Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Afstudeeropdracht, slotexamendocument
Positionering van de centrale interne auditfunctie in het publieke domein.
ir. Gezina Atzema (377314) Waddinxveen, januari 2015 Erasmus Universiteit Rotterdam, ESAA post master opleiding Internal Auditing & Advisory begeleider: R.W.A. de Korte RA RE RO CIA
- gebruik met bronvermelding © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit documenttoegestaan en Auditing.nl
-
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Voorwoord Positioneren betekent ‘keuzes maken’. Voor een goede positionering van een auditdienst moet een dienst kenbaar maken waar ze staat, wat ze doet en wat de waarde hiervan is. Maar ook waar ze niet staat, wat ze niet doet en waar ze geen toegevoegde waarde kan bieden. Een belangrijke inspiratie voor het onderwerp van dit referaat vormde het college van prof. dr. G. (Gerrit) Sarens over de toegevoegde waarde en effectiviteit van interne audit. Rode draad in zijn college was dat auditors te weinig keuzes maken in wat ze doen en niet doen. De beroepsorganisaties voor auditors laten veel mogelijkheden open en maken geen keuzes. Daarom moeten (hoofden van) auditdiensten / -afdelingen zelf de keuzes maken. Bij het maken van die keuzes is een goede relatie en een goede communicatie met het management van de organisatie van groot belang. Er dient een gezamenlijke basis te zijn voor de huidige en toekomstige taken en rollen van de interne auditfunctie en een gezamenlijk begrip van de prioriteiten waar de IAF zich op moet richten. Mede naar aanleiding van dit college vroeg ik mij af wat de positionering is van de Auditdienst Rijk. In mijn beleving is die positionering niet erg duidelijk en maakt de Auditdienst Rijk weinig keuzes in wat ze wel, maar vooral ook niet doet. En ook was voor mij niet duidelijk wat de verwachtingen van stakeholders zijn over de positionering van de Auditdienst Rijk. In het verlengde hiervan was ik benieuwd hoe het zit met de positionering van andere auditdiensten in het publieke domein. Het voor u liggend referaat is het resultaat van mijn zoektocht naar de positionering van auditdiensten in het publieke domein. Graag wil ik dit voorwoord gebruiken om Ron de Korte te bedanken voor zijn waardevolle en opbouwende commentaar. Ook de geïnterviewden wil ik langs deze weg (nogmaals) bedanken voor het interview dat ik met hen heb gehad. Tot slot wil ik mijn werkgever (de Auditdienst Rijk) bedanken voor de mogelijkheid tot het volgen van de post master opleiding Internal Auditing & Advisory.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Samenvatting Dit referaat gaat over de positionering van de centrale interne auditfunctie in het publieke domein. In het onderzoek is verkend welke positioneringskeuzes er vanuit de audittheorie denkbaar zijn, welke keuzes er in de praktijk bij enkele centrale interne auditdiensten in het publieke domein daadwerkelijk gemaakt zijn en hoe zich dit verhoudt met de verwachtingen van stakeholders. De daadwerkelijke positionering is onderzocht bij vier centrale auditdiensten in het publieke domein, te weten de Auditdienst Rijk (ADR), de Eenheid Audit en Advies van de provincie Zuid-Holland (EAA), Concern Auditing van de gemeente Rotterdam (CA) en auditdienst ACAM van de gemeente Amsterdam (ACAM). Het onderzoek naar de verwachtingen van stakeholders is beperkt tot de stakeholders van de ADR. Een duidelijke positionering vereist dat er keuzes gemaakt worden. Het gaat het om het (willen) innemen van een herkenbare plaats. In het onderzoek zijn vijf dimensies voor positionering onderscheiden: de toegevoegde waarde van de auditfunctie, de herkenbaarheid van de producten en diensten, de relatie met afnemers van de producten / diensten, de aanwezige kennis en kunde en als laatste dimensie de eventuele concurrerende producten / diensten. Aanknopingspunten / keuzemogelijkheden vanuit de theorie. Het onderzoek naar aanknopingspunten voor positionering vanuit de theorie (incl. documenten van de beroepsorganisaties voor auditors) wijst uit dat er geen eenduidige richtlijnen zijn voor de positionering op de vijf dimensies. Het documentonderzoek heeft vooral veel verschillende mogelijkheden voor positioneringskeuzes opgeleverd en weinig uniformiteit. Wel biedt het resultaat houvast bij het maken van keuzes, er is een beeld ontstaan van de keuzemogelijkheden. Dit betekent dat een auditdienst (de dienst die de auditfunctie uitvoert) zelf een keuze moet maken uit die verschillende mogelijkheden. En dus ook een keuze moet maken in wat ze niet gaat doen. Positionering in de praktijk. Op basis van interviews met het hoofd of de directeur van een auditdienst en beperkt documentonderzoek is een beeld geconstrueerd van de positionering van vier auditdiensten. Opvallende zaken in dit beeld zijn dat de toegevoegde waarde van vraaggestuurde onderzoeken (datgene wat niet gericht is op de zogenaamde wettelijke taak) vooral wordt gezien in het bijdragen aan verbetering van de interne beheersing. Er wordt dan nauwelijks gesproken over het verstrekken van aanvullende zekerheid. De meeste werkzaamheden van de interne auditdiensten (IAD’s) bevinden zich in de derde ‘line of defence’. Dit is in overeenstemming met de theorie. Twee IAD’s verrichten daarnaast ook werkzaamheden in de vierde lijn. Één van deze IAD’s en een andere IAD’s verrichten tevens incidenteel werkzaamhedenin de tweedelijn. Twee IAD’s onderhouden geen contact met de externe accountant, waardoor een koppeling tussen derde en vierde lijn ontbreekt. Werkzaamheden t.b.v. de wettelijke taak bestaan uit standaard audits met voorgeschreven normenkaders. Voor het overige geven de auditdiensten aan vooral maatwerkaudits uit te © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
voeren. Twee IAD’s proberen ook vergelijkingen te maken (rijksbrede vergelijkingen respectievelijk vergelijkingen met andere organisaties). Vergelijkbaarheid van auditresultaten verhoudt zich volgens de theorie echter niet met maatwerkaudits. Met uitzondering van de werkzaamheden t.b.v. de wettelijke taak, hebben drie van de vier IAD’s geen format waarin ze de door hen geleverde producten helder duiden. De manier waarop de auditdiensten hun producten presenteren is dat ze vooral een heel breed pakket aan producten leveren. Een heldere presentatie van het type te leveren producten ontbreekt, waardoor het lastig is de betekenis en de waarde van producten te communiceren richting externen. Drie IAD’s koppelen hun advieswerkzaamheden aan onderzoek, dus advies op basis van onderzoek. Één IAD begeleidt de organisatie echter ook bij de eerste stap in de implementatie van adviezen (het nazorgtraject), dit is in strijd met het theoretisch kader. Opvallend is dat geen enkele auditdienst spreekt over ‘advies aan de voorkant’. Bij maatwerkaudits zou hier wel degelijk sprake van kunnen zijn, maar dit wordt blijkbaar niet onderkend. Twee auditdiensten hebben voor een (groot respectievelijk klein) deel van hun werkzaamheden te maken met een externe opdrachtgever. De overige producten en diensten worden veelal geleverd aan het management een niveau boven het direct verantwoordelijke management. Voor wat betreft onderscheidende kennis en kunde hecht één IAD vooral waarde aan specifieke auditkennis. Bij de overige drie auditdiensten geeft men aan dat er sprake is van een combinatie van auditkennis met materiedeskundigeheid. Materiedeskundigheid is gebaseerd op het feit dat medewerkers over een andere opleiding beschikken naast of in plaats van een specifieke auditopleiding. Op welke wijze de op deze manier beschikbare materiedeskundigheid vervolgens wordt ingezet komt niet uit de interviews naar voren. De IAD’s ervaren geen of nauwelijks concurrentie. Niet intern vanuit de organisatie, ook al verrichten bij twee organisaties de interne control afdelingen werkzaamheden uit de derde lijn, en ook niet vanuit externe organisaties, ook al overlapt het object van onderzoek van Rekenkamers en de IAD’s . De praktijk bij de vier onderzochte auditdiensten laat zien dat de auditdiensten verschillende keuzes maken ten aanzien van hun positionering, maar ook dat de mate waarin ze positie kiezen sterk verschilt. Wat uit de positionering van de diensten daarnaast vooral naar voren komt is de indruk dat de positionering vaak niet heel bewust is gekozen en dat er niet heel bewust op wordt gestuurd. Terwijl de essentie van positionering juist is dat er wel heel bewust keuzes worden gemaakt. Het lijkt er op dat de auditdiensten die keuze niet willen of durven te maken of dat het ontbreekt aan een visie op basis waarvan die keuze gemaakt kan worden. Verwachtingen stakeholders van de Auditdienst Rijk. Wanneer wordt gekeken naar verwachtingen van stakeholders (van de ADR) dan blijkt dat de stakeholders, naarmate ze minder dicht op de wettelijke taak zitten, meer zoekende zijn naar de rol en het belang van een interne auditfunctie. Ze vinden het vaak lastig om te bepalen welke rol en positie de ADR inneemt. Positioneert de ADR zich nu als interne auditor voor het eigen ministerie of als interne auditor voor het Rijk (voor het management van het © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
ministerie of voor het management van het Rijk)? Sommige stakeholders vragen zich af of de ADR zich niet te breed profileert en afdrijft van haar kerntaken. Opvallend is dat de stakeholders wel degelijk een aantal concurrenten zien voor de ADR, terwijl de ADR (en ook de andere auditdiensten) dat zelf niet ziet. Hier rijst de vraag of men het echt niet ziet of niet ‘wil’ zien. Maar door te onderkennen dat er concurrenten zijn zou de ADR vervolgens kunnen bepalen hoe ze daar mee om wil gaan. Door concurrenten te ontkennen wordt in ieder geval geen echte strategie ontwikkeld over hoe daar op te participeren. Het niet ervaren van concurrentie kan er ook op duiden dat de ADR, vanuit een soort beschermde positie, niet voldoende wordt uitgedaagd om haar taak goed te vervullen.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Inhoudsopgave Voorwoord...................................................................... 2 Samenvatting .................................................................. 4 1.
Inleiding ...................................................... 9
1.1.
Aanleiding ................................................... 9
1.2.
Doelstelling en onderzoeksvragen ........... 10
1.3.
Aanpak van het onderzoek ....................... 11
1.3.1.
Werkwijze ................................................ 11
1.3.2.
Aspecten van positionering ..................... 11
1.4.
Leeswijzer ................................................. 13
2.
Positioneringsruimte vanuit de theorie.... 14
2.1.
Inleiding .................................................... 14
2.2.
Toegevoegde waarde ............................... 14
2.3.
Herkenbaarheid van producten/diensten 18
2.4.
Afnemers van producten/diensten .......... 23
2.5.
Onderscheidende kennis en kunde .......... 25
2.6.
Concurrenten van de auditfunctie ........... 27
2.7.
Totaalbeeld vanuit de theorie .................. 28
3.
Positionering in de praktijk ....................... 31
3.1.
Inleiding .................................................... 31
3.2.
Positionering op de dimensies ................. 31
3.2.1.
Toegevoegde waarde .............................. 31
3.2.2.
Herkenbaarheid van producten/diensten 32
3.2.3.
De afnemers van producten/diensten .... 33
3.2.4.
Onderscheidende kennis en kunde ......... 34
3.2.5.
Concurrenten van de auditfunctie........... 34
3.3.
Overeenkomsten en verschillen ............... 35
3.4.
Conclusies positionering in de praktijk ..... 38
4.
Verwachtingen stakeholders ADR ............ 41
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
4.1.
Inleiding .................................................... 41
4.2.
Toegevoegde waarde ............................... 41
4.3.
Herkenbaarheid van producten/diensten 43
4.4.
Afnemers van producten en diensten ...... 45
4.5.
Onderscheidende kennis en kunde .......... 46
4.6.
Concurrenten van de auditfunctie ........... 46
4.7.
Conclusie................................................... 47
5.
Slotbeschouwing....................................... 49
Literatuurlijst ................................................................ 50 Geïnterviewden en door hen verstrekte documenten 53 Bijlage 1 – vragenlijst hoofden auditdiensten .............. 54 Bijlage 2 – vragenlijst stakeholders .............................. 58 Bijlage 3 – positionering per auditdienst...................... 61 Bijlage 4 – Verantwoording en terugblik ...................... 75
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
1. Inleiding
1.1.
Aanleiding
Voor een juiste positionering is het van belang dat het management van een interne auditorganisatie de grenzen van de professie bewaakt en hierop stuurt. Van Kesteren (2006) vraagt zich af of het management van Interne auditdiensten (IAD’s) voldoende in staat is om vanuit intentionaliteit doelbewust sturing te geven aan de wijze waarop de internal auditfunctie zich binnen de organisatie manifesteert. Wordt de strategie van IAD’s niet met name bepaald door de organisatorische inbedding en selectiekrachten vanuit de omgeving? Van Kesteren verwijst daarbij naar een tweetal studies in het buitenland (de Verenigde Staten en Italië), waarbij de conclusie is dat de strategische koers van IAD’s en daarmee de invulling van de internal auditfunctie vooral bepaald wordt door het topmanagement van de organisaties waar IAD’s zijn ingebed. Als IAD’s geleid worden door de verwachtingen van het topmanagement van de organisatie, dan zullen de grenzen van de interne auditfunctie worden afgestemd op de organisatie. Dit zou de variëteit aan strategieën en werkwijzen op het populatieniveau van IAD’s kunnen verklaren. Van Kesteren (2006) geeft als verklaring voor deze variëteit dat IAD’s ‘zich blijkbaar meer verbonden voelen met de waarden, normen en cultuur van de organisaties waarin ze zijn ingebed dan aan een gedeeld besef dat de koers van de professie voor een belangrijk deel bepaald wordt door de optelsom van het ‘gedrag’ van alle individuele IAD’s. Met andere woorden: het ontbreekt op het institutionele niveau van IAD’s aan een gedeelde koersopvatting die (grens)bepalend is voor de ontwikkeling van de internal auditprofessie waardoor IAD’s zich eerder zullen buigen naar de wensen van het management van de organisatie waar zij ingebed zijn.’ ‘Door hun koers af te stemmen op het management dat bediend wordt door IAD’s, hanteren de IAD’s een overlevingsstrategie die moet voorkomen dat zij ‘uitgeselecteerd’ worden door de omgeving waarbinnen zij acteren. De intentionele sturing vanuit de auditprofessie is kennelijk minimaal.’ Het risico van het volledig aanpassen aan de wensen van de organisatie is dat IAD’s afdrijven van de kerntaken waarmee een IAD zich onderscheidt van andere organisaties (of organisatieonderdelen). Natuurlijk kan een IAD dan andere kerntaken ontwikkelen, maar dan doet de vraag zich voor of de oorspronkelijke kerntaken dan niet meer relevant zijn en of de IAD met de nieuwe kerntaken voldoende onderscheidend is van andere organisatieonderdelen. Ook Lenz en Sarens (2012) wijzen op het belang van een duidelijke positionering van de interne auditfunctie. Om toegevoegde waarde aan de organisatie te kunnen leveren is het volgens hen cruciaal dat er een duidelijke hoofdklant is (de ultieme hoofdstakeholder, ‘the boss‘) die bediend moet worden en dat duidelijk wordt gemaakt wat de kerntaak is van de interne auditfunctie. In de praktijk is het vaak zo dat de internal auditfunctie veel klanten heeft te bedienen en dan ook nog met de ambitie om zowel assurance (zekerheid) als adviesdiensten aan te bieden. Wanneer iedereen iets anders verwacht van de internal auditfunctie, is uiteindelijk niemand volledig tevreden. Het is daarom belangrijk zowel het © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
perspectief als de opzet van de internal auditfunctie duidelijk te maken. Ook hier gaat het dus om het kiezen van een duidelijke positionering, zowel wat betreft klant/opdrachtgever als wat betreft de te leveren producten en diensten. Een duidelijke positionering gaat gepaard met het maken van keuzes. Dit onderzoek verkent welke positioneringskeuzes er vanuit de audittheorie denkbaar zijn, welke keuzes er in de praktijk bij enkele centrale interne auditdiensten in het publieke domein gemaakt zijn en hoe zich dit verhoudt met de verwachtingen van stakeholders (dit laatste deel van het onderzoek beperkt zich tot de verwachtingen van stakeholders op rijksniveau (stakeholders van de Auditdienst Rijk)).
1.2.
Doelstelling en onderzoeksvragen
Doelstelling van het onderzoek is: Het verkennen van de keuzes (mogelijkheden en gemaakte keuzes) voor positionering van de centrale interne auditfunctie in het publieke domein, om daarmee een bijdrage te leveren aan een visie over de ontwikkelingsrichting van de interne auditfunctie in het publieke domein. Centrale onderzoeksvraag: Hoe verhouden de mogelijkheden voor positionering van de centrale interne auditfunctie in het publieke domein vanuit de audittheorie zich met de daadwerkelijke positionering in de praktijk en met de verwachtingen van stakeholders? Deelvragen De centrale onderzoeksvraag is uitgewerkt in de volgende deelvragen: 1. Welke aanknopingspunten of keuzemogelijkheden biedt de audittheorie (incl. vaktechnische documenten) voor de positionering van de centrale interne auditfunctie in het publieke domein (theoretische positionering)?; 2. Hoe verhoudt de daadwerkelijke positionering van de centrale interne auditfunctie in het publieke domein zich met de theoretische aanknopingspunten of keuzemogelijkheden (positionering in de praktijk)?; 3. Wat zijn de verwachtingen en ideeën van stakeholders over de positionering van de centrale interne auditfunctie van het Rijk? En hoe verhoudt zich dit met de mogelijkheden vanuit de theorie? Afbakening. Het onderzoek naar de positionering van centrale auditfuncties in de praktijk beperkt zich tot vier centrale auditdiensten in het publieke domein op het niveau van het Rijk, de provincie of de gemeente. Auditdiensten van uitvoeringsorganisaties of van verzelfstandigde diensten vallen hier niet onder. De vier auditdiensten die dit onderzoek zijn meegenomen
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
zijn: de Auditdienst Rijk, de Eenheid Audit en Advies van de provincie Zuid-Holland, Concern Auditing gemeente Rotterdam en de auditdienst ACAM van de gemeente Amsterdam. Het onderzoek naar de verwachtingen van stakeholders is beperkt tot stakeholders van de Auditdienst Rijk.
1.3. 1.3.1.
Aanpak van het onderzoek Werkwijze
Het onderzoek start met het opstellen van handvatten voor positionering, op basis van literatuuronderzoek. Met behulp van deze theoretische handvatten is nagegaan hoe vier interne auditdiensten in de publieke sector1 in de praktijk zijn gepositioneerd. Tevens zijn met behulp van de theoretische handvatten de verwachtingen van stakeholders van de Auditdienst Rijk in beeld gebracht. Op basis van de aldus verkregen informatie over de verschillen tussen theorie, praktijk en verwachtingen van stakeholders, is een analyse uitgevoerd naar de positionering van de centrale interne auditfunctie in het publieke domein. Het voor dit onderzoek gehanteerde onderzoeksmodel treft u aan in bijlage vier. Bijlage vier bevat tevens een verantwoording over en terugblik op de aanpak van het onderzoek.
1.3.2.
Aspecten van positionering
Het onderzoek richt zich op de positionering van de auditfunctie in het publieke domein. Maar wat is eigenlijk positionering? En waarom is het belangrijk? En welke aspecten spelen een rol bij positionering? Een zoektocht op internet levert vele definities op van het begrip ‘positioneren’. Positioneren wordt gedefinieerd als ‘een herkenbare plaats geven’ (http://www.woorden.org) of ‘plaatsen’ ( http://www.mijnwoordenboek.nl). Het is een begrip dat vooral veel in de marketing wordt gebruikt. Met positioneren wordt getracht een product of dienst bewust een plaats te geven in het hoofd van de afnemer. ‘Het gaat dan om een perceptie ten opzichte van de concurrent. Met deze techniek wordt getracht een imago of identiteit te creëren in de perceptie (in het hoofd) van de doelgroep. Dit imago is vaak gebaseerd op een verdedigbaar concurrentievoordeel. Door in de positioneringsstrategie gebruik te maken van een verdedigbaar concurrentievoordeel ontstaat er in het hoofd van de afnemer een onderscheidend vermogen ten opzichte van de concurrent‘ (http://www.intemarketing.nl).
1
De in dit onderzoek betrokken auditdiensten zijn: de Auditdienst Rijk, de Eenheid Audit en Advies van de provincie ZuidHolland, Concern Auditing gemeente Rotterdam en Auditdienst ACAM gemeente Amsterdam.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Positioneren beperkt zich niet tot een product of dienst, maar kan ook betrekking hebben op een organisatie. Het goed positioneren van een organisatie kan om diverse redenen van belang zijn. ‘Het vastleggen en uitdragen waar een organisatie voor staat zorgt voor een interne en externe focus. Het kunnen benoemen wat het onderscheidend vermogen van een organisatie is, zorgt voor herkenbaarheid en aantrekkelijkheid voor klanten en een voordeel ten opzichte van concurrenten. De positionering van een organisatie is sterk verbonden aan de identiteit van de organisatie zelf. Aspecten als de visie, kernwaarden en cultuur spelen hierbij een belangrijke rol. Vanuit een goed zicht op de identiteit van de organisatie is het voor de positionering noodzakelijk om verbinding te zoeken met de behoeften van klantgroepen en stakeholders. Op deze manier krijgt een positionering relevantie en geloofwaardigheid’ (http://www.communicatiepositionering.nl). Positioneren gaat ook om keuzes maken. ‘Een positionering vormt een leidraad voor communicatie, beleid en dienstverlening. Een leidraad voor beslissingen.’ Het vereist het maken van krachtige keuzes (http://www.communicatiepositionering.nl). Het traditionele vijf krachtenmodel van Porter gaat uit van vijf krachten die bepalend zijn voor de concurrentie van een product (Laudon en Laudon, 2012, blz. 125). Het gaat om de volgende vijf krachten: 1. de macht van toeleveranciers; 2. de macht van afnemers/klanten; 3. de mate waarin substituten en complementaire goederen verkrijgbaar zijn; 4. de dreiging van nieuwe toetreders tot de markt; 5. de interne concurrentie van spelers op de markt. Op basis van dat model zouden voor de positionering van de auditfunctie de macht van de afnemers/klanten van de producten en diensten van de auditdienst van belang zijn, evenals enigszins vergelijkbare producten/diensten van andere instanties (denk aan commerciële accountantsbureaus, beleidsonderzoeksbureaus, adviesdiensten, planbureaus, stafafdelingen binnen departementen etc.). Ook moet rekening gehouden worden met eventuele “nieuwe toetreders” zoals strategische adviesafdelingen binnen een ministerie. De macht van toeleveranciers (universiteiten, hogescholen, andere opleidingscentra) en de interne concurrentie van spelers op de markt lijken in deze casus minder relevant. Bij onderscheidend vermogen denkt Storm (in Doorn, 1994, blz. 24) vooral aan het vermogen je op basis van kennis en kunde te kunnen onderscheiden. De mate waarin een organisatie hierin slaagt dit te bewerkstelligen bepaalt de beleidsvrijheid van een organisatie. Het geeft een organisatie meer macht. Hierbij wordt dus een relatie gelegd tussen opgebouwde macht binnen een relatieveld en de mogelijkheden van een organisatie. Het belang van het netwerk van relaties is ook terug te vinden in het denken over (strategische) marketing. De uitgangspunten hierbij zijn dat de organisatie als onderdeel van het netwerk van afhankelijkheidsrelaties wordt gezien. Het accent wordt gelegd op de relatie met de afnemers van de organisatie. Bij deze visie wordt gestreefd naar een balans van wat goed is voor de afnemer en wat goed is voor de organisatie op de lange termijn. De gedachte is te komen tot win-win situaties. Voor de professional is dit van belang. Het klakkeloos voldoen aan vragen van consumenten, waarbij voorbijgegaan wordt aan de professionele normen en waarden, wordt hiermee voorkomen. Aan de andere kant is het voor de beroepsgroep belangrijk om flexibel met hun kennis en kunde op de behoefte van de afnemers te reageren. Storm (in Doorn, 1994, blz. 27) definieert marketing als het © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
creëren van duurzame relaties met potentiële afnemers teneinde met wederzijds voordeel in behoefte te voorzien. In dit referaat gaat het over de positionering van de auditfunctie in het publieke domein, dus om de plaats van deze functie ten opzichte van andere functies. Het gaat daarbij om zowel de producten/diensten die door deze functie worden geleverd als om de positionering van de organisatie die de auditfunctie uitoefent. De centrale auditfunctie in het publieke domein wordt in de praktijk uitgeoefend door de centrale auditdienst (van Rijk, provincie of gemeente). Het gaat dus ook om de positionering van de centrale auditdienst ten opzicht van andere instanties. Samenvattend spelen de volgende elementen een rol bij de positionering van de auditfunctie in het publieke domein:
de toegevoegde waarde van de auditfunctie (waar staat de auditfunctie voor, wat levert het op); de herkenbaarheid van de producten en diensten (de typen producten die de auditfunctie levert); de relatie met afnemers van de producten/diensten van de auditdienst, de klanten (de gebruikers en opdrachtgevers van een audit); onderscheid op basis van kennis en kunde; eventuele concurrerende producten/diensten van andere instanties of nieuwe toetreders.
Deze vijf onderdelen zijn in hoofdstuk drie verder uitgewerkt op basis van de theorieën met betrekking tot de auditdiscipline en vaktechnische discussies. Omdat het bij positioneren gaat om het maken van keuzes, gaat het in dit referaat over de keuzes die gemaakt (zouden moeten) worden bij de positionering van de centrale interne auditfunctie in het publieke domein.
1.4.
Leeswijzer
De drie centrale onderzoeksvragen vormen de leidraad voor de opbouw van dit referaat. In hoofdstuk twee is ‘positionering’ uitgewerkt in vijf dimensies, waarbij per dimensie is aangegeven welke positioneringsmogelijkheden uit de audittheorie zijn af te leiden. In hoofdstuk 3 is vervolgens aangegeven welke positioneringskeuzes vier centrale auditdiensten in het publieke domein daadwerkelijk hebben gemaakt. Hoofdstuk 4 brengt in beeld hoe stakeholders van de Auditdienst Rijk aan kijken tegen de positioneringskeuzes van de Auditdienst Rijk. In hoofdstuk vijf staat de eindconclusie van dit referaat.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
2. Positioneringsruimte vanuit de theorie 2.1.
Inleiding
In hoofdstuk 1 zijn vijf dimensies voor positionering onderscheiden. In dit hoofdstuk treft u de vertaling aan van de vijf algemene dimensies voor positionering, naar de specifieke context voor de positionering van interne auditfunctie in het publieke domein. Dit is gedaan op basis van documentonderzoek. Met deze paragraaf wordt antwoord gegeven op de eerste onderzoeksvraag: ‘Welke aanknopingspunten of keuzemogelijkheden biedt de audittheorie (incl. vaktechnische documenten) voor de positionering van de centrale auditfunctie in het publieke domein (theoretische positionering)?
2.2.
Toegevoegde waarde
Om te begrijpen wat de auditfunctie in het publieke domein is begint deze paragraaf met een aantal definities van auditing, daarna volgt een korte schets van de plaats van interne audit ten opzichte van de management control cyclus, achtergrond/ontstaansgeschiedenis van het vak internal auditing en het object van auditing. Tot slot wordt ingegaan op het onderscheid (in de publieke sector) tussen interne en externe auditing. Het geheel geeft handvatten voor het duiden van de toegevoegde waarde van de interne auditfunctie in het publieke domein. Wat is auditing. Een korte definitie van audit luidt: ‘ Audit is een toetsend onderzoek’. Dit betekent dat het onderzoek zich kenmerkt door het vergelijken van een werkelijkheid (IST-situatie) met een verwachting of wenselijkheid (SOLL-situatie); oftewel een norm (Otten, Hartog en de Korte, 2011). Van Twist (2013) merkt op dat de internal auditor binnen organisaties in het publieke domein fungeert als ‘factchecker’ en als ‘normenbewaker’. ‘Hij of zij verzamelt de feiten, toetst deze aan de afgesproken normen, komt op basis daarvan tot een oordeel en rapporteert daarover aan het daartoe afgesproken orgaan (of organen).’ Kocks (2003) geeft een iets verder uitgewerkte definitie. Hij definieert auditing als ‘het uitvoeren van onderzoeken (audits) waarbij, door middel van het verzamelen en beoordelen/evalueren van evidence, toetsing plaatsvindt van één of meer aspecten van een gedefinieerd object aan een vooraf vastgestelde (set van) norm(en), met als doel om op grond van de resultaten van die toetsing één of meer (door een auditor of een derde) gecertificeerd(e) oordeel/oordelen te kunnen afgeven aan de opdrachtgever of, via de opdrachtgever, aan derden, waarbij zowel aan de audit als aan de auditor bepaalde eisen worden gesteld’. Het is een technische omschrijving van het begrip auditing, los van een context. Bij deze definitie heeft auditing als zelfstandig vakgebied eigenlijk geen bestaansrecht. Auditing krijgt bij deze definiëring pas inhoud (praktische waarde) door het te koppelen aan een zogenaamd objectgebied.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
De door de internationale beroepsorganisatie voor internal auditors (IIA) geformuleerde definitie voor internal auditing luidt: ’Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes’ (The Institute of Internal Auditors, 2011). Het IIA Nederland heeft dit als volgt vertaald: ‘Internal Auditing is een onafhankelijke, objectieve assurance (geven van zekerheid) en consulting (geven van advies) activiteit met de bedoeling waarde toe te voegen aan en verbetering te brengen in de operaties van een organisatie. Internal Auditing helpt een organisatie om haar doelen te verwezenlijken door een methodische, ordelijke benadering om de effectiviteit van risicomanagement, controle en beheersingsprocessen te evalueren en verbeteren’(IIA Nederland, 2004). Wanneer je de definitie van het IIA en die van Kocks met elkaar vergelijkt, dan zou je kunnen zeggen dat in de definitie van het IIA internal auditing koppelt aan het objectgebied risicomanagement, control en governanceprocessen gericht op het verbeteren van de exploitatie van de organisatie. Het geven van advies (‘consulting activities’) wordt in de definitie van Kocks niet genoemd. Wat dat betreft kiest Kocks dus voor een beperktere invalshoek. Het al dan niet geven van advies komt aan de orde bij de paragraaf ‘Herkenbaarheid van de producten/diensten”. IIA Nederland, NIVRA en NOREA richten zich bij hun beschrijving van internal auditing (IIA Nederland e.a., 2008) expliciet op het objectgebied risicomanagement, beheersing en besturing. Zij sluiten daarmee aan op de definitie van het IIA. Het object van auditing wordt verderop in deze paragraaf uitgebreider behandeld. Aanvullende zekerheid vanuit de ‘third line of defence’. Het ‘three lines of defence‘ model illustreert de positie van de interne audit t.o.v. management control. Uitgangspunt voor dat model is dat het management (first line of defence) verantwoordelijk is voor het ‘in control’ zijn van de organisatie. Dat management wordt ondersteund door de controller en andere functionarissen die zich bezig houden met assurance-functies als risk management, compliance en verbijzonderde interne controle (second line of defence). De internal auditor (third line of defence) staat min of meer buiten het hiervoor geschetste systeem. Zijn rol bestaat uit het verstrekken van aanvullende zekerheid aan het management, over de vraag of de organisatie wel op de meest doelmatige en effectieve wijze is ingericht en functioneert (Lasance (red.), 2013). De vierde lijn wordt dan gevormd door de externe auditor. De primaire rol van de externe auditor is het verschaffen van extra zekerheid aan externe belanghebbenden (IIA, 2008). Het gaat bij internal auditing dus om het verstrekken van aanvullende zekerheid. De term aanvullende zekerheid geeft aan dat de opdrachtgever van het onderzoek al over kennis beschikt, maar aanvullend een ‘second opinion’ van de IAF vraagt. Deze ‘second opinion’ betreft dan een oordeel op basis van een gedegen onderzoek (Hartog en de Korte, 2005). Een audit mag daarbij niet gezien worden als substituut voor goed management en verschaft te allen tijde niet meer dan aanvullende zekerheid. Omdat auditing zich in deze visie richt op de gehele management control cyclus spreken Paape, de Korte en Otten (2005) ook bij voorkeur over Management Control Auditing (MCA). Ze definiëren MCA dan als ‘een © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
methodologisch verantwoord onderzoek voor het beantwoorden van relevante kennisvragen van het management, gericht op de beïnvloeding van het gedrag van de organisatie in zich wijzigende omstandigheden voor het realiseren van de organisatiedoelen.’ Internal auditing staat in deze visie buiten de management control cyclus. Ook in de definitie van het IIA voor internal auditing zijn overigens verschillende elementen (risk management, control en governance processes) van de management control cyclus terug te vinden. Ook Molenkamp (2011) huldigt de opvatting dat audit geen deel uit maakt van het control framework. Als de toegevoegde waarde van internal auditing is het verstrekken van aanvullende zekerheid, dan is de organisatie zelf verantwoordelijk voor de kwaliteit van de ‘in control status’. Dat betekent dat begrippen als zelfcontrole, verbijzonderde controle, zelforganisatie, in control statements, managementrapportages en control selfassessment (CSA) bedrijfskundige noties zijn, waarmee binnen de organisatie zekerheid kan worden verkregen over de mate waarin de feitelijke beheersing beantwoordt aan de daartoe gestelde eisen’ (Molenkamp, 2011). De taak van de internal auditor is slechts het verstrekken van aanvullende zekerheid op die vlakken waar, uit het oogpunt van risico’s, een second opinion is gewenst. Object van onderzoek interne beheersing Het object van audit bij een interne auditfunctie is de interne beheersing. Maar wat wordt daar onder verstaan? COSO geeft de volgende definitie van interne beheersing (internal control): ‘…. a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance’ (COSO, 2013). De mondiale vereniging van landelijke rekenkamers (INTOSAI, International Organisation of Supreme Audit Institutions) heeft een overheid specifieke definitie van interne beheersing opgesteld. De definitie luidt als volgt (INTOSAI GOV 9100)2: ‘Internal control is an integral process that is effected by an entity’s management and personnel and is designed to address risks and to provide reasonable assurance that in pursuit of the entity’s mission, the following general objectives are being achieved:
2
executing orderly, ethical, economical, efficient and effective operations; fulfilling accountability obligations; complying with applicable laws and regulations;
Voor dit onderzoek is de Engelstalige definitie als volgt vertaald.
Interne controle is een integraal proces dat wordt geëffectueerd door het management en medewerkers van een organisatie en dat is gericht op het adresseren van risico’s en het bieden van redelijke zekerheid dat bij het nastreven van de missie van de organisatie, de volgende algemene doelen worden bereikt:
een gestructureerde, ethische, economische, efficiënte en effectieve uitvoering van werkzaamheden; het voldoen aan verplichtingen inzake het afleggen van rekenschap; naleving van de van toepassing zijnde wetten en voorschriften; voorkomen van verlies, misbruik en beschadiging van bedrijfsmiddelen.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
safeguarding resources against loss, misuse and damage.’
Deze definitie van interne beheersing bevat enkele overheid specifieke aanvullingen ten opzichte van de definitie van COSO. In vergelijking met COSO besteedt INTOSAI meer aandacht aan ethisch gedrag, het voorkomen en opsporen van fraude en corruptie in overheidsinstellingen, het vrijwaren van middelen in de overheidssector en de controle op het gebruik van informatiesystemen (http://www.bestuurszaken.be). Met name de toevoeging van de ethische component (ethical) lijkt relevant. In de publieke sector is immers in de loop der tijd meer nadruk gelegd op ethisch verantwoord gedrag en het voorkomen en opsporen van fraude en corruptie. Met ‘fulfilling accountability obligations’ wordt bedoeld het voldoen aan verplichtingen betreffende het afleggen van rekenschap. En dit is breder dan alleen de betrouwbaarheid van financiële verslaggeving, de betrouwbaarheid van de financiële verslaglegging maakt er echter wel onderdeel van uit. Het gaat daarnaast ook om niet-financiële informatie als beleidsinformatie, prestaties, effecten e.d. De toevoeging van de doelstelling ‘het voorkomen van verlies, misbruik en beschadiging van bedrijfsmiddelen’ is van belang omdat de bedrijfsmiddelen in de publieke sector publiek geld betreft. Auditing in de publieke sector moet volgens INTOSAI dus gericht zijn op bovenstaande definitie van interne beheersing. Ook van Twist (2013) geeft aan dat de internal auditor in het publieke domein dient te toetsen aan een brede set van criteria. Het gaat om meer dan efficiënte bedrijfsvoering of effectief beleid, ook rechtstatelijke en democratische waarborgen spelen een belangrijke rol. Onderscheid interne en externe auditfunctie Public sector auditing is het verrichten van auditing in de publieke sector. Het IIA Inc maakt in haar visie op auditing in de publieke sector (IIA Inc. 2012) geen onderscheid in het differentiëren naar interne en externe auditing en richt zich op alle aspecten van de inhoud van beleid en procesvoering. Hiermee wijkt zij af van het principe van de ‘three lines of defence’, waarbij interne auditing in de derde lijn en externe auditing in de vierde lijn wordt geplaatst. Als element in een sterke publieke sector governance-structuur, ondersteunt auditing in de visie van het IIA de governancerollen toezicht, inzicht en vooruitzien. Bij toezicht gaat het dan om vragen als ‘is het beleid zo geïmplementeerd als bedoeld?‘en ‘implementeren de managers effectieve controls om risico’s te minimaliseren?‘, maar ook om het signaleren en onderzoeken van eventuele corruptie, incl. fraude, verspilling, misstanden, machtsmisbruik etc. Bij inzicht gaat het dan om beoordelingen over welke programma’s en beleidsplannen werken en welke niet, door best practices te delen en benchmarkinginformatie te delen, horizontaal te kijken door publieke instellingen heen en verticaal door verschillende niveaus van de publieke sector heen om mogelijkheden te laten zien voor het overnemen, aanpassen of het ontwikkelen van managementvoorbeelden/praktijken. De auditfunctie helpt de organisatie om te leren door voortdurende feedback bij het beoordelen van beleid/praktijk. Bij vooruitzien gaat het tot slot om het signaleren van trends en het vestigen van aandacht op nieuwe uitdagingen om daarmee een bijdrage te leveren aan de formulering van toekomstig beleid.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Het belangrijkste onderscheid tussen de auditfunctie in het publieke domein en die in het private domein is volgens hoogleraar Public Auditing &Accounting aan de Nyenrode Business Universiteit (Dees, 2011) de context waarin die functie wordt vervuld. In een democratische rechtsstaat is het cruciaal dat de overheid zich houdt aan de beginselen van goed openbaar bestuur (good governance). De interne en externe auditfunctie dient daaraan bij te dragen. Criteria van goed openbaar bestuur die de public sector auditor gebruikt zijn (Dees, 2011): prestatiecriteria, zorgvuldigheidscriteria, financiële criteria, organisatiegerichte criteria en criteria voor verantwoording en transparantie (zie ook tabel 1). Tabel 1: criteria van goed bestuur (bron: Dees (2011))
Wanneer dit de criteria zijn waar de auditfunctie aan dient bij te dragen, dan zijn dat dus de dimensies waar de auditfunctie in het publieke domein zich op moet richten. Ook Dees lijkt geen onderscheid te maken tussen de interne en externe auditfunctie. De door Dees onderscheiden dimensies gaan dan ook verder dan die voor internal auditing. Met name geldt dit voor de criteria voor verantwoording en transparantie. Kerseboom en Neelissen (2005) maken wel onderscheid tussen de interne en externe auditfunctie. De interne auditfunctie onderzoekt en draagt volgens hen bij aan de doeltreffendheid van interne beheersing door middel van onderzoeken en aanbevelingen. Rekenkamers vervullen de externe auditfunctie, zij bevorderen en ondersteunen de invoering van doeltreffende interne beheersingssystemen bij de overheid. De beoordeling van de interne beheersing is een essentieel onderdeel van hun financial, operational en compliance audits. Rekenkamers leveren een bijdrage aan de versterking van de interne beheersing in de publieke sector, door de rechtmatigheid en doelmatigheid van de uitvoering van overheidsbeleid en de besteding van publiek geld te beoordelen (Kerseboom en Neelissen, 2005).
2.3.
Herkenbaarheid van producten/diensten
Voor een heldere positionering is het belangrijk dat duidelijk is welke producten/diensten de interne auditfunctie levert. Deze paragraaf gaat daarop in. Theoretische indeling op basis van aantal aspecten en doelgroep Voor het in beeld brengen van de verschillende soorten auditopdrachten kan het in figuur 2 getekende assenstelsel worden gebruikt (gebaseerd op Otten e.a. (2011) en Hartog en de © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Korte (2008)). Deze figuur wordt ook veel in de colleges auditmethodologie van de IAAopleiding gebruikt. Op de verticale as staat de beoogde gebruiker van de audit aangegeven; van audits ten behoeve van het maatschappelijk verkeer tot audits voor gebruik door de controller of een andere medewerker binnen de organisatie. Op de horizontale as staat het aantal aspecten waar in de audit naar gekeken wordt; van één aspect tot een breed scala aan aspecten. Audits ten behoeve van het maatschappelijk verkeer of het topmanagement die de uitkomsten eventueel gebruikt voor zijn stakeholders vereisen in het algemeen een grote mate van standaardisatie, zodat men weet wat de audits inhouden en de resultaten van diverse audits vergelijkbaar zijn. In de praktijk (Hartog en de Korte, 2008) zijn dit veelal ‘discipline-gebonden’ onderzoeken, op basis van bekende standaard normenkaders. De te hanteren normen zijn vaak een soort minimumnormen om te voldoen aan wet- en regelgeving. Daarbij staat vaak slechts één of een beperkt aantal aspecten centraal (monoaspectmatig). De mono-aspectmatige audits ten behoeve van het maatschappelijk verkeer bevinden zich linksboven in figuur 2.
figuur 2: diverse soorten audits maatschappelijk verkeer Standaardisatie voor vergelijkbaarheid, waarbij vraagstelling, referentiemodel en wijze van data verzameling vooraf bekend zijn.
beperkte vergelijkbaarheid
multi-aspectmatige audits mono-aspectmatige audits
beperkte toegevoegde waarde
Maatwerk voor directe relevantie, waarbij vraagstelling, referentiemodel en wijze van data verzameling niet vooraf bekend zijn.
controller/ MT-lid Aan de andere kant van het spectrum (rechtsonder) staan de audits voor het interne management. Voor deze audits geldt dat de toegevoegde waarde juist zit in de beantwoording van een concrete, specifieke auditvraag, waar de betreffende manager op dat moment mee worstelt. Relevantie van de audit betekent dan dat de audit moet worden toegesneden op de specifieke kennisbehoefte (Hartog en de Korte, 2008). Meestal gaat het
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
om verschillende aspecten die in de audit dienen te worden betrokken. Standaard normenkaders voldoen dan vaak niet meer. In de beginfase waren internal auditors (in elk geval in Nederland) zeer betrokken bij de audit inzake de betrouwbaarheid van de financiële verantwoording. Er werd daarom nauw samengewerkt met de external auditor. In Nederland bestond de unieke situatie dat internal auditors de zogenaamde ‘interne jaarrekening’ certificeerden, waarna de external auditor de werkzaamheden van de internal reviewde en (mede) op grond daarvan zijn handtekening kon plaatsen (Paape e.a., 2005). Later verbreedde het werkveld van de internal auditor zich naar het stelsel van interne beheersing, dus naar de management(control)cyclus. De verbreding heeft zich in de loop der jaren nog verder doorgezet. De scope van interne auditing beperkt zich niet meer tot de betrouwbaarheid van de informatie, maar richt zich op alle van toepassing zijnde doelen en kritieke succesfactoren van het object waar het management meer zekerheid over wil. Zo kan de auditor bijvoorbeeld ook de aandacht richten op de beheersing van mogelijke tegenstrijdige doelen en hoe met die tegenstrijdigheid om te gaan (Hartog en de Korte, 2005). Typen audits die beroepsorganisaties onderscheiden INTOSAI kent eigen beroepsrichtlijnen, de zgn. ISSAI-richtlijnen. ISSAI 100 onderscheidt drie typen audits voor public-sector audit: financial audits, performance audits en compliance audits. Financial audits richten zich bij deze indeling op de betrouwbaarheid en rechtmatigheid van de financiële verantwoording. Performance audits richten zich op het realiseren van de strategische doelstellingen en de efficiency en effectiviteit van de uitvoering. Het gaat om audits die de performantie (= de mate waarin de strategische doelstellingen efficiënt en effectief gerealiseerd/uitgevoerd worden ) voor overheidsdiensten beoordelen. Compliance audits richten zich op de naleving van procedures en voorwaarden. Ook Dees en Droogsma (2013) onderscheiden deze drie hoofdvormen van public sector auditing en geven daarbij aan dat deze drie aansluiten op de belangrijkste inhoudelijke dimensies van publieke verantwoording: financiën, prestaties en zorgvuldigheid (zie ook tabel 1 uit paragraaf 3.1). De auteurs richten zich hier dus op de publieke verantwoording, op de zogenaamde externe auditrol. Dit past ook bij de rol van INTOSAI, als beroepsorganisatie van landelijke rekenkamers). Wanneer we ook de interne auditrol in beschouwing nemen, dan is ook aandacht voor de kwaliteit van de organisatie een wezenlijk onderwerp voor audit (vierde dimensie van publieke verantwoording, zie eerdergenoemde tabel 1). Het gaat dan om audits naar bijvoorbeeld de kwaliteit van het intern bestuur, kwaliteit van samenwerking met andere organisaties en lerend vermogen. Het IIA hanteert een iets andere indeling voor audits in de publieke sector. Type werkzaamheden die een auditfunctie in de publieke sector volgens het IIA Inc. kan uitoefenen (IIA 2012)zijn:
audits naar risicomanagementsystemen en controls (systems audit); prestatie-audits (performance audits). Deze audits beoordelen de effectiviteit, efficiency, zuinigheid (economy), compliance, databetrouwbaarheid, beleids- en
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
andere vooruitkijkende evaluaties en risicobeoordelingen (deze laatste met als doel om auditplannen op te stellen); financial audits. Deze audits zijn gericht op de betrouwbaarheid van de financiële verslagleging (vaak uitgevoerd door externe auditors, d.w.z. commerciële auditors of auditors van een andere publieke entiteit); advies, ondersteuning en onderzoeksdiensten. Auditors kunnen objectief advies geven op gebieden waarin ze expertise bezitten. In aanvulling daarop kunnen auditors ook risicoworkshops faciliteren en trainingen verzorgen op gebieden als fraudebewustzijn, prestatiemeting, controldesign etc. Ze kunnen ook advies geven bij het implementeren van auditaanbevelingen. Echter de auditors dienen bij al deze activiteiten wel onafhankelijk te blijven. Ze mogen geen managementbeslissingen nemen of managementrollen vervullen.
Een verschil tussen beide indelingen is dat de compliance audit bij de IIA-indeling onderdeel is van de prestatieaudit. Een ander verschil is dat de systeem audit in de indeling van INTOSAI niet lijkt terug te komen. Dit kan samen hangen met het feit dat INTOSAI zich vooral richt op externe auditing (opgemerkt door Dees, 2011) en dat er daarom minder aandacht is voor de systeemaudits, wat wellicht meer een interne aangelegenheid is. Deze veronderstelling wordt ondersteund door de definitie die Hartog en Cleton (2011) geven voor een systeem-audit: een audit waarbij prospectief wordt gekeken of voldoende waarborgen bestaan dat het goed zal gaan. Die definitie lijkt eerder te passen bij internal auditing dan bij externe auditing waar INTOSAI zich met name op richt. Van Twist (2013) beschrijft systeemaudits als audits die ingezet kunnen worden om vast te stellen of een bepaald niveau van zekerheid is te verschaffen over de vraag of de organisatie de gestelde uitdagingen aankan en de belangrijkste risico’s daarbij afdoende worden beheerst. Een performance audit wordt ook wel gedefinieerd als een audit waarbij het doel is om (retrospectief) een oordeel te geven of het betreffende product of proces voldoet aan de eisen (Hartog en Cleton, 2011). Een ander verschil tussen beide indelingen is de werkzaamheid ‘advies, ondersteuning en onderzoeksdiensten’. Dit hangt wellicht samen met de toevoeging van ‘consulting acivities’ in de IIA-definitie van internal auditing (zie paragraaf 2.3.). IIA Nederland, NIVRA en NOREA (2008) hanteren in hun gezamenlijke positionpaper ‘De Internal auditor in Nederland’ (dus niet specifiek gericht op de publieke sector!) een andere insteek bij het noemen van de meest voorkomende typen audits:
operational audits naar de kwaliteit van de beheersing van processen, afdelingen of projecten, incl. de betrouwbaarheid van de daartoe benodigde informatie; IT-audits naar de opzet en inrichting van IT-governance en naar de beheersing van de IT processen en –systemen; Compliance audits naar de naleving van relevante wet- en regelgeving; Financial audits, gericht op de betrouwbaarheid van de financiële informatie.
Hier lijkt de vaktechnische achtergrond van auditors leidend voor de indeling van de typen audits.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Wel of geen advies. Het IIA noemt ‘consulting activities’ expliciet in haar definitie van internal auditing. Over wat daar dan precies onder moet worden verstaan, worden in de vaktechniek nogal wat discussies gevoerd. Het IIA geeft aan dat auditors objectief deskundig advies kunnen geven op gebieden waar zij deskundig zijn (The Institute of Internal Auditors, 2012). Gebaseerd op hun kennis en expertise kunnen internal auditors volgens het IIA advies geven op onderwerpen gerelateerd aan: goede governance, verantwoording, ethische kwesties en anti corruptieprogramma’s; effectieve risicobeoordeling en -management; internal controls; kwaliteit van bedrijfsprocessen; ICT-ontwikkeling en gebruik; projectmanagement; programmaevaluatie en andere gebieden die te maken hebben met effectiviteit en efficiency van de bedrijfsvoering. Daarbij wordt wel opgemerkt dat auditors in het geven van advies onafhankelijk moeten blijven. Hoewel auditors in een adviserende rol technisch advies kunnen geven en aanbevelingen kunnen doen aan het management, mogen ze geen managementbeslissingen nemen of een managementrol aannemen. Met dit laatste wordt gedoeld op het zogenaamde collissiegevaar. Dit is het risico dat een auditor geadviseerd heeft over een bepaald onderwerp en in een later stadium geconfronteerd wordt met het gegeven advies. Het collissiegevaar doet zich voor wanneer een auditor wordt gevraagde assurance (aanvullende zekerheid) te verstrekken over datgene waarover hij eerder heeft geadviseerd. In dat geval is de onafhankelijkheid van de auditor in het geding, waardoor zijn objectiviteit in gevaar kan komen (Paape, de Korte en Otten, 2005). Los van dit mogelijke collissiegevaar zijn er methodische belemmeringen voor het geven van advies. Het geven van aanbevelingen en advies veronderstelt dat bekend is wat de oorzaken zijn van een eventueel probleem. Maar dan moet dat wel eerst zijn onderzocht. Pas nadat de oorzaken bekend zijn kan gericht onderzoek plaatsvinden naar aangedragen mogelijke oplossingen. In de praktijk worden probleemsignalerende audits echter vaak beëindigd met een advies, zonder dat de oorzaken expliciet zijn bekeken (Hartog en de Korte, 2005). De adviesrol van de auditor kan echter wel goed tot zijn recht komen aan de voorkant van de opdracht. Met name wanneer er geen op voorhand geobjectiveerde normen zijn (meer linksonder in het assenstelsel van figuur 2), kan de auditor veel toegevoegde waarde bieden in de voorbereidende fase. In dialoog met het management om de normatieve kaders vast te stellen kan de deskundigheid van de auditor, bijvoorbeeld op het terrein van management control, van grote waarde zijn. Zijn advies kan dan aan het begin van de audit worden gegeven in plaats van achteraf. Het management blijft daarbij eindverantwoordelijk voor de te hanteren normen en bepaalt zijn eigen keuzes (Paape, de Korte en Otten, 2005). Overigens gaat het bij het geven van advies niet altijd om het geven van advies vanuit een expertrol (vanuit de positie van expert de cliënt vertellen wat er moet gebeuren). Een wezenlijke taak van elk adviseringsproces is de cliënt te helpen achterhalen wat het eigenlijke probleem is (Schein, 2005). Dat kan dan weer helpen bij het formuleren van een zo geschikt mogelijke opdracht, gericht op het leveren van een bijdrage aan het onderkende probleem of de onderkende vraag. Ook zijn veel adviesopdrachten door de auditor gemakkelijk om te buigen naar toetsend onderzoek. Voordelen hiervan zijn dat de opdrachtgever zich bewust blijft van zijn eigen verantwoordelijkheid en dat de auditor gestimuleerd wordt om zijn advies te onderbouwen met een degelijk onderzoek (Otten, Hartog en de Korte, 2011). © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Een tegengeluid is te horen van Kocks (2003). Hij onderkent het mogelijke collissiegevaar en stelt dat het elke auditor bekend is dat hij geen audit mag uitvoeren op een object waarover eerder door hem is geadviseerd. Het gelijktijdig /volgtijdelijk fungeren als adviseur en auditor (deze volgorde) op een zelfde object is dus niet toegestaan. Maar wanneer een auditor expliciet gevraagd wordt te adviseren vanwege zijn (materie)deskundigheid op het desbetreffende objectterrein, dan ziet Kocks geen belemmeringen. Belangrijk is wel dat de auditor expliciet duidelijk maakt in welke hoedanigheid hij een opdracht vervuld (als auditor of als adviseur). Bij het geven van adviezen gaat het niet om (richtinggevende) adviezen en aanbevelingen die een opdrachtgever min of meer moet opvolgen, maar om het voorleggen van alternatieven aan de opdrachtgever, voorzien van voordelen en nadelen waarbij de keuze aan de opdrachtgever is (Kocks, 2003). Het Instituut van Internal Auditors Nederland (2008) geeft aan dat het een keuze van de organisatie is of en in welke mate de interne auditfunctie (IAF) advieswerkzaamheden uitvoert. ‘Een expliciete grens aan de werkzaamheden van de IAF ligt wel bij de verantwoordelijkheden die bij het management berusten, zoals de verantwoordelijkheid voor de risicomanagement- en beheerssystemen en het bepalen in welke mate men bereid is om risico’s te nemen‘. Los van de vraag of de interne auditfunctie is staat is om advies te mogen/kunnen geven, staat de vraag of het uit strategisch oogpunt verstandig is dat de interne auditfunctie zich naast het bieden van (aanvullende) zekerheid ook gaat richten op het geven van adviezen. De combinatie van zekerheid bieden en adviezen geven kan in de praktijk ten koste gaan van het zichtbaar maken van de wezenlijke toevoegende waarde van de auditfunctie (Lenz en Sarens, 2012).
2.4.
Afnemers van producten/diensten
Voor een goede positionering van een organisatie is het essentieel dat er een goede relatie is met de klanten, oftewel de afnemers van de producten en diensten die de organisatie levert. In deze paragraaf wordt ingegaan op de invloed van afnemers/klanten op de invulling van de centrale auditfunctie. Tevens wordt stil gestaan bij de mate waarin de auditfunctie in staat is te reageren op behoeften van afnemers/klanten. Elke audit kent een opdrachtgever. In mijn onderzoek ga ik ervan uit dat de opdrachtgever tevens de afnemer/klant is van de te leveren producten en diensten. De opdrachtgever van de audit bepaalt immers wat de specificaties van het te leveren product of de te leveren dienst moet zijn. Agency theorie. De agencytheorie geeft aan dat in geval van een principaal en een agent er enkele risico’s optreden (Paape, de Korte en Otten, 2005):
het risico dat de principaal geen goed zicht heeft op de activiteiten van de agent (‘hidden action’ genoemd) en het risico dat de principaal geen idee heeft of de informatie die de agent aanlevert betrouwbaar is (‘hidden information’ genoemd).
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Deze twee risico’s kunnen worden samengevoegd onder de noemer ‘informatie asymmetrie’. Er zijn twee manieren om deze asymmetrie ten aanzien van de betrouwbaarheid van verantwoordingsinformatie kleiner te maken (Paape, de Korte en Otten, 2005):
de principaal wil uiteraard zekerheid en stelt daartoe een monitor aan. Deze monitor kan een afzonderlijke toezichthouder zijn (bijv. RvC) of een external auditor, die de betrouwbaarheid van de informatie moet vaststellen. In deze gevallen wordt gesproken van ‘monitoring’ kosten; de agent heeft er baat bij om de principaal te overtuigen dat hij zijn best doet. Dat levert immers vertrouwen op. Hij stelt dan vrijwillig een interne monitor aan die audits uitvoert, waarmee hij duidelijk maakt dat hij een goede gang van zaken nastreeft. De kosten die een agent maakt om de principaal ervan te overtuigen dat de agent in het belang van de principaal werkt worden ‘bonding’ kosten genoemd. De interne monitor wordt vorm gegeven door staffunctionarissen waaronder internal auditors. Wanneer we de term ‘monitor’ veranderen in ’auditor‘ dan is in het eerste geval de principaal opdrachtgever van de audit en in het tweede geval is de agent opdrachtgever van de audit. Otten, Hartog en de Korte (2011) maken bij het beschrijven van soorten auditopdrachten een vergelijkbare indeling. Zij onderscheiden twee soorten auditopdrachten met bijbehorende opdrachtgevers:
‘audits die worden uitgevoerd ten behoeve van een externe partij (bijvoorbeeld een toezichthouder of het maatschappelijk verkeer). Deze audits zijn dan voornamelijk linksboven in het assenstelsel van figuur 2 te plaatsen’; audits die worden uitgevoerd ten behoeve van het management (idealiter rechtsonder in het assenstelsel te plaatsen). Redenerend vanuit de directe verantwoordelijke voor het auditobject zijn deze weer te splitsen in: o opgelegde audits, waarbij de opdracht komt van een managementniveau boven het direct verantwoordelijk management, en o audits op verzoek; de opdrachtgever verzoekt een onderzoek te doen naar het organisatieonderdeel of proces waar hij zelf direct verantwoordelijk voor is.’
De principaal-agent relatie uit de Agency theorie is het meest van toepassing bij de eerstgenoemde soort van audits en in mindere mate bij de opgelegde audits. Bij de audits op verzoek gaat de principaal-agent relatie niet op. De opdrachtgever (principaal) en de auditee (de agent) zijn hier namelijk dezelfde. Daar waar de audits ten behoeve van een externe partij vooral gericht zijn op verantwoording, hebben de audits die worden uitgevoerd ten behoeve van het management volgens Otten, Hartog en de Korte meer invloed op het leer- en verandervermogen in organisaties. Het direct verantwoordelijke management wil de uitkomsten van het onderzoek gebruiken om zaken te verbeteren. Die drive ’bestaat bij opgelegde audits met name omdat een negatief oordeel veel energie zal vergen om het hoger management te overtuigen “dat het wel meevalt” of “niet de eigen schuld is”. Bij audits op verzoek is de
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
direct verantwoordelijke manager de opdrachtgever en daarmee is de relevantie op voorhand snel gewaarborgd’ (Otten, 2011). Volgens het IIA is auditing van belang voor het realiseren van een goede governance in de publieke sector. Door onbevooroordeeld te voorzien in een objectieve beoordeling of publieke middelen op een verantwoorde en effectieve manier worden ingezet om beoogde resultaten te behalen, helpen auditors de publieke organisaties aan een mogelijkheid tot verantwoording over de betrouwbaarheid, verbetering van de uitvoering en het winnen van vertrouwen bij burgers en stakeholders (IIA, 2012). Deze benadering sluit het beste aan op de door Otten, Hartog en de Korte als eerste genoemde type audit. Verantwoording staat centraal. Volgens Dees, (Dees 2011) manifesteert public sector auditing zich tussen ‘de verantwoordingsplichtige publieke entiteiten en democratisch gekozen organen of, bij interne audits, verantwoordelijke afdelingen en hogere managementlagen’. Deze benadering sluit aan op de als eerste genoemde type audits (ten behoeve van een externe partij) en de door het management opgelegde audits. Audits op verzoek worden in deze benadering niet genoemd.
2.5.
Onderscheidende kennis en kunde
Des te meer een organisatie er in slaagt zich te onderscheiden op basis van kennis en vaardigheden, des te meer aanzien (macht) een auditfunctie krijgt. Maar wat zijn nu kenmerkende kennis en vaardigheden die binnen een auditfunctie aanwezig (moeten) zijn?
Kennis en vaardigheden In vaktechnische documenten wordt sterk de nadruk gelegd op het belang van de aanwezigheid van specialistische kennis die binnen een IAF aanwezig moet zijn, naast specifieke auditkennis. Betekent dit dat de unieke kennis van een IAF bestaat uit de combinatie van specifieke auditkennis met specialistische materiekennis. Die specialistische materiekennis is dan weer nauw gerelateerd aan het object van onderzoek. Het object van onderzoek is weer gerelateerd aan de dimensies waar de auditfunctie in het publieke domein zich op zou moeten richten: de beginselen van goed openbaar bestuur. Dit betekent dat er vooral kennis op het gebied van openbaar bestuur, financiële kennis, juridische kennis en overige sociaal wetenschappelijke kennis (psychologische kennis, organisatiekundige kennis) aanwezig moet zijn. Kennis op het gebied van ICT valt niet direct te relateren aan beginselen van openbaar bestuur, maar is gelet op het belang van ICT-projecten bij de overheid niettemin onmisbaar. IIA Nederland, NBA en NOREA benadrukken het belang van een brede hoeveelheid kennis die een auditorganisatie in huis moet hebben. Zij geven aan dat vooral door de toename van
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
integrated audits3 veel eisen gesteld worden aan het kennisniveau van de internal auditor. De samenstelling van de IAF’s is divers geworden. Om de diversiteit aan audits goed te kunnen uit voeren is vaak bedrijfskundige en sociaalwetenschappelijke kennis en kunde aangetrokken. Er wordt meer in cross-functionele interne teams gewerkt. Steeds vaker hebben auditors ook eerder ervaring als manager opgedaan (IIA Nederland, 2008). Voor internal auditors is het daarnaast van belang dat ze kennis hebben van de business en de cultuur en verhoudingen binnen de organisatie (IIA Nederland, 2008). Het redeneren vanuit vaktechnische disciplines kent zijn beperkingen. Het gevaar is namelijk dat iedere discipline vanuit zijn eigen referentie gaat redeneren: financial auditors redeneren vanuit de posten van de jaarrekening; veel operational auditors delen de organisatie in naar processen, organisatie-eenheden of thema’s; de IT-auditor in systemen en infrastructuren (Hartog en de Korte(2008)). Om te kunnen kijken van uit het gemeenschappelijke van de organisatie zijn dan de volgende uitgangspunten van belang:
loslaten van de diverse discipline-gebonden namen, alleen nog praten over internal auditing en internal auditors; iedereen is auditor, met verschillende deskundigheidsgebieden of specialisaties (‘auditen‘ of ‘onderzoeken‘ is datgene wat de auditors bindt).
Naarmate audits een bredere scope krijgen of juist een hele specifieke scope (bijv. informatiebeveiliging) hebben neemt de behoefte aan een diversiteit aan auditkennis toe. Het IIA onderkent deze behoefte aan diversiteit (The Institute of Internal Auditors, 2012b). Ze geeft aan dat vooral bij non-profit organisaties de behoefte aan performance audits groeit. Daar zijn specifieke auditors op ingesprongen, die zich hebben toegelegd op security audits, information systems audits en environmental audits. Het integreren van deze audits moet een completer en rijker beeld opleveren. Hiermee wordt in feite aangegeven dat er behoefte is aan gespecialiseerde auditors. Gelet op de samenhang van performance audits met andere vormen van audits en financial audits en het vereiste integrale beeld van management en toezichthouders op het functioneren van organisaties, is het van belang dat auditors in de publieke sector kennis hebben van al deze auditvormen en dat ze daarnaast de rol en implicaties ervan in de publieke sector kunnen doorzien (Dees en Droogsma, 2013). Dat wil overigens niet zeggen dat alle auditors bij een auditorganisatie in het publieke domein al deze kennis moeten hebben, maar dat die kennis in de auditorganisatie beschikbaar moet zijn. Mollema noemt de vaardigheden van auditors de meest kritische factor in het auditproces. In het auditproces is een variëteit aan auditvaardigheden en technische vaardigheden nodig (Mollema, 1999). Hij geeft daarbij niet aan welke vaardigheden dan het meest relevant zijn. Auditopleidingen.
3
Hieronder wordt verstaan dat de doelen van de business als uitgangspunt worden genomen. Dit in plaats van de planning en uitvoering van audits per discipline: de IT-audit, de operational audit e.d. Vervolgens wordt gekeken naar de daarbij aanwezige risico’s en de daartoe aanwezige beheersmaatregelen (IIA Nederland, 2008).
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Onderscheidend qua opleiding zijn de specifieke(post) academische opleidingen op het gebied van auditing. Deze opleidingen zijn vooral gericht op kennis, maar er is ook aandacht voor de ontwikkeling van vaardigheden waarover een auditor dient te beschikken. Na afronding van één of meer van deze opleidingen en enkele jaren relevante werkervaring kunnen auditors zich laten inschrijven in het register voor (afhankelijk van de opleiding) Registeraccountant (RA), internal/operational auditor (RO) en/of IT-auditor (RE). Met inschrijving in het register verbindt de auditor zich aan het naleven van specifieke beroepsregels. Inschrijving in het register stelt ook eisen aan permanente educatie (PEpunten) en is daarmee een instrument om de kwaliteit van de auditor te bewaken. Na inschrijving in het register worden er overigens geen eisen meer gesteld omtrent de beroepspraktijk, dus of men nog in het auditberoep werkzaam is. Kocks (2003) wijst erop dat het doel van opleidingen op het gebied van auditing er op gericht zou moeten zijn om betrokkenen, naast de al aanwezige deskundigheid op een bepaald objectgebied (bijvoorbeeld IT of forensisch onderzoek), kennis en kunde op te laten doen om in voorkomende situaties als auditor te kunnen en mogen optreden. De cursist wordt dan, in aanvulling op zijn objectdeskundigheid, opgeleid in auditing (theorie) en vervolgens in de wijze waarop die theorie kan worden vertaald naar zijn praktijkdomein. Kocks pleit voor één beroepsorganisatie van auditors waarin alle auditors, tevens opgeleid in auditing, zijn opgenomen, waarbij bij elke auditor het vakgebied staat aangegeven waarop hij materiedeskundig is.
2.6.
Concurrenten van de auditfunctie
In de vaktechnische documenten over internal auditing is de rol van de interne auditfunctie duidelijk afgebakend van bijvoorbeeld de lijnorganisatie en de externe auditfunctie. Volgens de theorie lijken er dan ook geen concurrerende functies/instanties te zijn. Wel blijkt het onderscheid tussen de interne en externe auditfunctie in de publieke sector niet altijd duidelijk te zijn. Maar wanneer specifiek naar de publieke sector wordt gekeken blijkt het onderscheid tussen de interne en externe auditfunctie in vaktechnische documenten minder duidelijk. Daarnaast blijft het ook onduidelijk in hoeverre de interne auditfunctie het exclusieve domein is van de eigen interne auditors. De plek van interne audit binnen de vier lijnen van het ‘three lines of defence’ model lijkt in de theorie wel duidelijk (zie ook paragraaf 2.3.). Het lijnmanagement is volgens dit model verantwoordelijk voor haar eigen processen (1e lijn). Het lijnmanagement wordt ondersteund door afdelingen/functies die zich richten op risicomanagement, compliance, interne controle etc. en die beleid formuleren over risicobeheersing en controles (2e lijn). De interne auditfunctie (3e lijn) geeft het management aanvullende zekerheid over de kwaliteit van sturing en beheersing, over de kwaliteit van het samenspel tussen de eerste en tweede lijn. De externe auditfunctie is de zogenaamde vierde lijn. Bij de externe auditfunctie gaat het dan om de informatie-uitwisseling tussen het bestuur van organisaties en de aandeelhouders respectievelijk het parlement. Bij internal auditing (3e lijn) gaat het om de informatie-uitwisseling tussen lagere en hogere managementlagen (Cutt 1987, in Dees (2011)). Kortom, de plek van interne audit binnen de vier onderscheiden lijnen lijkt in de theorie duidelijk. © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Opvallend punt is echter dat het IIA in haar aanvullende richtlijn over de rol van auditing in de publieke sector governance geen duidelijk onderscheid maakt in interne en externe auditing. In de richtlijn geeft het IIA aan dat volledige auditdekking wordt bereikt door externe en interne auditentiteiten die elkaar aanvullen. In kleine publieke sector organisaties zou één auditentiteit of een hybride entiteit met interne en externe auditkarakteristieken kunnen volstaan (The Institute of Internal Auditors, 2012). De Rekenkamers worden veel gezien als externe controleurs van de rechtmatigheid en doelmatigheid van de uitvoering van overheidsbeleid en de besteding van publiek geld. Maar in de standaarden die INTOSAI uitgeeft, de zogenaamde ISSAI-standaarden (ISSAI 100, 200, 300 en 400), is geen helder onderscheid tussen de interne en externe auditfunctie te vinden. INTOSAI is de internationale organisatie van Rekenkamers ( the International Organisation of Surpreme Audit Institutions). ISSAI 100 bevat ‘fundamental principles’ die toepasbaar zouden zijn op alle publieke sector auditopdrachten, ongeacht vorm of context. ISSAI 200, 300 en 400 bouwen daarop voort en gaan verder in op de principes die toegepast moeten worden bij financial audits, performance audits en compliance audits. Opvallend is dat nergens expliciet wordt aangegeven of nu de interne of de externe auditfunctie wordt bedoeld. Er lijkt geen onderscheid tussen interne en externe auditing te worden gemaakt. Los van de theoretische positie ten opzichte van het lijnmanagement en de externe auditor staat de vraag of het uitvoeren van audits uitsluitend is voorbehouden aan de interne auditdienst. De theorie biedt hiervoor niet veel aanknopingspunten. Interne auditors dienen kennis te hebben van de ‘business’, maar dat betekent nog niet dat audits uitsluitend moeten worden uitgevoerd door de eigen interne auditdienst. Wellicht zijn er ook anderen die de interne auditfunctie kunnen vervullen. Te denken valt aan stafdirecties of externen.
2.7.
Totaalbeeld vanuit de theorie
Het onderzoek naar aanknopingspunten voor positionering vanuit de theorie (incl. documenten van de beroepsorganisaties voor auditors) wijst uit dat er geen eenduidige richtlijnen zijn voor de positionering op de vijf dimensies. Het documentonderzoek heeft vooral veel verschillende mogelijkheden voor positioneringskeuzes opgeleverd en weinig uniformiteit. Wel biedt het resultaat houvast bij het maken van keuzes, er is een beeld ontstaan van de keuzemogelijkheden. Hieronder is per dimensie de ‘rode draad’ uit de keuzemogelijkheden voor positionering op de vijf dimensies weergegeven. Positioneringsmogelijkheden op basis van toegevoegde waarde.
Interne auditing richt zich op het verstrekken van aanvullende zekerheid op die vlakken waar uit het oogpunt van risico’s een second opinion gewenst is. Object van internal auditing is de interne beheersing. De theorie schrijft niet voor hoe breed het gebied van interne beheersing wordt gezien. INTOSAI heeft een definitie opgesteld voor interne beheersing in de publieke sector. Doelen die met een goede interne beheersing moeten worden bereikt, en die dus object van interne audit zijn, zijn volgens deze definitie:
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
o
een gestructureerde, ethische, economische, efficiënte en effectieve uitvoering van werkzaamheden; o het voldoen aan verplichtingen inzake het afleggen van rekenschap; o naleving van de van toepassing zijnde wetten en voorschriften; o voorkomen van verlies, misbruik en beschadiging van bedrijfsmiddelen. Interne auditing vormt de ‘third line of defence’. De interne auditfunctie opereert niet in de eerste of tweede ’line of defence’. De vierde lijn wordt ingevuld door de externe auditor. Wordt er wel of geen onderscheid gemaakt tussen interne en externe auditing? De theorie is hierover (bij auditing in het publieke domein) niet eenduidig. Het IIA Inc. maakt in haar visie op auditing in de publieke sector geen onderscheid in het differentiëren naar interne en externe auditing. Kerseboom en Neelissen maken dit onderscheid wel. De interne auditors dragen volgens hen bij aan de doeltreffendheid van interne beheersing door middel van onderzoeken en aanbevelingen. De externe auditors beoordelen de interne beheersing. Welke governancerollen ondersteunt de interne auditfunctie? De drie governancerollen: toezicht, inzicht en vooruitzien?
Positioneringsmogelijkheden op basis van herkenbaarheid van de producten/diensten.
Keuzemogelijkheid in de (range van) audits waarop de interne auditfunctie zich richt. De range van audits kan variëren van gestandaardiseerde audits voor vergelijkbaarheid, waarbij vraagstelling, referentiemodel en wijze van data verzameling vooraf bekend zijn, tot aan op maat gerichte audits, waarbij die drie aspecten niet vooraf bekend zijn. Hier ligt overigens een relatie met de gebruiker van de audit (maatschappelijk verkeer of intern gebruik) en het aantal aspecten dat in de audit wordt betrokken. Audits in de publieke sector kunnen worden verdeeld in: financial audits, compliance audits, performance audits en systeemaudits. Wel is hierbij aandacht nodig wat precies onder de verschillende typen audits wordt verstaan (met name overlap tussen systeemaudits enerzijds en performance audits en compliance audits anderzijds). Qua positionering kan een keuze worden gemaakt in het type audits dat wordt uitgevoerd/aangeboden.
Adviezen
Vormen adviesdiensten wel of geen product van de interne auditfunctie. De theorie is verdeeld over de mate waarin adviesdiensten een product zijn van de interne auditfunctie. Er wordt aangegeven dat het een keuze is of en in welke mate de interne auditfunctie advieswerkzaamheden uitvoert. In hoeverre is de adviesrol gericht op de voorkant? Vanuit onderzoekstechnisch oogpunt ligt het meest voor de hand om de adviesrol te richten op advies aan de voorkant. Bij de opdrachtformulering en bij het te hanteren referentie- en normenkader. Kan een auditor, die materiedeskundig is en expliciet duidelijk maakt dat hij dat doet in zijn rol als adviseur en niet in de rol van auditor, als adviseur optreden? De theorie is hierover verdeeld.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Positioneringsmogelijkheden op basis van afnemers van de producten/diensten. Er kunnen drie typen opdrachtgevers worden onderscheiden, gekoppeld aan de soort audit:
een externe partij, zoals een toezichthouder of het maatschappelijk verkeer (incl. de politiek); het management een niveau boven het direct verantwoordelijke management; de direct verantwoordelijke manager zelf.
Niet alle vakdeskundigen onderkennen alle drie de typen. Het IIA onderkent in haar papers alleen het eerste type opdrachtgever. Hoogleraar Martin Dees (hoogleraar Public Auditing & Accounting aan de Nyenrode Business universiteit) noemt in zijn publicaties alleen de eerste twee typen audits. Positioneringsmogelijkheden op basis van kennis en kunde.
Naast specifieke auditkennis is binnen de IAF ook materiedeskundigheid beschikbaar. Welke materiedeskundigheid nodig is, is afhankelijk van het object van onderzoek. Unieke van de kennis van een IAF is de combinatie van de aanwezigheid van auditkennis met materiedeskundigheid. In combinatie met specifieke auditdeskundigheid kan een IAF zich onderscheiden op basis van persoonlijke vaardigheden van medewerkers. Belangrijk dat binnen de IAF kennis is van de verschillende auditvormen om daarmee het vereiste integrale beeld van het management op het functioneren van de organisatie te kunnen geven. Uniek is de specifieke auditdeskundigheid. Binnen een IAF is inhoudelijke kennis over auditing aanwezig. Veel auditors hebben een specifieke (post) academische opleiding op het gebied aan auditing gevolgd, staan ingeschreven in het beroepsregister (van sVRO, NOREA of NBA) en hebben een verplichting tot permanente educatie. Binnen de auditfunctie kan er voor gekozen worden om de discipline gebonden namen los te laten en alleen nog te spreken over internal auditing en internal auditors. In plaats van uit te gaan van discipline gebonden auditdeskundigheid uit gaan van verschillende objectgebieden waarop iemand deskundig kan zijn , zoals IT of forensisch onderzoek (‘auditen’ of ‘onderzoeken’ is datgene wat de auditors bindt).
Positioneringsmogelijkheden op basis van concurrentie.
In hoeverre vervullen anderen dan de interne auditdienst werkzaamheden in de derde ’line of defence’? Is de afbakening tussen de interne en externe auditfunctie duidelijk? In vaktechnische documenten over auditing in de publieke sector is dit niet altijd een scherp onderscheid.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
3. Positionering in de praktijk 3.1.
Inleiding
In dit hoofdstuk is de positionering van de vier auditdiensten in de praktijk aangegeven. Paragraaf 3.2. geeft een overzicht van de positionering op de vijf dimensies. Paragraaf 3.3. geeft een schematisch overzicht van de positionering per auditdienst. In de laatste paragraaf van dit hoofdstuk staat het antwoord op de tweede onderzoeksvraag: ‘Hoe verhoudt de daadwerkelijke positionering van de centrale interne auditfunctie in het publieke domein zich met de theoretische aanknopingspunten of keuzemogelijkheden (positionering in de praktijk)?’ Basis voor dit deel van het onderzoek vormen interviews met het hoofd van de vier auditdiensten, in combinatie met door geïnterviewden verstrekte documenten. De gehanteerde vragenlijst treft u aan als bijlage 1.
3.2. 3.2.1.
Positionering op de dimensies Toegevoegde waarde
De auditdiensten met een wettelijke taak (Auditdienst ACAM, ADR) beschouwen die taak als hun belangrijkste taak. Het betreft het verschaffen van zekerheid over de financiële verantwoordingsinformatie, alsmede het verschaffen van zekerheid en het rapporteren van bevindingen over financiële en niet-financiële verantwoordingsinformatie (ADR) of zekerheid over de rechtmatigheid van activiteiten (ACAM). Deze wettelijke taak wordt ook wel de ‘accountantscontrole’ genoemd. De toegevoegde waarde van de overige (interne) audittaken wordt door de auditdiensten niet scherp omschreven. Geen van de vier auditdiensten spreekt over het leveren van ‘aanvullende zekerheid’ aan het management, met die kanttekening dat de werkzaamheden van ACAM hier wel aan lijken te voldoen. De interne functie van ACAM richt zich op de beheersing vormgegeven in de eerste en tweede lijn, waarbij wordt gekeken naar sturing, beheersing en verantwoording. Het object van onderzoek is bij drie auditdiensten de ‘interne beheersing’. Interne beheersing is ook het object van onderzoek bij de wettelijke taak van de ADR. Het object van onderzoek bij de overige audits is bij de ADR niet nader gespecificeerd. De invulling van het opdrachtenpakket wordt door de afzonderlijke departementen bepaald. In de praktijk zijn de onderzoeken doorgaans gericht op betrouwbaarheid, doeltreffendheid en doelmatigheid van de departementale processen en technische infrastructuren. Alle vier de auditdiensten verrichten werkzaamheden in de derde lijn (third line of defence). Bij de wettelijke taak van de ADR is er wel een zekere druk vanuit de tweede lijn om ook tweedelijns werkzaamheden op te pakken. Om de verantwoordelijkheid van de ministeries voor de eerste en tweede lijn te benadrukken, opdat de ADR zich kan concentreren op de
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
derde lijn, tracht de ADR afspraken met de ministeries te maken over het uitvoeren van interne controles binnen het ministerie en over het aanleveren van informatie door gecontroleerde diensten ( ‘prepared by client’). ACAM zegt geen werkzaamheden te verrichten die in de eerste of tweede lijn vallen. ACAM hecht aan haar onafhankelijkheid en om te voorkomen dat haar onafhankelijkheid ter discussie zou komen te staan, voert ze geen opdrachten uit die in de eerste of tweede lijn vallen. ACAM en ADR voeren voor wat betreft hun wettelijke taak werkzaamheden uit die vallen in de derde (voorbereidende werkzaamheden voor de uiteindelijke jaarrekeningcontrole) en vierde lijn (de uiteindelijke jaarrekeningcontrole (ACAM). Werkzaamheden die de ADR verricht als auditautoriteit en certificerende instantie voor de Europese Commissie, bevatten elementen van zowel de derde als de vierde lijn. DE ADR rapporteert rechtstreeks naar de Europese Commissie, de Europese Commissie gebruikt de rapportage als basis voor haar eigen controle. De twee auditdiensten zonder wettelijke taak voeren geen financial audits uit. Wellicht hierdoor zijn ze ook niet het aanspreekpunt voor de externe accountant. De externe accountant (vierde lijn) communiceert rechtstreeks met de tweede lijn. De auditdienst is niet betrokken bij de informatie-uitwisseling met de externe accountant. Dit betekent dat er geen koppeling is tussen de derde en vierde lijn. Voor wat betreft de overige opdrachten (die niet samenhangen met de wettelijke taak), geven CA Rotterdam en Auditdienst ACAM aan dat ze geen werkzaamheden verrichten die eigenlijk in de tweede lijn thuis zouden horen. De ADR en de EAA van de provincie ZuidHolland voeren incidenteel wel werkzaamheden uit die wellicht meer in de tweede lijn thuis horen. Te denken valt aan het faciliteren van risicoworkshops. De ADR verricht ook opdrachten die niet direct audits betreffen en die buiten het three lines of defence model lijken te vallen (bijv. het uitvoeren van evaluaties of het faciliteren van bijeenkomsten). De meeste werkzaamheden van alle vier de auditdiensten vallen echter in de derde lijn. Voor wat betreft de governancerollen, wordt de wettelijke taak geassocieerd met de toezichtsrol. De overige werkzaamheden zijn vooral gericht op het bieden van inzicht. De auditdiensten proberen daarbij niet alleen achteruit te kijken, maar ook vooruit te kijken. Het accent licht op wat een organisatie kan leren van de uitkomsten van audits.
3.2.2.
Herkenbaarheid van producten/diensten
Werkzaamheden die vallen onder de wettelijke taak van de ADR en van ACAM of die dienen ter voorbereiding op die wettelijke taak, zijn gestandaardiseerde werkzaamheden met gestandaardiseerde producten. Met de overige werkzaamheden proberen de auditdiensten zo goed mogelijk aan te sluiten op de vraag van de opdrachtgever. De producten die in dat kader geleverd worden zijn dan ook vaak maatwerkproducten die aansluiten op de specifieke behoeften van de interne opdrachtgever. De producten zijn niet bedoeld voor extern gebruik.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
De ADR en EAA Zuid-Holland proberen daarnaast ook vergelijkingen te maken tussen departementen (ADR) of met andere organisaties (EAA). Dit door middel van een soort benchmarking. De wens om deze vergelijkingen te maken verhoudt zich niet met het leveren van maatwerk. Er moet immers sprake zijn van standaardisatie om een betrouwbare vergelijking mogelijk te maken. Bij een indeling van de producten en diensten hanteert geen van de auditdiensten de indeling van INTOSAI of van de IIA Inc. voor audits die een IAF in de publieke sector kan uitoefenen: financial audits, performance audits en compliance audits respectievelijk audits naar risicomanagementsystemen en controls, prestatie-audits, financial audits en advies/ ondersteuning/onderzoeksdiensten. Alle vier de auditdiensten geven aan dat ze een breed scala aan audits/onderzoeken uitvoeren en er lijkt geen beperking in die breedte te zitten. Alleen ACAM biedt een zeker kader voor de producten door de indeling in drie kennisgebieden. De basisindeling van de ADR gaat volgens de vaktechnische disciplines: financial audits, IT-audits en operational audits. Binnen die disciplines wordt vervolgens een waaier aan mogelijke onderzoeken onderscheiden. Voor wat betreft de adviesopdrachten geeft de ADR aan dat zij zich beperkt tot advies op basis van onderzoek. Ook EAA Zuid-Holland lijkt zich hiertoe te beperken. ACAM probeert elk onderzoek te laten eindigen in een goed advies. CA Rotterdam kent bij audits een zogenaamd nazorgtraject. Dit nazorgtraject bestaat uit het geven van advies en uit het deelnemen aan een werkgroep of het organiseren van een workshop. Daarnaast levert CA advies over ontwikkelingen op het vlak van concernrisico’s en de werking van bestaande beheersmaatregelen. Het geven van ‘advies aan de voorkant’ wordt door geen enkele auditdienst genoemd. Echte maatwerkaudits gaan volgens de theorie vaak gepaard met dit zogenaamde ‘advies aan de voorkant’. Wellicht wordt dit type advies dus ook wel degelijk gegeven door ADR, EAA en CA, maar ze herkennen het blijkbaar niet als een vorm van advies. Of er wordt toch minder maatwerk geleverd, in de zin dat maatwerk zich beperkt tot de klant een globale vraag laten stellen en dat zelf verder invullen.
3.2.3.
De afnemers van producten/diensten
Opdrachtgever voor de wettelijke taak is bij ACAM (de rekeningencommissie van) de Gemeenteraad, dus een externe opdrachtgever. Bij de ADR lijkt de minister van Financiën opdrachtgever te zijn voor de wettelijke taak die bij de afzonderlijke ministeries moet worden uitgevoerd. Dit vanwege de in Comptabiliteitswet vast te leggen coördinerende en toezichthoudende functie van de minister van Financiën (Hoofdlijnennotitie Comptabiliteitswet, 2013) en vanwege het feit dat opdracht gevende ministeries maar beperkt invloed kunnen uitoefenen op de uitvoering van de wettelijke taak (Auditdienst Rijk, 2013). De minister van het betreffende departement is wel de afnemer van het product (product wordt aan hem aangeboden). De ADR werkt hier dus met een opdrachtgever binnen het Rijk, maar buiten het ministerie.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
De overige producten en diensten worden veelal geleverd aan het management een niveau boven het direct verantwoordelijke management. In een enkel geval wordt er een opdracht gedaan voor een direct verantwoordelijke manager (directeur). Auditdienst ACAM verricht regelmatig onderzoek in opdracht van het college van Burgemeester en Wethouders (vastgelegd in het concern auditprogramma). CA Rotterdam doet dit incidenteel. De ADR verricht ook opdrachten voor het Secretarissen-Generaal Overleg. Dit is een externe opdrachtgever voor het ministerie, maar een interne opdrachtgever voor het Rijk.
3.2.4.
Onderscheidende kennis en kunde
Alle vier de auditdiensten beschikken over auditkennis in combinatie met kennis van de organisatie. De ADR, EAA Zuid-Holland en CA Rotterdam benadrukken dat ze daarnaast ook over kennis uit andere disciplines beschikken, waarbij o.a.bestuurskundige, financiële en kennis op het gebied van personeel- en organisatie worden genoemd. ACAM geeft aan dat de nadruk qua onderscheidende kennis echt ligt op auditkennis, waar de andere auditdiensten de combinatie van auditkennis met andere kennis benadrukken. Medewerkers beschikken bij ACAM (vanaf een bepaald niveau) over een auditopleiding op WO-niveau en beschikken over een RA (komt het meeste voor), RO of RE-titel. Ook bij de ADR en CA Rotterdam beschikken de meeste medewerkers over een dergelijke opleiding. Bij EAA Zuid-Holland beschikt een deel van de medewerkers over een dergelijke opleiding. De ADR hecht daarnaast veel waarde aan communicatievaardigheden. Communicatie wordt gezien als het middel om de producten naar de opdrachtgevers te brengen.
3.2.5.
Concurrenten van de auditfunctie
Voor de wettelijke taak zien ADR en ACAM niet direct een concurrent. De taak is immers wettelijk vastgelegd. Natuurlijk kan dat veranderen, maar op dit moment liggen er geen plannen om dit te veranderen. Het feit dat concurrentie op de wettelijke taak is afgeschermd doordat het in de een wet is vastgelegd, dat de taak is voorbehouden aan ADR / ACAM, zegt niets over de concurrentie die er in potentie kan zijn. Het is niet zichtbaar hoe groot de concurrentie is wanneer de wettelijke bescherming zou ontbreken. Anders ligt het voor wat betreft de niet wettelijke taken. Dit betreffen werkzaamheden die ook door andere gedaan zouden kunnen worden. Toch zien de auditdiensten op dit gebied niet direct concurrentie. Kanttekening hierbij is dat ook hier niet zichtbaar is wat de werkelijke concurrentie is wanneer de met een audit gemoeide budgetten voor de opdrachtgevers vrij ter beschikking zouden staan. Voor een audit door een externe moet
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
door de opdrachtgever worden betaald, voor een audit door een interne auditdienst geldt dit in de meeste gevallen niet4. Een voordeel ten opzichte van een externe die interne audits/onderzoeken kan uitvoeren zien betrokken auditdiensten in het feit dat de interne auditdienst over diepgaande kannis van de organisatie beschikt. Dat ze kennis hebben van het reilen en zeilen van de organisatie en dat ze de mores kennen (zie ook paragraaf kennis en kunde). Overigens geven ACAM en ADR aan dat ze er soms de voorkeur aan geven dat een externe een interne opdracht gaat uitvoeren. Dit geldt met name voor situaties waarbij de interne auditdienst zelf mogelijk de schijn van belangenverstrengeling tegen zich heeft (ADR) of waarbij het een politiek gevoelig dossier betreft waar men niet in verwikkeld wil raken (ACAM). Ook capaciteitsgebrek kan voor ACAM reden zijn om de voorkeur te geven aan een externe. De inzet van externen wordt in deze situaties niet als concurrentie gezien. Concurrentie vanuit de organisatie zelf (Rijk, provincie, gemeente) ziet/ervaart men op dit moment evenmin. De Rekenkamer wordt ook niet als een (mogelijke) concurrent ervaren. EAA Zuid-Holland en CA Rotterdam geven aan dat er wel samenwerking in de onderzoeksplanning wordt gezocht. Men probeert de onderzoeksplannen op elkaar af te stemmen. Hoewel het niet zo wordt gezegd door de beide auditdiensten, lijkt hier toch een zekere concurrentie te zijn.
3.3.
Overeenkomsten en verschillen
In onderstaande matrix is de positionering van de vier auditdiensten weergegeven, waarbij de overeenkomsten en verschillen tussen de auditdiensten te zien zijn. In bijlage 3 staat een uitgebreidere beschrijving van de positionering per auditdienst.
Belangrijkste toegevoegde waarde Object van onderzoek Third line of defence
Auditdienst Rijk (Aanvullende) zekerheid
EAA Zuid-Holland Bijdrage leveren aan verbetering.
CA Rotterdam “Audits leiden tot verbetering”
Auditdienst ACAM Zekerheid en aanvullende zekerheid.
Interne beheersing Met name derde lijn. Deel werkzaamheden op grens tussen derde en vierde lijn. Soms
Interne beheersing Derde lijn. Incidenteel tweede lijn.
Interne beheersing. Derde lijn.
Interne beheersing.
4
Derde en vierde lijn.
Een kleine uitzondering hierop vormt de omzettarget die ACAM heeft voor een klein deel van haar werkpakket en waarmee ze moet concurreren met externe bureaus.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Onderscheid tussen interne en externe auditing?
tweede lijn. Auditdienst Rijk Voorbereidende werkzaamheden voor externe auditor (ARK) en voor Europese Commissie.
EAA Zuid-Holland Geen voorbereidende werkzaamheden voor de externe accountant. Geen contact met externe accountant. Inzicht en vooruitzien.
CA Rotterdam Geen voorbereidende werkzaamheden voor de externe accountant.
Auditdienst ACAM Verricht de werkzaamheden in de derde en vierde lijn.
Inzicht en vooruitzien.
Toezicht en inzicht.
Maatwerk. Soms gestandaardiseerde audits in verband met wens tot benchmarking. Geen financial audits, geen compliance audits, geen beleidsevaluaties. Heldere indeling van type audits ontbreekt.
Zoveel als mogelijk maatwerk.
Vooral gestandaardiseerde audits.
Onderzoeken naar doelmatigheid en interne beheersing, ITaudits, readyness assesments en organisatiedoorlichtingen. Geen financial audits. Ja, in het kader van het nazorgtraject. Daarnaast ongevraagd advies over concernrisico’s en de werking van beheersmaatregelen. Wordt niet genoemd/herkend Het management een niveau boven het direct verantwoordelijke management. In enkele gevallen de direct verantwoordelijke manager
Governance-audits, project-audits, proces-audits/ systeem-audits, financial audits, ICT audits, readinessaudits, lerend onderzoek, signalerend onderzoek en compliance audits. Nagenoeg elk onderzoek eindigt met een advies.
Governancerollen Producten/ diensten Gestandaardiseerde audits of op maat gerichte audits
Toezicht en inzicht.
Overzicht type audits
Breed palet aan audits. Een eenduidige indeling van het palet ontbreekt.
Wel of geen adviesdiensten
Adviezen op basis van uitgevoerde opdrachten.
Adviezen op basis van onderzoeken in combinatie met vakkennis.
Advies aan de voorkant Afnemers van de producten en diensten
Wordt niet genoemd/herkend Een externe partij, het management een niveau boven het direct verantwoordelijke management of de direct verantwoordelijke manager.
Wordt niet genoemd/herkend Het management een niveau boven het direct verantwoordelijke management of de direct verantwoordelijke manager.
Zowel gestandaardiseerd (m.n. wettelijke taak) als maatwerk.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Nee. Een externe partij , het management een niveau boven het direct verantwoordelijke management of de direct verantwoordelijke manager.
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Kennis en kunde Specifieke auditkennis
Materiedeskundigheid
Relevante persoonlijke vaardigheden Kennis van verschillende auditvormen
Concurrenten Voor werkzaamheden in de derde lijn.
Vermenging derde en vierde lijn
Auditdienst Rijk
EAA Zuid-Holland
CA Rotterdam
Auditdienst ACAM
Veel medewerkers hebben een RA, RE of RO-titel. Medewerkers met een achtergrond als organisatiekundige, bestuurskundige etc. Communicatie is het meest krachtige instrument (naast auditing). Door omvang van de dienst veel mogelijkheden voor verschillende specialismen.
Enkele medewerkers hebben een RE of een ROtitel. Medewerkers als psycholoog, bedrijfscontroller, jurist.
Verschillende medewerkers hebben een RE, RO of RA-titel. Kennis op het gebied van personeel en organisatie, financiële specialisten. Nieuwsgierig van aard.
Medewerkers hebben een RA, RE, RO. Accent ligt op accountancykennis. -
Er wordt geïnvesteerd in kennisuitwisseling met andere auditdiensten.
Kracht van een auditteam zit in het samenspel van deskundigheid. Werken met multidisciplinaire teams.
Geen specifieke acties genoemd.
Nee. Wordt niet als zodanig ervaren.
Afdeling control verricht werkzaamheden in de derde lijn (financial audits). Werkzaamheden zijn niet uniek voor de IAD. Andere afdelingen zouden het ook kunnen doen. Raakvlakken met programmering van de onderzoeken van de Randstedelijke Rekenkamer.
Afdeling control verricht werkzaamheden in de derde lijn (financial audits). Meerwaarde van de IAD t.o.v. externen is dat de IAD kennis heeft van het concern Rotterdam. Informele afstemming met de onderzoeksplannen van de Rekenkamer Rotterdam
Meerwaarde van de IAD t.o.v. externen is dat de IAD kennis heeft van het concern Amsterdam.
Het te controleren object en de daarbij behorende normatiek - is bij de derde lijn en bij de vierde lijn (Algemene Rekenkamer) dezelfde.
Analytische vaardigheden en innoverend vermogen.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
-
ACAM verricht werkzaamheden in de derde en vierde lijn.
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
3.4.
Conclusies positionering in de praktijk
ACAM en ADR beschouwen hun wettelijke taak als het belangrijkste. EAA en CA hebben geen wettelijke taak. De toegevoegde waarde van de niet-wettelijke taken (vaak vraaggestuurde opdrachten genoemd) wordt door geen van de auditdiensten duidelijk omschreven. Blijkbaar denkt men bij deze opdrachten niet direct in termen van ‘het verstrekken van aanvullende zekerheid’. Terwijl dat volgens de theorie toch de belangrijkste toegevoegde waarde is. ACAM en CA geven aan dat ze geen werzaamheden verrichten die eigenlijk in de tweede lijn thuis horen. ADR en EAA verrichten incidenteel werkzaamheden in de tweede lijn. Het risico hiervan is dat de auditdiensten niet voldoende onafhankelijk zijn ten opzichte van de tweede lijn om objectief te kunnen vaststellen (aanvullende zekerheid geven) of de organisatie wel op de meest doelmatige en effectieve wijze is ingericht en functioneert (zie paragraaf 2.2). De twee auditdiensten die geen wettelijke taak hebben, CA en EAA, voeren ook geen financial audits uit. Het gevolg hiervan is dat er geen koppeling is tussen de derde en vierde lijn. Externe accountants nemen geen contact op met de auditdienst bij het uitvoeren van hun werkzaamheden. Dat ACAM en CA strikt vast houden aan het niet uitvoeren van werkzaamheden in de tweede lijn, kan te maken hebben met het feit dat er in het recente verleden ingrijpende keuzes zijn gemaakt over de taakinvulling (ACAM gaat zich verbreden naar een bredere auditdienst, CA heeft de wettelijke taak afgestoten). Voor wat betreft de governancerollen toezicht, inzicht en vooruitzien, associëren de auditdiensten de rol van ‘toezicht’ met de wettelijke taak. Voor de overige werkzaamheden ligt het accent op ‘inzicht’. -----Werkzaamheden t.b.v. de wettelijke taak (ADR en ACAM) bestaan uit standaard audits met voorgeschreven normenkaders. Voor het overige geven de auditdiensten aan vooral maatwerkaudits uit te voeren. De ADR en EAA proberen ook vergelijkingen te maken. Bij de ADR gaat het dan om rijksbrede vergelijkingen tussen verschillende overheidsdiensten. Bij EAA gaat het om vergelijkingen met andere organisaties (benchmarking). Vergelijkbaarheid van auditresultaten verhoudt zich volgens de theorie echter niet met maatwerkaudits. Met uitzondering van de werkzaamheden t.b.v. de wettelijke taak, hebben de auditdiensten geen format waarin ze de door hen geleverde producten helder duiden. Alleen ACAM biedt een zeker kader door indeling van de werkzaamheden in drie kennisgebieden. De ADR hanteert als basis een vaktechnische indeling: financial audits, IT-audits en operational audits met daarbinnen een waaier aan typen onderzoeken. De manier waarop de auditdiensten hun producten presenteren is dat ze vooral een heel breed pakket aan producten leveren. Een heldere presentatie van het type te leveren producten ontbreekt. De theoretische indeling voor audits in de publieke sector zoals die door INTOSAI of IIA Inc is geformuleerd, wordt niet gebruikt. Toch kan zo’n indeling veel houvast bieden. Door bijvoorbeeld de indeling van INTOSAI te kiezen: financial audits, performance audits en compliance audits. En door daarbij toe te lichten wat onder die typen audits wordt verstaan, wordt de betekenis en het belang van de producten duidelijker. Evenals het unieke van deze © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
producten. Een heldere definiëring van de producten betekent echter ook keuzes maken in wat je niet doet. Het lijkt er op dat de auditdiensten die keuze niet willen of durven te maken of dat het ontbreekt aan een visie op basis waarvan die keuze gemaakt kan worden. ACAM, ADR en EAA koppelen hun advieswerkzaamheden aan onderzoek, dus advies op basis van onderzoek. CA biedt in aanvulling daarop ook een nazorgtraject aan om de organisatie op weg te helpen met de voorgestelde verbeteringen. Opvallend is dat geen enkele auditdienst spreekt over ‘advies aan de voorkant’. Bij maatwerkaudits zou hier wel degelijk sprake van kunnen zijn, maar dit wordt blijkbaar niet onderkend. Of er wordt minder maatwerk geleverd dan met de term wordt gesuggereerd. Door goed advies aan de voorkant te geven bij het opstellen van de onderzoeksvragen, maar vooral bij de vaststelling van het normenkader kan een auditdienst een sterke adviespartner van het management zijn. Die kans lijkt niet benut te worden. --------Voor de wettelijke taak kent ACAM een externe opdrachtgever, namelijk de Gemeenteraad. De ADR lijkt de minister van Financiën als oprachtgever voor de wettelijke taak te hebben (intern binnen het Rijk, extern voor een afzonderlijk ministerie), al wordt het resultaat aangeboden aan de minister van het betreffende departement. Meer in het algemeen geldt dat de ADR rijksbrede onderzoeken doet waarbij één minister of secretaris-generaal opdrachtgever is. Voor een afzonderlijk ministerie kan dit als een externe opdrachtgever worden ervaren (namelijk buiten het eigen departement). De ADR kent daarnaast als auditautoriteit en certificerende instantie de Europese Commissie als externe opdrachtgever. De overige producten en diensten worden veelal geleverd aan het management een niveau boven het direct verantwoordelijke management. -----Voor wat betreft onderscheidende kennis en kunde hecht auditdienst ACAM de meeste waarde aan specifieke auditkennis. Bij de overige drie auditdiensten geeft men aan dat er sprake is van een combinatie van auditkennis met materiedeskundigeheid, waarbij CA relatief de minste waarde aan specifieke auditkennis hecht. Althans, daar beschikken minder mensen over een specifieke auditopleiding. Materiedeskundigheid is gebaseerd op het feit dat medewerkers over een ander opleiding naast of in plaats van een specifieke auditopleiding beschikken. Op welke wijze de op deze manier beschikbare materiedeskundigheid vervolgens wordt ingezet komt niet uit de interviews naar voren. Het feit dat de keuze van ACAM en CA het meest van elkaar afwijken hangt wellicht samen met het feit dat juist die twee auditdiensten in het verleden ingrijpende keuzes hebben gemaakt in het kader van de positionering. -----Bij de provincie Zuid-Holland en de gemeente Rotterdam verricht de afdeling control werkzaamheden in de derde lijn. Dit wordt door de betreffende diensten echter niet als concurrentie ervaren. Zowel voor de wettelijke taak als voor de overige werkzaamheden zien de auditdiensten niet direct concurrenten. Men is overtuigt van de eigen kracht. De belangrijkste onderscheidende factor is volgens CA en ACAM dat de interne auditdienst de © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
organisatie kent, in tegenstelling tot mogelijke (externe) concurrenten. Een kanttekening hierbij is dat potentiële concurrentie van externen ook niet zichtbaar is. Wettelijk is vastgelegd dat de wettelijke taak is voorbehouden aan de interne auditdienst (ADR en ACAM) en het budget voor interne audits is door de opdrachtgevers vaak niet vrij te besteden. De geruststellende wijze waarop de auditdiensten aangeven geen concurrentie te ervaren roept de vraag op of de auditdiensten voldoende worden uitgedaagd om zich zo goed mogelijk ter profileren.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
4. Verwachtingen stakeholders ADR
4.1.
Inleiding
Stakeholder support is een sleutelelement voor een effectieve auditfunctie in de publieke sector (IIA, 2012). De legitimiteit van een auditfunctie en haar missie moeten door een brede range van stakeholders worden begrepen en gedragen. Om die reden is aan stakeholders gevraagd naar hun verwachtingen over de rol en taken van de Auditdienst Rijk (ADR). De resultaten uit het documentonderzoek over de positionering van de auditfunctie, vanuit het theoretisch concept, zijn voorgelegd aan zes stakeholders van de ADR. Dit is gedaan door aan de stakeholders een aantal vragen voor te leggen. De gehanteerde vragenlijst treft u aan als bijlage 2 bij dit referaat. In dit hoofdstuk staat het antwoord op de derde onderzoeksvraag: ‘Wat zijn de verwachtingen en ideeën van stakeholders over de positionering van de centrale interne auditfunctie van het Rijk en hoe verhoudt zich dit met de mogelijkheden vanuit de theorie?
4.2.
Toegevoegde waarde
Belangrijkste toegevoegde waarde. Volgens de stakeholders ligt de belangrijkste toegevoegde waarde van de ADR bij de uitoefening van haar wettelijke taak. De ADR krijgt daarvoor ook veel waardering van de stakeholders. Een stakeholder noemde het ‘de stok’ (en niet zo zeer ‘de wortel’) op de achtergrond die een ministerie dwingt om de financiële functie goed op orde te hebben. ‘Als je de auditfunctie weg zou halen, wordt de druk minder om het goed te doen’. Een ander stakeholder geeft aan het oordeel van de ADR (vanuit haar wettelijke taak) te gebruiken als argument om verbeteringen in het financieel beheer te realiseren. Anderen wijzen vooral op het belang van een correcte informatieverstrekking van de minister aan de Tweede Kamer, die met de wettelijke taak wordt geborgd. Voor wat betreft de niet wettelijke taken, ook wel vraaggerichte taken genoemd, verwachten/wensen de stakeholders dat de ADR vooral onderzoeken/audits doet die de organisatie helpen om problemen te voorkomen. Het gaat dan bijvoorbeeld om het goed inrichten van systemen. Maar ook om het pro actief helpen bij het opsporen van risico’s, voordat deze tot problemen leiden. Dit laatste is vooral een wens van een aantal stakeholders, maar volgens hen nog geen, of nog te weinig, de praktijk. De combinatie van het doen van onderzoeken / audits om problemen te voorkomen in combinatie met het goed inrichten van systemen is echter nauwelijks uitvoerbaar. Door mee te helpen bij de inrichting van systemen kan de ADR achteraf immers niet objectief en onafhankelijk beoordelen of het systeem goed (doelmatig en efficiënt) functioneert. Niet alle stakeholders lijken zich dit te realiseren.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Een aantal stakeholders merkt op dat de ADR over veel informatie over het functioneren van de Rijksdienst en de ministeries beschikt. Zij zien graag dat de ADR die informatie met hen deelt. Over of dit al gebeurt of nog moet worden ontwikkeld, verschillen de beelden. Bij het delen van dergelijke informatie denken de stakeholders niet zozeer aan formele rapportages, maar meer aan het delen van die informatie tijdens gesprekken. De ministeries kunnen de informatie dan gebruiken om hun interne beheersing te verbeteren. Object van onderzoek Object van onderzoek is de interne beheersing, wat verder gaat dan alleen financieel beheer. Ook wordt wel genoemd: het functioneren en presteren van het Rijk. Third line of defence. Verschillende stakeholders (de helft) ervaren dat de afstand tussen de ADR en het ministerie te groot is geworden voor een interne auditdienst van een ministerie. De ADR bevindt zich in een schemergebied tussen de derde en vierde lijn. Overigens geldt dit alleen voor de vraaggestuurde taken. Bij de wettelijke taken is de positie van de ADR in de derde lijn wel helder en vormt de afstand tussen de ADR (onder gebracht bij het ministerie van Financiën) en het ministerie geen probleem. De andere helft van de stakeholders ervaart dat de ADR meer in het schemergebied tussen de tweede en derde lijn acteert; en dat de ADR hier ook wel min of meer toe genoodzaakt is omdat de eerste en tweede lijn soms niet op orde zijn. Zo is een stakeholder erg blij met de hulp van de ADR bij werkzaamheden in de tweede lijn, omdat de tweede lijn af en toe de eerste lijn in wordt gezogen omdat die het niet op orde heeft. Een andere stakeholder is erg blij met de hulp van de ADR bij het uitvoeren van audits in de zogenaamde tweede lijn, waarbij gewerkt wordt met gemengde teams van de eigen organisatie en de ADR. De stakeholder die vooral betrokken is bij rijksbrede dossiers ziet de ADR in de tweede lijn gepositioneerd, omdat het voor FEZ veel lastiger is om rijksbreed te opereren. Enkele stakeholders geven uitdrukkelijk aan dat ze graag zouden zien dat de ADR meer de tweede lijn gaat auditen (de tweede lijn als object van onderzoek). Wanneer je dit doet op Rijksniveau, dan betekent dit dat je ook het functioneren van de DG-Rijksbegroting als onderzoeksobject moet kiezen. Op departementaal niveau zou de ADR moeten kijken naar het functioneren van FEZ. Volgens enkele stakeholders gebeurt dat nu te weinig. De wens van de stakeholders is over het algemeen dat de ADR echt in de derde lijn opereert, waarbij ze tegelijkertijd opmerken dat dat in de praktijk niet altijd het geval is/lijkt. De scheiding tussen derde en vierde lijn is volgens de meeste stakeholders in de praktijk onduidelijk. Nu de ADR is gepositioneerd bij het ministerie van Financiën lijken de onderwerpen (te) algemeen te worden. Er wordt geen concretiseringsslag gemaakt die aansluit bij het afzonderlijke departement. Men staat soms te ver af van het departement om als interne auditor op te kunnen treden. Men betwijfelt of een ADR die op afstand staat nog wel van toegevoegde waarde kan zijn voor de departementen. Een interne auditfunctie hoort dichtbij te zitten, het is een tool van het management. De ADR gaat heel erg uit van het Rijk als één concern, maar dat is niet de werkelijkheid. De ministers zijn immers eindverantwoordelijk voor hun departement.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Kortom: de wens van de stakeholders is een positie van de ADR in de derde lijn, dicht bij het ministerie. In de praktijk wordt de ADR soms de tweede lijn in getrokken omdat die niet op orde is. Door de positionering bij het ministerie van Financiën acteert de ADR soms te veel als externe auditor (vierde lijn). De governancerollen: toezicht, inzicht en vooruitzien. Bij de wettelijke taak gaat het over het uitoefenen van toezicht. Bij de vraaggestuurde opdrachten gaat het volgens sommige stakeholders om inzicht, volgens anderen vooral om vooruitzien en volgens weer anderen over inzicht en vooruitzien. Als voorbeeld wordt genoemd dat de opdrachtgever zaken scherp wil krijgen, dat hij wil weten wat er nu precies speelt of wat er aan de hand is. En daarnaast heeft hij ook behoefte aan audits om te kijken of men op de goede weg is. Het gaat dan dus echt om inzicht. Een stakeholder merkt op dat inzicht en vooruitzien volgens hem eigenlijk iets is wat meer thuis hoort in de eerste en tweede lijn en dat de ADR zich vooral zou moeten richten op toezicht. Een stakeholder geeft aan het interessant te vinden wanneer de ADR in staat zou zijn om, op basis van alles wat de auditfunctie gezien heeft, een analyse te maken. Deze stakeholder geeft daarbij aan dat de kern van de waarde van de auditfunctie zit in: ‘zien wat er gebeurt’. Op basis van waarnemingen, een soort realitycheck. Een soort spiegel voor het functioneren van de organisatie. Dus niet toezicht, inzicht of vooruitzien, maar ‘zien wat er gebeurt’ en dat dan relateren aan de koers die het departement wil varen. Dat laatste kan dan een goede invulling zijn van ‘vooruitzien’.
4.3.
Herkenbaarheid van producten/diensten
De stakeholders maken een duidelijk onderscheid tussen producten die zijn verbonden aan de wettelijke taak en de producten uit vraaggestuurde opdrachten. De wettelijke taak betreft gestandaardiseerde audits, die moeten worden uitgevoerd conform de daarvoor opgestelde regels en normen. Een stakeholder geeft duidelijk aan dat dit niet betekent dat beide niets met elkaar te maken hebben. De resultaten uit het onderzoek bij de vaste vraag vormen, als het goed is, immers input bij de vraaggestuurde onderzoeksprogrammering. De Algemene Rekenkamer heeft de producten uit de wettelijke taak nodig om haar eigen werkzaamheden goed te kunnen uitvoeren. Bij de vraaggestuurde opdrachten gaat het vooral om maatwerk. Het moet inspelen op concrete vragen van het departement. Althans zo lang het gaat om audits voor intern gebruik. Het gaat om audits die gericht zijn op de specifieke situatie van het departement/de opdrachtgever, gebaseerd op de ambities van dat departement/die opdrachtgever. Wanneer het gaat om aan externen te laten zien dat het goed zit, dan zijn het gestandaardiseerde audits (waaronder wettelijke taak, maar niet alleen de wettelijke taak). Men hecht niet veel belang aan rijksbrede opdrachten die vergelijkingen tussen departementen mogelijk maken. Het Rijk wordt immers steeds minder vergelijkbaar.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Vergelijkbare processen zijn steeds meer geconcentreerd in rijksbrede diensten. Dezelfde stakeholder merkt op dat de departementen met een totaal andere context of problematiek zitten. De veranderopgave van een ministerie van VWS gaat o.a. over de herinrichting van de zorg, die van Defensie richt zich op verbeteringen in de uitvoeringsorganisatie en BZK heeft weer veel meer te maken met bestuurlijke veranderopgaven. Met zulke grote verschillen heb je niet veel aan rijksbrede vergelijkingen. Het wordt gewaardeerd wanneer de ADR met haar producten mogelijkheden biedt om van elkaar te leren. Bijvoorbeeld door eens in te zoomen op een aantal thema’s die dwars door het Rijk lopen of die in een aantal uitvoeringsinstanties voor komen. Maar dat is volgens stakeholders iets anders dan vergelijkingen maken van zaken die per ministerie toch weer heel anders liggen. Typen audits Zoals hierboven al is aangegeven maken stakeholders onderscheid tussen producten uit de wettelijke taak en vraaggestuurde opdrachten. Vervolgens komen de stakeholders echter met zeer verschillende indelingen van de producten/diensten die zij onderscheiden. De zes stakeholders geven de volgende indelingen:
audits die ondersteuning bieden bij de inrichtingsfase (van een beleidsproces, van een crisisaanpak, van een ICT systeem etc.), bij de monitoringsfase en bij de verantwoordingsfase; financial audits voor de wettelijke taak en vraaggestuurde audits op basis van wat uit de financiële taak naar voren komt of op basis van projecten. IT-audits en compliance audits vormen onderdeel van de vraaggestuurde audits; audits verbonden aan de wettelijke taak en vraaggestuurde audits; naast de wettelijke taak: operational audits (werkprocessen), ICT-audits en financial audits; naast audits ook evaluatieonderzoeken. Daar zou de ADR veel meer aan kunnen doen. Denk aan evaluatieonderzoeken waarbij je bijvoorbeeld wilt inzoomen op ‘best practices’ of op neveneffecten; onderzoek omtrent aanbesteding, privacy, inrichting. Voortgangsbewaking van rijksbrede projecten, inzicht in processen, governancevraagstukken, evaluatie compacte Rijksdienst, herijking/actualisatie kostenbaten-analyse rijksbreed computersysteem.
Deze verscheidenheid aan indelingen duidt erop dat de stakeholders geen uniform beeld hebben van wat nu de kenmerkende producten/diensten van de ADR zijn. Eén stakeholder onderkent het belang van een helder presentatie van het productenpallet, waarbij hij waarschuwt voor ‘gegoochel’ met definities waardoor verwarring ontstaat over wat nu onderscheidende producten van de ADR zijn. ‘Als je iets een audit noemt, dan doe je iets met een auditdienst. Noem je het een doorlichting, een evaluatie of een second opinion, dan is de vanzelfsprekendheid om naar de auditdienst te stappen er niet.‘ Advies Stakeholders verwachten adviezen van de ADR die gebaseerd zijn op door de ADR uitgevoerd onderzoek. © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
De ADR wordt gezien als sparringpartner van het management. Dit op basis van alles wat de ADR ziet tijdens de onderzoeken. Daarin worden regelmatig informele adviezen gegeven en dat wordt gewaardeerd. De ADR ziet namelijk allerlei dingen in de organisatie, zij kijkt er met een specifieke bril naar. Op basis daarvan kunnen informele adviezen worden gegeven waar de ADR op moet letten. Eén stakeholder noemt expliciet het meedenken aan de voorkant van een traject. Hoe de organisatie dat zou willen aanvliegen en welke rol de ADR daarbij kan spelen. De ADR beschikt regelmatig over informatie die niet direct nodig is voor het beantwoorden van de onderzoeksvragen, maar die wel relevant is voor de opdrachtgever: zogenaamde bijvangst. Stakeholders achten het vaak niet gewenst om dit in het rapport op te nemen. Ze willen de informatie uit de bijvangst wel graag hebben, maar ontvangen dat graag op een informele manier (via een gesprek) of door vermelding in de aanbiedingsbrief. Op het moment dat de bijvangst in het rapport staat, kan dit tot complicaties leiden bij de verspreiding van het rapport.
4.4.
Afnemers van producten en diensten
Volgens de stakeholders zijn de secretaris-generaal en de directeuren-generaal op de ministeries de belangrijkste opdrachtgevers, dus het management een niveau boven het direct verantwoordelijke management. Daarnaast kunnen volgens drie van de zes stakeholders ook direct verantwoordelijke lijnmanagers opdrachtgever zijn. Uitzonderingen vormen de audits op grote projecten, waarvoor de Tweede Kamer opdrachtgever is, en de audits die worden gedaan als auditautoriteit voor de Europese Commissie, waarvoor de Europese Commissie opdrachtgever is. Wanneer het formele opdrachtgeverschap op Bestuursraadniveau ligt, wordt vaak gewerkt met een gedelegeerd opdrachtgever op directeurenniveau. Bij opdrachten die gedaan worden in opdracht van de secretaris-generaal is de directeur FEZ vaak gedelegeerd opdrachtgever. Een stakeholder geeft expliciet aan het belangrijk te vinden dat het opdrachtgeverschap niet lager wordt belegd dan bij SG’s en DG’s. Wanneer het opdrachtgeverschap lager ligt bestaat volgens die stakeholder het risico dat de toegevoegde waarde van de auditfunctie te weinig zichtbaar is voor de Bestuursraad. De directies FEZ vervullen een coördinerende rol binnen de ministeries bij de vaststelling van de auditplanning. Bij onderzoeken in opdracht van de SG is de directeur FEZ soms gedelegeerd opdrachtgever. En ook bij andere opdrachten werken de ministeries vaak met gedelegeerd opdrachtgevers. Het fenomeen gedelegeerd opdrachtgever wordt in de theorie niet genoemd. Rol en verantwoordelijkheden van een gedelegeerd opdrachtgever zijn niet gedefinieerd.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
4.5.
Onderscheidende kennis en kunde
Naast specifieke auditkennis, waarbij vooral kennis van financiële audits en IT-audits worden genoemd, verwachten de stakeholders dat er bij de ADR aanvullende kennis aanwezig is. Welke kennis dit is hangt af van het type opdracht dat de ADR gaat uitvoeren. Twee stakeholders geven aan het belangrijk te vinden dat er een grote diversiteit aan kennis aanwezig is binnen het auditteam, waarbij zij o.a. denken aan (afhankelijk van de opdracht) organisatiekennis, bedrijfskundige kennis en bestuurskundige kennis. Als de ADR niet beschikt over de voor een specifieke opdracht benodigde kennis, dan geven twee (deels andere) stakeholders aan dat de ADR zou kunnen werken met gemengde teams, bestaande uit medewerkers van de ADR en medewerkers uit de organisatie (het ministerie waar het onderzoek wordt uitgevoerd). Kennis van rechtmatigheid wordt door twee stakeholders expliciet genoemd. Eén stakeholder noemt dat zelfs als de belangrijkste kennis die bij de ADR aanwezig moet zijn. Waar de stakeholders het accent op leggen is sterk afhankelijk van het type opdrachten dat zij verwacht bij de ADR. Eén van de stakeholders noemt expliciet ‘board room consultancy’ als kennis die hij bij de ADR verwacht. Het gaat dan om het type kennis die vergelijkbaar is met kennis van de externe leden van het Audit Committee. De kennis zou op het niveau van directeuren aanwezig moeten zijn, meer dan op dit moment het geval is.
4.6.
Concurrenten van de auditfunctie
De Algemene Rekenkamer wordt door verschillende stakeholders als een mogelijke concurrent van de ADR gezien. Accountantskantoren (de ‘big 4’) worden als concurrenten gezien voor (met name) de wettelijke taak. Organisatieadviesbureaus worden nauwelijks als concurrent gezien. Één stakeholder waarschuwt expliciet voor de mogelijkheid dat de ministeries weer een eigen interne auditfunctie gaan oprichten (onder een andere naam dan audit). De Algemene Rekenkamer en de ADR onderzoeken hetzelfde domein, namelijk het functioneren en presteren van het Rijk. Een aantal stakeholders merkt op dat de Algemene Rekenkamer opschuift of zou kunnen opschuiven naar de derde lijn. In dat geval zal de concurrentie tussen beide toenemen. Stakeholders vinden de verschillen tussen de Algemene Rekenkamer en de ADR niet altijd duidelijk. Als voorbeeld wordt een onderzoek naar big data genoemd. De ARK wil op dat gebied een onderzoek starten en gaat bij de ministeries hierover vragen stellen. Dat gaat dan helemaal buiten de ADR om. Als voordeel van de ADR boven de grote accountantskantoren noemen stakeholders dat de ADR thuis is in vraagstukken op het gebied van overheidsbeheersing. Vooral ervaren auditors van de ADR kunnen daarbij een meerwaarde hebben. Eén stakeholder merkt op dat de belangrijkste concurrent van de ADR de ADR zelf is en dat dit een rechtstreeks gevolg is van de vaagheid van de positionering van de ADR. Doordat de © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
ADR niet lijkt te kiezen voor een duidelijke positionering, heeft ze te maken met veel concurrenten. De positie van de ADR is niet duidelijk. De betreffende stakeholder geeft aan dat de ADR zich niet moet losmaken van haar kernfunctie. Door dicht bij de kernfunctie te blijven, blijft de concurrentie beperkt. De ADR heeft dan immers een heldere positie tussen alle andere ‘concurrenten (1e en 2e lijn, ARK, externen). Wanneer de ADR niet kiest voor een heldere positionering, dan wordt ze kwetsbaar. De ADR zit dan namelijk niet meer op een unieke competentiekracht. Eén stakeholder merkt op bij IT-onderzoeken liever naar een groot accountantskantoor te stappen dan naar de ADR. De betreffende stakeholder ziet weinig vernieuwing bij de ADR op het gebied van IT en hoe tegen risico’s op IT wordt aangekeken. De ADR zou zich veel meer op de strategische kenniskant moeten richten. De accountantskantoren zijn daar volgens hem verder in.
4.7.
Conclusie
De stakeholders beschouwen de wettelijke taak als de belangrijkste taak van de ADR. Voor wat betreft de vraaggestuurde onderzoeken geven ze aan het belangrijk te vinden dat de ADR het management helpt om problemen te voorkomen en pro-actief risico’s te signaleren. Dit sluit aan op het in de audittheorie gedefinieerde doel van interne auditing: het verstrekken van aanvullende zekerheid. Stakeholders hechten ook veel waarde aan het informeel delen van informatie. Ze zien de ADR graag als sparringpartner. De ADR dient wat de stakeholders betreft echt in de derde lijn te opereren, maar in de praktijk is dit niet altijd het geval. De ADR operereert volgens hen soms ook in de tweede of vierde lijn. Sommige sparringpartners steken de hand in eigen boezem, door op te merken dat de eerste en tweede lijn nog onvoldoende van kwaliteit zijn en dat de ADR daardoor soms noodgedwongen werkzaamheden in de tweede lijn moet oppakken. Stakeholders zien verwarring bij het opereren van de ADR als rijksbrede auditor versus het opereren als interne auditor voor het departement. In het algemeen wordt er een afstand ervaren tussen het ministerie en de ADR. Is de ADR een interne auditor voor het Rijk, maar daarbij dan onvermijdelijk ook een externe auditor voor een ministerie? Er wordt een zekere tweeslachtigheid ervaren. Stakeholders geven aan graag te willen leren van ervaringen die de ADR opdoet bij andere departementen, maar geven daarbij vaak aan dat dat iets anders is dan het uitvoeren van rijksbrede audits! De departementen verschillen volgens hen te veel van elkaar om rijksbrede audits te kunnen uitvoeren, die van voldoende diepgang voor het betreffende ministerie zijn.. Wat verder naar voren komt is dat de stakeholders geen eenduidig beeld hebben van het type audits dat de ADR kan uitvoeren. Hier kan meespelen dat de ADR ook geen overzichtelijke presentatie van mogelijke producten aanbiedt. Wat ook speelt is dat ministeries verschillend lijken te denken over de breedte van het producten- en dienstenpallet. Stakeholders van het ene ministerie zitten veel dichter tegen de financiële functie aan dan stakeholders van een ander departement. © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Stakeholders verwachten wel adviezen op basis van onderzoek. Daarnaast vinden zij het belangrijk dat er informeel gesproken wordt over datgene wat de ADR ‘ziet gebeuren’, Het gaat dan om (informeel) sparren met de ADR. Dit vanuit het idee dat de ADR veel ziet bij de departementen (het eigen departement en rijksbreed). Adviezen in de vorm van zogenaamde ‘bijvangst’ bij onderzoeken wordt wel gewaardeerd. Dit hoeft wat de stakeholders betreft overigens niet altijd in de rapportage te worden vastgelegd.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
5. Slotbeschouwing De handvatten voor positionering vanuit de theorie bieden geen blauwdruk voor positionering van de interne auditfunctie. Ze bieden echter wel houvast bij het kiezen van een positie en het maken van daaraan verbonden keuzes. De praktijk bij de vier onderzochte auditdiensten laat zien dat de auditdiensten verschillende keuzes maken ten aanzien van hun positionering, maar ook dat de mate waarin ze positie kiezen sterk verschilt. Auditdienst ACAM lijkt het meest uitgesproken te zijn in haar keuzes, gevolgd door Concern Auditing Rotterdam. ACAM en de Auditdienst Rijk hebben zowel een wettelijke taak als een vraaggestuurde taak te vervullen. ACAM positioneert zich vooral als een externe accountant. De interne functie komt wellicht daardoor minder van de grond. Bij de ADR is het wat dat betreft soms ook nog moeilijk manoeuvreren. De meeste aandacht van opdrachtgevers en stakeholders gaat naar de wettelijke taak. De wettelijke taak vergt ook het grootste tijdsbeslag. Het onderzoek is te beperkt om hieruit conclusies te trekken over de impact van het al dan niet hebben van een wettelijke taak op het van de grond komen van de interne auditfunctie (naast de wettelijke taak). Wel kan de conclusie getrokken worden dat de positionering van de interne auditfunctie aandacht behoeft. De wettelijke taak is expliciet vastgelegd in wettelijke regels en procedures, voor de vraaggestuurde opdrachten is dit niet het geval en daarom is aandacht voor de positionering extra belangrijk (naast de meer vanzelfsprekende positionering van de wettelijke taak). Wanneer wordt gekeken naar verwachtingen van stakeholders (van de ADR) dan blijkt dat de stakeholders, naarmate ze minder dicht op de wettelijke taak zitten, meer zoekende zijn naar de rol en het belang van een interne auditfunctie. Ze vinden het vaak lastig om te bepalen welke rol en positie de ADR inneemt. Positioneert de ADR zich nu als interne auditor voor het eigen ministerie of als interne auditor voor het Rijk (voor het management van het ministerie of voor het management van het Rijk)? Sommige stakeholders vragen zich af of de ADR zich niet te breed profileert en afdrijft van haar kerntaken. Opvallend is dat de stakeholders wel degelijk een aantal concurrenten zien voor de ADR, terwijl de ADR (en ook de andere auditdiensten) dat zelf niet ziet. Hier rijst de vraag of men het echt niet ziet of niet ‘wil’ zien. Maar door te onderkennen dat er concurrenten zijn zou de ADR vervolgens kunnen bepalen hoe ze daar mee om wil gaan. Door concurrenten te ontkennen wordt in ieder geval geen echte strategie ontwikkeld over hoe daar op te participeren. Het niet ervaren van concurrentie kan er ook op duiden dat de ADR, vanuit een soort beschermde positie, niet voldoende wordt uitgedaagd om haar taak goed te vervullen.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Literatuurlijst Audit charter ADR, 2014. Intern document, vastgesteld in het SG overleg van 10 december 2014. Den Haag, Ministerie van Financiën. Auditdienst Rijk, 2013. Jaarplan Auditdienst Rijk 2014. Den Haag, Ministerie van Financiën. Comptabiliteitswet 2001 Comittee of Sponsoring Organizations of the Treadway Commission (COSO) (2013). Internal Control – Integrated Framework, Executive summary. Dees, M. (2011), De public sector auditor - Trait-d'únion in het openbaar bestuur, Inaugurele rede. Breukelen: Nyenrode Businesss Universiteit. Dees, M. & Droogsma, J. (2013). Opleiding public sector auditing, Auditen voor ‘hoger doel’. Accountant, 3 (1), 24-27.
Doorn, M.E. van (1994). Is de bedrijfsfysiotherapeut een marktgerichte professional? Een verslag van een onderzoek naar de positionering van een jonge beroepsgroep in een bijzonder veld van de gezondheidszorg. Erasmus Universiteit Rotterdam, afstudeerscriptie Beleid en Management Gezondheidszorg. Hartog, P. & Cleton, H., ‘PQA, Proactive Quality Assurance’, in: Korte, R., van der Meulen, I., & Otten, J. (2011). Management Control Auditing: bijdragen aan assurance & consulting activities. Driebergen: Stichting Auditing.nl. Hartog, P. & de Korte, R (2008), Naar Integrated Auditing: drie etappes, 10 wegwijzers. Verkregen via www.auditing.nl. Hartog, P.A. & de Korte, R.W.A. (2005). IT-audit en operational audit: eenmanszaken of maten?, de EDP-Auditor, nr. 2, 20-27. Instituut van Internal Auditors Nederland (2004). Studierapport over de Internal Auditor in Nederland. Amsterdam: IIA Nederland. Instituut van Internal Auditors Nederland, NIVRA en NOREA (2008). De internal auditor in Nederland. Position Paper Update 2008. IIA Nederland, NIVRA en NOREA. International Organization of Supreme Audit Institutions (INTOSAI) (zonder datum). INTOSAI GOV 9100, Guidelines for Internal Control Standards for the Public Sector. INTOSAI, Vienna, Austria. Verkregen via http://www.intosai.org. Bezoekdatum 26 september 2014. International Organization of Supreme Audit Institutions (INTOSAI) (zonder datum). ISSAI 100, Fundamental Principles of Public-Sector Auditing. INTOSAI, Vienna, Austria. Verkregen via http://www.intosai.org. Bezoekdatum 26 september 2014. International Organization of Supreme Audit Institutions (INTOSAI) (zonder datum). ISSAI 200, Fundamental Principles of Public-Sector Auditing. INTOSAI, Vienna, Austria. Verkregen via http://www.intosai.org. Bezoekdatum 26 september 2014.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
International Organization of Supreme Audit Institutions (INTOSAI) (zonder datum). ISSAI 300, Fundamental Principles of Public-Sector Auditing. INTOSAI, Vienna, Austria. Verkregen via http://www.intosai.org. Bezoekdatum 26 september 2014. International Organization of Supreme Audit Institutions (INTOSAI) (zonder datum). ISSAI 400, Fundamental Principles of Public-Sector Auditing. INTOSAI, Vienna, Austria. Verkregen via http://www.intosai.org. Bezoekdatum 26 september 2014. Kamerstukken II 2012-1013, bijlage bij Kamerstuk 33670, nr. 1 Hoofdlijnennotitie Comptabiliteitswet. Kerseboom, J.S. & Neelissen, P.A. (2005). Zelfbeheersing in de publieke sector. Rekenkamers gebruiken COSO voor de publieke sector, MCA Tijdschrift voor Organisaties in Control, nr. onbekend, 26-29. Verkregen via www.finance-control.nl. Kesteren, M. (2003). De drives achter de evolutie van de internal auditprofessie. Referaat postdoctorale opleiding Internal/Operational auditing. Rotterdam: Erasmus Universiteit, ESAA. Kocks, C. (2003). Auditing, audit, auditor, wat moeten we ermee? Verkregen via www.auditing.nl . Lasance, A. (red.)(2013). The Third line of defence, Tijdschrift Controlling, januari/februari, 18-21. Laudon, K.C. & Laudon, J.P. (2012). Management Information Systems. Managing the digital firm (12th Ed). Harlow, England: Pearson Education Limited. Lenz, R. & Sarens, S. (2012). Reflections on the internal auditing profession: what might have gone wrong?, Managerial auditing Journal, Vol. 27 Iss: 6 pp. 532-549. Molenkamp, A. , ‘Waar waren de internal auditors? De beroepsorganisatie is niet klaar voor dat debat’, in: Korte, R., van der Meulen, I., & Otten, J. (2011). Management Control Auditing: bijdragen aan assurance & consulting activities. Driebergen: Stichting Auditing.nl. Mollema, K.Y. (1999). IT auditing in an integrated audit concept, Inaugurele rede. Rotterdam: Erasmus Universiteit, Faculteit der Economische Wetenschappen. Otten, J.H.M., Hartog, P. & de Korte, R.W.A., ‘Management Control Auditing: de praktijk, een framework en directe toegevoegde waarde’, in: Korte, R., van der Meulen, I., & Otten, J. (2011). Management Control Auditing: bijdragen aan assurance & consulting activities. Driebergen: Stichting Auditing.nl. Paape, L., de Korte, R., & Otten, J. (2005). Internal/Operational Auditing: de ontwikkeling van een zelfstandig vakgebied. Handboek Accountancy, A 1040.1 tm A1040.7. Schein, E.H. (2005). Procesadvisering. Over de ondersteunende rol van de adviseur en het opbouwen van samenwerking tussen adviseur en cliënt. Den Haag: BIM Media B.V.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
The Institute of Internal Auditors (2011). International Professional Practices Framework (IPPF). Updated for 2012. Altamont Springs, Florida: The Institute of Internal Auditors Research Foundation. The Institute of Internal Auditors (2012). Supplemental Guidance: The role of auditing in Public Sector Governance (2nd Edition). Altamonte Springs, FL 32701 USA: The Institute of Internal Auditors. The Institute of Internal Auditors (2012b). Practice Guide: Integrated Auditing. Altamont Springs, Florida: The Institute of Internal Auditors Research Foundation. Twist, van, M., Steen, van der, M., Bouwmans, H., & Bekkers, H. (2013). De internal auditor in het publieke domein. Drijfveren en dilemma’s, principes en paradoxen. Den Haag: Boom Lemma uitgevers. Zanen, van, A., ‘Rol en positie Auditdienst Rijk in 2020. Rijk in audit en advies’, in: Rijksacademie voor Financiën, Economie en Bedrijfsvoering (2012). De toekomst van de financiële functie van het Rijk: een beeld voor 2020. Den Haag: Ministerie van Financiën.
Internetsites: http://www.bestuurszaken.be http://www.communicatiepositionering.nl http://www.intemarketing.nl http://www.mijnwoordenboek.nl http://www.rijksbegroting.nl http://www.rijksoverheid.nl http://www.woorden.org
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Geïnterviewden en door hen verstrekte documenten Geïnterviewde hoofden van auditdiensten.
J.M.R. (Jacques) van Kempen RA RO, hoofd van de Eenheid Audit en Advies van de provincie Zuid-Holland (EAA). drs. M.J.A. (Martine) Koedijk RA RE, directeur Auditdienst ACAM van de gemeente Amsterdam. M.J.A. (Marian) Meeuwsen RA RC, hoofd van de afdeling Concern Auditing van de gemeente Rotterdam (CA). J.M. (Anneke) van Zanen-Nieberg RA, algemeen directeur Auditdienst Rijk (ADR)
Van geïnterviewde hoofden van auditdiensten ontvangen (en geraadpleegde) documenten. Eenheid Audit en Advies provincie Zuid-Holland.
Concept onderzoeksplan 2014. Audit Charter 2014.
Auditdienst ACAM.
Notitie “Verbetering van het interne stelsel van beheersing in Amsterdam, visie op control actielijn 7: de auditketen. Voordracht voor de raadsvergadering van 12 en 13 maart 2014.nr. 216, agendapunt 58. Voordracht voor de raadsvergadering van 12 en 13 maart 2014.nr. 217, agendapunt 59. Brochure ‘ACAM: Auditor van Amsterdam’.
Afdeling Concern Auditing
Auditprogramma tweede helft 2013. Auditprogramma 1e helft 2014.
Geïnterviewde stakeholders van de Auditdienst Rijk (ADR).
M.A. (Martin) Abbink MSc RE RA, projectleider vaktechniek bij de Algemene Rekenkamer. drs. F. (Ferdinand) Lahnstein, coördinerend directeur Inkoop, tevens plv. Directeur FEZ van het ministerie van Buitenlandse Zaken. drs. H.D., (Herald) van der Meer, directeur Financiën en Control van Rijkswaterstaat, en J.P. (Jan Paul) Vermeulen, senior adviseur bij de directie Financiën en Control van Rijkswaterstaat. H. (Hendrik) van Moorsel RA, extern lid Audit Committee ministerie van Volksgezondheid, Welzijn en Sport. ir. M.G. (Maarten) Schmidt, coördinator financieel beleid bij de directie FEZ van het ministerie van Volksgezondheid, Welzijn en Sport. drs. O.F.J. (Olav) Welling, directeur Organisatie en Personeelsbeleid Rijk en plv. directeur-generaal Organisatie Bedrijfsvoering Rijk.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Bijlage 1 – vragenlijst hoofden auditdiensten
Vragenlijst voor de interviews met directeuren/hoofden van de auditdiensten. Toelichting interview. Mijn afstudeeronderzoek gaat over ‘de positionering van de centrale interne auditfunctie in het publieke domein’. Uitgangspunt is dat een duidelijke positionering vereist dat er keuzes worden gemaakt. In mijn onderzoek ben ik nagegaan welke positioneringskeuzes er vanuit de audittheorie denkbaar zijn. Ik onderscheid daarbij vijf dimensies voor positionering. De vijf dimensies voor positionering:
de toegevoegde waarde van de auditfunctie (waar staat de auditfunctie voor, wat levert het op); de herkenbaarheid van de producten en diensten (de typen producten die de auditfunctie levert); de relatie met afnemers van de producten/diensten van de auditdienst, de klanten (de gebruikers en opdrachtgevers van een audit); onderscheid op basis van kennis en kunde; eventuele concurrerende producten/diensten van andere instanties of nieuwe toetreders.
Over deze vijf dimensies wil ik graag met geïnterviewde spreken.
Toegevoegde waarde van de centrale auditfunctie Wat ziet u als de toegevoegde waarde van de interne auditfunctie? Wat zijn de kerntaken van de centrale auditfunctie? Als ik zeg ‘three lines of defence’ kunt u daar dan iets mee in het beschrijven van de toegevoegde waarde van de IAD? Met auditing wordt aanvullende zekerheid verstrekt over de vraag of de organisatie wel op de meest doelmatige en effectieve wijze is ingericht en functioneert. Het gaat om een ‘second opinion’. Dit betekent dat de organisatie zelf verantwoordelijk is voor de kwaliteit van de ‘in control status’. Dus begrippen als zelfcontrole, verbijzonderde controle, zelforganisatie, in control statements, managementrapportages en control selfassessment zijn bedrijfskundig noties waarmee binnen de organisatie zekerheid kan worden verkregen over de mate waarin de feitelijke beheersing beantwoordt aan de daartoe gestelde eisen., De IAF geeft slechts aan vullende zekerheid op die vlakken waar uit het oogpunt van risico’s een second opinion is gewenst.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Volgens IIA Inc ondersteunt auditing in de publieke sector de governancerollen: toezicht, inzicht en vooruitzien. Kunt u daar iets mee? Herkent u dat?
Bij toezicht gaat het dan om vragen als ‘is het beleid zo geïmplementeerd als bedoeld? ‘en ‘implementeren de managers effectieve controls om risico’s te minimaliseren?‘, maar ook om het signaleren en onderzoeken van eventuele corruptie, incl. fraude, verspilling , misstanden, machtsmisbruik etc. Bij inzicht gaat het dan om beoordelingen over welke programma’s en beleidsplannen werken en welke niet, door best practices te delen en benchmarkinginformatie te delen, horizontaal te kijken door publieke instellingen heen en verticaal door verschillende niveaus van de publieke sector heen om mogelijkheden te laten zien voor het overnemen, aanpassen of het ontwikkelen van managementvoorbeelden/praktijken. De auditfunctie helpt de organisatie om te leren door voortdurende feedback bij het beoordelen van beleid/praktijk. Bij vooruitzien gaat het tot slot om het signaleren van trends en het vestigen van aandacht op nieuwe uitdagingen om daarmee een bijdrage te leveren aan de formulering van toekomstig beleid.
Wat is volgens u het object van onderzoek waar de IAD zich op richt? Interne beheersing? Criteria van goed openbaar bestuur? (prestatiecriteria, zorgvuldigheidscriteria, financiële criteria, organisatiegerichte criteria, criteria voor verantwoording en transparantie).
Herkenbaarheid van de producten/diensten Wat voor producten levert de IAD? Wat voor soort audits onderscheidt u? Maatwerk versus gestandaardiseerde audits voor vergelijkbaarheid. Welke indeling in audits spreekt u het meest aan?
De range van audits varieert van gestandaardiseerde audits voor vergelijkbaarheid, waarbij vraagstelling, referentiemodel en wijze van data verzameling vooraf bekend zijn, tot aan op maat gerichte audits, waarbij vraagstelling, referentiemodel en wijze van data verzameling niet vooraf bekend zijn. Welke soortenaudits worden onderscheiden? Audits in de publieke sector kunnen worden verdeeld in: financial audits, compliance audits, performance audits en systeemaudits. Wel is hierbij aandacht nodig wat precies onder de verschillende typen audits wordt verstaan (met name overlap tussen systeemaudits enerzijds en performance audits en compliance audits anderzijds).
Levert de IAD ook adviesdiensten? Met andere woorden: geeft u ook adviezen aan het management? En zo ja, wat voor soort adviezen?
het IIA ziet adviesdiensten als een product van de interne auditfunctie.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
vanuit onderzoekstechnisch oogpunt ligt het meest voor de hand om de adviesrol te richten op advies aan de voorkant. Bij de opdrachtformulering en bij het te hanteren referentie- en normenkader. Kan een auditor als adviseur optreden? Mits hij materiedeskundig is en expliciet duidelijk maakt dat hij dat doet in zijn rol als adviseur en niet in de rol van auditor? IIA Nederland geeft expliciet aan dat het een keuze is of en in welke mate de interne auditfunctie advieswerkzaamheden uitvoert (2008). Lenz (2012) waarschuwt dat het geven van advies ten kostte kan gaan van het zichtbaar maken van de wezenlijke toevoegende waarde van de auditfunctie.
Afnemers van de producten en diensten Wie ziet u als de afnemers/de opdrachtgevers van de producten en diensten van de IAD? Er kunnen volgens de theorie drie typen opdrachtgevers worden onderscheiden, gekoppeld aan de soort audit:
een externe partij, zoals een toezichthouder of het maatschappelijk verkeer (incl. de politiek); het management een niveau boven het direct verantwoordelijke management; de direct verantwoordelijke manager zelf.
Niet alle vakdeskundigen onderkennen alle drie de typen. Het IIA onderkent in haar papers alleen de eerste type opdrachtgever, hoogleraar Martin Dees (hoogleraar Public Auditing & Accounting aan de Nyenrode Business universiteit)noemt in zijn publicaties alleen de eerste twee typen audits.
Onderscheidende eisen aan kennis en kunde Kunt u iets zeggen over de kennis en vaardigheden waarvan u het belangrijk vindt dat die binnen de IAD? Materiedeskundigheid? (Welke) persoonlijke vaardigheden? Kennis van de rol en betekenis van de verschillende typen audits in de publieke sector?
naast specifieke auditkennis dient binnen de IAF ook materiedeskundigheid beschikbaar te zijn. Welke materiedeskundigheid nodig is, is afhankelijk van het object van onderzoek. Unieke van de kennis van een IAF is de combinatie van de aanwezigheid van auditkennis met materiedeskundigheid; naast kennis zijn ook persoonlijke vaardigheden een kritische factor in het auditproces; gelet op de samenhang van performance audits met andere vormen van audits en financial audits en het vereiste integrale beeld van management en toezichthouders op het functioneren van organisaties, is het van belang dat auditors in de publieke sector kennis hebben van al deze auditvormen en dat ze daarbij de rol en implicaties ervan in de publieke sector te kunnen doorzien (Dees, 2013).
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Concurrenten van de auditfunctie In hoeverre zijn de door de IAD te leveren producten/diensten uniek? Of kunnen ze evengoed door andere organisatieonderdelen of externen worden uitgevoerd? Is het uitvoeren van interne audits voorbehouden aan de interne auditdienst?
het uitvoeren van interne audit is niet voorbehouden aan de interne auditdienst. het onderscheid tussen de interne en de externe auditfunctie in de publieke sector lijkt enigszins diffuus. Verhouding tussen IAD en Rekenkamer als externe auditor?
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Bijlage 2 – vragenlijst stakeholders Vragenlijst voor de interviews met stakeholders van de AuditdienstRijk. Ter introductie een korte schets over positionering. Waarom ik dat als uitgangspunt heb gekozen voor mijn onderzoek en welke zes aspecten ik daarbij onderscheid.
Toegevoegde waarde van de centrale auditfunctie Wat verwacht/ziet u als de toegevoegde waarde van de centrale auditfunctie van het Rijk? Wat is de betekenis van de centrale auditfunctie? Wat zijn de kerntaak van de centrale auditfunctie? Als element in een sterke publieke sector governance-structuur, ondersteunt auditing de governancerollen: toezicht, inzicht en vooruitzien:
Bij toezicht gaat het dan om vragen als ‘is het beleid zo geïmplementeerd als bedoeld? ‘en ‘implementeren de managers effectieve controls om risico’s te minimaliseren?‘, maar ook om het signaleren en onderzoeken van eventuele corruptie, incl. fraude, verspilling , misstanden, machtsmisbruik etc. Bij inzicht gaat het dan om beoordelingen over welke programma’s en beleidsplannen werken en welke niet, door best practices te delen en benchmarkinginformatie te delen, horizontaal te kijken door publieke instellingen heen en verticaal door verschillende niveaus van de publieke sector heen om mogelijkheden te laten zien voor het overnemen, aanpassen of het ontwikkelen van managementvoorbeelden/praktijken. De auditfunctie helpt de organisatie om te leren door voortdurende feedback bij het beoordelen van beleid/praktijk. Bij vooruitzien gaat het tot slot om het signaleren van trends en het vestigen van aandacht op nieuwe uitdagingen om daarmee een bijdrage te leveren aan de formulering van toekomstig beleid.
Met auditing wordt aanvullende zekerheid verstrekt over de vraag of de organisatie wel op de meest doelmatige en effectieve wijze is ingericht en functioneert. Het gaat om een ‘second opinion’. Dit betekent dat de organisatie zelf verantwoordelijk is voor de kwaliteit van de ‘in control status’. Dus begrippen als zelfcontrole, verbijzonderde controle, zelforganisatie, in control statements, managementrapportages en control selfassessment zijn bedrijfskundig noties waarmee binnen de organisatie zekerheid kan worden verkregen over de mate waarin de feitelijke beheersing beantwoordt aan de daartoe gestelde eisen., De IAF geeft slechts aan vullende zekerheid o die vlakken waar uit het oogpunt van risico’s een second opinion is gewenst.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Herkenbaarheid van de producten/diensten Wat voor producten verwacht u van de auditfunctie te krijgen?
de range van audits varieert van gestandaardiseerde audits voor vergelijkbaarheid, waarbij vraagstelling, referentiemodel en wijze van data verzameling vooraf bekend zijn, tot aan op maat gerichte audits, waarbij vraagstelling, referentiemodel en wijze van data verzameling niet vooraf bekend zijn. De keuze van het de audit hangt direct samen met de gebruiker van de audit (maatschappelijk verkeer of intern gebruik) en het aantal aspecten dat in de audit wordt betrokken. audits in de publieke sector kunnen worden verdeeld in: financial audits, compliance audits, performance audits en systeemaudits. Wel is hierbij aandacht nodig wat precies onder de verschillende typen audits wordt verstaan (met name overlap tussen systeemaudits enerzijds en performance audits en compliance audits anderzijds).
Verwacht u adviesdiensten van de auditfunctie? Met andere woorden: verwacht u van de auditfunctie ook adviezen te krijgen? En zo ja, wat voor soort adviezen?
het IIA ziet adviesdiensten als een product van de interne auditfunctie. vanuit onderzoekstechnisch oogpunt ligt het meest voor de hand om de adviesrol te richten op advies aan de voorkant. Bij de opdrachtformulering en bij het te hanteren referentie- en normenkader. Kocks (2003) laat een afwijkend geluid horen. Hij is van mening dat een auditor als adviseur kan optreden mits hij materiedeskundig is en expliciet duidelijk maakt dat hij dat doet in zijn rol als adviseur en niet in de rol van auditor. IIA Nederland geeft expliciet aan dat het een keuze is of en in welke mate de interne auditfunctie advieswerkzaamheden uitvoert (2008). Lenz (2012) waarschuwt dat het geven van advies ten kostte kan gaan van het zichtbaar maken van de wezenlijke toevoegende waarde van de auditfunctie.
Afnemers van de producten en diensten Wie ziet u als de afnemers/de opdrachtgevers van de producten en diensten van de auditfunctie? Er kunnen drie typen opdrachtgevers worden onderscheiden, gekoppeld aan het soort audit:
een externe partij, zoals een toezichthouder of het maatschappelijk verkeer (incl. de politiek); het management een niveau boven het direct verantwoordelijke management; de direct verantwoordelijke manager zelf.
Niet alle vakdeskundigen onderkennen alle drie de typen. Het IIA onderkent in haar papers alleen de eerste type opdrachtgever, hoogleraar Martin Dees (hoogleraar Public Auditing & Accounting aan de Nyenrode Business universiteit)noemt in zijn publicaties alleen de eerste twee typen audits.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Onderscheidende eisen aan kennis en kunde Kunt u iets zeggen over de kennis en vaardigheden waarvan u verwacht dat die aanwezig zijn binnen de auditfunctie?
naast specifieke auditkennis dient binnen de IAF ook materiedeskundigheid beschikbaar te zijn. Welke materiedeskundigheid nodig is, is afhankelijk van het object van onderzoek. Unieke van de kennis van een IAF is de combinatie van de aanwezigheid van auditkennis met materiedeskundigheid; naast kennis zijn ook persoonlijke vaardigheden een kritische factor in het auditproces; gelet op de samenhang van performance audits met andere vormen van audits en financial audits en het vereiste integrale beeld van management en toezichthouders op het functioneren van organisaties, is het van belang dat auditors in de publieke sector kennis hebben van al deze auditvormen en dat ze daarbij de rol en implicaties ervan in de publieke sector te kunnen doorzien (Dees, 2013).
Concurrenten van de auditfunctie In hoeverre zijn de door de auditfunctie te leveren producten/diensten uniek? Of kunnen ze evengoed door andere organitieonderdelen of externen worden uitgevoerd?
de theorie is duidelijk over de afbakening tussen de rol van de auditfunctie en die van de lijnorganisatie, waarbij het management wordt ondersteund door de controller en andere functionarissen die zich bezig houden met assurance-functies als risk management, compliance en verbijzonderde interne controle (second line of defence). het uitvoeren van interne audit is niet voorbehouden aan de interne auditdienst. het onderscheid tussen de interne en de externe auditfunctie in de publieke sector lijkt enigszins diffuus. Verhouding tussen IAF en ARK als externe auditor?
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Bijlage 3 – positionering per auditdienst
De Auditdienst Rijk Inleiding De Auditdienst Rijk (ADR) is opgericht op 1 mei 2012 en is ontstaan uit een samenvoeging van de departementale auditdiensten en de Rijksauditdienst (RAD). De Rijksauditdienst is op haar beurt in oktober 2008 ontstaan uit een samenvoeging van de departementale auditdiensten van de ministeries BZK, Financiën, VROM en VWS, de EDP Audit Pool en de afdeling Auditbeleid van de directie Coördinatie Auditbeleid Departementen (ministerie van Financiën). De ADR is opgehangen onder het ministerie van Financiën en valt direct onder de secretaris-generaal. De ADR vervult de interne auditfunctie bij de rijksdienst. De door de ADR uit te voeren taken vinden hun grondslag in de artikelen 66 en 67 van de Comptabiliteitswet 2001 (wettelijke taak) en in de specifieke behoeften van het departementale en boven departementale management (artikelen 20 en 21 van de Comptabiliteitswet 2001). De wettelijke taak omvat het verschaffen van zekerheid over de financiële overzichten in het departementale jaarverslag en het verrichten van onderzoek naar het gevoerde financieel en materieel beheer en naar de totstandkoming van de in het jaarverslag opgenomen nietfinanciële informatie. Voorts is de ADR belast met het onderzoek van de centrale administratie van ’s Rijks schatkist en van het Financieel jaarverslag van het Rijk (Auditcharter ADR, 2014). In het kader van artikel 20 en 21 verricht de ADR op verzoek van de politieke en ambtelijke leiding onderzoeken met betrekking tot de beleids- en de bedrijfsvoering en geeft adviezen op het terrein van onder meer ICT, governance, toezicht, informatiebeveiliging en organisatiekundige vraagstukken. Ook controleert de ADR op verzoek de jaarrekeningen van agentschappen en van andere onderdelen van het ministerie (Auditcharter ADR, 2014). Daarnaast is de ADR de controle-instantie in Nederland voor de Europese fondsen die de controles verricht die in de Europese regelgeving zijn voorgeschreven5. Tot slot kan de ADR op verzoek van de minister optreden als externe accountant bij internationale organisaties waar Nederland lid van is (Auditcharter ADR, 2014).
5
De ADR is auditautoriteit voor de Europese structuurfondsen, het Europees Visserijfonds en de Europese migratiefondsen; certificerende instantie voor de Europese landbouwfondsen; dienst die verantwoordelijk is voor de controle van de aan de Europese Unie af te dragen eigen middelen; dienst die controlerende activiteiten verricht op het terrein van het Europees Globaliseringsfonds, de kaderprogramma’s voor onderzoek en technologische ontwikkeling, het Europees Burgerinitiatief en het programma ‘Life Long Learning’ (Auditdienst Rijk, 2014).
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Toegevoegde waarde De taak van de Auditdienst Rijk bestaat uit:
het verschaffen van zekerheid over de financiële verantwoordingsinformatie in het jaarverslag (certificerende verklaring bij de jaarrekening); alsmede het verschaffen van zekerheid en het rapporteren van bevindingen over financiële en niet-financiële verantwoordingsinformatie; alsmede het geven van adviezen over de beleids- en bedrijfsvoering of de taakuitvoering van het Rijk en nader genoemde organisaties. Het geven van laatstgenoemde adviezen wordt bij de ADR aangeduid als ‘vraaggestuurde opdrachten’. De overige twee taken worden aangeduide als werkzaamheden die voorvloeien uit de wettelijke taak.
Daarnaast heeft de ADR taken als EU-controleautoriteit6. Bij deze taken gaat het om het verstrekken van extra zekerheid aan een externe belanghebbende (Europese Commissie). Een helder visie/strategie van de ADR, en daarmee de toegevoegde waarde, voor wat betreft de vraaggestuurde opdrachten is er (nog) niet. De invulling van het opdrachtenpakket wordt door de afzonderlijke departementen bepaald, waarbij de ADR zich laat leiden door de wensen van die departementen. Het (nog) ontbreken van een heldere eigen visie/strategie lijkt samen te hangen met het ontbreken van een lange termijnvisie over de ontwikkeling van de Rijksoverheid. Volgens de Comptabiliteitswet is de interne beheersing het object van onderzoek van de ADR. Het gaat dan om de doelmatigheid en de rechtmatigheid van de interne processen. Dit betreft de wettelijke taak. Hetzelfde geldt voor de controles ten behoeve van de Europese Commissie. Het object van onderzoek bij de vraaggestuurde opdrachten is breder dan de doelmatigheid en de rechtmatigheid van de interne processen. Object van onderzoek is niet nader gespecificeerd. Het kan gaan over alle aspecten van de rijksdienst: organisatie, processen en mensen/middelen. Het object van onderzoek kan betrekking hebben op alle criteria van goed bestuur. De onderzoeken zijn doorgaans gericht op betrouwbaarheid, doeltreffendheid en doelmatigheid van de departementale processen en technische infrastructuren. De interne auditfunctie is één van de actoren binnen het stelsel van interne beheersing binnen het Rijk. In de Comptabiliteitswet staat dat de interne auditfunctie aanvullend is ten opzichte van de interne beheersingsmaatregelen die de ministers zelf treffen. Dit betekent dus dat de ADR voor wat betreft deze taak, in de derde lijn is gepositioneerd. De ADR tracht
6
In die hoedanigheid is de ADR (Auditdienst Rijk, 2014): auditautoriteit voor de Europese structuurfondsen, het Europees Visserijfonds en de Europese migratiefondsen; certificerende instantie voor de Europese landbouwfondsen; dienst die verantwoordelijk is voor de controle van de aan de Europese Unie af te dragen eigen middelen; dienst die controlerende activiteiten verricht op het terrein van het Europees Globaliseringsfonds, de kaderprogramma’s voor onderzoek en technologische ontwikkeling, het Europees Burgerinitiatief en het programma ‘Life Long Learning’.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
afspraken met de departementen te maken over het uitvoeren van interne controles binnen het ministerie en over het aanleveren van informatie door gecontroleerde diensten (‘prepared bij client’). Hiermee benadrukt de ADR de verantwoordelijkheid van de ministeries voor de eerste en tweede lijn, opdat zij zich kan concentreren op de derde lijn. De vierde lijn wordt ingevuld door de Algemene Rekenkamer. De uitkomsten van de werkzaamheden die de ADR uitvoert in de functie van auditautoriteit van de EU-structuurfondsen en certificerende instantie voor de EU-landbouwfondsen, worden door de ADR gerapporteerd aan de Europese Commissie. De Europese Commissie beoordeelt, met desk reviews en bezoeken in de lidstaat Nederland, of zij kan steunen op de verklaringen en rapportages van de ADR. De ADR verricht dus in feite voorwerk voor de Europese Commissie en bevinden zich daarmee tussen de derde en vierde lijn. De vraaggestuurde opdrachten zijn niet duidelijk in een bepaalde lijn te plaatsen. De opdrachten zijn erg divers. De meeste opdrachten lijken in de derde lijn te vallen, maar er zijn ook opdrachten die eerder in de tweede lijn onder te brengen zijn en opdrachten die niet direct betrekking hebben op auditwerkzaamheden en daarmee buiten het three lines of defence model lijken te vallen. Voor wat betreft de governancerollen toezicht, inzicht en vooruitzien geeft de ADR aan dat de toezichtsrol met name van toepassing is bij de wettelijke taak (het afgeven van de interne controleverklaringen) en als EU-controleautoriteit voor de Europese Commissie. Bij de vraaggestuurde opdrachten gaat het vooral om inzicht geven. Ook door vergelijkingen over verschillende departementen heen te maken. Herkenbaarheid van de producten/diensten De ADR onderscheidt controleopdrachten, onderzoeksopdrachten en adviesopdrachten. De ADR levert zowel gestandaardiseerde audits als maatwerk audits. De controleopdracht (controleren van de financiële verantwoordingsinformatie in het jaarverslag) en de onderzoeksopdrachten vallen onder de zogenaamde wettelijke taak van de ADR. De exacte vraagstelling, het te hanteren normenkader en de wijze van dataverzameling zijn voor een groot gedeelte vastgelegd in wetgeving en daarvan afgeleide regelingen/voorschriften van het ministerie van Financiën. Het betreffen dus hoofdzakelijk gestandaardiseerde audits. De eerder genoemde ‘adviesopdrachten’ worden bij de ADR ook wel ‘vraaggestuurde opdrachten’ genoemd. Dit als onderscheid ten opzichte van de werkzaamheden die voortvloeien uit de wettelijke taak. Voor de vraaggestuurde opdrachten liggen de vraagstelling, het te hanteren auditontwerp en normenkader waaraan getoetst wordt niet vast. Hier bestaat de mogelijkheid om, in overleg met de opdrachtgever, maatwerk te leveren. Er wordt niet altijd getoetst aan heldere normen. Er wordt meestal wel met een referentiekader gewerkt. De ADR probeert ook rijksbreed vergelijkingen te maken om de resultaten van uitgevoerde opdrachten in een (rijksbrede) context te kunnen plaatsen. Het vergelijken van onderzoeksresultaten vereist dat met eenzelfde vraagstelling en referentiekader wordt
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
gewerkt. Dit betekent dat er geen sprake meer kan zijn van echt maatwerk per departement. Daarentegen kan er wel sprake zijn van een voor het Rijk op maat gemaakt referentiekader. De ADR kent een breed palet aan audits, maar dit palet is weinig overzichtelijk. Er ontbreekt een heldere indeling van het palet. De basisindeling die de ADR hanteert bestaat uit financial audits, IT-audits en operational audits (dus een disciplinegerichte indeling). Binnen (of haaks op) deze basisindeling worden onderscheiden (niet uitputtend): risicosignalerende audits, audits naar beleidsvormig en –uitvoering, beheer of bedrijfsvoering, audits naar (grote) projecten, gedragsaudits. Het is een opsomming van een grote variëteit aan mogelijke audits waarbij de structuur niet direct duidelijk is. Een ‘audit naar grote projecten’ is van een geheel andere orde (qua indeling) dan een ‘gedragsaudit’. Daarnaast speelt de indeling tussen werkzaamheden voortvloeiend uit de wettelijke taak en vraaggestuurde opdrachten. De indeling in financial audits, compliance audits, performance audits en systeemaudits wordt niet gebruikt. Zoals eerder aangegeven gaat het bij de vraaggestuurde opdrachten vaak om maatwerkaudits. Daarbij kan aan de ‘voorkant’ advies worden gegeven bij het formuleren van de onderzoeksvragen en het opstellen van een normenkader, maar dit wordt door de ADR niet direct als zodanig genoemd/herkend. Daarnaast worden soms adviezen gegeven op basis van uitgevoerde opdrachten. De ADR verstrekt dus uitsluitend advies op basis van onderzoek. De afnemers van de producten en diensten Volgens Van Zanen (2012) vervult binnen het Rijk de Auditdienst Rijk (ADR) de rol van interne auditor, die ten behoeve van de departementsleiding haar werkzaamheden verricht. De departementale leiding van een departement (de minister) is daarmee de opdrachtgever van (audit)werkzaamheden van de ADR. Wanneer naar het auditcharter van de ADR wordt gekeken, lijkt dit niet te gelden voor veel werkzaamheden die vallen onder de zogenaamde wettelijke taak. In het auditcharter staat namelijk dat opdrachtgevende ministeries maar beperkt invloed kunnen uitoefenen op de jaarlijks terugkerende producten die zijn voorgeschreven door de Comptabiliteitswet en onderliggende regelgeving. De rapportages worden wel opgeleverd aan de minister van het betreffende departement. De ministers zijn dus wel de ontvanger van de producten/diensten, maar het opdrachtgeverschap lijkt toch meer bij de minister van Financiën te liggen. Maar is de opdrachtgever dan een externe partij (buiten het departement) of niet ( binnen Rijk)? In haar jaarplan (Auditdienst Rijk, 2014) maakt de ADR onderscheid tussen de vaste vraag en de variabele vraag. De vaste vraag bestaat voor een belangrijk deel uit werkzaamheden die vallen onder de zogenaamde wettelijke taak. De uren voor de vaste vraag worden ingezet op basis van een ADR-brede afweging. Er vindt geen discussie meer plaats met individuele departementen over in te zetten uren voor deze vaste vraag. Dit sluit aan op de eerdere opmerking dat de afzonderlijke ministeries in de praktijk eigenlijk geen opdrachtgever voor deze wettelijke taak zijn (wel ontvanger van de resultaten van de opdracht). In plaats daarvan spitst de discussie met departementen zich toe op de inhoud van de variabele vraag. De opdrachtgevers en afnemers van de variabele vraag zijn dus de afzonderlijke departementen. Formele opdrachtgever voor de variabele vraag is de minister. In de praktijk
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
zijn vooral de secretaris-generaal, directeuren-generaal en in een enkel geval directeuren opdrachtgever en afnemer van de producten. Naast de opdrachtverstrekking door de afzonderlijke ministers en de opdrachtverstrekking door de minister van Financiën voor de wettelijke taak, loopt er ook een aansturingslijn via het zogenaamde Secretarissen-Generaal Overleg (SGO). Dit is een overlegverband van alle secretarissen-generaal van de ministeries. Het SGO oefent toezicht uit op de ADRorganisatie. Het SGO heeft daarvoor een aparte SGO-cie opgesteld (bestaande uit 3 SG’s). De SGO-cie spreekt met de directeur ADR over koers/richting van de ADR-organisatie. De SGOcie is het voorportaal voor het SGO. De directeur ADR licht in het SGO toe wat de ADR doet en gaat doen (eerder afgestemd in SGO-cie) en schetst de beelden die de ADR op basis van haar onderzoek heeft over hoe de Rijksdienst er voor staat. In de SGO-cie en in de SG-cie wordt ook het jaarplan van de ADR besproken. In het SGO wordt ook gesproken over het uitvoeren van rijksbrede onderzoeken (door de ADR). Vaak is dan een minister (bijvoorbeeld de minister van Binnenlandse Zaken en Koninkrijksrelaties) de formele opdrachtgever. De rijksbrede onderzoeken en de taak van het SGO (en de SGO-cie) verhouden zich moeilijk met het uitgangspunt dat de departementsleiding (de minister) de opdrachtgever is voor onderzoeken binnen zijn ministerie. De ADR voert opdrachten uit voor de SG of DG’s van een ministerie (te kenschetsen als een niveau boven het verantwoordelijke management) en in enkele gevallen voor directeuren (direct verantwoordelijk management). Daarnaast voert de ADR rijksbrede opdrachten uit. Het opdrachtgeverschap ligt dan vaak bij een SG of DG, maar de inhoud van de opdracht strekt zich uit over meerdere (en dus andere) ministeries. Het is een externe opdrachtgever voor een ministerie, maar tegelijkertijd een interne opdrachtgever binnen het Rijk. En wanneer de invloed van het SGO op de auditplanning groot is, dan lijkt het SGO eveneens een externe opdrachtgever voor een minister, maar een interne opdrachtgever binnen het Rijk. Het is in dit geval een beetje hinken op twee gedachten. Kennis en kunde Naast mensen met specifieke auditkennis heeft de ADR mensen met andere achtergronden in dienst zoals organisatiekundigen, bestuurskundigen etc. Door de omvang van de dienst is het mogelijk om met verschillende specialismen te werken, de omvang van de dienst biedt meer mogelijkheden voor ‘de juiste mens op de juiste plaats’ dan voorheen het geval was (met departementale auditdiensten). Qua vaardigheden hecht de ADR veel waarde aan communicatie. Het wordt gezien als het meest krachtige instrument (naast auditing). Communicatie wordt gezien als het middel om de producten naar de opdrachtgevers te brengen. Daar besteedt de ADR expliciet aandacht aan. De ADR hanteert discipline gebonden namen: financial audits, IT-audits en operational audits. Veel auditors beschikken over een (post) academische opleiding op het gebied van auditing en staan ingeschreven in het beroepsregister. Daarnaast is de ADR groepslid van het IIA.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Een deel van de onderzoeken en controles die de ADR uitvoert (de zogenaamde wettelijke taak), moeten volgens de Comptabiliteitswet worden uitgevoerd onder verantwoordelijkheid van een accountant (RA). Concurrenten van de auditfunctie De niet-wettelijke taken (de zogenaamde adviesopdrachten) zijn niet strikt voorbehouden aan de ADR. Ook andere onderzoekers of onderzoeksinstellingen met expertise op het gebied van audits kunnen daarmee worden belast. Toch heeft de ADR niet de beleving dat er sprake is van concurrentie van derden. Als een belangrijke voorsprong op externen ziet de ADR dat zij kennis heeft van de Rijksdienst. Die kennis gaat volgens de directeur ADR verder dan ‘knowing the bussines’. ‘De ADR beschikt over een institutioneel geheugen en heeft geen kennisachterstand op de organisatie.‘ Overigens zijn er wel situaties denkbaar waarbij de ADR er de voorkeur aan geeft dat externen een interne opdracht uitvoeren, bijvoorbeeld situaties waarbij de ADR de schijn van belangenverstrengeling tegen zich heeft. Dit ziet de ADR echter niet als concurrentie. Ook wat betreft werkzaamheden die voortvloeien uit de wettelijke taak, ziet de ADR geen concurrentie. Ook hier geldt immers dat de ADR, in tegenstelling tot externe accountantskantoren, kennis heeft van de Rijksdienst. Ook de Algemene Rekenkamer (ARK) wordt niet als een concurrent gezien. ‘De ARK heeft een andere (staatsrechtelijke) rol en positie dan de ADR. De ADR heeft een interne rol ten behoeve van de departementsleiding (Minister) en is daardoor onderdeel van het systeem binnen een departement, ingericht om ervoor te zorgen dat de Minister te allen tijden juiste en volledige informatie aan de Tweede Kamer verstrekt. De Algemene Rekenkamer (ARK) vervult de externe auditfunctie bij het Rijk. Zij controleert ten behoeve van de Tweede Kamer of de uitgaven van de rijksoverheid rechtmatig en doelmatig zijn’ (van Zanen, 2012). De Tweede Kamer is dus de opdrachtgever van werkzaamheden van de ARK. De Algemene Rekenkamer keurt jaarlijks de Rijksrekening goed. De Tweede Kamer gebruikt de rapportage van de Rekenkamer om haar controlerende rol ten opzichte van de Regering invulling te geven. De controle van de financiële verantwoording is wel een bijzonder proces ‘omdat bij beide organisaties het te controleren object – en de daarbij behorende normatiek – gelijk is’ (van Zanen 2012).
Eenheid Audit en Advies provincie Zuid-Holland Inleiding De Eenheid Audit en Advies (EAA) is de interne auditdienst van de provincie Zuid-Holland. EAA verricht haar werkzaamheden ten behoeve van Gedeputeerde Staten en het lijnmanagement. EAA is rechtstreeks geplaatst onder de provinciesecretaris. Toegevoegde waarde De toegevoegde waarde van de Eenheid Audit en Advies Provincie Zuid Holland (EAA) wordt omschreven als ‘het leveren van een bijdrage aan de verbetering van de bedrijfsvoering door © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
het doen van onderzoek en het uitbrengen van advies’. EAA ontleent haar gezag aan onderbouwde oordelen uit onderzoek. De onderzoeksresultaten en daarop gebaseerde adviezen zorgen er voor dat zaken op de agenda van het management komen te staan. Als het gaat om toegevoegde waarde van de EAA wordt niet gesproken in termen van ‘aanvullende zekerheid’. Object van onderzoek is de interne beheersing, de beheersing van de bedrijfsvoering. Wanneer wordt gekeken naar het jaarlijkse onderzoeksplan, dan blijkt dat interne beheersing breed wordt opgevat. De invulling van het begrip interne beheersing is niet begrensd. De Eenheid Audit en Advies (EAA) voert werkzaamheden uit die hoofdzakelijk in de derde lijn liggen. Compliance audits en financial audits worden door een externe accountantsdienst gedaan. Een verbijzonderde interne controleafdeling verricht voorbereidende werkzaamheden voor de externe accountant. Deze voorbereidende werkzaamheden worden volgens de theorie door de derde lijn gedaan. Het lijkt er dan ook op dat de Eenheid Audit en Advies wel gepositioneerd is in de derde lijn, maar dat de scope beperkt is (geen compliance audits en geen financial audits). Er is bij de provincie Zuid Holland geen derde lijn voor wat betreft het uitvoeren van compliance audits en financial audits (incl. het uitvoeren van voorbereidende werkzaamheden voor de externe accountant). Een mogelijke verklaring hiervoor is dat Eenheid Audit en Advies niet is ontwikkeld of anders gezegd niet is geëvolueerd uit een accountantsdienst, wat bij veel andere interne auditdiensten wel het geval is. De Randstedelijke Rekenkamer en de externe accountant vormen de vierde lijn. De EAA faciliteert ook risicoworkshops. Een activiteit die eerder in de tweede dan in de derde lijn past. Wat dit betreft staan ze dus niet buiten de management control cyclus. Er is een strikte scheiding tussen interne en externe auditing. Een externe accountant verricht de jaarrekeningcontrole. EAA houdt zich op geen enkele manier bezig met externe auditing en is ook niet betrokken bij het voorwerk voor de externe accountant. Dit zgn. voorwerk is volledig belegd bij de afdelingen die zich bezig houden met Administratieve Organisatie/Interne Controle (AO/IC). De scheiding is zo ver doorgevoerd, dat de externe accountant niet eens meer bij de auditdienst langs komt om te vragen hoe het staat met de interne beheersing. Dit duidt er op dat de externe accountant een beperkte rolopvatting heeft (alleen maar kijkt naar de financiële documentatie) en dat er geen koppeling is tussen de derde en vierde ‘line of defence’. Voor wat betreft de governancerollen toezicht, inzicht en vooruitzien, richt de Eenheid Audit en Advies (EAA) zich op inzicht en vooruitzien. Zij richt zich niet op toezicht, met uitzondering wellicht van audits in het kader van de klokkenluidersregeling. EAA biedt inzicht in de vormgeving van de beheersing van de bedrijfsvoering. EAA zit bij voorkeur voor in het proces. Vooruitzien komt terug bij het, samen met de directie concernzaken, proberen te signaleren van organisatiebrede risico’s. Herkenbaarheid van de producten/diensten Concrete producten die de Eenheid Audit en Advies(EAA) levert zijn met name onderzoeksrapporten op basis van (met name probleemsignalerende) vragen, gericht op het verkrijgen van inzicht. Het gaat daarbij vaak om onderzoeken naar doelmatigheid, of het proces in voldoende mate wordt beheerst. Daarnaast probeert EAA ook vergelijkingen met © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
andere organisaties mogelijk te maken (benchmarking). Hoewel de EAA probeert maatwerk te leveren, verhoudt zich dit niet altijd met de wens tot benchmarking. Althans niet in de zin dat er een op maat gemaakt normenkader wordt gehanteerd. Recent heeft EAA ervaring opgedaan met apreciative auditing en behavioral auditing. De EAA voert geen financial audits uit. Ze voert evenmin beleidsevaluaties of compliance audits uit ( m.u.v. integriteitsmeldingen m.b.t. klokkenluidersregeling). Wel levert EAA een bijdrage aan beleidsevaluaties, namelijk door beleidsmedewerkers te faciliteren ter voorbereiding op het uitvoeren van beleidsevaluaties. Daarnaast faciliteert de EAA (overige) bijeenkomsten / workshops. De indeling in financial audits, compliance audits, performance audits en systeemaudits wordt niet gebruikt. De auditdienst verstrekt adviezen op basis van onderzoeken die ze heeft gedaan in combinatie met vakkennis. Zo geeft EAA bij onderzoeken vaak adviezen ter verbetering. Afgaand op het feit dat de onderzoeken zich vooral richten op het verkrijgen van inzicht, is er wellicht ook sprake van ‘advies aan de voorkant’, ook al wordt dit niet zo genoemd. Afnemers van de producten en diensten Opdrachtgevers voor de afzonderlijke opdrachten zijn provinciesecretaris, directeuren, afdelingshoofden en in een enkel geval een bureauhoofd. Het opdrachtgeverschap ligt dus bij het management op een niveau boven het verantwoordelijke management of bij de direct verantwoordelijke manager zelf. Onderscheid op basis van kennis en kunde De EAA is een kleine auditdienst (zes auditors). De auditors hebben een achtergrond als psycholoog (tevens jurist), bedrijfscontroller of operational audit (RO). Binnenkort wordt het team versterkt met een IT-auditor (RE). Het hoofd zelf is RO met RA. Medewerkers kennen de organisatie goed. Waar behoefte is aan expertise op het gebied van toetsing van geautomatiseerde processen (EDP-audits) wordt gekeken of samenwerking met de Auditdienst Rijk mogelijk is. Het hoofd van de IAF onderhoudt contact met andere interne auditdiensten via kenniskring auditing decentrale overheden (KADO) en daarnaast ook veel contacten met auditdiensten van andere provincies. Qua vaardigheden worden analytische vaardigheden en met name innoverend vermogen (nieuwe dingen willen en kunnen uitproberen) als belangrijke gezien. Concurrenten van de auditfunctie Concurrenten worden wel gezien, maar niet als bedreigend ervaren. Veel onderzoeken die de EAA uitvoert zouden volgens het hoofd EAA ook door anderen gedaan kunnen worden, bijvoorbeeld door de afdeling PPO (personeel, processen en organisatie). Zo zou onderzoek naar beheersing van processen bij PPO kunnen worden ondergebracht. De auditdienst is betrokken bij risicomanagement (maar concern control heeft hierbij wel de lead). Een externe die (incidenteel) werkzaamheden in de derde lijn zou gaan doen wordt niet als bedreiging gezien. Er wordt juist benadrukt dat het wel goed kan zijn om af en toe met een © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
verse blik naar het geheel te kijken. Voordeel van een externe is dat hij/zij weet hoe het bij andere organisaties zit. Compliance audits en financial audits worden door een externe accountantsdienst gedaan. Soms hebben onderwerpen op de shortlist van de Randstedelijke Rekenkamer (jaarlijkse lijst met mogelijke onderwerpen voor een onderzoek) raakvlakken met de programmering van onderzoeken van de EAA. In die gevallen wordt samenwerking gezocht. EAA staat helemaal buiten de financiële auditfunctie, terwijl financial audits wel onderdeel vormen van een interne auditfunctie. In die zin kan de afdeling control als een concurrent worden gezien.
Concern Auditing gemeente Rotterdam Inleiding Concern Auditing (CA) is de interne auditdienst van de gemeente Rotterdam. CA verricht – ten behoeve van het college en het management van de gemeente Rotterdam – audits en brengt adviezen uit. Het motto van CA is: ‘Audits leiden tot verbetering’. CA is rechtstreeks geplaatst onder de gemeentesecretaris. Toegevoegde waarde Concern Auditing Rotterdam (CA) heeft als motto: “audits leiden tot verbetering”. Het gaat dan om het verbeteren van de efficiency, effectiviteit en de interne beheersing van processen, systemen, projecten, programma’s en organisaties. De audits betreffen veelal concernbrede onderwerpen, waar de gemeente risico’s loopt.De nadruk ligt op het vooruit kijken, minder op verantwoording en terugkijkfunctie, met als intentie om het concern Rotterdam beter te laten functioneren. Als het gaat om toegevoegde waarde van CA wordt niet gesproken in termen van ‘aanvullende zekerheid’. Object van onderzoek is de efficiency en effectiviteit van de bedrijfsvoering en de interne beheersing van processen, systemen, projecten, programma’s en organisaties. Het onderzoek richt zich op die onderwerpen, die het concern helpen om in control te komen. CA staat buiten de management control cyclus. Het verricht uitsluitend werkzaamheden die thuis horen in de derde lijn. De inrichting van CA is gebaseerd op het idee van de three lines, maar het is niet helemaal zo doorgevoerd. Wat afwijkt is de lijn die er volgens de theorie is vanuit de derde lijn richting de externe accountant. Concern Auditing heeft echter geen betrokkenheid bij de informatie-uitwisseling richting externe accountant. Voorportaal voor de externe accountant zit nu verweven in de werkzaamheden bij de afdeling interne controle, dus in de tweede lijn. De tweede lijn doet dus het voorwerk voor de vierde lijn. Concern Auditing vervult dus eigenlijk een deel van de derde lijn werkzaamheden. Een ander deel van de derde lijn werkzaamheden wordt door de tweede lijn uitgevoerd. Er is een strikte scheiding tussen interne en externe auditing. Een externe accountant verricht de jaarrekeningcontrole. Het voorwerk voor de externe accountant wordt gedaan door de afdeling interne controle en niet door CA.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Met de uit te voeren audits levert Concern Auditing (CA) een bijdrage aan het vergroten van het inzicht in de belangrijkste risico’s bij de opgaven waar het concern Rotterdam voor staat. Daarbij biedt CA tevens handvatten voor een betere beheersing van de risico’s en verhoging van de slagingskans. CA legt een sterke nadruk op vooruit kijken, en minder op verantwoording en terug kijken. In die zien kun je zeggen dat CA zich ook richt op de governancerol ‘vooruitzien’. Herkenbaarheid van de producten/diensten CA tracht bij het uitvoeren van haar audits zoveel mogelijk maatwerk te leveren, door zich heel specifiek op de gemeentelijke organisatie van de gemeente Rotterdam te richten. De producten/diensten van CA bestaan uit: onderzoeken naar doelmatigheid en interne beheersing, IT-audits (er zijn drie IT-auditors), readyness assesments en organisatiedoorlichtingen. CA doet geen beleidsonderzoeken of beleidsevaluaties en geen financial audits. Overigens worden de werkzaamheden in het jaarplan ingedeeld langs inhoudelijke thema’s. Niet langs vaktechnische auditindelingstermen. De indeling in financial audits, compliance audits, performance audits en systeemaudits wordt niet gebruikt. Concern Auditing verstrekt ook adviezen. Dit gebeurt hoofdzakelijk in het zogenaamde nazorgtraject. Een audit stopt niet op het moment dat er een rapport is opgeleverd. Er is altijd een nazorgtraject aan vastgekoppeld. Dit kan bestaan uit ‘een stukje mee op lopen’, door bijvoorbeeld in een werkgroep plaats te nemen, of uit het organiseren van een workshop of iets dergelijks. Daarnaast levert Concern Auditing ongevraagd advies over ontwikkelingen op het vlak van concernrisico’s binnen de gemeente en de werking van bestaande beheersmaatregelen. Afnemers van de producten en diensten Het auditprogramma wordt vastgesteld door de gemeentesecretaris. Daarmee is de gemeentesecretaris opdrachtgever voor de in het auditprogramma opgenomen onderzoeken. Dus het opdrachtgeverschap berust bij het management een niveau boven het verantwoordelijke management. Uitzondering hierop zijn:
ad hoc opdrachten: niet opgenomen in het auditprogramma, ingegeven door een actuele gebeurtenis. Hierbij kan naast de gemeentesecretaris ook het college van Burgemeester en Wethouders opdrachtgever zijn; audit op verzoek van directeuren van het concern Rotterdam, waarbij een directeur uit het concern de opdrachtgever is (lijnmanagement).
CA rapporteert aan de gemeentesecretaris of, in het geval van ad hoc opdrachten of audits op verzoek, aan de opdrachtgever van de audit. Dus rapportage op alle drie de niveaus is mogelijk: een externe partij (Burgemeester en Wethouders), een niveau boven het verantwoordelijke management (gemeentesecretaris) en de direct verantwoordelijke manager (directeuren).
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Onderscheid op basis van kennis en kunde Bij Concern Auditing werken mensen met kennis op het gebied van personeel en organisatie, financiële specialisten, drie IT-auditors, verschillende RO-auditors en een RA. Medewerkers kennen de organisatie gemeente Rotterdam. Qua eigenschappen vindt Concern Auditing het belangrijk dat auditors nieuwsgierig van aard kunnen zijn. Wanneer bij een specifieke opdracht niet alle benodigde deskundigheid bij CA aanwezig is, worden medewerkers van andere afdelingen ingezet of wordt er een beroep gedaan op medewerking van collega’s bij ACAM (auditdienst Amsterdam). De kracht van een auditteam zit volgens CA in het samenspel van deskundigen. Bij de samenstelling van een auditteam kijkt CA kritisch naar de benodigde kennis en vaardigheden. Zo kan het bijvoorbeeld gebeuren dat iemand met wat meer soft skills achtige kennis aan een IT-auditor wordt gekoppeld om ervoor te zorgen dat er niet alleen wordt gekeken naar de harde kant, maar ook naar de hele context waarbinnen de IT georganiseerd wordt. Door multidisciplinaire teams probeert CA de vraag zo goed mogelijk te beantwoorden. Concurrenten van de auditfunctie Concern Auditing heeft de opvatting dat alle grote kantoren dezelfde werkzaamheden kunnen doen als Concern Auditing. De meerwaarde van CA is echter dat ze, in tegenstelling tot de grote kantoren, het concern Rotterdam kennen. Het auditwerk kan eenvoudig worden uitbesteed. Maar medewerkers van CA worden gevraagd omdat ze weten ‘hoe de hazen lopen’, dat we begrijpen waar gevoeligheden liggen, de mensen kennen, de organisatie kennen, soms ook weten wat ze wel en niet kunnen doen. Zeker met de audits op verzoek is het soms nodig heel snel iets op te leveren. Als een wethouder met een urgent probleem zit, wil hij vandaag of uiterlijk morgen een antwoord. Zo snel kan CA schakelen, wat gezien wordt als een kracht. De gemeente Rotterdam kent een afdeling OBI (Onderzoek en Business Intelligence). Dat is ook een onderzoeksclub, daar zitten echte onderzoekers.Maar die zitten voornamelijk op de beleidsonderzoeken, de beleidseffecten en dat soort zaken. (Ter onderscheid: CA kijkt meer naar de effecten in de organisatie, OBI kijkt meer naar de effecten in de stad). Zoals eerder aangegeven voert CA geen financial audits uit. Financial audits worden op dit moment gedeeltelijk ingevuld door de afdeling interne controle. Hierdoor is een diffuus samenspel ontstaan tussen de interne controle en de financial audits. De accountantstaken zijn extern uitbesteed. De externe accountant communiceert rechtstreeks met de afdeling interne controle en niet met CA. CA staat helemaal buiten de financiële auditfunctie, terwijl het volgens de theorie wel een onderdeel is van een interne auditfunctie. In die zin kan de afdeling interne controle als een concurrent worden gezien. CA benoemt dit zelf niet zo impliciet. CA ziet de Rekenkamer Rotterdam niet als een concurrent. De Rekenkamer rapporteert aan de Gemeenteraad en ze beslissen zelfstandig over hun onderzoeksportefeuille. Dat doet CA
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
niet. CA rapporteert hoogstens aan het College. Achter de schermen proberen CA en de Rekenkamer Rotterdam wel de onderzoeksplannen op elkaar af te stemmen.
Auditdienst ACAM Inleiding Auditdienst ACAM is de interne auditdienst van de gemeente Amsterdam. Auditdienst ACAM is direct gepositioneerd onder de gemeentesecretaris, tevens algemeen directeur van de gemeente. ACAM is rechtstreeks onder de gemeentesecretaris geplaatst. Toegevoegde waarde Auditdienst ACAM geeft aan de gemeenteraad zekerheid over de getrouwheid van de financiële verantwoording en aan het management helderheid en advies over de kwaliteit van de beleids-, uitvoerings- en bedrijfsvoeringsprocessen. Daarnaast geeft ACAM zekerheid over de rechtmatigheid van activiteiten. Voor de jaarrekeningcontrole is het object van onderzoek de jaarrekening (de gemeenterekening), het financieel beheer en de rechtmatigheid. Voor de interne functie is het object in brede zin de beheersing vormgegeven in de eerste en tweede lijn, waarbij wordt gekeken naar sturing, beheersing en verantwoording. Auditdienst ACAM staat buiten de management control cyclus. De gemeente Amsterdam kent een model dat gebaseerd is op de ‘three lines of defence’, ‘waarin decentrale control, concerncontrol en concernaudit als drie na elkaar volgende niveaus worden onderscheiden en als geheel een compleet intern stelsel van beheersing vormen’ (Notitie: verbetering van het interne stelsel van beheersing). Niveau vier is het laatste niveau en wordt gevormd door de jaarrekeningcontrole. Niveau vier is naar zijn aard geen onderdeel van de interne beheersing, waar niveaus één tot en met drie dat wel zijn. De directeur van auditdienst ACAM is tevens de externe accountant van de gemeente Amsterdam. Ze is als gemeenteaccountant benoemd door de Raad en door de Raad gedetacheerd naar het concern om leiding te geven aan auditdienst ACAM. ACAM vormt de derde en vierde lijn. ACAM doet geen dingen die vallen in de eerste of tweede lijn. ACAM hecht aan haar onafhankelijkheid die niet ter discussie mag staan, zij voert daarom geen opdrachten uit die in de eerste of tweede lijn vallen. ACAM tracht daarbij de eerste en tweede lijn te helpen (en deels op te voeden) om hun rol goed in te vullen. In de communicatie tracht auditdienst ACAM heel duidelijk het verschil tussen het concern auditprogramma en de managementletter te hanteren. De managementletter is, in tegenstelling tot het concern auditprogramma, gebaseerd op de jaarrekeningcontrole. Wanneer wordt gekeken vanuit degovernancerollen toezicht, inzicht en vooruitzien, dan richt de jaarrekeningcontrole richt zich op toezicht. De interne taak richt zich zowel op toezicht als op inzicht. ACAM kijkt naar de opzet, bestaan en werking van de eerste en tweede lijn, maar ook naar compliancy (of er wordt voldaan aan (interne) regels). Deze activiteiten lijken vooral gericht op toezicht. Met bijvoorbeeld een lerend onderzoek naar een business case wordt invulling gegeven aan ‘inzicht’: wat kan de organisatie hieruit leren, wat zijn faalactoren, wat zijn kritische succesactoren en welke aanbevelingen vloeien er uit © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
voort. ACAM richt zich niet op het actief signaleren van trends. Wel voert ACAM zogenaamde readiness onderzoeken7 uit bij belangrijke implementaties, waarin elementen zitten van vooruitzien. Herkenbaarheid van de producten/diensten ACAM onderscheidt twee verschillende producten: werkzaamheden verbonden aan de wettelijke taak (het accountantsrapport, de verklaring, de managementletter) en de overige opdrachten. Bij de overige opdrachten gaat het om opdrachten die zijn vastgelegd in het Concern Auditprogramma of overige vraaggestuurde opdrachten. De wettelijke controletaak bestaat uit gestandaardiseerde audits. De overige opdrachten kunnen zowel maatwerkaudits als gestandaardiseerde audits zijn. Het maatwerk bestaat er uit dat ACAM kijkt wel soort/type onderzoek het beste past bij de vraag. Voor het normenkader worden vaak de NV COS8 normen gebruikt. ACAM onderkent drie kennisgebieden: inrichting en beheersing; verantwoording; programma’s en projecten; processen en systemen; informatievoorziening en ICT. Daarbinnen worden o.a. de volgende typen audits uitgevoerd: governanceaudits, projectaudits, procesaudits/systeemaudits, financial audits, ICT audits, readinessaudits, lerend onderzoek, signalerend onderzoek, compliance audits. De indeling in financial audits, compliance audits, performance audits en systeemaudits wordt niet gebruikt. ACAM voert geen adviesopdrachten uit in de zin van meewerken, meedenken en doen. ACAM denkt of helpt niet mee om bijvoorbeeld een proces te beschrijven. ACAM doet alles op basis van onderzoeken/audits, maar probeert daarbij wel elk onderzoek te laten eindigen in een goed advies. Afnemers van de producten en diensten De rekeningencommissie van de gemeenteraad is voor de jaarrekeningcontrole de opdrachtgever van de gemeenteaccountant. De gemeenteraad is de afnemer van de accountantsrapporten die te maken hebben met de jaarrekening. De managementletter (de managementletter richt zich op bevindingen voor de jaarrekeningcontrole met de eventuele zorgen die ACAM daarover heeft) gaat formeel naar het college. Daarnaast krijgt ook de ambtelijke top de managementletter. In de praktijk zal de gemeentesecretaris het meeste doen met de managementletter. Auditdienst ACAM voert naast de controle van de jaarrekeningen, ook audittaken in brede zin uit ten behoeve van het College van Burgemeester en Wethouders. De auditrapporten die hieruit voortkomen gaan naar de auditcommissie en naar de eerste en tweede lijn. Opdrachtgever voor de ‘overige opdrachten’ zijn het management van organisatie-eenheden van de gemeente of van aan de gemeente verbonden partijen.
7
Een onderzoek waarbij wordt gekeken of de organisatie klaar is voor de implementatie van een project, systeem o.i.d.
8
NV COS: Nadere voorschriften controle- en overige standaarden, zoals vastgesteld door de NBA en goedgekeurd door de minister van Financiën.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
ACAM kent dus een externe partij (de Gemeenteraad), een niveau boven het direct verantwoordelijk management (B&W, gemeentesecretaris) en de direct verantwoordelijke manager (het management van organisatie-eenheden) als opdrachtgever. Onderscheid op basis van kennis en kunde De nadruk ligt bij ACAM op de auditkennis. Daarnaast is kennis van de organisatie van de gemeente Amsterdam en specifieke regelgeving voor gemeenten belangrijk; wat zijn de regels en procedures, hoe werkt het binnen de gemeente. ACAM is van oorsprong een accountantsorganisatie en is zich nu aan het verbreden. Er was al wel een kleine tak IT-audit. Het is de bedoeling de komende tijd meer kennis over IT-audit en operational audit aan te trekken. Medewerkers bij ACAM moeten vanaf een bepaald niveau over een R-opleiding (RA, RE, RO) beschikken. In het functiegebouw is de doorgroei gekoppeld aan opleiding. Medewerkers die bevorderd willen worden naar een volgende functiegroep, moeten aan de opleidingseisen voldoen. Auditmanagers moeten bij ACAM een R-titel hebben. Dit omdat er een tekeningsbevoegdheid aan vast zit (een mandaat). Concurrenten van de auditfunctie ACAM kiest er soms voor om een onderzoek over te laten aan een extern bureau. ACAM heeft een hele beperkte capaciteit aan mensen en middelen en soms is het gewoon niet handig om een onderzoek op te pakken: omdat ACAM het niet goed kan of omdat het politiek niet handig is (risico op politieke discussies). Bij een paar grote diensten zit er ook een auditfunctie binnen de dienst, maar die verrichten volgens ACAM vooral interne controle werkzaamheden. Bijv. door na te gaan of wordt voldaan aan de inkoop- en aanbestedingsregels. ACAM maakt dan gebruik van de resultaten van die werkzaamheden. Dergelijke afdelingen noemen hun werkzaamheden auditing, maar de directeur ACAM zou ze eerder rangschikken onder interne controle. Ook worden er rechtmatigheidscontroles op de uitkeringen uitgevoerd door een interne auditfunctie binnen een dienst. Ook zij noemen zich auditors, maar de directeur ACAM ziet het meer als interne controle. ACAM ervaart niet zozeer concurrentie vanuit onderzoeksbureaus. ACAM houdt zich maar heel beperkt bezig met effectiviteitsonderzoeken e.d. ACAM zit nog vooral in de financiële hoek. Voor de buitenwereld zijn ze volgens ACAM nog echt ‘de accountant’. ACAM vervult vooral een rol als externe auditfunctie. ACAM ervaart evenmin concurrentie voor haar wettelijke taak. Medewerkers van ACAM weten veel meer van de hoed en de rand. Mede door de ondersteuning van de interne opdrachten en door werkzaamheden die ACAM intern doet. Dit maakt ACAM volgens haar directeur inhoudelijk beter (diepgaander) dan een externe accountant. ‘De toegevoegde waarde is dat ACAM weet hoe dingen lopen binnen de gemeente, weet hoe dingen werken, op de hoogte zijn van de laatste ontwikkelingen, sneller dingen kunnen signaleren voor zowel het concern als voor de Raad, dingen kunnen voorkomen. Dit is zo ingewikkeld, dat kan een externe accountant op afstand minder goed.’
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Bijlage 4 – Verantwoording en terugblik Afwijkingen t.o.v. het onderzoeksontwerp. Het onderzoek wijkt op een aantal punten af van het oorspronkelijke onderzoeksontwerp. Ik licht dit met behulp van een vergelijking van het onderzoeksmodel zoals dat in het onderzoeksontwerp staat en het definitieve onderzoeksmodel dat uiteindelijk de basis voor het onderzoek is geweest. Audittheorie
Vaktechnische discussies
Theorieën over positionering
Handvatten voor positionering vanuit de audittheorie Theoretische positionering(sruimte) Wet- en regelgeving, kabinetsstandpunten en correspondentie van bewindslieden over rol, taken en functie centrale auditdienst
Inzicht in positionering(sruimte) centrale auditdienst Reflectie op resultaat
Verwachtingen stakeholders
Onderzoeksmodel uit onderzoeksontwerp
Reactie directeuren Auditdienst Rijk op onderzoeksresultaat.
Een belangrijke afwijking is dat ik de wet- en regelgeving, kabinetsstandpunten en correspondentie van bewindslieden over rol, taken en functie van de centrale auditdienst van het Rijk niet uitgebreid heb bestudeerd. Ik heb er wel kennis van genomen, maar het uiteindelijk maar zeer beperkt meegenomen in mijn onderzoek. Reden hiervoor is dat betreffende bronnen wel een zekere verklaring geven voor de wijze van ophanging en opereren van de Auditdienst Rijk (ADR), maar dat het weinig zegt over de theoretische positionering(sruimte). Alleen de Comptabiliteitswet en de Hoofdlijnennotitie geven een zekere inkadering en die heb ik uiteindelijk meegenomen bij het in beeld brengen van de positionering van de ADR in de praktijk. Een andere afwijking is dat ik me bij de confrontatie tussen verwachtingen van stakeholders en de handvatten voor positionering vanuit de audittheorie heb beperkt tot stakeholders van de ADR. Een reden hiervoor is dat ik verwachtte dat het praktisch erg lastig zou zijn om stakeholders van de verschillende auditdiensten te spreken. Het spreken van stakeholders van de ADR is, doordat ik zelf werkzaam ben bij de ADR, wat gemakkelijker te regelen. Een andere reden is dat er voor mijn gevoel iets ontbrak wanneer ik wel naar de verwachtingen © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
van stakeholders zou kijken (door hen te interviewen) en niet de directeuren/hoofden van de auditdiensten zou spreken. Bovendien vond ik het niet gepast richting de auditdiensten om een rapport (dit referaat) te schrijven over de positioneringsruimte van een drietal auditdiensten zonder die diensten gelegenheid te geven zelf hier ook iets over te kunnen opmerken. Zowel stakeholders als hoofden van vier auditdiensten interviewen zou echter erg veel tijd kosten en om die reden heb ik daar dan ook van af gezien. In plaats van te spreken met de stakeholders, heb ik gesprekken gevoerd met vier directeuren/hoofden van centrale interne auditdiensten (van het Rijk, de provincie ZuidHolland, de gemeente Amsterdam en de gemeente Rotterdam). Op die manier kon ik een vergelijking maken tussen de handvatten voor positionering vanuit de theorie en de daadwerkelijke positionering van de vier auditdiensten volgens de directeuren/hoofden. Daarnaast heb ik zes stakeholders van de ADR geïnterviewd. Hierdoor kon ik een vergelijking maken tussen de verwachtingen van de stakeholders van de ADR en de theoretische handvatten voor positionering. Aan het eind van mijn onderzoek kon ik tot slot een analyse maken van de positionering van de ADR volgens de theorie (handvatten uit de audittheorie), de praktijk (gesprekken directeuren/hoofden) en de verwachtingen (gesprekken stakeholders). Door bovenstaande wijzigingen in de onderzoeksopzet heb ik meer aandacht besteed aan de feitelijke positionering van de vier auditdiensten en minder aan de verwachtingen van stakeholders. In het oorspronkelijke onderzoeksmodel stond een reactie van een aantal directeuren van de Auditdienst Rijk op de verwachtingen van stakeholders. Belangrijkste reden om dit niet in dit onderzoek mee te nemen is dat ik een dergelijke reactie te gevoelig kan zijn om in dit referaat op te nemen. Anders gezegd: een reactie van directeuren van de ADR op de verwachtingen van stakeholders kan politiek/bestuurlijk te gevoelig zijn om op te nemen in een (openbaar) referaat. Op de volgende pagina staat het uiteindelijk gehanteerde onderzoeksmodel met een toelichting.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Verwachtingen stakeholders Auditdienst Rijk
Audittheorie
Vaktechnische documenten
Aspecten van positionering
(a)
Handvatten voor positionering vanuit de theorie (hoofdstuk 2)
Invulling van de positionering van de centrale interne auditfunctie in de praktijk (ADR, 2 gemeenten en een provincie) (b)
Analyse positionering theorie versus verwachtingen stakeholders (hoofdstuk 4)
Analyse positionering centrale auditfunctie theorie versus praktijk (hoofdstuk 3).
(c)
Analyse positionering centrale auditfunctie: theorie, praktijk en verwachtingen stakeholders (hoofdstuk 5)
(d)
Uiteindelijk gehanteerd onderzoeksmodel Toelichting op het onderzoeksmodel. (a) Een analyse van de audittheorie, in het licht van aanknopingspunten voor de positionering van een auditdienst in het publieke domein, levert theoretische handvatten op voor de positionering (b.) Een inventarisatie van de daadwerkelijke positionering van de interne auditfunctie in de praktijk maakt een vergelijking tussen beide mogelijk. Dat biedt inzicht in de mate waarin de theoretische handvatten en de positionering in de praktijk op elkaar aansluiten (c). Door de positionering eveneens te toetsen aan verwachtingen en ideeën van stakeholders van de Auditdienst Rijk ontstaat (c) inzicht in de mate waarin de theoretische handvatten en de ideeën en verwachtingen van stakeholders op elkaar aansluiten. Vervolgens kan een analyse worden gedaan op overeenkomsten en verschillen tussen theorie, verwachtingen en praktijk (d). Analyse De analyse van de documenten en de interviewverslagen was niet eenvoudig. Bij het theoretisch kader werd dit veroorzaakt door het feit dat de mogelijkheden voor positionering soms onuitputtelijk lijken. In die zin dat er geen overeenstemming is over de ‘grenzen’ van het vakgebied. Het was daarom lastig om kaders voor positionering vast te stellen (theoretische kaders). Deze diversiteit in mogelijkheden werkte door in de interviews met directeuren/hoofden van auditdiensten en met stakeholders. © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Atzema, G., Afstudeeropdracht Internal Auditing & Advisory, ESAA, 2015
Bij het theoretisch kader heb ik geprobeerd toch wat kaders aan te geven met behulp van de zogenaamde’rode draad’. Bij de analyse van de interviewverslagen heb ik hier zoveel mogelijk aan vast gehouden. Wat ik bij nader inzien beter anders had kunnen doen zijn de vragen die ik aan directeuren/hoofden en stakeholders heb voorgelegd. In de interviews ben ik op de verschillende dimensies van positionering ingegaan en heb daarbij zo goed mogelijk die dingen er uit gehaald die in het theoretisch kader terug kwamen. De vraagstelling was redelijk open. Bij nader inzien heb ik af en toe te weinig doorgevraagd. Bij nader inzien had ik de vraagstelling meer gesloten moeten maken en daarbij dan steeds om een toelichting moeten vragen. Ook heb ik achteraf te weinig doorgevraagd. Wellicht ben ik soms te weinig kritisch geweest. Met een meer gesloten vraagstelling aangevuld met een toelichting, was de vergelijking tussen theoretisch kader en de praktijk gemakkelijker te maken geweest. Bovendien had ik dan meer geweten over de motivering waarom bepaalde keuzes zijn gemaakt. Terugblik De gesprekken met de directeuren/hoofden van de auditdiensten hebben waardevolle informatie opgeleverd, maar ik heb die informatie maar zeer beperkt kunnen verifiëren. Ik heb niet gevraagd naar schriftelijke documenten die de door hen verstrekte informatie ondersteunen/bevestigen. Het risico is dat er af en toe gewenste antwoorden zijn gegeven, ook al verliepen de gesprekken op een prettige manier en in een open sfeer (voor zover ik dat heb kunnen inschatten). Iets vergelijkbaars geldt voor de gesprekken met stakeholders. Sommige gesprekken met stakeholders waren heel open. Bij andere gesprekken had ik de indruk dat er af en toe enigszins strategische antwoorden werden gegeven. Dit kun je niet voorkomen. Maar je kunt het in sommige gevallen eerder herkennen en hard maken, wanneer je de antwoorden van de stakeholders zou verifiëren met schriftelijke documenten. Omwille van de tijd heb ik dat niet gedaan. Nu het onderzoeksresultaat er ligt ben ik benieuwd hoe de directie van de ADR daar tegen aan kijkt. Zoals eerder in deze bijlage aangegeven heb ik dit bewust buiten het onderzoek gelaten, maar ik ga zeker proberen om het resultaat geagendeerd te krijgen in de vergadering van het managementteam van de ADR.
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl