De zin en onzin van advies in een auditrapport

18 juni 2019
Over het opnemen van advies in een audit rapport bestaan uiteenlopende meningen. Aan de ene kant zijn er de  ‘hardliners’ die vinden dat een assurance onderzoek zich niet leent voor het geven van advies en aan de andere kant zijn er de ‘consultants’ die vinden dat het geven van advies het mooiste is wat er is in het leven van de auditor. In dit blogje geef ik wat persoonlijke inzichten over de voors en tegens en hoop ik dat dit bijdraagt aan jouw keuze om advies te geven of juist niet.

Er zijn nogal wat internal auditors die advies geven in hun audit rapport omdat dat ze denken dat dat ‘moet’, want: dat deden ze altijd al zo. Of, ze denken dat dat van ze verwacht wordt zonder eerst die verwachting gechecked te hebben bij die gewaardeerde collega’s die het rapport ontvangen en geacht worden er ook nog wat mee te doen. Mijn tip van de dag: denk goed na of je wel advies moet of zelfs wil geven. In veel gevallen is het beter van niet, want:

  1. wie ben jij dan wel helemaal? Of: het komt belerend over… als ik als auditor advies ga geven aan een goedbetaalde directeur die verantwoordelijk is voor de beheersing van zijn risico’s, dan is het misschien beter dat die directeur maar naar huis gaat en ik zijn (waarschijnlijk beter betaalde) werk ga doen. Want dat is toch wat iedere directeur hoort te doen? Zijn risico’s beheersen door het implementeren van maatregelen? Voor meer is hij waarschijnlijk niet verantwoordelijk toch?
  2. (weer) wie ben jij dan wel helemaal? Of (weer): het komt belerend over… Ja dit is de 2e keer maar nu met een andere belangrijke reden: de adviezen leveren veelal gedoe, wrijving en gezeur op. Het levert vertraging op want heel veel uren gaan op aan het afstemmen van de adviezen. Ik teken regelmatig bij mijn klanten waar men problemen heeft met continue budgetoverschrijding van internal audits het volgende plaatje (zie figuur) : de groene lijn toont een ideale urenverdeling tijdens een audit (de meeste uren in de voorbereiding en uitvoering, de afronding liefst binnen een dag) en de urenverdeling van audits die over het budget heen gaan (rood). Het blijkt dat, bij audits die zwaar over budget heen gaan, het vooral komt door oeverloos overleg en afstemming over de adviezen. Bij de meeste van mijn klanten werken gelukkig directeuren die het niet leuk vinden dat opeens blijkt dat ze hun zaakjes niet op orde hebben. En het helemaal niet leuk vinden als een wijsneuzige auditor ook nog eens zout op de wond gaat strooien door te vertellen wat ze moeten doen. Dat weten ze veelal zelf wel. Bij die klanten stopten we acuut met advies geven en raad eens: uren bleven binnen budget en de beoordelingen van de directeuren/managers schoten omhoog.
  3. Het ‘heurt’ niet zo (en zeker niet volgens de hardliners). Internal Auditors voeren onderzoek uit naar de kwaliteit van interne beheersing in een organisatie. Althans iets soortgelijks. Ook wel te typeren als een probleemgericht onderzoek. Het onderzoek heeft dan als doel om vast te stellen dat die interne beheersing voldoet. Eigenlijk om vast te stellen of er een ‘probleem’ is. Dus als het niet voldoet, wat doe je dan? Juist: zeggen dat het niet goed is. En laat ze zelf de boel fixen. Dan kan de auditor een tijdje later wel weer vaststellen of het inderdaad gefixt is!
  4. Je weet de oorzaak helemaal niet. Alle adviezen waar je geen onderzoek hebt gedaan naar de oorzaak (en geloof mij, dat is heel wat anders dan een onderzoek met de vraag: “is er een probleem?”) slaan de plank mis. Ofwel de kans is groot dat het nergens op slaat, ofwel je wordt gebruikt door de organisatie om een richting op te gaan die hen welgevallig is maar niet de oorzaak wegneemt. Stel je ziet dat ergens functiescheiding ontbreekt of het ontwerp van een IT systeem is niet goed. Wat is dan de oorzaak? Geen budget? Incompetentie? Hoge werkdruk? Mijn advies (oei wat zeg ik nu?) is: blijf zoveel mogelijk weg van oorzakenanalyses zonder onderzoek dat dat kan onderbouwen.
  5. Het beste advies is een goed normenkader. Als je een goede audit uitvoert, heb je een degelijke risico analyse gemaakt en is duidelijk wat per risico de belangrijkste controls zijn. In de bijlage van je rapport zit hopelijk ook het normenkader met per control een score of aanduiding of het goed of niet goed is (of er tussenin). Dan is het enige zinvolle advies wat je nog kunt geven: “los de bevindingen op, zie bijlage”.
  6. Als ze advies nodig hebben, dan vragen ze er wel om. Stel jezelf constructief en meehelpend op en het wordt heus wel aan je gevraagd als ze er niet uitkomen. Zet gewoon in je rapport dat je bereid bent om te helpen, als je je daar prettig bij voelt.
  7. Het kost tijd/geld. Tijd en geld die je kunt besteden aan het geven van assurance of het doen van ander onderzoek. De meeste adviezen zijn open deuren, in het slechtste geval wordt er helemaal niets mee gedaan. Het ergste is als een extern ingehuurde auditor per sé adviezen wil geven. Vraag in plaats daarvan gewoon of ze een uurtje langs willen komen om te praten over wat er moet gebeuren. Beter dan een flinke tijd te besteden aan een adviesparagraaf met alle discussies eromheen.

Natuurlijk zijn er genoeg redenen om juist wél advies te geven in een rapport. Hier zijn er een paar:

  1. Deze lijkt op de laatste reden (nr 7) om het juist niet te doen: ze vragen er om! Niets is mooier als je mensen kunt helpen en helemaal mooi is het als ze je hulp waarderen! Doe dat dan ook en ga er volledig voor. Het komt ook bij mij wel eens voor dat mij gevraagd wordt om een advies. Bijvoorbeeld bij een aanhoudend probleem (vaak iets met cultuur of gedrag) of een enorme uitdaging waar iedereen in de details zit en niemand het overzicht meer heeft. Of omdat je als Internal Auditor nu eenmaal als enige zo’n beetje alles overziet in een organisatie. Prima redenen om wel advies te geven!
  2. Men verwacht het van je. Pas daarvoor op. ‘Men’ is vaak ‘de organisatie’ en de kans is groot dat het een ingesleten verwachting is, ontstaan in een ver verleden. Ga dan de dialoog aan met bestuur en b.v. auditcommissie of ze die dure audit uren daar wel aan willen besteden. Want: advies geven = minder tijd voor assurance en onderzoek. Dat hoeft geen probleem te zijn, maar doe het dan goed. Dus ook door het vast te leggen in het Charter, waarna je vervolgens mooie adviezen kunt gaan formuleren.
  3. Advies geven is het leukste onderdeel van het werk van de internal auditor. Tsja. Dat is voor mij niet zo’n sterke reden, de lol zit ‘m voor mij juist in het auditen en de toegevoegde waarde in het geven van assurance. Dus voor mij hoeft het niet zo (dat was ondertussen wel duidelijk denk ik). Maar niemand is hetzelfde dus als het je blij maakt, ga vooral je gang maar let alsjeblieft wel goed op reden 1 tm 7.

Er zijn vast nog wel meer voors en tegens te bedenken over het geven van advies, nog los van de vraag wat een advies nu eigenlijk inhoudt. Eigenlijk alles aan dit onderwerp is persoons- en organisatie afhankelijk. Doe wat voor jou en je organisatie werkt, maar denk er goed over na. Ik hoop dat mijn blogje tot nadenken zet en ik ben erg benieuwd hoe je volgende audit rapport er uit ziet! Uiteraard sta ik open voor een levendige discussie of feedback op deze blog.

Carlo Bavius RE RO CRISC CRMA CIA, Associate Partner ARC People