De auditor als hefboom voor verandering

Het interdepartementaal beleidsonderzoek (IBO) Regeldruk en Controletoren heeft een nieuwe impuls gegeven aan de ontwikkeling van managementcontrol binnen de rijksoverheid. In reactie op dit IBO heeft het kabinet enkele maatregelen aangekondigd die ertoe moeten leiden dat beheersing en audit bij de rijksoverheid zich meer zullen richten op de essentiële zaken en de grote risico’s. Dit vereist dat het samenspel tussen lijnmanagement en auditor verandert en dat deze partijen hun verantwoordelijkheden anders gaan invullen. In de praktijk lijken beide spelers echter vooral op elkaar te wachten voordat daadwerkelijk ruimte wordt gegeven voor die verandering. Men lijkt nog te veel vast te zitten in oude overtuigingen en vooroordelen over elkaars rol en kwaliteiten. De auditor kan deze cirkel doorbreken door te veranderen van controleur in adviseur en door nu reeds te verduidelijken wat hij minder gaat doen wanneer de lijnmanager kan aantonen ‘in control’ te zijn. Sterker nog, de auditor zou nu al kunnen beginnen met loslaten. Dit vergt lef, maar kan de beslissende doorbraak bewerkstelligen naar een werkende managementcontrol bij de rijksoverheid.

Het begrip managementcontrol werd binnen de rijksoverheid geïntroduceerd bij de start van het rijksbrede VBTB-traject. Met de opname van de zogenoemde ‘mededeling over de bedrijfsvoering’ in het jaarverslag werd een begin gemaakt met het streven naar ‘in control zijn’. Deze rijksbrede invoering van managementcontrol in het jaar 2000 blijkt vijf jaar later in de praktijk slechts tot voorzichtige resultaten te hebben geleid. Vrijwel elk ministerie heeft op papier een managementcontrolsysteem ontwikkeld dat maar tot op zekere hoogte tot praktisch resultaat leidt. Risicomanagement krijgt overal een plek in het managementcontrolsysteem, maar blijkt slechts sporadisch structureel en systematisch te worden toegepast.
Managementcontrol is binnen de rijksoverheid vooral nog een papieren tijger, het is over het algemeen nog niet praktisch omarmd, zeker niet door de beoogde eigenaars, het lijnmanagement. De indruk bestaat dat dit met name het gevolg is van het gevoel dat managementcontrol en alles wat daarbij hoort, vooral extra administratieve lasten en bureaucratie veroorzaakt. De lijnmanager ziet nog weinig voordeel in het omarmen van managementcontrol, dat alleen maar het beleidsproces zou belemmeren en een instrument voor controllers zou zijn.

Nieuwe impuls?
Het IBO Regeldruk en Controletoren komt niet uit de lucht vallen. Al jaren heerst in de maatschappij en ook binnen de rijksoverheid het gevoel dat de kerntaak van de overheid, het dienen van het publieke belang, wordt belemmerd door een overvloed aan regels, controle en toezicht. De burger wordt daarmee lastig gevallen, maar ook de interne organisatie van de rijksoverheid lijkt daardoor aan doelmatigheid en effectiviteit te verliezen. Het interne wantrouwen lijkt zo groot dat het woud aan (inter)departementale regels, controle en audit heeft kunnen groeien tot de huidige enorme omvang. Naar aanleiding van het rapport van het IBO Regeldruk en Controletoren beoogt het kabinet hier verandering in te brengen door een aantal maatregelen aan te kondigen.

Lijnmanagement centraal
De genoemde maatregelen hebben belangrijke gevolgen voor de rolopvatting en -invulling van de verschillende spelers binnen een departement. De verantwoordelijkheid van het lijnmanagement staat hierin centraal. Het IBO Regeldruk en Controletoren bepaalt dat de lijnmanager niet alleen verantwoordelijk is voor de realisering van zijn beleidsdoelstellingen, maar ook voor de effectiviteit, doelmatigheid en rechtmatigheid waarmee dat gebeurt. De manager kan dit bereiken door ervoor te zorgen dat hij in control is wat betreft zijn organisatie en zijn bedrijfsprocessen. Hierbij kan hij gebruikmaken van risicoanalyse waarmee hij inzicht krijgt in de risico’s dat hij zijn doelstellingen niet haalt of dat deze niet op doelmatige en rechtmatige wijze worden bereikt. Hij kan prioriteiten aan de risico’s toekennen en besluiten welke risico’s hij belangrijk genoeg vindt om te verkleinen of weg te nemen door bijvoorbeeld beheersingsmaatregelen te treffen. Dit geeft hem de gelegenheid om regelmatig te checken of die maatregelen effectief zijn en of er nieuwe risico’s zijn bijgekomen, zodat hij kan bijsturen op basis van deze inzichten. Over zijn keuzes en prioriteiten kan hij vervolgens afspraken maken met zowel zijn medewerkers als met het hogere management. Tussentijds en achteraf kan hij verantwoording afleggen – dat is ook zijn recht – voor de wijze waarop hij de sturing en beheersing vormgeeft. Dat laatste doet hij in het management statement dat hij afgeeft aan het hogere management.

What’s in it for me?
Bovenstaande gevolgen van het IBO Regeldruk en Controletoren voor de lijnmanager lijken op het eerste gezicht tamelijk veelomvattend. De vraag is echter of dat feitelijk het geval is. In wezen betekent een en ander dat de lijnmanager vooral expliciet maakt wat hij veelal al jaren impliciet doet. Daarvoor kan hij gebruikmaken van een veelheid van instrumenten die op de meeste ministeries al feitelijk aanwezig zijn: de bestaande managementinformatiesystemen, de bestaande planning- en controlcyclus, waarin al managementafspraken worden gemaakt, en de bestaande instrumenten van managementcontrol zoals beleidsevaluaties, doorlichtingen en financiële en operationele audits. Hierbij kan de manager putten uit de deskundigheid van de control- en auditfunctie.

Weerstand
Toch is de kans groot dat de ambities van het IBO Regeldruk en Controletoren verzanden in weerstand bij het lijnmanagement, weerstand die vooral het gevolg lijkt van het feit dat onvoldoende duidelijk is gemaakt wat voor hem de toegevoegde waarde is van managementcontrol. De primaire taak van de manager is het realiseren van zijn beleidsdoelstellingen, het realiseren van de maatschappelijke effecten die hij met zijn beleid beoogt en het halen van de afgesproken prestaties. Daarmee is de manager dagelijks bezig en daarvoor maakt hij dagelijks keuzes bij het aansturen van zijn medewerkers en het sturen van de benodigde processen. In dat dagelijkse werk wordt hij veelvuldig lastiggevallen door controllers en auditoren. Belangrijk hierbij is dat de manager vaak het gevoel heeft dat hij vooral wordt afgerekend als ‘straf’ voor transparantie over hoe hij zijn zaken heeft geregeld. De houding van de auditdienst speelt daarbij zeker een belangrijke rol. De manager heeft veelal het gevoel dat de auditor vooral gericht is op het vinden van fouten, op wat hij niet goed doet.
Ook is op dit moment nog niet duidelijk wat ‘in control zijn’ nu precies inhoudt. En zo zijn er nog veel meer vragen. Wat zou er in een management statement moeten staan? Hoe kan zo’n statement onderbouwd worden? Wat is goed risicomanagement? Wat kan de manager doen aan rechtmatigheid? Daarnaast lijkt in het IBO Regeldruk en Controletoren een paradox te schuilen. Het doel is minder regels en minder controle, maar het komt bij het lijnmanagement over als extra werk, meer bureaucratie en strengere controle. De manager vraagt zich af: “Mooie woorden allemaal maar, maar what’s in it for me?”

Cultuuromslag
De weerstand tegen managementcontrol komt vooral voort uit de heersende cultuur op de ministeries.
Die cultuur wordt gekenmerkt door wantrouwen. Control- en auditfuncties lijken wantrouwen geïncorporeerd te hebben in hun dagelijkse werkzaamheden. Hierbij wordt ervan uitgegaan dat het lijnmanagement weinig verstand heeft van sturing en beheersing en daarin dus fouten maakt die de staf dan moet blootleggen en rechttrekken. Dit bevestigt bij het lijnmanagement weer het idee-fixe dat weliswaar het beleid door hen wordt voorbereid en ontwikkeld, maar dat de sturing en met name de beheersing van het proces om de gewenste beleidsdoelstellingen te realiseren, vooral de verantwoordelijkheid van de staf is. De werkelijkheid ligt wellicht iets genuanceerder, maar in feite is hier wel sprake van een soort vicieuze cirkel. Om managementcontrol daadwerkelijk voet aan de grond te laten krijgen denken wij dat een cultuur nodig is die wordt gekenmerkt door leiderschap en het nemen van verantwoordelijkheid voor de prestaties door het lijnmanagement. Een cultuur waarin het management graag transparant is over waar het voor staat en hoe het zijn processen stuurt en beheerst om zijn doelen te bereiken. En een cultuur waarin de lijnmanager het vertrouwen krijgt van de control- en auditfuncties, die beseffen dat zij er zijn om de lijnmanager te ondersteunen.

De rol van de auditor
Het streven van het kabinet is erop gericht dat binnen de ministeries de eerste management statements worden afgegeven over het jaar 2006, dus voorafgaand aan de totstandkoming van het jaarverslag 2006 dat in mei 2007 in de Tweede Kamer wordt behandeld. Bij alle ministeries worden pilots opgezet om op korte termijn zo veel mogelijk te oefenen met managementcontrol en de management statements als sluitstuk daarvan. Beleidsdirecties lijken echter niet altijd over te lopen van enthousiasme om hieraan te beginnen. Vaak wordt daarbij als argument gebruikt dat zij wel transparant kunnen zijn en moeite kunnen doen om in control te zijn, maar dat de auditdienst hen ouderwets zal blijven lastigvallen met ‘vinkgedrag’, de nadruk zal blijven leggen op rechtmatigheidsonderzoek en zal blijven afrekenen op fouten. De bereidwilligheid onder het lijnmanagement om actief onderdeel te zijn van de beoogde cultuurverandering lijkt gering.

Hoe kan deze weerstand worden doorbroken? Wat zou de rol van de auditor hierin kunnen zijn? Natuurlijk is het een feit dat ten aanzien van managementcontrol de controller binnen het ministerie een belangrijke rol speelt, meestal in samenwerking met de auditdienst. In dit artikel concentreren we ons echter vooral op de mogelijke rol van de auditdienst bij het doorbreken van de weerstand onder het lijnmanagement. Als je nu naar de meeste ministeries kijkt, lijken namelijk vooral de lijnmanager en de auditor op elkaar te zitten wachten. In de totale constellatie van het managementcontrolsysteem, de planning- en controlcyclus en de positie van het lijnmanagement en de controller daarin, zou een proactieve rol van de auditor dingen in beweging kunnen zetten.

Doorbraak
Op dit moment blijft de auditdienst vooral gegevensgericht controleren omdat men vindt dat de lijn nog (lang) niet in control is. En de lijn ziet de toegevoegde waarde van het in control zijn nog niet, omdat onder anderen de auditor toch gegevensgericht blijft controleren. De auditor wordt nog steeds vooral gezien als certificerend financieel auditor en dus als afrekenaar. En dat terwijl de auditdiensten steeds meer (maar helaas te weinig) aan operationele auditing doen, waarvan de lijn wel de toegevoegde waarde ziet. Deze cirkel kan doorbroken worden door de auditdienst, wellicht in samenwerking met de controlfunctie, die in de praktijk natuurlijk ook een belangrijke rol heeft in de departementale managementcontrol.
De doorbraak kan onzes inziens worden gerealiseerd doordat de auditor enerzijds zijn rol zichtbaar verandert van controlerend naar adviserend en anderzijds de auditor aan het management toezegt dat managementcontrol tot een vermindering van de ‘controlelast’ kan leiden. Deze twee belangrijke initiatieven van de auditor worden hierna nader toegelicht.

Rolverandering van controlerend naar adviserend
1. De auditdiensten kunnen scoren door zich snel en zichtbaar een andere rol aan te meten: van controlerend naar adviserend. Hierbij mag uiteraard niet uit het oog worden verloren dat de auditdiensten ten behoeve van de wettelijke controletaak controlerende werkzaamheden moeten uitvoeren. Maar daarnaast zou er in het auditjaarplan voldoende ruimte moeten worden ingebouwd om zogenaamde ‘audits op verzoek’ (zoals operationele audits, integriteitsaudits) te kunnen uitvoeren. Juist door het uitvoeren van audits op verzoek kan de auditor zijn toegevoegde waarde aan het management tonen. Daarnaast heeft de auditor bij het uitvoeren van de wettelijke taak ook voldoende mogelijkheden om het management te adviseren – de natuurlijke adviesfunctie. Belangrijk is dat de auditor tijdig, dus voor de start van een controlejaar, ten tijde van het opstellen van het auditjaarplan, de wensen van het management inventariseert. Deze inventarisatie kan aan de hand van een gesprek met het management plaatsvinden. Tegelijkertijd kan in dit gesprek de door het management opgestelde risicoanalyse, die het vertrekpunt vormt voor de risicoanalyse van de auditdienst in het kader van de wettelijke controletaak, worden besproken. Hierdoor ontstaat een natuurlijk overlegmoment waarop beide partijen over onder meer managementcontrol, risicomanagement en de rol van de auditor spreken. Belangrijk is dat de auditor in deze gesprekken het management ervan overtuigd dat hij het management kan ondersteunen in het streven naar een effectieve, doelmatige en rechtmatige uitvoering van beleidsdoelstellingen.

2. De auditdienst moet de wijzigingen en de gevolgen voor de organisatie van het IBO Regeldruk en Controletoren bespreken met het management. Immers, de kern van dit rapport is dat het management niet alleen verantwoordelijk is voor de realisering van de beleidsdoelstellingen, maar ook voor een effectieve, doelmatige en rechtmatige wijze van uitvoering. Het management zal hiertoe, met ingang van het jaar 2006, een intern management statement afgeven. Nieuw is de uitspraak hierin over de rechtmatigheid van de begrotingsuitvoering. Hierdoor wordt de verantwoordelijkheid voor het rechtmatig handelen nadrukkelijk bij het management gelegd. Voorheen werd bij de term rechtmatigheid direct verwezen naar de auditdienst. De auditdiensten zien het vaststellen van de rechtmatigheid ook nog steeds als een belangrijk onderdeel van hun werkzaamheden en verwijzen naar de toezeggingen die in de Tweede Kamer zijn gedaan: door de implementatie van het IBO Regeldruk en Controletoren zullen de werkzaamheden van de auditdiensten niet significant wijzigen. De auditdienst hoeft deze verandering naar onze mening niet als een bedreiging te zien, maar juist als een kans om het management te ondersteunen bij de implementatie van het rechtmatigheidsaspect en te komen tot een management statement over de rechtmatigheid. De auditdiensten zijn hiertoe met hun jarenlange deskundigheid en ervaring immers uitstekend in staat.

3. De auditdienst dient, samen met de controlfunctie, actief te participeren in de discussie over de precieze inhoud van ‘in control zijn’. Zodra de auditdienst daarover een standpunt inneemt weet de lijnmanager wat hij kan verwachten. Het zou dus goed zijn als de auditor achter zijn pc vandaan komt, met de manager aan tafel gaat zitten en de gesprekken niet beperkt tot medewerkers en managers in de financiële functie.

4. De auditor zal het management het gevoel moeten geven dat de controle niet primair is gericht op het vinden van fouten, maar op het verbeteren van de kwaliteit van de interne beheersing. Dit kan een cultuur bewerkstelligen waar niet alleen de vinger wordt gelegd op wat fout gaat maar waar samen de risicovolle trajecten worden besproken en wordt nagedacht over de maatregelen om die risico’s te ondervangen.

5. De auditdienst kan zich meer profileren en ‘in de markt zetten’ als deskundige op het gebied van interne beheersing en laten zien welke toegevoegde waarde dit voor de lijn kan hebben. Deze toegevoegde waarde kan naar voren komen door het uitvoeren van operationele audits, beleidsaudits en ketenaudits. Indien de werkzaamheden van een auditdienst met name op het adviesvlak (buiten de natuurlijke adviesfunctie) komen te liggen, roept dit de vraag op of de auditdienst als interne accountant nog wel onafhankelijk genoeg is om de werkzaamheden uit hoofde van de wettelijke controletaak te verrichten. De auditdienst loopt immers het risico dat zij ten behoeve van de wettelijke controletaak gebruikmaakt van het interne beheersingsysteem (managementcontrolsysteem) waarmee het management is ondersteund en geadviseerd. Om het collisiegevaar te voorkomen, pleiten wij ervoor de wettelijke controletaak uit te besteden. Wij achten uitbesteding aan een binnen de rijksoverheid op te richten shared service voor de accountantsfunctie mogelijk, maar ook volledige uitbesteding aan externe accountantsbureaus. De auditdiensten kunnen zich dan zonder problemen richten op het ondersteunen en adviseren van de lijn op het gebied van interne beheersing, hetgeen de kwaliteit van de managementcontrol alleen maar ten goede komt.

Reductie van ‘controlelast’
6. De auditor kan managementcontrol stimuleren door aan te geven welke werkzaamheden komen te vervallen wanneer de manager op transparante wijze kan aantonen dat hij in control is. Belangrijk is dat in gezamenlijk overleg afspraken worden gemaakt over de voorwaarden waaraan de interne beheersingsmaatregelen van het management moeten voldoen. Een van de belangrijkste voorwaarden is dat de getroffen beheersmaatregelen zichtbaar zijn vastgelegd. De afspraken zullen ertoe leiden dat de werkzaamheden van de auditor verschuiven van primair gegevensgericht naar primair systeemgericht. Het aantal voorbeelden waarbij managers en auditoren samen optrekken is tot op heden helaas beperkt. Helaas, want uit de praktijk blijkt dat indien de manager en de auditor samenwerken op het gebied van interne beheersing dit een behoorlijke reductie van de ‘controlelast’ kan opleveren. Daarnaast biedt een primair systeemgerichte controle meer mogelijkheden voor advisering van het management. Immers, het accent van de werkzaamheden ligt op het beoordelen van de opzet, het bestaan en de werking van de beheersingsmaatregelen die zijn getroffen om risico’s te verkleinen. Aanbevelingen voor risicoverkleining en optimalisering van de managementcontrol zullen het management meer aanspreken dan het melden van fouten. Ofwel: samenwerking levert een win-winsituatie op.

De bovenstaande acties van de auditdienst zullen echter alleen succesvol kunnen zijn als aan de volgende voorwaarden is voldaan:
a. Bedrijfsvoering (in de zin van sturing en beheersing, dus managementcontrol) moet meer aandacht krijgen binnen de departementen. Momenteel lijkt de PSG eindverantwoordelijk te zijn voor de bedrijfsvoering. In de praktijk heeft de PSG echter veelal minder te zeggen in de bestuursraad en het audit committee dan de DG’s. Ons voorstel is om de verantwoordelijkheid voor managementcontrol bij de leden van het audit committee gezamenlijk te leggen. Zij vormen immers het verantwoordelijk management van het departement.
b. De lijnmanager moet transparant durven zijn. De klassieke neiging om de auditor weg te houden omdat een lijnmanager bang is om te worden afgerekend moet dus worden terzijde geschoven. De manager durft dit alleen als de auditor een andere houding gaat innemen en nu zichtbaar de eerste stap neemt.
c. De auditor zal zich op meerdere competenties moeten gaan ontwikkelen. Het accent ligt nu op oordeelsvorming, omgevingssensitiviteit, luisteren, mondelinge en schriftelijke uitdrukkingsvaardigheid, overtuigingskracht en samenwerken. Belangrijk is dat de bagage van de auditor wordt uitgebreid met onder meer kennis van managementcontrol, risicodenken en vooral risicoacceptatie (risicotolerantie), een continu streven naar vermindering van de controledruk, enzovoort.

Slotopmerkingen
Veranderen gaat niet vanzelf. Zeker niet in een grote organisatie als een ministerie met veel spelers in het veld. Het lijkt nu alsof iedereen spreekt over de benodigde cultuurverandering terwijl die verandering nauwelijks plaatsvindt omdat niemand het voortouw neemt. De departementale auditdiensten kunnen deze cirkel doorbreken door het lijnmanagement zichtbaar de stimulerende en helpende hand te reiken. Dit door als eerste in beweging te komen en de rol van de auditor zichtbaar te veranderen van controlerend naar spiegelend voor het lijnmanagement, van afrekenend naar stimulerend om te leren, van reactief aan de achterkant naar proactief aan de voorkant, van bureaucratisch naar pragmatisch. Hiermee kan de auditdienst als hefboom fungeren om managementcontrol binnen de rijksoverheid echt een stevig fundament te geven. De andere spelers, zoals het lijnmanagement en de controlfunctie, zullen dan volgen. Tegelijkertijd kunnen de auditoren hiermee de beslissende stap zetten in het proces naar de moderne auditdienst dat in 2001 is ingezet met het Kwaliteitsplan Auditfunctie Rijksoverheid.

Drs. J.L.C. van Sabben RA is manager bij KPMG Accountants. Hij is betrokken (geweest) bij de totstandkoming van het Handboek Auditing Rijksoverheid 2005 en 2006, en tevens werkzaam als senior accountant bij de auditdienst van het ministerie van Buitenlandse Zaken en docent financial audit aan de Haagse Hogeschool.
Drs. M.T.W. van Zwieten is projectleider bij de directie Financiële Bedrijfsvoering van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Hij is tevens docent risicomanagement en bedrijfsvoering aan de Rijksacademie voor Financiën en Economie en facilitator bij het future centre Het Buitenhuis. De auteurs hebben dit artikel geschreven op persoonlijke titel.