De uitdaging voor traditioneel opgeleide auditors

Verbetergericht rapporteren

11 maart 2020 Ron de Korte
PDF
In dit artikel:

In 2013 mocht ik in het kader van het thema ‘effect-based auditen’ voor NOREA-vakbroeders een presentatie verzorgen over onze verbetergerichte audits. Het moest wat prikkelend zijn. Vandaar mijn presentatietitel: ‘Arrogantie verblindt. Of maakt slechtziendheid arrogant?’

Ik wilde aangeven welke onderzoeksvereisten en randvoorwaarden er zijn voor een verbetergerichte audit. Ondanks die prikkelende titel heb ik toentertijd veel toehoorders kunnen laten nadenken over nut en noodzaak van enkele ‘automatismen’ die in onze aanpak en soms ook in ons denken zijn geslopen. Mijn intentie is ook nu bij te dragen aan verbetering, door stil te staan bij wat de aard van het assurance-product kan doen met de relatie tussen de auditor en de auditee en hoe dit verschilt met de ideale situatie voor een verbetergerichte maatwerkaudit en -rapportage.

In deze bijdrage zal ik:

  • schetsen wat de twee werelden waarin auditors zich begeven kenmerkt aan de hand van het inmiddels breed bekende ‘kruis’ (zie hierna);
  • aangeven hoe het verantwoordelijk management assurancerapporten vaak beleeft;
  • de beleving van verbetergerichte maatwerkrapporten weergeven;
  • beschrijven welke stappen aanvullend nodig zijn om vanuit een assurance-audit alsnog een verbetergericht maatwerkrapport te kunnen maken.

Als laatste beschrijf ik enkele kenmerken en randvoorwaarden voor een verbetergericht maatwerkrapport door in te gaan op de structuur van en het taalgebruik in het rapport en de gewenste attitude van de auditor.

Het kruis

Met het ‘kruis’ (zie figuur 1), uitgebreid beschreven in ons boek: Management Control Auditing; bijdragen aan doelrealisatie en verbetering [BOS20], willen we aangeven dat auditproducten idealiter verschillen per gebruikersgroep.

Figuur 1: Het ‘kruis’

Vanuit de organisatie naar de buitenwereld ligt de verantwoordingsdoelstelling voor de hand. Auditrapporten moeten met name de mogelijkheid bieden organisaties en situaties te vergelijken. De assurance-eisen van IFAC zijn terecht van toepassing, gericht op het beperken van subjectieve invloeden en specifieke (sub)doelstellingen die de beoogde vergelijkbaarheid verder bemoeilijken. Het streven naar standaardisatie van auditaanpak en normering is daarbij logisch. De verantwoording richt zich nadrukkelijk op compliance en het voorspelbaar mitigeren van risico’s van onbetrouwbare verwerking en verantwoording. En omdat er geen opdrachtgever is bij wie je als auditor gemakkelijk te rade gaat, ontstaan auditproductdefinities, bij wet- en regelgeving passende interpretaties van auditors en vaktechnische standaardinterpretaties. De auditor wordt specialist in die interpretaties en normering en adviseert organisatieleden vanuit diezelfde op AO/IC gestoelde optiek.

Binnen de organisatie is het streven naar doelrealisatie dominant boven de beschreven verantwoordingsvereisten. Het management moet een balans vinden in de vele onderling wedijverende kritieke succesfactoren: Naast compliance en betrouwbaarheid vereisen onder meer flexibiliteit, efficiëntie, klant- en medewerkertevredenheid, leverbetrouwbaarheid en innovativiteit bijzondere aandacht, gegeven de organisatiedoelen en strategie. De ‘werkelijkheid’ van de manager is daarmee vele malen complexer dan hij kan lezen in de auditnormering van assurance-rapporten.

Dit verschil in complexiteit gecombineerd met de belangrijkste afnemer/opdrachtgever, komt in het kruis tot uitdrukking in de horizontale lijn: mono- tot multi-aspectmatigheid. Oftewel: richt het zich op een of meerdere van de eerdergenoemde kritieke succesfactoren (compliance, betrouwbaarheid, flexibiliteit, efficiëntie, klant- en medewerkertevredenheid, leverbetrouwbaarheid, innovativiteit, …)?

Bovenstaande leidt in extremen tot twee soorten audits: assurance-gericht (linksboven) en maatwerk (rechtsonder). De wat confronterende uitspraken linksonder en rechtsboven in de figuur geven aan dat auditrapporten die specifiek geschreven zijn voor lezers buiten respectievelijk binnen de organisatie, niet ‘zomaar’ aan de andere doelgroep kunnen worden gezonden, indien maximale effectiviteit van het auditrapport wordt nagestreefd. Een maatwerkauditrapport wordt door externen niet zomaar begrepen. En goed bedoelde inhoudelijke aanbevelingen in assurance-rapporten moeten eerst worden vertaald naar de veel complexere werkelijkheid van managers alvorens ze (ook) kunnen bijdragen aan doelrealisatie.

De beleving van assurance-rapporten

Toetsers krijgen door de aard van het werk en de ‘opgelegde’ relatie gemakkelijk een negatief imago in de ogen van de objectverantwoordelijken. Wanneer deze niet zelf om de audit hebben verzocht, wórden ze getoetst en is in de verdediging schieten de ‘natuurlijke’ reactie. Redenen waarom, ondanks alle goede bedoelingen, juist assurance-auditors gemakkelijk wat betweterig worden gevonden door auditees. Hiervoor zijn enkele redenen:

  • De vereiste onafhankelijkheid van de objectverantwoordelijke bij audits ten behoeve van derden maakt dat de auditor zelf de specifieke norm afleidt van algemeen geldende richtlijnen of ‘best practices’.
  • De gehanteerde normering moet algemeen toepasbaar zijn en het auditrapport goed vergelijkbaar met andere rapporten over eenzelfde auditobject. Het sluit daarom nooit helemaal aan bij de wens van het verantwoordelijk management.
  • Als specialist op het vlak van beheersing van een deelaspect als IT en werkend met ‘best practices’ opgesteld door vakbroeders, is het extra lastig voor assurance-auditors begrijpelijk Nederlands te blijven schrijven.
  • Met de kans op aansprakelijkstelling voor de effecten van de kwaliteit van de audit verjuridiseren de auditrapportageteksten ‘als vanzelf’.
  • Degenen die zich gedupeerd voelen door de auditrapportage mogen aankloppen bij de beroepsvereniging van diezelfde auditor (althans in hun beleving).

Deze elementen gecombineerd dragen bij aan een beleving van een auditrapportagetekst die ver van de eigen werkelijkheid blijft. Pogingen dergelijke teksten in ‘jip-en-janneketaal’ te schrijven juichen we van harte toe, maar maken in de weerbarstige praktijk waarschijnlijk weinig kans. Wel zien we ze graag in de taal van de lezer en dus zonder auditjargon.

Lees als voorbeeld de volgende goedbedoelde adviserende tekst door de bril van een IT-objectverantwoordelijke die jaarlijks moet ‘vechten’ voor voldoende budget.

‘Op basis van de door ons uitgevoerde auditwerkzaamheden komen wij tot de conclusie, dat alleen met behulp van een verscheidenheid aan adequaat werkende compenserende en veelal handmatige maatregelen [applicatie X] in opzet en bestaan kan voldoen aan de eisen die worden gesteld in het normenkader. In aanvulling daarop achten wij het om redenen van efficiëntie en effectiviteit noodzakelijk dat controlemaatregelen die momenteel procedureel moeten worden ingericht alsnog in een volgende versie van [applicatie X] als een geautomatiseerde controle (zoals in ons oorspronkelijke normenkader) worden opgenomen. We kunnen derhalve op basis van de in [periode] verrichte werkzaamheden geen assurance verlenen in het kader van [situatie Y].’

Wie gaat er bijvoorbeeld over de verhouding geprogrammeerde en ‘manuele’ beheersmaatregelen? Is dat niet mede afhankelijk van de gewenste wijze van (samen)werken op de afdeling? En van de vereiste flexibiliteit gerelateerd aan de volatiliteit van de benodigde procesondersteuning? Heeft de auditor dezelfde uitwerking van effectiviteit voor ogen als de auditee? En nog lastiger: van efficiëntie?

De beleving van verbetergerichte maatwerkrapporten

Verbetergerichte onderzoeken starten met het doorgronden van de redenen van de onderzoeksvraag. Als de auditor die redenen goed begrijpt kan worden geadviseerd over de precieze vraagstelling, de auditscope (het object en de auditoptiek), uitmondend in de normering voor de audit. De scope (inclusief optiek) moet aansluiten bij de complexiteit gegeven de doelstelling van en aanleiding voor de auditvraag. Ook moet worden nagedacht over het product dat de auditor hier het beste kan leveren. Vaak is een toetsend onderzoek niet het beste product bij de vraag van de opdrachtgever. Ook moet worden bepaald wie het beste kunnen bijdragen aan het product.

Omdat hier een opdrachtgever het initiatief heeft genomen en zich afhankelijk van de auditor opstelt, kan een ideale opdrachtgever-opdrachtnemer relatie ontstaan, mits de auditor:

  • zich geïnteresseerd in de opdrachtgever en voldoende volgend opstelt;
  • zich beperkt tot de exacte vraagstelling (dus of de uitkomst van een toets, of een advies, of de keuzemogelijkheden met voor- en nadelen et cetera.);
  • zich weet te verantwoorden over de kwaliteit van de uitgevoerde werkzaamheden;
  • wet- en regelgeving (waaronder die van zijn beroepsorganisatie) in acht neemt.

Wat betreft de regels van de beroepsorganisaties: daarover bestaan in de praktijk nogal wat misverstanden. De principle-based IIA-richtlijnen bieden internal IT-auditors ruim voldoende ruimte om verbetergericht te kunnen bijdragen aan de ondernemingsdoelstellingen. En ook NOREA biedt met Richtlijn 4401 en ‘Studierapport Adviesdiensten’ alle ruimte. Eventuele belemmeringen komen voort uit IFAC-interpretaties en de relatie met het werk linksboven in het beschreven kruis.

Rapporten van verbetergerichte maatwerkaudits kenmerken zich door hun aansluiting bij de specifieke aanleiding en vraagstelling van de audit. Omdat het onderzoek aansluit bij de maatwerkdoelstelling en de maatwerkoptiek, beleeft het management het onderzoek als direct relevant en positioneert de auditor zich naast het management, niet erboven.

Alsnog verbetergericht rapporteren na een op assurance-gerichte audit?

Het belang dat binnen NOREA wordt toegekend aan de assurance-gerichte onderzoeken, is terug te zien in de regelgeving en in de opleidingen tot IT-auditor. Een belangrijk percentage van de IT-auditwerkzaamheden worden direct of indirect verricht in opdracht van een externe accountant (linksboven in het kruis). Hoe zijn dergelijke IT-auditwerkzaamheden daarna alsnog bruikbaar te maken voor verbetergerichte auditrapportages? Oftewel: hoe vergroot je alsnog de directe relevantie voor het verantwoordelijk management?

We hebben naar mijn idee dan zeven stappen te gaan, zie figuur 2. Hierna volgt een toelichting bij vijf van deze stappen.

Allereerst is er tijd en dus geld nodig, want ook deze aanvullende auditwerkzaamheden vereisen deugdelijkheid. U kunt niet volstaan met het tekstueel omvormen van de bevindingen uit de assurance-rapportage in aanbevelingen, in de zin van ‘het herhalen van de norm’.

Figuur 2: De zeven stappen

Stap 1 is dus zorgen dat u voldoende mogelijkheden krijgt om uw aanvullende werkzaamheden kwalitatief goed te kunnen uitvoeren. Denk onder meer aan budget, ruimte in de agenda’s van de betrokkenen en de beschikking tot documentatie en bestanden. Idealiter heeft u ook gewerkt aan uw relatie met die betrokkenen. U moet zich immers in hun situatie kunnen inleven en zij mogen u leren kennen als iemand die met hen begaan is, naast dat ze erop vertrouwen dat u uw vak verstaat.

Stap 2 is het verrijken en organisatie-specifiek maken van de normering. Veel van de eerder gehanteerde normering zal nader moeten worden geconcretiseerd naar de specifieke situatie. U zult naast wet- en regelgeving en voorschriften van leveranciers ook kennis moeten nemen van interne regelgeving en beleid. U zult met interne functionarissen moeten onderzoeken welke ruimte er bestaat voor ‘verschillende wegen naar Rome’. Dit gegeven eerdergenoemde regelgeving, voorschriften en beleidskeuzes, maar mogelijk ook beloftes aan stakeholders. Onderdeel is ook de risk appetite of geaccepteerde faalkans van het betreffende IT-auditobject. Alleen zo komt u met het verantwoordelijk management tot een geaccepteerde hoogte van de lat en daarvan afgeleid tot uw verbetergerichte normenkader. Met verwijzing naar het kruis: uw werk wordt relevanter voor het management (lager op de y-as) en uw optiek verschuift naar rechts. Het moet specifieker en de gehanteerde KSF’en moeten als maatwerk onderling in balans worden gebracht.

Stap 3 is op basis van uw dossier van het verantwoordinggerichte onderzoek vaststellen welke werkzaamheden aanvullend nodig zijn. Dit, gezien de gewijzigde specifieke vraagstelling en wijzigingen in de optiek en dus uw normering. Het vereist ook een aanvullend technisch auditontwerp dat u aan uw interne opdrachtgever voorlegt met de vraag: ‘Als ik deze toetsingen tegen deze normering verricht, heeft u er dan vertrouwen in dat ik uw onzekerheden voldoende wegneem?’

Na een volmondig ‘ja’ volgt stap 4: de uitvoering en stap 5: de analyse. Daarvoor moet ik verwijzen naar het boek: ‘Management Control Auditing, bijdragen aan doelrealisatie en verbetering’ (2020). Hoog over zijn deze stappen vergelijkbaar met de meer traditionele IT-audit. Maar het boek beschrijft diverse maatwerkalternatieven. Voorts komen andere dan toetsende onderzoeken in aanmerking. In dit artikel over verbetergericht rapporteren mag de nadruk liggen op de stappen 6 en 7.

Stap 6 is de presentatie van de audit-uitkomsten en uw analyse aan de opdrachtgever en objectverantwoordelijken. Daarbij geeft u inzicht in uw afwegingen bij de analyse en moedigt u de verantwoordelijken aan tot een dialoog daarover. Met de aanvullende informatie uit de toetsing, de detaillering van de weerbarstige praktijk et cetera, moet ook de hoogte van de lat opnieuw door de opdrachtgever met de verantwoordelijken kunnen worden bepaald. U geeft immers inzicht in de feitelijke huidige situatie, dat tot op dat moment bij de opdrachtgever nog ontbrak. Deze nieuwe informatie kan leiden tot andere afwegingen over wat gewenst is.

Aanpassing van de hoogte van de lat op basis van de audituitkomsten is in een assurance-setting gericht op verantwoording natuurlijk ondenkbaar! Verbetergericht kan die hoogte mogelijk in de tijd op verschillend aspiratieniveau liggen. Maar natuurlijk nooit onder het door wet- & regelgeving vastgestelde niveau.

Dit is ook het moment om het management te faciliteren in het bepalen van aanvullende acties, het prioriteren en onderling verdelen ervan. Ook vindt hier het overleg plaats over de wijze van rapporteren, gericht op het optimaliseren van de motivatie om te komen tot verbeteracties. Naast een auditrapport (stap 7) is te denken aan een nadere presentatie aan belanghebbenden, facilitering van sessies gericht op oorzaakanalyse en actieplannen, een diagnostische audit (lees: toetsing van het daadwerkelijk bestaan van mogelijke oorzaken of onderliggende problemen) et cetera.

Stap 7 omvat het auditrapport als document, waarin naast de aanleiding, doel en vraagstelling van de audit, een nauwkeurige object-scoping inclusief de gehanteerde optiek te lezen is. Dit laatste kan worden gezien als de bril die de auditor heeft opgezet. Elke goede onderzoeker beseft immers dat de uitkomst afhankelijk is van de bril waardoor naar het object is gekeken én van de omstandigheden: op tien meter onder de zeespiegel zie je met je duikbril immers zelfs bij ideaal weer geen rood meer.

Over dit verbetergerichte auditrapport valt wel meer te zeggen. Ik beperk me in deze bijdrage tot de structuur, het taalgebruik en, heel belangrijk, de attitude van de auditor.

Het verbetergerichte auditrapport

Structuur

Op basis van de beschreven aanleiding of doelstelling van de audit en de achtergrond van de auditor, moet de lezer in de praktijk vaak maar zien te interpreteren welke bril de auditor heeft opgezet. Algemene verwijzingen naar managementmodellen zoals CobiT of CoSO geven de lezer slechts een globaal idee en het vereist dat de gedachten achter het model bekend zijn. In verbetergerichte auditrapporten vermelden we welke deelaspecten van het object met welke subdoelstelling zijn bekeken én wat de opdrachtgever daar mee moet kunnen doen. Het maakt als voorbeeld nogal wat uit of we een applicatie beoordelen op de juiste en volledige verwerking van invoer, of op de mate waarin het management de doorlooptijden denkt te kunnen terugbrengen.

De van managementletters bekende PROA-indeling (probleem, risico, oorzaak, aanbeveling) krijgt in auditrapporten vaak een inkleuring die afhangt van de auditor. In lijn met IIA-richtlijnen behoort elke uitkomst van een belangrijke vergelijking te worden gerapporteerd, niet alleen de afwijkingen (als probleem of bevinding). Bovendien vereist ook de gerapporteerde oorzaak adequaat onderzoek als u aanvullende zekerheid suggereert.

En gebruikt u de term risico als product van kans en effect? Of is het ‘slechts’ wat u bedacht heeft als ‘Wat kan er fout gaan’? Brand u niet zelfstandig aan een kans-inschatting. En u raadt het al: er is geen basis voor inhoudelijke aanbevelingen zonder:

  • voldoende zekerheid over de oorzaken (het zijn er bijna altijd meer),
  • concrete duiding van de effecten van het ontbreken van een beheersmaatregel,
  • een geobjectiveerde kans-inschatting of duiding van de beperkingen van uw onderzoek.

In verbetergerichte auditrapporten is geen ruimte voor ‘aanbevelingen’ die slechts herhalen wat ontbreekt ten opzichte van de normering. En natuurlijk, als u als IT-auditor alleen zou rapporteren welke parameters ten onrechte uit staan, past een overzicht van de parameters die conform de eisen moeten worden ingesteld. Maar zou u die bij nader inzien aanbevelingen noemen?

Procedure-aanbevelingen beschrijven wat u zou gaan doen wanneer u op de stoel van de opdrachtgever zou zitten. Die zijn prima en vaak zinvol mits u de moeite heeft genomen te voelen hoe ongemakkelijk die opdrachtgeverstoel zit. Oftewel: alleen als u een voldoende beeld heeft van diens complexe werkelijkheid!

Auditors die zich realiseren hoe complex een maatwerksituatie is, zullen zich niet willen branden aan de effecten van hun beperkte kennis van de complexe situatie en van de beperkte beschikbare tijd en budget voor de toetsing. En terecht!

Een tweede structuurkeuze bestaat uit de elementen die veelal in matrixvorm zijn opgenomen (zie figuur 3).

Figuur 3: Gangbare rapportage-elementen

Los van dat het oordeel in een dergelijke matrix vaak beter conclusie kan heten, suggereert het dat elke afwijking van de norm moet worden gevolgd door een aanbeveling. Reviews laten zien dat het door onervaren auditors de matrix zo interpreteren, waardoor de druk om alle vakjes te vullen gemakkelijk leidt tot ondoordachte tekstjes. Veelal ontbreekt het nog aan inzicht in de omvang van het probleem, de complexiteit, de kosten en haalbaarheid van de benodigde verbetering et cetera. In een organisatie met een ‘stevige’ leiderschapsstijl staat die tekst desondanks gemakkelijk op actie-opvolgingslijsten en worden ze meegenomen in kwartaal-updates en follow-up audits. Wanneer de auditor in die omgeving ook nog gevolg geeft aan het verzoek gebruik te maken van stoplicht-iconen is elke balans in het rapport zoek. De rode kleur werkt op de manager net als op de spreekwoordelijke stier. Gevolg is al snel dat er geen aandacht meer is voor wat wél is bereikt in die complexe werkelijkheid, met veelal onvoldoende middelen om alle beloften te kunnen waarmaken. Als auditor ben je minimaal medeverantwoordelijk voor de invloed van je teksten!

In verbetergerichte audits zou een dergelijke matrix er beter kunnen uitzien als weergegeven in figuur 4:

Figuur 4: Rapportage-elementen van een verbetergericht rapport

Een verwachting van de auditor, die zo concreet als nog efficiënt mogelijk is uitgeschreven, is gebaseerd op interne en externe regelgeving en de beheersmatige voorkeuren van de opdrachtgever en de objectverantwoordelijke. Het is de basis voor een vergelijking met de werkelijkheid. Eventuele verschillen worden geanalyseerd op hun effecten en worden eventueel voorzien van een conclusie. Vervolgens kan de auditor een sessie organiseren waarin de uitkomsten en effecten worden besproken. Gefaciliteerd door de auditor worden die effecten door de verantwoordelijken gewogen, acties voorgesteld en geprioriteerd. Voor de rapportage betekent dit een apart hoofdstuk waarin de auditor beschrijft wat de uitkomsten van genoemde sessie waren in de vorm van voorgenomen en geprioriteerde acties van het verantwoordelijk management. Dit hoofdstuk vervangt daarmee in het geheel de goedbedoelde inhoudelijke aanbevelingen en veel van de procedurele.

Naar mijn stellige overtuiging is het bovendien belangrijk dat alle managers in de hele managementhiërarchie zelf de acties monitoren en erover rapporteren. De follow-up-verantwoordelijkheid van de auditor is gericht op diens eigen leervermogen en op de vaststelling dat het management blijft monitoren en met regelmaat nagaat of de eerder bedachte acties nog opportuun en de best passende zijn. Elke nadere bemoeienis van de auditor is gebaseerd op intrinsieke interesse of gebaseerd op een vervolgopdracht. Bij verbetergericht passen opdrachten zoals onderzoek waarom de verbeteracties nog te weinig effectief zijn of onderzoek naar de oorzaak van de overgebleven probleemsignalen.

Taalgebruik

Een gouden rapportageregel is: schrijf in de taal van de lezer. In de verbetergerichte voorbeeldmatrix was om die reden ‘norm’ vervangen door ‘verwachting’ en ook in PROA de R van ‘risico’ vervangen door ‘effecten’. Maar naast taalgebruik heeft dit natuurlijk alles te maken met verantwoordelijkheden en vereisten van goed onderzoek doen.

Veel in accountancy- en IT-auditing opgeleide auditors redeneren ‘als vanzelf’ vanuit opzet-bestaan-werking. Op de eenvoudige vraag: ‘wat is de opzet van een proces?’, volgt vaak pas na enige tijd het antwoord: de procesbeschrijving. En de vervolgvraag: wat als die er niet is?

Goed onderzoek en begrijpelijk rapporteren voor de lezer betekent: gebruik geen jargon en geef precies aan wat je onderzoekt. In dit voorbeeld is er sprake van twee onderzoeken:

  1. Naar de procesbeschrijving om vast te stellen dat deze als basis voor de normering van de procesaudit kan dienen.
  2. Naar de beheersing van het proces met een normering die gebaseerd is op de procesbeschrijving d.d. […].

En natuurlijk is opzet-bestaan-werking slechts een van de mogelijke onderzoeksmethoden naar een adequate procesbeheersing (namelijk een top-down variant, deductief).

Oké: geen jargon meer. Maar de president van het IIA-inc, Richard Chambers, daagt ons in zijn boek ‘Trusted Advisors; Key Attributes of Outstanding Internal Auditor’ uit ook de woorden ‘Failed’, ‘Inadequate’, ‘Ineffective’, ‘We found’ en ‘It appears’ niet meer te gebruiken!1

In hoofdlijnen schrijft Chambers:

On communication it is about the right tone, active listening, and delivery of the message – whether verbal or written. When communicating avoid the following five words: Failed, Inadequate, Ineffective, ‘We found’ and ‘It appears’.Six characteristics are critical to building a relationship with the customer:

  1. Positive Intent. Trusted advisors demonstrate a positive intent that makes it clear that he or she isn’t set on being right but is set on finding the right answer.
  2. DiplomacyTrusted advisors are adept in direct, forthright communication (including listening) skills, political astuteness, and sensitivity to the organization’s culture and how things get done.
  3. Prescience. Trusted advisors can ‘see around corners.’ They anticipate the needs of clients before the needs are even evident, and they identify issues before they arise.
  4. Trustworthiness. Trusted Advisors walk the talk, keep confidences, operate with integrity, and are obsessive about maintaining credibility with clients.
  5. Leadership. Trusted advisors often set the tone for the entire internal audit staff.
  6. Empathy. Trusted advisors understand and focus on each stakeholder’s point of view, and they are sensitive to those needs and feelings.

In de lijst met bronnen en citaten in het boek van Chambers kom ik grote namen tegen zoals Stephan R. Covey en zelfs Socrates, maar bijvoorbeeld David H. Maister kom ik ten onrechte niet tegen. Maister redeneert niet vanuit de oordelende auditor, maar vanuit een ‘expert advisor’. Toch ontlopen de kenmerken van die expert de kenmerken van veel traditionele assurance-auditors niet veel (zie figuur 5).

Figuur 5: Expert or Advisor? [MAIS00]

Goal is to be right. Solves problems, decides and is in charge. De basis voor een potentieel arrogant imago?

Versus: Goal is to help. Helps clients make own decisions. Teams with client throughout the process.

Taalgebruik is daarbij zeer bepalend voor hoe de auditor overkomt en daarmee of het management geïnteresseerd is in wat de auditor te vertellen heeft. Verbeteren vereist willen leren. Willen leren begint met willen luisteren. Maar dat gebeurt alleen als de auditor zelf ook luistert en open staat voor dialoog. Dit vereist vaak een attitudeverandering van de auditor omdat ons taalgebruik is mede het gevolg is van onze attitude.

Attitude

Maister hanteert nagenoeg dezelfde opsommingen voor zijn trusted advisor als Chambers [CHAM17] ). Bijvoorbeeld in ‘The 5-step Trust Building Process’ (zie figuur 6). [MAIS00]

Figuur 6: The 5-step Trust Building Process

Zowel Chambers als Maister redeneren vanuit de klant. Maar bedoelen ze dezelfde klant? Chambers lijkt de trusted advisor-rol te relateren aan non-assurance producten oftewel de consulting activities of advisory services – door Urton L. Anserson eenvoudigweg de ‘twee-partijen-situatie’ genoemd. [ANDE17] Dat past bij Maister’s trusted advisor omdat die adviseur zich volledig richt op de verantwoordelijk manager. Maar lees opnieuw de zesde characteristic van Chambers: ‘Empathy: trusted advisors understand and focus on each stakeholder’s point of view, and they are sensitive to those needs and feelings’. Chambers lijkt daarmee ook een trusted advisor te willen worden voor bijvoorbeeld aandeelhouders, klanten, leveranciers en medewerkers. Die mensen zal hij mogelijk niet eens persoonlijk ontmoeten, laat staan dat zorgvuldig een vertrouwensrelatie zal worden opgebouwd, zoals Maister eist.

Voor verbetergericht rapporteren betekent dit dat we moeten overwegen voor elk type stakeholder een separate maatwerktekst te schrijven. Willen we hen binnen hun verantwoordelijkheid tot eigen acties laten komen, dan moet die tekst hen motiveren om vanuit die eigen verantwoordelijkheid zelf na te denken over hun eigen bijdragen aan de vereiste acties. In veel situaties zal dat te veel gevraagd zijn. Juist door de gemakkelijk verschillende gezichtspunten van de verschillende stakeholders, zult u de behoefte voelen u als auditor vrij autonoom op te stellen en u vooral zorgen maken over een mogelijke schijn van afhankelijkheid. (zie figuur 5).

Maar niets staat ons in de weg om te starten bij onze opdrachtgever. Onze verbetergerichte attitude moet voorkomen dat we slechts onderzoeken en rapporteren wat diens ondergeschikten zouden moeten doen maar nu nalaten. Ook onze opdrachtgever heeft daarin een belangrijke rol en verantwoordelijkheid. Overtuig de opdrachtgever dat diens eigen rol idealiter onderdeel van de object-scope is. Maister’s rol als Advisor is het meest herkenbaar in de fase waarin de auditor deze manager adviseert tijdens het opdrachtgeversgesprek. We noemen het in ons boek: ‘advies aan de voorkant’. [BOS20] Alle elementen van de (Trusted) Advisor zijn in deze fase aan de orde.

Natuurlijk moeten de randvoorwaarden passen bij bovenstaande situatie. Zo moet het auditteam aan de beroepskwaliteit-principes kunnen voldoen. Wat mij betreft moeten de kwaliteitseisen voor het ontwerp en de uitvoering van maatwerkaudits worden aangescherpt. Ook kan er bijvoorbeeld veel veranderen aan de standaard rapportagerichtlijnen in veel auditcharters. Altijd alle auditrapporten naar het Auditcommittee, de SG, de externe accountant et cetera sturen, past niet bij de Trusted Advisor-rol. Er moet minimaal ruimte zijn af te wijken als dit de effectiviteit ten goede komt. Mogelijk past het bij Chambers’ Trustworthiness; het past zeker bij Maister’s concrete aandachtspunten gericht op ‘Managing expectations’. De voor ons meest relevante van de in totaal elf punten zijn:

  • ‘Agree on methods and frequency of communicating’.
  • ‘Decide who should get which reports’.
  • ‘Agree how often a report should be delivered’.
  • ‘Agree how many reports will get used’.
  • ‘Agree what milestones and progress reviews are needed’.

Tot slot

Er komt nogal wat bij kijken om de uitkomsten van een op verantwoording gerichte audit (assurance) geschikt te maken voor een op verandering gerichte maatwerkaudit. Maar het is zeker mogelijk en zal de effectiviteit én het imago van de auditor sterk verbeteren.

Literatuur

[ANDE17] Urton L. Anserson, ‘Internal Auditing; Assurance & Advisory services’ (4th edition). The Internal Audit Foundation, 2017).
[BOS20] Management Control Auditing; Bijdragen aan doelrealisatie en verbetering, Peter Bos, Ron de korte, Jan Otten, uitg. Stichting Auditing.nl, tweede druk 2020, verkrijgbaar via http://www.auditing.nl/boekwinkel/.

[CHAM17] Trusted Advisors: Key Attributes of Outstanding Internal Auditors Kindle Edition, Richard F. Chambers, 2017.

[MAIS00] The 5-step Trust Building Process, Maister, Green, Galford, The Trusted Advisor, Free Press, 2000.

Noot

1 Aangehaald in een tekstkader in hoofdstuk 15 van [ANDE17]

Geen categorie

R. (Ron) de Korte RA RE RO CIA | partner bij ACS Partners te Doorn

Ron de Korte begeleidt tweede- en derdelijns afdelingen in hun professionalisering, bijvoorbeeld door training in en ondersteuning van audits/onderzoeken en het verstevigen van de onderzoeks-, rapportage en adviesvaardigheden. Vanuit Stichting Auditing.nl verzorgt hij de nieuwe opleiding tot Qualified Management Control Auditor (QMCA).