7.1 Inleiding
Dit hoofdstuk geeft antwoord op de vraag of acties noodzakelijk zijn om de werkzaamheden van de Internal Audit Functie (IAF) aan te sluiten op de verwachtingen van de
proceseigenaren. (onderzoeksvraag 6) Ik kom op basis van mijn conclusie uit het vorige hoofdstuk tot enkele aanbevelingen met betrekking tot de dimensies ‘Rol, taken en
aandachtsgebieden’ en ‘Professional practices’. Refererend naar het framework van Derek Abell is dit de fase van ‘How are needs satisfied?’
7.2 How are needs satisfied?
Uit de verschillen die uit het onderzoek naar voren komen, maak ik op dat deze worden veroorzaakt door een verstoring in de communicatie. In dit onderzoek uitte zich dit in het feit dat de doelstelling, scope en reikwijdte niet altijd goed overkwamen bij de proceseigenaar. Daarnaast lijkt er een vorm van ondersteuning te onderbreken bij het inventariseren van risico’s en bijbehorende beheersmaatregelen die als een toegevoegde waarde kan worden gezien voor de proceseigenaar. Ook dit kan gelieerd worden aan communicatie waarbij de IAF al in een eerder stadium, meer proactief, de proceseigenaar informeert en ondersteunt met deze mogelijkheid. In dit hoofdstuk zijn de aanbevelingen uit de twee dimensies geplaatst in één van de stappen uit het zes-stappenplan.
Figuur 19: Zes-stappenplan voor een operational audit.
Het zes-stappenplan geeft een goed inzicht per auditfase hoe de betreffende twee dimensies kunnen worden verbeterd. Hierdoor verwacht ik dat het verwachtingspatroon beter zal aansluiten op de werkzaamheden, maar indien het verwachtingspatroon afwijkt, kan hier tijdig op worden ingespeeld. De verbetering van de uitkomsten bij de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional practices’ ligt aan de basis van een audit. Deze basis wordt gelegd in de planningsfase en verder in detail uitgewerkt in het vooronderzoek. Op basis van de conclusies worden hieronder aanbevelingen gedaan om de verwachtingen tussen de IAF en de proceseigenaar beter op elkaar aan te laten sluiten.
Aanbeveling 1 (planning): Maak ruimte beschikbaar in de planning voor Control Self- Assessments.
Een belangrijk onderdeel voor een jaarplan vormt de risicoanalyse. Input voor de risicoanalyse kunnen de uitkomsten van een Control Self-Assessment (CSA) zijn. Om interne auditors hiervoor kennis op te laten doen bestaat het Certificaat in Control Self- Assessment (CCSA) vanuit het IIA. Voor de IAF kan de CSA op verschillende wijzen worden gefaciliteerd. Workshops zijn de meest populaire en effectieve, maar ook de meest tijdrovende. Bij workshops verzamelen teams risico- en controle-informatie waarbij de teams meerdere niveaus van een organisatie vertegenwoordigen. De tweede, en minder intensieve vorm, is het opstellen van een vragenlijst. Deze vragenlijst helpt bij het bepalen van de controle-environment, maar de resultaten zijn minder betrouwbaar door mogelijke
interpretatieverschillen. Proceseigenaren maken gebruik van de resultaten van de enquête om hun controle structuur te beoordelen. Mede op basis van de input vanuit de CSA’s kan een duidelijke planning worden afgestemd met de proceseigenaren. Hierbij is speciaal aandacht voor het af te stemmen jaarplan omdat de IAF hiermee aangeeft wat het komende jaar de aandachtgebieden zijn en waarom.
Aanbeveling 2 (planning): Stel een auditovereenkomst op met de proceseigenaar.
Het probleem is vaak dat door de grootte van een jaarplan doelen veelal niet SMART geformuleerd worden waardoor er ook geen prestatie indicatoren zijn gekoppeld aan het interne auditproces. Daardoor kan de toegevoegde waarde van het interne auditproces ook niet worden aangetoond. Een oplossing is het opstellen van een auditovereenkomst die met de proceseigenaren wordt afgestemd. In deze overeenkomst kan bijvoorbeeld worden vermeld welke inspanning van de betrokken proceseigenaren verwacht wordt en wat deze er voor terugkrijgen. In een dergelijke overeenkomst dient dan bijvoorbeeld ook duidelijk te worden gemaakt wat voor inspanningen kunnen verwacht bij werkzaamheden vanuit Interne Controle en de werkzaamheden vanuit Interne Audit. Hierbij kunnen de doelstellingen worden gespecificeerd. Ook kan gedacht worden aan een meer specifieke detail planning waarin onderwerp, datum, auditteam, proceseigenaar, geschatte tijdsbesteding en locatie benoemd zijn.
Aanbeveling 3 (vooronderzoek): Vervang auditterminologie voor begrippen die beter aansluiten bij de belevingswereld van de proceseigenaar.
Het overeenkomen van de afspraken over de te leveren diensten, de scope en het onderwerp van onderzoek zijn zaken die die helder moeten worden tijdens het vooronderzoek. De resultante van het vooronderzoek is een auditbrief of opdrachtbrief waarmee het voor de proceseigenaar duidelijk moet zijn wat de werkzaamheden inhouden en welk normenkader daartegenaan gehouden wordt. Dit houdt niet alleen in dat het moet voldoen aan de principes van SMART, maar ook moet geprobeerd worden vakjargon te verminderen. Het is op zich een niet al te grote ingreep door bepaalde termen te vervangen door begrijpelijke taal voor de doelgroep waar de IAF zijn werkzaamheden uitvoert. Voor de auditmethodologie is het namelijk niet van belang of de termen normenkader, controls, aandachtspunten, beheersmaatregelen altijd expliciet gebruikt worden gedurende de fases van een audit. Als er overeenstemming is tussen de proceseigenaar en de auditor worden er ook geen verwachtingen geschept die niet waargemaakt kunnen worden. Dit klinkt op zich simpel, maar het probleem dat hier speelt is dat interne auditors denken dat ze begrijpelijke taal neerzetten, maar dat dit voor een buitenstaander toch niet altijd wordt begrepen. Aangezien uniformiteit ook van belang is en dus maatwerk per proceseigenaar niet wenselijk is lijkt het me verstandig om binnen de organisatie sessies te beleggen met zowel audit als de proceseigenaren. Deze sessies kunnen eventueel begeleid door een extern bureau gespecialiseerd op het gebied van communicatie om zo toch tot een uniforme terminologie te komen waarbij zowel de IAF als de proceseigenaar zich goed bij voelt.