Stacks Image p2_n119704

Management Control Auditing

'Wat ons zoal bezig houdt'

The Trusted Advisor: IIA’s antwoord op de vraag om meer toegevoegde waarde.

Maister’s Trusted Advisor is een prachtig concept om meer toegevoegde waarde te laten ervaren door management en in goed overleg met bestuur, management én Audit Committee is het haalbaar. Althans voor IAuditors die ook sterk aan zichzelf willen werken en een flinke uitdaging aan willen gaan. Want we zullen meer moeten doen dan ons ‘negatieve auditors-taaltje’ en onze oordelende houding achter ons laten om als Trusted Advisor te worden gezien. In deze bijdrage enkele belangrijke handvatten.

Lees meer...
Reacties

IIA’s Insight; het beoogde effect van de IAuditor als katalysator

In 2011 verscheen een IIA-onderzoeksrapport onder de titel Insight: Delivering Value to Stakeholders, waarin de term Insight werd neergezet als ‘a critical component of the recently developed Value Proposition for the profession’. In deze bijdrage analyseren we het potentiële effect van de term Insight als onderdeel van de nieuw verwoorde doelstelling van IA. Met name de term ‘cathalyst’ spreekt ons in relatie tot ‘Verbetergericht auditen’ erg aan.
We relateren het aan onze teksten in ‘Management Control Auditing: bijdragen aan doelrealisatie en verbetering’ uit 2017. [http://www.auditing.nl/boekwinkel/
] Vervolgens analyseren we IIA’s ‘bollenpresentaties’ en de eisen gesteld aan internal auditors. We sluiten af met een actielijst gericht op opleiding, marketing en randvoorwaarden voor het bijdragen aan ‘Insight’ bij de ‘afnemers’ van internal audits.

Lees meer...
Reacties

De communicerende vaten Assurance en Consulting activity

Nog net in de vorige eeuw verscheen een uitdagende definitie van Internal Auditing met de termen Assurance en Consulting activity. Het leidde tot veel discussie en gaf ook duidelijk ‘denkrichtingen’ weer binnen het IA-nl. Er is sprake van een tweedeling die je zou kunnen duiden in de accountancy-opgeleiden enerzijds en operational auditing-opgeleiden anderzijds.

Deze column is gebaseerd op een deel van het artikel over de definitie van IA, dat u kunt downloaden op http://www.mcaudit.nl/publicaties/. We raden u het oorspronkelijke artikel aan voor een nuancering en verdieping van wat u in deze column zult lezen.

In deze bijdrage beschrijven we de interpretaties van de IA-definitie die we in IIA-inc. literatuur en in praktijkgesprekken met hoofden en MT-leden Internal Audit tegenkomen en een idee hoe te komen tot meer eenduidigheid. We starten daartoe met het afpellen van de definitie van IA zoals opgenomen op de IIA-nl-site en zoomen in op het begrippenpaar Assurance en Consulting activityen auditterminologie uit de praktijk.

A. De definitie van Internal Auditing uit 1999 vertaald in het Nederlands

Op de IIA-nl site is een in het Nederlands vertaalde definitie van Internal Auditing van IIA-inc. opgenomen:

“Internal auditing biedt onafhankelijke en objectieve audit- en adviesdiensten, die bedoeld zijn om meerwaarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de doelmatigheid van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren.”

We moeten helaas wat kritisch op die vertaling reageren. Consulting activities is naar het Nederlands vertaald in adviesdiensten! En dat is toch wat wonderlijk wanneer je leest wat het IIA-inc. onder consulting activities verstaat: ‘activities as conducting internal control training, providing advice to management about the control concerns in new systems, drafting policies, and participating in quality teams.’ De term adviesdiensten wordt in de praktijk veel gehanteerd voor toetsende werkzaamheden waarbij de onderbouwing of de dossiervorming niet voldoet aan de verwachting van IFAc-assurance-producten. Hier dus een eerste effect van het gebruik en de extra lading van de term Assurance door IFAc!

Een tweede effect van de IFAc-terminologie is dat assurance wordt gelezen als een product waarbij drie partijen betrokken zijn (opdrachtgever, auditee en auditor) en Advisory wordt gehanteerd wanneer de opdrachtgever tevens auditee is. Dit is niet vreemd, omdat de rapportage-eisen van IFAc als bestaansreden hebben dat derden-gebruikers (veelal ook het maatschappelijk verkeer) een juiste interpretatie moeten kunnen vormen op basis van de uiting van de opdrachtgever gecombineerd met het oordeel van de auditor daarbij. Standaardisatie helpt ‘de verstandige leek’ een assurance-uiting niet mis te verstaan. En indien een opdrachtgever, tevens auditee, in de tweepartijen setting (mede) de normering kan bepalen op basis waarvan de auditor tot een uitspraak komt, kan minimaal de schijn ontstaan dat de auditor zijn oren te veel naar die opdrachtgever heeft laten hangen.

De vertaling van ‘effectiveness’ in ‘doelmatigheid’ in de Nederlandse definitie is om twee redenen niet juist: tekstueel en materieel. Meest gebruikelijk is doelmatig als een synoniem te zien van efficiënt en dat dan tevens moet zijn voldaan aan effectiviteit (doeltreffendheid)[1]. Maar onderzoekstechnisch is het aantonen van efficiëntie een lastige extra stap na het aantonen van effectiviteit! Dit standaard opnemen in de auditdefinitie creëert op voorhand een verwachtingskloof! We doen een poging dit concreet te maken:

Als effectiviteit betekent dat een weg wordt gevolgd die tot Rome rijkt en efficiëntie de ‘meest geschikte’ weg is naar Rome, kunnen we als auditor als eerste beoordelen of sprake is van effectiviteit door vast te stellen dat ‘men’ in Rome is aangekomen; of dat mag worden aangenomen dat dit goed mogelijk is. Om vervolgens ook de efficiëntie van de tocht naar Rome vast te stellen, moet het management eerst definiëren wat ‘meest geschikte’ behelst. De neiging is groot hier ‘de kortste weg’ in te vullen, maar die hoeft niet te stroken met andere (beleids)richtlijnen, bijvoorbeeld op het vlak van veiligheid, het kan ongeschikt zijn voor het voertuig dat de organisatie ter beschikking staat of niet in lijn zijn met nevendoelstellingen van de organisatie: teambuilding, site-seeing, nieuwe klanten ontmoeten et cetera. Omdat het duiden van effectiviteitseisen in de praktijk al lastig genoeg is, en efficiëntievraagstukken veel extra (onderzoeks)tijd vergen, gaan wij voor de term effectiviteit in de definitie (of kiezen we voor de persé nader te definiëren term: kwaliteit?).

Een verbetering in de vertaling naar het Nederlands is er ook: De IIA-inc.-definitie overschrijdt de verantwoordelijkheden van IA met de opmerking dat IA de auditobjecten evalueert én verbetert! ‘helpt … te realiseren’ is een belangrijke nuancering in de Nederlandse vertaling. Het maakt de eigenstandige verantwoordelijkheid van management concreet (en daarbij de onafhankelijkheid en objectiviteit van de auditor ten aanzienvan die objectenen de verantwoordelijken daarvanbij een volgende evaluatie). (Schijn van) afhankelijkheid is toch de grote zorg van auditors?

B. Nadere uitwerking van de begrippen Assurance en Consulting Activity

Als vermeld gaat de Nederlandse definitie van IA in de eerste zin al wat mank door de vertaling van ‘consulting activity’ in ‘adviesdiensten’. De uitleg van IIA-inc. van consulting activiteiten is: ‘advisory and related client service activities, the nature and scope of which are agreed upon with the client and which are intended to add value and improve an organization’s operations.’ Het Nederlandse ‘advies’ lijkt te zijn bedoeld als ‘alle IA-activiteiten die geen assurance mogen worden genoemd. Maar als vertaling van ‘advice’ is het een versmalling van wat IIA-inc. beoogt met Consulting activities. Andersom moet ‘to add value’ weer niet te strikt worden beperkt tot de Consulting Activities. We mogen toch hopen dat ook het verlenen van Assurance waarde toevoegt!

De verschuiving in veel literatuur van de term Assurance richting het gebruik van het woord door IFAc is begrijpelijk en wat ons betreft geen probleem, aangezien we Assurance en Consulting Services zien als communicerende vaten. Wat niet meer past binnen een interpretatie van Assurance maakt dan onderdeel uit van Consulting Services. Ook Urton Anderson presenteert het overeenkomstig en noemt het al in 2003 een Assurance/Consulting Continuum. Hij beschrijft in 2003 drie verschillen tussen assurance en consulting:

  • De drie-partijen (opdrachtgever, objectverantwoordelijke en auditor) versus twee-partijen (de opdrachtgever is tevens objectverantwoordelijke) opzet.
  • “Assurance engagements require an opinion as to the result whereas consulting engagements produce recommendations if indeed there is any formal reporting involved.”
  • “Consulting engagements may be declined by the audit function without need of elaborate justification. Assurance engagements are mandatory once it has been identified as an area of need.”

Het ‘meer-bazen-effect’ voor de auditfunctie komt hier nadrukkelijk tot uiting. Na accordering van de auditkalender wordt van de CAE verwacht deze na te leven en de consulting activities, veelal verzoeken buiten de auditkalender om van individuele leden van het AC of andere managers, te beperken tot wat de assurance-werkzaamheden niet schaadt. Herkenbare praktijk in Nederland, maar toch wonderlijk wanneer ‘toegevoegde waarde’ zo hoog in het vaandel hoort te staan!

De daaropvolgende tekst lijkt vooral te zijn ingegeven door het ‘schijn van afhankelijkheidsdenken’ door derde partijen als het gaat om werkzaamheden van IAD’s. Wat ons betreft mag die discussie worden beslecht met de uitspraken:

  • Als IA-werkzaamheden omwille van schijn van afhankelijkheid moeten worden beperkt tot de optiek van en worden verricht op de wijze van externe audits, kan het beter door die externen worden verricht.
  • Als IA-werkzaamheden verricht voor interne partijen een schijn van partijdigheid behouden voor derden, moet een externe auditor dit op basis van reviewwerk kunnen wegnemen (mits deze voldoende methodologisch is onderlegd).

Ook dit zien we als een vorm van external audit-denken; het miskent de grote toegevoegde waarde van een IAD binnen een organisatie die ‘in continuiteit’ het organisatiespecifieke ‘inademt’ en daarmee niet beperkt wordt door de beperkte (doorloop)tijd van een opdracht (een beperking van external audits).

Anders geformuleerd: Waarom worden mogelijke nadelen van interne betrokkenheid van auditors (collisiegevaar) steeds zwaarder benadrukt dan de voordelen zoals intrinsieke motivatie, doorleefd begrip van de organisatie en ervaring hebben met de (informele) organisatie? Overdrijving van het onafhankelijkheidsdenken veroorzaakt een enorme verarming van audits en templatisme. En ondergraaft daarmee als zodanig de o zo belangrijk geachte toegevoegde waarde …

C. Hoe te komen tot meer eenduidigheid?

We concluderen dat de bestaande definitie van IA al bij het uitkomen tot discussie leidde en negentien jaar later ook in Nederland nog verschillend wordt geïnterpreteerd. Wat iedereen lijkt aan te spreken is de nadruk op adding value (toegevoegde waarde) voor de organisatie. De manier waarop dat te bereiken en of dat met alleen Assurance kan of met Consulting activities moet (soms zelfs mag!) blijft afhankelijk van ervaring, achtergronden en misschien ook lef van de eindverantwoordelijk auditors.

Als we het Nederlandse veld aan IAD’s overzien speelt ook de branche en met name de dominantie van toezichthouders in de branche een rol. Laten we ook zo eerlijk zijn te onderkennen dat niet de auditor, zelfs niet de auditberoepsorganisatie, maar vooral topmanagement bepaalt hoe de IA-functie wordt ingezet en zich ontwikkelt.

En daarom is het goed uitvoerig te luisteren naar hun wensen en de achtergronden daarvan te doorzien. Wie bepaalt hun beeld het meest? Wat zijn hun grootste zorgen en daarmee hun behoeften? Om vervolgens na te denken over de mate waarin we dat klakkeloos gaan volgen of concreet maken wat we aanvullend kunnen betekenen en hoe dat het beste aan hen kan worden voorgelegd.

Een bekende valkuil is het (indirect) accepteren van verantwoordelijkheid voor procesbeheersing of doelrealisatie. Idealiter kan Internal audit slechts verantwoordelijk worden gehouden voor een goed ontworpen, uitgevoerde en gepresenteerde audit. En zelfs daarbij is hij al afhankelijk van de opdrachtgever en auditee. De auditor bepaalt niet de norm en dwingt dan ook geen aanpassingen in de procesbeheersing af.

Anders geformuleerd: Als de auditor constateert dat het management met verve de eigen verantwoordelijkheid uitdraagt en eigenaarschap toont, zijn er ‘geen grenzen’ aan de toegevoegde waarde-mogelijkheden van IA; helpen, adviseren, toetsen, ondersteunen… Het is uiteindelijk aan het management op grond van hun verantwoordelijkheid en eigenaarschap wat ze besluiten te doen met de uitkomsten van IA-werkzaamheden.[2]

Voorts mag van een post-academisch geschoolde onderzoeker worden verwacht dat de verwachtingen, onderzoekswerkzaamheden en de uiteindelijke betrouwbaarheid van het onderzoek concreet worden gemaakt. En ook de verantwoordelijkheden van (opnieuw) de opdrachtgever en auditee moeten daarbij worden geconcretiseerd en nageleefd.

We komen naar onze overtuiging snel tot eenduidigheid in terminologie en aansluiting bij verwachtingen, wanneer we ons ontdoen van auditjargon en ook rapporteren in de taal van de opdrachtgever. Alleen dit is al een reden om intern geen IFAc-rapportage richtlijnen te volgen.

En ook onze producten behoeven geen marketingterminologie.

  • Assurance mag weer ‘aanvullende zekerheid’ heten. En geef dan aan wat die aanvulling betreft en waar het op is gebaseerd.
  • Een Quick scan is een toetsend onderzoek met een beperkte scope of diepgang (of beide).
  • Een advies (uit een ‘Advisory engagement’) is de na onderzoek overgebleven alternatieve oplossing. Vermeld dan welke alternatieven om welke reden zijn afgevallen en wat de feitelijke onderzoeksbasis is voor die conclusie. U zult dan opmerken hoe weinig dit verschilt van een toetsend onderzoek dat onder de term Audit wordt aangeboden.

Wees transparant over de werkwijze, met welke optiek naar precies welk object u heeft gekeken en hoe zeker u bent over de onderzoeksuitkomst. De opdrachtgever en (zeker) de auditee weten al hoe complex de praktijk is die u gaat onderzoeken. Juist daarom vragen ze u deze te onderzoeken!

Kortom: wees concreet en denk goed na over hoe u en uw producten overkomen bij het (top)management.

Hoe dit aan te pakken hebben we uitvoerig beschreven in ons boek uit 2017: Management Control Auditing: Bijdragen aan doelrealisatie en verbetering (zie www.auditing.nl/boekwinkel) en is onderwerp van onze trainingen Verbetergericht Auditen.

Ron de Korte RA RE RO is Partner van ACS Partners te Doorn

Hij begeleidt 2een 3elijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/ onderzoeken en het verstevigen van de onderzoeks-, rapportage en adviesvaardigheden


[1] RPE artikel 1e. Doelmatigheid van het beleid: de relatie tussen de effecten van het beleid en de kosten van het beleid: Een (voorgenomen) handelwijze is doelmatig of efficiënt het bereiken van een doel met gebruik van zo weinig mogelijk middelen. De kosten in verhouding staan tot de opbrengsten.

[2] In ons boek ‘Management Control Auditing; bijdragen aan doelrealisatie en verandering’ is dit omschreven als de ‘ideaal situatie’ bij IA-verzoeken tot maatwerk audits.

Kunt u nog zonder te blozen in de spiegel kijken?

Als auditors beloven we nogal wat:

  • Een ‘oordeel over de effectieve en efficiënte beheersing’. Maar bedoelen we dan dat we kunnen aangeven hoe efficiënt die effectieve beheersing is? Of welke effectieve wijze van beheersen de meest efficiënte is?
  • Over het ‘In control-statement’. Maar is ‘in control’ dat de doelen zullen worden gehaald of (toch) dat management zich er betrouwbaar over kan verantwoorden?
  • ‘Assurance over gedrag’. Ja, maar dan niet meer ‘met een redelijke mate van zekerheid’. Oh, … met welke zekerheid dan?

Natuurlijk houden we vaak een slag om de arm bij onze rapportages, maar …. Hadden we bij het aangaan van de opdracht echt voldoende door waar we aan begonnen?

Waarmaken wat we beloven begint bij weten waartoe we werkelijk in staat zijn. En dat voordat we iets beloven! Nemen we tijdig voldoende tijd om te onderzoeken waar we instappen?

Het gaat écht fout wanneer we zeggen ‘objectieve’ oordelen en adviezen te geven. We objectiveren onze oordelen en richten onze audits zo in dat de kans op uitspraken die beïnvloed zijn door vooringenomenheid voldoende klein is. Maar we blijven mensen! En laten we dat vooral als onze kracht zien.

En hoe ziet een ‘objectief advies’ eruit? Zijn dat logische gevolgtrekkingen? Direct voortkomend uit ons geobjectiveerde onderzoek? Of is dat een beschrijving van wat wij auditors zouden doen als we in de schoenen van de betreffende eindverantwoordelijke zouden staan? Maar wie is daar echt in geinteresseerd?

Als auditor bijdragen aan de ondernemingsdoelstelling (IIA-definitie) vereist een multi-aspectmatige optiek naast een brede (object)scoping. Onze opdrachtgevers hebben er niets aan dat audit aangeeft dat het betrouwbaarder kan (of zelfs moet) als de prijs van meer-betrouwbaarheid niet in de optiek en scope is meegenomen. En je verplaatsen in de vele malen ingewikkelder werkelijkheid van die manager dan we in reguliere audits bezien, is zonder betrokkenheid van die manager niet goed mogelijk.

Als we verbetergerichtwillen auditen, werkelijk willen bijdragen aan de organisatiedoelen, zullen we dat samen methet verantwoordelijk management moeten doen. Dus stop met vertellen wat management moet doen in de vorm van ‘aanbevelingen’, maar organiseer een sessie met verantwoordelijk management en rapporteer de voorgenomen acties uit die sessie.
En stop met aanbevelen hoe het beter kan, als het aspect reeds voldoende is getackeld. Tenzij uit je onderzoek blijkt dat het niet ten kosten zal gaan van tijd, geld of energie die beter kan worden besteed aan het realiseren van de ondernemingsdoelstellingen.

Stop ook met het ‘herhalen van de norm’ in aanbevelingen. Maar zorg dat in je norm, naast het wettelijk minimum, de inrichtingskeuzes van het management zijn opgenomen. Als die niet worden gehaald zal een serieuze manager ‘als vanzelf’verbetergerichtwillen handelen. En als die manager in de auditor daadwerkelijk een adviseur ziet, zal je worden gevraagd onderliggende oorzaken respectievelijk alternatieve oplossingen te onderzoeken. Dán kunnen we weer met voldoening in de spiegel kijken!

Verbetergericht auditen. Het vergt een attitudeverandering van de auditor én van de opdrachtgever! Dit voorjaar kun je je nog inschrijven voor de vierdaagse! Vier donderdagen in februari/maart. Dag 1 start 7 maart 2019! Meld je aan via www.mcaudit.nl of www.auditing.nl of mail naar r.de.korte@acs.nl voor nadere informatie en een maatwerkadvies. Het levert bovendien 28 gecertificeerde PE-uren.

De rode lap van de Auditor.

Werkt u als auditor nog wel eens als een rode lap op een stier?

ACSmannetjeStierBlauw

U bent helaas echt niet de enige! Alle mooie auditdefinities ten spijt worden auditors nog vaak gezien als ‘de politieagent van de top’. (We horen zelfs: ‘de Stasi van de toezichthouder’). En natuurlijk, moeten rapporteren dat lager management een te positief en te optimistisch beeld geeft van de eigen prestaties creëert niet alleen vrienden. Maar doen we genoeg om daadwerkelijk bij te dragen aan de ondernemingsdoelstelling?

  • Hebben we evenveel ‘bewijs’ nodig voor een positieve boodschap als voor een negatief oordeel?
  • Waarom definiëren we een ‘bevinding’ als een afwijking van onze vergelijking tussen norm en werkelijkheid en rapporteren we maar heel beperkt wat wél aan de vergelijking voldoet?
  • Is de gehanteerde normering de enig mogelijke uitwerking van wet- en regelgeving en kleurt u met uw normering niet ook dat laatste beetje ‘managementvrijheid’ op uw wijze in?

Bovenstaande vragen representeren slechts enkele van de vele valkuilen in de dagelijkse praktijk van auditors. Tijdsdruk, verwachtingen van opdrachtgevers en toezichthouders, automatismen als gevolg van ervaringen opgedaan in externe audit- en toezichtrollen et cetera, maken het lastig die vele valkuilen te blijven ontwijken.

Maar in veel gevallen kan het écht anders! Enkele dagen per jaar terug naar de basis bieden uitkomst. Terug naar de doelstellingen van audit, het ontwerpen van goede onderzoeken en het overwegen van alternatieven voor de ingeslepen patronen. Volg de 4-daagsen Verbetergericht Auditen (VA) en Verdieping Verbetergericht Auditen (VVA).

VA richt zich op de randvoorwaarden voor het realiseren van de doelstelling van Internal auditing en het ontwerpen van maatwerkonderzoeken. Ook besteden we aandacht aan auditvaardigheden. Doelgroep: startende en meer ervaren auditors en 2elijners: met name accountants en IT-auditors die hun carrière voortzetten als internal auditor, compliance officer, CISO of onderzoekende controller.

VVA helpt u daadwerkelijk bij het onderzoeken van social controls en het beoordelen van Root Cause Analysis gericht op effectieve verbeteracties. Aandacht voor vaardigheden is dan opnieuw een vereiste. Doelgroep: alle auditors die ook de sociaal organisatorische onderdelen van management control willen leren onderzoeken of daadwerkelijk willen bijdragen aan oplossingen voor geconstateerde problemen.

Op deze site vindt u onderstaand de data voor de trainingsdagen voorjaar 2019:

Verbetergericht auditenVerdieping Verbetergericht Auditen
Dag 1Donderdag 7 maartDonderdag 23 mei
Dag 2Donderdag 21 maartDonderdag 6 juni
Dag 3Donderdag 4 aprilDonderdag 20 juni
Dag 4Donderdag 18 aprilDonderdag 4 juli

Ondersteund met een boek en prE-learnings ontvangt u 7 PE-punten per opleidingsdag. Meld u aan via deze site (www.mcaudit.nl) of mail naar r.de.korte@acs.nlvoor nadere informatie en een maatwerkadvies.

Totaal aantal PE:

Toon meer berichten...

Stacks Image p6_n106778

Coöperatie ACS Partners UA
Kasteel Moersbergen
Moersbergselaan 17
3941 BW DOORN

tel. +31 343 52 41 11

© jano, april 2017