De auditor: van politieagent tot straatcoach
Door Huub de BoerVeel meer dan voorheen ligt de verantwoordelijkheid bij het management zelf. Niet de internal auditor maar het direct verantwoordelijke management moet zichzelf de vraag stellen en kunnen beantwoorden of de controles hebben gewerkt en naar de toekomst toe goed zijn ingericht. Het management zelf moet deze controles uitvoeren in plaats van de internal auditor. In de afgelopen tien jaar is het werk van auditors in het algemeen al sterk veranderd, dankzij de technologische ontwikkelingen en de grotere beschikbaarheid van data. Handmatige controles behoren steeds meer tot het verleden dankzij automatisering. Waar vroeger vaak een steekproef werd genomen zijn nu alle bedrijfsdata makkelijker beschikbaar, waardoor een onderzoek veel grondiger en nauwkeurig kan worden uitgevoerd. Een internal auditor die zijn functie goed heeft ingericht, maakt zichzelf (bijna) overbodig. Vroeger zat de auditor op zijn eigen eiland en was het contact met het management moeizaam. Nu wordt hij steeds meer sparring- en kennispartner. Of collega’s op andere afdelingen openstaan voor de suggesties van de auditor verschilt sterk. Op de afdeling ICT is het door de toegenomen cybercrime en de toename van datalekken al heel normaal om veel controles uit te voeren. Een suggestie over een nieuw controlesysteem zal hier met open armen worden ontvangen. Bij de salesafdeling ligt dat moeilijker. Verkopers zijn gedreven door targets en omzetmaximalisatie en zijn dus minder enthousiast over een extra controle die dit proces wellicht kan vertragen. Als auditor moet je dan ook duidelijk maken dat controles gekoppeld zijn aan risico’s en doelstellingen die het bedrijf wil halen. Dit vergroot het draagvlak. Vijf tips om jezelf als auditor overbodig te maken:1. Draagvlak in het hart van de organisatieDe toplaag van het bedrijf, de directie, moet echt doordrongen zijn van het belang van controles. Ook in het hart van de organisatie, bij het direct verantwoordelijke management, moet iedereen het nut er van in zien. Dit doe je door als auditor duidelijk te maken dat hoe beter je risico’s beheerst, hoe groter de kans is om je doelstellingen te bereiken. 2. Breng je risico’s in kaartDe doelstellingen, risico’s en controles moeten goed zijn gedocumenteerd en duidelijk moet zijn wie verantwoordelijk is voor de uitvoering, wanneer en welke bewijsstukken bewaard moeten worden. Ook moet duidelijk zijn welke risico’s beheerst moeten worden. Een bruto risico is niet gelijk aan een netto risico. Breng die dus duidelijk in kaart. 3. Automatiseer waar mogelijkIT krijgt een steeds prominentere rol in de bedrijfsvoering. Als auditor moet je op de hoogte zijn van de laatste trends en ontwikkelingen op het gebied van software en systemen. Zorg dat controles slim zijn ingericht en geautomatiseerd verlopen. 4. Risico’s beheersen is doelstellingen halenKoppel doelstellingen en risico’s aan elkaar. Stel dat een bedrijf een nieuw product op de markt wil brengen. Dan heb je te maken met externe en interne risico’s. Denk daarbij aan externe beperkingen als wetgeving of een disruptieve markt en intern aan de mogelijkheden om geld vrij te maken voor deze investering.5. Iedereen auditorMaak iedereen in het bedrijf auditor. Als elke afdeling zelf de vereiste controles uitvoert, is het voor de auditor alleen maar een kwestie van controleren of de checks juist, volledig en tijdig worden uitgevoerd. Daarnaast moeten uiteraard alle bewijsstukken voldoende zijn. Omdat het management grotendeels zelf de taken van de auditor uitvoert, zorgt dit er ook voor dat binnen de organisatie de kennis over de eigen processen, risico’s en controles wordt vergroot. Bovendien bespaart de manager aanzienlijk op de kosten van de ‘dure’ internal auditor omdat de salariskosten bij veel organisaties toch intern doorbelast worden en dus direct drukken op zijn resultaat. Als alle organisatieonderdelen op deze manier werken kan de auditor van politieagent steeds meer de gemoedelijke, onafhankelijke straatcoach worden. Een adviseur die het management bijstaat met raad en daad en zichzelf langzaam overbodig maakt, omdat vermaningen en bekeuringen niet langer nodig zijn. Huub de Boer is internal auditor bij Graydon.