De internal auditor als consiglière
Over het adviseren door auditors is al veel geschreven en gediscussieerd. Afgelopen vrijdag 25 juni is de bundel ‘Auditors adviseren. Advies door en voor auditors‘ uitgekomen in het kader van het ESAA symposium. ARC Partner Marc van Heese heeft hieraan een bijdrage geleverd met zijn visie op de wenselijkheid van het adviseren door de internal auditors, gebaseerd op bijna 25 jaar ervaring in internal audit.
“Mijn visie is dat de internal auditor meer moet gaan adviseren om voldoende toegevoegde waarde te leveren aan de organisatie en mijn beeld is dat dit ook meer en meer gebeurt en zal gaan gebeuren. Deze mening is niet nieuw: al langer zijn er geluiden binnen het vakgebied internal audit over het bieden van ‘insight’ en het zijn van een ‘trusted advisor’. Ik neem u mee in mijn gedachtegang over deze visie.”
De nieuwe realiteit: continue verandering
We leven, zoals bekend, in een ‘VUCA wereld’: de wereld verandert steeds sneller, de veranderingen zijn moeilijk te voorzien, ze zijn complex en niet eenduidig.
Om te overleven in deze wereld, veranderen organisaties steeds sneller dan voorheen of ze bestaan korter. Productcycli worden korter en er wordt binnen organisaties projectmatiger gewerkt. Unique Selling Points zijn voor concurrenten eenvoudiger te kopiëren en goedkoop geld is ruimschoots aanwezig om challengers in de markt te zetten. Een challenger van gisteren is zomaar de winnaar van morgen. Business as usual bestaat voor veel organisaties nagenoeg niet meer; verandering is de enige constante.
Een omgeving als deze heeft invloed op alle onderdelen van de organisatie, zo ook voor internal audit. Een auditplan voor de komende drie jaren past niet bij een organisatie die continu verandert. Dat geldt eveneens voor audits met lange doorlooptijden.
Een antwoord van internal auditafdelingen is Agile Auditing. Agile Auditing is een manier van auditen waarbij de te auditen onderwerpen continu worden aangepast aan de veranderende behoefte (en risico’s) van de organisatie (bron). De audits kennen daardoor veelal een korte(re) doorlooptijd en zijn relevanter door het sneller aanpassen van de auditkalender en audits aan nieuwe situaties.
Meer dan Agile Auditing
Het aanpassen van de manier van auditen is een stap in de goede richting, maar er zijn meer mogelijkheden om mee te bewegen met organisaties die continu veranderen. Het meebewegen zit niet enkel in het ‘hoe’ (hoe worden de te auditen onderwerpen geselecteerd en hoe gaat internal audit te werk tijdens het veldwerk) maar mijns inziens ook in het ‘wat’ (welke werkzaamheden verricht internal audit). Een andere mogelijkheid om als internal audit te blijven aansluiten op de veranderende organisatie is ook het geven van meer advies en minder assurance.
Audits kijken (over het algemeen) terug en geven zekerheid over de beheersing in het verleden. In een veranderende wereld is deze zekerheid zeker nog relevant, want er kunnen immers lessen uit worden getrokken voor de toekomst, om zaken te verbeteren en het geeft vertrouwen over toekomstige doelrealisatie. Maar vooruitkijken wordt in deze tijd relevanter. Achteraf (te laat) vaststellen dat iets mis is gegaan, kan in een VUCA wereld enorme impact hebben; een concurrent kan namelijk door de fout inmiddels een voorsprong hebben gerealiseerd die door de organisatie niet meer goed gemaakt kan worden.
In de praktijk heb ik gedurende de Coronacrisis aardig wat voorbeelden gezien van internal auditors die deelnamen aan crisisteams. Er werd bijvoorbeeld meegedacht over het gecontroleerd thuis kunnen werken zonder dat er te grote risico’s werden gelopen ten aanzien van informatiebeveiliging of het snel en veilig online kunnen brengen van online winkelen. Of een internal auditor van een uitvaartverzekeraar die scenario-analyses aan het management voorlegt, waaruit duidelijk wordt of de organisatie voldoende kan gaan meebewegen met de ingeschatte overlijdensaantallen in de komende periode. Of een analyse waarin het openbare NOW-register wordt vergeleken met de klantenportefeuille om de exposure op het wegvallen van omzet of het niet betalen van openstaande facturen te bepalen. Dit zijn duidelijke voorbeelden van wat als de adviesrol is aan te duiden. Een groot deel van de bestaande auditfuncties heeft deze tijdelijke adviesrol op zich genomen (bron). In deze snel en onverwacht veranderende omgeving was er duidelijk behoefte aan advies, door inbreng van specifieke expertise, van de internal auditor.
Niet alleen in acute crisissituaties is de verschuiving van assurance naar advies waarneembaar. Ook in een going concern omgeving (lees: geen acute crisissituatie) vindt deze verschuiving plaats. Een auditfunctie bij een retailer die zich minder richt op waar er gefraudeerd is maar op het herkennen van signalen waar gefraudeerd wordt of kan gaan worden (zogeheten predective analytics). Aan de hand hiervan kan eventuele fraude worden voorkomen of de schade meer worden beperkt. Over de toekomst kan geen assurance worden gegeven, maar wel advies.
Van hindsight naar foresight
Een beweging van terugblikken naar vooruitblikken dus. Bruce Turner, een Australisch expert in internal audit, spreekt over de beweging van ‘hindsight’ naar ‘insight’ en uiteindelijk naar ‘foresight’ (bron). Ik onderschrijf deze visie. Als internal audit niet meebeweegt in de veranderende omgeving, zou er bij organisaties waar internal audit geen wettelijk verplichte functie is, weleens sprake kunnen zijn dat zij uit beeld raakt. Van ‘hindsight’ naar ‘out of sight’. In een complexe wereld is een vaststelling achteraf, dat sommige processen niet hebben gelopen zoals ze zouden moeten lopen, niet meer voldoende.
Ook KPMG signaleert onder meer de uitdaging dat men verwacht dat internal audit de organisatiewaarde niet alleen beschermt maar ook verhoogt (bron). De recente aanpassing van het 3 lines model door IIA Global, waarbij de focus niet enkel is gericht op het beschermen van waarde maar ook op het verhogen ervan, sluit hierbij aan (bron). In een ander artikel spreekt KPMG over het onder druk staan van auditafdelingen om andere werkzaamheden te gaan verrichten dan alleen het geven van assurance, zoals het geven van advies, gerelateerd aan risico’s en het uitvoeren van voorspellende data-analyses (bron). Bij het geven van assurance wordt meer en meer geautomatiseerd en wordt gestreefd naar continuous monitoring. Ook hierdoor zal de waarde van Internal Audit meer moeten komen te liggen in advisering wil internal audit waarde kunnen blijven toevoegen.
Sommige internal audit puriteinen zal deze ontwikkeling tegen de borst stuiten. Het adviseren is hooguit tijdelijk toegestaan in tijden van crisis. Nu wij echter leven in een VUCA wereld, zullen sommige organisaties continu in enige vorm van crisis verkeren, of in ieder geval in een situatie met elementen van een crisis. Ik zie daarom het meer gaan adviseren door internal audit als meebewegen met de nieuwe realiteit: behoefte aan advies groeit ten opzichte van de behoefte aan assurance. De toegevoegde waarde van internal audit zal meer en meer verschuiven naar het geven van advies, is mijn verwachting. De internal auditor zal meer gaan functioneren als een consiglière: een kritisch adviseur van het management. De letterlijke vertaling van consiglière is ‘raadgever’ en is afkomstig van het Latijnse woord consilium dat ‘plan’ of ‘beleid’ betekent (bron). Zo houden we toch aansluiting met de Latijnse oorsprong van het woord auditor, afkomstig van het Latijnse woord ‘audire’ wat luisteren betekent.
De beroepsstandaarden en advies
Deze opiniërende bijdrage heeft niet tot doel om gedegen af te wegen in hoeverre de geldende standaarden van het International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA) deze continue adviesrol toestaan. De belangrijkste reden hiervoor is dat vooruitgang van het internal auditvak wat mij betreft niet belemmerd zou mogen worden door de geldende standaarden. Standaarden kunnen worden aangepast indien dat de vooruitgang van het internal auditvak vooruithelpt. Belangrijk is wel of het past in de definitie en missie van Internal audit: we moeten immers geen activiteiten oppakken die daar volledig buiten liggen.
Belangrijke woorden die aansluiten bij de gewenste adviesrol in zowel de definitie als de missie zijn ‘meerwaarde’, ‘adviezen’/’adviesdiensten’ en ‘inzichten’. Deze geven voldoende ruimte voor het geven van advies door een internal auditfunctie. Daarnaast heeft het IIA specifieke standaarden gedefinieerd (de C standaarden) voor consulting services. Deze standaarden bieden voldoende ruimte om te adviseren; de vraag is wel of, gezien de verwachte verschuiving van de focus van audit naar advies, deze voldoende ruimte bieden. In deze bijdrage aan de bundel wordt daar niet verder op ingegaan.
Beperkingen van een meer continue adviesrol
Hier wordt niet voor een onbeperkte adviesrol voor de internal auditor gepleit. Wil internal audit succesvol zijn in een adviesrol, dan gelden er beperkingen. De belangrijkste beperkingen op een rij:
- Eén beperking is dat internal audit geen adviezen moet geven buiten haar aandachtsgebied en kennis: de focus ligt dus op governance, riskmanagement en control.
- Voorgaande beperking roept een tweede potentiële beperking op: het bovengenoemde aandachtsgebied is een breder aandachtsgebied dan op het eerste gezicht lijkt. Risicomanagement varieert van financiële risico’s tot strategische risico’s en van IT- risico’s tot klimaatrisico’s. Internal audit mag of wil wellicht advies geven, maar de vraag is of internal audit wel voldoende kennis in huis heeft voor al deze onderwerpen. In een eerder opiniestuk uit 2018 heb ik aangegeven mij zorgen te maken over de houdbaarheid van het vak internal audit en of het wel voldoende meebeweegt met alle technische ontwikkelingen (bron). Mijn zorgen lagen (en liggen) met name in de kennis van de internal auditor op technologisch gebied. Technologie is één van de belangrijkste aanjagers van de VUCA wereld. Het is goed als de internal auditafdeling haar beperkingen kent voordat zij besluit te adviseren over een onderwerp.
- Tot slot is er het bekende collisiegevaar: kan internal audit in een later stadium nog wel iets auditen waar zij eerder over heeft geadviseerd? Bij grotere afdelingen is dit te mitigeren door andere auditors dan de adviserende auditor het specifieke onderwerp te laten auditen. Maar bij kleinere afdelingen is deze mitigerende maatregel moeilijk te handhaven (en het merendeel van de auditfuncties is klein, tot 5 fte). In hoeverre de adviserende auditor toch later kan auditen zal ook afhangen van andere factoren, zoals: is het advies van de auditor opgevolgd, welke scope kent het onderzoek, hoe lang is het geleden dat het advies is gegeven en is het toenmalig advies nu nog relevant? Men dient ook in ogenschouw te nemen dat advies een breed begrip is: kritische vragen stellen, waardoor het management zaken heroverweegt, kan ook gelden als advies. Het is daarom ook afhankelijk van het soort advies dat is gegeven. Per geval zal dit bekeken kunnen worden en in overleg met het management een besluit moeten worden genomen. Een goed advies kan opwegen tegen het collisiegevaar in een later stadium.
Enkele vragen bij deze ontwikkeling
Naast de hiervoor genoemde beperkingen roept een verschuiving naar meer een (continue) adviesrol twee belangrijke vragen op:
- Wat zijn de voordelen van een internal auditor voor het geven van advies ten opzichte van een externe consultant?
- Als er meer geadviseerd wordt, is er dan geen sprake van een 2e lijns rol? Een heel belangrijk verschil met een externe consultant is de kennis van de organisatie: deze is bij de internal auditor vele malen groter waardoor er ook sneller een gedegen advies kan komen. Daarnaast hanteert de internal auditor een methodische aanpak: advies begint met een gedegen analyse en de diagnostische audit is daar een goed instrument voor. Tot slot geldt er een onafhankelijke positie van de internal auditor: er is geen commerciële drang om advies te geven dat wordt gewenst maar vanuit haar onafhankelijke positie kan de internal auditor een objectief positief kritisch advies geven dat ook niet in lijn kan liggen met wat het management wenst te horen. Tegelijk is het goed om te beseffen dat er ook een andere kant is aan dit verhaal: een externe consultant brengt minder kennis van binnen maar weer meer van buiten de organisatie, en tegenover de onafhankelijkheid van de interne auditor die samenhangt met de vaste aanstelling staat weer het kritische vermogen dat een externe consultant kan ontwikkelen omdat hij of zij niet verder hoeft in de organisatie.
In hoeverre is door advisering over governance, riskmanagement en control geen sprake van een 2e lijns rol? Men kan deze vraag bevestigend beantwoorden: ja, de internal auditor schuift bij een adviesrol in zekere mate op naar een 2e lijn. Een wedervraag is of dit ernstig is. Auditors denken graag in het 3 lines (of defense) model maar de realiteit is dat voor veel bedrijven dit model a: niet altijd bekend is of gehanteerd wordt en b: niet altijd (wettelijk) noodzakelijk.
Het antwoord of dit een ernstige ontwikkeling is, is van vele factoren afhankelijk: is een onafhankelijke derde lijn wettelijk noodzakelijk, is er wel een 2e lijns functie of er is ruimte in de ‘assurance map’ om in een gat te springen?
Een andere (positieve) realiteit is dat er meer en meer auditafdelingen ontstaan in diverse branches, zonder dat daar een wettelijke verplichting voor is. Denk aan de sectoren onderwijs en gezondheidszorg. Binnen die organisaties is er vaak (nog) geen 2e lijn. In dergelijke sectoren en situaties vasthouden aan een strikte scheiding tussen 2e en 3e lijn zou het begrip voor internal audit en het belang van interne beheersing kunnen ondermijnen.
Conclusie: assurance blijft belangrijk en omvat soms impliciet advies
Met bovenstaand betoog pleit ik zeker niet om de assurance rol los te laten; dit blijft een essentiële en waardevolle rol van de auditor, mits de juiste onderwerpen zijn geselecteerd.
Door middel van assurance geven auditors vaak al impliciet advies door:
- in overleg, de scope van de audit te bepalen op basis van een risico-analyse;
- een normenkader vast te stellen waarmee een ideale situatie wordt geschetst;
- te signaleren waar onvolkomenheden zitten in de organisatie en waar het dus beter moet.Sommige auditors geven in hun rapporten al explicieter advies door richting te geven aan de mogelijke oplossingen voor de geconstateerde verbeteringen.
Het blijven geven van assurance is in sommige sectoren ook relevanter in verband met toezichthouders die daar eisen aan stellen of waar specifieke wetgeving geldt: denk aan financiële instellingen die onder toezicht staan bij DNB en AFM. Ook het langer worden van uitbestedingsketens vraagt om meer assurance over de beheersing door derden. Daardoor zal gewoonweg een focus op assurance door internal audit van belang blijven.
Assurance blijft dus een belangrijke taak van de internal auditor en een groot deel van de werkzaamheden maar de toegevoegde waarde zal in de toekomst in grote mate komen van de adviesrol.
Marc van Heese
Partner ARC People
De bundel ‘Auditors adviseren. Advies door en voor auditors‘ kun je hier aanvragen.
