6.1 Inleiding
Het doel van dit hoofdstuk is vast te stellen of de huidige geleverde diensten van de Internal Audit Functie (IAF) bij middelgrote tot grote banken/verzekeraars in Nederland aansluiten bij de verwachtingen van de proceseigenaar. Dit betreft onderzoeksvraag 5 en deze geeft antwoord op mijn probleemstelling. Hierbij zijn de resultaten vanuit de interviews en de surveys onderling en met de huidige wet- en regelgeving vergeleken om de overeenkomsten en/of verschillen zichtbaar te maken. Ik heb vastgesteld of eventuele verschillen tussen proceseigenaar en de IAF bij banken en verzekeraars worden veroorzaakt omdat theorie niet overeenkomt met praktijk of dat praktijk niet wordt uitgevoerd conform de theorie. Hierbij wil ik vaststellen of er signalen zijn die een indicatie zijn voor een verwachtingskloof.
6.2 Verschil in verwachtingen
Na elke beantwoording van een onderzoeksvraag is een score per dimensie toegekend van 1 tot en met 5. Door deze scores onderling te vergelijken probeer ik te achterhalen of er sprake is van een verschil in verwachtingen. Het verschil tussen hetgeen de proceseigenaar verwacht en wat de auditor levert wordt aangeduid met de term ‘verwachtingskloof’.
6.2.1 Onderzoeken in het verleden
In het verleden zijn onderzoeken verricht op het kunnen vaststellen van het bestaan en – zo ja – het type verwachtingskloof. Bekende onderzoeken zijn die van:
• ‘An empirical study of the audit expectation-performance gap’, 1993, Porter
• ‘Accountants en verwachtingskloof: een onderzoek onder vakbonden’, 2002, Hassink
• ‘SAS70 en de verwachtingskloof: een onderzoek onder pensioenfonds-bestuurders’, 2012, Piepot
Hoewel deze onderzoeken en de theorie daarvoor gericht zijn op de externe accountancy,
zijn deze ook te projecteren op die van de IAF. De kloof is onder te verdelen in de volgende
soorten:
6.2.2.a Perceptiekloof
Dit type verwachtingskloof manifesteert zich indien respondenten van mening zijn dat IAF de taken, die zij conform bestaande wet- en regelgeving dienen uit te voeren, niet naar verwachting van de respondenten uitvoeren.
6.2.2.b Prestatiekloof
Dit type verwachtingskloof manifesteert zich indien respondenten verwachten dat IAF bepaalde taken uitvoeren, die ook mogelijk zouden zijn voor IAF om uit te voeren, echter conform vigerende wet- en regelgeving niet tot het reguliere takenpakket van IAF behoren.
6.2.2.c Communicatiekloof
Dit type verwachtingskloof manifesteert zich indien respondenten verwachten dat IAF bepaalde taken uitvoeren, die geheel niet door de IAF zijn waar te maken.
6.3 Vergelijking resultaten onderzoeksvragen
De onderzoekvragen concluderen dat op basis van het Internal Audit Maturity Model (CIAMM), het volwassenheidsniveau bij de onderzochte organisaties op niveau 4 staat. In alle gevallen zou dit wijzen op een niveau dat aangeeft dat de IAF is geïntegreerd in het beheerskader van de organisatie.
Op basis hiervan kan echter niet gesteld worden dat er geen verschil in verwachtingen is. Dit gezien het feit dat de score is opgebouwd uit het gemiddelde van de resultaten van alle dimensies. Om inzicht te verkrijgen in een verschil in verwachtingen zijn daarom de resultaten per dimensie per onderzoeksvraag onderling vergeleken.
Dim ensie 1-2 1-3 2-3
Rol, taken en aandachtsgebieden 0 0 0
Personeel 1 1 0 Professional practices 2 2 0 Prestatiemanagement en accountability 1 1 0 Relatiemanagement en cultuur -1 -1 0 Governancestructuur 0 0 0 Onderzoeksvraag
Figuur 17: Verschillen per dimensie per onderzoeksvraag
Op basis van deze resultaten stel ik dat er een verschil in verwachtingen is met betrekking tot de ‘Professional practices’. Op basis van een schaal van 1 t/m 5 is een verschil van 2 groot. Daarnaast scoort de dimensie ‘Rol, taken en aandachtsgebieden’ onderling dan wel gelijk, maar betreft deze score alle drie de invalshoeken een 3 van de 5.
6.3.1 Professional practices
Uit de scores blijkt deze dimensie lager te scoren bij zowel de interviews en surveys in vergelijking met de theorie. Dit kan wijzen op een verschil in verwachtingen. Beide oorzaken kunnen een verband met elkaar hebben omdat het iets zegt over de inrichting van de werkzaamheden. Dat bij de interviews naar voren kwam dat het ‘Three Lines of Defence model’ niet altijd optimaal werkt, is mogelijk het gevolg van de grootte van de auditafdeling. Afhankelijk van de structuur en omvang is ruimte voor specialisatie en kan naast de traditionele taken ook meer aandacht worden geschonken aan de meer hedendaagse taken zoals beschreven in paragraaf 4.4. Hierdoor kan het voor de proceseigenaar niet altijd duidelijk zijn wat de IAF functie precies inhoudt binnen zijn organisatie. Uit de surveys kwam namelijk naar voren dat afspraken over de te leveren diensten, de scope en het onderwerp van onderzoek niet altijd duidelijk waren of anders geïnterpreteerd waren door de proceseigenaar. Op basis van ‘Three Lines of Defence model’ kunnen Interne Controle en Interne Audit in de aanpak verschillen. Een echte Interne Controle functie heeft een ander doel dan een IAF. Waarbij Interne Controle meer in dienst werkt van de business zelf, voert de IAF zijn werkzaamheden uit in dienst van de RvB en het AC.
Hier lijkt dan ook sprake van een mogelijke verstoring van de communicatie. Wat interne auditors doen wordt niet altijd goed begrepen, wat je met de resultaten van hun werk kunt, evenmin. Laswell (1948/1971) beschreef communicatie als ‘who says what through what channels to whom and with what impact’. Shannon & Weaver (1949) droegen flink bij door onderstaand model te ontwikkelen (C.W. Downs, A.D. Adrian,2004):
Figuur 18: Shannon–Weaver model of communication
Terminologie is vaak een oorzaak voor communicatiestoornissen tijdens of voorafgaand een onderzoek. Termen die voor een interne auditor heel begrijpelijk en duidelijk zijn, zijn dit voor buitenstaanders niet. Het ‘vakjargon’ dat wordt losgelaten op de ‘leken’ is niet altijd noodzakelijk. (Drs. W. Polder, 2009 - auditing.nl). Dit alles heeft onder andere te maken met de complexiteit van de materie, maar zeker ook met het wezen van de interne auditor: de
meer dan gemiddeld slimme man of vrouw die nieuwsgierig is, analytisch vaardig, precies werkt volgens vastomlijnde kaders en sterk inhoudelijk is gericht. (Kouters en van der Meer, 2012).
6.3.1 Rol, taken en aandachtsgebieden
Vanuit zowel de theorie, interviews en surveys kom ik op deze dimensie lager uit. In principe zou ik op basis van deze score geen verschil in verwachtingen tussen de drie invalshoeken veronderstellen. Doordat echter de definitie van de IIA mogelijk verwachtingen schept die hoger liggen dan dat de IAF waar kan maken, zou dit de uitkomsten van de andere invalshoeken kunnen versterken. Doordat uit de interviews naar voren kwam dat de meeste geïnterviewde IAF’s hun toegevoegde waarde zien bij een proactieve houding en dan met name in de vorm van participatie bij projecten bestaat naar mijn idee het risico dat de IAF zichzelf in een situatie brengt waarbij de proceseigenaar meer zekerheid verwacht dan IAF kan geven over belangrijke projecten.
Anderzijds zie je dat op basis van de surveys de uitkomsten de indruk wekken dat onder andere het doel van een onderzoek onvoldoende helder is voor de proceseigenaar. Dit zou naar mijn idee kunnen worden verbeterd door het begeleiden en ondersteunen bij de uitgangspunten van risico’s en beheersmaatregelen. Hierbij kan bijvoorbeeld de Control Self- Assessment (CSA) een goed hulpmiddel zijn waaruit de IAF meteen ook zijn voordeel kan halen voor zijn risicoanalyses. De meeste geïnterviewden gaven aan dat dit wel een taak is die door de IAF zou kunnen worden uitgevoerd, maar binnen hun organisatie zagen ze daar een beperkte rol voor weggelegd. Ik ben het hier niet mee eens en vind dat wij daar als IAF nog te weinig de voordelen van inzien. De CSA wordt nog vaak als een managementtool benaderd en niet als een audittool. Dit terwijl je hier van toegevoegde waarde kan zijn. Een CSA vergroot traditionele interne audit activiteiten door het verstrekken van een bredere dekking van de controles en stelt het management beter in staat om risico's te beheersen en te voldoen aan hun verantwoordelijkheden door het verbeteren van de kwantiteit en kwaliteit van de beschikbare informatie.
Een CSA zorgt er voor dat interne auditors en de business samenwerken om risico's te identificeren en hierdoor de efficiëntie en effectiviteit van de interne controles te beoordelen. Daarnaast hebben werknemers over het algemeen een grondiger inzicht in de processen van de organisatie dan een interne auditor kan hebben in een korte periode waardoor de kwaliteit van de informatie wordt verbeterd. Doordat je zowel de medewerkers en het management betrekt heb je een betere overeenstemming over de mogelijke risico’s en is het duidelijk waarom een bepaald object de aandacht heeft. Refererend aan de definitie van het IIA wordt gesteld dat de IAF de organisatie helpt haar doelstellingen te realiseren door de effectiviteit van de processen van risicomanagement en beheersing te evalueren en te verbeteren. Als je ook kijkt naar de Internal auditing’s role in ERM (waaier) van het IPPF staan bij ‘legitimate internal audit roles with safeguards’ de rollen ‘coaching management in responding to risk’ en ‘coordinating ERM activities’ vermeld. Onder beiden zou je een CSA kunnen verstaan.
6.5 Conclusie
De door de IAF geleverde diensten bij middelgrote tot grote banken/verzekeraars sluiten grotendeels aan bij de verwachtingen van de proceseigenaar. Hoewel er verschillen in verwachtingen zijn waar te nemen, zijn op basis van de terugkoppeling vanuit de interviews en de surveys geen signalen die op een verwachtingskloof duiden. Dit zou op basis van de resultaten te voorbarig zijn. Een kloof impliceert namelijk dat er een ernstige discrepantie is tussen wat audit uitdraagt en aanbiedt en hetgeen dat wordt gewenst. Op basis van dit verkennende kwalitatieve onderzoek kan dit niet gesteld worden. Wat wel gesteld kan worden, is dat er verschillen zijn waar te nemen tussen de belevingswereld van interne auditors en proceseigenaren.
Bij de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional practices’ zie ik hier kansen voor de IAF. Met name bij de laatste kan het rendement van de IAF omhoog door meer aandacht te besteden aan klantgerichtheid en communicatie. Deze spelen naast de vaktechnische expertise een belangrijke rol in de fasen van een audit: planning, vooronderzoek, veldwerk, rapportage, evaluatie en follow up. De middelen die hierbij worden gehanteerd zijn belangrijk voor de IAF om te zorgen dat een verwachtingskloof vermeden wordt. Op basis van hiervan kan zowel een prestatiekloof als een communicatiekloof worden vermeden.