MCA

Management Control Auditing

De communicerende vaten Assurance en Consulting activity

Nog net in de vorige eeuw verscheen een uitdagende definitie van Internal Auditing met de termen Assurance en Consulting activity. Het leidde tot veel discussie en gaf ook duidelijk ‘denkrichtingen’ weer binnen het IA-nl. Er is sprake van een tweedeling die je zou kunnen duiden in de accountancy-opgeleiden enerzijds en operational auditing-opgeleiden anderzijds.
Deze column is gebaseerd op een deel van het artikel over de definitie van IA, dat u kunt downloaden op http://www.auditing.nl. We raden u het oorspronkelijke artikel aan voor een nuancering en verdieping van wat u in deze column zult lezen.
In deze bijdrage beschrijven we de interpretaties van de IA-definitie die we in IIA-inc. literatuur en in praktijkgesprekken met hoofden en MT-leden Internal Audit tegenkomen en een idee hoe te komen tot meer eenduidigheid. We starten daartoe met het afpellen van de definitie van IA zoals opgenomen op de IIA-nl-site en zoomen in op het begrippenpaar Assurance en Consulting activityen auditterminologie uit de praktijk.
De communicerende vaten Assurance en Consulting activity
5 januari, 2019
ACSmannetjeBalansblauw75
Nog net in de vorige eeuw verscheen een uitdagende definitie van Internal Auditing met de termen Assurance en Consulting activity. Het leidde tot veel discussie en gaf ook duidelijk ‘denkrichtingen’ weer binnen het IA-nl. Er is sprake van een tweedeling die je zou kunnen duiden in de accountancy-opgeleiden enerzijds en operational auditing-opgeleiden anderzijds.
Deze column is gebaseerd op een deel van het artikel over de definitie van IA, dat u kunt downloaden op http://www.auditing.nl. We raden u het oorspronkelijke artikel aan voor een nuancering en verdieping van wat u in deze column zult lezen.
In deze bijdrage beschrijven we de interpretaties van de IA-definitie die we in IIA-inc. literatuur en in praktijkgesprekken met hoofden en MT-leden Internal Audit tegenkomen en een idee hoe te komen tot meer eenduidigheid. We starten daartoe met het afpellen van de definitie van IA zoals opgenomen op de IIA-nl-site en zoomen in op het begrippenpaar Assurance en Consulting activityen auditterminologie uit de praktijk.
A. De definitie van Internal Auditing uit 1999 vertaald in het Nederlands
Op de IIA-nl site is een in het Nederlands vertaalde definitie van Internal Auditing van IIA-inc. opgenomen:
“Internal auditing biedt onafhankelijke en objectieve audit- en adviesdiensten, die bedoeld zijn om meerwaarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de doelmatigheid van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren.”
We moeten helaas wat kritisch op die vertaling reageren. Consulting activities is naar het Nederlands vertaald in adviesdiensten! En dat is toch wat wonderlijk wanneer je leest wat het IIA-inc. onder consulting activities verstaat: ‘activities as conducting internal control training, providing
advice to management about the control concerns in new systems, drafting policies, and participating in quality teams.’ De term adviesdiensten wordt in de praktijk veel gehanteerd voor toetsende werkzaamheden waarbij de onderbouwing of de dossiervorming niet voldoet aan de verwachting van IFAc-assurance-producten. Hier dus een eerste effect van het gebruik en de extra lading van de term Assurance door IFAc!
Een tweede effect van de IFAc-terminologie is dat assurance wordt gelezen als een product waarbij drie partijen betrokken zijn (opdrachtgever, auditee en auditor) en Advisory wordt gehanteerd wanneer de opdrachtgever tevens auditee is. Dit is niet vreemd, omdat de rapportage-eisen van IFAc als bestaansreden hebben dat derden-gebruikers (veelal ook het maatschappelijk verkeer) een juiste interpretatie moeten kunnen vormen op basis van de uiting van de opdrachtgever gecombineerd met het oordeel van de auditor daarbij. Standaardisatie helpt ‘de verstandige leek’ een assurance-uiting niet mis te verstaan. En indien een opdrachtgever, tevens auditee, in de tweepartijen setting (mede) de normering kan bepalen op basis waarvan de auditor tot een uitspraak komt, kan minimaal de schijn ontstaan dat de auditor zijn oren te veel naar die opdrachtgever heeft laten hangen.
De vertaling van ‘effectiveness’ in ‘doelmatigheid’ in de Nederlandse definitie is om twee redenen niet juist: tekstueel en materieel. Meest gebruikelijk is doelmatig als een synoniem te zien van efficiënt en dat dan tevens moet zijn voldaan aan effectiviteit (doeltreffendheid)
[1]. Maar onderzoekstechnisch is het aantonen van efficiëntie een lastige extra stap na het aantonen van effectiviteit! Dit standaard opnemen in de auditdefinitie creëert op voorhand een verwachtingskloof! We doen een poging dit concreet te maken:
Als effectiviteit betekent dat een weg wordt gevolgd die tot Rome rijkt en efficiëntie de ‘meest geschikte’ weg is naar Rome, kunnen we als auditor als eerste beoordelen of sprake is van effectiviteit door vast te stellen dat ‘men’ in Rome is aangekomen; of dat mag worden aangenomen dat dit goed mogelijk is. Om vervolgens ook de efficiëntie van de tocht naar Rome vast te stellen, moet het management eerst definiëren wat ‘meest geschikte’ behelst. De neiging is groot hier ‘de kortste weg’ in te vullen, maar die hoeft niet te stroken met andere (beleids)richtlijnen, bijvoorbeeld op het vlak van veiligheid, het kan ongeschikt zijn voor het voertuig dat de organisatie ter beschikking staat of niet in lijn zijn met nevendoelstellingen van de organisatie: teambuilding, site-seeing, nieuwe klanten ontmoeten et cetera. Omdat het duiden van effectiviteitseisen in de praktijk al lastig genoeg is, en efficiëntievraagstukken veel extra (onderzoeks)tijd vergen, gaan wij voor de term effectiviteit in de definitie (of kiezen we voor de persé nader te definiëren term: kwaliteit?).
Een verbetering in de vertaling naar het Nederlands is er ook: De IIA-inc.-definitie overschrijdt de verantwoordelijkheden van IA met de opmerking dat IA de auditobjecten evalueert én verbetert! ‘
helpt … te realiseren’ is een belangrijke nuancering in de Nederlandse vertaling. Het maakt de eigenstandige verantwoordelijkheid van management concreet (en daarbij de onafhankelijkheid en objectiviteit van de auditor ten aanzienvan die objectenen de verantwoordelijken daarvanbij een volgende evaluatie). (Schijn van) afhankelijkheid is toch de grote zorg van auditors?
B. Nadere uitwerking van de begrippen Assurance en Consulting Activity
Als vermeld gaat de Nederlandse definitie van IA in de eerste zin al wat mank door de vertaling van ‘consulting activity’ in ‘adviesdiensten’. De uitleg van IIA-inc. van consulting activiteiten is: ‘advisory and related client service activities, the nature and scope of which are agreed upon with the client and which are intended to add value and improve an organization’s operations.’ Het Nederlandse ‘advies’ lijkt te zijn bedoeld als ‘alle IA-activiteiten die geen assurance mogen worden genoemd. Maar als vertaling van ‘advice’ is het een versmalling van wat IIA-inc. beoogt met Consulting activities. Andersom moet ‘to add value’ weer niet te strikt worden beperkt tot de Consulting Activities. We mogen toch hopen dat ook het verlenen van Assurance waarde toevoegt!
De verschuiving in veel literatuur van de term Assurance richting het gebruik van het woord door IFAc is begrijpelijk en wat ons betreft geen probleem, aangezien we Assurance en Consulting Services zien als communicerende vaten. Wat niet meer past binnen een interpretatie van Assurance maakt dan onderdeel uit van Consulting Services. Ook Urton Anderson presenteert het overeenkomstig en noemt het al in 2003 een Assurance/Consulting Continuum. Hij beschrijft in 2003 drie verschillen tussen assurance en consulting:
  • De drie-partijen (opdrachtgever, objectverantwoordelijke en auditor) versus twee-partijen (de opdrachtgever is tevens objectverantwoordelijke) opzet.
  • “Assurance engagements require an opinion as to the result whereas consulting engagements produce recommendations if indeed there is any formal reporting involved.”
  • “Consulting engagements may be declined by the audit function without need of elaborate justification. Assurance engagements are mandatory once it has been identified as an area of need.”
Het ‘meer-bazen-effect’ voor de auditfunctie komt hier nadrukkelijk tot uiting. Na accordering van de auditkalender wordt van de CAE verwacht deze na te leven en de consulting activities, veelal verzoeken buiten de auditkalender om van individuele leden van het AC of andere managers, te beperken tot wat de assurance-werkzaamheden niet schaadt. Herkenbare praktijk in Nederland, maar toch wonderlijk wanneer ‘toegevoegde waarde’ zo hoog in het vaandel hoort te staan!
De daaropvolgende tekst lijkt vooral te zijn ingegeven door het ‘schijn van afhankelijkheidsdenken’ door derde partijen als het gaat om werkzaamheden van IAD’s. Wat ons betreft mag die discussie worden beslecht met de uitspraken:
  • Als IA-werkzaamheden omwille van schijn van afhankelijkheid moeten worden beperkt tot de optiek van en worden verricht op de wijze van externe audits, kan het beter door die externen worden verricht.
  • Als IA-werkzaamheden verricht voor interne partijen een schijn van partijdigheid behouden voor derden, moet een externe auditor dit op basis van reviewwerk kunnen wegnemen (mits deze voldoende methodologisch is onderlegd).
Ook dit zien we als een vorm van external audit-denken; het miskent de grote toegevoegde waarde van een IAD binnen een organisatie die ‘in continuiteit’ het organisatiespecifieke ‘inademt’ en daarmee niet beperkt wordt door de beperkte (doorloop)tijd van een opdracht (een beperking van external audits).
Anders geformuleerd: Waarom worden mogelijke nadelen van interne betrokkenheid van auditors (collisiegevaar) steeds zwaarder benadrukt dan de voordelen zoals intrinsieke motivatie, doorleefd begrip van de organisatie en ervaring hebben met de (informele) organisatie? Overdrijving van het onafhankelijkheidsdenken veroorzaakt een enorme verarming van audits en templatisme. En ondergraaft daarmee als zodanig de o zo belangrijk geachte toegevoegde waarde …
C. Hoe te komen tot meer eenduidigheid?
We concluderen dat de bestaande definitie van IA al bij het uitkomen tot discussie leidde en negentien jaar later ook in Nederland nog verschillend wordt geïnterpreteerd. Wat iedereen lijkt aan te spreken is de nadruk op adding value (toegevoegde waarde) voor de organisatie. De manier waarop dat te bereiken en of dat met alleen Assurance kan of met Consulting activities moet (soms zelfs mag!) blijft afhankelijk van ervaring, achtergronden en misschien ook lef van de eindverantwoordelijk auditors.
Als we het Nederlandse veld aan IAD’s overzien speelt ook de branche en met name de dominantie van toezichthouders in de branche een rol. Laten we ook zo eerlijk zijn te onderkennen dat niet de auditor, zelfs niet de auditberoepsorganisatie, maar vooral topmanagement bepaalt hoe de IA-functie wordt ingezet en zich ontwikkelt.
En daarom is het goed uitvoerig te luisteren naar hun wensen en de achtergronden daarvan te doorzien. Wie bepaalt hun beeld het meest? Wat zijn hun grootste zorgen en daarmee hun behoeften? Om vervolgens na te denken over de mate waarin we dat klakkeloos gaan volgen of concreet maken wat we aanvullend kunnen betekenen en hoe dat het beste aan hen kan worden voorgelegd.
Een bekende valkuil is het (indirect) accepteren van verantwoordelijkheid voor procesbeheersing of doelrealisatie. Idealiter kan Internal audit slechts verantwoordelijk worden gehouden voor een goed ontworpen, uitgevoerde en gepresenteerde audit. En zelfs daarbij is hij al afhankelijk van de opdrachtgever en auditee. De auditor bepaalt niet de norm en dwingt dan ook geen aanpassingen in de procesbeheersing af.
Anders geformuleerd: Als de auditor constateert dat het management met verve de eigen verantwoordelijkheid uitdraagt en eigenaarschap toont, zijn er ‘geen grenzen’ aan de toegevoegde waarde-mogelijkheden van IA; helpen, adviseren, toetsen, ondersteunen… Het is uiteindelijk aan het management op grond van hun verantwoordelijkheid en eigenaarschap wat ze besluiten te doen met de uitkomsten van IA-werkzaamheden.
[2]
Voorts mag van een post-academisch geschoolde onderzoeker worden verwacht dat de verwachtingen, onderzoekswerkzaamheden en de uiteindelijke betrouwbaarheid van het onderzoek concreet worden gemaakt. En ook de verantwoordelijkheden van (opnieuw) de opdrachtgever en auditee moeten daarbij worden geconcretiseerd en nageleefd.
We komen naar onze overtuiging snel tot eenduidigheid in terminologie en aansluiting bij verwachtingen, wanneer we ons ontdoen van auditjargon en ook rapporteren in de taal van de opdrachtgever. Alleen dit is al een reden om intern geen IFAc-rapportage richtlijnen te volgen.
En ook onze producten behoeven geen marketingterminologie.
  • Assurance mag weer ‘aanvullende zekerheid’ heten. En geef dan aan wat die aanvulling betreft en waar het op is gebaseerd.
  • Een Quick scan is een toetsend onderzoek met een beperkte scope of diepgang (of beide).
  • Een advies (uit een ‘Advisory engagement’) is de na onderzoek overgebleven alternatieve oplossing. Vermeld dan welke alternatieven om welke reden zijn afgevallen en wat de feitelijke onderzoeksbasis is voor die conclusie. U zult dan opmerken hoe weinig dit verschilt van een toetsend onderzoek dat onder de term Audit wordt aangeboden.
Wees transparant over de werkwijze, met welke optiek naar precies welk object u heeft gekeken en hoe zeker u bent over de onderzoeksuitkomst. De opdrachtgever en (zeker) de auditee weten al hoe complex de praktijk is die u gaat onderzoeken. Juist daarom vragen ze u deze te onderzoeken!
Kortom: wees concreet en denk goed na over hoe u en uw producten overkomen bij het (top)management.
Hoe dit aan te pakken hebben we uitvoerig beschreven in ons boek uit 2017: Management Control Auditing: Bijdragen aan doelrealisatie en verbetering (zie
www.auditing.nl/boekwinkel) en is onderwerp van onze trainingen Verbetergericht Auditen.


Ron de Korte RA RE RO is Partner van ACS Partners te Doorn
Hij begeleidt 2een 3elijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/ onderzoeken en het verstevigen van de onderzoeks-, rapportage en adviesvaardigheden

[1] RPE artikel 1e. Doelmatigheid van het beleid: de relatie tussen de effecten van het beleid en de kosten van het beleid: Een (voorgenomen) handelwijze is doelmatig of efficiënt het bereiken van een doel met gebruik van zo weinig mogelijk middelen. De kosten in verhouding staan tot de opbrengsten.
[2] In ons boek ‘Management Control Auditing; bijdragen aan doelrealisatie en verandering’ is dit omschreven als de ‘ideaal situatie’ bij IA-verzoeken tot maatwerk audits.