FINANCE
&
CONTROL
Auditing
Richtlijnen en randvoor w aard en
ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN Veel organisaties zien zich dezer dagen genoodzaakt hun strategie te herzien en de organisatieprocessen en -systemen aan te passen. Deze veranderingen worden vaak geïmplementeerd via programma’s en projecten. Welke rol spelen auditor en controller bij dergelijke grote projecten? De auteur gaat in dit artikel op zoek naar de rol van de internal auditor hierbij, zijn onafhankelijke positie en naar hoe deze rol zich verhoudt tot die van de financieel controller. D OO R S A M H U I B E R S
A
an de hand van het zogenaamde lines of defense-model zal ik het verschil in de rolverdeling en verantwoordelijkheidsgebieden van de financieel controller en de internal auditor in perspectief zetten (zie figuur 1). Een eerste uitgangspunt is dat het management uiteindelijk primair verantwoordelijk is voor een project of programma, in de hoedanigheid van projectsponsor, stuurgroep en/of proceseigenaar. Taken kunnen worden gedelegeerd aan een projectmanager, die binnen de overeengekomen doelstellingen en tijdslijnen, met de beschikbaar gestelde middelen (zoals budget en mankracht), verantwoording aflegt aan de opdrachtgever c.q. stuurgroep. In het lines of defense-model is de eerste lijn aangeduid als first line of defense. Het lijnmanagement en de projectmanager zijn daarbij in de eerste plaats verantwoordelijk voor het treffen van adequate beheersmaatregelen, zoals het invullen van de quality assurance-rol in de projectinrichting, met de daarbij behorende processen. De financieel controller kan daarbij een essentiële rol vervullen in de directe ondersteuning van de projectmanager, bijvoorbeeld aan de hand van het opzetten van een goede financiële projectinrichting en het bewaken van de
projectbudgetten. Daarnaast kan de financieel controller een businesspartnerrol hebben om de opdrachtgever van het project te ondersteunen bij het opstellen van de businesscase en het monitoren van de realisatie ervan.
De internal auditor zou terughoudend moeten zijn met deelname aan stuurgroepbijeenkomsten De tweede lijn in het model (second line of defense) zijn ondersteunende afdelingen op het gebied van governancegerelateerde werkzaamheden, zoals de afdelingen Compliance, Risk Assessment en Internal Control. In veel ondernemingen bestaan hiervoor geen separate afdelingen en kan de controller een belangrijke bijdrage leveren vanuit zijn inhoudelijke competenties en kennis van de businessprocessen. Zo kan hij bijvoorbeeld een internal-control design maken (met geautoma-
OKTOB E R 2009
22856-5_FC 0509_bw.indd 7
|
7
13-10-2009 08:46:21
FINANCE
&
CONTROL
Organisatie
[III-DEP]
1e line of defense
2e line of defense
3e line of defense
1 Organisatieniveau
Vaststellen governancestructuur, rollen en inrichting lines of defense [DEP 3.1]
IT audit Lijnmanagement Projectmanagement
Risk & Compliance
Internal audit (IA)
Internal Control
Financiële di audit Programma/projectniveau
Portfolio Programma’s g Projecten 2 Toewijzen rollen aan afgevaardigden van verschillende [DEP 3.2] governance departments
Figuur 1 Lines of defense-model
tiseerde beheersmaatregelen, procedures, autorisaties, etc.) in een business process redesign-project. In deze ondersteunende rol aan de opdrachtgever of projectmanager kan ook business control als een tweede line of defense worden beschouwd. Internal audit is de derde line of defense en biedt aanvullende zekerheid over de activiteiten van de eerste en tweede lijn. Hierna ga ik in op de vraag hoe de internal auditor toegevoegde waarde kan hebben in projecten en een proactieve rol kan vervullen zonder zijn onafhankelijke positie uit het oog te verliezen. Om het model te complementeren kan de externe auditor als een vierde line of defense worden beschouwd. Rol internal auditor in projecten Vraag van de business controller aan de internal auditor in een bespreking over de projectinrichting van een groot managementinformatievoorzieningsproject: ‘Wat kan internal audit nu betekenen in dit project, behalve dat we achteraf te horen krijgen dat we de beheersmaatregelen in het rapportageproces anders hadden moeten inrichten en we een jaar verder zijn?’ Oorspronkelijk richtte de rol van de internal auditor zich op de betrouwbaarheid van de financiële rapportage. Medio jaren tachtig ontstond een trend naar de uitbreiding van de 8
22856-5_FC 0509_bw.indd 8
reikwijdte van de activiteiten gericht op de effectiviteit van de interne operationele processen, al dan niet financieel van aard. De Angelsaksische managementbenadering van de jaren negentig, gericht op het integreren van de internal audit-functie in de organisatie, werd de volgende stap in de ontwikkeling van de internal audit-functie. Dit brengt ons bij de vraag: Welke rollen kan de internal auditor op basis van deze ontwikkelingen vervullen in projecten ? Het Institute of Internal Auditors (IIA, 2007) definieert internal auditing als ‘(...) an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.’ In deze definitie komt zowel de assurance-kant als de adviesrol naar voren. Enerzijds geeft de internal auditor vanuit zijn assurance-rol een objectieve beoordeling over het functioneren van het audit-onderzoeksobject op basis van verzameld bewijsmateriaal; anderzijds kan de internal auditor op verzoek van het management advies uitbrengen over mogelijke oplossingsrichtingen.
| OKTOB E R 2009
13-10-2009 08:46:21
FINANCE
CONTROL
trainer
ss ce ro p tec o’s oj r isic p r n van ge en leg ag gen p n O ssin Ma o l p en o nter eme l n p Im resultate oording Verantw
QA-programma-review
l n ro Gee
Projectc oördina tie Doc ume ntat Pro ie-c ontr act ols iev Be e pa QA -pa len rtn ris er ico av er sie
n Coach e
l ) rdro kbo lijk de Klan u an ho tm (in ec ur oj vie pr Ad ies dv -a QA
QA -a dv ies Re pr vie og ws ra na m m go am -liv QAproj e an ectr esu ltate n QA-pro ject-rev iew
Proactieve expertiserol
Partic ipere nd
d ren ise v Ad
Assu rance
&
Verantwoording project
Natuurlijke rol van de internal auditor
Gelegitimeerde rol internal auditor met randvoorwaarden
Assurance
Adviserend/ Participerend
Geen rol voor internal auditor
Figuur 2 Rollen van de internal auditor in projecten Type projectenrollen
Voorbeelden van projectrollen
Omschrijving
Assurance-rol
QA-programma/projectreviews
Reviews in verschillende fases van het project o.a.: - initiële projectfase - project mijlpalen - moment vóór go-live (‘business readiness’-review ) - na go-live (‘post-implementation- reviews’).
QA-projectresultaten (deliverables)
Review op de kwaliteit en documentatie van de projectresultaten (deliverables).
Review na go-live
Oordeel over de effectiviteit van de integratie van de projectresultaten (bijv. internal control design) in de organisatie.
QA-adviseur voor programma- en projectmanagement
Advies aan projectmanagement met betrekking tot projectinrichting en risicomanagementmethodologie.
Advies (inhoudelijk)
Optreden als adviseur in een afgebakende rol door het beantwoorden van vragen en het aandragen van mogelijke alternatieven zonder directe betrokkenheid te hebben in de besluitvorming en/of realisatie.
Klankbordrol
Het stellen van vragen ter reflectie.
Coach/trainer
Het optreden in een coachende rol en faciliteren van trainingen met betrekking tot specifieke competentie gebieden van de auditor zoals risicomanagement.
Proactieve expertiserol
Beschikken over specifieke kennis bijvoorbeeld op het gebied van beheersingsmaatregelen en IT-beveiliging. Deze kennis actief inbrengen door alternatieve oplossingen aan te dragen en het formuleren van aanbevelingen.
Adviserende rol
Participerende rol
Project/process-coördinatie
Coördinatie van projectmatige activiteiten.
Documentatie van beheersmaatregelen
Ondersteunen van documentatie van beheersmaatregelen.
Proactieve QA-partnerrol
QA-partner die niet alleen helpt risico’s te identificeren, maar deze ook vertaalt in concrete businessissues met behorende aanbevelingen.
Figuur 3 Toelichting bij rollen van de internal auditor in projecten.
OKTOB E R 2009
22856-5_FC 0509_bw.indd 9
|
9
13-10-2009 08:46:22
FINANCE
&
CONTROL
Met de toenemende vraag van het management naar de diensten van de internal auditor is de vraag hoe hij zijn traditionele assurance-rol kan verbreden naar een meer adviserende rol als een proactieve partner in projecten, zonder daarbij zijn onafhankelijke positie in het gedrang te laten komen.
Elk kwadrant beschrijft twee niveaus: 1. richtlijnen op organisatieniveau, die van toepassing zijn op een organisatiebrede context; 2. richtlijnen op individueel programma- en projectniveau, waarbij het portfolioniveau de link is tussen de organisatiedoelen en programma/project doelstellingen.
In mijn referaat over de rol van de internal auditor in projecten (Huibers, 2008) categoriseer ik de rollen van de internal auditor in projecten in vier soorten rollen (zie figuur 2). Hiervoor heb ik gebruikgemaakt van een analogie van basisrollen van een position paper van het Institute of Internal Auditors (IIA, 2004). Op basis daarvan heb ik de rollen van de internal auditor in projecten ingedeeld in vier categorieën: 1. de assurance-rol: bijvoorbeeld project reviews, milestone reviews en post go-live reviews. Dit is de natuurlijke, traditionele rol van de internal auditor; 2. de adviserende rol: adviserende rollen zijn rollen die kunnen worden vervuld met randvoorwaarden; 3. de participerende rol: participerende rollen die eveneens onder voorbehoud (met randvoorwaarden) kunnen worden vervuld; 4. rol die de auditor niet kan vervullen in projecten: bijvoorbeeld het bepalen van de risicoaversie (risk appetite) of het actief managen van deze projectrisico’s.
In kwadrant 3 ga ik bijvoorbeeld in op de toenemende focus op risicomanagement en bewustwording van het belang van het treffen van effectieve beheersmaatregelen. Als gevolg daarvan biedt het ontstaan van governance-ondersteunende afdelingen zoals Risk Management, Internal Control en Business Control een mogelijkheid om eventueel conflicterende rollen in een project onder te brengen bij verschillende afdelingen. De eerste stap is om met het executive management de rollen en verantwoordelijkheden op organisatieniveau helder en eenduidig te definiëren en vast te leggen in de governancestructuur. Op programma- en projectniveau kunnen vervolgens mogelijk conflicterende rollen worden belegd bij verschillende functies, om mogelijke tegengestelde belangen te voorkomen. Om een concreet voorbeeld te geven: business control is betrokken bij het opstellen van beheersmaatregelen in het rapportageproces, zoals het opstellen van procedures voor de financiële consolidatie, waarbij Internal Audit in een adviserende rol de volledigheid van de beheersmaatregelen evalueert. In dit voorbeeld richt Internal Audit zich vooral op de balans tussen preventieve maatregelen (systeem-controls) en reactieve maatregelen (corrigeren van cijfers op basis van door de proceseigenaar opgestelde procedures).
De belangrijkste randvoorwaarde om de onafhankelijkheid van de internal auditor te waarborgen is dat hij geen managementverantwoordelijkheid neemt. Dit geldt voor alle onderdelen van het project, vanaf het moment van het bepalen van de risicoaversie van het project tot aan het implementeren van de resultaten in de bestaande organisatie. Voorbeelden bij de typen rollen van de internal auditor in projecten vindt u in figuur 2 en een nadere toelichting in figuur 3. De vraag blijft op welke wijze de internal auditor deze proactieve businesspartnerrol van het management en de controllerrol kan vervullen, zonder dat hij daarbij zijn onafhankelijke positie verliest. In de volgende paragraaf ga ik hier nader op in. Raamwerk richtlijnen en randvoorwaarden Het raamwerk richtlijnen en randvoorwaarden beschrijft hoe de internal auditor in staat kan worden gesteld om potentieel conflicterende rollen, zoals de assurance- en de adviesrol, te vervullen (zie ook figuur 4). Het raamwerk bestaat uit vier kwadranten waarvan elk kwadrant een ander perspectief geeft: 1. richtlijnen vanuit het Instituut van Internal Auditors (IIA); 2. de afdelingsstructuur van de internal audit-dienst; 3. de uitwisselbaarheid van rollen met andere ondersteunende functies zoals business control; en 4. project governance-raamwerken. 10
22856-5_FC 0509_bw.indd 10
De overeenkomst tussen alle kwadranten van het raamwerk is de noodzaak van het opstellen, formaliseren en communiceren van de overeengekomen verantwoordelijkheden op alle niveaus in de organisatie om een eenduidig begrip ervan te garanderen: ~ op organisatieniveau: een heldere definitie van de governance-structuur, goedgekeurd door het executive management, met vastlegging van rollen en verantwoordelijkheden in charters, gedragsrichtlijnen en beleidsrichtlijnen geeft een duidelijke richting voor de randvoorwaarden op projectniveau (bijvoorbeeld: wat is het doel van de afdeling Business Control en wat zijn de activiteiten van Internal Audit zoals vastgelegd in het audit charter?); ~ op programma- en projectniveau: de rollen en verantwoordelijkheden moeten consistent zijn met de corporate procedures, gedocumenteerd en vastgelegd in het project charter en goedgekeurd door de opdrachtgever en/of stuurgroep. In het referaat (Huibers, 2008; online te vinden in de Kluwer database) beargumenteer ik verder, onder andere door gebruik te maken van invalshoeken uit de psychologie en de organisatietheorie (groepsbesluitvormingsprocessen), dat de internal auditor terughoudend zou moeten zijn met deelname
| OKTOB E R 2009
13-10-2009 08:46:22
FINANCE
&
aan stuurgroepbijeenkomsten, zelfs als lid zonder stemrechten. Het doel van het referaat is voornamelijk het geven van een praktisch toepasbaar overzicht van mogelijke rollen en richtlijnen voor het uitvoeren van deze rollen met betrekking tot de rol van auditors in projecten. Naast de richtlijnen van het IIA en uitgebreid literatuuronderzoek heb ik de roltypering van de internal auditor en het raamwerk met richtlijnen getoetst door middel van interviews met hoofden audit, Chief Audit Executives (CAE’s), van een aantal grote Nederlandse multinationals. De gemeenschappelijke visie is dat de echte toegevoegde waarde van de internal auditor is om vanaf het begin op een proactieve wijze betrokken te zijn bij het project. Dit hoeft zeker niet tegenstrijdig te zijn met de onafhankelijke positie van de internal auditor. Integendeel, een van de executives maakte de volgende opmerking: ‘Voor de positionering van de internal auditor in de organisatie is dit een kans, in plaats van een bedreiging.’ Literatuur ~ Het Instituut van Internal Auditors Nederland, ‘De Internal Auditor in Nederland’, Position Paper Update 2008, Naarden, 2008. ~ Huibers, S.C.J., ‘The Role(s) of the Internal Auditor in Projects’, referaat Amsterdam Business School, Universiteit van Amsterdam, Executive Master of Internal Auditing, juli 2008. ~ Molenkamp, A., ‘Internal Auditprofessie bewijst haar bestaansrecht’, Finance & Control april 2005.
CONTROL
~ The Institute of Internal Auditors, ‘The Role of Internal Audit in Enterprise-wide Risk Management’, position paper, www.theiia.org, 2004. ~ The Institute of Internal Auditors, The Professional Practices Framework, The IIA Research Foundation, maart 2007.
Drs. Sam Huibers EMIA RO, is als Audit Manager werkzaam bij de afdeling Group Internal Audit van Heineken N.V. Eerder bekleedde hij in het bedrijfsleven diverse internationale functies in finance & control, advies en projectmanagement en was hij als onderzoeker verbonden aan de Universiteit van Maastricht. Hij is tevens lid van een vaktechnische werkgroep van het Instituut van Internal Auditors’ (IIA). Dit artikel is gebaseerd op het referaat van drs. S.C.J. Huibers EMIA RO met als titel ‘The Role(s) of the Internal Auditor in Projects, Consultative auditing in projects: contradictus in terminus?’, referaat Amsterdam Business School, Executive Master of Internal Auditing, Universiteit van Amsterdam, juli 2008. Het referaat is in de originele Engelstalige versie volledig en integraal opgenomen in de database van Kluwer en online beschikbaar (http://financebase.kluwerfinancieelmanagement.nl/, Rubriek 4, ‘Auditing’. Hier vindt u ook meer uitleg en verwijzingen bij over dit onderwerp en een toelichting op randvoorwaarden en op rollen die niet door de internal auditor mogen worden vervuld.
Organisatie I
IIA richtlijnen
II
IIA Attribute and performance standards
Internal audit
Functiescheiding ® Indeling IA afdeling op basis van aard activiteiten [AUD 2.1]
® Aard van de activiteiten helder en eenduidig gedefinieerd [IIA 1.1]
® Indeling IA afdeling op basis van expertisegebieden [AUD 2.2]
® Auditor onafhankelijkheid [IIA 1.2]
® Functiescheiding op projectniveau [AUD 2.3]
[IIA]
[AUD]
Richtlijnen en randvoorwaarden III
Andere governance-afdelingen
® Heldere verantwoordelijkheden in governance op organisatieniveau [DEP 3.1] ® Vaststellen van uitwisselbare rollen op projectniveau [DEP 3.2]
IV
Portfolio Programma’ss Programma
Project-governance
® Primaire verantwoordelijkheid in lijnorganisatie [PRO 4.1] ® Onafhankelijke rol naar de stuurgroep [PRO 4.2]
Projecten
® Introduceren standaard(audit)projectmethodologie [PRO 4.3] [AUD]
[DEP] Figuur 4 Samenvatting raamwerk van richtlijnen en voorwaarden
OKTOB E R 2009
22856-5_FC 0509_bw.indd 11
|
11
13-10-2009 08:46:22