Stacks Image p95382_n119704

Management Control Auditing

'Lezen is denken met andermans hoofd'

Publicaties


Om onze publicaties over management control & auditing te kunnen downloaden vragen we je je naam en je email-adres te registreren. Je geeft ons daarmee alleen toestemming je minimaal 1x onze nieuwsbrief te sturen met informatie over nieuwe artikelen en ontwikkelingen. Elke nieuwsbrief bevat een ‘unsubscribe’ mogelijkheid om het bij die nieuwsbrief te laten. Je email-adres zal op geen andere wijze worden gebruikt en we zullen het op geen enkele wijze verder verspreiden. Als je je al eerder hebt geregistreerd worden onderstaande velden gebruikt om in te loggen.

De meeste definities van risico bevatten de volgende twee elementen: de kans op een bepaald (negatief) gevolg en de ernst of de grootte van dat (negatieve) gevolg. Het product van deze twee elementen kwantificeert het risico. Of uitgedrukt in een formule: R (risico) = K (kans) x G (gevolg). Zo lijkt het alsof risicoanalyse een pure technisch-statistische activiteit is. Maar niets is minder waar. Al jaren wijzen maatschappij- en gedragswetenschappers op de onjuistheid van dit uitgangspunt. Zo stelt Loewestein, e.a. (2001) dat risico primair gedefinieerd moet worden als een psychologisch begrip dat berust op onzekerheid, angst voor verlies en gebrek aan beheersbaarheid.

Ondanks diverse discussies en publicaties lijkt er nog geen algemeen geaccepteerde definitie en methodiek voor soft controls voor handen te zijn. In dit artikel stellen de auteurs zichzelf de vraag of dat wel zo’n probleem is, en waarin de toegevoegde waarde van het onderscheiden en onderzoeken van soft (of social) controls eigenlijk ligt. Zij gaan hierbij in op de invloed van verschillende denkwijzen over mensen en organisaties.
Eind 2007 was er een alumni-bijeenkomst van de opleiding internal/operational auditing aan de Erasmus Universiteit Rotterdam. Deze bijeenkomst stond in het teken van de (on)bruikbaarheid van definities van soft controls. Diverse definities en omschrijvingen passeerden de revue. Sommige definities werden wat meer gewaardeerd dan andere, maar geen enkele definitie kreeg unanieme bijval.
De vraag is of algemene acceptatie van definities en methodieken op dit vlak wel mogelijk is. En, nog fundamenteler, wat is eigenlijk de toegevoegde waarde van het onderscheiden en onderzoeken van social controls?

Operational auditors plaatsen in praktijk de focus voornamelijk op de ‘hardere’ beheersmaatregelen. Soft controls, zoals de motivatie van de medewerkers, de cultuur en de stijl van leidinggeven worden nog slechts mondjesmaat beoordeeld. Wel is de belangstelling hiervoor sterk toegenomen; duidelijk is dat het integreren van deze controls de kwaliteit van het onderzoek en het oordeel vergroot. Het blijft echter lastig om de soft controls ‘handen en voeten’ te geven. In dit artikel wordt beschreven op welke wijze de soft controls meetbaar kunnen worden gemaakt en praktisch kunnen worden geaudit.

In de afgelopen jaren hebben medewerkers van ACS veel gepubliceerd. De teksten in dit boek zijn soms afkomstig van eerdere publicaties, waarbij we van mening zijn dat ze nog evenveel betekenis hebben als ten tijde van de eerste publicatie. Soms zijn ze de auteurs door reacties op de eerste publicatie geïnspireerd en is de versie in dit boek aange- vuld met nieuwe ideeën en opvattingen. In meeste gevallen betreffen het geheel nieuwe teksten. Samen geven ze een actueel beeld van wat onze medewerkers en netwerkpartners bezig houdt en hoe we over ‘verandering in control’ denken.

Auditrapporten moeten het visitekaartje zijn van de auditor’ leren wij onze studenten van de Internal/Operational Auditing opleiding. Ze moeten aan dezelfde hoge eisen voldoen als het auditonderzoek zelf, zodat het rapport de lezer overtuigt, zodat het de lezer aanzet tot actie.
Welke drie eisen mag u aan een auditrapport stellen?

Deze beschouwing doet op essayistische wijze verslag van een onderzoek naar de even interessante als ingewikkelde verhouding tussen auditing en advisering. Ten behoeve van het onderzoek dat aan deze beschouwing ten grondslag ligt is om te beginnen een conceptuele verkenning uitgevoerd teneinde het wetenschappelijk en praktijkgerichte onderzoek op dit terrein in kaart te brengen. Dat heeft de grondslag gevormd voor het gesprek dat vervolgens tijdens diverse bijeenkomsten is aangegaan met auditors die in de praktijk werken op de grensovergang tussen audit en advisering. De opbrengst daarvan heeft zijn weerslag gekregen in dit essay, dat woorden wil geven aan de (zich ontwikkelende) professionaliteit van de auditor die ook aan advisering doet.
Dit essay is er niet op gericht regels, normen en richtlijnen te definiëren voor advisering zoals in de beroepsgroep van auditors soms ook wel wordt beoogd. Sterker nog, deze beschouwing verkent juist ook de grenzen daarvan in relatie tot advisering, vanuit de veronderstelling dat een belangrijk deel van het advies- vak niet goed in dergelijke kaders te vangen is en tot op zekere hoogte zelfs in de weg kan staan aan een goede beroepsuitoefening.

De laatste jaren bestaat er bij auditors een groeiende belangstelling voor zogenaamde soft control. Dat deze belangstelling bestaat bij operational auditors is wel verklaarbaar. In de opleidingen voor internal en operational auditors wordt immers al enige jaren aandacht geschonken aan onderwerpen als cultuur en gedrag in organisaties. Maar ook in de wat minder voor de hand liggende hoek van accountants groeit de belangstelling voor dit fenomeen. Op zichzelf genomen is dat ook weer niet zo verwonderlijk, want hoewel er in de vakopleidingen voor accountants tot op heden weinig of geen aandacht bestaat voor soft controls, valt het voor ieder weldenkend mens niet te ontkennen dat juist menselijk gedrag van grote invloed is op de mare waarin organisaties zich in control kunnen noemen.

Het leergeschiedenisonderzoek is een voor auditors nieuwe manier om organisaties te onderzoeken en te beoordelen. De aanpak werd midden jaren negentig ontwikkeld door onderzoekers aan het MIT Center for Organizational Learning om de resultaten van verander- en leerprocessen in organisaties te kunnen beoordelen op een manier die deze processen ondersteunt en geen afbreuk doet aan de intrinsieke motivatie van betrokkenenen. De werkwijze is gebaseerd op inzichten en methoden ontwikkeld in ondermeer de culturele antropologie, sociologie, orale geschiedenis en action science.

Worden de regels nageleefd en als dat niet zo is, hoe komt dat dan? Handelt men in lijn met de Gedragscode? In welke mate zijn onze kernwaarden inderdaad leidend voor de medewerkers? Is de integriteit van handelen gewaarborgd? Lopen we daar geen reputatierisico? Ik wil geen bureaucratie met ‘Paarse krokodillen’, maar ook voorkomen dat iedereen naar eigen goeddunken handelt. Is dat nu goed geregeld? Bestaan er voldoende waarborgen dat de regels en procedures worden nageleefd?
Bovenstaande zijn mogelijke vragen die een manager aan de auditor zou kunnen stellen op het gebied van integriteit en compliance. Zij vragen om verschillende onderzoeken. Dé integriteit- of compliance-audit bestaat dan ook niet.

This paper reports - in essay form - on a survey of the equally interesting as complicated relationship between auditing and consulting. To start with, for the purpose of the survey that forms the basis for this opinion, a conceptual exploration was conducted in order to map the scientific and practical research into this field. That formed the basis for the following dialogue in various sessions with auditors who in practice work in the twilight zone between auditing and consulting. The outcome is reflected in this essay, which attempts to give expression to the (developing) professionalism of the auditor who also does consultancy work.
The purpose of this essay is not to define rules, standards and guidelines for consultancy work such as those that sometimes aimed for in the auditing profession. Indeed, this opinion precisely also explores its limits in relation to consulting, based on the assumption that an important part of the advisory profession cannot easily be defined within such parameters and could even, to a certain extent, form an obstacle to proper professional practice.

Al lange tijd bestaat er veel belangstelling voor integrated auditing. Het streven is dat zowel de effectiviteit van de audits als de efficiëntie worden verbeterd. Ondanks deze voorziene voordelen, komt het in de praktijk vaak maar moeizaam tot stand. Vaak is sprake van begripsverwarring en ook het veranderen en laten samenwerken van professionals is bepaald niet eenvoudig.
In dit artikel worden drie etappes met tien wegwijzers beschreven. Deze wegwijzers zijn praktische voorstellen om de hindernissen bij de implementatie van integrated auditing te overwinnen. De implementatie wordt daarbij bezien als veranderingstraject, waarin 3 etappes worden onderscheiden: 1. Richten: het bepalen van de visie en doelstellingen alsmede van de scope van integrated auditing; 2. Inrichten: het vormgeven van de ‘integrated audit’-functie; 3. Verrichten: het daadwerkelijk uitvoeren van de integrated audits.

Is het niet verwonderlijk dat IT-audits binnen veel organisaties los staan van de andere audits die worden uitgevoerd? En is het niet vreemd dat veel operational auditors met een boog om de geauto- matiseerde systemen heen lopen? In dit artikel wordt ingegaan op de overeenkomsten én verschil-
len tussen IT- en operational audits. Vanzelf wordt dan ook uitgekomen op de mogelijkheden (soms zelfs noodzaak!) tot samenwerking en de rollen van beiden daarin. We definiëren Management Control auditing en zien dat als een toekomstvaste audit- vorm waarin we niet zonder elkaar kunnen.

In deze bijdrage wordt internal/operational auditing behandeld. Internal/operational auditing is een containerbegrip en leidt bovendien tot begripsverwarring. Sommigen duiden deze vorm aan als ‘operationele audit’ of het ‘auditen van de operations’ en associëren dit dan met een audit van de operationele processen. Accountants hebben de neiging deze vorm van auditen op één lijn te stellen met hun interimcontrolewerkzaamheden. In de literatuur zijn ook verschillende aanduidingen terug te vinden. Deze verschillen zijn terug te voeren op de ontwikkeling die het denken over deze auditvorm heeft doorgemaakt. Sommige schrijvers hebben zich afgevraagd of het niet beter zou zijn deze auditvorm een andere naam te geven (Paape en De Korte, 1999; Kocks, 2003). In deze bijdrage wordt deze uitdaging verder opgepakt.

Operational auditing is een containerbegrip: de ‘leek’ hoort ‘het auditen van de operatie’ en vertaalt dit naar procesaudits. De accountant definieert het soms als de interimcontrole-werkzaamheden gericht op AO/IC. De (oudere) literatuur benadrukt veelal een top-down benadering gericht op de controle van de naleving van door het topmanagement uitgevaardigde ‘tight controls’. Operational auditing is daarmee een vakgebied dat wordt opgeëist door onder meer accountants, controllers, kwaliteitsauditors en consultants. Toch heeft het vakgebied een eigen beroepsvereniging, de Vereniging van Register Operational auditors (VRO), en twee postdoctorale opleidingen.
Dit hoofdstuk is als volgt opgebouwd. Gestart wordt met een overview van audit en de positie van Operational audit daarbinnen. Vervolgens worden enkele aspecten beschreven die van invloed zijn op de positionering van deze vorm van auditing. Daarna wordt in hoofdlijnen ingegaan op een auditframework, waarin de belangrijkste stappen worden geschetst die de auditor moet zetten en de keuzes die hij daarbij moet maken om methodologisch verantwoord en op basis van een gedegen onderzoek tot een antwoord te komen op de auditvraag.

In deze bijdrage aan ’20 over Internal/Operational Auditing; bijdragen aan governance & control’ treft u eerst een schets aan van de wijze waarop auditors in de praktijk omgaan met de combinatie van audit- en advieswerkzaamheden. Vervolgens wordt een nadere onderbouwing gegeven van de ‘auditmethode’ door de vergelijking met enkele uitgangspunten uit de wereld van wetenschappelijk bedrijfskundig onderzoek en onder welke voorwaarden toepassing van de auditmethode leidt tot de mogelijkheid om een andere wending te geven aan de te lang door ons als auditors gevoerde discussie: ‘audit en/of advies’. Uitwerking van deze werkwijze en bijbehorende rolopvatting in een auditcharter en opleidingsplan, brengt Internal/Operational Auditing in een volgend stadium van ontwikkeling.
Met dit artikel wordt beoogd duidelijk te maken dat:
¥ de auditor zich, meer dan veelal in de praktijk gebruikelijk, als bedrijfskundig onderzoeker moet gaan opstellen. We kunnen van de attitude en aanpak van de organisatie-onderzoeker veel leren.
een beter antwoord op het collisierisico dan scheiding van audit en advies is de opdrachten die momenteel als advisering of consultancy worden aangeduid, als audit te beschouwen en aan te pakken. Dit moet in nauwe samenwerking met de opdrachtgever en kan door diens vraag uit te werken in een concrete auditvraag en auditvoorbereiding en in een transparante onderzoeksopzet.

Operational audit (OA) is een containerbegrip: de ‘leek’ denkt aan ‘het auditen van de operatie’ en vertaalt dit in ‘procesaudits’. De accountant definieert het soms als de interimcontrole-werkzaamheden gericht op AO/IC. De (oudere) literatuur benadrukt veelal een top-down benadering gericht op de controle van de naleving van door het topmanagement uitgevaardigde ‘tight controls’ (centrale beheersmaatregelen). Operational auditing is daarmee een vakgebied dat wordt opgeëist door onder meer internal auditors, accountants, controllers, kwaliteitsauditors en consultants. Wij zien het als een “vak apart”.

In deze bijdrage beschrijven we de interpretaties van de IA-definitie die we in IIA-inc. literatuur en in praktijkgesprekken met hoofden en MT-leden Internal Audit tegenkomen en een idee hoe te komen tot meer eenduidigheid. We starten daartoe met het afpellen van de definitie van IA zoals opgenomen op www.na.theiia.org en zoemen in op het begrippenpaar Assurance en Consulting activity en auditterminologie uit de praktijk.

In 2011 verscheen een IIA-onderzoeksrapport onder de titel Insight: Delivering Value to Stakeholders, waarin de term Insight werd neergezet als ‘a critical component of the recently developed Value Proposition for the profession’. In deze bijdrage analyseren we het potentiële effect van de term Insight als onderdeel van de nieuw verwoorde doelstelling van IA. Met name de term ‘cathalyst’ spreekt ons in relatie tot ‘Verbetergericht auditen’ erg aan. We relateren het aan onze teksten in ‘Management Control Auditing: bijdragen aan doelrealisatie en verbetering’ uit 2017. [http://www.auditing.nl/boekwinkel/] Vervolgens analyseren we IIA’s ‘bollenpresentaties’ en de eisen gesteld aan internal auditors. We sluiten af met een actielijst gericht op opleiding, marketing en randvoorwaarden voor het bijdragen aan ‘Insight’ bij de ‘afnemers’ van internal audits.

Als de ‘internal auditor’ (ook) ‘Trusted Advisor’ (Maister, 2000) wil zijn, moeten we meer dan vertrouwen winnen: we zullen dezelfde taal moeten spreken als degenen wiens vertrouwen we waard willen zijn. Onze IIA-inc. President en CEO Richard Chambers geeft aan dat we vijf woorden en frasen moeten vermijden: ‘failed’, inadequate’, ‘ineffective’, ‘we found’ en ‘it appears’. Wij denken dat we het ook niet moeten hebben over wat er allemaal fout kan gaan, laat staan over ‘naderend onheil’. Toch start daarmee de eerste IIA-nl column, op persoonlijke titel geschreven door een IIA-bestuurslid. Oké, hij spreekt ook van ‘enablers’ (instaat stellers), maar zelfs de ‘enablers’ worden meestal verwoord in ‘risico’s’.


Stacks Image p84272_n106778

Coöperatie ACS Partners UA
Kasteel Moersbergen
Moersbergselaan 17
3941 BW DOORN

tel. +31 343 52 41 11

© jano, april 2017