpitter.

Wie is Brigitte de Vries?
Brigitte is 51 jaar, heeft twee dochters (van 17 en 19 jaar) en woont samen in Delft. Ze komt oorspronkelijk uit Den Helder. Brigitte heeft de opleiding fysiotherapie gevolgd en is fysiotherapeute geweest. Na een jaar heeft zij besloten het roer om te gooien, omdat er destijds geen vast werk binnen deze branche te vinden was. Hierdoor is zij als programmeur bij een verzekeringsmaatschappij gaan werken. Na ongeveer 15 jaar in de automatisering heeft ze een overstap gemaakt naar de Internal Audit afdeling binnen Allianz, die op dat moment ontstond vanuit een interne controle afdeling. Ze heeft 8 jaar operational audits uitgevoerd totdat haar is gevraagd om de implementatie van operational risk management te ondersteunen binnen Allianz. Dit heeft ze circa twee jaar gedaan toen de uitdaging op haar pad kwam om Internal Audit binnen Staedion op te zetten. Na ongeveer 25 jaar in de financiële dienstverlening bij steeds omvangrijkere organisaties is de overstap naar een kleine organisatie in een heel andere branche een flinke verandering. Deze stap heeft zij gezet vanwege haar motivatie om een auditprogramma af te stemmen op het betreffende organisatieonderdeel en de ontwikkelingsfase waarin deze zich bevindt.

Haar rol binnen en buiten Staedion
Brigitte werkt nu twee jaar als Internal Auditor bij Staedion, een éénmansafdeling onder de bestuursvoorzitter. Internal audit is binnen de corporatiebranche een opkomend fenomeen. Vaak is dit belegd bij de controllers. Ook bij Staedion werkt Brigitte nauw samen met de afdeling Control maar is daar organisatorisch wel van gescheiden. Veel auditors binnen de corporatiewereld zijn éénpitters. Vandaar dat Brigitte een netwerk is gestart voor auditors die in de corporatiewereld werken én aangesloten zijn bij De Vernieuwde Stad. Dit is een samenwerkingsverband tussen grote en grootstedelijke corporaties die onderling afspraken hebben gemaakt over het delen van informatie. Doel van het netwerk dat door Brigitte is opgericht, is het uitwisselen van kennis en best-practices.

Hoe zij op het idee is gekomen om het audit vak te combineren met processimmulatie
Het was niet de insteek om te vernieuwen. Brigitte beoordeelt voor ieder onderzoek wat het beste past voor de betreffende situatie. Staedion zat in een reorganisatie waarbij processen werden herontworpen. Brigitte vond het van belang dat deze nieuwe processen vóór implementatie beoordeeld konden worden op werking en heeft hiervoor processimulatie toegepast.
Ze is tot dit idee gekomen mede door het IIA Congres in 2013 in Noordwijk, waarbij gaming werd ingezet.
Zij heeft samen met bureau “IQ@work” en de procesadviseur van Staedion deze processimulatie uitgewerkt en uitgevoerd waarin elementen van gaming waren verwerkt.

Gaming toegepast in de audit werkzaamheden
Na het ontwerpen van het gaming principe is er gekeken naar de opzet van een normenkader. Het ontworpen business proces en een geaccepteerd theoretisch kader diende als normenkader. Vervolgens is er middels processimulatie gekeken hoe de deelnemers het proces uitvoerden, hoe het proces werd aangestuurd en samengewerkt. Deelnemers kregen opdrachten om uit te voeren en tijdens de uitvoering zijn er gebeurtenissen in de simulatie gebracht die alert en snel handelen vereisten en dus een inbreuk op de reguliere werkwijze vormden.
Voor audit evidence moesten de deelnemers alles vastleggen op papier. Daarnaast werden observatoren ingezet die ook audit evidence leverden, zowel door het op schrift zetten van observaties als het maken van foto’s en filmpjes.

Hoe was dit anders dan normale implementatie van een proces?
Het inrichten en implementeren van het nieuwe proces was niet anders. Door de simulatietest met de toepassing van gaming hebben de medewerkers meer inzicht gekregen in het proces en de verbeterpunten daarvan. Daarom hebben ze het proces tijdig kunnen aanpassen op basis van de terugkoppeling van de observatoren en hun eigen ervaringen met de simulatie.
Op deze manier wordt voorkomen dat men niet pas na implementatie achter de verbeterpunten komt, maar al voor de daadwerkelijke implementatie.

Hoe zie jij de rol van audit bij dit simulatieproces?

  • Observeren;
  • Documentatie beoordelen;
  • Toetsen aan het normenkader
  • Erover rapporteren. Een rapport met bevindingen en aanbevelingen.

Na een game gaan deelnemers zelf presenteren waar ze tegenaan liepen (knelpunten en verbeterpunten). Met de analyse van Brigitte zelf wordt dit samengebracht en besproken met de opdrachtgever.

Voert Brigitte het simulatie proces alleen uit?
Nee, de opdrachtgever en de procesadviseur zijn ook ingeschakeld om te observeren. Het bedrijf IQ@Work heeft de game gefaciliteerd tijdens de uitvoering.

Heeft dit innovatieve idee toegevoegde waarde voor andere audit afdelingen?
Ja, het is een heel goed middel om de werking van een proces te zien inclusief de aansturing en de samenwerking en hoe met ‘verstorende’ of bijzondere situaties wordt omgegaan.
Bij een normale audit hebt je maar een beperkte periode waardoor je de bijzondere situaties niet altijd in werking kan beoordelen. Bovendien is je aanwezigheid al een interventie waardoor medewerkers beïnvloed worden. In zo’n processimulatie vergeten deelnemers al heel snel dat ze met een spel bezig zijn en zijn ze zich ook de observators niet bewust.

Vorm je zelf ook een ‘gebeurtenis’?
Ja, je prikkelt ze wel. Maar alleen in het begin. Binnen vijf minuten worden deelnemers ‘opgeslokt’ in het spel en zijn ze je totaal vergeten.

Wat zijn de succesfactoren in deze game?

  • Het lef hebben om van de gebaande paden af te wijken;
  • Het is anders dan anders, het heeft een “fun” factor;
  • Je opdrachtgever moet je mee kunnen krijgen. De opdrachtgever heeft zelf een rol in het audit proces. Hij/zij kan zelf zijn/haar input geven.

Is het niet negatief dat opdrachtgever erin zit/aanwezig is tijdens een game?
Je moet de opdrachtgever goed instrueren. Door aan de deelnemers de rol van de opdrachtgever uit te leggen( puur observeren) kan dit worden tegengegaan. De opdrachtgever moet geen sturing en geen antwoord op verschillende vragen geven. Wanneer dit tijdens de simulatie toch gebeurt, moeten de observatoren er niet voor terugschrikken de opdrachtgever hier ook op aan te spreken.
Je zal nooit het gevoel van ‘beluisterd worden door de opdrachtgever’ eruit halen. Maar wanneer je als Internal Auditor ziet dat dit gebeurt en ziet dat de medewerker hierdoor wordt beïnvloed is dit ook een observatie die je terug kunt leggen bij de opdrachtgever. Aan de andere kant hoef je voor het optreden van ‘bias’ ook niet terug te schrikken, het beoordelen van de invloed die de opdrachtgever heeft op de medewerkers kun je heel goed meenemen in je observaties.

IT dependent controls hoe vlieg je dit aan?
Dat kun je meenemen in je simulatie. Afhankelijk hoe je de simulatie ondersteund met hulpmiddelen. Sommige dingen moet je niet in de test zelf meenemen, maar kan je beterbypass meenemen.

Hoeveel werk komt erbij kijken?

  • Vooraf 30/40% van het werk. Dit bestaat uit het maken van een draaiboek waarin de hele simulatie staat beschreven, bijna van minuut tot minuut. Daarnaast worden de deelnemers vooraf individueel geïnstrueerd over het globale verloop van de simulatie, wat wordt van ze verwacht en welke voorbereiding verlangd wordt. Daarbij wordt ook aan de deelnemer gevraagd wat zijn/haar verwachtingen zijn en hoe de deelnemer zelf tegen de simulatie aankijkt. 
  • Test 10/20%. Dit is het uitvoeren van de simulatie en een evaluatie aan het eind van de simulatie per deelnemer(sgroep). Hou rekening met een dagdeel minimaal.
  • Achteraf 30/40%. Afhankelijk van de mate van ICT-ondersteuning bij de simulatie kan dit minder zijn. Na de simulatie moeten alle gegevens worden verwerkt en geanalyseerd. Vervolgens worden de uitkomsten vergeleken met het normenkader. Aan de hand van een beeldend rapport worden de resultaten met de opdrachtgever besproken.

Wat is de meerwaarde van deze methodiek voor een audit?
Deze aanpak heeft geresulteerd in het ‘op proef’ ervaren van het proces en een beeldend rapport ter ondersteuning van de bevindingen. De deelnemers ervaren de bevindingen zelf.

Ben je van plan een audit aanpak hiervoor te ontwikkelen.
Het is niet zozeer een auditaanpak maar meer één van de tools die je als auditor kan inzetten

Wat zou je anders doen?
De tooling van de simulatie zou Brigitte anders doen. De verwerking van de vastlegging was heel arbeidsintensief. Met de inzet van ICT zou dit een stuk sneller kunnen.

Stel andere organisaties hebben interesse om dit toe te passen? Wat is jouw advies hierin?
Je moet het proces goed kennen, de gebeurtenissen bepalen en vooraf goed het doel van de simulatie bepalen.
De opdrachtgever en deelnemers moeten vooraf goed weten wat de uitkomsten moeten zijn (= de gewenste situatie) en welke dilemma’s er in het proces zitten of waar de medewerkers mee geconfronteerd kunnen worden.
Je moet het totaal kunnen overzien ( afdeling overstijgend, samenwerking over afdelingen heen). Dat is wel een bijdrage van de gaming aanpak.
Kom eens bij Brigitte kijken!

Op welke andere gebieden zou je dit kunnen toepassen behalve voor processen?
Deze aanpak is momenteel alleen gericht op processen. Maar overal waar je de organisatie ‘in bedrijf’ wilt zien in de omgang met elkaar, het proces, besluitvorming, aansturing, etc. is dit in principe in te zetten

Hoe zie/denk jij dat je binnen het audit vak nog steeds kan innoveren?

  • Door de verschillende werkwijzen te delen met andere Internal Auditors;
  • Doordat je het met elkaar deelt en bespreekt, kom je op nieuwe ideeën. En natuurlijk een goed oog hebben voor de behoefte van de opdrachtgever en hoe je dat het best kunt invullen.

Heb je nog advies voor YP auditors voor innovatie?
Vaak komen jonge auditors uit andere vakgebieden, neem dat mee en zie het niet als een afgesloten hoofdstuk.

Hoe zie je de toekomst van de auditor?
Een auditor heeft pas overlevingskans als deze een goede aansluiting heeft met de organisatie. En niet met standaard vragenlijsten en checklists aan komt zetten.
Meer toepassen van waarderend auditen. Je kijkt naar wat er is en wat de groeipotentie is. Hoe kan je bijdragen om de organisatie (nog) beter te laten functioneren en ook de waardering geven waar het goed gaat of waar ze op de juiste weg zijn.

Interview door Marieta Vermulm en Alina van Meer-Stan

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Postbus 22657
1100 DD Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie