• No results found

Auditing en Advisory, mogen, willen en kunnen wat zegt het IPPF?

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Auditing en Advisory, mogen, willen en kunnen wat zegt het IPPF?"

Copied!
6
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 6 pagina )

Hele tekst

(1)

1

Auditing en Advisory, mogen, willen en kunnen – wat zegt het IPPF?

Peter Hartog

Manager Vaktechniek, IIA Nederland.

Dit artikel is op persoonlijke titel geschreven en is geen publicatie van het IIA.

De advisory-rol van auditors roept veel verschillende reacties op. Vaak ook heftig van aard, van ‘het mag niet!’ tot ‘het moet!’. De publicatie De botsende logica's van Advisering en Auditing van IIA en ESAA stelt ‘Auditing en advisering zijn tegelijk een onmisbare maar ook een onmogelijke combinatie.

Ze liggen in elkaars verlengde, in die zin dat het niet vreemd is als een auditor niet alleen vaststelt hoe het zit, maar ook zegt hoe het beter kan. Maar ze liggen ook ver uit elkaar, met heel andere

uitgangspunten.’1.

Natuurlijk moet de advisory-rol worden afgestemd op de specifieke situatie, net als de audit- activiteiten. Maar wat zeggen de IIA beroepsnormen (het IPPF2) nu precies? In dit artikel wordt die vraag beantwoord. Achtereenvolgens wordt ingegaan op de vraag of het wel mag (en zo ja, onder welke voorwaarden), of je het wel zou moeten willen als gedegen internal auditfunctie (IAF) en beroepsuitoefenaar en of je het wel kan, ofwel de vraag welke competenties zijn vereist voor de mogelijk verschillende adviesrollen en stijlen. Maar allereerst zal het begrip advisory nader worden gedefinieerd.

1. Wat is advies?

In het IPPF wordt op verschillende plekken, onder verschillende namen, ingegaan op de adviesrol. Ik gebruik daarbij de Engelse terminologie omdat daar onderscheid wordt gemaakt tussen advice en consulting. De missie van Internal Audit (IA) is ‘To enhance and protect organizational value by providing risk-based and objective assurance, advice, and insight.’ Advies is dus één van de belangrijke producten van de IAF. Dat komt terug in de Definitie van IA: ‘Internal auditing is an independent, objective assurance and consulting activity ….’. In het verlengde hiervan wordt in de (Implementatie) Standaarden onderscheid gemaakt tussen standaarden voor assurance (.A) en voor consulting (.C) services.

Bovenstaande kan de vraag oproepen of er verschil is tussen advice of advisory services en consulting services. In de Glossary wordt ‘Consulting Services’ gedefinieerd als “Advisory and related client service activities …”. Helaas wordt er geen expliciete definitie gegeven van advisory, maar

geconcludeerd kan worden dat consulting dus breder is dan advisory. Advice is één van de vormen van consulting. Dat sluit aan bij de diverse adviesstijlen die in het algemeen worden onderscheiden.

Ik kom daar later op terug. Voorbeelden van consulting die in de Glossary worden gegeven zijn:

counsel, advice, facilitation and training.

Dit zou ook kunnen worden gekoppeld aan de producten van de IAF: consulting services leiden tot advice en insight. Advice is het resultaat van de expert die iets heeft onderzocht, insight gaat dieper, gaat over inzicht en begrijpen, en kan tegelijkertijd ook het resultaat zijn van andere consulting services, zoals het optreden als procesbegeleider, facilitator of coach.

De inleiding op de Standaarden maakt het echter niet eenvoudiger. Daar wordt dit onderscheid niet gemaakt en wordt gezegd “Consulting services are advisory in nature …”. Ondanks dat lijkt het mij, in

1https://www.iia.nl/actualiteit/nieuws/publicatie-de-botsende-logica39s-van-advisering-en-auditing Advisering & Auditing, Over complementaire competenties op basis van botsende logica’s, IIA en ESAA, 2015

2IPPF = International Professional Practices Framework

(2)

2 het verlengde van de Glossary, passend om ‘Advisory Services’ te hernoemen in ‘Consulting Services’, die dan verschillend van aard en stijl kunnen zijn.

In zowel de Glossary als in de inleiding op de Standaarden wordt een tweede kritiek kenmerk van consulting servcies gedefinieerd: “Consulting services are …… and generally performed at the specific request of an engagement client.” De aard en scope van de opdracht zijn overeengekomen met de klant. Een essentieel kenmerk is dat er maar 2 partijen zijn: de auditor en de klant (in plaats van de gebruikelijke 3 bij assurance services: de opdrachtgever, auditor en audittee of

objectverantwoordelijke). Om het verwarrend te maken, wordt door sommigen dan gesproken over een ‘audit op verzoek’, vooral om aan te geven dat het een onafhankelijk en objectief onderzoek blijft.

2. En de ‘natuurlijke adviesfunctie’ dan?

In auditland wordt ‘consulting’ of advies veelal geassocieerd met de ‘natuurlijke adviesfunctie’. Het zijn echter twee verschillende activiteiten. De term ‘natuurlijke adviesfunctie’ is oorspronkelijk ontstaan als advies in het verlengde van de audit. Nihal Albayrak3 schrijft ‘De accountant vervult in zijn controlerende functie werkzaamheden die ervoor zorgen dat hij voldoende kennis opneemt om ook adviezen te geven. De adviesfunctie wordt door Limperg en vervolgens door Groeneveld beschouwd als een aanvulling op de controle. Het is de plicht van de accountant om te adviseren over gebreken in het interne controlesysteem. De adviserende arbeid maakt deel uit van de controlerende functie. Frielink4 beschrijft dit als de natuurlijke adviesfunctie van de accountant en wijst op het collisiegevaar.’

Er wordt onderscheid gemaakt tussen de natuurlijke en de zelfstandige adviesfunctie van de accountant: ‘De deskundigheid die van een accountant verlangd wordt is primair nodig om de controleopdracht uit te voeren, maar opdrachtgevers kunnen ook vragen om hun deskundigheid in te zetten voor het geven van advies. De opdrachtgever hoeft niet al een controleklant te zijn. Het besluit hierover hangt dan af van de specifieke deskundigheid die gevraagd wordt. Dit heet de zelfstandige adviesfunctie van accountants (Frielink, 1985, p. 30).’.

Concluderend: consulting services zijn dus over het algemeen iets anders dan de natuurlijke adviesfunctie. ‘Consulting’ in de IIA-definitie verwijst echt naar afzonderlijke adviesopdrachten.

Overigens behoeft de natuurlijke adviesfunctie niet alleen plaats te vinden aan de ‘achterkant’ van de audit, waarbij bevindingen worden omgezet in aanbevelingen (met enige risico’s van dien, maar daarover later meer). In de auditmethodologie5 wordt het belang benadrukt van advies aan de

‘voorkant’ van de audit: de coaching en advisering over het type audit en de bijbehorende onderzoeksvraag, de afbakening en het te hanteren normenkader, om te zorgen dat de audit optimaal aansluit bij de kennisbehoeften van de organisatie.

3. Mag het wel en wanneer (niet) en onder welke voorwaarden?

Duidelijk is dat consulting services door de IAF dus mogen. Consulting is expliciet toegevoegd aan de definitie. Een belangrijke reden hiervoor is om de toegevoegde waarde die de IAF levert, te

benadrukken.

3Nihal Albayrak, In hoeverre biedt een analyse van de natuurlijke adviesfunctie inzicht in de verhouding tussen audit en non-auditdiensten?, UvA, 1 Juli 2013

4Frielink, A.B. (red.) (1985). Leerboek Accountantscontrole, Algemene grondslagen (Deel 1). Leiden/Antwerpen:

Wetenschappelijk & Educatieve uitgevers

5Otten, de Korte en Hartog, Management Control Auditing: de praktijk, een framework en directe toegevoegde waarde, in Management Control Auditing: bijdragen aan assurance & consulting activities, Auditing.nl, 2011

(3)

3 Tegelijkertijd zal het over het algemeen niet het belangrijkste product van de IAF zijn. Het is immers een auditfunctie, die vanuit haar 3e lijnsrol additionele zekerheid geeft, en geen consultancy-functie.

Mede in het verlengde daarvan zijn er diverse voorwaarden gesteld.

De belangrijkste voorwaarden hangen direct samen met de beginselen die gelden voor alle activiteiten van de IAF:

 De onafhankelijkheid en objectiviteit (Standaard 1100);

 De vakbekwaamheid en beroepsmatige zorgvuldigheid (Standaard 1200).

In de praktijk ontstaat de meeste discussie over Standaard 1100 en dan vooral over het collisiegevaar dat optreedt bij het uitvoeren van advieswerk. De inleiding op de Standaarden zegt: “… Bij het verrichten van adviesdiensten dient de internal auditor objectiviteit te betrachten en geen managementverantwoordelijkheid op zich nemen.” Wat zeggen de Standaarden hierover verder?

Met name Standaard 1130 geeft nadere handvatten, enerzijds van de invloed van het doen van advieswerk op de audits, anderzijds over het doen van adviesopdrachten zelf:

 1130.A1 – ... De objectiviteit wordt verondersteld te zijn aangetast wanneer een internal auditor audits uitvoert op een activiteit waarvoor de auditor in het voorafgaande jaar verantwoordelijk was.

1130.A3 – De internal auditfunctie mag auditwerkzaamheden bieden in gevallen waarin eerdere adviesdiensten zijn geboden, mits de aard van het advies de objectiviteit niet belemmert en de individuele objectiviteit wordt bewaakt bij het toekennen van de middelen (lees auditors) aan de opdracht.

Bovenstaande betekent eigenlijk dat een auditor geen audit kan uitvoeren op een object waar hij korter dan een jaar daarvoor een advies over heeft gegeven, tenzij het advies ging over de opzet en de audit slechts over de werking of naleving. Hoewel de Standaarden ruimte laten om de audit dan door een andere auditor te laten doen, en aanvullend bijvoorbeeld te benadrukken dat het management verantwoordelijk is voor het accepteren van adviezen, is het meest zuivere dat de IAF als geheel in dat geval geen audit op dat object uitvoert.

 1130.C1 – Internal auditors kunnen adviesdiensten verlenen voor de operationele activiteiten waarvoor zij in het verleden verantwoordelijk waren.

In het verlengde hiervan, kan ook worden geconcludeerd dat het geen bezwaar is om eerst te auditen en daarna te adviseren.

Voor de tweede voorwaarde lijkt wat minder aandacht te bestaan. Wellicht onterecht. Standard 1200 stelt als eis dat de auditor wel voldoende deskundigheid (kennis en vaardigheden evenals methoden en technieken) moet hebben. Eigenlijk een vanzelfsprekendheid. Het tweede deel, de beroepsmatige zorgvuldigheid, wordt in de praktijk echter nog wel eens met voeten getreden. Dat geldt voor de adviesrol in het verlengde van een audit én voor aparte adviesopdrachten. Op die tweede kom ik in paragraaf 5 terug.

In het algemeen is sprake van een goede, deugdelijke onderbouwing van de conclusies, als antwoorden op de onderzoeksvraag (‘is er een probleem in …?’). Regelmatig ontbreekt echter deze onderbouwing als het gaat om de

aanbevelingen. Er is dan geen sprake van ‘jumping to conclusions’, maar wel van ‘jumping to’ advice.

Vaak worden de oorzaken van de problemen niet of onvoldoende geanalyseerd, noch de

haalbaarheid en prioriteit van de aanbevelingen t.o.v. andere (verbeter)activiteiten die onderhanden en voorgenomen zijn. Voor complexe problemen kan dat ook een omvattend nader onderzoek

(4)

4 vereisen. De oplossing kan dan zijn het management te helpen bij het analyseren en formuleren van verbeteringen in plaats van deze zelf aan te dragen; je opstellen als procesadviseur in plaats van als expert.

Van een voldoende grondslag voor aanbevelingen is pas sprake als de volgende vragen goed beantwoord kunnen worden:

 Het risico: is het probleem groter dan de risico-apetite?

 De oorzaak: is de oorzaak bekend en sluit de oplossing daarop aan?

 De haalbaarheid: wat speelt er nog meer; heeft het probleem prioriteit? Kennen we de

consequenties: kost het niet teveel?, aan geld, aan tijd, aan motivatie?; wat betekent het voor de teamgeest, sociale verhoudingen, …?

Soms wordt in dit kader een beroep gedaan op de ‘professional judgement’. Dat mag echter niet verworden tot ‘ik roep (maar) iets vanuit mijn overtuigingen en eerdere ervaringen’, zonder echt goed naar de specifieke situatie te hebben gekeken. Dan komt de professional judgement in conflict met die beroepsmatige zorgvuldigheid.

4. Wil je het of moet je het wel willen?

Dat is een vraag aan de IAF, maar zeker ook aan het bestuur van de organisatie, als opdrachtgever van de IAF. Het is een strategische keuze om de IAF al dan niet consulting-activiteiten te laten verrichten. De Standaarden (1000) geven aan om de keuze hiervoor, geconcretiseerd in de mogelijke soorten advieswerk die dan tot het taakgebied van de IAF behoren alsmede de (maximale) capaciteit die daaraan besteed wordt, voorafgaande aan de uitvoering daarvan, vast te leggen in het

Auditcharter. Overwegingen daarbij zijn onder meer:

 de behoeften van de organisatie (regelmatig is er de oproep aan de IAF ‘help nu eerst maar eens de verbeterpunten te realiseren in plaats van weer nieuwe op tafel te legen’), in samenhang met het al dan niet aanwezig zijn van andere functies die het management bij de inrichting van de organisatie kunnen ondersteunen;

 de mogelijkheid dat een breed takenpakket de aantrekkelijkheid van de functie kan vergroten, voor de nieuwe generaties, in een krappe arbeidsmarkt;

 de vraag of de organisatie het onderscheid wel kan maken tussen de verschillende petten die de auditors dan opzetten;

 het risico dat een veelheid van consulting-opdrachten zal leiden tot onvoldoende capaciteit voor de auditwerkzaamheden;

 de vraag of de auditor het wel kan.

Op dit punt is het ook aardig om te kijken naar wat Richard Chambers zegt in zijn boek Trusted Advisors6: “I remain convinced that the term advisor encompassess the full spectrum of an IA’s work

….. In the end, I believe we are advisors in our professional roles everyday. Vervolgens schetst hij de kenmerken van een trusted advisor, zijnde iemand die echt een ‘seat at the table’ heeft verdiend.

5. Kan je het wel ofwel hoe doe je dat dan?

Voor verdere ‘best practices’ t.a.v de uitvoering van consulting-opdrachten verwijs ik graag naar de Perfomance Standards en toelichtingen daarop. Deze hebben vaak een specifieke invulling voor consulting. Onder meer wordt daarbij ingegaan op:

 Het evalueren van de toegevoegde waarde van de adviesopdrachten voordat deze worden aangenomen (2010).

 Het gebruiken van de kennis (omtrent risico’s en controls) vanuit advieswerkzaamheden in de uitvoering van de (risico-evaluatie tijdens) assuranceactiviteiten (2120 en 2130).

6Richard F. Chamber, Trusted Advisors, key attributes of outstanding internal auditors, IA Foundation, 2017

(5)

5

 De voorbereiding, uitvoering en rapportage van de werkzaamheden (2200, 2300 en 2400), waarbij vooral wordt aangegeven dat de werkwijze en vastlegging moet worden afgestemd op de specifieke opdracht.

 De verplichting om serieuze issues op het gebied van governance, risicomanagement en beheersing te melden aan het senior management en het bestuur (2440).

Er wordt wel gezegd dat de Standaarden vooral passen bij adviesopdrachten waarin men handelt vanuit een expert-rol. Dan wordt gesteld dat de eisen aan dossiervorming en rapportage weliswaar minder strikt zijn dan voor audits, maar dat ze toch niet altijd goed aansluiten bij opdrachten met een begeleidende of faciliterende rol, waarbij de auditor niet zozeer zelf een concreet product oplevert. Kijkend naar de ruimte die wordt geboden in de standaarden 2200, 2300 en 2400 is dat echter de vraag. Mijn inziens vormen de Standaarden hier geen belemmering.

Tegelijkertijd lijkt in de praktijk de auditor (van nature?) wel vaak de rol van expert aan te nemen, die de oplossing vertelt aan zijn klanten. Die ligt ook het dichtste bij de rol als onderzoeker/auditor.

Ook de kenmerken die Chambers beschrijft, zijn vooral gericht op de expert-adviseur. Waarbij overigens wel wordt aangegeven dat de effectiviteit van een advies niet alleen afhangt van de inhoudelijke kwaliteit, maar ook van de ‘acceptactie’(ofwel E= KxA). Chambers gaat dan ook uitgebreid in op de eigenschappen die zijn vereist voor het opbouwen van goede relaties.

Een ander bruikbaar boek op dit gebied, met dezelfde titel, is dat van David Maister7. Hij geeft een aantal gedrag-tips voor het proces om een gewaardeerde en vertrouwde adviseur te worden.

Zoals hiervoor al naar voren kwam zijn er echter ook andere adviesrollen mogelijk. Rollen die veel meer zijn gericht op het aanzetten van de klant tot nadenken, om deze zelf te laten komen tot de beste oplossing. Die rol kan heel passend zijn, omdat de auditor-adviseur het zelf nu eenmaal ook niet allemaal kan weten, maar ook omdat deze op langere termijn wel eens meer effect zou kunnen hebben. Net als de NOVIB-methode: we geven ze geen vis, maar leren ze vissen; we geven geen antwoord op de vraag hoe het beter kan, maar helpen het antwoord te vinden.

In dit kader wil ik graag wijzen op de adviesrollen die Schein8 onderscheidt. Hij biedt handvatten voor het kiezen en invullen van de juiste rol. Deze kunnen tegelijkertijd worden gebruikt als een soort risicoanalyse voor de beroepsmatige zorgvuldigheid. Het kunnen optreden als expert vereist dat is voldaan aan een aantal voorwaarden ofwel veronderstellingen. Als dat niet zo is, is er een gerede kans dat het advies inhoudelijk onjuist danwel onhaalbaar zal zijn. In dat geval past een rol van procesbegeleider, conform de uitgangspunten of veronderstellingen in de 2e kolom, beter.

Veronderstellingen Expertmodel Veronderstellingen Procesadvisering

Cliënt kent zijn behoeften (dus heeft juiste diagnose gesteld)

Cliënt heeft de behoeften juist en volledig op de adviseur overgebracht

Cliënt weet dat de adviseur de expertise kan leveren

Cliënt heeft goed nagedacht over de gevolgen van het feit dat hij de adviseur heeft gevraagd info te verzamelen

Cliënt weet wat de gevolgen zijn van de implementatie van de veranderingen die door de adviseur worden aanbevolen

Cliënt weet niet waar het echt aan schort en heeft hulp nodig bij stellen diagnose om echte probleem boven water te krijgen

Cliënt is en blijft eigenaar van het probleem

Cliënt weet niet wat voor soort hulp mogelijk is en welke hulp de adviseur kan bieden

Cliënt wil verbeteringen, maar heeft hulp nodig om te achterhalen wat moet worden verbeterd en hoe

Alleen de cliënt weet welke oplossing zal werken. De adviseur weet niet voldoende om betrouwbare aanbevelingen te doen

7Maister, Green, Galford; The Trusted Advisor, Free Press, 2000.

8 Schein, E.H., Procesadvisering; Over de ondersteunende rol van de adviseur en het opbouwen van samenwerking tussen adviseur en cliënt, Addison-Wesley, 1999

(6)

6

De cliënt zou zelf moeten leren problemen te onderkennen en daarvoor oplossingen te bedenken

De aard van het probleem is zo dat de cliënt profiteert van deelname in het diagnose proces

De cliënt is constructief, heeft normen en waarden die de adviseur kan aanvaarden en kan een dergelijke relatie aangaan

Schein geeft daarbij voor de rol van procesadviseur vijf principes, die m.i. belangrijk zijn om de vereiste ‘beroepsmatige zorgvuldigheid’ te realiseren:

1. Stel u altijd helpend op; advisering is begeleiding.

2. Houd altijd voeling met de huidige werkelijkheid. Je kunt alleen hulp bieden als je de werkelijkheden kent die bestaan in jezelf en in het klantsysteem.

3. Leg u onwetendheid bloot. Maak onderscheid in wat je weet, wat je meent te weten en wat je echt niet weet.

4. Alles wat u doet is een interventie.

5. De cliënt is eigenaar van het probleem en van de oplossing ervoor.

Hetgeen geheel aansluit bij de rol van audit die geen managementbeslissingen mag nemen.

Resumerend: consulting services bieden de mogelijkheid om als internal auditor echte toegevoegde waarde te leveren. Vanuit de IIA beroepsnormen mag het en kan het, maar je moet het wel willen en zorgvuldig doen. Daarvoor bestaan voldoende handvatten.

Referenties

Download het nu ( PDF - 6 pagina - 739.94 KB )

GERELATEERDE DOCUMENTEN

FS-20130416.10a-Standaarden-voor-de-cloud

NIST: Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of.. configurable computing

Notitie-Open-Standaarden

Digikoppeling 2.0 is een set koppelvlak standaarden voor gestructureerd berichtenverkeer met overheidsorganisaties. De standaarden bevatten afspraken om berichten juist te

FS-20111212.05A-indeling-van-standaarden

Deze zijn vaak internationaal georiënteerd en dekken vaak een deel van de standaarden af (bijv. alleen semantische standaarden).. De volgende indelingen zijn wel bekeken maar

OS-Criteria-voor-de-selectie-van-standaarden

Daarom dient bij de beoordeling van de standaarden afzonderlijk gekeken te worden naar het effect van het opnemen van de standaard op de doelen van de lijst:. - In welke mate

OS-Leidraad-beoordeling-standaarden

Standaarden die ontwikkeld zijn door organisaties die binnen deze categorie vallen, voldoen aan de criteria ten aanzien van open standaarden en kunnen dus worden gehanteerd

INTERNATIONALE STANDAARDEN VOOR DE BEROEPSUITOEFENING VAN INTERNAL AUDITING (STANDAARDEN) Inleiding op de Standaarden

De vraag wie de relevante betrokkenen zijn en aan wie de details van een aantasting van de onafhankelijkheid of objectiviteit moeten worden gemeld, is afhankelijk van de

Ondersteuning kleine internal auditfuncties bij implementatie van de Standaarden

Hoewel het hoofd van een kleine internal auditfunctie verantwoordelijk is voor het waarborgen dat alle Standaarden worden geïmplementeerd, kan de mate waarin nale- ving van

Reglement klachtenbehandeling Artikel 1: voor de toepassing van dit reglement wordt een onderscheid gemaakt tussen: a)

Artikel 5: beleidsklachten worden enkel geregistreerd en als dusdanig aan het beleid overgemaakt Artikel 6: het diensthoofd administratie (klachtencoördinator) staat in voor