Menu Sluiten

Auditor: Zó lever je Insight

In 2011 verscheen het IIA-onderzoeksrapport ‘Insight: Delivering Value to Stakeholders’, waarin de term Insight werd geïntroduceerd. Insight is daarin neergezet als ‘a critical component of the recently developed Value Proposition for the profession’. Met name de term ‘catalyst’ spreekt mij, in relatie tot ‘verbetergericht auditen’, erg aan. Maar wat is het beoogde en/of potentiële effect van de term Insight? Hoe kun je de wat wonderlijke bollenpresentatie over de ‘inhoud van internal auditing’ lezen? En wat zijn de randvoorwaarden voor het bijdragen aan Insight bij de ‘afnemers’ van internal audits?

Wat is de waarde van de internal auditor?

Maar eerst, waar past Insight eigenlijk in het takenpakket van de internal auditor? De IIA-presentatie ‘Value of Internal Auditing geeft aan dat de internal auditor, als één van de vier hoekstenen van goed bestuur en toezicht (naast het bestuursorgaan, uitvoerend management en de externe accountant):

  • ‘De organisatie helpt zich te richten op een goede beheersing, accurate rapportering, effectief toezicht, het mitigeren van risico’s en de bescherming van investeringen’;
  • ‘Management en bestuursorganen helpt risico’s te identificeren.’ Daar voeg ik graag aan toe: en het management uitdaagt voldoende concreet te zijn, door een vertaling van de effecten van de keuzes voor organisatieonderdelen terug te leggen, zodat het management kan beoordelen of die zo bedoeld en acceptabel zijn;
  • Insight levert in de effectiviteit van beheersmaatregelen en de naleving van procedures en regelgeving en verbeteringen aanbeveelt’, met mijn toevoeging: desgewenst en gebaseerd op onderzoek.

Wat is insight?

Insight wordt in het onderzoeksrapport verder aangeduid als: ‘The capacity to gain an accurate and deep intuitive understanding of a person or thing.’ Ik lees dit als: Insight verschaft de gebruiker de mogelijkheid om een accuraat en diepgaand intuïtief begrip te ontwikkelen. Ik raak wat verward door het bijvoeglijk naamwoord: intuïtief, volgens het woordenboek ‘gevoelsmatig, niet rechtstreeks berust op logisch redeneren.’ In hetzelfde rapport staat namelijk: ‘The IIA considers insight an end product or result from internal audit’s assurance and consulting work.’ Assurance en consulting werkzaamheden leiden dus tot een intuïtief begrip bij de gebruiker van internal auditdiensten. Zo moet Insight dus niet worden gezien als een zelfstandig product. Terecht als je bedenkt dat inzicht iets persoonlijks is en idealiter het éffect (en niet het doel) van audits; het verschil tussen output (het product zoals een rapport, conclusie of advies) en outcome (het geresulteerde effect).

Insight: Catalyst, Analysis en Assessment

De internal auditor dient te zorgen voor assurance, inzicht en objectiviteit. Hoe? De internal auditor is een katalysator voor het verbeteren van de effectiviteit en efficiëntie van de organisatie, door inzicht te verlenen en aanbevelingen te doen gebaseerd op analyses en tests van data en bedrijfsprocessen. Als een katalysator voor verbetering, evalueert de internal auditor processen, rapporteert bevindingen en beveelt toepasselijke gedragslijnen aan, ook adviseert hij over essentiële projecten en initiatieven. Met behulp van de analyses van data en informatie over de bedrijfsvoering en de doelstellingen, beoordeelt hij de efficiëntie en effectiviteit van de bedrijfsvoering en de bescherming van waarden. Met diepgaande kennis van de onderneming en haar doelstellingen, toetst/evalueert de internal auditor deze efficiëntie en effectiviteit.

Als ik deze uitspraken vergelijk met de standpunten in ons boek Management Control Auditing: bijdragen aan doelrealisatie en verbetering, heb ik hierbij nog wel enkele opmerkingen:

  • De internal auditor moet wegblijven van eerste lijn-verantwoordelijkheden door desgevraagd onderzoek te doen naar governance, risk en compliance, maar de besluitvorming aan het bestuur en verantwoordelijk management over te laten.
  • Het hoort een bewust genomen structuurkeuze te zijn om de internal auditor zich te laten richten op de interne governance (ten behoeve van het bestuur) of op de corporate governance (ten behoeve van toezichthouders inclusief het acteren van het bestuur). De zuivere derde lijn-rol heeft mijns inziens het bestuur als opdrachtgever. Verruiming van het object van internal audit tot en met de bestuursverantwoordelijkheid pleeg ik aan te duiden als de ‘drie-en-een-halfde-lijn’.
  • Aanbevelingen van de auditor zijn in de praktijk veelal een herhaling van de normering; dat wekt gemakkelijk irritatie op. Aanbevelingen gebaseerd op ‘hoe de auditor het zou doen’ ontnemen management gemakkelijk diens verantwoordelijkheid en bovendien hoort de auditor zich eerst af te vragen of zijn onderzoek daar voldoende basis voor biedt. Meestal niet, durf ik te stellen.
  • Aanbevelingen worden in de praktijk vaker niet dan wel getoetst op effectiviteit, bijkomende effecten, haalbaarheid et cetera. Ze zijn bovendien vaak gekleurd door de opleiding en achtergrond van de auditor en die kunnen sterk afwijken van die van het management.
  • Het is in lijn met IIA’s consulting activity, om het management te helpen te komen tot effectieve verbeteracties. Het auditrapportagemoment kan de internal auditor aangrijpen weer eens specifiek te focussen op de effectiviteit van de procesbeheersing en gezamenlijk met management na te gaan of de oorzaken onder de afwijkingen van de norm voldoende bekend zijn. Als dit nog niet het geval is, kan de auditor worden verzocht gericht nader onderzoek te doen naar de oorzaken of naar het verschil in effectiviteit en ‘kosten’ van oplossingsmogelijkheden.

Bovendien maak ik in het uitgebreidere artikel ‘IIA’s Insight; het beoogde effect van de IAuditor als katalysator’ in elf kritische opmerkingen bij het streven naar Insight en stel ik hier vier eisen aan. Toch ben ik erg enthousiast over de gekozen insteek van IIA Global en draag ik er graag aan bij.

5 Stappen die je nú kunt zetten

  1. Ontdoe je teksten van woorden die te hoge verwachtingen wekken, zoals ‘objectief oordeel’, ‘in control’, ‘zekerheid’, ‘een oordeel over de mate van efficiëntie’, of maak minimaal concreet wat er maximaal onder mag worden verstaan;
  2. Geef consequent aan van wie de internal auditor onafhankelijk is of moet zijn én wat de internal auditor concreet doet om een auditproduct te kunnen leveren;
  3. Benadruk de verantwoordelijkheid van het management door consequent aan te geven dat de internal auditor helpt: ‘de internal auditor helpt management met aanbevelingen de doelen te realiseren’, ‘helpt management te komen tot Insight’, et cetera;
  4. Accepteer als internal auditor geen grotere verantwoordelijkheid dan het verrichten van deugdelijk onderzoek, binnen de grenzen die de auditcommissie stelt, met het onderschrijven van de auditplanning en het vaststellen van het auditbudget. Maar draag enthousiast bij aan de verantwoordelijkheid van het management met al hetgeen het IIA in haar definitie aan mogelijkheden biedt;
  5. Vereis kennis en toepassing van onderzoeksmethodologie, zodat elke auditor ervaart dat het streven naar ‘objectiviteit’ meer vergt dan een ophanging als ‘derde lijn’ en het onderschrijven van de beroepstandaarden gericht op ethische waarden en integriteit.

Ik hoop dat je na het lezen van deze blog en de hierin aangeboden bronnen meer Insight hebt ontwikkeld in de mogelijke bijdragen jouw internal auditfunctie!

Auteur: Ron de Korte RA RE RO CIA is Partner van ACS Partners te Doorn. Hij begeleidt 2e en 3e lijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/onderzoeken en het verstevigen van de onderzoeks-, rapportage- en adviesvaardigheden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *