slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

De brede internal auditfunctie

De brede internal auditfunctie

15 november 2013 om 13:11 door Jacques van Kempen en Arie Molenkamp 0 reacties

In een reeks artikelen over controlling en auditing1 worden de functies van de internal auditor en die van de concerncontroller beschreven, in het bijzonder waar het gaat om de onderlinge

In een reeks artikelen over controlling en auditing1 worden de functies van de internal auditor en die van de concerncontroller beschreven, in het bijzonder waar het gaat om de onderlinge samenhang en de noodzakelijke afstemming. Afhankelijk van de omvang van de overheidsorganisatie, de gehanteerde bestuursstijl, de heersende cultuur en het hiermee samenhangende volwassenheidsniveau manifesteren zich in de praktijk verschillende modellen. In dit tweede artikel gaan de auteurs in op de zogenaamde brede internal auditfunctie.

De brede internal auditfunctie kenmerkt zich doordat zij ook adviesopdrachten vervult, in essentie een functie van de tweede lijn, die tezamen met de onafhankelijke, oordelende onderzoeken in een afdeling worden uitgevoerd. In de figuur is aangegeven hoe deze functie is gepositioneerd ten opzichte van andere, in de praktijk veel voorkomende structuurvormen.

TPC oktober 2013 blz 11.JPG
Figuur. De functies internal audit en concerncontrol binnen het Three Lines of Defence-model

Onderstaand beschrijven wij wat we onder de brede internal auditfunctie verstaan, waarbij we vooral ingaan op de voorwaarden waaronder dit model kan gedijen. Ook zullen we behandelen hoe de keuze van de auditobjecten tot stand komt en welke toegevoegde waarde internal audit voor de organisatie heeft. In het bijzonder zullen we aandacht schenken aan de relatie met concerncontrol; tenslotte kan de brede internal auditfunctie ook onderzoeken uitvoeren die in beginsel tot de tweede lijn behoren. In een aantal casusbeschrijvingen zal dat ook nader worden toegelicht.

De brede internal auditfunctie

Wat houdt de brede internal auditfunctie in?
In de figuur zijn de door ons te behandelen drie structuurvormen geplaatst binnen het model van de Three Lines of Defence. Dit model kent als derde lijn de onafhankelijke, objectief toetsende functie. Daarbij wordt in de meest zuivere vorm uitsluitend volstaan met het geven van een oordeel over de kwaliteit van inrichting van de beleidsontwikkeling en de bedrijfsvoering, conform de uitgangspunten die daartoe door de organisatie zelf, alsmede door de rijksoverheid, zijn gesteld. Deze toetsende functie zal naar onze mening altijd aanwezig moeten zijn, gezien de behoefte van de leiding aan een second opinion.2

De brede internal auditfunctie, zoals wij die in dit artikel behandelen, heeft bestaansrecht in een situatie van onvoldoende bedrijfsvoering en omvat naast het geven van een oordeel ook het verrichten van advieswerkzaamheden.
Zoals dat bij de professionele internal auditfunctie het geval is, kan het object van onderzoek bij een adviesopdracht alle aspecten van de bedrijfsvoering betreffen. De in opdracht uit te voeren audits en organisatieonderzoeken omvatten aldus niet alleen de primaire processen; hieronder vallen ook de besturende en ondersteunende processen, waaronder het uitbesteden van werkzaamheden, het opzetten van samenwerkingsverbanden, de planvorming rondom reorganisaties, het doorvoeren van bezuinigingsmaatregelen en activiteiten die ertoe dienen om zekerheid aan het management te verschaffen over de goede werking van deze processen. Naast thema’s, functies en processen uit de eerste lijn, blijken in de praktijk ook onderwerpen uit de tweede lijn hoge ogen te gooien, zoals quality control, verbijzonderde interne controle, riskmanagement, beleidsevaluaties en concerncontrol.

Onafhankelijkheid verplicht tot goede communicatie
Om haar oordelen zo objectief en onpartijdig mogelijk te doen zijn, zal de internal auditfunctie onafhankelijk moeten worden gepositioneerd. Dat betekent direct onder haar belangrijkste opdrachtgever, de hoogste ambtelijke leiding van de organisatie. In het vervolg van dit artikel hanteren we de term ‘internal auditeenheid’ om hiermee aan te geven dat het gaat om een zelfstandige en organisatorisch afgebakende functie.
Een grote onafhankelijkheid brengt met zich mee dat de internal auditeenheid zijn communicatie goed op orde moet hebben, teneinde te voorkomen dat ze zich vervreemdt van de bestuurlijke realiteit. Uiteraard is een goede relatie met de hoogste ambtelijke leiding een must en zal de internal auditeenheid direct toegang moeten hebben tot de bestuurlijke leiding. Maar ook een auditcommissie is noodzakelijk als klankbord bij vraagstukken die de kwaliteit van de internal auditfunctie raken, in het bijzonder bij de totstandkoming van een risk-based onderzoeksprogramma. Ten slotte zullen, ter vermijding van misverstanden en doublures, contacten met externe toezichthouders moeten worden onderhouden. Dualisering binnen decentrale overheden brengt natuurlijk met zich mee dat elke toetsende instantie zijn eigen opdrachtgever heeft. Dat neemt echter niet weg dat een waardevrije afstemming tussen ‘partijen’, onder voorbehoud van de eigen verantwoordelijkheid, een zinvolle bijdrage kan leveren aan het realiseren van het gezamenlijk doel, te weten een (nog) betere overheid.

De totstandkoming van een integrale risicoanalyse
Een onafhankelijke positie brengt ook met zich mee dat een internal auditeenheid een zekere invloed kan uitoefenen op de keuze van de auditobjecten, meer nog dan in situaties waarbij de internal auditfunctie onderdeel is van de concerncontroller of een managementondersteunend bureau. Door haar participatie binnen de auditcommissie kan de internal auditor commentaar leveren op de voorstellen die als resultaat van de integrale risicoanalyse binnen de eerste lijn door de concerncontroller zijn ingebracht. Aangezien concerncontrol niet mag worden verweten auditobjecten willekeurig in te brengen, is de controller erbij gebaat een zodanig inventarisatie- en waarderingsproces binnen de eerste lijn te regisseren, dat de organisatie zelf overgaat tot en de verantwoordelijkheid neemt voor een goede integrale risicoanalyse als basis voor het binnen de auditcommissie te bespreken onderzoeksprogramma. Weliswaar besluit de auditcommissie uiteindelijk over de te maken keuzen in dit programma, maar door uit te gaan van de wensen van het management en de feedback daarop door de auditeenheid kan de auditcommissie de keuze beter objectiveren en wint de selectie van auditobjecten aan draagvlak.
Hier lopen de belangen van het management, de internal auditeenheid, de auditcommissie en de concerncontroller gelijk op. Eerstgenoemde heeft behoefte aan aanvullende zekerheid over de haar bedreigende risicovolle processen, de internal auditeenheid heeft belang bij een zorgvuldig uitgevoerde risicoanalyse en daarmee een beter draagvlak voor het onderzoeksprogramma. De auditcommissie kan haar toezichthoudende taak beter uitoefenen omdat ze over door het management opgeleverde informatie beschikt, terwijl de concerncontroller het resultaat van de onder zijn regie uitgevoerde integrale risicoanalyse kan gebruiken om de beschikbare beheersmiddelen (capaciteit en geld) op een evenwichtige en verantwoorde wijze toe te wijzen aan risicovolle objecten. De concerncontroller is overigens ook de ideale sparringpartner voor het management bij het duiden van de risico’s in de werkrelaties van de overheidsorganisatie met derde partijen, omdat hij vaak betrokken is bij het opstellen van beheersafspraken met deze contractanten.

Auditobjecten evolueren met volwassenheidsniveau
De focus op het innemen van een onafhankelijke positie heeft als consequentie dat de internal audit eenheid geen werkzaamheden binnen de eerste of tweede lijn kan verrichten. Haar positionering brengt met zich mee dat ze idealiter op een objectieve wijze kan kijken naar alle aspecten van de inrichting van het organisatiesysteem, te weten de organisatiestructurering, de communicatie- en informatiesystemen, de primaire en ondersteunende processen alsmede thema’s zoals integriteit, beleidsprocessen en reorganisatieprogramma’s. Ook bijzonder onderzoek kan in het auditprogramma worden opgenomen, maar dat is niet vanzelfsprekend. Dat laatste hangt niet alleen af van de ervaring met het auditen van dergelijke projecten binnen de internal auditeenheid, van groot belang is ook of bij het onderzoek een toetsing dient plaats te vinden van de wijze waarop het college, de ambtelijke top dan wel leidinggevenden met hun verantwoordelijkheden en bevoegdheden zijn omgegaan. In dergelijke situaties is het gebruikelijk het onderzoek geheel of gedeeltelijk aan derden uit te besteden.
Voorts kan nog worden opgemerkt dat de binnen de auditeenheid benodigde kennis en ervaring in hoge mate samenhangt met de kwaliteit van de inrichting van de organisatie. Als de organisatie nog veel problemen heeft bij de dagelijkse bedrijfsvoering, dan zal het auditen van primaire processen, zoals de verantwoording van verstrekte subsidies, de auditagenda bepalen. Als de organisatie daarentegen een hoger niveau van volwassenheid heeft bereikt zullen objecten als het proactief toetsen van voorgenomen organisatieveranderingen ook een plek binnen het auditplan innemen. Het moge duidelijk zijn dat de kwaliteit en aard van de bemensing van de auditeenheid een afspiegeling is van het volwassenheidsniveau van de organisatie.

Casus: van project naar proces
Gedurende een aantal jaren heeft de internal auditeenheid van een middelgrote gemeente tijdens de uitvoering van haar projectaudits als grootste gemene deler bevonden dat de bemensing van projecten kwalitatief niet voldoet aan de daaraan te stellen eisen. Zo worden de sleutelposities bezet door medewerkers die weinig tot geen ervaring hebben met vergelijkbare projecten. Ook stelde de auditeenheid vast dat de besluitvorming binnen de projectorganisatie onduidelijk is. ‘Go’- en ‘no-go’-momenten worden niet van te voren benoemd en de status van diverse gremia is niet helder omschreven.
Gesteld voor de keuze om voor het komende jaar weer een projectaudit uit te voeren met de kans op dezelfde bevindingen of om het anders aan te pakken, werd in overleg met de opdrachtgever en in afstemming met de auditcommissie besloten om te kiezen voor processen die cruciaal zijn voor het welslagen van projecten. In plaats van een projectaudit werden aldus twee processen in het onderzoeksplan opgenomen; te weten het ‘aanstellen van medewerkers in projectorganisaties’ en de ‘besluitvorming binnen projecten’. Met deze keuze voor een verdiepende analyse op procesniveau bleek de uitkomst van de internal audit meer waarde toe te voegen; met name de aanbevelingen die aangrepen op vaak voorkomende kernproblemen binnen de projectbeheersing.


Systeemdenken stelt eisen aan volwassenheidsniveau

De keuze voor het concept van de Three Lines of Defence, en daarmee voor het systeem- en procesdenken, maakt duidelijk dat de internal auditeenheid geen werkzaamheden meer verricht in de primaire en ondersteunende processen (first line of defence) zo min als in de inrichtende, regelende, controlerende en bewakende processen (second line of defence). Deze afbakening is niet vanzelfsprekend; veel managers komt het goed uit dat de internal auditeenheid zorgt voor aangelegenheden waarvoor het zelf te weinig capaciteit heeft of er geen prioriteit aan geeft. De internal auditeenheid moet haar toegevoegde waarde en haar onafhankelijke en toetsende positie binnen het concept van de Three Lines of Defence dan ook goed communiceren binnen de eigen organisatie. Maar ook de organisatie zelf moet voldoen aan een aantal randvoorwaarden opdat deze principiële afbakening blijvend zal worden gerespecteerd. In het eerste artikel in de reeks hebben we in dat verband al het volwassenheidsniveau van de organisatie genoemd. Daarmee doelen wij niet alleen op de wil van de organisatieonderdelen om de eigen processen naar behoren uit te voeren, maar ook op hun vermogen om dit te doen. In de navolgende paragraaf gaan wij nader in op de wijze waarop de internal auditeenheid dit volwassenheidsniveau kan beïnvloeden.

Beleidsevaluaties in beeld bij internal auditeenheid
Binnen de lokale overheid komt dit volwassenheidsniveau vooral tot uiting in de wijze waarop internal audit betrokken is bij beleidsevaluaties; met andere woorden in welke mate wordt van de internal auditeenheid een rol als adviseur of interne controlefunctionaris verlangd. Onder beleidsevaluaties verstaan wij, in het kader van dit artikel, onderzoeken naar de mate waarin de beleidsdoelstelling van een decentrale overheid dankzij de prestaties van het bestuur van die overheid wordt bereikt.3
In ons vorige artikel hebben wij aangegeven dat de koppeling van geld aan prestaties bij de overheid nog maar fragmentarisch is gerealiseerd. Daarvoor is een aantal oorzaken aan te wijzen. Niet alleen ontbreekt het bestuurders menigmaal aan bestuurlijke wil om dergelijke evaluaties te laten uitvoeren, ook zijn beleidsafdelingen van oudsher geneigd om beleidsontwikkeling als een afgerond proces te zien en de evaluaties te beschouwen als een beheersmatige aangelegenheid, die betrekkelijk los staat van het primaire proces. Mocht het bestuur deze evaluaties, bij gebreke aan een dergelijke functie in de tweede lijn, uitgevoerd willen zien door de internal auditeenheid, dan zal dit verzoek binnen de auditcommissie moeten worden besproken. Hoewel de vraagstelling, bezien vanuit de ontwikkeling van de organisatie, als min of meer voorspelbaar kan worden beschouwd, is niet gezegd dat dit de staande praktijk zou moeten zijn binnen een internal auditeenheid. Beleidsevaluaties zijn immers niets meer dan een logisch vervolg op de beleidsontwikkeling, waarbij beleidsafdelingen vanuit een verantwoordelijkheid voor de kwaliteit ervan moeten weten (of beter gezegd: moeten willen weten) of de veronderstellingen in hun beleidstheorie kloppen, gestelde doelen zijn gehaald en zich geen (on)gewenste neveneffecten hebben voorgedaan. Het systeemdenken kan hierbij de internal auditeenheid helpen een grens te stellen en de discussie aan te gaan met bestuurders en betrokken beleidsafdelingen.

Verbonden partijen verruimen het speelveld
Systeemdenken houdt niet op bij de grenzen van de eigen organisatie. Decentrale overheden hebben veel verbindingen met derde partijen door outsourcing van ondersteunende diensten, door samenwerking op projectniveau en door het onderbrengen van taken, samen met andere overheden, in een gemeenschappelijke regeling. een brede internal auditeenheid onderkent deze werkrelaties (en hiermee de afhankelijkheden) en zal de organisatie erop moeten attenderen dat in het risicoanalyseproces deze potentieel in aanmerking komende auditobjecten ook mede in het inventarisatie- en waarderingsproces dienen te worden verdisconteerd. Met name in de advisering bieden verbonden partijen kansen voor de internal auditeenheid; waarbij moet worden aangetekend dat in het convenant met de verbonden partijen die mogelijkheid tot het verrichten van onderzoek ook expliciet moet zijn opgenomen. Maar ook kan de internal auditeenheid worden betrokken bij het doorlichten van het proces van sluiten van overeenkomsten met derde partijen en bij het adviseren over de informatievoorziening en noodzakelijke beheersing van de sturingsrelatie. Deze advisering wint dus aan belang in de fase waarin de organisatie afspraken maakt met de ondertoezichtgestelde derde partijen over de voorwaarden van interne beheersing (horizontaal toezicht). In alle gevallen waarbij sprake is van organisatieadvies door de internal auditeenheid, dient dat nauwgezet in samenwerking en afstemming met of in aanvulling op de activiteiten en taken van concerncontrol plaats te vinden.

Verandering wordt het uitgangspunt
Systemen veranderen continu. Wat nu werkelijkheid is, is straks achterhaald door ontwikkelingen op het gebied van wetgeving, door opgelegde taakstellingen en door nieuwe inzichten op het gebied van automatisering en procesmanagement. Van een brede internal auditeenheid mag worden verwacht dat ze verandering als een constante meeneemt in haar contacten met de auditcommissie en de opdrachtgevers, tot uitdrukking komend in de voorbereiding op de onderzoeken en de wijze waarop die onderzoeken worden uitgevoerd. Verandering brengt met zich mee dat men in de driehoek management, internal audit en concerncontrol met enige regelmaat vooruitblikt op wat komen gaat, waarna de leiding haar verantwoordelijkheid kan nemen bij het nemen van besluiten over de wijze waarop de bedrijfsvoering het beste op de veronderstelde veranderingen kan aansluiten. In ons vorige artikel hebben wij al een goede afstemming bepleit, aangezien de internal auditor en de doelorganisatie als communicerende vaten kunnen worden beschouwd. De auditor verricht zijn onderzoeken op basis van een door de auditcommissie goedgekeurd jaarplan; de resultaten van de onderzoeken, inclusief de eventuele adviezen, zullen tot besluiten leiden over de mogelijk te ondernemen acties en door te voeren noodzakelijke verbeteringen; een proces waarbij de controller de steun en toeverlaat voor het management is.

Casus: de lerende organisatie
Een middelgrote provincie wil haar organisatie meer richten op de komende veranderingen en het lerend vermogen vergroten om deze veranderingen goed het hoofd te kunnen bieden. Daartoe geeft de provinciesecretaris opdracht aan de internal auditeenheid om bij medewerkers in kaart te brengen wat zij, in relatie tot de situatie waarin ze zich bevinden, ervaren bij het begrip de lerende organisatie en welke succesfactoren de realisatie van deze organisatie mogelijk zouden maken. De adviseurs, aangevuld met een of meer medewerkers van concerncontrol of de personele functie, gaan op pad en interviewen medewerkers. Vervolgens worden workshops gehouden waarbij de reacties van de medewerkers samen met de verwonderpunten van de teamleden worden ingebracht voor een discussie. Het eindresultaat is een gezamenlijk verteld organisatieverhaal, dat het management, daarbij ondersteund door de concerncontroller, aanknopingspunten kan bieden voor een verdere besluitvorming over de vormgeving van de lerende organisatie.


Met bovenstaande informatie indachtig worden de contouren van een brede internal auditeenheid al zichtbaar. Het gaat om een relatief kleine eenheid die twee hoofdactiviteiten uitvoert. In de eerste plaats de derde lijnsfunctie ofwel de onafhankelijke toetsende functie die het management aanvullende zekerheid verstrekt over de kwaliteit van inrichting van de beheerskaders. De tweede activiteit omvat de adviesfunctie; ingesteld omdat het management binnen het publieke bestel niet altijd genoegen neemt met een oordeel, doch aanvullend wenst te horen welke adviezen de internal auditor in petto heeft. Naast deze natuurlijke adviesfunctie is de auditeenheid ook geëquipeerd om specifieke adviesopdrachten uit te voeren; onderzoeken die niet onder de vlag van een audit kunnen worden gebracht. Zoals hiervoor betoogd zal bij een zeker niveau van control van de tweede lijn, in casu concerncontrol, deze adviesactiviteit naar concerncontrol kunnen worden overgeheveld.
Zowel voor concerncontrol als voor audit geldt, in het bijzonder bij een hoog volwassenheidsniveau van de organisatie, dat de beide functies bemenst dienen te worden met hoogopgeleide, communicatief ingestelde medewerkers. De dominante positie van een discipline of specialisme is hier niet aan de orde; de medewerkers beschikken over een verscheidenheid aan kennisdisciplines en een grote ervaring; het opereren vindt meestal in multidisciplinair teamverband plaats.

De voorwaarden
Hiervoor is het begrip volwassenheidsniveau van de doelorganisatie al aan de orde geweest. Voor een nadere analyse onderscheiden wij de twee componenten ‘willen’ en ‘kunnen’. Onder de wil verstaan we dat de bestuurder verantwoordelijkheid wil nemen voor de bestuurlijke opgaven en afdwingt bij zijn ambtenaren (en daartoe faciliteert) en dat de bedrijfsvoering hiervoor op orde wordt gebracht. Onder kunnen verstaan we het vermogen om deze wil ook daadwerkelijk in acties vorm te geven.

Bestuurlijke context alleen indirect te beïnvloeden
De mogelijkheden van de internal auditor tot beïnvloeding van de eerste component zijn betrekkelijk gering, waarbij de internal auditor zich ervan moet vergewissen in hoeverre, gezien de opdracht binnen de spiegelende functie, deze houding legitiem is. Een bestuurder die geen beleidsevaluaties wil uit de veronderstelde angst dat hij in de gemeenteraad of provinciale staten wordt ‘afgerekend’ op gebleken ongunstige resultaten van zijn beleid, stelt uiteraard een grens aan de mogelijkheden van de internal auditor om tot een andere houding te kunnen aansporen. Uiteraard dient de auditor in deze casus de discussie aan te gaan met de betrokken bestuurder, maar als de betrokken bestuurder de algehele teneur binnen het college van bestuurders verwoordt en de auditor geen ondersteuning van zijn directe opdrachtgever, bijvoorbeeld de auditcommissie, geniet, dan wordt dit een eenzame strijd. In het eerdere artikel hebben wij aangegeven dat een externe stimulans (bijvoorbeeld de lokale rekenkamer die evaluaties op de agenda zet) kan zorgen voor een omslag in denken bij bestuurders. Wij vinden het uit oogpunt van een verantwoorde government governance legitiem om over mogelijke verbeterpunten in de houding van bestuurders ook de discussie met externe controleinstanties aan te gaan, uiteraard in goede afstemming met de hoogste ambtelijke leiding en de auditcommissie, en onder behoud van elkaars onafhankelijkheid.

Meer kansen voor vergroting van volwassenheidsniveau
Voor wat betreft het vermogen om het volwassenheidsniveau binnen beleidsontwikkeling en bedrijfsvoering daadwerkelijk vorm te geven, zien wij voor de internal auditor beduidend meer kansen. Internal auditors beschikken immers over een brede kennis van bedrijfsvoering en onderzoeksmethodologie, kennis die zij kunnen overdragen aan de direct betrokken ambtenaren. De internal auditeenheid manifesteert zich hiermee als een belangrijke deelgenoot in het proces tot vormgeving van de lerende organisatie, een proces dat vooral vanuit de tweede lijn moet worden vormgegeven en gestimuleerd.

Casus: beleidsevaluaties
Een provinciale rekenkamer heeft met succes bij Provinciale Staten van een grote provincie gepleit voor meer aandacht voor beleidsevaluaties. Dit heeft het college van Gedeputeerde Staten genoopt tot het integraal doen uitvoeren van evaluaties voor alle provinciale subsidieregelingen. Kennis voor het uitvoeren van dergelijke regelingen was niet aanwezig; wel beschikte de provincie over de methodologie van de provinciale rekenkamer. Voor de eerste tranche van regelingen werd gekozen voor de constructie waarbij internal auditoren als coördinator en penvoerder optraden bij het opstellen van de evaluaties. Zij kregen daartoe het ruwe materiaal aangereikt door de betrokken ambtenaren en veredelden dit tot volwaardige evaluaties. Voor de tweede tranche is gekozen voor een leertraject, waarbij de auditoren trainingen verzorgen voor ambtenaren die door hun afdelingshoofden zijn aangewezen om de evaluaties uit te voeren. De coördinatie is in handen van een bureau Beleidscoördinatie. Met deze aanpak is duidelijk gekozen voor vergroting van de leercurve van beleidsambtenaren. De voordelen zijn evident: zij kunnen hun verantwoordelijkheid nemen voor het gehele beleidsproces, worden zich zo meer bewust van de aannames die zij maken in hun beleidstheorie en zijn in staat om beter onderbouwd beleid te formuleren. Voor de internal auditeenheid heeft deze aanpak ook zijn voordelen: zij wint aan zichtbaarheid en draagt bij aan de leercurve van de organisatie. In deze casus is gekozen voor een overgangsregime, een maatregel die, gezien de impact van deze transitie, alleszins plausibel is.


Organisatiecultuur een prima uitgangspunt
Door de aard van zijn functie en de wijze waarop die wordt uitgeoefend kan de internal auditor ook bijdragen aan een cultuur van meer transparantie binnen de organisatie. Hij kan bij de discussie binnen de auditcommissie bevorderen dat bij de selectie van auditobjecten bepaalde onderwerpen meer aandacht krijgen. Voorbeelden daarvan zijn:

  • meten van het integriteitsbewustzijn (Zijn ambtenaren zich bewust van de spelregels? Weten zij hoe te handelen?),
  • inventariseren van de mate van beïnvloeding (Weten ambtenaren zich te wapenen tegen ongewenste beïnvloeding door bestuurders en management? kan een ambtenaar een integriteitschending melden zonder dat het voor hem nadelige consequenties heeft?), en
  • de heersende leiderschapsstijlen (Hoe wordt sturen op vertrouwen vormgegeven? blijft het bij woorden of krijgt het daadwerkelijk gestalte? Mag worden geleerd van fouten of worden ze afgestraft?).

Voorwaarde voor het accepteren van de interventies van de internal auditor is dan wel dat er een zodanig vertrouwen in de auditeenheid moet zijn opgebouwd dat de in te brengen voorstellen voortkomen uit een grote betrokkenheid bij de organisatie en dat de onafhankelijke en afstandelijke positie ook betekent dat de auditor op geen enkele wijze de verantwoordelijkheid voor het sturen, inrichten en beheren van de organisatie meent te moeten overnemen. eerst dan kan een sfeer ontstaan dat het de auditor wordt gegund om bijvoorbeeld in experimentele zin haar kennis en ervaring in te zetten in onderzoeken die functioneel door de controller of door Personeel & Organisatie dienen te worden uitgevoerd.

Karakteristieken van de internal auditeenheid
De internal auditeenheid is relatief klein van omvang, multidisciplinair samengesteld en flexibel van aard.

We hebben het eerder gehad over het, gezien de functie noodzakelijke, multidisciplinaire karakter van de internal auditeenheid. De basiskennis bestaat idealiter uit een organisatiekundige of bestuurskundige achtergrond, aangevuld met een opleiding tot operational auditor. De in de opleiding opgedane inzichten en verworven kennis beschouwen wij als de gemeenschappelijke taal en understanding die een auditeenheid moet smeden tot een deskundige, professionele en ervaren groep ‘gespecialiseerde generalisten’ die in teamverband tot efficiënte en effectieve prestaties dient te komen. Veel aandacht moet worden besteed aan de verkrijging in de groep van die specifieke disciplines die in voorkomend geval in de betreffende organisatie van node zijn. Specialismen als organisatiesociologie, psychologie, controlling, IT-auditing zijn veel voorkomende disciplines, waarmee een internal auditeenheid in het algemeen in staat is om een veelheid aan auditobjecten aan te pakken.
Niet alleen de specialismen maar ook de werkvormen – en hierbij behorende vaardigheden – verdienen aandacht. De internal auditeenheid die opereert midden in een veranderende organisatie, zal meer nog dan voorheen, de dialoog moeten opzoeken en ruimte moeten geven aan de auditee. Hierbij zullen vertrouwde technieken moeten worden aangevuld met meer ‘spiegelende’ werkvormen als enquête, waarderend interviewen, behavioural auditing en workshops. Deze flexibiliteit bij de inzet van haar specialismen en werkvormen bieden de internal auditeenheid zo de gelegenheid om dynamisch om te gaan met de veranderende vraag vanuit de onderzoeksplanning.

De toegevoegde waarde van de brede internal auditeenheid

De brede interne auditeenheid kan veel…
Haar positionering geeft de internal auditeenheid grote mogelijkheden om effectief te opereren. een breed palet aan specialismen en werkvormen maakt het haar mogelijk die zaken op te pakken waar de organisatie op dat moment behoefte aan heeft. Veel van de randvoorwaarden kunnen door de internal auditeenheid worden beïnvloed: ze kan bijdragen aan een cultuur van meer transparantie en een stijging van de leercurve en daarmee aan een hoog volwassenheidsniveau van de eigen organisatie. Ook kan ze investeren in een goede afstemming met de concerncontroller, waardoor niet alleen de selectie van auditobjecten door de auditcommissie aan effectiviteit wint, maar ook haar eigen draagvlak wordt vergroot en daarmee de acceptatie van haar conclusies en aanbevelingen. Ook zal de internal auditleiding zich ervan bewust moeten zijn dat het uitvoeren van adviesopdrachten, conform het Three Lines of Defence-model, een oneigenlijke taak is die op enig moment aan de doelorganisatie dient te worden overgedragen. Een verdere groei in het niveau van bedrijfsvoering kan vervolgens weer leiden tot het terugbrengen van de auditfunctie naar het oorspronkelijke beeld van een uitsluitend toetsende functie. Deze laatste situatie heeft zich in 2011 bij de gemeente Rotterdam voorgedaan. Hetgeen niet wegneemt dat er voldoende organisaties zijn die blijvend verwachten dat de internal auditor naast zijn oordeel ook een of meer aanbevelingen als mogelijke oplossingen bij geconstateerde problemen in het rapport dient op te nemen.

…maar moet wel inzetten op de kwaliteit van haar proactieve advisering
Op één belangrijk punt blijft de internal auditeenheid afhankelijk en dat is haar bestuurlijke en ambtelijke acceptatie. Het recht van toegang tot de bestuurlijke leiding is op zich niet voldoende. Bestuurders en management moeten door middel van kwalitatief goed werk overtuigd worden van de toegevoegde waarde. Wij menen dat deze kwaliteit het grootste is als de internal auditeenheid zich proactief opstelt, rekening houdt met de momenten van bestuurlijke besluitvorming en op het juiste moment afkomt met haar adviezen. Eerder noemden wij al de betrokkenheid bij de totstandkoming van overeenkomsten met derde partijen. Maar auditors kunnen ook meedenken over de inrichting van een programmaorganisatie, de opzet van een integrale risicoanalyse of de totstandkoming van een proces van beleidsontwikkeling. Waar het om gaat is dat bestuurders en management naast oordelen, ook alternatieven voorafgaande aan de besluitvorming krijgen aangereikt. Alleen door zo te opereren, blijft de internal auditeenheid naar onze mening haar waarde in een veranderende omgeving behouden.

De auteurs zijn bestuurslid van de stichting Kenniskring Auditing Decentrale Overheden. Arie Molenkamp (a.molenkamp@publicauditing.nl) is voorts organisatieadviseur, auteur en opleider. Jacques van Kempen (jmr.van.kempen@pzh.nl) is tevens hoofd van de Eenheid Audit en Advies van de provincie Zuid-Holland. Beiden schreven dit artikel op persoonlijke titel.

Noten
1 Het eerste artikel in deze reeks, ‘De samenwerking tussen internal auditor en concerncontroller’ verscheen in TPC(2013)4, blz. 23 e.v.
2 Zo bestaat op grond van artikel 217a Provinciewet en artikel 213a Gemeentewet de verplichting om periodiek onderzoek uit te voeren naar de doelmatigheid en de doeltreffendheid van het door het college van Gedeputeerde Staten respectievelijk college van Burgemeester en Wethouders gevoerde bestuur.
3 De Algemene Rekenkamer gebruikt de term effectiviteitsonderzoek. Onder effectiviteit verstaat zij de mate waarin de beleidsdoelstelling dankzij de prestaties van de minister (waaronder de inzet van beleidsinstrumenten) wordt bereikt (bron: De Algemene Rekenkamer: Effectiviteitsonderzoek bij de rijksoverheid: vervolgonderzoek, 27 juni 2013, blz. 8).

Sluiten