De Rabobank audit

Reeds meerdere malen is aan de orde geweest dat een audit normaliter een aantal fasen doorloopt. Dit blijkt bij de audit zoals de Rabobank deze uitvoert niet anders te zijn. Schematisch kan zo'n "Rabo" audit worden weergegeven volgens figuur 5.1 op pagina 36. Uit deze schematische weergave blijkt dat de uitvoering van interne audits door de Rabobank wordt onderverdeeld in een zogenaamd opdrachtoverstijgend deel en een opdrachtspecifiek deel. Het opdrachtoverstijgende deel van de uitvoering bestaat enerzijds uit het managen van de interne auditactiviteiten en anderzijds uit werkzaamheden die ten dienste staan van of voortvloeien uit alle audits gezamenlijk. Managen gebeurt bijvoorbeeld door een overall opdrachtplanning op te stellen, zorg te dragen voor benodigde (human) resources om de audit uit te voeren en door informatie-uitwisseling en afstemming met andere interne en externe gremia die zich met assurance bezighouden. Werkzaamheden die ten dienste staan van of voortvloeien uit de gezamenlijke audits bestaan bijvoorbeeld uit het opstellen van de zogenaamde risicolandkaart, waarin een overzicht van geïnventariseerde overall risico's wordt gegeven. Deze risicolandkaart vormt de basis voor de risico-analyse die tijdens de opdrachtspecifieke fase op een gedetailleerder niveau plaatsvindt. Een ander voorbeeld van dergelijke opdrachtoverstijgende werkzaamheden zijn de "in control statements" die ten behoeve van de Raad van Bestuur en de Raad van Commissarissen van Rabobank Nederland worden opgesteld en waarmee invulling wordt gegeven aan de opdracht van ARG. Het moge duidelijk zijn dat de werkzaamheden die in de opdrachtoverstijgende fase worden uitgevoerd feitelijk nimmer zijn afgerond en steeds opnieuw terugkomen. Zo zal de overall opdrachtplanning aanpassing behoeven op het

moment dat een audit niet gelegen komt bij een aangesloten bank wegens een op handen zijnde fusie. En het overall resource management zal moeten inspelen op actuele ontwikkelingen zoals personeelsverloop. De werkzaamheden zijn derhalve niet "eindig" en hebben daardoor niet het karakter van projectmatige activiteiten. Deze werkzaamheden vormen daarmee een tegenstelling met de opdrachtspecifieke werkzaamheden, waarbij duidelijk sprake is van het doorlopen van een aantal volgtijdelijke, eindige fasen, waarna de opdracht wordt afgerond. Reeds eerder is de conclusie getrokken dat een audit als een project te beschouwen is. Het projectmatige karakter van de opdrachtspecifieke werkzaamheden bevestigt deze conclusie nogmaals. Het is van belang aan te geven dat dit onderzoek zich dan ook beperkt tot dit opdrachtspecifieke, projectmatige deel van de uitvoering van de audits en dat het opdrachtoverstijgende, niet projectmatige deel buiten de scope valt.

Opdracht overstijgend

1. Managen Internal Audit activiteiten 2. Aard van de werkzaamheden

Opdracht specifiek

3. Opdrachtplanning en vooronderzoek

4. Veldwerk

5. Rapportage, Communicatie en Evaluatie

6. Follow up 7. Escalatie

ARG beleid t.a.v. de uitvoering

Overall opdrachtplanning

Overall communicatie & goedkeuring Overall resource management Overall beleid & procedures Overall coördinatie Overall verantwoording Risk mgt, control & governance Risico landkaart Managementletter In control statements Start the audit Scope the audit Identify & assess risks Understand major processes Opdrachtplanning Doel van de opdracht Opdracht scope Opdracht bemensing Werkprogramma Develop & execute tests Perform evaluation of controls Informatie verzamelen Interviews Analyse

Vastlegging & dossiervorming Coördinatie & Supervisie

Conclude the audit reporting Rapportage Communicatie Evaluatie

Afsluiten van de opdracht

Follow up Escalatie Escalatie Follow up

figuur 5.1 Schematische weergave auditfasen (bron: brochure Rabo Audit Standards)

Uit figuur 5.1 blijkt dat de opdrachtspecifieke uitvoering van de audit is op te delen in een aantal fasen, waarbij elke fase op haar beurt weer bestaat uit een aantal stappen. De audit begint met een vooronderzoek. Tijdens dit vooronderzoek wordt een opdrachtbrief opgesteld door ARG AB en besproken met de aangesloten Rabobank. Er wordt tevens een planning gemaakt van de opdracht en beoordeeld wordt welke resources nodig zijn in de zin van mensen en middelen om de audit te kunnen uitvoeren. Deze fase dient ook voor het opstellen van een plan van aanpak. Het voorlopige doel, object en reikwijdte van het onderzoek wordt vastgesteld, waarna het concept plan door ARG AB met de aangesloten Rabobank wordt besproken. Op basis

van deze afstemming wordt de definitieve planning van de opdracht gemaakt. Mogelijke wijzigingen die bij de afstemming met de lokale Rabobank naar voren zijn gekomen worden verwerkt en daarmee ontstaat het definitieve plan van aanpak. Middels een opdrachtbevestiging wordt de lokale Rabobank vervolgens formeel geïnformeerd over het uit te voeren onderzoek. De volgende stap in het vooronderzoek is het verkrijgen van voldoende kennis over de processen en subprocessen die zich binnen de lokale bank voltrekken. Tijdens deze stap verzamelt het auditteam door middel van documentstudie, workshops en interviews, informatie om het onderzoek adequaat uit te kunnen voeren. Het auditteam komt in deze stap tot begripsvorming ten behoeve van de risicoanalyse. Deze analyse heeft tot doel zogenaamde key risks te identificeren en te beoordelen. Key risks zijn de risico's die kunnen zorgen voor (majeure) financiële of reputatieschade voor de aangesloten bank. Zo'n key risk is bijvoorbeeld aanwezig wanneer de lokale Rabobank een risicovolle financieringsportefeuille heeft. De audit zal zich primair focussen op deze key risks. Het auditteam stemt de vastgestelde risico’s af met de auditee. Hiermee wordt het vooronderzoek afgesloten.

De volgende fase van de audit wordt gevormd door het veldwerk. Het auditteam stelt vast welke maatregelen er in opzet getroffen zijn om de key risks te mitigeren. Daar waar het auditteam afwijkingen aantreft tussen de gewenste en de werkelijk aangetroffen situatie, gaat het na wat de impact en de oorzaak van deze afwijkingen zijn. Deze analyse vormt de basis voor de formulering van verbeteracties. Tevens wordt tijdens het veldwerk bepaald of de in opzet aanwezige maatregelen werken zoals ze bedoeld zijn. Hiertoe neemt het auditteam interviews af, verzamelt documentatie en neemt steekproeven. Ook nu wordt voor afwijkingen tussen de gewenste en werkelijke situatie nagegaan wat de impact en oorzaak van de afwijking is en worden verbeteracties gedefinieerd. De auditee wordt van de bevindingen op de hoogte gesteld en geeft hierop een respons aan het auditteam. Dit geeft een situatie van hoor en wederhoor.

In de fase "rapportage, communicatie en evaluatie" komt aan de orde hoe het auditteam haar bevindingen, conclusies en aanbevelingen rapporteert. Bepaald wordt welke afstemming plaatsvindt en met wie wordt afgestemd om van een conceptrapportage tot een definitieve rapportage te komen. Er vindt te allen tijde afstemming plaats met de auditee alvorens het auditrapport met daarin het auditoordeel zijn definitieve vorm krijgt. Na het opstellen van dit rapport vindt een evaluatie van de audit plaats door het laten invullen van een evaluatieformulier door de aangesloten bank, waarmee de opdracht wordt afgesloten.

Na afsluiting van de opdracht volgen volgens figuur 5.1 nog twee fasen. Dit betreft op de eerste plaats de follow up. Tijdens deze fase kan het auditteam een rol vervullen om de opvolging van de gedane aanbevelingen en verbeteracties te bevorderen. In de praktijk blijkt hier slechts weinig gebruik van gemaakt te worden door zowel auditor als auditee. De bank neemt zelf de verantwoordelijkheid om de aanbevelingen op te volgen. Geheel vrijblijvend is dit niet, aangezien tijdens een volgende audit door het auditteam steeds zal worden beoordeeld in hoeverre eerder gemaakte aanbevelingen zijn opgevolgd. Er is echter geen specifiek toetsmoment aangaande de opvolging van aanbevelingen tussen twee audits in. De laatste fase bestaat uit de escalatie. Wanneer het auditteam en de auditee blijvend verschil van mening hebben over het auditoordeel

kan dit voorgelegd worden aan de Raad van Bestuur van Rabobank Nederland met het verzoek een uitspraak te doen. Deze situatie doet zich in de praktijk nauwelijks voor. Kijkend naar de onderzoeksvraag blijken de fasen vooronderzoek, veldwerk en rapportage, communicatie en evaluatie van belang. Het onderzoek richt zich dan uitsluitend op deze fasen. In deze fasen is sprake van veelvuldige contacten en (mogelijke) invloeden van betrokkenen bij de audit. Wie deze betrokkenen zijn zal blijken in de volgende paragraaf. Gezien het feit dat de follow up fase en de escalatie fase veelal niet doorlopen worden vallen deze logischerwijs buiten de scope van dit onderzoek.