The speed of risk, een interessant boek van Richard Chambers
Overigens is dit boek niet in Nederland verkrijgbaar, dus om het in huis te krijgen moest ik eerst behoorlijk wat moeite doen (via de IIA bookstore). Amerikanen houden doorgaans wat meer van drama bij hun marketing dan wij Nederlanders….en op de site van de IIA bookstore wordt naast het boek dan ook in grote letters getoond: “When seconds count’. Eenmaal besteld, duurde het nog best lang voordat het boek op mijn bureau in Hilversum belandde, maar gelukkig was de auditprofessie nog niet ten onder gegaan en kon ik geïnteresseerd gaan lezen. Al snel bleek ook dat de inhoud van het boek de moeite waard was.
Het boek draagt de ondertitel ‘Lessons learned on the audit trail’. Chambers wil met dit boek vooral helpen om voorbereid op de uitdagingen en kansen waar internal auditors voor staan. De belangrijkste uitdagingen zijn wat hem betreft:
- De snelheid waarmee (nieuwe) risico’s opkomen en zich ontwikkelen;
- Het op een goede manier assessen van de organisatiecultuur;
- De snelheid van technologische innovatie (het auditen én gebruikmaken ervan);
- Het worden van een ‘trusted advisor’ voor degenen die we bedienen.
In één van de eerste hoofdstukken besteedt Chambers vrij veel tekst aan het maken van het onderscheid tussen de primaire, secundaire en tertiaire stakeholders van internal audit. Veel primaire stakeholders, leden van Audit Committees en Raden van Bestuur, werden bevraagd door Chambers. Duidelijk komt daarbij naar voren dat deze primaire stakeholdersgroep veel belang hecht aan Assurance. Vervolgens blinkt hij uit in de typisch Amerikaanse opsommingen, waarvan ik een voorbeeld geef.
Vijf tekenen waaruit blijkt dat de support van je stakeholders tanende is:
- Management werkt minder goed mee aan je risico assessments;
- Je wordt niet meer gebeld;
- Business units starten met het creëren van hun eigen audit(achtige) functies;
- Dalende resources voor internal audit;
- Het uitvoeren van een externe kwaliteitstoetsing is niet jouw idee.
Vanwege de nieuwe, snel opkomende en veranderende risico’s waarmee internal auditors te maken krijgen, benadrukt Chambers onder andere dat individuen zullen moeten variëren in hun audit opdrachten, moeten meedraaien bij de business en openstaan voor opleidingen die je misschien niet in eerste instantie zou kiezen. Verder roept hij internal auditors op om een ‘spons’ te zijn voor alle informatie die gaat over de business van jouw organisatie.
Wanneer Chambers ingaat op ‘the speed of risk’ en wat daarmee te doen als internal auditors, gaat hij vooral in op de wijze van risico-analyse voor de auditkalender. Wat hem betreft volstaat het niet meer om eenmaal per jaar de risico-analyse te updaten. Frequentere, gestructureerde monitoring van de risico’s is nodig. In aanvulling daarop is het van belang om de minder formele ‘risk assessment by walking around’ te blijven doen. Tenslotte vult een ‘bird’s-eye view’ van het auditteam veel toe; daarbij wordt een ‘hoog over’ analyse van ontwikkelingen gedaan (ontwikkelingen in de branche, economisch, seminars, beroepsgroep en andere externe bronnen). De combinatie van deze drie zaken zal de risico-analyse (en dus de auditkalender) helpen actueel te houden.
De elementen die ik tot nu toe beschreef, zijn slechts een preview van het recente boek van Chambers. Hopelijk zet deze sneak preview u toch aan tot het bestellen en lezen van het boek. Ik weet zeker dat u ook een aantal keer, net als ik zelf, zult denken: “Wat een open deur!” Maar toch ben ik de mening toegedaan dat Chambers de meest actuele ontwikkelingen van onze auditprofessie raakt en kernachtige handreikingen geeft hoe we daarmee kunnen omgaan. De manier waarop het boek is opgebouwd (met opsommingen en rijtjes) reikt u in ieder geval prima materiaal aan voor een leuke en relevante dialoog met je omgeving. Ik wens u veel leesplezier toe en praat desgewenst graag met u door over de inhoud ervan!
Sander van Oosten