Om een organisatie te kunnen laten draaien moet het management bepaalde werkzaamheden door medewerkers laten uitvoeren. Er is dan sprake van delegatie van bevoegdheden. De inhoud van de overgedragen taken en bevoegdheden en de daaraan verbonden verantwoordelijkheden worden in functie- en taakbeschrijvingen vastgelegd, waaraan ook bepaalde bevoegdheden en verantwoordelijkheden zijn verbonden.

Hoewel het delegeren van bevoegdheden de betrokken medewerkers verantwoordelijk stelt voor een goede functievervulling, blijft het management de (eind)verantwoordelijkheid voor alles dat in en met een organisatie gebeurt dragen. Als gevolg daarvan is het management verplicht om controle op de wijze waarop van de gedelegeerde bevoegdheden gebruik is gemaakt uit te oefenen of uit te laten uitoefenen. Daarnaast kunnen medewerkers in de praktische uitvoering van hun werkzaamheden bewust of onbewust fouten maken. Dat noodzaakt het management tot controle.

Controle wordt vaak gedefinieerd als ‘het toetsen van het resultaat aan normen’, waarbij normen worden gezien als datgene wat in een gegeven situatie haalbaar is. Het management kan die controle zelf uitvoeren of aan een of meer andere medewerkers overdragen. In dat geval wordt gesproken van interne controle. Interne controle kan dan ook worden omschreven als de controle door of namens het management en ten behoeve van het management op de oordeelsvorming en activiteiten van anderen. Gelet op de verantwoordelijkheid van het management voor het functioneren van de organisatie zal de interne controle gericht zijn op risico’s bij:

• het gebruik maken van gedelegeerde bevoegdheden;
• het naleven van voorschriften, instructies en procedures;
• de aanwezigheid van ‘waarden’, zoals geldmiddelen, voorraden, goederen en apparatuur; en
• de juistheid en volledigheid van de gevoerde administratie.

Daarbij worden in aansluiting op de mogelijke schade door de onderkende risico’s de volgende groepen maatregelen gehanteerd:

• organisatorische maatregelen, zoals functiescheiding en het vastleggen van de taakstelling aan de organisatie door middel van budgetten, voorschriften, instructies en procedures. Deze maatregelen hebben een preventief karakter;
• controles tijdens het voorbereiden en uitvoeren van processen, bijvoorbeeld het beoordelen van een inkoopprijs voordat de bijbehorende bestelling wordt geplaatst, het controleren van een inkoopfactuur met de bestelgegevens en de ontvangst in goede staat van de bestelde goederen, het afgeven van grondstoffen in afgepaste hoeveelheden per order zodat meerverbruik direct wordt gesignaleerd, het controleren van de aanwezigheid van medewerkers. Deze groep maatregelen worden procescontroles genoemd;
• controles na afloop van het uitvoeren van processen, bijvoorbeeld het controleren van een gereed product voordat de overdracht naar het magazijn van het gereed product wordt toegestaan, het berekenen van de werkelijke bestedingen en de werkelijke productiewaarde van een fabricageafdeling in een bepaalde maand, de gerealiseerde winstmarges in een periode ten opzichte van het budget. Deze groep maatregelen worden resultaatcontroles genoemd.

De organisatorische maatregelen moeten tot effectieve en doelmatige controle leiden. Daarom zal voor elke maatregel in de gegeven situatie moeten worden nagegaan wat de kosten van de maatregel zijn en welk effect daarvan kan worden verwacht. Vervolgens streeft het management in de gegeven situatie naar een optimale combinatie van controlemaatregelen. Die combinatie en het uitvoeren van de organisatorische maatregelen worden in een interne controleplan of internal audit jaarplan vastgelegd. De controleactiviteiten worden afgerond dor naar het verantwoordelijk management te signaleren als er ergens in de organisatie tekortkomingen zijn geconstateerd. Het management zal daar op passende wijze op moeten reageren.

Lees ook: Risicomanagement voor controllers: zo werkt het

Internal audit in de praktijk

De toegevoegde waarde van interne audits is dat er informatie wordt verstrekt aan beleidsschrijvers en management over de inrichting van processen overeenkomstig met de geformuleerde doelstellingen en regelgeving, maar ook over de daadwerkelijke uitvoering hiervan. Hierover kan alleen een uitspraak worden gedaan als de interne auditfunctie als permanent onderdeel is opgenomen in de managementcyclus.

De managementcyclus bestaat grofweg uit:

1. Het formuleren van het beleid;
2. De inrichting van de organisatie aan de hand van dit beleid;
3. De uitvoering van de beleidsvoorschriften;
4. Toetsing of de inrichting en uitvoering adequaat zijn.

Bij het uitvoeren van een audit wordt geadviseerd om zoveel mogelijk een standaardprogramma af te werken. Dit programma kan uit de zes in figuur 1 weergegeven fasen bestaan.

Om een audit te kunnen uitvoeren zal een organisatie in hoofdprocessen met hun bijbehorende processen moeten worden ingedeeld en gestructureerd, zodat inzicht in taken en verantwoordelijkheden van medewerkers ontstaat. Dit kan bijvoorbeeld worden vastgelegd met behulp van een tool voor procesbeschrijvingen. Pas als is vastgelegd hoe de processen (zouden moeten) verlopen kan worden getoetst of dit in de praktijk ook daadwerkelijk het geval is.

De indeling van de te auditen processen kan op verschillende manieren plaatsvinden. Bijvoorbeeld door middel van een risico inventarisatie, waarbij risicofactoren en kritische succesfactoren worden gedefinieerd. Aan de hand van deze factoren kan een zinvolle selectie en rangschikking van de te auditen processen worden gemaakt.

IIA Nederland heeft in september 2020 samen met zeven andere Europese instituten voor Internal Auditors de 10 meest impactvolle risico’s van 2021 voor organisaties in kaart gebracht. Deze zijn in figuur 2 opgenomen.

10 meest impactvolle risico’s 1.     Information security in the expanded work environment 2.     Regulatory forbearance and the return to normal 3.     Strategic relevance and the digital imperative 4.     Liquidity risk and cost-cutting amid depressed demand 5.     Managing talent, staff wellbeing and diversity challenges 6.     Disaster and crisis preparedness: lessons from the pandemic 7.     Rising nationalism and social tensions amid unprecedented economic volatility 8.     Supply chain disruption and vendor solvency 9.     Fraud and the exploitation of operational and economic disruption 10.  Climate change: the next crisis?

Figuur 2. 10 meest impactvolle risico’s

Kennis van deze risico’s is waardevol bij het opstellen van auditplannen en geven het management zicht op welke uitdagingen hen de komend jaren te wachten staan.

Het valt op dat er op verschillende risico’s een wanbalans lijkt te bestaan tussen de hoogte van de risico’s en de tijd die een internal auditfunctie eraan besteedt. Internal auditfuncties besteden nog relatief veel tijd aan de meer traditionele risico’s, zoals financial controls, compliance  en governance. Relatief weinig tijd besteden ze aan de nieuwere risico’s, zoals cybersecurity en digitalisering, externe risico’s en soft controls, zoals human capital en cultuur. Daar ligt een grote uitdaging.

Sinds de wereldwijde financiële crisis, is het bewustzijn gegroeid dat het onderhouden van een sterke (bedrijfs)cultuur noodzakelijk is voor alle grote organisaties. Voor garanties omtrent de wijze waarop dat zou moeten gebeuren en de effectiviteit daarvan, wordt vanuit de top van het bedrijfsleven steeds nadrukkelijker in de richting van internal auditors gekeken. Managers doen in toenemende mate een beroep op internal auditors om binnen hun organisatie de juiste risicocultuur te ontwikkelen. Dat verschaft de internal auditfunctie een uitgelezen kans om een transformatieve rol bij het inspelen op de veranderende behoeften van belangrijke stakeholders te vervullen.

Managers verwachten niet alleen dat de internal auditfunctie uitspraken over de ‘toon’ en gedragingen in de top van organisaties doet, maar ook over of – en zo ja, hoe – deze binnen de rest van de organisatie worden weerspiegeld. Managers willen bijvoorbeeld weten of de medewerkers de kernwaarden en de strategische visie van de organisatie begrijpen en of ze daar in de praktijk ook naar handelen.

Cultuur is complex, verschilt binnen elke organisatie en blijft grotendeels abstract. Maar hoewel de cultuur van een organisatie abstract kan zijn, is vanuit een intern audit perspectief een ding duidelijk: het ontwikkelen van de juiste benadering om een audit van de risicocultuur bij een organisatie uit te voeren vergt tijd en nauwkeurige planning. Het succesvol tot een einde brengen van een dergelijke opdracht vereist dat internal auditors voorzichtig te werk gaan en consequent aan een goed gestructureerde benadering blijven vasthouden.

In de uitvoering van hun taken, doen internal auditors veel moeite om het auditproces van de risicocultuur te formaliseren door goed gestructureerde methodologieën, raamwerken en processen te creëren. Terwijl een deel van de internal auditors voor een radicale transformatieve aanpak opteert, kiest een ander deel voor een meer stapsgewijze benadering richting het formaliseren van een vaste aanpak ten aanzien van de evaluatie en controle van de risicocultuur.

Sommige internal auditafdelingen richten zich op het structureren van het auditproces op de filosofie en kernwaarden van hun organisatie en op de ‘toon aan de top’. Andere populaire benaderingen behelzen onder meer het aanvullen van traditionele ‘workflows’ en oplossingen met culturele aspecten, het zoeken van betere aansluiting met de HR-afdeling in de omgang met onethisch gedrag en het zorgen dat de risicoanalyse meer in de bredere beoordeling van de gehele organisatiecultuur wordt ingebed.

Voor welke methode ook wordt gekozen, internal auditors zijn bij uitstek geschikt om een waardevolle bijdrage aan het verbeteren van de risicocultuur te leveren. Als het objectieve oog van de organisatie, is de internal auditfunctie uniek gekwalificeerd om een systematische, gedisciplineerde benadering te introduceren in een potentieel subjectief proces.

Een organisatie kan ook kiezen voor een thematische benadering. In dat geval doorloopt de auditor de processen per thema of afdeling en houdt zo de hele organisatie tegen het licht. In een auditprogramma wordt vastgesteld hoe de auditonderwerpen over een periode worden verspreid en welke middelen worden ingezet. De (jaar)planning wordt daarbij afgestemd op het risicoprofiel van het (deel)proces. De procesrisico’s van de verschillende (deel)processen worden geregistreerd en op een risico inventarisatie formulier gekwalificeerd.

Auteur: Ron Kieft
Drs. R.M. Kieft RA is zelfstandig gevestigd onder de naam Bureau voor Administratie en Controle Kieft (BACK) B.V.

Finance Academy E-learning

Leeromgeving Finance Academy E-learning bevat cursussen met een breed scala aan onderwerpen die voor de controller van vandaag belangrijk zijn. Met het platform kunt u uw leerdoelen verwezenlijken en kennis vergaren om op de toekomst voorbereid te zijn volgens de nieuwe richtlijn voor Permanente Educatie. U kunt ook geheel vrijblijvend een gratis e-learning proberen om de omgeving te leren kennen.

Volg CMWeb op LinkedIn!