Zonder adviezen géén internal auditors
Auditor en adviseur is geen onmogelijke combinatie maar een gezond spanningsveld. Sterker, vinden Jacques Koenen en René Peerenboom, het is de raison d'être van de internal auditor.
Dit artikel is verschenen in de Accountant nr. 1, 2005
Bekijk alle artikelen uit dit nummer
Jacques Koenen en René Peerenboom
Is de interne auditor een auditor of adviseur? Voordat deze paradox kan worden gefileerd, is het nodig om eerst naar de definities te kijken. Voor auditor is dit niet nodig, want dit is simpel: dat is diegene die controleert.
De omschrijving van adviseur is ingewikkelder. Met name de definities van het Instituut van Internal Auditors (IIA) scheppen verwarring, omdat consulting en advisory daar in één adem worden genoemd:
- Internal auditing is an independent, objective assurance and consulting activity ...
- Consulting services are advisory in nature, and are generally performed at the specific request of an engagement client.
Wat dat betreft is het woordenboek van de Grote van Dale duidelijker: een advies is raadgeving en een consult is een beroepsmatig advies op enig vakgebied. Het zijn dus geen synoniemen. De core business van een consultant is dus het geven van advies. Voor een auditor als adviseur ligt dit anders. Voor hem is advies een vervolg op zijn werkzaamheden als auditor.
Oud probleem
Is auditor en adviseur een onmogelijke combinatie? Doorslaggevend voor het beoordelen daarvan is dat een auditor alleen kan adviseren als hij geen belang heeft bij de advisering of het opvolgen van zijn adviezen. Afhankelijk of onafhankelijk, that’s the most important question! De bedreiging van de onafhankelijkheid is latent aanwezig als producten, zoals administratieve dienstverlening, advies en implementatieprogramma’s of -begeleiding, aan klanten worden gesleten als doel op zich. Aquisitie en het afzetten van producten zijn dan belangrijk. Dit risico wordt vergroot als die andere producten naast de jaarrekeningcontrole nog kunnen worden verkocht, volgens het one stop shopping-principe.
Dit risico is overigens zeker niet iets van deze tijd. In de ‘Accountant’ van mei 1988 omschreef prof. Schoonderbeek het al treffend: “Wie dingt naar de gunst van de klant, plaatst zich in beginsel in een afhankelijke positie.” Je kunt dit ook vertalen in ‘uit wiens hand men eet, wiens woord men spreekt’.
‘In mind’
Een voorwaarde voor onafhankelijkheid is dat er geen omstandigheden zijn die de vrijheid van onderzoek en meningsvorming aantasten. De onafhankelijkheidsaspecten zijn duidelijk in de Gedrags- en beroepsregels registeraccountants (GBR) vastgelegd.
Een internal auditor mist door zijn dienstverband natuurlijk functionele onafhankelijkheid. Hij is voor de organisatie echter van grotere betekenis naarmate hij vanuit een integere beroepshouding zelfstandiger, professioneler en objectiever zijn oordeel kan vormen en geven. Independence in mind, that’s the answer!
‘In schijn’
De onafhankelijkheid in verschijning is een probleem van de accountant die voor het maatschappelijke verkeer in brede zin functioneert. Als er in de publieke beeldvorming twijfels bestaan ten aanzien van die onafhankelijkheid, het zogenaamde ‘onafhankelijk in schijn’, wordt namelijk het vertrouwen aangetast. Dat is ook de reden dat de onafhankelijkheidsbepalingen in de GBR en de ‘nadere regels inzake onafhankelijkheid’ alleen betrekking hebben op het openbaar beroep en sterk gericht zijn op waarborgen van onafhankelijkheid vanuit de wettelijke controlefunctie bij public interest entities.
Gezond spanningsveld
Op basis van bovenstaande concluderen wij dat voor de auditor die niet voor het maatschappelijk verkeer in brede zin functioneert, adviseren altijd een mogelijke combinatie met audit kan vormen, als dit samenhangt met het audit-proces en er ruimte is voor hieruit volgend advies. Bij die combinatie is er sprake van een gezond spanningsveld, dat wordt bepaald door de grenzen aan advisering, namelijk deskundigheid en collisiegevaar.
Deskundigheidsgrenzen
Bij deskundigheid dient de auditor altijd te beseffen dat het advies niet verder kan gaan dan zijn (primaire) deskundigheidsgrenzen. Een auditor kan simpelweg niet op alle deelgebieden van de bedrijfsproblematiek deskundig zijn. Mede daarom vragen organisaties om een geïntegreerde multidisciplinaire aanpak van problemen, hetgeen heeft geleid tot een verruiming van de oorspronkelijke financial audit naar een integrated audit. Dit is vertaald in nadere deskundigheidseisen aan de auditors, die worden ingevuld door andere opleidingen, bijvoorbeeld operational auditing en EDP-auditing, en geïntegreerde beroepsorganisaties, zoals het Instituut van Internal Auditors.
De adviesfunctie kan zich daardoor verder ontwikkelen, waardoor de toegevoegde waarde van de IAD verder kan toenemen. In dit kader zijn ook samenwerkingsverbanden met andere afdelingen en specialismen een uitkomst, maar deze combinaties moeten wel binnen grenzen blijven. De auditor zal vanuit zijn adviesfunctie altijd de eindverantwoordelijkheid voor de audit en het eventueel daaraan gerelateerde advies moeten kunnen dragen.
Collisiegevaar
Naast de deskundigheid bepaalt het collisiegevaar de grenzen van advisering. Dit gevaar is tweeledig. Enerzijds het risico dat de controlefunctie wordt geschaad, en anderzijds dat het gewenste duidelijke advies achterwege blijft uit vrees de controleopdracht te verliezen. Het tweede gevaar raakt door de risico’s voor de objectiviteit de onafhankelijkheidsdiscussie, waarvan we al eerder hebben geconcludeerd dat deze in principe alleen geldt voor auditors die voor het maatschappelijk verkeer functioneren.
Het eerste gevaar van schaden van de controlefunctie, is afhankelijk van de aard van het advies. Bij het opperen van nieuwe denkbeelden is er een klein collisiegevaar. Dit gevaar wordt groter naarmate het advies steeds meer het doen van concrete aanbevelingen behelst. Het deskundig begeleiden van besluitvormings- en veranderingsprocessen zien wij niet als advies. Deze begeleiding is dus in onze ogen nooit een taak voor de auditor.
Groen, oranje, rood
Hierbij is van belang, zoals door Starreveld is onderkend, dat het collisiegevaar wordt versterkt als deze kwetsbaarder adviesvarianten op risicovoller klanttypen worden toegepast. Als we deze twee tegenover elkaar afzetten kunnen we de grenzen aan advisering onderscheiden (zie figuur). Het zal duidelijk zijn dat deze grenzen niet altijd rechtlijnig te trekken zijn. Er blijft sprake van maatwerk, waarbij zowel de instelling van de klant als de inhoud van het advies bepalend is.
Het veiligst is te adviseren in de ‘groene zone’, hier geeft noch de instelling van de klant, noch de aard van het advies beperkingen. In de ‘oranje zone’ moet de auditor bij advisering op zijn hoede zijn en in situaties waar de ‘rode zone’ van toepassing is, moet de auditor helemaal niet adviseren.
Kortom, het ‘gevaarlijke’ spanningsveld tussen audit en advies bestaat alleen als ze met elkaar worden geconfronteerd, en mede in relatie tot de instelling van de klant.
Prestaties
Vooruitkijkend dient internal auditing zich verder te ontwikkelen door een toenemende rol te spelen bij het verbeteren van de prestaties van organisaties. Hiervoor is, naast het geven van assurance, ook een passende advisering van belang. Sterker nog: een IAD zonder adviesfunctie heeft op termijn géén bestaansrecht. Met andere woorden: zonder adviezen geen internal auditors.
Noot
Jacques Koenen en René Peerenboom zijn respectievelijk hoofd IAD en teamleider Operational/EDP Audit bij zorgverzekeraar CZ.
Dit artikel is een bewerking van een presentatie tijdens het IIA-voorjaarscongres ‘Auditor of adviseur, een onmogelijke combinatie of een gezond spanningsveld?’ op 21 april 2005.