• No results found

Uitwerking interview Peter van Herwaarden

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Uitwerking interview Peter van Herwaarden "

Copied!
13
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 13 pagina )

Hele tekst

(1)

INHOUDSOPGAVE BIJLAGEN

I Uitwerking interview Wimjan Bos 1

II Uitwerking interview Peter van Herwaarden 8

III Uitwerking interview met Iwan van der Vinne 9

IV Uitwerking gesprek Ed Schepers 11

(2)

I

Uitwerking interview Wimjan Bos

Wimjan Bos is partner van Business Risk Services Amsterdam en sinds april 2001 werkzaam bij Ernst &

Young. Hiervoor was hij hoofd van de Operational Audit Dienst bij de Belastingdienst. Het interview vindt plaats op 18 december 2002 in het Ernst&Young kantoor aan de Drentestraat te Amsterdam.

Om te beginnen zou ik van u willen weten waarom deze opdracht uitgegeven is en wat jullie met de resultaten willen doen.

Het eerste wat mij opviel toen ik bij Ernst&Young ging werken was de consistente methodologie, echt Amerikaans: van A tot Z beschreven en met veel voorbeelden. Ik denk dat we daar veel verder mee zijn dan onze concurrenten. Omdat deze Servicelijn internationaal is uitgebracht, is hier flink in geïnvesteerd en biedt deze methodologie onder andere ook ondersteunende tools. Wat ik opmerkelijk vond was dat CSA helemaal geen rol speelde in de methodologie. Terwijl ik bij de Belastingdienst net de slag heb gemaakt van CSA als auditvorm óf als controlvorm - dat ligt bij CSA hier natuurlijk tussenin. Maar momenteel heeft CSA geen plek in het Internal Audit proces en ook geen plek in het conceptuele model.

Bij de consultancytak werden wel dit soort self assessments ondersteund, maar zij zijn per 1 juni uit Ernst

&Young getreden. De kracht van de methodologie is dat deze overal ter wereld op dezelfde manier wordt toegepast en dat het altijd mogelijk is om deze aan te passen aan specifieke omstandigheden. Daarbij blijft de methodiek echter wel een basis waar je altijd op kan terugvallen. Deze kracht van de methodologie zou ik met een module self assessment terug willen zien. En wetende hoe onze Risk Assessment wordt gedaan en hoe de doelstellingen van de organisatie in kaart worden gebracht, lijkt het daar heel veel op. Maar het heeft die naam niet en het is ook niet praktisch uitgewerkt. Met die praktische uitwerking bedoel ik onder andere: hoe geef je die sessievorm, hoe moet je je trainingen inrichten, etcetera. Ook dat ontbreekt. Hoe we dat kunnen doen is een groot vraagteken voor mij. Vandaar dat we tot deze opdracht zijn gekomen.

Je ziet momenteel dat het verhaal van self-assessment een beetje op de achtergrond schuift. Het was twee jaar geleden iets nieuws en een echte hype. Daar heb ik altijd van gezegd: dat nieuwe is er heel snel af dus je moet ook iets hebben dat blijft en beklijft. En omdat te doen moet je het ook in een auditaanpak een plek kunnen geven. Als het alleen een kunstje is dat je het management aanleert dan wordt dat éénmaal leuk gevonden, want het geeft natuurlijk wel zicht op een aantal risico’s die ze tot op dat moment nooit hebben ervaren. Maar als je dat niet koppelt aan een managementcyclus, auditcyclus, of regelsysteem, dan is het een eenmalige activiteit en dan bloedt het dood. Daarom vind ik het zelf heel belangrijk dat het een plek in de methodologie krijgt. En ook als auditinstrument, dus niet alleen voor het management, zoals voornamelijk door de consultancymaatschappijen vaak werd aangegeven. Maar uiteindelijk moet het ook een plaats krijgen in de bagage van een auditor. Je moet een sessie kunnen faciliteren en de uitkomsten kunnen gebruiken in een auditprocces.

Mijn vraag is daarom: Is het mogelijk CSA theoretisch een plek te geven en is het mogelijk hier praktisch handen en voeten aan te geven? Bijvoorbeeld met checklisten en opleidingsprogramma’s over hoe je CSA opzet. Ik heb geen vastomlijnde ideeën hierover, maar als wij die module hebben, kunnen we onze klanten deze dienst aanbieden. Momenteel doen wij dat eventueel ook wel, maar dit gaat ongestructureerd en ongenuanceerd.

Daarnaast is in Amerika twee jaar geleden eenzelfde opdracht uitgegeven. Maar in Amerika is dit heel technisch opgevat in de zin van een tool, een technisch hulpmiddel. Daarom zijn zij op zoek gegaan naar

(3)

dergelijke tools, zoals onder andere groupware ter ondersteuning van CSA. Maar dat vind ik niet interessant. Ik mis hierin de consistentie met onze auditrol en de praktische uitwerking hiervan. Hoe je het uitvoert is dan ook tot op heden in Amerika nog niet vastomlijnd.

De opdracht is daarom tweeledig: allereerst het breed kijken hoe CSA een plek kan krijgen in de Internal Audit Methodiek en aan de andere kant hoe dit praktisch en dus diepgaand kan worden uitgewerkt.

Daarnaast verwonder ik mij erover dat wij als groot kantoor nog nooit die klik hebben gemaakt en CSA enkel als losstaande activiteit beschouwen, in plaats van een onderdeel waar je het beste in bent: de eigen methodologie.

Ik heb meerdere werkwijzen en tools betreffende CSA vanuit Amerika gezien. Is het niet mogelijk dat jullie de huidige tools en werkwijzen overnemen uit Amerika?

Ik heb niet gezien dat dat loont. Het is meer een op zichzelf staand kunstje. De fase Risk Assessment kan bijvoorbeeld op twee manieren worden uitgevoerd: óf je doet het alleen, waarbij je interviews aflegt met het management, óf je kan het in een facilitated session doen. Bij een facilitated session moet je je anders voorbereiden, je moet de uitkomsten anders registreren en je moet vervolgens een vertaalslag maken naar het audit proces (fase drie tot en met verder). Het is daarom goed mogelijk om een kleine omweg maken met een aanpak die bij de klant beter uitpakt, beter aansluit op de huidige aanpak óf die aansluit bij de wensen en behoeften van die klant. Maar uiteindelijk moet je het in het krachtigste instrument dat we hebben, de Internal Audit Methodiek, een plek geven. Dat is het belangrijkste verkoop- én vaktechnische instrument. Als CSA op zich zelf komt te staan, dan bloedt het dood.

Zelf kan ik drie rollen onderscheiden met betrekking tot CSA: een implementerende en faciliterende rol en een audit rol. Hoe denkt u hierover en welke rol vindt u het meest van belang?

Ik zou een audit op enkel de uitkomsten van CSA een beetje kaal vinden, omdat je dan bent overgeleverd aan het toeval. Dat wil zeggen: de wijze waarop zo’n sessie is uitgevoerd en de voorbereiding hiervan, daar moet je betrokken bij zijn. Anders is CSA weer een op zichzelf staande activiteit, die bij toeval misschien past in jouw programma als auditor. Het in contact komen met het management is nu ook de nadruk van de Risk Assessment, ook zonder CSA. Juist die gesprekken voeren, juist dáár begrijpen wat men bezighoudt. Dat is nou ook de kracht van zo’n self assessment. Daarom vind ik die ondersteuning als auditor veel interessanter, dan dat er aan het einde uitkomsten zijn die aan een bepaalde kwalificatie voldoen. Dat wordt gekeken hoe men bepaalde dingen heeft benoemt en hoe men dat gaat opvolgen is een heel instrumenteel element van CSA.

Maar hoe zit het met de belangenverstrengeling? Als je het CSA proces implementeert en faciliteert, is het dan nog mogelijk een internal audit uit te voeren bij dezelfde organisatie?

Als internal auditor ben je toch niet onafhankelijk en daarom koppel ik CSA niet zozeer aan de vierde fase van de Internal Audit Methodiek: de uitvoering van de audit. Ik zie het meer in de tweede fase: het versnellen van de risk assessment. Daar wordt aan het management gevraagd: wat vinden jullie nou belangrijke risico’s? Dat doen wij momenteel ook en dat staat onze onafhankelijkheid ook niet in de weg.

Samen met het management heb je gesprekken van wat hen bezighoudt, waar bepaalde risico’s liggen.

CSA gaat enkel een stapje verder doordat hier ook acties uit naar voren komen. Dan kan de vraag gesteld

(4)

worden: als je CSA faciliteert, kan je dan kritiek geven op die acties? Een beschrijving in hoeverre je daar in mee kan gaan, lijkt mij erg interessant. Het is goed mogelijk dat je tegen een aantal onafhankelijkheids issues aanloopt. Daar staat tegenover dat het een keuze is die het bedrijf moet maken. Waarom zou je dan zo’n sessie niet kunnen faciliteren als je als internal auditor verbeteringsgericht en een tool van het management wil zijn? Ik vind het te snel vanuit de accountant gekeken, maar ik wil wel graag weten waar die grenzen liggen en wat de bijdrage van de internal auditor kan zijn.

Dat is één reactie. Maar het auditen van de resultaten van CSA kan ook worden beschouwd als een follow up, als een second opinion van de risico’s en het weergeven van de status van de vervolgacties. Die rol is inderdaad onafhankelijk en zonder problemen. Wanneer je enkel kijkt naar de auditrol mis ik echter de plek in de methodologie. Want wat je in feite doet is een audit uitvoeren op een risicoanalyse. Voor mij krijgt het voornamelijk een plek in de methodologie als je in de voorbereiding zit en samen met het management een risicoanalyse uitvoert en ze ondersteunt om die risico’s te wegen, vanuit je expertrol.

Maar dit heeft ook met persoonlijke interesses te maken: ik vind het spannender het tegen het management aan te kaarten. Dáár kan je veel meer toegevoegde waarde leveren.

Is het de bedoeling dat CSA enkel als losstaande dienst wordt toegepast of als onderdeel van een internal audit?

Allebei. Het is een controlinstrument en kan als zodanig worden gebruikt. Maar dan heeft een hooguit een éénmalige of tweemalige waarde, dat doe je maar een paar keer. Ik ken enkele bedrijven waar zo’n self assessment is uitgevoerd. Na een jaar denkt het management dat ze weten wat een risico-assessment is en dat het niet meer noodzakelijk is om het uit te voeren. Voor het management is het veelal niet duidelijk waarom dit jaarlijks uitgevoerd moet worden. Dat geeft aan dat je voorzichtig moet zijn het een permanente waarde te geven in een planning- of controlcyclus.

Wordt vaak om de dienst CSA gevraagd?

Er wordt heel veel om gevraagd. Vooral toen het nog een hype was. Zo hebben wij eens - toen een klant die daar om vroeg - een voorbeeld gegeven van een aanpak, afkomstig uit Engeland. Maar deze aanpak staat ook weer los van de Internal Audit Methodiek. Dus dat voldoet nog steeds niet aan mijn criteria.

Hoewel het globaal wel de vijf stappen volgt van de Internal Audit Methodiek, mis ik de link met de tweede stap: de Risk Assessment als onderdeel van internal audit. Hier bedoel ik mee dat in plaats van de uitvoering van een audit het instrument CSA wordt geïmplementeerd. Het is geen activiteit, maar een product geworden. Daar is niets mis mee, je kan dan de vijf stappen toepassen net zoals bij Risk Management wordt gedaan. Bij Risk Management wordt voornamelijk het proces gedefinieerd en ingericht, terwijl de beoordeling hiervan door Internal Audit Services wordt gedaan. ERM (Enterprise Risk Management) heeft ook vijf stappen, dat is ook een product. Door die vijf stappen te gebruiken kan je ervoor zorgen dat een ERM functie of CSA functie past bij jouw bedrijf. Dat is wat anders dan het uitvoeren van zo’n audit zelf. Wat ik wil zien is hoe je het uitvoert en hoe dat in de eigen methodiek past.

Moet de toepassing van CSA verder nog aan een aantal vereisten voldoen?

Ik heb enkel een aantal globale ideeën hierover:

1. Het moet passen in de structuur;

(5)

2. Het moet aansluiten bij de filosofie van die structuur, namelijk de focus op risico’s, processen en organisatiedoelstellingen ;

3. Het moet verbeteringsgericht, actiegericht en toekomstgericht zijn.

Als de toepassing van CSA in de Internal Audit Methodiek daaraan kan voldoen, is voor mij de vraag wat het verschil is tussen het voeren van losse gesprekken (bijvoorbeeld ter voorbereiding) en het uitvoeren van een gezamenlijke gefaciliteerde sessie. Welke voordelen levert dit op en hoe geef je dat een plek in termen van acties van het management als hun eigen oplossingsstrategie tegenover de elementen die je meeneemt in je audit. Neem je de andere wijze van registreren en waarderen van risico’s mee in je audit proces? En hoe doe je dat dan? Hoe hou je de link met de control acties die zijn uitgezet? Kan je de managementfocus in deze control acties vasthouden, zodat het geen speeltje wordt van de internal auditor?

Ik herken een heleboel elementen in de Internal Audit Methodiek die gecombineerd met CSA het proces kunnen versnellen en een grote bijdrage kunnen leveren.

Daarnaast moet je zoveel mogelijk aansluiten bij een belangrijk moment in het jaar, namelijk de bijeenkomst van de crème de la crème van een organisatie. Het heeft ook een commerciële achtergrond waarom ik het niet als speeltje van het management wil zien. Indien je als auditor betrokken raakt bij zo’n managementproces ontleen je daar jarenlang relaties aan. Je hebt hen op de meest kritieke momenten meegemaakt en weet wat hen bezighoudt. Je hebt hun vertrouwen gewonnen, waardoor het waarschijnlijk is dat ze ook bij jou komen bij andere problemen. Dat is voor een internal auditor, zowel intern als extern, van grote toegevoegde waarde. Daarom is juist die betrokkenheid een belangrijk element, in plaats van enkel het beoordelen van het CSA proces als buitenstaander. Deelname in het proces is van wezenlijk belang: je kwetsbaar opstellen en risico’s durven lopen, zodat je achteraf misschien niet meer een scherp oordeel kan geven. Als er na een half jaar nieuwe inzichten zijn kan je rustig vlijmscherp je kritiek uiten.

CSA is een continu proces. Is het de bedoeling dat jullie daar elke keer bij aanwezig zullen zijn?

Dat is een andere vraag. Het is wel een proces dat steeds nieuwe brandstof nodig heeft. Mijn vraag daarbij is of het management wel voldoende brandstof heeft om het proces gaande te houden. Want CSA is heel veel van je eigen kwetsbaarheden laten zien en ik ken weinig managers die daar een permanente activiteit van maken. Het is natuurlijk helemaal niet handig om steeds je problemen op tafel te leggen. Dat doe je op momenten dat je zelf komt of gaat, als je komt zeg je dat je voorganger het waardeloos heeft gedaan en als je gaat zegt je opvolger dat weer. Er zijn maar enkele momenten in het leven van een manager waarin hij durft te praten over zijn risico’s. De kans dat CSA een permanente plek bij het management krijgt, daar geloof ik niet zo in. Ik denk dat het veel beter kan samengaan met internal audit. Als auditor stel je je kwetsbaar op en ben je veel beter in staat dezelfde afweging na een half jaar nogmaals te toetsen en de gevolgen van de risico’s in kaart te brengen. Dat is een andere kijk op je rol als auditor, maar dan ben je wel in staat om nieuwe energie te geven aan dat proces.

Zo hebben we bij een organisatie een risicoanalyse gedaan in nauwe samenwerking met het management.

Deze gesprekken zijn we heel open ingegaan zodat we uiteindelijk heel veel hebben overgenomen wat ons is verteld. Daarna zijn we op verschillende plekken in de organisatie vragen gaan stellen. Het is eigenlijk een gewone audit, maar voornamelijk toegespitst op de risicoanalyse. Dat ligt heel dicht aan tegen een self assessment. Waar we daar in geslaagd zijn is het vertrouwen te winnen van het management. We zeggen daarbij niet wat er allemaal fout gaat, maar proberen te wijzen op een aantal risico’s. We zijn toen aan het

(6)

einde van de analyse door alle rapportages heengelopen. Er waren daar een aantal soorten risico’s aanwezig, bijvoorbeeld uitvoeringsrisico’s, politieke risico’s, imago risico’s, financiële risico’s en veranderingsrisico’s. Maar niet ieder risico is een groot risico. Alle risico’s zijn vervolgens weergegeven in een Risk And Criteria Matrix aan de hand van de criteria die door het management zijn opgesteld. Met de RACM zijn we de risico’s gaan beoordelen. Daar ligt de splitsing tussen de onafhankelijkheid als auditor en het belang van het management. Na de Risk Assessment zijn de verantwoordelijkheden voor de risico’s en actieplannen aangewezen aan de raad van bestuur of lager management. Dit is het verschil met de uitvoering van een normale audit. Deze actiegerichtheid heeft trekjes van een self assessment. Nu staat centraal wat het management gaat doen in plaats van wat wij gaan auditen.

Gewoonlijk leidt een internal audit toch ook tot actieplannen?

Ja, dat klopt. Maar dat is pas na het Excecution proces het geval. De Risk Assessment wordt hier niet voor gebruikt. Je hebt namelijk twee stappen in de methodologie:

1. Het opstellen van de Risk Assessment voor de selectie van de auditonderwerpen 2. De evaluatie van de beheersingsmaatregelen aan de hand van dezelfde Risk Assessment

In dit voorbeeld hebben wij enkel de Risk Assessment uitgevoerd. Hier komen acties uit voort die door het management uitgevoerd worden. Het proces stopt daarmee in feite na de Risk Assessment. Het is dan de vraag of dit ook een self assessment is. Aan de ene kant is het géén self assessment nu wij zelf de risico’s hebben beoordeeld. Aan de andere kant is het wel een self assessment, omdat wij niet verder zijn gaan auditen en het management zelf verantwoordelijk is geweest voor de uitvoering van de actieplannen. Daar heeft het weer elementen van een control instrument.

Hebben jullie vervolgens de actieplannen die hieruit voort zijn gekomen ook weer ge-audit?

Ja, dat is dan vervolgens fase twee. Zij hebben ons gevraagd of wij na een half jaar een opvolgende meting wilden doen, om te kijken of de acties die wij hebben opgezet tot verbeteringen hebben geleid en effect hebben gehad. Deels is dit herhalen van de eerste meting: het opnieuw naar de risico’s kijken. Voor een ander deel is dit een follow-up: kijken of de acties zijn uitgevoerd. En voor een derde element is het kijken of er nieuwe risico’s zijn ontstaan.

Bij deze audit is dus helemaal niet gekeken naar de beheersingsmaatregelen?

Dat ligt wat genuanceerder. Er bestaan een aantal onderzoeksgebieden, oftewel risicocategorieën.

Bijvoorbeeld het verleden van de organisatie. Wat voor risico’s neemt de nieuwe organisatie die bij wet is aangewezen als erfopvolger van zes andere organisaties met zich mee? En hoe stuur je in het heden je organisatie aan? Beheers je onder andere je veranderingsprocessen? Deze beheersingsmaatregelen zijn wel feitelijk vastgesteld, dit is de feitelijke situatie.

Dit voorbeeld geeft aan dat er op dat snijvlak veel meer gebeurt dan alleen audit of control, op dit tussen gebied kan je als deskundige op het terrein van risicobeheersing heel veel doen. Zo zie ik dat ook met CSA. Mijn vraag is daarom: hoe pas je dat dan in? Maar uiteindelijk blijkt hier wel uit dat als je eenmaal dat vertrouwen wint, je wel de geprefereerde auditor bent. Je wordt dan gevraagd overal naar te kijken. De

(7)

klant krijgt het gevoel dat wij hun problemen begrijpen, dat we niet voor weg lopen voor problemen en dat we antwoorden geven.

Bij de overheid, bijvoorbeeld, is rechtmatigheid een groot vraagstuk. Meestal wordt dit vraagstuk door de accountantsdienst opgelost. Maar nu wordt ons de vraag gesteld of het wel terecht is dat dat zo wordt gedaan. Dit is natuurlijk een hele rare vraag om te krijgen als externe accountant of als adviseur. Maar ze komen bij ons omdat wij ze in die fase (Risk Assessment) het gevoel hebben gegeven dat we een bepaalde weging kunnen maken. Daarom vind ik die fase zo belangrijk: daar engageer je je met de klant terwijl je tegelijkertijd je onafhankelijkheid niet verliest. Dit soort vormen van risicoanalyse doen wij vooral voor organisaties in de publieke sector. Bij de private bedrijven zie je dat veel minder. Dan is Risk Assessment veelal onderdeel van de internal audit.

Zijn de verantwoordelijkheden voor de actieplannen en beheersingsmaatregelen overgedragen aan het management of ook aan werkgroepen?

In dit geval is eerst teruggekoppeld aan de Raad van Bestuur, toen de groepsraad – deze valt onder de Raad van Bestuur - en aan de centrale ondernemingsraad. Maar met de Raad van Bestuur is afgesproken dat zij de vervolgacties aan de werkgroepen geven. Dus deze actieplannen zijn door de raad van bestuur gedelegeerd. Maar de bevindingen zijn door ons afgegeven aan het hoogste management.

(8)

II

Uitwerking interview Peter van Herwaarden

Peter van Herwaarden is medewerker van Business Risk Services. Het interview vindt plaats op 18 december 2002 in het Ernst & Young kantoor aan de Drentestraat te Amsterdam.

Peter van Herwaarden is tweemaal bij de uitvoering van een internal audit in aanraking gekomen met CSA. Bij één van die organisaties was de voornaamste reden om CSA toe te passen de bewustwording van het management voor interne beheersing. CSA wordt daar in twee stappen uitgevoerd:

1. Per land stelt iedere divisie aan de hand van CSA vast of de eigen divisie ‘in control’ is.

2. De resultaten worden naar een Europese coördinator gestuurd die de resultaten verdeelt onder de divisies. Daar worden de resultaten van hun buitenlandse collega’s beoordeeld. Deze extra controle op de resultaten van het CSA proces draagt bij aan de betrouwbaarheid van de CSA output en voorkomt in zekere mate de presentatie van enkel goede resultaten.

Op de vraag welke bijdrage CSA voor het internal audit proces kan betekenen onderkent hij meerdere voordelen:

• Indien het proces betrouwbaar is uitgevoerd levert het een tijdsbesparing voor de internal auditor op.

• Managers worden meer bewust van internal control.

• Internal audit kan specifieker worden uitgevoerd doordat zwakke plekken in het internal control systeem bekend zijn. Op deze zwakke plekken zal de aandacht worden gericht. Dit levert weer een tijdsbesparing op.

• De uitkomsten van CSA zijn achtergrondinformatie in de Risk Asssessment

Om deze voordelen te kunnen behalen dienen de uitkomsten van CSA wel betrouwbaar te zijn. Volgens Peter van Herwaarden zijn de CSA resultaten veelal onbetrouwbaar, omdat het management vaak niet in staat is een objectieve beoordeling te maken. De resultaten kunnen derhalve niet dienen als basis voor het eindoordeel van de internal audit. De betrouwbaarheid kan worden vergroot door de uitkomsten te laten beoordelen door de internal auditor waarbij diverse documenten ter ondersteuning kunnen worden bijgevoegd. Daarnaast kunnen de uitkomsten van het CSA proces worden beoordeeld door collega’s op andere divisies. Als andere mogelijkheid noemt hij het gebruik van de eerste CSA toepassing in een pilot.

Aan de hand van de ervaringen uit de pilot kunnen de sterke en zwakke plekken in het CSA proces onderkend worden en vóór uitvoering van de gehele CSA worden aangepast.

Mogelijke knelpunten ziet hij voornamelijk in de belangenverstrengeling van de controlerende en ondersteunende rol van de internal auditor. Daarom pleit hij ervoor de rol van auditor zuiver te houden en een keuze te maken in óf het ondersteunen óf het controleren van CSA. Toch ziet hij mogelijke oplossingen voor de belangenverstrengeling, zoals duidelijke communicatie over de reikwijdte en beperkingen van de ondersteuning. Daarnaast zou de ondersteuning enkel gericht moeten zijn op de algemene aspecten van het CSA proces, zoals het verloop van de discussie. De internal auditor dient zich afzijdig te houden van de inhoudelijke aspecten van discussie. Daarbij dient het management altijd de beslissingen te nemen en niet de internal auditor.

(9)

III

Uitwerking interview met Iwan van der Vinne

Iwan van de Vinne is medewerker van de Business Risk Services in New York. Hij is één van de medewerkers die betrokken zijn bij het CRSA project bij Swiss Re Life and Health Limited. Het gesprek heeft telefonisch plaatsgevonden op maandag 30 december.

Het CRSA project bij Swiss Re is opgesplitst in twee delen:

1. De ondersteuning en advisering van CRSA.

Hierbij worden zowel de deelnemers (de klant) als de medewerkers van Ernst & Young ondersteund door een hiervoor ontwikkelde tool: Horizon. Met Horizon worden de processen, subprocessen, risico’s, subrisico’s en controls onderkend, waarna door de deelnemers een rating wordt aangebracht. Deze ondersteuning en advisering wordt uitgevoerd door medewerkers van Risk Management, een andere afdeling binnen Business Risk Services (BRS). Hoewel Iwan van der Vinne medewerker is van de internal audit afdeling van BRS, is hij enkele keren gevraagd de CRSA workshops te faciliteren.

2. De audit op de CRSA resultaten

De resultaten van het CRSA project worden vervolgens door medewerkers van BRS ge-audit. Enkel de controls die zeer belangrijk of belangrijk worden gevonden óf die niet werken naar behoren, worden bij de audit betrokken. Het voornaamste verschil van CRSA met een gewone audit is de wijze waarop de beoordeling van de risico’s en de beheersingsmaatregelen tot stand komen. Dit wordt door de werknemers zelf gedaan, in plaats van door de internal auditor. De deelnemers worden bij de identificatie en beoordeling van de risico’s en beheersingsmaatregelen ondersteund door een hiervoor speciaal ontwikkelde tool: Horizon. Deze tool is zowel een methodologisch als technisch hulpmiddel bij de uitvoering van self assessments. Horizon onderscheidt de risico’s op meerdere gebieden, deze zijn people, process, system en external De deelnemers dienen deze verschillende gebieden in te vullen, waarna ze door de medewerkers van BRS worden beoordeeld. Daarbij verwacht de klant (Swiss Re) dat door de audit op de CRSA resultaten een geheel oordeel wordt gegeven over de mate waarin de organisatie ‘in control’ is. Omdat de resultaten vaak niet geheel betrouwbaar zijn, denkt de auditor mee over de mogelijke risico’s en de noodzakelijk beheersingsmaatregelen. De resultaten van CRSA worden met de aanvullende bevindingen van de internal auditor aangevuld. Na de audit op de resultaten wordt een audit uitgevoerd op de actieplannen die uit het CRSA project naar voren komen. Hierbij wordt voornamelijk gelet op de tijdigheid van de uitvoering van de actieplannen. Net als de beoordeling van de controls, zijn deze vaak rooskleuriger geschat. De actieplannen worden tijdens het CSA proces door de proceseigenaren opgesteld.

De audit op de CSA resultaten kan teven leiden tot nieuwe actieplannen.

Zowel bij het faciliteren van CRSA als bij het auditen van CRSA wordt geen gebruik gemaakt van de Internal Audit Methodiek. De tool Horizon is te zien als een losstaande methodiek, naast de Internal Audit Methodiek.

Volgens Iwan van der Vinne is eventuele belangenverstrengeling door zowel ondersteuning als beoordeling van CSA door dezelfde persoon geen groot probleem. Door duidelijke communicatie over de grenzen van de auditor en de verantwoordelijkheden van de deelnemers, kan het risico van

(10)

belangenverstrengeling sterk worden verminderd. Daarbij dient duidelijk te worden aangeduid dat de beoordeling door de deelnemers zelf gemaakt wordt en niet door de auditor.

Eén van de meest moeilijke momenten in het CRSA proces is het aanbrengen van veranderingen door de internal auditor in de gegeven beoordeling door de deelnemers. Dit levert vaak heftige discussies op tussen de deelnemers en de internal auditor. Vaak is de beoordeling die door de deelnemers is gegeven te rooskleurig. De aangebrachte verandering zijn daarom veelal verlagingen van de aangebrachte rating. Het uitkomen van het auditrapport ook een gevoelig moment. De deelnemers lezen daarin het commentaar op de CSA resultaten terug. Het ligt aan de cultuur van de organisatie in hoeverre dit schadelijk kan zijn voor het CSA proces.

(11)

IV

Uitwerking gesprek Ed Schepers

Ed Schepers is sales manager van Business Risk Services in Amsterdam. Het gesprek heeft telefonisch plaatsgevonden op 15 januari ’03.

De Control Risk Self Assessment (CRSA) hype lijkt volgens Ed Schepers al voorbij. Momenteel zijn er niet veel klanten of prospects meer die specifiek ondersteuning vragen bij de uitvoering van het CRSA proces. De klanten die wel naar CRSA ondersteuning vragen zijn voornamelijk geïnteresseerd in de technologische en methodische ondersteuning van CRSA. Een voorbeeld van zulke ondersteuning is de tool Horizon. Toch wordt Horizon vaak niet geschikt bevonden, omdat deze te technisch, te duur en behoorlijk specialistisch is. Men is veelal op zoek naar een technologisch hulpmiddel waarmee op een gestructureerde manier wordt ondersteund in een Web based omgeving. Het zijn vaak de grotere interne accountantsdiensten die CRSA gebruiken als middel om de IAD (internal audit department) duidelijker intern op de kaart te zetten. Voorbeelden hiervan zijn banken en financiële instellingen, maar ook overheidsinstellingen. Het hoofd interne accountantsdienst in deze organisaties is vaak de initiator van het CRSA proces en creëert daarmee betrokkenheid naar het management.

De deskundigen twijfelen of CRSA de juiste tool is om een gedegen risicoanalyse te maken. Men ziet het wel als een verlengstuk van de werkzaamheden van een internal audit afdeling. Daarbij kan de internal audit afdeling het management ondersteunen bij de opstelling en verwerking van de vragen die in vragenlijsten, interviews en workshops gesteld worden.

Het verkrijgen van toewijding en betrokkenheid van het management is belangrijk bij de uitvoering van een CRSA proces. De internal auditor dient uiteindelijk wel zijn onafhankelijkheid te kunnen waarborgen.

Ernst & Young Internal Audit Methodiek is een belangrijke schakel in de marktbenadering. Niet alleen de methodiek op zich, ook de hierbij horende tools zoals de verschillende databases en de technologische hulpmiddelen zijn belangrijke instrumenten daarbij. De meest gebruikte argumenten in het verkoopproces van de internal audit diensten zijn:

• De structurering van het audit proces door de Internal Audit Methodiek

• De industriekennis van de werknemers

• Beschikbaarheid van normatieve procesmodellen

• De grote betrokkenheid van de klant bij de uitvoering van de diensten.

• De wereldwijde uniforme werkwijze

De kerncompetenties van Business Risk Services zijn:

• Kennis van verschillende branches, opgeslagen in diverse databases. Van bijna iedere branche is wel een procesmodel te vinden

• Het internationale netwerk van Business Risk Services

• De uniforme uitvoering van de methodiek wereldwijd. Door deze uitwisselbaarheid is het mogelijk een audit uit te voeren op multinationals

• De goede kwaliteit van de operational auditors. Zij hebben veel kennis van de verschillende branches, maar daarnaast volgen zij vele opleidingen en hebben de meeste ook de titel RO (operational auditor).

(12)

De voornaamste reden om het CRSA proces in de Internal Audit Methodiek in te bedden is volgens hem de grote overlap van de CRSA processen met de internal audit processen. Deze overlap ziet hij vooral in het proces van de Risk Assessment.

(13)

Referenties

Download het nu ( PDF - 13 pagina - 69.08 KB )

GERELATEERDE DOCUMENTEN

Risk Communication: Risky Business in a Risk Society

In this section, the importance of institutional trust will be discussed in relation to risk communication, as well as communication needs, citizen participation, and

Essays on risk management and systematic risk

A concern with regression 2 is that banks may have changed their credit derivative activities in response to the crisis. The crisis interaction term in regression 2 relates to

Risk Formation and Management in International Business

The aim in this study is to investigate whether changes in institutional variables will explain political risk formation in developing countries. For the past

Appendix 4: Uitwerking van een interview Uitwerking interview

Een heel aantal patiënten is natuurlijk uniek, maar een groot aantal, zal toch een soort standaard in zijn; en dan ben ik nu wel benieuwd; ik vraag bij artsen vaak om dat een

INTEGRATED RISK MANAGEMENT

Which risk measurement techniques can be applied to meet regulatory compliance with the capital adequacy norm of the Basel II Capital Accord, differentiated to credit risk,

Cooperation in flood risk management

To get to know how a transition in flood risk management from the current situation towards good governance can be made by different stakeholders, it is important

Auditing Model Risk Management

Protiviti is not licensed or registered as a public accounting firm and does not issue opinions on financial statements or offer attestation services?. All registered trademarks

Enterprise Risk Management

When identifying, assessing or managing ESG-related risks, risk management and sustainability practitioners should work to gain a holistic view of the internal and