Skip to main content

De internal auditor als consiglière

1 juli 2021

Over het adviseren door auditors is al veel geschreven en gediscussieerd. Afgelopen vrijdag 25 juni is de bundelAuditors adviseren. Advies door en voor auditors‘ uitgekomen in het kader van het ESAA symposium. ARC Partner Marc van Heese heeft hieraan een bijdrage geleverd met zijn visie op de wenselijkheid van het adviseren door de internal auditors, gebaseerd op bijna 25 jaar ervaring in internal audit.

“Mijn visie is dat de internal auditor meer moet gaan adviseren om voldoende toegevoegde waarde te leveren aan de organisatie en mijn beeld is dat dit ook meer en meer gebeurt en zal gaan gebeuren. Deze mening is niet nieuw: al langer zijn er geluiden binnen het vakgebied internal audit over het bieden van ‘insight’ en het zijn van een ‘trusted advisor’. Ik neem u mee in mijn gedachtegang over deze visie.”

De nieuwe realiteit: continue verandering

We leven, zoals bekend, in een ‘VUCA wereld’: de wereld verandert steeds sneller, de veranderingen zijn moeilijk te voorzien, ze zijn complex en niet eenduidig.

Om te overleven in deze wereld, veranderen organisaties steeds sneller dan voorheen of ze bestaan korter. Productcycli worden korter en er wordt binnen organisaties projectmatiger gewerkt. Unique Selling Points zijn voor concurrenten eenvoudiger te kopiëren en goedkoop geld is ruimschoots aanwezig om challengers in de markt te zetten. Een challenger van gisteren is zomaar de winnaar van morgen. Business as usual bestaat voor veel organisaties nagenoeg niet meer; verandering is de enige constante.

Een omgeving als deze heeft invloed op alle onderdelen van de organisatie, zo ook voor internal audit. Een auditplan voor de komende drie jaren past niet bij een organisatie die continu verandert. Dat geldt eveneens voor audits met lange doorlooptijden.

Een antwoord van internal auditafdelingen is Agile Auditing. Agile Auditing is een manier van auditen waarbij de te auditen onderwerpen continu worden aangepast aan de veranderende behoefte (en risico’s) van de organisatie (bron). De audits kennen daardoor veelal een korte(re) doorlooptijd en zijn relevanter door het sneller aanpassen van de auditkalender en audits aan nieuwe situaties.

Meer dan Agile Auditing

Het aanpassen van de manier van auditen is een stap in de goede richting, maar er zijn meer mogelijkheden om mee te bewegen met organisaties die continu veranderen. Het meebewegen zit niet enkel in het ‘hoe’ (hoe worden de te auditen onderwerpen geselecteerd en hoe gaat internal audit te werk tijdens het veldwerk) maar mijns inziens ook in het ‘wat’ (welke werkzaamheden verricht internal audit). Een andere mogelijkheid om als internal audit te blijven aansluiten op de veranderende organisatie is ook het geven van meer advies en minder assurance.

Audits kijken (over het algemeen) terug en geven zekerheid over de beheersing in het verleden. In een veranderende wereld is deze zekerheid zeker nog relevant, want er kunnen immers lessen uit worden getrokken voor de toekomst, om zaken te verbeteren en het geeft vertrouwen over toekomstige doelrealisatie. Maar vooruitkijken wordt in deze tijd relevanter. Achteraf (te laat) vaststellen dat iets mis is gegaan, kan in een VUCA wereld enorme impact hebben; een concurrent kan namelijk door de fout inmiddels een voorsprong hebben gerealiseerd die door de organisatie niet meer goed gemaakt kan worden.

In de praktijk heb ik gedurende de Coronacrisis aardig wat voorbeelden gezien van internal auditors die deelnamen aan crisisteams. Er werd bijvoorbeeld meegedacht over het gecontroleerd thuis kunnen werken zonder dat er te grote risico’s werden gelopen ten aanzien van informatiebeveiliging of het snel en veilig online kunnen brengen van online winkelen. Of een internal auditor van een uitvaartverzekeraar die scenario-analyses aan het management voorlegt, waaruit duidelijk wordt of de organisatie voldoende kan gaan meebewegen met de ingeschatte overlijdensaantallen in de komende periode. Of een analyse waarin het openbare NOW-register wordt vergeleken met de klantenportefeuille om de exposure op het wegvallen van omzet of het niet betalen van openstaande facturen te bepalen. Dit zijn duidelijke voorbeelden van wat als de adviesrol is aan te duiden. Een groot deel van de bestaande auditfuncties heeft deze tijdelijke adviesrol op zich genomen (bron). In deze snel en onverwacht veranderende omgeving was er duidelijk behoefte aan advies, door inbreng van specifieke expertise, van de internal auditor.

Niet alleen in acute crisissituaties is de verschuiving van assurance naar advies waarneembaar. Ook in een going concern omgeving (lees: geen acute crisissituatie) vindt deze verschuiving plaats. Een auditfunctie bij een retailer die zich minder richt op waar er gefraudeerd is maar op het herkennen van signalen waar gefraudeerd wordt of kan gaan worden (zogeheten predective analytics). Aan de hand hiervan kan eventuele fraude worden voorkomen of de schade meer worden beperkt. Over de toekomst kan geen assurance worden gegeven, maar wel advies.

Van hindsight naar foresight

Een beweging van terugblikken naar vooruitblikken dus. Bruce Turner, een Australisch expert in internal audit, spreekt over de beweging van ‘hindsight’ naar ‘insight’ en uiteindelijk naar ‘foresight’ (bron). Ik onderschrijf deze visie. Als internal audit niet meebeweegt in de veranderende omgeving, zou er bij organisaties waar internal audit geen wettelijk verplichte functie is, weleens sprake kunnen zijn dat zij uit beeld raakt. Van ‘hindsight’ naar ‘out of sight’. In een complexe wereld is een vaststelling achteraf, dat sommige processen niet hebben gelopen zoals ze zouden moeten lopen, niet meer voldoende.

Ook KPMG signaleert onder meer de uitdaging dat men verwacht dat internal audit de organisatiewaarde niet alleen beschermt maar ook verhoogt (bron). De recente aanpassing van het 3 lines model door IIA Global, waarbij de focus niet enkel is gericht op het beschermen van waarde maar ook op het verhogen ervan, sluit hierbij aan (bron). In een ander artikel spreekt KPMG over het onder druk staan van auditafdelingen om andere werkzaamheden te gaan verrichten dan alleen het geven van assurance, zoals het geven van advies, gerelateerd aan risico’s en het uitvoeren van voorspellende data-analyses (bron). Bij het geven van assurance wordt meer en meer geautomatiseerd en wordt gestreefd naar continuous monitoring. Ook hierdoor zal de waarde van Internal Audit meer moeten komen te liggen in advisering wil internal audit waarde kunnen blijven toevoegen.

Sommige internal audit puriteinen zal deze ontwikkeling tegen de borst stuiten. Het adviseren is hooguit tijdelijk toegestaan in tijden van crisis. Nu wij echter leven in een VUCA wereld, zullen sommige organisaties continu in enige vorm van crisis verkeren, of in ieder geval in een situatie met elementen van een crisis. Ik zie daarom het meer gaan adviseren door internal audit als meebewegen met de nieuwe realiteit: behoefte aan advies groeit ten opzichte van de behoefte aan assurance. De toegevoegde waarde van internal audit zal meer en meer verschuiven naar het geven van advies, is mijn verwachting. De internal auditor zal meer gaan functioneren als een consiglière: een kritisch adviseur van het management. De letterlijke vertaling van consiglière is ‘raadgever’ en is afkomstig van het Latijnse woord consilium dat ‘plan’ of ‘beleid’ betekent (bron). Zo houden we toch aansluiting met de Latijnse oorsprong van het woord auditor, afkomstig van het Latijnse woord ‘audire’ wat luisteren betekent.

De beroepsstandaarden en advies

Deze opiniërende bijdrage heeft niet tot doel om gedegen af te wegen in hoeverre de geldende standaarden van het International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA) deze continue adviesrol toestaan. De belangrijkste reden hiervoor is dat vooruitgang van het internal auditvak wat mij betreft niet belemmerd zou mogen worden door de geldende standaarden. Standaarden kunnen worden aangepast indien dat de vooruitgang van het internal auditvak vooruithelpt. Belangrijk is wel of het past in de definitie en missie van Internal audit: we moeten immers geen activiteiten oppakken die daar volledig buiten liggen.

Belangrijke woorden die aansluiten bij de gewenste adviesrol in zowel de definitie als de missie zijn ‘meerwaarde’, ‘adviezen’/’adviesdiensten’ en ‘inzichten’. Deze geven voldoende ruimte voor het geven van advies door een internal auditfunctie. Daarnaast heeft het IIA specifieke standaarden gedefinieerd (de C standaarden) voor consulting services. Deze standaarden bieden voldoende ruimte om te adviseren; de vraag is wel of, gezien de verwachte verschuiving van de focus van audit naar advies, deze voldoende ruimte bieden. In deze bijdrage aan de bundel wordt daar niet verder op ingegaan.

Beperkingen van een meer continue adviesrol

Hier wordt niet voor een onbeperkte adviesrol voor de internal auditor gepleit. Wil internal audit succesvol zijn in een adviesrol, dan gelden er beperkingen. De belangrijkste beperkingen op een rij:

Enkele vragen bij deze ontwikkeling

Naast de hiervoor genoemde beperkingen roept een verschuiving naar meer een (continue) adviesrol twee belangrijke vragen op:

In hoeverre is door advisering over governance, riskmanagement en control geen sprake van een 2e lijns rol? Men kan deze vraag bevestigend beantwoorden: ja, de internal auditor schuift bij een adviesrol in zekere mate op naar een 2e lijn. Een wedervraag is of dit ernstig is. Auditors denken graag in het 3 lines (of defense) model maar de realiteit is dat voor veel bedrijven dit model a: niet altijd bekend is of gehanteerd wordt en b: niet altijd (wettelijk) noodzakelijk.

Het antwoord of dit een ernstige ontwikkeling is, is van vele factoren afhankelijk: is een onafhankelijke derde lijn wettelijk noodzakelijk, is er wel een 2e lijns functie of er is ruimte in de ‘assurance map’ om in een gat te springen?

Een andere (positieve) realiteit is dat er meer en meer auditafdelingen ontstaan in diverse branches, zonder dat daar een wettelijke verplichting voor is. Denk aan de sectoren onderwijs en gezondheidszorg. Binnen die organisaties is er vaak (nog) geen 2e lijn. In dergelijke sectoren en situaties vasthouden aan een strikte scheiding tussen 2e en 3e lijn zou het begrip voor internal audit en het belang van interne beheersing kunnen ondermijnen.

Conclusie: assurance blijft belangrijk en omvat soms impliciet advies

Met bovenstaand betoog pleit ik zeker niet om de assurance rol los te laten; dit blijft een essentiële en waardevolle rol van de auditor, mits de juiste onderwerpen zijn geselecteerd.

Door middel van assurance geven auditors vaak al impliciet advies door:

Het blijven geven van assurance is in sommige sectoren ook relevanter in verband met toezichthouders die daar eisen aan stellen of waar specifieke wetgeving geldt: denk aan financiële instellingen die onder toezicht staan bij DNB en AFM. Ook het langer worden van uitbestedingsketens vraagt om meer assurance over de beheersing door derden. Daardoor zal gewoonweg een focus op assurance door internal audit van belang blijven.

Assurance blijft dus een belangrijke taak van de internal auditor en een groot deel van de werkzaamheden maar de toegevoegde waarde zal in de toekomst in grote mate komen van de adviesrol.

Marc van Heese
Partner ARC People

De bundel ‘Auditors adviseren. Advies door en voor auditors‘ kun je hier aanvragen.