Relevantie van audits: die hebben we zelf in de hand

Wat verstaan wij – internal auditors – maar vooral onze opdrachtgevers, onder audits en relevantie? Dat is niet slechts een woordenspel, de ideeën over relevantie worden sterk bepaald door de ideeën over auditing. Bovendien start werken aan relevantie met de vraag wie de beoogde afnemers zijn en wat onze opdrachtgevers aan kennis wensen.

IA richt zich sterk op het leveren van toegevoegde waarde door de auditfunctie, ofwel relevantie. Discussies tussen auditors over wat precies auditing is lijken soms op discussies van een pasgetrouwd stel: alsof de een van Venus en de ander van Mars komt. De scheidslijn is nu niet zozeer gebaseerd op ‘gender’verschillen. Veeleer lijken bloedgroepen gebaseerd op de auditdiscipline en universiteit waar de opleiding genoten is, deze discussies te veroorzaken. We hebben niet de illusie deze discussie definitief te beëindigen, maar schetsen wel wat uitgangspunten voor dit artikel.

Verwarring

Kijkend naar de titel moeten we dus starten met het definiëren van wat we (hier) onder relevantie en onder audits verstaan. En daar begint al de verwarring. Ons eigen IIA splitst in haar streven de brede auditfunctie te beschrijven, internal auditing in een assurance- en een consultingactiviteit. Onder consulting wordt onder meer verstaan: bijdragen aan werkgroepen, faciliteren van self assessments, verzorgen van trainingen en opleidingen en ‘advisering’. De betekenis van de term assurance stamt net uit de vorige eeuw en kan worden vertaald als ‘het leveren van additionele zekerheid’ of ‘het verminderen van onzekerheid’. Voorwaar een relevante bezigheid wanneer die onzekerheid het management doet aarzelen om volgende stappen te zetten om de organisatiedoelstellingen te realiseren. De toegevoegde waarde voor de organisatie wordt heel anders wanneer die onzekerheid alleen betrekking heeft op de verantwoording naar buiten. Ofwel, relevantie is sterk afhankelijk van het doel van het onderzoek.

Enkele jaren na de introductie van de IIA-definitie heeft de International Federation of Accountants (IFAC) een smallere betekenis gegeven aan het woord assurance, namelijk ‘zekerheid aan een derde partij’. Verder heeft IFAC rapportage-eisen opgesteld voor onderzoeken die te kwalificeren zijn als assurance-opdrachten. Vervolgens ontstond de misinterpretatie van het woord assurance binnen de IIA-definitie (zie figuur 1). En consultingactiviteit wordt zonder schroom vertaald in ‘advies’.

Onderscheid

Wij zien graag een onderscheid in werkzaamheden van internal auditors die wel of juist niet gebaseerd zijn op deugdelijk onderzoek. De tweede soort valt onder consulting activity. En een nader onderscheid in toetsend en niet-toetsend onderzoek. Vervolgens wensen we binnen het toetsend onderzoek een onderscheid te maken tussen assurance-opdrachten en andere (internal) audits; assurance-opdrachten moeten namelijk voldoen aan de IFAC-eisen omdat ze gericht zijn op het verlenen van een hoge mate van zekerheid aan derden.

Dat laatste onderscheid is belangrijk, want het is onnodig, soms ineffectief en vaak ondoelmatig om audits bedoeld voor het gesloten verkeer (geen externe werking) onder het stramien van IFAC-assurance te moeten rapporteren. Het is vaak ook niet uit te leggen aan onze opdrachtgever! Dus: relevantie is afhankelijk van wie de beoogde ontvangers zijn van de audit-uitkomsten.

Relevantie is een belangrijk kwaliteitscriterium voor goed onderzoek (waaronder audit) maar staat nooit op zichzelf. Een audit zal relevant zijn voor de opdrachtgever, en zowel deugdelijk als doelmatig worden ontworpen en uitgevoerd. Onze beroepsrichtlijnen schrijven voor dat we ons kunnen verantwoorden over de deugdelijkheid van ons onderzoek en we zouden daarom ook van elkaar moeten eisen dat de conclusies navolgbaar uit het dossier blijken. Eisen aan de doelmatigheid volgen wat ons betreft op de definitie van effectiviteit of relevantie en die zijn weer afhankelijk van de doelstelling van de audit.

Verschillende vormen van relevantie

Een figuur dat snel duidelijk maakt dat verschillende vormen van relevantie afhankelijk zijn van de doelstelling van de belangrijkste gebruikers van een audit, staat bekend als ‘het kruis’ (zie figuur 2).

De verschillen in beoogde gebruikers (op een continuüm intern/extern) leiden tot een belangrijk onderscheid in type audits. Dit onderscheid is de mate waarin meer standaardisatie of juist meer maatwerk mogelijk en gewenst is. Ook dit onderscheid is een continuüm en hangt samen met het aantal in het onderzoek te betrekken aspecten. Bij een beperkt aantal aspecten (bijvoorbeeld alleen de betrouwbaarheidsaspecten: juist en tijdig en dus volledig) is een meer gestandaardiseerde audit mogelijk. Bij een diversiteit aan veelal onderling concurrerende aspecten (bijvoorbeeld betrouwbaarheid én kosteneffectiviteit én flexibiliteit én klantgerichtheid, et cetera) is meer maatwerk gewenst en is standaardisatie nauwelijks mogelijk.

Audits ten behoeve van het maatschappelijk verkeer, of voor het topmanagement die de uitkomsten gebruikt voor zijn externe stakeholders (linksboven), kenmerken zich door algemene toepasbaarheid ofwel standaardisering ten behoeve van de vergelijkbaarheid. Dit is hun kracht én hun zwakte. Voorbeelden zijn de jaarrekeningcontrole en audits naar de compliance met relevante regelgeving zoals Sarbanes Oxley. Het is belangrijk dat aan de uitkomsten van elke audit die volgens een dergelijke normering is uitgevoerd, dezelfde betekenis mag worden toegekend. De relevantie van het onafhankelijke oordeel over de onderzochte eenheden vinden we bij dit type audits in de mogelijkheid tot vergelijking.

Schuiven we in het figuur meer naar beneden, naar de interne kant van het continuüm intern/extern, dan leidt dit veelal tot meer maatwerk audits (rechtsonder in het figuur). Deze opdrachtgever heeft veelal een concrete auditvraag aangaande een auditobject waarbij een diversiteit aan relevante aspecten in onderlinge samenhang in ogenschouw moeten worden genomen. De algemene normering (links) moet zijn geïncorporeerd in de maatwerknormering van die specifieke audit (rechts). Juist hier ervaart het (lagere) management veelal de directe relevantie van internal auditors, door het toegesneden zijn van de audit op de eigen specifieke kennisbehoefte. Dus: relevantie is te splitsen in relevantie ten behoeve van verantwoording en relevantie voor het doen realiseren van ondernemingsdoelstellingen.

Helaas leiden op zichzelf relevante onderzoeken gericht op verantwoording (linksboven) tot adviesbrieven zoals managementletters (linksonder) met beperkt relevante aanbevelingen gericht op het alsnog (beter) gaan voldoen aan op verantwoording gerichte normen. Een dergelijke brief moet door het management kritisch worden bezien op de effecten op andere kritieke succesfactoren dan ‘betrouwbaarheid’ (linksonder) alvorens die aanbevelingen (rechtsonder) ter harte worden genomen. In Internal Audit Reporting Relationships: Serving Two Masters (IIARF, 2003) wordt op een andere wijze eenzelfde situatieschets gemaakt.

Niet altijd is er behoefte aan toetsend onderzoek met conclusies in de vorm van oordelen

Actief werken aan relevantie: vaststellen van de kennisbehoefte

Kunnen ‘borgen’ dat auditwerkzaamheden relevant zullen zijn vergt een opdrachtgever. En liefst een waar je regelmatig mee kunt overleggen. Kort nadat de behoefte aan een audit is geuit en de beoogde gebruikers zijn vastgesteld, richten we ons actief op de kennisbehoefte van de opdrachtgever. We verwachten heel concrete antwoorden op drie belangrijke vragen:
­

     

      1. Wat is precies het object van onderzoek? Gaat het om de huidige situatie? Gaat het om een nieuw beoogde situatie? Of kan de auditor beter naar de verandering kijken?

      1. Is voldoende concreet gemaakt aan welke eisen de beheersing van het object moet voldoen? Weet de opdrachtgever of daar aan wordt voldaan? En zo niet, wat zijn daar de oorzaken van? Is ook dat met voldoende zekerheid bekend: is er dan behoefte aan een second opinion op de verbeteractiviteiten?

      1. Welk type onderzoeksvraag wordt er gesteld? En (dus) aan welk type conclusie is er behoefte?

    Niet altijd is er behoefte aan toetsend onderzoek met conclusies in de vorm van oordelen. Soms is juist alleen een beschrijving van de situatie hetgeen op dat moment het meest relevant is, voldoende. Gaat het om een exploratieve vraag of (ook) om een toetsende vraag of (ook) om een adviserende vraag?

    De internal auditor verwacht op basis van diverse signalen dat, wanneer hij straks voor het derde jaar naar de procesbeheersing gaat kijken, hij opnieuw moet schrijven dat er geen verbeteringen zijn gerealiseerd. Daarom stapt hij tijdig naar de opdrachtgever met het voorstel om naar het procesontwerp en de veranderorganisatie voor de beoogde procesbeheersing te kijken. De opdrachtgever is snel overtuigd omdat hij recent onbevredigende antwoorden heeft ontvangen over de voortgang van de veranderingen. Medewerkers geven aan geen vertrouwen te hebben in de nieuwe procesinrichting. De verandermanager was even op zijn hoede, maar ervaart inmiddels de auditor als een goede onderzoeker die dezelfde organisatiedoelen nastreeft.

    Advisering: over relevantie en deugdelijkheid

    Het hiervoor staande kader geeft aan dat auditors al snel (ook) adviseren. Dat kan naar onze mening zeer relevant zijn. Maar het leidt nogal eens tot discussie. Om beide redenen hierna vier nuancerende opmerkingen of wenken:
    ­

       

        1. De formele randvoorwaarde: advisering stopt waar collisie begint. Weliswaar niet dogmatisch en met mogelijk beperkende maatregelen zoals inzet van niet-eerder betrokken auditors, et cetera.

        1. Advies moet gestoeld zijn op voldoende onderzoek. En daarom moet behoefte aan advies zoveel mogelijk vooraf worden vastgesteld. Dan kan het onderzoek daarnaar worden ingericht.

        1. Veel behoefte aan advies als ‘logisch’ uitvloeisel van toetsend onderzoek is een symptoom van gevoelde onvoldoende relevantie die door aanvullend advies alsnog wordt gepoogd te ondervangen. Beter is het om bewuster en precies de kennisbehoefte van de opdrachtgever te volgen (de drie basisvragen eerder vermeld). Daarmee scherp je de onderzoeksvragen, het veldwerk en de analyse. Vaak dekt het antwoord op de onderzoeksvragen dan datgene af waar zonder die precieze afstemming ‘een advies’ nodig zou zijn geweest. Mocht er alsnog een (procedureel) advies benodigd zijn, dan is dat geen bijproduct met onduidelijke kwaliteit en status meer, maar integraal onderdeel van en gebaseerd op deugdelijk onderzoek.

        1. Veel advisering gebeurt (dus) aan de voorkant van het onderzoek. Bij veel van de eerder genoemde drie vragen naar de kennisbehoefte van de opdrachtgever heeft de auditor een adviserende rol. Dát vergroot de relevantie van auditing.

      Als je aantoont goed te kunnen luisteren, ontstaat er vaak ‘als vanzelf’ een hulpvraag.

      Relevantie start dus met goed luisteren!

      Veel auditors ervaren regelmatig dat een gesprek met de opdrachtgever gemakkelijk te plannen is wanneer de beoogde audit aansluit bij wat de opdrachtgever op dát moment bezighoudt. Het gesprek wordt voor beiden inspirerend wanneer het de auditor lukt goed te luisteren naar de ideeën van de opdrachtgever, daar verdiepende vragen over te stellen en samen op zoek te gaan naar die belangrijke aspecten waar de opdrachtgever meer zekerheid over nodig heeft. Als je aantoont goed te kunnen luisteren, ontstaat er vaak ‘als vanzelf’ een hulpvraag. Gebaseerd op eigen praktijkervaringen geven we ter overweging de volgende vragen te stellen:
      ­

         

          • Stelt mijn opdrachtgever de auditvraag vanuit een eigen onzekerheid of om zich te kunnen verantwoorden?

          • Heb ik mijn interpretatie van de auditvraag getest door de opdrachtgever terug te geven wat de opdracht hem precies gaat opleveren? En heb ik hem gevraagd wat hij daar dan vervolgens concreet mee gaat doen?

          • Kent mijn opdrachtgever de beoogde normering voldoende? En sluit die normering echt aan bij zíjn visie op management control?

          • Heb ik geregeld dat ik de opdrachtgever gedurende de audit inhoudelijk op de hoogte kan houden? Zal hij nieuwe verwachtingen kunnen uiten zodat ik er nog op in kan spelen?

          • Houdt hij ruimte in zijn agenda voor de situatie waarin een ontwerpaanpassing moet worden doorgevoerd?

          • Heb ik tijd en budget om, indien nodig, onderzoek te doen voor onderbouwde adviezen, aanvullend op mijn conclusies?

        Lef

        Actief werken aan relevante audits vergt een internal auditor met lef. Een auditor die weet dat hij soms als lastig wordt ervaren, maar dan overtuigt omdat hij dezelfde organisatiedoelen dient. Een auditor die begrijpt dat iedere audit een nieuwe kans geeft om de toegevoegde waarde van de internal auditfunctie te laten ervaren. Maar ook dat deugdelijk onderzoek noodzakelijk is voor audits én onderbouwde adviezen, om zijn kwaliteitsimago niet te verspelen.

        Literatuur

           

            • IIARF, Internal Audit Reporting RelationshipsServing Two Masters, 2003.

            • Korte R.W.A. de en J.H.M. Otten, ‘Klantgericht en gestructureerd auditen; een update van Auditmethodologie’, Audit Magazine, 2010.

            • Verschuren, P. en C. Middleton, Probleemstelling voor een onderzoek, Spectrum, 2011.

          Dit artikel verscheen in Audit Magazine Nummer 2 – 2015. Het artikel is op 1 april 2015 ook gepubliceerd op www.auditmagazine.nl. Bron: link

          Ron de Korte is managing partner van ACS te Driebergen en zakelijk directeur van de post-master ESAA-opleidingen Internal auditing & Advisory en IT auditing & Advisory.

          Peter Bos heeft een bedrijfseconomische en sociologische achtergrond. Hij is zelfstandig gevestigd management- en auditconsultant (Salther) en plaatsvervangend directeur van de post-master ESAA-opleiding Internal auditing & Advisory.

          Jan Otten heeft Arbeids- en organisatiepsychologie en Bedrijfskunde gestudeerd. Als managing partner van ACS richt hij zich op behavioural auditing en auditvaardigheden.