Blog Archives

Elke organisatie heeft te maken met risico’s, het is onderdeel van ondernemen. Het goed beheersen van risico’s, maakt het voor organisaties mogelijk om zich te richten op datgene waar ze goed in zijn. Het managen van risico’s is niet anders dan vooruitkijken, anticiperen op onzekere gebeurtenissen en daar de nodige maatregelen voor treffen. Dus niet hopen dat ze zich niet voordoen, maar zorgen dat je voorbereid bent op het moment dat ze zich manifesteren.

Geen one-size-fits-all oplossing

Er bestaat geen one-size-fits-all oplossing voor risico’s. Net zo organisatiespecifiek als kansen zijn, zo specifiek kunnen risico’s ook zijn. De te nemen maatregelen kunnen wel hetzelfde zijn, waar het algemene risico’s betreft waarmee elke onderneming te maken krijgt, maar de uitwerking is vaak heel specifiek. Dat moet ook, aangezien geen enkele onderneming hetzelfde is. Dit vraagt om een benadering die aansluit bij de cultuur van een organisatie en de medewerkers.

Elke onderneming heeft doelstellingen die ze willen bereiken. Bij het formuleren van de doelstelling, is het belangrijk om in hetzelfde proces te onderzoeken welke bedreigingen er zijn die het behalen van deze doelstellingen in de weg kunnen staan. Dit zijn de risico’s waar beheersmaatregelen voor moeten worden geformuleerd. Op die manier is de onderneming voorbereid en worden de doelstellingen alsnog gerealiseerd.

Het identificeren van risico’s

Er zijn veel manieren en bronnen om risico’s te identificeren. Incidenten en fouten uit het verleden, resultaten van audits, analyses van processen en vaak interviews met diverse medewerkers door de organisatie heen, leveren mogelijke risico’s op. In sommige gevallen worden sessies georganiseerd waarbij een groep medewerkers alle bij hen opkomende risico’s benoemen. Daarbij is het belangrijk afgevaardigden van verschillende afdelingen en verschillende niveaus binnen de organisatie te betrekken.

Daarna worden de risico’s geaggregeerd, geclassificeerd naar soort (b.v. Business, Compliance, IT, Financieel) en naar mate van belangrijkheid (Hoog-Midden-Laag).

Het proces dat daarop volgt is het goed omschrijven van de risico’s, waarbij oorzaak en gevolg duidelijk worden gemaakt en de relatie met de doelstelling die door dit risico bedreigd wordt.

Op die manier kan de beoordeling van bestaande beheersmaatregelen en formulering van aanvullende beheersmaatregel pas worden gedaan.

Risicomanagement in 2021

Nieuwe inzichten leiden altijd tot aanpassing en aanscherping van methoden en technieken. Maar vaak leiden gebeurtenissen in de maatschappij tot meer aandacht voor een bepaalde categorie risico’s en daarmee aanvullende (wettelijke) vereisten waar organisaties aan moeten voldoen.

De vastgoedfraudes hebben geleid tot aanvullingen op frameworks die specifiek gericht waren op het voorkomen van en detecteren van fraude. Maar niet alleen in de vastgoedsector zijn maatregelen toegevoegd en processen aangepast en is het interne en externe toezicht aangescherpt. Incidenten met betrekking tot witwaspraktijken leiden eveneens tot aanscherping van processen binnen financiële instellingen en het opleiden van medewerkers tot het hanteren van een kritische houding.

Ook de coronacrisis en bijkomende gebeurtenissen leiden tot aanscherping van risico’s, het risico van een pandemie was altijd al onderdeel van de set, maar hier werd vaak weinig of helemaal geen aandacht aan besteed. Het risico van een pandemie was dus geen zogenaamde ‘zwarte zwaan’, maar werd veelal weggewuifd door managers, vanwege de lage kans van optreden. Die neiging is er sowieso meer bij risico’s met een lage kans van optreden, ook al kan de impact fors zijn, wanneer het risico zich voordoet. Hopelijk hebben we geleerd van de Covid-19 pandemie. Het thuiswerken, nieuwe manieren van leidinggeven en in-control blijven, zullen als het goed is hun uitwerking hebben op risicomanagement in de nabije toekomst. In mijn volgende blog zal ik hier dieper op ingaan.

Wilt u op de hoogte blijven? Volg ARC People dan op LinkedIn of schrijf u in voor onze nieuwsbrief.

De wettelijk verplichte interne auditfunctie bij pensioenfondsen (PW 143a) krijgt steeds robuuster vorm. Hierbij is de vraag aan de orde gekomen: “In welke mate kan gebruik worden gemaakt van de resultaten van de internal auditors van de uitvoeringsorganisaties, waaraan de pensioenfondsen veel werk hebben uitbesteed?” Maar zijn internal auditors daar wel klaar voor?

Een boeiend speelveld

Als verantwoordelijke voor de interne auditfunctie (“sleutelfunctiehouder”) bij verschillende pensioenfondsen, probeer ik het delen van de internal audit resultaten van de uitvoeringsorganisaties bespreekbaar te maken. Ik vind het effectief om op een efficiënte manier gebruik te maken van informatie uit de audits, die reeds worden uitgevoerd.

Uitvoeringsorganisatie reageren heel verschillend. Sommige internal auditors overleggen hun rapporten inclusief bevindingen en aanbevelingen, anderen doen dit op hoofdlijnen en een laatste groep verstrekt geen informatie, omdat zij aangeven uitsluitend aan het management van hun bedrijf te rapporteren. Een boeiend speelveld derhalve, waar één zienswijze of uniformiteit ontbreekt.

Meer zicht op de beheersing van de organisatie

Navraag bij Vaktechniek van het Instituut van Internal Auditors, leverde mij richtinggevende informatie op: de relevante beroepsstandaard “2440- Verspreiding van de resultaten”* biedt het hoofd van de internal audit functie ruimte voor het verspreiden van internal audit resultaten naar eigen inzicht, mits hierbij de potentiële risico’s voor de organisatie worden afgewogen, er toestemming is van het verantwoordelijke management en er afspraken worden gemaakt over verdere verspreiding. 

Een duidelijke handreiking vanuit de beroepstandaarden, om internal auditresultaten breder te verspreiden, mits dit effectief wordt geacht. Deze handreiking ga ik zeker gebruiken bij de komende afstemmingen met de internal auditors. Ook omdat ik geloof in de toegevoegde waarde van het delen van internal audit informatie. Pensioenfondsen krijgen hierdoor immers meer zicht op de beheersing van de organisatie. Zonder de extra kosten die anders gemaakt zouden worden voor de uitvoering van aanvullende audits. Het overleggen van internal audit resultaten is een nuttige aanvulling op rapporten over de beheersing van de organisatie, die in de regel jaarlijks aan de pensioenfondsen worden verstrekt (zoals ISAE 3402, COS 3000 en ISO rapportages).

Maak dan ook meteen duidelijke afspraken over het delen van internal audit resultaten door dit vast te leggen in de auditcharters van beide betrokken auditfuncties en/of contractuele afspraken tussen opdrachtgever en opdrachtnemer. Dit in aanvulling op het “right to audit”, wat al veel in de contractuele afspraken tussen uitvoeringsorganisaties met pensioenfondsen is vastgelegd en wat in DNB Guidance expliciet als essentiële uitbestedingsvoorwaarde wordt genoemd. Door het vastleggen van de afspraken komt er duidelijkheid over en continuïteit in de informatiedeling.

* https://na.theiia.org/translations/PublicDocuments/IPPF-Standards-2017-Dutch.pdf

Door de coronacrisis is het inmiddels een vaak gebezigde term: de preventieparadox. De tegenstanders van de coronamaatregelen roepen dat corona niet zo erg is, want het aantal zieken en overledenen valt mee voor een pandemie. En dus zijn er geen maatregelen nodig, dan wel zijn deze niet proportioneel. De voorstanders geven aan dat het aantal overleden en zieken relatief beperkt is juist omdat er maatregelen zijn genomen.

De preventieparadox

Overigens las ik dat ‘preventieparadox’ niet de juiste term is voor deze situatie, maar dat dit eigenlijk een zelf-weerleggende voorspelling is. De juiste omschrijving van de preventieparadox is dat (medische) maatregelen niet per se alleen op de hogere risicocategorie moeten worden gericht, maar op de gehele populatie, omdat de groep met een hoog risico relatief klein is en het effect van maatregelen daarom ook*. Aangezien de preventieparadox wel breed bekend is als eerst beschreven, hanteer ik toch die beschrijving als uitgangspunt. 

De preventieparadox hoor je ook wel eens bij criticasters van risicomanagement. Er gebeurt zelden iets ernstigs dus waarom is risicomanagement, met die tijdrovende risico-assessments, nodig? En aanvullend: als er wel wat gebeurt, is het niet voorspeld en/of is het niet voorkomen. Hoeveel risicomanagers hebben de coronacrisis voorspeld? Zie hier de preventieparadox in de praktijk van de risicomanager.

Wellicht herkent u deze kritische vragen. Maar hoe gaat u hiermee om? Legt u het principe van de preventieparadox uit en probeert u duidelijk te maken dat risicomanagement de organisatie waarschijnlijk heeft behoed voor grote rampspoed? Heeft u dan ook concrete voorbeelden van wat is voorkomen door uw inzet? Of laat u de discussie voor wat hij is? 

Het nut van risicomanagement

Opvallend is wel dat dergelijke discussies met name voorkomen bij niet-financiële risico’s (enterprise risk en operational risk) en minder bij financieel risicomanagement. Het afdekken van valutarisico of renterisico staat zelden ter discussie. 

Het is lastig om aantoonbaar te maken wat voorkomen is door risicomanagement omdat niet met zekerheid te zeggen is dat een bepaald event zich zou voordoen. En als achteraf het event aantoonbaar heeft plaatsgevonden, is niet altijd aantoonbaar te maken welke schade door risicomanagement is voorkomen, evidente uitzonderingen daargelaten. Denk bijvoorbeeld aan het advies om een verzuimverzekering te nemen, waarna het verzuim stijgt. Het nut van de maatregel is dan duidelijk. Maar deze situatie zal niet vaak aan de orde zijn en hoe vaak monitort een risicomanager het succes van zijn adviezen en wordt dat vastgelegd?

In de financiële sector is het, mede door wetgeving, meer gebruikelijk om een zogeheten loss-database bij te houden met verliezen die optreden door operationele fouten (o.a. om het kapitaal te berekenen wat moet worden aangehouden voor operationeel risico). Een daling van verliezen kan het nut aantonen van risicomanagement. Maar ook een benchmark met deze loss-database kan dit aantonen. Er zijn partijen die dit in kaart brengen voor de financiële sector.

Van verliezen naar kansen

Een andere mogelijkheid is door u niet alleen te focussen op het verkleinen van verliezen, maar ook op het identificeren van kansen waarmee doelstellingen van de organisatie kunnen worden gerealiseerd. Wellicht heeft u de organisatie gewezen op mogelijkheden om de omzet of de klanttevredenheid te laten stijgen. 

En natuurlijk: het liefst werk je in een organisatie met een cultuur waarin risicomanagement beleefd en doorleefd wordt. En dat risicomanagement iets is wat door de hele organisatie wordt omarmd. Maar dat is nog lang niet overal het geval. Voor andere onderdelen binnen de organisatie is het heel normaal om successen te laten zien: de behaalde targets van sales, de daling van het ziekteverzuim, de hogere klanttevredenheidsscores. Dus waarom niet voor risicomanagement? Kortom: een eigen ‘database’ met successen van risicomanagement is misschien niet zo’n gek idee.

Ik ben benieuwd hoe u hier tegenaan kijkt. Mocht u zelf nog goede tips hebben om het succes van risicomanagement te laten zien, laat het ons weten en dan nemen wij ze mee in een vervolg van deze blog.

Laatste tip!

Laat ook weten dat riskmanagers geen voorspellers zijn. Een leuk voorbeeld is dit artikel van de Harvard Business Review (lees de editors note).

Marc van Heese
Managing Partner ARC People

* https://en.wikipedia.org/wiki/Prevention_paradox

Oordeelsvorming behoort tot de kern van het auditvak. Oordeelsvorming is nodig om een conclusie over de mate van beheersing te kunnen trekken en om zekerheid te kunnen geven. Niet voor niets wordt objectiviteit in de beroepsregels als een fundamenteel principe beschouwd (IFAC, 2018). Toch gaat het niet altijd goed met die oordeelsvorming. Zo vond de Autoriteit Financiële Markten in 2010 dat ’externe accountants in teveel controles hun oordeel op ontoereikende controle-informatie baseren en bovendien een onvoldoende professioneel-kritische instelling’ hebben (AFM, 2010).

De Stuurgroep Publiek Belang constateerde, op basis van een gezamenlijke oorzakenanalyse door de vier grote accountantskantoren, dat accountants over een ’professioneel-kritische houding en kritische oordeelsvorming’ moeten beschikken; wordt daar niet aan voldaan, dan kan de controlekwaliteit in het geding zijn (Stuurgroep Publiek Belang, 2018). Maar wat is dat eigenlijk: professioneel-kritisch? In dit artikel gaan we nader in op de begrippen oordeelsvorming en scepticisme, wat daarover in de wetenschappelijke literatuur over bekend is en hoe auditors die inzichten in de praktijk kunnen brengen.

Valkuilen in oordeelsvorming

In de praktijk blijkt oordeelsvorming minder rationeel dan op voorhand mag worden verwacht. Zo zijn er tal van vooringenomenheden (biases) waar mensen vatbaar voor zijn (De Visser, 2007). Een bekende is verankering: mensen laten zich in hun redenering leiden door het gekozen vertrekpunt, zelfs al is dat irrelevant voor de probleemsituatie. Een andere is recentheid: latere informatie weegt in het uiteindelijke oordeel zwaarder dan eerdere. Als de meest recente informatie positief is, dan zal het uiteindelijke oordeel positiever uitvallen dan als de meest recente informatie een negatief karakter heeft. Helaas zijn auditors niet voor vooringenomenheid gevrijwaard (Knechel en anderen, 2013). Bazerman en anderen (2002) denken dat vooringenomenheid bovendien een belangrijkere verklaring voor slecht uitgevoerde jaarrekeningcontroles is dan onethisch gedrag door accountants.

Professioneel scepticisme

Een goede auditor is een kritische auditor. In de wetenschappelijke literatuur wordt dat aangeduid met het begrip professioneel scepticisme: een verhoogde risico-inschatting dat een bewering onjuist is, afhankelijk van de beschikbare informatie, zoals blijkt uit oordeelsvorming en besluitvorming (Nelson, 2009). Oftewel: een meer sceptische auditor zal op basis van dezelfde informatie risico’s hoger inschatten en meer bewijs willen zien dan een minder sceptische collega.

Auditors blijken in hun oordeelsvorming meer sceptisch te zijn naarmate ze een hogere functie bekleden (Quadackers, 2009), zich meer met het beroep identificeren (Bauer, 2015), meer kennis hebben en ethischer alsmede conservatiever zijn in hun inschattingen (Knechel en anderen, 2013). Ook een lager intermenselijk vertrouwen (Quadackers, 2009) en scepticisme als persoonlijke karaktertrek (Knechel en anderen, 2013) dragen bij aan een hoger professioneel scepticisme. Niet bevorderlijk voor sceptische oordeelsvorming zijn dubbelzinnige regels en de economische afhankelijkheid van controleklanten (Bazerman en anderen, 2002).

Die negatieve invloed van economische afhankelijkheid op scepticisme kan verschillende vormen aannemen. Controleklanten kunnen auditors bijvoorbeeld een lucratieve vervolgopdracht in het vooruitzicht stellen, waarna deze minder kritisch zijn (Moreno en Bhattacharjee, 2003). Tariefdruk (Houston, 1999) en de angst om een controleklant te verliezen (Farmer en anderen, 1987) helpen evenmin. Naarmate auditors zich meer met de controleklant identificeren, oordelen ze eerder in hun voordeel (Bauer, 2015). Tot slot kunnen auditors binnen hun eigen organisatie onder druk worden gezet, bijvoorbeeld als gestuurd wordt op efficiëntie en het halen van deadlines, zodat de oordeelsvorming daaronder te lijden heeft (Knechel en anderen, 2013).

Conclusie

Het is verleidelijk om te concluderen dat auditors zo sceptisch mogelijk moeten zijn, bijvoorbeeld door ze bewust te maken van vooringenomenheden, ze niet te laten blootstellen aan druk door controleklanten en professionele waarden te benadrukken. Maar zitten die controleklanten daarop te wachten? Controleklanten blijken vooral bij de huidige auditor te blijven als die goed op hun behoeften inspeelt en over voldoende kennis beschikt (Butcher en anderen, 2013).

Bovendien moet er ook een zekere vertrouwensrelatie zijn, willen auditors op een normale manier hun werk kunnen doen (Guénin-Paracini en anderen, 2015). Scepticisme is daarmee een essentiële eigenschap van auditors, maar niet de enige.

Door: Wout Schiphorst

Bron: auditinfo.eu

Referenties

AFM (2010), “Algemene bevindingen kwaliteit accountantscontrole en kwaliteitsbewaking”, Report, Autoriteit Financiële Markten, Amsterdam

Bauer, T. D. (2015), “The effects of client identity strength and professional identity salience on auditor judgments”, The Accounting Review, vol. 90, nr. 1, pag. 95—114.

Bazerman, M. H., Loewenstein, G. en Moore, D. A. (2002), “Why good accountants do bad audits”, Harvard Business Review, vol. 80, nr. 11, pag. 96—104.

Butcher, K., Harrison, G. en Ross, P. (2013), “Perceptions of audit service quality and auditor retention”, International Journal of Auditing, vol. 17, nr. 1, pag. 54—74.

Farmer, T. A., Rittenberg, L. E. en Trompeter, G. M. (1987), “An investigation of the impact of economic and organizational factors on auditor independence”, Auditing: A Journal of Practice & Theory, vol. 7, nr. 1, pag. 1—14.

Guénin-Paracini, H., H., Malsch, B. en Tremblay, M.-S. (2015), “On the operational reality of auditors’ independence: Lessons from the field.”, Auditing: A Journal ofPractice & Theory, vol. 34, nr. 2, pag. 201—236.

Houston, R. W. (1999), “The effects of fee pressure and client risk on audit seniors’ time budget decisions”, Auditing: A Journal of Practice & Theory, vol. 18, nr. 2, http://ssrn.com/abstract=196469.

IFAC (2018), “Handbook of the international code of ethics for professional accountants”, techreport, Internation Federation of Accountants, 529 Fifth Avenue New York, New York 10017 USA.

Knechel, W. R., Krishnan, G. V., Pevzner, M., Shefchik, L. B. en Velury, U. K. (2013), “Audit quality: Insights from the academic literature”, Auditing: A Journal of Practice & Theory, vol. 32, nr. Supplement 1, pag. 385—421.

Moreno, K. en Bhattacharjee, S. (2003), “The impact of pressure from potential client business opportunities on the judgments of auditors across professional ranks.”, Auditing: A Journal of Practice & Theory, vol. 22, nr. 1, pag. 13.

Nelson, M. W. (2009), “A model and literature review of professional skepticism in auditing”, Auditing: A Journal of Practice & Theory, vol. 28, nr. 2, pag. 1—34.

Quadackers, L. (2009), A Study of Auditors’ Skeptical Characteristics and TheirRelationship to Skeptical Judgments and Decisions, proefschrift, Vrije Universiteit Amsterdam.

Stuurgroep Publiek Belang (2018), “Waar het om gaat: kompas voor auditkwaliteit”, Tech. rapp., NBA, Postbus 7984, 1008 AD Amsterdam.

De Visser, A. (2007), “Intuïtieve oordeelsvorming”, De EDP-Auditor, vol. 2007/4, pag. 9—21.

Deze tekst wordt ter beschikking gesteld onder de Creative Commons licentie Naamsvermelding-NietCommercieel-GelijkDelen 4.0 Internationaal (CC BY-NC-SA 4.0). De volledige tekst van de licentie is te lezen op: https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.nl

Auditor jokes

Normaal gesproken schrijf ik vooral inhoudelijke stukken over audit, risk en compliance. Maar nu we al ruim een jaar voornamelijk thuiswerken en daardoor zelfs de flauwste grappen van die ene collega missen, vond ik het tijd voor een minder zwaar onderwerp. 

Als je in Google de zoekwoorden ‘auditor’ en ’t-shirt’ intypt, vind je al snel een t-shirt met de tekst aan de voorkant: “Did you hear the joke about the interesting auditor?” En aan de achterkant: “Me neither.” Maar kennelijk is het auditvak het tóch waard om er meerdere boekjes met Auditor Jokes over uit te geven. Ik vond twee van die boekjes op het internet.

Voor ik het wist, drukte ik op de bestel-knop en binnen enkele dagen lagen ze op de deurmat. Na het openmaken van de verpakking, deden het zien van de ondertitels als ‘The Ultimate Collection of…’ en ‘The best ever…’ me bij voorbaat al watertanden. Dus stortte ik me diezelfde avond al op deze luchtige ‘literatuur’. Verwachtingsvol. Maar dat bleek iets anders uit te pakken.

Vooral financial audit

De grappen in de boekjes bleken niet over een breed en strategisch denkend auditor te gaan, maar vooral over eentje die zich beperkt op finance richt. En dan op een wel heel ouderwets type auditor. Zo eentje die vooral erg eenzaam is zonder zijn rekenmachine, niet onder de mensen komt en wereldvreemd is. 

“You might well be an auditor if you have no idea that GAP is also a clothing brand.”

Ook wordt die auditor bestempeld als iemand die graag op andermans rekening drinkt en licht autistische karaktereigenschappen heeft. Over de link naar autisme gesproken: ik kan me nog herinneren dat ik in de allereerste Word-versie (oei, nu voel ik me wel heel oud) van Word de suggestie ‘autist’ kreeg, bij het intypen van het woord ‘auditor’.

“How can you drive an auditor crazy? Stand in front of him and fold up a road map in the wrong way.”

Wordt de auditor zó gehaat?

Toch las ik verder, benieuwd naar wat de boekjes nog meer te bieden hebben. Rauw en grof, dat werd het vooral. Een verdrinkende auditor zou namelijk niet moeten worden gered, maar een rots toegeworpen moeten krijgen. De meeste grappen zijn doordrenkt van een diepe afkeer tot de auditor. Auditors leggen op alle slakken zout, hebben geen humor en kijken precies naar datgene wat je niet belangrijk vindt. Roept een auditor dan echt zoveel haat op bij zijn publiek?

“Why do people take an instant dislike to auditors?…To save time later.”

“I wanted to give my auditor something nice, so I bought him a new chair. He won’t let me plug it in though.”

Alle stevige statements doen me in ieder geval extra realiseren dat ik graag vasthoud aan mijn audit eigen attitude. Een attitude waarbij ik steeds probeer te vertrekken vanuit de managementkundige benadering, waarbij ik het positieve ook wil waarderen en zo goed mogelijk wil luisteren. Dit soort boekjes en statements houden je op zijn minst bij de les. 

Een frisse wind door auditland

Natuurlijk weten we dat er allang niet meer één type auditor is. Met de enorme variatie in auditobjecten en -vragen is er vanzelfsprekend (en gelukkig maar) een steeds diversere groep auditors actief. Kijk alleen al naar de kenmerken van alle trainees die de afgelopen jaren het ARC Talent Program verlieten en de auditmarkt bestormden: creatief, innovatief, communicatief en met lef.

Er is al heel lang een hele andere wind in auditland aan het waaien. Vlak voor Corona intrad, organiseerden we bij ARC People nog een zeer interessante kennissessie, waarbij de deelnemers van tevoren zichzelf scoorden op de Management Drives. Alle 25 aanwezige eindverantwoordelijken voor een auditfunctie bleken zeer verschillend te scoren. Lang niet alleen blauwe profielen, met een voorkeur voor zekerheid en duidelijkheid.

Graag had ik je gezegd dat het de moeite waard is om de twee Auditor Jokes boekjes te komen doornemen bij ons op kantoor, maar dat is helaas niet zo. De door mij aangehaalde grappen in dit artikel zijn namelijk van het hoogst behaalde niveau in de boekjes. Oké dan, nog drie ‘uitsmijters’, om dat aan te tonen. 

“If an auditor’s wife is finding it hard to sleep, what does she say? … Honey, could you explain your work to me?.”

“Never meet your auditees on Wednesdays, as it can spoil two of their weekends.”

“The audit team is having dinner together, in a restaurant. The waiter comes over to the table and asks them: Is anything allright?”

Uiteraard ben je nog steeds van harte welkom op ons mooie kantoor in Hilversum, maar dan wellicht voor een goed gesprek over vaktechnische ontwikkelingen, de markt en/of de mogelijkheden daarin? Of heb je misschien tóch een goede, eigen mop? Aarzel niet!

Sander van Oosten
Partner ARC People

Wil je op de hoogte blijven van ander nieuws op het gebied van audit, risk en compliance? Schrijf je dan hier in voor onze nieuwsbrief.

Inmiddels al ruim 2 jaar geleden schreef ik een blog over innovatie van Internal Audit, of liever het gebrek daaraan. Korte samenvatting: de wereld verandert in een heel hoog tempo. Buiten de geopolitieke ontwikkelingen zijn de veranderingen vooral ingegeven door technische ontwikkelingen, zoals quantum computing, flash channel techniek etc. Dat deze ontwikkelingen bepalend zijn voor bedrijfsmodellen en daarmee ook voor Internal Audit, is evident. Maar wat is nu het juiste antwoord van Internal Audit op al deze ontwikkelingen? Hoe kan het vakgebied hier in meegaan en relevant blijven? Wat doet onze beroepsgroep daaraan en welke rol speelt de beroepsvereniging IIA?

Nog meer vragen

In mijn zoektocht naar antwoorden vond ik destijds voor mijzelf vooral nog meer vragen. Is data-analyse nog vernieuwend, of is er straks een Artificial Intelligence tool waar je je data invoert, de tool vervolgens zelf externe databases betrekt (het weer, verkeer etc.) en met conclusies komt die we als auditor niet hadden kunnen bedenken? Waarom is er eigenlijk nog een separate RE- en RO-opleiding (weliswaar met een gedeeld eerste jaar)? De disruptieve bedrijven zoals TESLA, Google en Spotify hebben een Internal Audit functie, maar kijkend naar wat openstaande audit vacatures bij deze bedrijven, zie je vooral de term SOx: hebben we straks alleen nog maar bestaansrecht vanwege wetgeving? Gezien de urgentie (die er wat mij betreft was), pleitte ik destijds voor een ‘deltawerkenplan’ binnen het IIA, dat het vakgebied futureproof moest gaan houden. 

En waar staan we nu?

Allereerst de ontwikkelingen. 2 jaar verder kunnen we zeker stellen dat de wereld sterk is veranderd, de impact van Corona is een evidente. De technologische ontwikkelingen lijken (mede door Corona) een versnelling te ondergaan: online vergaderen, meer online bestellen en betalen. Bedrijven die eerst succesvol waren, hebben het moeilijk en challengers zoals Picknick groeien nu tegen de klippen op. Kijkend naar vragen van onze klanten, worden de IT-auditor en IT-riskmanager binnen 2 jaar meer gevraagd dan de ‘reguliere’ auditor en riskmanager; dit geldt zowel voor vaste functies als interim posities. Ook de toezichthouders hebben duidelijk hun focus verlegd naar IT.

Een platform voor innovatie

Dan de reactie op mijn oproep: deze was gelukkig niet aan dovemans oren gericht. Het IIA reageerde positief en heeft vervolgens een innovatie commissie in het leven geroepen, met een aantal enthousiaste vrijwilligers, waaronder ikzelf. De belangrijkste ontwikkelingen zijn in kaart gebracht, inclusief de gevolgen daarvan voor het audit vakgebied. Deze zijn gecategoriseerd naar de indeling van het IIA ambition model. Dit alles is samengevat in het innovatieplatform. Per onderwerp zijn er moderators en experts die zoveel mogelijk kennis over de onderwerpen verzamelen en beschikbaar stellen (PS voor enkele onderwerpen zoekt het IIA nog experts). Ook is er ruimte voor discussie. Onderwerpen die aan bod komen zijn bijvoorbeeld RPA, agile auditing, talent shortage, artificial intelligence & robotics en zo verder.  Dit alles om de auditprofessionals zoveel mogelijk te ondersteunen in het innoveren van hun afdeling.

Goed nieuws voor de innovatie van Internal Audit

Betekent dit dat het vakgebied er nu is en mee kan gaan in de vaart der volkeren? Wat mij betreft nog niet. Er zijn nog veel audit afdelingen in Nederland die weinig voortgang boeken op de in het innovatieplatform genoemde onderwerpen. Niet alle ontwikkelingen zijn uiteraard (even) relevant voor elke internal audit afdeling, maar het begrijpen, toetsen en zelf toepassen van de relevante technologische ontwikkelingen is een absolute noodzaak om van waarde te kunnen blijven voor je organisatie. Gelukkig zie ik ook meer en meer lichtpuntjes: afdelingen die wel veel effort in innovatie steken. Kijk maar eens in het laatste AuditMagazine, waarin een aantal innovaties aan bod komt. Ook zijn er steeds meer auditafdelingen die naast assurance (vaak terugkijkend) meer insights geven en vooruitkijken, betrokken worden bij strategische besluiten en flexibele auditkalenders hebben met meer en meer ‘exotische’ onderwerpen daarop. Kortom: het vakgebied komt meer en meer in beweging en dat is goed nieuws.

Werk jij binnen een innovatieve auditafdeling?

Het werk in de commissie heeft mijzelf ook aan het denken gezet en er mij toe aangezet om een aantal handreikingen te gaan schrijven over innovatie binnen Internal Audit. Het doel is om voor een aantal belangrijke ontwikkelingen te kijken hoe auditafdelingen deze succesvol hebben geïmplementeerd. Om andere auditafdelingen te inspireren en handvatten aan te reiken aan auditfuncties die met het betreffende onderwerp willen starten. Daarom doe ik gelijk een oproep: werk jij nu binnen een innovatieve auditafdeling en wil je graag vertellen hoe jullie afdeling een specifieke innovatie handen en voeten hebben gegeven, dan kom ik graag met jou in contact.

Mocht voor sommige genoemde innovaties gelden dat je geen idee hebt wat je er als auditor mee zou moeten, dan geef ik hierbij een eerste tip: kijk eens op het IIA innovatieplatform en vraag jezelf af: ‘Zeggen de onderwerpen mij wat, zijn ze relevant voor mijn afdeling of organisatie… en zo ja: ben ik er al mee bezig?’ Veel succes!

Marc van Heese
Partner ARC People

In mijn werk als Recruitment Consultant bij ARC People heb ik dagelijks contact met auditors, risicomanagers en compliance officers, zowel op freelancebasis als in loondienst. Vanzelfsprekend is het afgelopen Coronajaar ook op ons bureau van invloed geweest. Werving & selectie procedures werden on hold gezet, interim opdrachten werden vroegtijdig beëindigd en trainee-aanvragen werden uitgesteld. Ik besloot uit te zoeken of freelancers interesse zouden hebben in een overstap naar loondienst en ik leerde een mooie les!

“Ik ging het gesprek aan met freelancers uit ons netwerk, enkele mooie vaste vacature in de armslag ter bespreking.”

Onvermijdelijke overstap

Het was voor ons spannend of dit een initiële ‘paniekreactie’ van klanten was of toch structureler van aard. Het bleek gelukkig het eerste want terugkijkend op 2020 hebben we alsnog veel mooie vacatures kunnen vervullen, evenals enkele uitgebreide co- en outsourcing trajecten mogen uitvoeren. Ook bleek de behoefte aan tijdelijke inhuur nog steeds daar, zij het wel in minder grote getale. Hierdoor bekroop mij de gedachte dat als er binnen de ARC-doelgroep, over de hele linie minder behoefte aan tijdelijke inhuur was – freelancers mogelijk interesse zouden hebben in een overstap naar loondienst. Immers, behoefte aan meer zekerheid in onzekere tijden leek me een goed voor te stellen overweging! Redelijk overtuigd van deze gedachte ben ik vervolgens het gesprek aangegaan met ons eigen freelance netwerk om mijn ‘gelijk’ te toetsen, enkele mooie vaste vacatures in de armslag ter bespreking.

Uitgaan van je eigen kracht, ook in onzekere tijden

Niets bleek minder waar en mijn aanname onterecht. En natuurlijk, het specialisme van de ARC-doelgroep speelt hierbij een grote rol. Daar blijft – ook in Corona tijd – vraag naar. Maar klanten worden wel kritischer en de markt verschuift van vraag- naar meer aanbodgestuurd. Echter, geen enkele freelancer waarmee ik hierover sprak bleek geïnteresseerd. Nee, men wilde ‘het even afwachten’, ‘was in gesprek met’ of ‘bezig met’. Want de vrijheid van eigen baas zijn ruil je niet zomaar in. Nee, je gaat je onderscheiden, zet door, netwerkt, bent gericht op samenwerken en vergroot je kennis met certificeringen of anderzijds. En pas als dat allemaal geen nieuwe opdracht oplevert, dan zou het misschien kunnen dat… Binnen ons eigen uitgebreide netwerk van interim professionals heeft slechts een enkele freelancer de overstap gemaakt naar een vaste baan.

Vrijheid versus vastigheid. Afgaan op je eigen kunnen, uitgaan van je eigen kracht, ook in onzekere tijden. Mooie les!

Wil jij altijd de nieuwste vacature en interim opdrachten in jouw mailbox ontvangen? We houden je graag op de hoogte! Schrijf je in voor de ARC Interimdesk.

Internal audit functies, groot of klein, willen aantoonbare kwaliteit leveren. Dé kwaliteit-lakmoesproef voor internal audit is de 5-jaarlijkse (vanuit het IIA verplichte) externe kwaliteitstoets tegen de IIA Standards. Waar het voor grote audit functies vaak al een flinke uitdaging is om te voldoen aan de kwaliteitsvereisten, is het dat voor kleinere internal audit functies zeker. Maar al te vaak komt het voor dat internal audit functies hoopvol de kwaliteitstoets ingaan, helaas soms met een negatief eindresultaat tot gevolg. 

“Waar het voor grote audit functies vaak al een flinke uitdaging is om te voldoen aan de kwaliteitsvereisten, is het dat voor kleinere internal audit functies zeker.”

Om dit te voorkomen, kiezen veel kleinere internal audit functies ervoor om de noodzakelijke kwaliteitsreviews te laten uitvoeren door een externe partij als co-sourcing partner. ARC People neemt dan de operationele review van bijvoorbeeld het (concept)audit plan, het dossier en het rapport op zich. Hiermee wordt kwaliteit geborgd tot in de operationele/dagelijkse processen van de internal audit functie. Ervaring leert dat dit essentieel is om gedurende het jaar compliant te werken aan de IIA Standards. ARC People is uiteraard geaccrediteerd door het IIA om kwaliteitstoetsingen uit te voeren, om zo de nodige kennis op het vlak van de IIA Standards in te kunnen brengen. 

Verder spreekt het voor zich dat de reviews uitgevoerd worden door ervaren, door de wol geverfde professionals, desgewenst op CAE level. Als laatste zorgen we dat de reviews op een geformaliseerde en gestandaardiseerde wijze plaatsvinden op vaste punten in het audit-proces én bijvoorbeeld tijdens het opstellen van het audit universe, audit jaarplan en het uitvoeren van de jaarlijkse QAIP (Quality Assessment & Improvement Program). 

IIA Standards compliance vereist maatwerk

Voldoen aan de IIA Standaarden betekent overigens niet dat iedere internal audit functie op dezelfde manier moet worden ingericht. De diversiteit aan organisaties is enorm, net als de wijze waarop internal audit functies zijn ingericht. Het voldoen aan de IIA vereisten betekent dus dat ook hier maatwerk is vereist en de nodige ervaring en inzicht op welke manier de naleving het meest efficiënt kan worden gerealiseerd. Al met al flink wat kwaliteitsvereisten, waar nieuwe en bestaande audit functies een behoorlijke klus aan hebben. Jezelf laten bijstaan door een professionele partij is eerder vanzelfsprekend dan optioneel.

Benieuwd wat we kunnen betekenen voor uw organisatie? Neem dan contact met mij op via carlo@arcpeople.nl of 06 400 50 555. Ik vertel je er graag meer over.

Lees hier ook het eerste deel van deze blogserie >

DNB heeft met ingang van 2021 een nieuwe data-gedreven en geautomatiseerde aanpak om doelmatig en gestructureerd toezicht te kunnen houden op pensioenfondsen: ATM (Actualisatie Toezicht Methodologie). Het is een aanpak om het toezicht dynamischer te maken, waardoor sneller ingespeeld kan worden op ontwikkelingen. 

Hoe werkt de DNB toezichtaanpak?

De pensioenfondsen worden ingedeeld in een impactklasse. Iedere impactklasse kent een eigen intensiteit van het toezicht. Bij de uitvoering van de toezichtstaken en derhalve ook bij de indeling van de impactklassen is proportionaliteit een belangrijk uitgangspunt. Ook complexiteit speelt een belangrijke rol.

Om prioriteiten te bepalen, worden op basis van informatieverzameling de risico’s bepaald. Door te werken met automatische scores en het afdwingen van onderbouwing bij afwijken van deze automatische scores, is het toezicht consistent en zijn onderlinge vergelijkingen mogelijk.

In een basisprogramma (BP) dat op alle pensioenfondsen van toepassing is, wordt een oordeel verkregen over het risicoprofiel (risiconiveau en -beheersing). Dit vormt het startpunt voor een eventuele verdieping in een risico-gebaseerd programma (RP).

Onderstaand een schematische weergave van het basisprogramma, dat op alle pensioenfondsen van toepassing zal zijn. Bij de aanpak wordt vanuit 5 risicogebieden, de beheersing van 17 risico’s beoordeeld. 

Wat betekent dit voor u?

Omdat het toezicht meer data-gedreven wordt, zullen ook de middelgrote en kleine fondsen de verantwoordingsrapportages over het financieel en organisatorisch ‘in control’ zijn, op orde moeten hebben, zodat bij de informatie-uitvraag van DNB, transparant en duidelijk inzicht kan worden gegeven in gevraagde data en beheersing van de risico’s. Voor een aantal pensioenfondsen betekent dit dat de kwaliteit van (risico)managementrapportages omhoog moet. Te denken valt onder meer aan een beter inzicht in de beheersing van strategische en niet financiële risico’s, waaronder IT.

Meer informatie kan worden verkregen in de DNB brochure: ATM, de vernieuwde toezichtaanpak.

Meer weten

Voor vragen over deze toezichtsaanpak, of andere vragen over pensioenfondsen kunt u terecht bij Marc van Heese.

Contact

Luisteren: de kern van het auditvak

Ongetwijfeld weet u dat het woord ‘audit’ is afgeleid van het Latijnse woord ‘audire’, dat staat voor ‘luisteren’. Het woord ‘auditor’ laat zich vervolgens letterlijk vertalen naar ‘toehoorder’ of ‘iemand die komt luisteren’. En logischerwijs is de auditee dan de ‘spreker’. Het mag duidelijk zijn: luisteren is de essentie van het auditvakgebied!

Assurance en het bijbehorende oordeel kan belemmeren

Tegelijkertijd wordt er nogal nadrukkelijk van de auditor gevraagd om een beoordeling te doen c.q. oordeel te vellen, in hoeverre de organisatie erin slaagt om de risico’s te beheersen. De internal auditor beoordeelt de kwaliteit van governance, risicomanagement en control. En juist het vellen van dat oordeel kan het echte luisteren in de weg staan. In het IIA AuditMagazine (Haakma en Stoelwinder, 2013) werden daarom al eens de volgende drie handreikingen voor effectief luisteren gedaan:

• Start het gesprek in volle aanwezigheid;
• Luister met een open, nieuwsgierige en waardevrije houding;
• Luister op basis van gelijkwaardigheid.

Luisteren is gelukkig te leren

Recentelijk trok een ander artikel mijn aandacht, met de titel ‘Luister dan! We luisteren steeds slechter, maar gelukkig kunnen we het leren’ (Beukers, 2020). Beukers interviewde Kate Murphy, die bijna twee jaar wetenschappelijk onderzoek deed naar luisteren. Hoopgevend vond ik de stelling van Murphy, dat luisteren te leren is. Volgens Murphy is het een vaardigheid, die wel heel veel oefening vraagt. Je wordt beter naarmate je het meer doet. Bij al dat oefenen is het van groot belang om niet alleen te letten op wat er wordt gezegd, maar ook hoe het gezegd wordt en je af te vragen waarom mensen iets vertellen.

Murphy pleit ook voor meer stiltes (“een stilte zonder ongemak is immers een teken van goede vriendschap”). Je mag ook uitspreken dat je even over iets moet nadenken, waardoor je laat merken dat je recht doet aan wat de ander zei.

Waarom is luisteren zo relevant?

Ik begon meer en meer te lezen over het thema luisteren. En in het weekend, bij een goed glas wijn, vroeg ik me af: waarom ben ik eigenlijk zo gegrepen door het begrip luisteren? Ik kreeg enkele verklaringen op een rijtje. Allereerst ben ik best kritisch op mijn eigen luistervaardigheid, maar ik merk wanneer het wél lukt om echt te luisteren, dat tot waardevolle inzichten en mooie verbindingen leidt. In aanvulling daarop kwam ik voor mezelf tot de volgende onderbouwingen van de relevantie van luisteren:

• In de huidige pandemie verschraalt het leven, met de beperktere mogelijkheden om elkaar te ontmoeten. We hebben minder mogelijkheden om naar elkaar te luisteren. Bij de spaarzame ontmoetingen (face-to-face, maar vooral online) is het belangrijk om door goed luisteren vast te stellen of het wel écht goed met de ander gaat.
• Net als het merendeel van de Nederlanders (Sociaal Cultureel Planbureau, 2019) heb ook ik het gevoel dat de polarisatie verder toeneemt. Ik lijk ook steeds meer geroep, geschreeuw en stellingnames om me heen te horen. Die vervolgens weer leiden tot nieuwe stellingen en reacties. Waardevrij luisteren wordt in een verder toenemende polarisatie steeds unieker c.q. meer onderscheidend.
• Psychologische veiligheid bevordert het werkplezier, stimuleert een open feedbackcultuur, draagt bij aan innovatie en aan de bevlogenheid van medewerkers. Maar in een tijd waarbij het voor vele organisaties draait om overleven, komt de psychologische veiligheid onder druk te staan. Specifiek voor auditors geldt: bij ontbrekende psychologische veiligheid (en vertrouwen), wordt er vanuit argwaan geen informatie gedeeld en overheersen angst en schaamte om betrouwbare informatie te delen met een luisterende collega.

Vinden we luisteren nog wel zo belangrijk?

Er zijn, zoals gezegd, niet alleen minder gelegenheden om überhaupt te kunnen luisteren. Ook zijn er steeds meer afleidingen die ons ervan afhouden. Alleen al de 3.000 (reclame)boodschappen die we per dag op ons afgevuurd krijgen, zorgen voor te veel prikkels om te kunnen verwerken met de hersenen. Of wat te denken van onze angsten en gewoonten, die maken dat we een digitaal scherm verkiezen boven een face-to-face gesprek, of waardoor we het sturen van een appje verkiezen boven een telefoongesprek.

We begeven ons graag op allerlei social media. Maar juist die social media versterken het verkondigen van stellingen en het vellen van een waardering of oordeel over die stelling, door een like of dislike. Ook lokken ze eigen, nieuwe stellingen als reactie uit.

Een andere interessante invalshoek is, om te kijken wat uw en mijn kinderen meekrijgen in hun opleidingen. Welnu, de opleiding van mijn zoon besteedt veel aandacht aan allerlei vaardigheden. Debatteren, pitchen en presenteren: ze komen allemaal ruimschoots langs. Maar luisteren? Dat deed me realiseren: recent is het competency framework voor Internal Auditors vernieuwd. Ik ging direct zoeken naar het woord luisteren, maar dat vond ik helaas niet terug. Wel werd er veel nadruk gelegd op het belang van advocacy (waarbij het in mijn beleving vooral draait om het ‘uitdragen’ van het belang van internal auditing) en stakeholder management.

Nog meer onderscheidend zijn door te luisteren

Luisteren is de kern van het auditvak. De relevantie van luisteren voor de beroepsgroep van auditors is dus hoog. De relevantie van luisteren lijkt zelfs toe te nemen. Als auditor kun je nog meer onderscheidend zijn wanneer je een goed luisteraar bent. De nadruk ligt in zijn algemeenheid namelijk meer op andere vaardigheden dan op luisteren. En allerlei factoren bemoeilijken het goede luisteren en de openheid van het delen van informatie. Het is me nog duidelijker geworden: luisteren is moeilijk, maar het is belangrijk en het is te leren en te verbeteren. De komende tijd ga ik verder werken aan mijn luistervaardigheden. Doet u met me mee? Samen kunnen we luisteren weer nieuw leven inroepen.

Binnenkort volgt er nog een blog over dit onderwerp. Wil je dit niet missen én op de hoogte blijven van ander nieuws op het gebied van audit, risk en compliance? Schrijf je dan hier in voor onze nieuwsbrief.

Sander van Oosten
Partner bij ARC People