Opinie 28 april 2015

Internal audit: van bankzitter tot sterspeler

Sommige trends ontwikkelen zich minder snel dan je zou denken en blijven lang hangen in het stadium van grote belofte. Maar als ze dan eenmaal doorbreken, dan is er ook echt sprake van een diepgewortelde verandering.

Dat lijkt ook het geval ten aanzien van de ontwikkeling van internal audit. Al decennialang wordt er gesproken over ‘nieuwe ontwikkelingen’ rond dat vakgebied: Internal auditors ontwikkelen zich van politieagent tot adviseur die tijdens de ontwikkeling van belangrijke programma's en projecten meeloopt en adviseert; Internal auditors gaan steeds meer doen aan risk based auditing en richten zich daarmee op de controls en risico's die er echt toe doen voor de organisatie; Internal audit doet steeds meer aan operational audit in plaats van alleen maar de financiële audit (reporting control); Internal auditors ontwikkelen zich steeds meer tot een sparring partner voor het (hogere) management.

Een lezer die wat ingevoerd is in het vak kent deze ‘nieuwe ontwikkelingen’ vast wel. Als we de vakliteratuur van de afgelopen 20 jaar op een rijtje zouden zetten, dan zou er maar één conclusie mogelijk zijn: er heeft een revolutie plaatsgevonden in het vak. Toch voelt het in de praktijk niet echt of alle routines zijn veranderd en of alles op zijn kop is gegaan. Als we heel eerlijk zijn is er eigenlijk niet zo heel veel revolutie geweest. En dat is opmerkelijk, want de omgeving verandert wel ingrijpend.

Als we kritisch naar het vak kijken, dan is de conclusie toch dat internal audit bij veel organisaties - ondanks alle mooie woorden over de toegevoegde waarde - eigenlijk wordt gezien als een moetje. Dat kan twee oorzaken hebben: Internal Audit heeft ofwel te weinig te bieden, of is slecht in de marketing van zichzelf.

Of is er nog een derde oorzaak? Heeft internal audit gewoon wat tijd nodig om te rijpen voordat iedereen in de gaten krijgt dat het toch wel heel nuttig is en handig is? Ik ben een optimist en ik denk dat laatste.

Ik zie om me heen dat juist nu veel organisaties zich op de één of andere manier ‘opeens’ gaan realiseren dat internal audit toch nuttige dingen kan doen voor de organisatie. Je ziet dat de typische internal auditor verandert. Het vak is ook veel ‘cooler’ dan in het verleden. Je hoort nu allemaal stakeholders zeggen dat internal audit daadwerkelijk wordt gezien als belangrijk onderdeel van het corporate governance bouwwerk. Denk aan vrij recente uitspraken van de VEB en aan de AFM met haar onderzoek onder commissarissen.

Steeds meer organisaties starten tegenwoordig bovendien een auditfunctie en het lijkt erop dat bij die start ook meteen risicomanagement als belangrijk onderwerp binnen internal audit wordt meegenomen. Er wordt vaak pragmatisch en op een efficiënte manier gestart met tegelijkertijd tweede en derde lijns-activiteiten.

Organisaties houden niet meer krampachtig vast aan het scheiden van functies maar starten gewoon met zowel internal audit als met risicomanagement en houden vervolgens rekening met een paar dingen die je in die combinatie beter niet kunt doen, zoals assurance geven over het risk management proces.

Internal auditors helpen daadwerkelijk ondernemingen met het (aantoonbaar) in control komen, door vaker het voortouw te nemen in ondersteuning op gebied van risicomanagement. Internal Audit lijkt vaker naar de echt belangrijke issues te kijken, zoals cyber en IT-security, grote projecten, productontwikkeling, overnames en cultuur en gedrag.

Internal audit is daarmee misschien een laatbloeier. Lange tijd was het een grote belofte die toch vaak op de reservebank plaatsnam. Maar dat verandert in rap tempo. Internal audit is een sterspeler aan het worden.