Stacks Image p2_n119704

Management Control Auditing

'Wat ons zoal bezig houdt'

De nieuwe lente!

Onze taal geeft weer wie we zijn en …… hoe we de wereld in kijken.

Als de ‘internal auditor’ (ook) ‘Trusted Advisor’ (Maister, 2000) wil zijn, moeten we meer dan vertrouwen winnen: we zullen dezelfde taal moeten spreken als degenen wiens vertrouwen we waard willen zijn.

Onze IIA-inc. President en CEO Richard Chambers geeft aan dat we vijf woorden en frasen moeten vermijden: ‘failed’, inadequate’, ‘ineffective’, ‘we found’ en ‘it appears’.[i] Wij denken dat we het ook niet moeten hebben over wat er allemaal fout kan gaan, laat staan over ‘naderend onheil’. Toch start daarmee de eerste IIA-nl blog, op persoonlijke titel geschreven door een IIA-bestuurslid. Oké, hij spreekt ook van ‘enablers’ (instaat stellers), maar zelfs de ‘enablers’ worden meestal verwoord in ‘risico’s’. En dat is slechts een voorbeeld van zeer veel teksten met dit wat negatieve taalgebruik. Bovendien hebben de auteur van de blog en wij eenzelfde visie op internal auditing!
Daarom de vraag:
Wat is het toch dat management control activiteiten: het economisch alloceren van middelen, het juiste meten en motiverend communiceren (Anthony 2004)[ii], steeds worden uitgedrukt in risico’s en het treffen van controlemaatregelen om risico’s te ‘mitigeren’?

Uit de column ‘Winter is coming’: “De IAF dient naast het identificeren van het risico-universum ook rekening te houden met de enablers van een internal auditplan. De tien onderstaande enablers geven richting aan het internal auditjaarplan.”

Als oefening en eerste stap in ons streven te worden gezien als ‘Trusted Advisor’ pogen we de 10 onderwerpen uit de blog ‘Winter is coming’ te verwoorden gebaseerd op een management control-visie zonder risico-jargon. In een andere column zijn we dieper ingegaan op wat verder minimaal nodig is om als (internal) auditor enige kans te gaan maken op de titel ‘Trusted Advisor’.

Onderstaand hebben we links 4 van de 10 punten uit de blog geplaatst en rechts onze bewerking ervan. In het volledige artikel onder dezelfde naam en gepubliceerd op www.MCAudit.nl onder 'publicaties' zijn alle 10 punten uit ‘Winter is coming’ vertaald. U vindt daar ook meer over de Trusted Advisor.

4 van de 10 elementen
Links: ‘Winter is coming’; IIA-blog 2019Rechts: ‘De nieuwe lente!’

1. Strategie en strategierealisatie

Koppelt de IAF het internal auditjaarplan voldoende aan de realisatie van de strategie en doelstellingen van de organisatie? Worden de key-risico’s in kaart gebracht die strategierealisatie in de weg staan? Groot risico is dat het management en het eerste lijnsmanagement zich blindstaren op de korte-termijndoelstellingen en daarbij het groter geheel uit het oog verliezen.

1. Strategie en strategierealisatie

Koppelt de IAF het internal auditjaarplan voldoende aan de realisatie van de strategie en doelstellingen van de organisatie? Gebruikt management de organisatie ‘assets’ op de juiste manier om de doelstellingen te realiseren? Zijn de vooronderstellingen duidelijk en de randvoorwaarden voor de strategierealisatie voldoende geoperationaliseerd? Ook de relatie tussen korte en lange termijn doelstellingen is belangrijk.

2. Risicobereidheid (risk appetite)

Zijn risicotolerantie en -bereidheid kwantitatief bepaald? Wat is het maximale risico per (deel)gebied dat de hoogste leiding wil nemen en de organisatie kan dragen – bijvoorbeeld de afgesproken bankconvenanten met de kredietverstrekkers? Sommige risico’s moet je accepteren, andere risico’s vragen om actie (verminderen, vermijden of overdragen). Wees dus voorbereid op een dynamische risico-aanpak, maar bepaal ook de grenzen.

2. Kritieke succesfactoren
Is voldoende concreet uitgewerkt welke factoren moeten worden gerealiseerd en welke niet mogen worden overschreden om de doelen tijdig te realiseren? Is dit waar mogelijk vertaald naar subdoelen, (deel)verantwoordelijkheidsgebieden, (sub)processen of afdelingen? Sluit dit aan bij de geaccepteerde onzekerheid in de uitgangspunten en verwachtingen? Is management zich ervan bewust dat ‘not everything that counts can be counted’? (Vrij naar Einstein.) Juist het analyseren van de ontwikkeling in kwalitatieve elementen maakt dat management leert van de effecten van hun aanpassingen en komt tot effectieve managementinformatie.

3. Risico-identificatie

Wat zijn de grootste risico’s voor de organisatie? Wat is de impact van deze risico’s en hoe waarschijnlijk zijn ze? Hoe zijn ze met elkaar verbonden en wat is de (gecalculeerde) snelheid van een verandering van deze risico’s? Een aantal ‘laag geclassificeerde’ risico’s die met elkaar zijn verbonden, kunnen in samenhang alsnog voor een grote impact zorgen. Misschien een open deur, maar het is belangrijk om het tweedimensionale risico-identificatieproces te vervangen door het moderne vierdimensionale risicomanagementmodel.

3. Stuurinformatie en concurrentiefactoren (SWOT)

Managementinformatie moet niet gebaseerd zijn op wat fout kan gaan, maar op wat nodig is om waar mogelijk voorspelbaar, maar persé ook gericht op verbetering de doelen te realiseren. Medewerkers die weten wat hun afnemers verwachten en wat die onder kwaliteit verstaan, vormen randvoorwaarden voor het onderkennen dat de ingeslepen werkwijzen niet meer voldoen. Voorts of het aanpassingsvermogen van hun bedrijfsproces de kwaliteit van de hen aangeleverde ‘grondstoffen’ nog aankan. Medewerkers hebben dus overzicht nodig én het vertrouwen dat beargumen-teerd afwijken van de standaard door hun manager wordt gewaardeerd. Mits de laatste er proactief bij wordt betrokken én wordt geleerd van de effecten van die afwijkingen.

4. Risicoanalyse en -beoordeling

Door ‘what-could-go-wrongs’ en ‘what-if’scenario’s te formuleren en de mogelijke financiële, veiligheids- en reputatieconsequenties door te rekenen, weet de organisatie hoe groot de gevolgen kunnen zijn. Hoe vaak analyseren en beoordelen de hoogste leiding en de eerste lijn de key-risico’s? Worden stress-testing en scenarioplanning toegepast? Hoe effectief kan de organisatie risico’s managen? Door een ‘continuous’ assessment in te plannen met de risicomanagementfunctie, zijn de hoogste leiding en de eerste lijn beter voorbereid, wat de kans op onaangename verrassingen verkleint.

4. Flexibiliteit en aanpassingsvermogen

Topmanagement stelt de organisatiedoelen vast mede op basis van inzicht in het aanpassingsvermogen van de organisatie. Het heeft overzicht over de productwensen en de verandering daarin én over de kwaliteit die toeleveranciers bieden. De eigen organisatie als schakel daartussen optimaliseren is de eigen opdracht. Dat vereist ondernemerschap, motivatie van de medewerkers door het bieden van uitdagingen en het schenken van tijd, middelen en vertrouwen dat daar goed mee wordt omgegaan. Dit verlaagt de beheerskosten en vergroot de effectiviteit van de organisatie als geheel. Voorts continu meten en analyseren, zodat die schaarse middelen regelmatig kunnen worden herverdeeld. Zonder analyse wordt vertrouwen blindvertrouwen in plaats van slimvertrouwen (Covey[i]).

De 10 punten uit ‘Winter is coming’ omvatten natuurlijk niet wat er allemaal onder management control moet worden verstaan. Met het formuleren van de teksten in de rechter kolom raakten we weer enthousiast over de theorieën van Simons, Maister, Quinn, Hofstede, … allemaal ontstaan in de vorige eeuw. En hoewel we in de 21e eeuw alsmaar roepen dat alles sneller verandert en flexibiliteit en beweeglijkheid noodzakelijk zijn om die verandering te kunnen bijbenen, blijven we auditen en adviseren vanuit het ‘voorspelbaarheidsdenken’: het mitigeren van risico’s met heipalen en beton. Waar Simons[i]met zijn ‘Interactive control system’ ons in 1995 probeerde duidelijk te maken dat management control ook het continue ter discussiestellen van de strategie betekent, vragen wij om ‘geformaliseerde beleidsdocumenten’ en ‘de aantoonbare werking’ van ‘the three lines of defense’.

We gaan het anders doen. We moeten het anders gaan doen. Op naar een ontwikkeltraject voor de ‘Trusted Advisor'.

Ook deze blog is natuurlijk op persoonlijke titel geschreven, maar het geeft de ideeën weer van een groeiend aantal beroepsgenoten.


Ron de Korte RA RE RO CIA is Partner van ACS Partners te Doorn.
Hij begeleidt 2een 3elijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/ onderzoeken en het verstevigen van de onderzoeks-, rapportage en adviesvaardigheden.



[i]Simons, R. (1995). Levers of Control: How managers use innovative control systems to drive strategic renewal. Boston: Harvard Business School Press, USA.

[i] Covey S.M.R., The speed of trust, Business Contact, 2008.



[i]Chambers. R., (2017), Trusted Advisors; Key attributes of outstanding internal auditors, IIA-incorporate, USA.

[ii]Anthony, R. and Govindarajan, V. (2004), Management Control Systems, 11th ed., McGraw-Hill, Boston, MA.

Stacks Image p6_n106778

Coöperatie ACS Partners UA
Kasteel Moersbergen
Moersbergselaan 17
3941 BW DOORN

tel. +31 343 52 41 11

© jano, april 2017