Blog Archives

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met Bas Mol, Hoofd Compliance & Privacy bij BPD Gebiedsontwikkeling.

Kun je wat vertellen over BPD; wat zijn de activiteiten van BPD, wie zijn de klanten van BPD, wat is de doelstelling van BPD en wat is jouw rol hierin?

‘BPD Gebiedsontwikkeling is een gebiedsontwikkelaar die als sinds 1946 leefomgevingen realiseert in Nederland en Duitsland. Sinds onze oprichting 75 jaar geleden in 1946 – toen nog onder de naam van Bouwspaarkas Drentsche Gemeenten – heeft BPD inmiddels de bouw van ruim 365.000 woningen mogelijk gemaakt. BPD zet zich in voor inclusieve leefomgevingen met aandacht voor de fysieke, ruimtelijke en sociale dimensie van wonen.  Dat doet BPD vanuit de maatschappelijke overtuiging dat iedereen recht heeft op een fijn en betaalbaar thuis in een prettige leefomgeving. En dat blijven we doen, zodat fijn wonen ook voor de komende generaties mogelijk blijft.’ 

‘BPD richt zich op alle segmenten van de woningmarkt. De doelgroep van BPD is iedereen in Nederland met een woonbehoefte. Wij realiseren dus sociale huurwoningen, maar ook duurdere koopappartementen en alles wat daar tussenin zit. Onze belangrijkste partners zijn gemeenten, provincies en woningbouwcorporaties. Hiernaast hebben we samenwerkingspartners die wij inschakelen om onze projecten te realiseren, denk aan aannemers, architecten en makelaars. De uiteindelijke klanten van BPD zijn de bewoners van onze leefomgevingen.’

‘De afdeling Compliance & Privacy bestaat momenteel uit vier personen, waaraan ik leiding geef. De afdeling levert een bijdrage aan het streven naar een gezond integriteitsklimaat binnen BPD door onder andere compliance- en privacy beleid op te stellen, advies te geven, monitoring werkzaamheden uit te voeren en collega’s te faciliteren en activeren om zo integer mogelijk te handelen.’ 

BPD is een dochterbedrijf van Rabobank. Kun je vertellen of, en hoe, dit van invloed is op de afdeling Compliance & Privacy van BPD?

‘BPD is een zelfstandige dochter van Rabobank. De richtlijnen en eisen die gesteld worden aan compliance en integer handelen, zijn als onderdeel van een bank hoog – en daarmee wellicht hoger voor BPD dan voor andere spelers in ons werkveld. Aan de andere kant is dat ook juist iets dat we zelf graag willen.’ 

‘Uiteindelijk zijn wij als BPD zelf verantwoordelijk voor een beheerste en integere bedrijfsvoering en het managen van onze compliance risico’s. Voor de afdeling Compliance & Privacy is het dus niet persé een nadeel om onderdeel te zijn van een bank. Het past bij BPD dat we als bedrijf onze verantwoordelijkheid willen nemen om op een verantwoorde en betrouwbare wijze ons vak uit te oefenen. Als marktleider zijn we dat ook aan onze stand verplicht. In afstemming met Rabobank bepalen we welke regelgeving en richtlijnen op BPD van toepassing zijn en hoe we dit binnen onze organisatie het beste kunnen inrichten om de compliance risico’s zo klein mogelijk te houden.’

Welke voor- en/of nadelen biedt het om een dochteronderneming te zijn van Rabobank?

‘Zoals gezegd heeft het zeker voordelen dat BPD onderdeel is van een bank. Banken en financiële instellingen hebben de afgelopen jaren laten zien dat zij thema’s als compliance, integriteit en privacy – terecht – heel serieus nemen. De lat ligt daardoor hoog bij Rabobank en daarmee automatisch ook bij BPD, ook omdat we dit als organisatie zelf willen uiteraard.’ 

‘Nadelen zijn er natuurlijk ook wel. BPD is een gebiedsontwikkelaar en dat is een hele andere business dan banken en financiële instellingen. BPD heeft daardoor een heel ander risicoprofiel dan Rabobank en ook de omvang van het bedrijf – 350 medewerkers in Nederland en 350 medewerkers in Duitsland – is anders. Hierdoor zijn veel richtlijnen en eisen van de bank niet een-op-een te integreren binnen BPD – of dat vraagt om andere, meer risk based, oplossingen om de risico’s toch zoveel als mogelijk te beheersen.’ 

‘De druk bij banken (vanuit hun poortwachtersfunctie) met betrekking tot regelgeving neemt toe, met name als je het hebt over KYC (Know Your Customer) gerelateerde onderwerpen. Omdat wij een dochteronderneming zijn van Rabobank voelen wij die druk ook. BPD moet bijvoorbeeld ook voldoen aan de sanctiewetgeving terwijl de risico’s op dit gebied voor ons bedrijf veel kleiner zijn dan voor een bank. Dit soort zaken levert soms flinke discussies op met Rabobank, en omdat de druk op banken hierin in de toekomst verder zal toenemen zullen we die discussies moeten blijven voeren. Natuurlijk komen we daar altijd uit.’

Wat vind jij de belangrijkste taak van de afdeling Compliance & Privacy binnen BPD en hoe geef je hier invulling aan?

‘Compliant zijn met in- en externe wet- en regelgeving en integer handelen is een taak van alle medewerkers binnen BPD. Naast de meer traditionele compliance taken zoals het opstellen van beleid, monitoring, follow-up van incidenten, uitvoeren van risicoanalyses en het rapporteren aan de Managing Board van BPD en aandeelhouder Rabobank, speelt de afdeling Compliance & Privacy uiteraard ook een belangrijke rol als de hoeder én aanjager van integriteit. Belangrijk hierbij is dat er continue aandacht is en blijft voor cultuur en gedrag binnen de organisatie. Wij doen er alles aan om een open cultuur te creëren waarin collega’s vooraf aan de bel trekken en om advies durven te vragen in plaats van dat mensen bang zijn voor mogelijke consequenties, incidenten niet melden en we achteraf de boel moeten repareren.’

‘Om die open cultuur te bereiken, besteden wij als afdeling Compliance & Privacy heel veel aandacht aan de thema’s cultuur en gedrag, bijvoorbeeld door een tweejaarlijks terugkerende integriteitsmeting. Door middel van deze meting krijgen we als afdeling een goed beeld van de cultuur en het gedrag binnen de organisatie. De punten die uit deze meting naar voren komen bespreken we uitvoerig tijdens dilemmasessies. Ook met de directies van de verschillende regio’s worden deze punten besproken en wordt er bepaald welke acties daaraan verbonden worden. Er worden dus gerichte acties gekoppeld aan de uitkomsten van de integriteitsmeting.’

‘Naast de rol van cultuurdrager zie ik het ook als een belangrijke taak van de afdeling om te acteren als katalysator van verandering. Met een snel veranderend landschap van regelgeving, eisen van een aandeelhouder, COVID-situatie en verdere digitalisering en automatisering, kun je eigenlijk stellen dat verandering de enige constante is. Naar mijn mening zouden Compliance afdelingen vaker het voortouw moeten nemen om de veranderingen in organisaties – en daarmee dus ook de cultuur van de organisatie – (mede) vorm te geven. Die zouden vaker in staat moeten zijn om een verandering teweeg te brengen door te signaleren waar verbeteringen in de organisatie nodig zijn en door nog meer dan voorheen te dienen als countervailing power. Nu zijn Compliance afdelingen nog te vaak een eiland binnen een organisatie. Er zou meer verbinding moeten worden gezocht met de rest van de organisatie. Ze hoeven niet alleen restrictief te zijn vanuit de optiek van risicobeheersing, maar kunnen ook proactief zijn vanuit een visie wie je als organisatie wil zijn en waar je naartoe zou willen.’

Wat zijn op dit moment de grootste uitdagingen die spelen bij BPD en op welke manier kan de afdeling Compliance & Privacy bijdragen aan deze uitdagingen?

‘De afdeling Compliance & Privacy maakt binnen BPD een professionaliseringsslag door. We zien dat er door toenemende wet- en regelgeving, toenemende regeldruk van onze aandeelhouder, maar vooral ook door de eigen wens voor een professionele compliance organisatie die aantoonbaar in control is, dat er behoefte is voor een volgende stap. Dit sluit ook aan bij de groeiambitie van BPD. Als gevolg daarvan wordt de afdeling minder gezien als de ‘politieagent’, maar juist steeds meer als sparringpartner voor medewerkers van BPD en countervailing power voor de Managing Board. De afdeling vervult steeds meer een adviserende rol en wordt ook eerder door collega’s betrokken bij vraagstukken. Een goede ontwikkeling als je het mij vraagt, want daarmee ben je veel eerder en veel meer in charge om proactief eventuele compliance risico’s te voorkomen en/of te beperken.’

‘Verder hebben wij hier erg veel aandacht voor de soft controls van de organisatie. Uiteraard is dat een thema dat de laatste jaren prominenter aandacht heeft gekregen binnen het compliance domein, maar ik zie dat we hier bij BPD echt ook het verschil mee kunnen maken. Continue aandacht voor thema’s als aanspreekbaarheid, transparantie en voorbeeldgedrag maken dat deze determinanten voor cultuur ook echt gaan leven binnen de organisatie. Daarmee realiseren we niet alleen meer zichtbaarheid voor de afdeling, maar ook meer bewustwording voor het belang van een goede solide compliance organisatie.’

Hoe zorg je er als afdeling Compliance & Privacy voor dat alle regels, normen, beleid en procedures die je als afdeling implementeert gedragen worden binnen BPD door zowel het bestuur als de medewerkers? 

‘Er is continue afstemming met de Managing Board over de invulling van ons compliance beleid. Zij zijn uiteindelijk de belangrijkste eigenaren van compliance en integriteit binnen BPD en het mandaat – en ook voorbeeldgedrag – van hen is dus belangrijk. Om alle beleid, regelgeving en procedures binnen ons bedrijf tussen de oren te krijgen, zorgen we voor onder andere verplichte e-learnings, aanvullende kennissessies, kwartaalmeetings, blogs en structurele communicatie voor medewerkers.  Het is veelal de kracht van herhaling die telt.’

‘Daarnaast vind ik het erg belangrijk dat we als afdeling goed en helder kunnen uitleggen waarom het zo belangrijk is dat we compliant zijn als BPD. We werken in een sector waar de belangen en de bijbehorende risico’s groot zijn. Juist daarom is het belangrijk om duidelijk te kunnen uitleggen wat onze rol hierin is. Ook gaan we met medewerkers, via onder andere dilemmasessies, het gesprek aan over integriteit en wat er van hen wordt verwacht. Daarom is het ook goed dat medewerkers ons zien als afdeling die hen van advies kan voorzien om de juiste afweging te maken. In de praktijk zien we ook dat collega’s ons steeds makkelijker weten te vinden. Daar willen we de komende tijd verder op voortbouwen.’ 

Wat is jouw visie op Compliance; wat is de kern?

‘Compliance gaat om gedrag en niet om afvinklijstjes, dat is het eigenlijk meteen al in de kern. De definitie van compliance welke ook gebruikt wordt bij de postgraduate opleiding Compliance & Integriteit Management – De naleving bevorderen en handhaven van nationale en internationale regelgeving alsmede de intern opgelegde regels, normen en voorschriften ter bescherming van de integriteit van het bestuur, de medewerkers en de organisatie, met als doel de daaruit voortvloeiende risico’s voor de kerndoelstellingen van de organisatie te beperken – is natuurlijk prachtig, maar kan gewoon worden samengevat in dat ene belangrijke woord: gedrag!’ 

Welke ontwikkelingen zie je op dit moment in het vakgebied Compliance en hoe sta jij tegenover deze ontwikkelingen?

‘In lijn met bovenstaande over de kern van compliance zie ik gelukkig steeds meer voedingsbodem ontstaan voor die benadering. Dat komt onder andere ook door al het monnikenwerk dat Sylvie Bleker (hoogleraar Compliance & Integrity Management VU Amsterdam) bijvoorbeeld voor het vakgebied heeft gedaan. Zij stelt ook heel helder en terecht dat de opeenstapeling van regels voor compliance schijnveiligheid heeft gecreëerd. Veel organisaties focussen niet op de kerndoelstellingen van hun organisatie en het gedrag van hun medewerkers, maar zijn bezig met overleven in een woud aan regels. Het afvinken van procedures en het blindstaren op processen heeft prioriteit, maar de tijd ontbreekt om de naleving te monitoren. En zodra er een incident plaatsvindt, roepen toezichthouders of commissarissen vaak weer om nieuwe regels.’

‘Ik denk dat het vakgebied flink in beweging is en blijft, maar dat er wel een transitie gaande is naar een structureel andere manier van kijken en acteren. Dat vergt verandervermogen en lef, maar ik geloof er heilig in dat je alleen daarmee het verschil kan gaan maken. De ontwikkeling naar (nog) meer aandacht voor het aspect gedrag en het sturen en ondersteunen daarop is in ieder geval zeer interessant.

Wat maakt het vakgebied Compliance interessant voor jou?

‘Ik heb het hiervoor al min of meer genoemd. Juist de gedragsaspecten maken dit vakgebied zo ontzettend interessant. Het cliché luidt natuurlijk ook dat het vakgebied compliance iedere dag anders is – en dat is echt zo – maar vooral de enorme transitie die het vakgebied doormaakt, maakt het pas echt leuk. Er is nog zoveel te ontdekken en zoveel anders te doen. Als je ziet dat compliance van een ‘achterkamer’ en technische, restrictieve rol is geëvolueerd naar een meer strategische vooruitkijkende managementfunctie, de ogen en oren van het management en de katalysator van veranderingen binnen organisaties, in slechts een tijdspanne van 20 jaar. Dan kun je je voorstellen dat er nog vele interessante ontwikkelingen aankomen.’

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een audit, risk of compliance expert uit de praktijk. Daarbij stellen wij onder andere de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In het tweede gesprek van deze serie praten we met Karin Nadels, die al bij meerdere organisaties de functie van Risk Manager bekleedde. Met enige regelmaat blogt Karin over haar leerervaringen en inzichten binnen het vakgebied risicomanagement; er verschenen al zo’n 20 blogs van Karin.

Ik ben me steeds meer gaan afvragen: waarom doen we het zo… en waar komt dat vandaan?

Sinds anderhalf jaar ben ik Risk Manager bij Holland Casino. Daarvoor vervulde ik diezelfde functie bij meerdere financiële instellingen. Als ik nu daarop terugkijk, zie ik dat men risicomanagement in de financiële sector vooral veel hetzelfde benadert. Iedereen doet dezelfde jaarlijkse risicoanalyses van de processen, met inschatting van ‘kans x impact’, maakt vervolgens de bijbehorende diagrammen en test vervolgens de (key) controls. Toezichthouders vinden deze standaard manier van werken ook altijd prettig en andere sectoren hebben het vaak één-op-één overgenomen, wellicht vanwege de herkenbaarheid? Ik voldeed hier ook altijd aan, maar ik ben me steeds meer gaan afvragen: waarom doen we het zo… en waar komt dat vandaan? Het volledige antwoord daarop heb ik nog niet, maar ik ben wel op onderzoek uit om dat antwoord te vinden. 

Ben ik risicomanagement nu dan ook op een totaal andere manier gaan doen? Tot nu toe nog niet, ik heb de optimale manier nog niet gevonden (als die al bestaat), en in een moeilijke Coronatijd ga ik een organisatie niet belasten met experimenteren met nieuwe methoden. Eén van de belangrijkste vaardigheden van de risicomanager vind ik: weten wat er speelt binnen je bedrijf en weten wanneer je wél iets moet roepen, maar zeker ook wanneer je een pas op de plaats moet maken. Jij staat ten dienste van hen, niet andersom. 

We zouden kunnen overstappen van absoluut inschatten naar relatief inschatten

Het eerste waar ik van af zou willen stappen, is de inschatting van kans x impact met een schaal van bijvoorbeeld 1-5. Hoe meer ik me daarin verdiep, hoe duidelijker het voor mij wordt dat wij mensen zo’n inschatting niet goed kunnen maken. Deze exercitie kost vrij veel tijd, maar het geeft in mijn overtuiging geen goed beeld van de risico’s. We kunnen er meer waarde uithalen door van absoluut schatten (1-5) over te gaan op relatief schatten. Bij relatief schatten kijk je of een risico groter of kleiner is dan een ander risico. Binnen de IT wordt er veel met relatief schatten gewerkt, bijvoorbeeld voor het inschatten van ‘hoeveel werk kost dit werkpakket mij, ten opzichte van een ander werkpakket?’. In Coronatijd, tijdens het thuiswerken, pikte ik die methode op van mijn man. Om deze methode heel praktisch te maken: wanneer we naar een boom kijken, zijn we vrij goed in staat om te zeggen of de ene boom groter is dan een andere boom en zo ja, hoeveel dan (bijvoorbeeld 1,5 keer zo groot). Daarin zijn we als mens vele malen beter dan in te schatten hoeveel meter diezelfde boom exact hoog is. Als we meer met deze vaardigheid gaan werken bij het inschatten van risico’s,  kost het minder tijd en hebben we nog steeds een goede inschatting, misschien zelfs beter.

Slim nadenken over de relevante risico’s en bijbehorende aanpak

Ik schreef al eens een blog over strategische risico’s. Ik merk dat door de Coronacrisis de wens verder is  toegenomen om de strategische risico’s als organisatie in kaart te hebben. Ik maak daarbij graag het onderscheid tussen risico’s die als hygiënerisico’s kunnen worden gezien (zoals cyber security en het voldoen aan de wet) en risico’s die volgen vanuit (de veranderende) organisatiestrategie. Hygiënerisico’s zijn er altijd en worden, als het goed is, geborgd in de (dagelijkse/maandelijkse/etc.) processen. 

Daadwerkelijk strategische risico’s komen vanuit een geformuleerde strategie en zitten dus niet in die processen. Dit vraagt om een andere aanpak. Overigens is dit onderscheid niet zwart/wit, maar dat geeft niet; het gaat juist om de goede discussie hierover. Daarnaast ben ik geen voorstander van kopiëren  en plakken: de risicolijst van het vorige jaar kan er dit jaar weer anders uit zien, dus verdiep je erin.

Voor de strategische risico’s ga ik graag persoonlijk met de directieleden in gesprek, omdat die risico’s hen raken. Met enige regelmaat zijn we vanuit risicomanagement aanwezig bij vergaderingen, voor een presentatie of het faciliteren van een discussie. En voor de beheersing van de risico’s praten we vervolgens uiteraard ook met de lagen onder de directie. Juist de input vanuit de verschillende organisatielagen draagt bij aan breed gedragen risicoverantwoordelijkheid, waarmee men echt aan de slag gaat.

Het hoort met name te draaien om de eerste lijn, waar het geld wordt verdiend en de echte expertise zit

Waar het om de inrichting van een bedrijf gaat, ben ik een voorstander van kleine staffuncties. Het hoort met name te draaien om de eerste lijn, waar het geld wordt verdiend en de echte expertise zit. Natuurlijk verschilt dit per bedrijf en is het geen doel op zich, maar het is wel een principe dat ik in mijn achterhoofd houd. Als risicomanager werk ik graag dicht op de eerste lijn. Recent rondde ik de postdoctorale studie Internal Auditing af aan de UvA. Ik heb die opleiding erg gewaardeerd. Onder andere vanwege de daarin neergezette visie richting datagedreven werken. Dit kan vele voordelen bieden zoals: de gehele populatie beoordelen in plaats van een deelwaarneming, of dat je op basis van beschikbare data al weet op welke risicogebieden je kunt inzoomen. Ik realiseer me wel dat het tijdig verkrijgen van de juiste, schone data bij veel organisaties nog een uitdaging is. Als je vandaag begint met het toewerken naar deze manier van werken, kun je er vaak al sneller mee aan de slag dan je had verwacht. 

Anderzijds vind ik dat de RO-studie zich teveel richtte op modellen. Ik miste daarin: hoe zorg je ervoor dat je het model weet te vertalen naar de praktijk, zodat het je handvaten geeft en niet op zichzelf staand het einddoel wordt? Een model is immers niets meer dan een versimpelde weergave van de werkelijkheid: die laatste is altijd complexer dan een model je kan vertellen. En door die complexiteit is het de kunst om oplossingen te zoeken die passen bij het bedrijf, de mensen en het doel dat wordt nagestreefd. Het moet niet zo zijn dat men een halve dag bezig is met het invullen van lijstjes en niet meer toekomt aan het reguliere werk. Daarin is creativiteit wat mij betreft een belangrijke vaardigheid van de risico manager. Kunnen we het op een nieuwe, slimme(re) manier doen? Maar creativiteit is ook: ervoor openstaan dat je bepaalde zaken nog niet weet (‘weten dat je zaken nog niet weet’). Of modellen durven los te laten, als je (bijvoorbeeld) belangrijke elementen als cultuur, houding en gedrag wilt beschouwen. Bij dergelijke onderzoeken is trouwens ook het tonen van oprechte interesse enorm belangrijk, want zonder oprechte interesse te tonen, kom je niet tot het goede gesprek.

In de ideale relatie tussen Internal Audit en Risk Management zie ik twee separate functies, die allebei onder een ander bestuurslid vallen en onafhankelijk van elkaar opereren, maar wel een hele duidelijke signaalfunctie naar elkaar toe hebben. Ik kan aan de auditors vragen of ze een keer ergens dieper in willen duiken, door middel van een audit. Andersom kan de auditor iets aantreffen buiten de scope van de audit, wat belangrijke input is voor mij als Risk Manager. Of ze kunnen een issue doorgeven aan mij dat is ‘gesneuveld’ tussen de andere bevindingen, maar wel goed is om te weten.

Het ‘nieuwe’ risico managen

Succesvol ben je als risicomanager wanneer je ziet dat er stappen worden gezet ten opzichte van vorig jaar (een verbeterde beheersing, liefst in combinatie met efficiency). Maar vooral wanneer de directie en de managementlaag daaronder betere beslissingen kunnen nemen. Bijvoorbeeld over ‘welke projecten de grootste kans van slagen geven’ of ‘waar moet de energie van de mensen op de werkvloer vooral in worden gestoken?’. Dat vereist overigens wel dat je als risicomanager altijd goed voorbereid bent en to-the-point bent. Management heeft doorgaans zoveel op hun bord, laat hen zien waar de toegevoegde waarde ligt. Dit kan in risico mitigering zijn, maar ook in scenario planning en kansen vergroten. Dit neemt weerstand snel weg. Wat operationeel risico management betreft: blijf er alert op dat de beheersmaatregel niet een doel op zich is geworden; blijf redeneren vanuit het doel en het bijbehorende risico. Vergeet daarbij niet, dat ondernemen hand in hand gaat met risico’s nemen. Kansen moeten worden benut, zolang je maar weet welke risico’s daarbij horen. Dat is het andere principe wat ik aanhoud: denken vanuit ‘hoe vergroot je de kans van slagen?’, in plaats van alleen maar ‘hoe zorg ik ervoor het niet misgaat?’.

We zien de risico’s nog teveel als statisch. Maar een risico kan meer dan eens voorkomen en kan verschillende gevolgen hebben, die zich kunnen stapelen. De BowTie-methodiek kan je helpen om alle oorzaken en gevolgen van een risico in kaart te brengen, waardoor je helder inzichtelijk hebt waarop je invloed kunt uitoefenen. Ook denken we nog te veel in silo’s: risico’s en (externe) factoren kunnen ook elkaar beïnvloeden, daar waar ze nu als een lijstje worden benaderd en onderlinge invloed niet wordt meegenomen.

Een andere shift vindt plaats rondom cultuur, houding en gedrag. Deze onderwerpen komen gelukkig bij steeds meer bestuurders op de agenda te staan en men gaat de waarde ervan inzien. Die shift is wel belangrijk, want de risico’s zitten vooral in de mensen. Als er iets mis gaat, is het negen van de tien keer zo dat iemand niet helemaal oplette. Bijvoorbeeld: in het geval dat een bedrijf wordt gehackt of gegijzeld, is er hoogstwaarschijnlijk iemand vergeten zijn laptop te updaten of heeft op een onveilige link geklikt. Een praktisch voorbeeld: hotels die in de badkamer een sticker plakken met “73% van de gasten hergebruikt hun handdoek”. Dit leidt tot veel minder handdoeken die na één dag alweer gewassen moeten worden wat een kostenbesparing oplevert én een lagere milieubelasting. Deze methode wordt nudging genoemd.

Risicomanagement biedt voor mij nog vele kansen en uitdagingen. Ook valt er nog zoveel te leren. Momenteel ben ik me o.a. aan het verdiepen in de vele verschillende strategiestromingen en hoe ik bij operationeel en strategische risico’s meer gebruik kan maken van kwantitatieve methoden die meestal wat meer bij financieel risico management worden gehanteerd. En ik blijf alert op wat we kunnen leren van andere beroepsgroepen. Zo schreef ik recent een blog over hoe teams samenwerken in de Formule 1. Zeer interessant. Alles overziend, zie ik mezelf dus voorlopig nog met plezier werken in risicomanagement!

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In het eerste gesprek in deze serie praten we met Berry Kok, momenteel Manager Risk & Internal Audit bij de Bijenkorf en per 1 oktober Manager Risk & Internal Audit bij HEMA.

Wat als eerste opvalt is dat internal audit en riskmanagement zijn gecombineerd. Kun je iets meer vertellen over de gedachte hierachter?

Toen ik begon bij de Bijenkorf waren risicomanagement en internal audit al samen belegd, al werd het internal audit genoemd. Het kwam er dan ook voornamelijk op neer dat 90% van de tijd werd besteed aan vrij traditionele audits en 10% van de tijd aan het bijhouden van en rapporteren van risico-registers. Het onderdeel zijn van een familiebedrijf dat niet beursgenoteerd is, biedt mogelijkheden om iets flexibeler om te gaan met de scheiding tussen tweede- en derdelijns en werkzaamheden. 

Welke voor- en/of nadelen biedt deze combinatie?

Risk en audit zijn communicerende vaten. Ze bieden input aan elkaar. Zo geven risk assessments input bij opstellen van een riskbased internal audit jaarplan en sturing aan de scoping van audits. En aan de andere kant bieden resultaten van audits inzichten in risico’s die nog niet op de radar van het management stonden en goede input voor het kwantificeren van (rest)risico’s. Het combineren biedt wat mij betreft dus alleen maar voordelen. Een aandachtspunt is wel dat ik nog twee keer per jaar verantwoording afleg over hoe ik mijn onafhankelijkheid blijf borgen. Er is hiervoor een aantal maatregelen ingeregeld, zoals werken in tweetallen, peer reviews in het team en ook vanuit het hoofd audit in de UK.

Hoe ligt de verhouding in tijdsbesteding tussen audit en risk nu?

Ik schat in 75% risk en 25% audit. De balans is sinds mijn komst in 2018 aardig omgeslagen.

Vertel eens wat over de Bijenkorf en de uitdagingen die er spelen.

Los van voor de hand liggende uitdagingen, voortkomend uit de coronapandemie (bijv. sluiting winkels en enorme shift naar online sales), blijft het uitdagend om continu je servicepropositie te vernieuwen, je klanten online en offline te verrassen, maar ook continu te groeien binnen Nederland en Europa. De concurrentie klopt altijd aan de deur, dus je moet de basis op orde hebben, een sterke visie, strategie en beleid hebben, en gezamenlijk vooruit kijken. En ook niet onbelangrijk, de juiste mensen om te groeien. Krapte op de arbeidsmarkt speelt iedereen parten.

Hoe draag je bij aan deze uitdagingen?

Op alle vlakken binnen de organisatie moet de basis op orde zijn. Deze basishygiëne zetten wij, waar nodig, samen met de business neer, of monitoren wij door middel van audits, quickscans, self assessments en data-analyses. Als je huis op orde is, kun je vooruit kijken en de wijde wereld in trekken. 

In de praktijk betekent dit zoal dat wij de lead hebben genomen in het opstellen van een herziende cyber strategie en social media strategie, het opstellen van een bedrijfsspecifiek data governance model en bijhouden van project riskregisters voor onze internationale expansie naar Duitsland, Oostenrijk en Frankrijk. Maar we hebben dus ook assurance geboden over de basishygiëne, zoals key financial controls en ons veiligheid & gezondheidsbeleid.

Het nemen van de lead in cyber strategie en social media strategie klinkt meer als 1e lijns activiteiten dan 2^e lijn. Kun je dat toelichten?

Het nemen van de lead is hier in de vorm van het initieren van workshops en brainstormsessies. Verder geven wij aan wat wij verwachten in een dergelijke strategie. Wij nemen geen verantwoordelijkheid maar jagen aan en gebruiken onze tools, templates en kennis (van cyber security) om deze strategieën te bepalen. En zorgen dat de belangrijkste risico’s zijn afgedekt. Met een risicobril helpen wij de business de goede dingen te doen.

Uiteraard doen we ook ‘gewoon’ ERM. Ik wil ervoor waken om te denken in hokjes van internal audit, risk of assurance. Het draait om wat de business nodig heeft.

Hoe blijf je relevant als afdeling? 

Concreet door a) samen de uitdagingen aan te gaan, zoals met de voorbeelden hiervoor geschetst en b) zaken simpel te houden. Je moet aantonen dat iets relevant is en niet met termen smijten. Noem het storytelling: geef concrete voorbeelden van wat een risico voor hen betekent of liever, die ze al meegemaakt hebben dus zaken benoemen in hun belevingswereld. En c) Positiviteit en vooruitkijken. Benoem niet alleen wat er fout is, maar vooral ook wat er goed is en wat er is verbeterd ten opzichte van vorige keer. En focus op opportunities i.p.v. alleen risico’s. Dit is uiteraard ook makkelijker als je je meer focust op risk dan op audits.

We hebben recent bijvoorbeeld bedrijfskritieke datasets, zoals klant- en medewerkersdata, beoordeeld aan de hand van een zelfgebouwd maturitymodel. Dan stel je met de business vast dat je bijvoorbeeld op niveau 2 zit en dat je naar niveau 4 wilt. Hiermee bied je positive assurance maar je helpt de business ook vooruit door te laten zien wat er moet gebeuren om daar te komen. 

Samenvattend: als we niet kunnen uitleggen wat de toegevoegde waarde is van wat we gaan doen, dan doen we het niet of passen we het aan.

En uiteraard gelden de randvoorwaarden dat je je relaties moet managen, je moet altijd je afspraken nakomen: zeggen wat je doet en doen wat je zegt. Gebruik gezond pragmatisme: de objectieve kameleon, aanpassen waar nodig, maar rug recht houden.

Hoe toon je je waarde als een afdeling risk & audit aan, zeker in crisistijd?

Zorg dat je zo veel mogelijk betrokken bent bij strategische en high impact projecten. Uiteraard in de vorm van support maar geen ownership. In het verlengde daarvan: link risico’s zoveel mogelijk aan strategische doelstellingen en de vision & purpose van de organisatie. En zorg dat de basis aantoonbaar op orde is. Dat zorgt voor rust bij de directie.

En verder maken we meetbaar wat we doen via key success indicators. Dit staat los van de crisistijd overigens. Denk aan hoe lang auditissues openstaan; we zijn niet verantwoordelijk voor het oplossen ervan maar wel voor het aanjagen van het oplossen daarvan. En dat krijg je ook door met de business hierover te sparren. Dit rapporteren we aan de directie en hoofd audit in Engeland. Hier heeft niemand overigens om gevraagd maar dit willen we zelf. De toegevoegde waarde aantonen lukt ook anders zouden we nooit mogen groeien van 2 fte naar 7 fte. Dat doen we bijvoorbeeld ook door aantoonbaar te maken hoe we fraude beheersen via frauderapportages. En tegenwoordig evalueren we ook formeel onze projecten.

We zijn altijd benieuwd naar innovatieve activiteiten binnen onze drie vakgebieden. Waar vind jij dat jullie als afdeling vernieuwend in zijn?

Ik denk aan 2 zaken. Eén zijn de emerging risk workshops: hoe zorgen we er voor dat risico’s al op de kaart staan voordat ze relevant worden? Dat doen we door te kijken naar onderwerpen die bij andere sectoren of in andere werelddelen al spelen en kijken vervolgens of dit ook bij ons kan gaan spelen. Het zijn niet zozeer nieuwe risico’s, maar wel voor ons. We kijken dan vanuit thema’s zoals klimaatverandering, verzekeringen of supply chains: welke risico’s spelen nu, welke over een jaar en welke over 3 jaar en welke impact kan dat voor ons hebben?

Het tweede is forward looking (data driven) insights. Hier extrapoleren we data, in samenwerking met de business (bijvoorbeeld BI en fraude teams), op basis scenario’s – zou er een probleem kunnen komen? Denk bijvoorbeeld aan het scenario met een specifieke groei in het buitenland en welke fraude je daar verwacht op basis van je huidige cijfers en benchmarkcijfers van andere partijen. Op basis daarvan kun je monitoren en ook bepalen of het zinvol is om extra personeel aan te nemen om de fraude te voorkomen.

Welke ontwikkelingen zie je in het vakgebied audit en risk?

Ik denk niet echt in audit of risk. Overall zie ik weinig innovatie of echte doorbraken. Het is veel van hetzelfde. We praten al járen over soft controls, data analytics etc. Maar what’s new? 

Verder verwacht en zie ik integratie van lines of defense: we moeten minder panisch en meer praktisch doen hierin. 

Ander punt is ESG en sustainability (als onderdeel van ESG) wat een breed/overkoepelend onderwerp is. Governance is al redelijk uitgekauwd. Environmental bestaat al even en begint aardig ingeburgerd te raken. Social is toch wat meer new kid on the block voor ons vakgebied. Daar zullen we ons als vakgebied meer in moeten ontwikkelen.

Het niet denken in audit of risk en het zo dicht kruipen op de 1^e lijn. Dat is niet iets wat alle audit of riskafdelingen gegeven is, zeker niet als je te maken hebt met een toezichthouder in de financiële sector. Die zou hier wel iets van vinden.

Dat klopt. Het helpt dat we niet in de financiële sector zitten en dat we eigenaren hebben die gewoon toegevoegde waarde willen zien van een afdeling als de onze. Maar toch kan ook een audit of risk in de financiële sector meer de kant op van het geven van insight.

Hoe houden we het vakgebied interessant volgens jou? 

We moeten met z’n allen (blijven) werken aan de perceptie van Internal audit. Als je niet uitlegt wat je doet, weet ook niemand het. Ik denk dan aan meer vooruitkijken en meedoen, in plaats van terugkijken en vaststellen wat anderen al weten.

Verder ben ik voor het stoppen met het gebruiken van buzzwords zoals analytics, AI, machine learning, agile auditing, soft controls en gewoon het boerenverstand toepassen.

Als iemand vraagt: waarom zijn internal audit en risk management zo leuk, wat is dan je antwoord?

Je bent met alle facetten van de business bezig, met alle lagen van de onderneming, over systemen, processen en mensen en je kan je overal tegen aan bemoeien. Als mensen vragen wat ik doe, dan kan ik een heel breed scala aan onderwerpen noemen: social media, data governance, cybersecurity roadmap, lunch met directie. Het werk is zo divers. Ik heb het elk uur over iets anders. Welke functie kan dat nu zeggen? En door ook risk advisory te doen kun je ook verandering bewerkstelligen. Wij helpen met de strategie. We gaan verder dan de assurance bieden. Je ziet de verbeteringen. 

Over Berry Kok

Berry heeft bedrijfskunde gestudeerd en is vervolgens in 2009 gestart bij Deloitte in het onderdeel Risk Services, waar de dienstverlening rondom risk samenkomt (IT audit, internal audit, risk management etc.). Hij heeft bij Deloitte verschillende opdrachten in binnen- en buitenland gedaan in allerhande branches. In het begin van zijn carrière lag de focus op IT audit (heeft een RE-gevolgd), maar is daarna snel in de wereld van internal audit en risk management beland, en zo ontwikkeld tot een allrounder. 

Sinds september 2018 is Berry werkzaam bij de Bijenkorf. Het Risk & Internal audit team van de Bijenkorf (7FTE) is onderdeel van een breder internationaal team binnen Selfridges Group Audit & Risk (20FTE). De Bijenkorf is onderdeel van Selfridges Group, eigendom van de Weston familie uit Canada, een familiebedrijf met focus op retail en food (zoals Loblaw en diverse warenhuizen in Canada, Ierland, Engeland en Nederland). Per 1 oktober 2021 maakt Berry de overstap naar HEMA, waar hij ook verantwoordelijk wordt voor gecombineerd Risk & Internal audit. 

Over het adviseren door auditors is al veel geschreven en gediscussieerd. Afgelopen vrijdag 25 juni is de bundel ‘Auditors adviseren. Advies door en voor auditors‘ uitgekomen in het kader van het ESAA symposium. ARC Partner Marc van Heese heeft hieraan een bijdrage geleverd met zijn visie op de wenselijkheid van het adviseren door de internal auditors, gebaseerd op bijna 25 jaar ervaring in internal audit.

“Mijn visie is dat de internal auditor meer moet gaan adviseren om voldoende toegevoegde waarde te leveren aan de organisatie en mijn beeld is dat dit ook meer en meer gebeurt en zal gaan gebeuren. Deze mening is niet nieuw: al langer zijn er geluiden binnen het vakgebied internal audit over het bieden van ‘insight’ en het zijn van een ‘trusted advisor’. Ik neem u mee in mijn gedachtegang over deze visie.”

De nieuwe realiteit: continue verandering

We leven, zoals bekend, in een ‘VUCA wereld’: de wereld verandert steeds sneller, de veranderingen zijn moeilijk te voorzien, ze zijn complex en niet eenduidig.

Om te overleven in deze wereld, veranderen organisaties steeds sneller dan voorheen of ze bestaan korter. Productcycli worden korter en er wordt binnen organisaties projectmatiger gewerkt. Unique Selling Points zijn voor concurrenten eenvoudiger te kopiëren en goedkoop geld is ruimschoots aanwezig om challengers in de markt te zetten. Een challenger van gisteren is zomaar de winnaar van morgen. Business as usual bestaat voor veel organisaties nagenoeg niet meer; verandering is de enige constante.

Een omgeving als deze heeft invloed op alle onderdelen van de organisatie, zo ook voor internal audit. Een auditplan voor de komende drie jaren past niet bij een organisatie die continu verandert. Dat geldt eveneens voor audits met lange doorlooptijden.

Een antwoord van internal auditafdelingen is Agile Auditing. Agile Auditing is een manier van auditen waarbij de te auditen onderwerpen continu worden aangepast aan de veranderende behoefte (en risico’s) van de organisatie (bron). De audits kennen daardoor veelal een korte(re) doorlooptijd en zijn relevanter door het sneller aanpassen van de auditkalender en audits aan nieuwe situaties.

Meer dan Agile Auditing

Het aanpassen van de manier van auditen is een stap in de goede richting, maar er zijn meer mogelijkheden om mee te bewegen met organisaties die continu veranderen. Het meebewegen zit niet enkel in het ‘hoe’ (hoe worden de te auditen onderwerpen geselecteerd en hoe gaat internal audit te werk tijdens het veldwerk) maar mijns inziens ook in het ‘wat’ (welke werkzaamheden verricht internal audit). Een andere mogelijkheid om als internal audit te blijven aansluiten op de veranderende organisatie is ook het geven van meer advies en minder assurance.

Audits kijken (over het algemeen) terug en geven zekerheid over de beheersing in het verleden. In een veranderende wereld is deze zekerheid zeker nog relevant, want er kunnen immers lessen uit worden getrokken voor de toekomst, om zaken te verbeteren en het geeft vertrouwen over toekomstige doelrealisatie. Maar vooruitkijken wordt in deze tijd relevanter. Achteraf (te laat) vaststellen dat iets mis is gegaan, kan in een VUCA wereld enorme impact hebben; een concurrent kan namelijk door de fout inmiddels een voorsprong hebben gerealiseerd die door de organisatie niet meer goed gemaakt kan worden.

In de praktijk heb ik gedurende de Coronacrisis aardig wat voorbeelden gezien van internal auditors die deelnamen aan crisisteams. Er werd bijvoorbeeld meegedacht over het gecontroleerd thuis kunnen werken zonder dat er te grote risico’s werden gelopen ten aanzien van informatiebeveiliging of het snel en veilig online kunnen brengen van online winkelen. Of een internal auditor van een uitvaartverzekeraar die scenario-analyses aan het management voorlegt, waaruit duidelijk wordt of de organisatie voldoende kan gaan meebewegen met de ingeschatte overlijdensaantallen in de komende periode. Of een analyse waarin het openbare NOW-register wordt vergeleken met de klantenportefeuille om de exposure op het wegvallen van omzet of het niet betalen van openstaande facturen te bepalen. Dit zijn duidelijke voorbeelden van wat als de adviesrol is aan te duiden. Een groot deel van de bestaande auditfuncties heeft deze tijdelijke adviesrol op zich genomen (bron). In deze snel en onverwacht veranderende omgeving was er duidelijk behoefte aan advies, door inbreng van specifieke expertise, van de internal auditor.

Niet alleen in acute crisissituaties is de verschuiving van assurance naar advies waarneembaar. Ook in een going concern omgeving (lees: geen acute crisissituatie) vindt deze verschuiving plaats. Een auditfunctie bij een retailer die zich minder richt op waar er gefraudeerd is maar op het herkennen van signalen waar gefraudeerd wordt of kan gaan worden (zogeheten predective analytics). Aan de hand hiervan kan eventuele fraude worden voorkomen of de schade meer worden beperkt. Over de toekomst kan geen assurance worden gegeven, maar wel advies.

Van hindsight naar foresight

Een beweging van terugblikken naar vooruitblikken dus. Bruce Turner, een Australisch expert in internal audit, spreekt over de beweging van ‘hindsight’ naar ‘insight’ en uiteindelijk naar ‘foresight’ (bron). Ik onderschrijf deze visie. Als internal audit niet meebeweegt in de veranderende omgeving, zou er bij organisaties waar internal audit geen wettelijk verplichte functie is, weleens sprake kunnen zijn dat zij uit beeld raakt. Van ‘hindsight’ naar ‘out of sight’. In een complexe wereld is een vaststelling achteraf, dat sommige processen niet hebben gelopen zoals ze zouden moeten lopen, niet meer voldoende.

Ook KPMG signaleert onder meer de uitdaging dat men verwacht dat internal audit de organisatiewaarde niet alleen beschermt maar ook verhoogt (bron). De recente aanpassing van het 3 lines model door IIA Global, waarbij de focus niet enkel is gericht op het beschermen van waarde maar ook op het verhogen ervan, sluit hierbij aan (bron). In een ander artikel spreekt KPMG over het onder druk staan van auditafdelingen om andere werkzaamheden te gaan verrichten dan alleen het geven van assurance, zoals het geven van advies, gerelateerd aan risico’s en het uitvoeren van voorspellende data-analyses (bron). Bij het geven van assurance wordt meer en meer geautomatiseerd en wordt gestreefd naar continuous monitoring. Ook hierdoor zal de waarde van Internal Audit meer moeten komen te liggen in advisering wil internal audit waarde kunnen blijven toevoegen.

Sommige internal audit puriteinen zal deze ontwikkeling tegen de borst stuiten. Het adviseren is hooguit tijdelijk toegestaan in tijden van crisis. Nu wij echter leven in een VUCA wereld, zullen sommige organisaties continu in enige vorm van crisis verkeren, of in ieder geval in een situatie met elementen van een crisis. Ik zie daarom het meer gaan adviseren door internal audit als meebewegen met de nieuwe realiteit: behoefte aan advies groeit ten opzichte van de behoefte aan assurance. De toegevoegde waarde van internal audit zal meer en meer verschuiven naar het geven van advies, is mijn verwachting. De internal auditor zal meer gaan functioneren als een consiglière: een kritisch adviseur van het management. De letterlijke vertaling van consiglière is ‘raadgever’ en is afkomstig van het Latijnse woord consilium dat ‘plan’ of ‘beleid’ betekent (bron). Zo houden we toch aansluiting met de Latijnse oorsprong van het woord auditor, afkomstig van het Latijnse woord ‘audire’ wat luisteren betekent.

De beroepsstandaarden en advies

Deze opiniërende bijdrage heeft niet tot doel om gedegen af te wegen in hoeverre de geldende standaarden van het International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA) deze continue adviesrol toestaan. De belangrijkste reden hiervoor is dat vooruitgang van het internal auditvak wat mij betreft niet belemmerd zou mogen worden door de geldende standaarden. Standaarden kunnen worden aangepast indien dat de vooruitgang van het internal auditvak vooruithelpt. Belangrijk is wel of het past in de definitie en missie van Internal audit: we moeten immers geen activiteiten oppakken die daar volledig buiten liggen.

Belangrijke woorden die aansluiten bij de gewenste adviesrol in zowel de definitie als de missie zijn ‘meerwaarde’, ‘adviezen’/’adviesdiensten’ en ‘inzichten’. Deze geven voldoende ruimte voor het geven van advies door een internal auditfunctie. Daarnaast heeft het IIA specifieke standaarden gedefinieerd (de C standaarden) voor consulting services. Deze standaarden bieden voldoende ruimte om te adviseren; de vraag is wel of, gezien de verwachte verschuiving van de focus van audit naar advies, deze voldoende ruimte bieden. In deze bijdrage aan de bundel wordt daar niet verder op ingegaan.

Beperkingen van een meer continue adviesrol

Hier wordt niet voor een onbeperkte adviesrol voor de internal auditor gepleit. Wil internal audit succesvol zijn in een adviesrol, dan gelden er beperkingen. De belangrijkste beperkingen op een rij:

• Eén beperking is dat internal audit geen adviezen moet geven buiten haar aandachtsgebied en kennis: de focus ligt dus op governance, riskmanagement en control.
• Voorgaande beperking roept een tweede potentiële beperking op: het bovengenoemde aandachtsgebied is een breder aandachtsgebied dan op het eerste gezicht lijkt. Risicomanagement varieert van financiële risico’s tot strategische risico’s en van IT- risico’s tot klimaatrisico’s. Internal audit mag of wil wellicht advies geven, maar de vraag is of internal audit wel voldoende kennis in huis heeft voor al deze onderwerpen. In een eerder opiniestuk uit 2018 heb ik aangegeven mij zorgen te maken over de houdbaarheid van het vak internal audit en of het wel voldoende meebeweegt met alle technische ontwikkelingen (bron). Mijn zorgen lagen (en liggen) met name in de kennis van de internal auditor op technologisch gebied. Technologie is één van de belangrijkste aanjagers van de VUCA wereld. Het is goed als de internal auditafdeling haar beperkingen kent voordat zij besluit te adviseren over een onderwerp.
• Tot slot is er het bekende collisiegevaar: kan internal audit in een later stadium nog wel iets auditen waar zij eerder over heeft geadviseerd? Bij grotere afdelingen is dit te mitigeren door andere auditors dan de adviserende auditor het specifieke onderwerp te laten auditen. Maar bij kleinere afdelingen is deze mitigerende maatregel moeilijk te handhaven (en het merendeel van de auditfuncties is klein, tot 5 fte). In hoeverre de adviserende auditor toch later kan auditen zal ook afhangen van andere factoren, zoals: is het advies van de auditor opgevolgd, welke scope kent het onderzoek, hoe lang is het geleden dat het advies is gegeven en is het toenmalig advies nu nog relevant? Men dient ook in ogenschouw te nemen dat advies een breed begrip is: kritische vragen stellen, waardoor het management zaken heroverweegt, kan ook gelden als advies. Het is daarom ook afhankelijk van het soort advies dat is gegeven. Per geval zal dit bekeken kunnen worden en in overleg met het management een besluit moeten worden genomen. Een goed advies kan opwegen tegen het collisiegevaar in een later stadium.

Enkele vragen bij deze ontwikkeling

Naast de hiervoor genoemde beperkingen roept een verschuiving naar meer een (continue) adviesrol twee belangrijke vragen op:

• Wat zijn de voordelen van een internal auditor voor het geven van advies ten opzichte van een externe consultant?
• Als er meer geadviseerd wordt, is er dan geen sprake van een 2e lijns rol? Een heel belangrijk verschil met een externe consultant is de kennis van de organisatie: deze is bij de internal auditor vele malen groter waardoor er ook sneller een gedegen advies kan komen. Daarnaast hanteert de internal auditor een methodische aanpak: advies begint met een gedegen analyse en de diagnostische audit is daar een goed instrument voor. Tot slot geldt er een onafhankelijke positie van de internal auditor: er is geen commerciële drang om advies te geven dat wordt gewenst maar vanuit haar onafhankelijke positie kan de internal auditor een objectief positief kritisch advies geven dat ook niet in lijn kan liggen met wat het management wenst te horen. Tegelijk is het goed om te beseffen dat er ook een andere kant is aan dit verhaal: een externe consultant brengt minder kennis van binnen maar weer meer van buiten de organisatie, en tegenover de onafhankelijkheid van de interne auditor die samenhangt met de vaste aanstelling staat weer het kritische vermogen dat een externe consultant kan ontwikkelen omdat hij of zij niet verder hoeft in de organisatie.

In hoeverre is door advisering over governance, riskmanagement en control geen sprake van een 2e lijns rol? Men kan deze vraag bevestigend beantwoorden: ja, de internal auditor schuift bij een adviesrol in zekere mate op naar een 2e lijn. Een wedervraag is of dit ernstig is. Auditors denken graag in het 3 lines (of defense) model maar de realiteit is dat voor veel bedrijven dit model a: niet altijd bekend is of gehanteerd wordt en b: niet altijd (wettelijk) noodzakelijk.

Het antwoord of dit een ernstige ontwikkeling is, is van vele factoren afhankelijk: is een onafhankelijke derde lijn wettelijk noodzakelijk, is er wel een 2e lijns functie of er is ruimte in de ‘assurance map’ om in een gat te springen?

Een andere (positieve) realiteit is dat er meer en meer auditafdelingen ontstaan in diverse branches, zonder dat daar een wettelijke verplichting voor is. Denk aan de sectoren onderwijs en gezondheidszorg. Binnen die organisaties is er vaak (nog) geen 2e lijn. In dergelijke sectoren en situaties vasthouden aan een strikte scheiding tussen 2e en 3e lijn zou het begrip voor internal audit en het belang van interne beheersing kunnen ondermijnen.

Conclusie: assurance blijft belangrijk en omvat soms impliciet advies

Met bovenstaand betoog pleit ik zeker niet om de assurance rol los te laten; dit blijft een essentiële en waardevolle rol van de auditor, mits de juiste onderwerpen zijn geselecteerd.

Door middel van assurance geven auditors vaak al impliciet advies door:

• in overleg, de scope van de audit te bepalen op basis van een risico-analyse;
• een normenkader vast te stellen waarmee een ideale situatie wordt geschetst;
• te signaleren waar onvolkomenheden zitten in de organisatie en waar het dus beter moet.Sommige auditors geven in hun rapporten al explicieter advies door richting te geven aan de mogelijke oplossingen voor de geconstateerde verbeteringen.

Het blijven geven van assurance is in sommige sectoren ook relevanter in verband met toezichthouders die daar eisen aan stellen of waar specifieke wetgeving geldt: denk aan financiële instellingen die onder toezicht staan bij DNB en AFM. Ook het langer worden van uitbestedingsketens vraagt om meer assurance over de beheersing door derden. Daardoor zal gewoonweg een focus op assurance door internal audit van belang blijven.

Assurance blijft dus een belangrijke taak van de internal auditor en een groot deel van de werkzaamheden maar de toegevoegde waarde zal in de toekomst in grote mate komen van de adviesrol.

Marc van Heese
Partner ARC People

De bundel ‘Auditors adviseren. Advies door en voor auditors‘ kun je hier aanvragen.

Elke organisatie heeft te maken met risico’s, het is onderdeel van ondernemen. Het goed beheersen van risico’s, maakt het voor organisaties mogelijk om zich te richten op datgene waar ze goed in zijn. Het managen van risico’s is niet anders dan vooruitkijken, anticiperen op onzekere gebeurtenissen en daar de nodige maatregelen voor treffen. Dus niet hopen dat ze zich niet voordoen, maar zorgen dat je voorbereid bent op het moment dat ze zich manifesteren.

Geen one-size-fits-all oplossing

Er bestaat geen one-size-fits-all oplossing voor risico’s. Net zo organisatiespecifiek als kansen zijn, zo specifiek kunnen risico’s ook zijn. De te nemen maatregelen kunnen wel hetzelfde zijn, waar het algemene risico’s betreft waarmee elke onderneming te maken krijgt, maar de uitwerking is vaak heel specifiek. Dat moet ook, aangezien geen enkele onderneming hetzelfde is. Dit vraagt om een benadering die aansluit bij de cultuur van een organisatie en de medewerkers.

Elke onderneming heeft doelstellingen die ze willen bereiken. Bij het formuleren van de doelstelling, is het belangrijk om in hetzelfde proces te onderzoeken welke bedreigingen er zijn die het behalen van deze doelstellingen in de weg kunnen staan. Dit zijn de risico’s waar beheersmaatregelen voor moeten worden geformuleerd. Op die manier is de onderneming voorbereid en worden de doelstellingen alsnog gerealiseerd.

Het identificeren van risico’s

Er zijn veel manieren en bronnen om risico’s te identificeren. Incidenten en fouten uit het verleden, resultaten van audits, analyses van processen en vaak interviews met diverse medewerkers door de organisatie heen, leveren mogelijke risico’s op. In sommige gevallen worden sessies georganiseerd waarbij een groep medewerkers alle bij hen opkomende risico’s benoemen. Daarbij is het belangrijk afgevaardigden van verschillende afdelingen en verschillende niveaus binnen de organisatie te betrekken.

Daarna worden de risico’s geaggregeerd, geclassificeerd naar soort (b.v. Business, Compliance, IT, Financieel) en naar mate van belangrijkheid (Hoog-Midden-Laag).

Het proces dat daarop volgt is het goed omschrijven van de risico’s, waarbij oorzaak en gevolg duidelijk worden gemaakt en de relatie met de doelstelling die door dit risico bedreigd wordt.

Op die manier kan de beoordeling van bestaande beheersmaatregelen en formulering van aanvullende beheersmaatregel pas worden gedaan.

Risicomanagement in 2021

Nieuwe inzichten leiden altijd tot aanpassing en aanscherping van methoden en technieken. Maar vaak leiden gebeurtenissen in de maatschappij tot meer aandacht voor een bepaalde categorie risico’s en daarmee aanvullende (wettelijke) vereisten waar organisaties aan moeten voldoen.

De vastgoedfraudes hebben geleid tot aanvullingen op frameworks die specifiek gericht waren op het voorkomen van en detecteren van fraude. Maar niet alleen in de vastgoedsector zijn maatregelen toegevoegd en processen aangepast en is het interne en externe toezicht aangescherpt. Incidenten met betrekking tot witwaspraktijken leiden eveneens tot aanscherping van processen binnen financiële instellingen en het opleiden van medewerkers tot het hanteren van een kritische houding.

Ook de coronacrisis en bijkomende gebeurtenissen leiden tot aanscherping van risico’s, het risico van een pandemie was altijd al onderdeel van de set, maar hier werd vaak weinig of helemaal geen aandacht aan besteed. Het risico van een pandemie was dus geen zogenaamde ‘zwarte zwaan’, maar werd veelal weggewuifd door managers, vanwege de lage kans van optreden. Die neiging is er sowieso meer bij risico’s met een lage kans van optreden, ook al kan de impact fors zijn, wanneer het risico zich voordoet. Hopelijk hebben we geleerd van de Covid-19 pandemie. Het thuiswerken, nieuwe manieren van leidinggeven en in-control blijven, zullen als het goed is hun uitwerking hebben op risicomanagement in de nabije toekomst. In mijn volgende blog zal ik hier dieper op ingaan.

Peggy van Glaanen
Associate ARC People

Wilt u op de hoogte blijven? Volg ARC People dan op LinkedIn of schrijf u in voor onze nieuwsbrief.

De wettelijk verplichte interne auditfunctie bij pensioenfondsen (PW 143a) krijgt steeds robuuster vorm. Hierbij is de vraag aan de orde gekomen: “In welke mate kan gebruik worden gemaakt van de resultaten van de internal auditors van de uitvoeringsorganisaties, waaraan de pensioenfondsen veel werk hebben uitbesteed?” Maar zijn internal auditors daar wel klaar voor?

Een boeiend speelveld

Als verantwoordelijke voor de interne auditfunctie (“sleutelfunctiehouder”) bij verschillende pensioenfondsen, probeer ik het delen van de internal audit resultaten van de uitvoeringsorganisaties bespreekbaar te maken. Ik vind het effectief om op een efficiënte manier gebruik te maken van informatie uit de audits, die reeds worden uitgevoerd.

Uitvoeringsorganisatie reageren heel verschillend. Sommige internal auditors overleggen hun rapporten inclusief bevindingen en aanbevelingen, anderen doen dit op hoofdlijnen en een laatste groep verstrekt geen informatie, omdat zij aangeven uitsluitend aan het management van hun bedrijf te rapporteren. Een boeiend speelveld derhalve, waar één zienswijze of uniformiteit ontbreekt.

Meer zicht op de beheersing van de organisatie

Navraag bij Vaktechniek van het Instituut van Internal Auditors, leverde mij richtinggevende informatie op: de relevante beroepsstandaard “2440- Verspreiding van de resultaten”* biedt het hoofd van de internal audit functie ruimte voor het verspreiden van internal audit resultaten naar eigen inzicht, mits hierbij de potentiële risico’s voor de organisatie worden afgewogen, er toestemming is van het verantwoordelijke management en er afspraken worden gemaakt over verdere verspreiding. 

Een duidelijke handreiking vanuit de beroepstandaarden, om internal auditresultaten breder te verspreiden, mits dit effectief wordt geacht. Deze handreiking ga ik zeker gebruiken bij de komende afstemmingen met de internal auditors. Ook omdat ik geloof in de toegevoegde waarde van het delen van internal audit informatie. Pensioenfondsen krijgen hierdoor immers meer zicht op de beheersing van de organisatie. Zonder de extra kosten die anders gemaakt zouden worden voor de uitvoering van aanvullende audits. Het overleggen van internal audit resultaten is een nuttige aanvulling op rapporten over de beheersing van de organisatie, die in de regel jaarlijks aan de pensioenfondsen worden verstrekt (zoals ISAE 3402, COS 3000 en ISO rapportages).

Maak dan ook meteen duidelijke afspraken over het delen van internal audit resultaten door dit vast te leggen in de auditcharters van beide betrokken auditfuncties en/of contractuele afspraken tussen opdrachtgever en opdrachtnemer. Dit in aanvulling op het “right to audit”, wat al veel in de contractuele afspraken tussen uitvoeringsorganisaties met pensioenfondsen is vastgelegd en wat in DNB Guidance expliciet als essentiële uitbestedingsvoorwaarde wordt genoemd. Door het vastleggen van de afspraken komt er duidelijkheid over en continuïteit in de informatiedeling.

Een boeiend onderwerp, waarover ik graag van gedachten wissel met vakgenoten. Wilt u meer weten of deze discussie voortzetten bij een (digitale) kop koffie? Neem gerust contact met me op via hans@arcpeople of 06-51389261. Ik kom graag met u in contact!

* https://na.theiia.org/translations/PublicDocuments/IPPF-Standards-2017-Dutch.pdf

Ontelbare keren ging het de afgelopen maanden over verantwoordelijkheid. Niet alleen in de toeslagenaffaire of de bestrijding van Corona. Verantwoordelijkheid is een term die steeds vaker wordt gebruikt. We vinden het kennelijk belangrijk. Helaas moeten we concluderen dat de term verantwoordelijkheid veelal in negatieve zin wordt gebruikt. Omdat het ontbrak, werd gemist, werd ontkend… of dat er geen actieve herinnering meer aan was.

Onduidelijkheid zorgt voor een valse start

In de praktijk blijkt iedereen iets anders onder verantwoordelijkheid te verstaan. Dat zorgt voor een valse start van dit belangrijke onderwerp. Wat het extra lastig maakt, is we in de Nederlandse taal slechts één woord voor verantwoordelijkheid gebruiken, daar waar in de Engelse taal al twee woorden bestaan: responsible en accountable. Met ons ene woord ‘verantwoordelijkheid’ is het risico des te groter dat het verwordt tot een containerbegrip zoals ‘kwaliteit’. Als het zo belangrijk is, moeten we dat wat mij betreft zien te voorkomen.

“In de praktijk blijkt iedereen iets anders onder verantwoordelijkheid te verstaan.” 

Hoe vul jij ‘verantwoordelijkheid’ in?

Binnen de wereld van interne beheersing waarin ARC People zich begeeft, heb ik de afgelopen tijd vele professionals gevraagd: hoe vul jij verantwoordelijkheid in? De meeste antwoorden waren in de trant van: ‘Ik neem dat altijd mee, als één van de belangrijke aspecten.’ Doorvragen leverde vervolgens op, dat de door hen gehanteerde norm voor goede beheersing doorgaans luidde: ‘De taken, verantwoordelijkheden en bevoegdheden zijn goed belegd.’ Desgevraagd bekende men, dat deze norm in de praktijk niet veel verbeterpotentieel blootlegde. Kortom, we vinden het belangrijk, we nemen het mee… maar het levert nog relatief weinig op.

Hoe kregen wij grip op verantwoordelijkheid?

Bij ARC People kwamen we in contact met Martien Plasmeijer, bedenker van de GRIP® filosofie. Martien en GRIP® hebben voor ons een einde gemaakt aan alle onduidelijkheid over de term verantwoordelijkheid. De afkorting GRIP® staat voor Growing Responsibility In People. In deze filosofie is er op een vernieuwende manier invulling gegeven aan het begrip verantwoordelijkheid. Het hanteert hele duidelijke uitgangspunten voor hoe je verantwoordelijkheid kunt organiseren. Drie daarvan zijn:

• GRIP® benadert verantwoordelijkheid op een positieve manier, waardoor verantwoordelijkheid leidt tot eigenaarschap en duidelijkheid over ‘wanneer je de bloemen krijgt’.
• Bij GRIP® gaat verantwoordelijkheid over zowel doelen (hard) als gedrag (soft). Iedereen kent immers situaties waarbij de doelen wel worden behaald, maar met ongewenst gedrag. Alleen een gecombineerde benadering van doelen en gedrag leidt tot werkelijk beter presteren.
• Verantwoordelijkheid wordt georganiseerd door invulling van een heel concreet Verantwoordelijkheidsproces®, dat bestaat uit vier processtappen: beleggen, aanvaarden, nemen en verantwoorden.

“Alleen een gecombineerde benadering van doelen en gedrag leidt tot werkelijk beter presteren.” 

Verantwoordelijkheid inzichtelijk maken: het kan nu!

Een positieve benadering, rekening houdend met zowel doelen als gedrag, volgens een duidelijk proces: u begint misschien te begrijpen waarom wij enthousiast hierover zijn. Maar er is meer: de hiervoor genoemde uitgangspunten zijn namelijk doorvertaald naar een meetinstrument: de GRIP-Index®. Een uniek meetinstrument waarmee de kwaliteit van het verantwoordelijkheidsproces binnen een organisatie in kaart wordt gebracht. De uitkomsten van dit meetinstrument geven haarscherp aan in welke processtap verantwoordelijkheid ‘weglekt’. Ofwel: waar zit het verbeterpotentieel zit om de verantwoordelijkheid 100% goed te organiseren: in het beleggen, aanvaarden, nemen of verantwoorden?

“De uitkomsten van dit meetinstrument geven haarscherp aan in welke processtap verantwoordelijkheid weglekt.”

Wilt u ook de kracht van de GRIP-Index® ervaren?

We zijn er trots op om met ARC People value added distributor te zijn van de GRIP-Index®. Wij vertellen u dan ook graag meer over dit unieke meetinstrument. Welke inzichten het geeft, welke ervaringen er zijn en wat u er zelf van kunt leren. Graag overleg ik met u over de mogelijkheden om de GRIP-Index® bij uw organisatie(onderdeel) toe te passen, als onafhankelijke partij of samen met u. Aarzel dan ook niet om hieronder een verzoek tot een afspraak in te dienen. Of download hier de flyer met meer informatie over de achtergrond en inhoud van de methodiek. 

Ja, ik wil graag een afspraak inplannen over de GRIP-Index

Sander van Oosten
Managing Partner ARC People

Door de coronacrisis is het inmiddels een vaak gebezigde term: de preventieparadox. De tegenstanders van de coronamaatregelen roepen dat corona niet zo erg is, want het aantal zieken en overledenen valt mee voor een pandemie. En dus zijn er geen maatregelen nodig, dan wel zijn deze niet proportioneel. De voorstanders geven aan dat het aantal overleden en zieken relatief beperkt is juist omdat er maatregelen zijn genomen.

De preventieparadox

Overigens las ik dat ‘preventieparadox’ niet de juiste term is voor deze situatie, maar dat dit eigenlijk een zelf-weerleggende voorspelling is. De juiste omschrijving van de preventieparadox is dat (medische) maatregelen niet per se alleen op de hogere risicocategorie moeten worden gericht, maar op de gehele populatie, omdat de groep met een hoog risico relatief klein is en het effect van maatregelen daarom ook*. Aangezien de preventieparadox wel breed bekend is als eerst beschreven, hanteer ik toch die beschrijving als uitgangspunt. 

De preventieparadox hoor je ook wel eens bij criticasters van risicomanagement. Er gebeurt zelden iets ernstigs dus waarom is risicomanagement, met die tijdrovende risico-assessments, nodig? En aanvullend: als er wel wat gebeurt, is het niet voorspeld en/of is het niet voorkomen. Hoeveel risicomanagers hebben de coronacrisis voorspeld? Zie hier de preventieparadox in de praktijk van de risicomanager.

Wellicht herkent u deze kritische vragen. Maar hoe gaat u hiermee om? Legt u het principe van de preventieparadox uit en probeert u duidelijk te maken dat risicomanagement de organisatie waarschijnlijk heeft behoed voor grote rampspoed? Heeft u dan ook concrete voorbeelden van wat is voorkomen door uw inzet? Of laat u de discussie voor wat hij is? 

Het nut van risicomanagement

Opvallend is wel dat dergelijke discussies met name voorkomen bij niet-financiële risico’s (enterprise risk en operational risk) en minder bij financieel risicomanagement. Het afdekken van valutarisico of renterisico staat zelden ter discussie. 

Het is lastig om aantoonbaar te maken wat voorkomen is door risicomanagement omdat niet met zekerheid te zeggen is dat een bepaald event zich zou voordoen. En als achteraf het event aantoonbaar heeft plaatsgevonden, is niet altijd aantoonbaar te maken welke schade door risicomanagement is voorkomen, evidente uitzonderingen daargelaten. Denk bijvoorbeeld aan het advies om een verzuimverzekering te nemen, waarna het verzuim stijgt. Het nut van de maatregel is dan duidelijk. Maar deze situatie zal niet vaak aan de orde zijn en hoe vaak monitort een risicomanager het succes van zijn adviezen en wordt dat vastgelegd?

In de financiële sector is het, mede door wetgeving, meer gebruikelijk om een zogeheten loss-database bij te houden met verliezen die optreden door operationele fouten (o.a. om het kapitaal te berekenen wat moet worden aangehouden voor operationeel risico). Een daling van verliezen kan het nut aantonen van risicomanagement. Maar ook een benchmark met deze loss-database kan dit aantonen. Er zijn partijen die dit in kaart brengen voor de financiële sector.

Van verliezen naar kansen

Een andere mogelijkheid is door u niet alleen te focussen op het verkleinen van verliezen, maar ook op het identificeren van kansen waarmee doelstellingen van de organisatie kunnen worden gerealiseerd. Wellicht heeft u de organisatie gewezen op mogelijkheden om de omzet of de klanttevredenheid te laten stijgen. 

En natuurlijk: het liefst werk je in een organisatie met een cultuur waarin risicomanagement beleefd en doorleefd wordt. En dat risicomanagement iets is wat door de hele organisatie wordt omarmd. Maar dat is nog lang niet overal het geval. Voor andere onderdelen binnen de organisatie is het heel normaal om successen te laten zien: de behaalde targets van sales, de daling van het ziekteverzuim, de hogere klanttevredenheidsscores. Dus waarom niet voor risicomanagement? Kortom: een eigen ‘database’ met successen van risicomanagement is misschien niet zo’n gek idee.

Ik ben benieuwd hoe u hier tegenaan kijkt. Mocht u zelf nog goede tips hebben om het succes van risicomanagement te laten zien, laat het ons weten en dan nemen wij ze mee in een vervolg van deze blog.

Laatste tip!

Laat ook weten dat riskmanagers geen voorspellers zijn. Een leuk voorbeeld is dit artikel van de Harvard Business Review (lees de editors note).

Marc van Heese
Managing Partner ARC People

* https://en.wikipedia.org/wiki/Prevention_paradox

Oordeelsvorming behoort tot de kern van het auditvak. Oordeelsvorming is nodig om een conclusie over de mate van beheersing te kunnen trekken en om zekerheid te kunnen geven. Niet voor niets wordt objectiviteit in de beroepsregels als een fundamenteel principe beschouwd (IFAC, 2018). Toch gaat het niet altijd goed met die oordeelsvorming. Zo vond de Autoriteit Financiële Markten in 2010 dat ’externe accountants in teveel controles hun oordeel op ontoereikende controle-informatie baseren en bovendien een onvoldoende professioneel-kritische instelling’ hebben (AFM, 2010). De Stuurgroep Publiek Belang constateerde, op basis van een gezamenlijke oorzakenanalyse door de vier grote accountantskantoren, dat accountants over een ’professioneel-kritische houding en kritische oordeelsvorming’ moeten beschikken; wordt daar niet aan voldaan, dan kan de controlekwaliteit in het geding zijn (Stuurgroep Publiek Belang, 2018). Maar wat is dat eigenlijk: professioneel-kritisch? In dit artikel gaan we nader in op de begrippen oordeelsvorming en scepticisme, wat daarover in de wetenschappelijke literatuur over bekend is en hoe auditors die inzichten in de praktijk kunnen brengen.

Valkuilen in oordeelsvorming

In de praktijk blijkt oordeelsvorming minder rationeel dan op voorhand mag worden verwacht. Zo zijn er tal van vooringenomenheden (biases) waar mensen vatbaar voor zijn (De Visser, 2007). Een bekende is verankering: mensen laten zich in hun redenering leiden door het gekozen vertrekpunt, zelfs al is dat irrelevant voor de probleemsituatie. Een andere is recentheid: latere informatie weegt in het uiteindelijke oordeel zwaarder dan eerdere. Als de meest recente informatie positief is, dan zal het uiteindelijke oordeel positiever uitvallen dan als de meest recente informatie een negatief karakter heeft. Helaas zijn auditors niet voor vooringenomenheid gevrijwaard (Knechel en anderen, 2013). Bazerman en anderen (2002) denken dat vooringenomenheid bovendien een belangrijkere verklaring voor slecht uitgevoerde jaarrekeningcontroles is dan onethisch gedrag door accountants.

Professioneel scepticisme

Een goede auditor is een kritische auditor. In de wetenschappelijke literatuur wordt dat aangeduid met het begrip professioneel scepticisme: een verhoogde risico-inschatting dat een bewering onjuist is, afhankelijk van de beschikbare informatie, zoals blijkt uit oordeelsvorming en besluitvorming (Nelson, 2009). Oftewel: een meer sceptische auditor zal op basis van dezelfde informatie risico’s hoger inschatten en meer bewijs willen zien dan een minder sceptische collega.

Auditors blijken in hun oordeelsvorming meer sceptisch te zijn naarmate ze een hogere functie bekleden (Quadackers, 2009), zich meer met het beroep identificeren (Bauer, 2015), meer kennis hebben en ethischer alsmede conservatiever zijn in hun inschattingen (Knechel en anderen, 2013). Ook een lager intermenselijk vertrouwen (Quadackers, 2009) en scepticisme als persoonlijke karaktertrek (Knechel en anderen, 2013) dragen bij aan een hoger professioneel scepticisme. Niet bevorderlijk voor sceptische oordeelsvorming zijn dubbelzinnige regels en de economische afhankelijkheid van controleklanten (Bazerman en anderen, 2002). Die negatieve invloed van economische afhankelijkheid op scepticisme kan verschillende vormen aannemen. Controleklanten kunnen auditors bijvoorbeeld een lucratieve vervolgopdracht in het vooruitzicht stellen, waarna deze minder kritisch zijn (Moreno en Bhattacharjee, 2003). Tariefdruk (Houston, 1999) en de angst om een controleklant te verliezen (Farmer en anderen, 1987) helpen evenmin. Naarmate auditors zich meer met de controleklant identificeren, oordelen ze eerder in hun voordeel (Bauer, 2015). Tot slot kunnen auditors binnen hun eigen organisatie onder druk worden gezet, bijvoorbeeld als gestuurd wordt op efficiëntie en het halen van deadlines, zodat de oordeelsvorming daaronder te lijden heeft (Knechel en anderen, 2013).

Conclusie

Het is verleidelijk om te concluderen dat auditors zo sceptisch mogelijk moeten zijn, bijvoorbeeld door ze bewust te maken van vooringenomenheden, ze niet te laten blootstellen aan druk door controleklanten en professionele waarden te benadrukken. Maar zitten die controleklanten daarop te wachten? Controleklanten blijken vooral bij de huidige auditor te blijven als die goed op hun behoeften inspeelt en over voldoende kennis beschikt (Butcher en anderen, 2013). Bovendien moet er ook een zekere vertrouwensrelatie zijn, willen auditors op een normale manier hun werk kunnen doen (Guénin-Paracini en anderen, 2015). Scepticisme is daarmee een essentiële eigenschap van auditors, maar niet de enige.

Door: Wout Schiphorst

Bron: auditinfo.eu

Referenties

AFM (2010), “Algemene bevindingen kwaliteit accountantscontrole en kwaliteitsbewaking”, Report, Autoriteit Financiële Markten, Amsterdam

Bauer, T. D. (2015), “The effects of client identity strength and professional identity salience on auditor judgments”, The Accounting Review, vol. 90, nr. 1, pag. 95—114.

Bazerman, M. H., Loewenstein, G. en Moore, D. A. (2002), “Why good accountants do bad audits”, Harvard Business Review, vol. 80, nr. 11, pag. 96—104.

Butcher, K., Harrison, G. en Ross, P. (2013), “Perceptions of audit service quality and auditor retention”, International Journal of Auditing, vol. 17, nr. 1, pag. 54—74.

Farmer, T. A., Rittenberg, L. E. en Trompeter, G. M. (1987), “An investigation of the impact of economic and organizational factors on auditor independence”, Auditing: A Journal of Practice & Theory, vol. 7, nr. 1, pag. 1—14.

Guénin-Paracini, H., H., Malsch, B. en Tremblay, M.-S. (2015), “On the operational reality of auditors’ independence: Lessons from the field.”, Auditing: A Journal ofPractice & Theory, vol. 34, nr. 2, pag. 201—236.

Houston, R. W. (1999), “The effects of fee pressure and client risk on audit seniors’ time budget decisions”, Auditing: A Journal of Practice & Theory, vol. 18, nr. 2, http://ssrn.com/abstract=196469.

IFAC (2018), “Handbook of the international code of ethics for professional accountants”, techreport, Internation Federation of Accountants, 529 Fifth Avenue New York, New York 10017 USA.

Knechel, W. R., Krishnan, G. V., Pevzner, M., Shefchik, L. B. en Velury, U. K. (2013), “Audit quality: Insights from the academic literature”, Auditing: A Journal of Practice & Theory, vol. 32, nr. Supplement 1, pag. 385—421.

Moreno, K. en Bhattacharjee, S. (2003), “The impact of pressure from potential client business opportunities on the judgments of auditors across professional ranks.”, Auditing: A Journal of Practice & Theory, vol. 22, nr. 1, pag. 13.

Nelson, M. W. (2009), “A model and literature review of professional skepticism in auditing”, Auditing: A Journal of Practice & Theory, vol. 28, nr. 2, pag. 1—34.

Quadackers, L. (2009), A Study of Auditors’ Skeptical Characteristics and TheirRelationship to Skeptical Judgments and Decisions, proefschrift, Vrije Universiteit Amsterdam.

Stuurgroep Publiek Belang (2018), “Waar het om gaat: kompas voor auditkwaliteit”, Tech. rapp., NBA, Postbus 7984, 1008 AD Amsterdam.

De Visser, A. (2007), “Intuïtieve oordeelsvorming”, De EDP-Auditor, vol. 2007/4, pag. 9—21.

Deze tekst wordt ter beschikking gesteld onder de Creative Commons licentie Naamsvermelding-NietCommercieel-GelijkDelen 4.0 Internationaal (CC BY-NC-SA 4.0). De volledige tekst van de licentie is te lezen op: https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.nl

Auditor jokes

Normaal gesproken schrijf ik vooral inhoudelijke stukken over audit, risk en compliance. Maar nu we al ruim een jaar voornamelijk thuiswerken en daardoor zelfs de flauwste grappen van die ene collega missen, vond ik het tijd voor een minder zwaar onderwerp. 

Als je in Google de zoekwoorden ‘auditor’ en ’t-shirt’ intypt, vind je al snel een t-shirt met de tekst aan de voorkant: “Did you hear the joke about the interesting auditor?” En aan de achterkant: “Me neither.” Maar kennelijk is het auditvak het tóch waard om er meerdere boekjes met Auditor Jokes over uit te geven. Ik vond twee van die boekjes op het internet. Voor ik het wist, drukte ik op de bestel-knop en binnen enkele dagen lagen ze op de deurmat. Na het openmaken van de verpakking, deden het zien van de ondertitels als ‘The Ultimate Collection of…’ en ‘The best ever…’ me bij voorbaat al watertanden. Dus stortte ik me diezelfde avond al op deze luchtige ‘literatuur’. Verwachtingsvol. Maar dat bleek iets anders uit te pakken.

Vooral financial audit

De grappen in de boekjes bleken niet over een breed en strategisch denkend auditor te gaan, maar vooral over eentje die zich beperkt op finance richt. En dan op een wel heel ouderwets type auditor. Zo eentje die vooral erg eenzaam is zonder zijn rekenmachine, niet onder de mensen komt en wereldvreemd is. 

“You might well be an auditor if you have no idea that GAP is also a clothing brand.”

Ook wordt die auditor bestempeld als iemand die graag op andermans rekening drinkt en licht autistische karaktereigenschappen heeft. Over de link naar autisme gesproken: ik kan me nog herinneren dat ik in de allereerste Word-versie (oei, nu voel ik me wel heel oud) van Word de suggestie ‘autist’ kreeg, bij het intypen van het woord ‘auditor’.

“How can you drive an auditor crazy? Stand in front of him and fold up a road map in the wrong way.”

Wordt de auditor zó gehaat?

Toch las ik verder, benieuwd naar wat de boekjes nog meer te bieden hebben. Rauw en grof, dat werd het vooral. Een verdrinkende auditor zou namelijk niet moeten worden gered, maar een rots toegeworpen moeten krijgen. De meeste grappen zijn doordrenkt van een diepe afkeer tot de auditor. Auditors leggen op alle slakken zout, hebben geen humor en kijken precies naar datgene wat je niet belangrijk vindt. Roept een auditor dan echt zoveel haat op bij zijn publiek?

“Why do people take an instant dislike to auditors?…To save time later.”

“I wanted to give my auditor something nice, so I bought him a new chair. He won’t let me plug it in though.”

Alle stevige statements doen me in ieder geval extra realiseren dat ik graag vasthoud aan mijn audit eigen attitude. Een attitude waarbij ik steeds probeer te vertrekken vanuit de managementkundige benadering, waarbij ik het positieve ook wil waarderen en zo goed mogelijk wil luisteren. Dit soort boekjes en statements houden je op zijn minst bij de les. 

Een frisse wind door auditland

Natuurlijk weten we dat er allang niet meer één type auditor is. Met de enorme variatie in auditobjecten en -vragen is er vanzelfsprekend (en gelukkig maar) een steeds diversere groep auditors actief. Kijk alleen al naar de kenmerken van alle trainees die de afgelopen jaren het ARC Talent Program verlieten en de auditmarkt bestormden: creatief, innovatief, communicatief en met lef. Er is al heel lang een hele andere wind in auditland aan het waaien. Vlak voor Corona intrad, organiseerden we bij ARC People nog een zeer interessante kennissessie, waarbij de deelnemers van tevoren zichzelf scoorden op de Management Drives. Alle 25 aanwezige eindverantwoordelijken voor een auditfunctie bleken zeer verschillend te scoren. Lang niet alleen blauwe profielen, met een voorkeur voor zekerheid en duidelijkheid.

Graag had ik je gezegd dat het de moeite waard is om de twee Auditor Jokes boekjes te komen doornemen bij ons op kantoor, maar dat is helaas niet zo. De door mij aangehaalde grappen in dit artikel zijn namelijk van het hoogst behaalde niveau in de boekjes. Oké dan, nog drie ‘uitsmijters’, om dat aan te tonen. 

“If an auditor’s wife is finding it hard to sleep, what does she say? … Honey, could you explain your work to me?.”

“Never meet your auditees on Wednesdays, as it can spoil two of their weekends.”

“The audit team is having dinner together, in a restaurant. The waiter comes over to the table and asks them: Is anything allright?”

Uiteraard ben je nog steeds van harte welkom op ons mooie kantoor in Hilversum, maar dan wellicht voor een goed gesprek over vaktechnische ontwikkelingen, de markt en/of de mogelijkheden daarin? Of heb je misschien tóch een goede, eigen mop? Aarzel niet!

Sander van Oosten
Partner ARC People

Wil je op de hoogte blijven van ander nieuws op het gebied van audit, risk en compliance? Schrijf je dan hier in voor onze nieuwsbrief.