banken/verzekeraars van de
werkzaamheden van de IAF.
5.1 Inleiding
Het doel van dit hoofdstuk is vast te stellen wat de mening is van de proceseigenaren bij middelgrote tot grote banken/verzekeraars over de werkzaamheden van de Interne Audit Functie (IAF). (onderzoeksvraag 4) De input komt vanuit dezelfde organisaties als waar de interviews hebben plaatsgevonden. Een beperking in dit onderdeel van de scriptie is het feit dat de meeste organisaties het niet op prijs stelden dat er een externe survey werd uitgestuurd. Na overleg met de organisaties is afgesproken dat ik gebruik mocht maken van de reeds beschikbare surveys vanuit de organisatie, mits deze geanonimiseerd werden.
5.2 Keuze Respondenten
De meeste managementmodellen zijn toegespitst op marketing, maar zijn ook toepasbaar binnen audit. Bekende modellen zijn het 7S model (Mckinsey, 1981), het AIDA model (Strong, 1925), de Generic strategies (Porter, 1985) of de Balanced Scorecard (Kaplan, 1992). Deze modellen zijn echter voornamelijk toegespitst op het inrichten of functioneren van een organisatie. Om de effectiviteit van deze modellen zo groot mogelijk te maken is het van belang dat duidelijk is wie je ‘klant’ is. Als je de juiste vragen aan de verkeerde personen stelt, trek je verkeerde conclusies.
Specifieke modellen hiervoor zijn beperkt, maar onderstaand framework (Derek F. Abell, 1980) blijkt hiervoor uitermate geschikt. Dit model past geheel in lijn van dit onderzoek omdat dit model stelt dat een bedrijf kan worden gedefinieerd aan de hand van drie dimensies: groepen (wie gaan we dienen?), behoeften (welke behoeften zijn er?), en technologie of onderscheidende competenties (hoe gaan we aan die behoefte voldoen?). Dit model is voor dit onderzoek geschikt omdat de benadering sterk het inzicht in klanten benadrukt en niet op een industrie en haar producten of diensten.
5.2.1 Who is being satisfied?
Deze vraag is herhaaldelijk aan de orde. Hoe moet de IAF omgaan met de verschillende verantwoordelijkheden tegenover de Raad van Bestuur (RvB) en de Audit Commissie (AC)? Wat zeggen de diverse Codes daarover, en hoe vallen deze het best te interpreteren? Legt de IAF als eerste verantwoording af aan de RvB en de organisatie, en moet hij vooral de bedrijfsprocessen helpen beoordelen, of staat hij vooral in dienst van de auditcommissie, en moet hij dat orgaan zo goed mogelijk ondersteunen bij zijn toezichthoudende taken? Dit hangt van factoren af zoals de mate van volwassenheid van de organisatie op het gebied van risicomanagement, control en aanpalende gebieden en de onderlinge verhoudingen in en tussen de RvB en de AC.
Uitgaande van de gangbare definities betreft een klant een afnemer van een goed of dienst van een leverancier. In principe is het zo dat hier betaling tegenover staat. Nu is het in de meeste organisaties het geval dat de IAF direct gepositioneerd is onder de RvB en deze jaarlijks het budget goedkeurt voor de werkzaamheden die de IAF uit gaat voeren. Hoewel de RvB het budget goedkeurt, beperken zij zich naar mijn mening bij grote organisaties tot met name de hoofdlijnen. Het is ook ondoenlijk om bij grote organisaties tot in detail een jaarplan met de RvB door te nemen. Hiervoor is de omvang van een RvB simpelweg te klein bij dergelijke organisaties.
Een vergelijkend onderzoek onder topmanagement (Arif, N.- Vos, R.O., ‘Ontwikkelingen in de interne auditfunctie in het bedrijfsleven’, 2007) bij bijna 100 grote organisaties, waaronder alle grote banken en verzekeraars, in Nederland gaf als resultaat dat de meerwaarde van de IAF met name zit in het beoordelen van de interne beheersing en het risicomanagement- systeem. Hiervoor dient wel naar de juiste activiteiten bij het betreffende auditobject worden gekeken. Dit gebeurt bij de proceseigenaar en daarom is voor dit onderzoek gekozen voor de proceseigenaar. Deze eindverantwoordelijke manager van een werkproces heeft een globaal zicht op het geheel van een proces.
5.2.2 What is being satisfied?
In dit hoofdstuk wordt aan de hand van de ontvangen surveys vastgesteld wat de verwachting van de proceseigenaren is ten opzichte van de IAF. Hierbij zijn de stellingen gekoppeld aan één van de dimensies om vast te stellen op welke dimensies afwijkingen zijn te constateren.
5.2.3 How are customer needs satisfied?
Nadat de resultaten vanuit de theorie, interviews en de surveys onderling vergeleken zijn wordt in hoofdstuk 8 (‘Aanbevelingen’) deze vraag beantwoord. Op basis van de vastgestelde verschillen zal met behulp van aanbevelingen geprobeerd worden de ‘what’ en ‘how’ vraag beter op elkaar aan te laten sluiten.
5.3 Resultaten uit surveys
Van de organisaties is input ontvangen voor de invulling van dit hoofdstuk. In totaal zijn de resultaten van 74 respondenten vanuit de verschillende organisaties verwerkt. Net als in het voorgaande hoofdstuk is op basis van de uitkomsten van respondenten invulling gegeven aan de dimensies zoals gehanteerd in het Internal Audit Maturity Model (CIAMM). Doordat de meeste surveys door de organisatie zelf zijn uitgevoerd, zijn een aantal dimensies niet of beperkt geraakt.
Hieronder zijn de antwoorden op de vragen uit de surveys verwerkt per dimensie. Hierbij zijn de organisaties met dezelfde waarderingssystematiek in één staat verwerkt. Op basis van de ontvangen surveys zijn er drie soorten waarderingen geïdentificeerd:
• 1 = strongly disagree t/m 5 = strongly agree;
• 1 = strongly disagree t/m 4 = strongly agree;
• 1 = agree, 2 = disagree. Organisatie 1 & 2
Dim ensie
1 2 3 4 5
Rol, taken en aandachtsgebieden 0% 8% 28% 40% 25%
Personeel 0% 5% 15% 50% 30%
Professional practices 2% 3% 10% 52% 33%
Relatiemanagement en cultuur 0% 6% 6% 52% 36%
Resultaat
Tabel 1: resultaten per vraag. 1 = strongly disagree t/m 5 = strongly agree
Organisatie 3 & 4 Dim ens ie
1 2 3 4
Rol, taken en aandachtsgebieden 2% 12% 64% 22%
Personeel 0% 10% 69% 22%
Professional practices 1% 14% 62% 23%
Relatiemanagement en cultuur 1% 11% 63% 26%
Res ultaat
Tabel 2 :resultaten per vraag. 1 = strongly disagree t/m 4 = strongly agree Organisatie 5
Dim ensie
1 2
Rol, taken en aandachtsgebieden 20% 80%
Personeel 0% 100%
Professional practices 8% 92%
Relatiemanagement en cultuur 0% 100%
Resultaat
Tabel 3: resultaten per vraag. 1 = agree, 2 = disagree
Als we de 72 respondenten verdelen over de bijbehorende dimensies blijkt dat overall 40 van de 72 respondenten het in mindere of meerdere mate niet eens zijn met bepaalde stellingen behorend bij één van de dimensies. Alle stellingen met bijbehorende score zijn als bijlage bijgesloten. Hieronder worden de meest afwijkende resultaten op stellingen per dimensie getoond waarbij 20% minder positief was. Voorwaarde is dat een score bij soortgelijke vragen van minstens twee van de vijf organisaties moet afwijken.
5.3.1 Rol, taken en aandachtsgebieden
Bij vier van de vijf organisaties komt bij een aantal vragen een lagere score uit op vragen die betrekking hebben op de verwachting met betrekking tot de aandachtsgebieden of de wijze waarop de natuurlijke adviesrol wordt vervuld. Dergelijke uitkomsten zouden er op kunnen wijzen dat het doel van het onderzoek onvoldoende helder is beschreven. Hierdoor heeft de proceseigenaar mogelijk een andere verwachting bij de uitkomsten van het onderzoek en de daarbij behorende adviezen of aanbevelingen.
Org. Stelling %
1 De conclusies/aanbevelingen in de eindrapportage waren gericht op de belangrijkste risico’s 50%
2 Made recommendations that were constructive, accurate, and actionable and agreed upon the measures of improvement including ownership and deadlines 30%
4 Team members give sound advice on implementing audit issues 23%
5 Ik verwacht van de IAF dat zij bij het beoordelen van een proces, onderzoek doen naar mogelijke fraude 33%
5 Ik verwacht van de IAF dat zij in een auditrapport uitspraak doen over de mate waarin het management effectief en efficiënt is 33%
5 Ik verwacht van de IAF dat zij in een auditrapport uitspraak doen over de mate waarin het proces effectief en efficiënt is 33%
5.3.2 Personeel
Bij twee organisaties lijkt op basis van de resultaten uit de surveys dat de organisatie- specifieke kennis niet altijd aansluit. Dit zou er op kunnen wijzen dat de verwachting van de proceseigenaar is dat de kennis op een hoger niveau is dan dat deze werkelijk is.
Org. Stelling %
2 Were knowledgeable of our processes, risk and controls 40%
4 The team shows sufficient knowledge of your line of business 21%
Figuur 13: afwijkende resultaten dimensie 2 5.3.3 Professional practices
Hoewel de betrokken IAF’s zijn procedures en werkwijzen heeft geconformeerd aan de IIA standaarden blijkt hier bij drie van de vijf organisaties bij een aantal vragen toch minder op gescoord te worden. Hoewel de vragen verschillen kan op basis hiervan wel opgemaakt worden dat de verwachting van de delivery’s van audit niet altijd helder en begrijpelijk zijn voor de proceseigenaar.
Org. Stelling %
2 Communicated the audit objectives, scope, and timing clearly and fulfilled them to your expectations 30%
2 Kept you informed of our progress and observations/issues throughout the audit, including adequately discussed and agreed upon findings 30%
2 Conducted the audit in en efficient manner with minimal disruption 30%
2 Took an acceptable amount of time (from beginning to issuance of report) 60%
4 The products delivered by Group Audit related to projects are clear and understandable 24%
4 Agreements are made about service level and product quality 35%
4 Deliverables meet agreed service level and product quality 34%
4 Validation of audit issues are handled in a timely manner 24%
4 The team offers innovative/alternative recommendations 64%
5 De IAF slaagt er in voldoende mate in te waarborgen dat de interne beheersingsomgeving adequaat wordt beoordeeld 33%
Figuur 14: afwijkende resultaten dimensie 3
5.3.4 Prestatiemanagement en accountability
Hoewel deze dimensie niet aan bod komt bij de ontvangen surveys kan op basis van de uitgestuurde surveys wel worden opgemaakt dat de IAF kwaliteitsbewaking en verbetering van de eigen auditpraktijk van belang vindt. De surveys geven echter geen inzicht in hoeverre de IAF wat met de resultaten doet en of de activiteiten van de auditfunctie op basis hiervan worden bijgestuurd.
5.3.5 Relatiemanagement en cultuur
Bij twee organisaties wordt op een aantal vragen lager gescoord die betrekking hebben op succesfactoren voor een IAF. De score kan er op duiden dat de proceseigenaar de toegevoegde waarde niet erkent of vindt dat speciale verzoeken niet goed worden opgepakt.
Org. Stelling %
2 Added value to your organization 50%
4 Special requests are handled in an informed and timely way 22%
4 It is possible to change priorities of special requests 23%
Figuur 15: afwijkende resultaten dimensie 5 5.3.6 Governancestructuur
Deze dimensie is nergens vertegenwoordigd in de ontvangen surveys. Deze dimensie is ook niet van toepassing op de verwachting van de proceseigenaar. De invulling van deze dimensie is aan duidelijke wet en- regelgeving verbonden waardoor hier geen afwijkende verwachting valt te verwachten.
5.4 Conclusie
Op basis van de resultaten kan gesteld worden dat de mening van de proceseigenaren bij middelgrote tot grote banken/verzekeraars overwegend positief is over de werkzaamheden van de IAF. De resultaten die wel lager scoorden hebben betrekking op de aandachtsgebieden, de wijze waarop de natuurlijke adviesrol wordt vervuld en de verwachting van de proceseigenaren met betrekking tot de delivery’s. Doordat de meeste organisaties de voorkeur gaven aan het delen van de resultaten van hun eigen surveys in plaats van het uitsturen van de opgestelde survey kan uit de resultaten echter geen kwantitatief oordeel geveld worden. De diepgang specifiek op de onderwerpen zoals benoemd in de dimensies van het CIAMM was daarvoor ook niet overal hetzelfde. Hierdoor zijn de resultaten niet kwantitatief onderbouwd, maar kon ik op basis van de resultaten wel een kwalitatief oordeel geven.
Figuur 16: Maturityprofiel CIAMM (surveys)
Als we de antwoorden van de interviews plotten op de dimensies binnen het CIAMM kom ik bij de gekozen middelgrote tot grote bank/verzekeraars uit op een gemiddelde score van 3,83. Dat betekent dat het niveau op 4 ‘Geïntegreerd’ staat.De overall resultaten geven niet de indruk dat IAF’s binnen banken en verzekeraars op de dimensies slecht scoren. De proceseigenaren zijn overwegend tevreden over de invulling van de werkzaamheden van de IAF. De overall resultaten laten wel zien dat de dimensies ‘Rol, taken en aandachtsgebieden’ en ‘Professional practices’ de meest lage scores hebben waarbij zelfs een klein deel de laagste score geeft die mogelijk is. Op detailniveau zijn hier dan ook per organisatie wel verbeterpunten, maar gezien de uitkomsten te divers zijn, lijkt hier geen sprake van een structureel probleem.