Aan een auditgesprek zonder inhoudelijke waarde heeft niemand iets. Dat is een audit zonder meerwaarde. In het boek ‘Maximale waarden halen uit interne audits’ door Jan Dillen, wordt de vraag beantwoord hoe je het interne auditproces in je organisatie zo kan inrichten dat het wél meerwaarde biedt. Jan Dillen zoekt in zijn boek de variatie op in het auditinstrument. En ook de menselijke kant blijft niet onderbelicht in dit boek. 

Waar gaat het boek over?

In de eerste drie hoofdstukken worden het auditinstrument en de auditmethodiek beschreven. Hoofdstuk 4 gaat over risico-gebaseerd auditen en is een springplank voor hoofdstuk 5 waarin de auteur vooruitblikt.

Voor een aankomende auditor zijn de eerste hoofdstukken heel waardevol. Ze omschrijven nauwgezet:

• wat een interne audit is;
• hoe een auditprogramma wordt opgezet;
• hoe een interne audit wordt voorbereid en uitgevoerd;
• hoe de juiste vragen worden gesteld;
• hoe op een goede manier gerapporteerd wordt.

Hoofdstuk 4 en 5 zijn interessant voor de meer ervaren auditor. In hoofdstuk 4 pleit de auteur voor risico-gebaseerd auditen en in hoofdstuk 5 schetst Jan Dillen ‘tendensen’. Hij geeft in deze twee hoofdstukken aan hoe meerwaarde gecreëerd kan worden met risico-gebaseerd auditen.

De risico-gebaseerde audit

Risico-gebaseerd auditen begint met de opzet van een risico-gebaseerde auditplanning (RAP) op basis van een risicobeoordeling. Hierin wordt kennis verzameld over de aanwezige risico’s in de processen. In de RAP worden de processen opgenomen die het meest kritisch zijn voor het behalen van de doelstellingen en waarin de risico’s onvoldoende worden beheerst.

Bij een  risico-gebaseerde interne audit gaat de auditor na of risico’s zijn geïdentificeerd, voldoende beheerst worden, de nodige maatregelen zijn genomen en of deze maatregelen in overeenstemming zijn met de ‘risk-appetite’ van de organisatie. Oftewel het maximale risiconiveau dat voor de organisatie aanvaardbaar is en de organisatie wil nemen.

Een risico-gebaseerde audit zegt iets over de veerkracht van de organisatie en creëert daarom meerwaarde.

De audit wordt gebruikt om de veerkracht van de organisatie te bepalen en creëert daarom meerwaarde. De auteur gebruikt de termen ‘resilience’ en ‘resilience-benadering’. Veerkracht gaat over het snel kunnen reageren op veranderingen in de omgeving en op risico’s en kansen. Daarvoor is overzicht over en bewustzijn van de juiste werking van het managementsysteem nodig.

De rol van de interne auditor

Vervolgens blikt de auteur in hoofdstuk 5 vooruit en constateert dat de auditfunctie zal veranderen. De scope van de audit zal verbreden van compliance naar risicomanagement. De auditklant en andere belanghebbenden worden meer betrokken bij de RAP. De RAP is geen statisch overzicht meer voor meerdere jaren, maar een levend document dat aangepast wordt aan (onvoorziene) omstandigheden. Traditionele auditverslagen maken plaats voor een auditresultaat voor verschillende belanghebbenden, zoals bijvoorbeeld de Raad van Toezicht of Raad van Advies.

De interne auditor legt de zwakke plekken bloot en adviseert de proceseigenaar en de medewerkers over procesbeheersing. Dit vraagt om aanvullende vaardigheden en expertise van de interne auditor. Om meerwaarde van de interne audit te creëren is het een must dat de auditor adviezen gaat geven. De auditoren worden ingeschakeld bij de verbetermaatregelen die opgesteld worden naar aanleiding van de resultaten uit de interne audit. De vraag is niet meer of de interne auditoren adviezen mogen geven, de vraag is nu of de interne auditoren over de competenties beschikken om dit te doen. De competenties van interne auditoren worden aangevuld met competenties op het gebied van consultancy. De huidige trainingen voor de interne auditoren zullen meer gericht zijn op het geven van intern advies.

De vraag is niet meer of de interne auditor advies mag geven, de vraag is nu of hij over de competenties beschikt om dit te doen.

Interne audits zullen zorgen voor een transparante organisatiecultuur waarin alles bespreekbaar is. Dat vraagt om een veilige cultuur waarin open over onvolkomenheden wordt gecommuniceerd en gerapporteerd. Het gaat om het onderliggende proces, niet om het aanwijzen van een schuldige. Het (top)management toont betrokkenheid bij de audit en stelt hiervoor voldoende middelen ter beschikking.

Interne audits op cultuur

Jan Dillen heeft een achtergrond als veiligheidsprofessional en besteedt daarom ook aandacht aan het auditen op de (veiligheids)cultuur. Hierbij ligt de nadruk op gedrag en bewustzijn. De risico- en veiligheidscultuur beïnvloedt het gedrag ten aanzien van veiligheid en omgaan met risico’s. De interne auditfunctie is door de onafhankelijkheid geschikt om een oordeel te vormen over de aanwezige cultuur, dit te rapporteren en te beoordelen. De auditor peilt in welke mate de medewerkers in alle lagen van organisatie handelingen bewust veilig uitvoeren.

Conclusie

Dat er in de toekomst meer om de meerwaarde van de interne audit gevraagd gaat worden, is evident. Risico-gebaseerde audits dragen daaraan bij. Dit is een trend die al enkele jaren aan de gang is. Risico-gebaseerd auditen is ook een van de auditprincipes zoals omschreven in de richtlijn ISO 19011 voor het opzetten van een auditsysteem. Het betrekken van de auditklant is daarom waardevol. Tenslotte is de auditklant verantwoordelijk voor het managementsysteem en heeft informatie nodig om een uitspraak te doen over de doeltreffendheid van het managementsysteem. Vaak wordt er nog niet bij stil gestaan dat een goed auditrapport waardevol is voor, bijvoorbeeld, Raad van Toezicht of Raad van Advies. Het betrekken van andere belanghebbenden bij de interne audit is daarom essentieel.

Meerwaarde zit niet alleen in de auditresultaten, maar ook in de opvolging daarvan.

Nieuw voor mij is de meer consultancy-achtige rol van de auditor. Wanneer de auditor advies geeft, wordt hij mede-eigenaar van de verbetering. Dat maakt het moeilijker om in een later stadium de verbetering te toetsen. De auditor is dan immers mede-eigenaar van de verbetering. Ik kan me wel goed voorstellen dat deze nieuwe manier aansluit bij de wens van de auditklant. Auditen kost tijd, dus geld, en moet iets opleveren. Meerwaarde zit niet alleen in de auditresultaten, maar ook in de opvolging daarvan. Hoe beter de resultaten uit de audit, hoe beter de opvolging. Het gaat niet alleen om de opzet en organisatie van de interne audit, maar ook om de skills van de interne auditor. Om een adequate interne audit uit te voeren heeft de auditor competenties nodig om relevante informatie naar boven te halen. Daar wordt minstens zoveel meerwaarde mee gecreërd.

Kortom, risico-gebaseerd auditen en een consultancyrol van de auditor zullen meerwaarde van de audit creëren, volgens de auteur. De toekomst zal het uitwijzen. In ieder geval doet de auteur interessante suggesties. Het lezen van dit boek is het zeker waard.

Jan Dillen werkt als auditor op het gebied van kwaliteit, veiligheid en milieu, en maatschappelijk verantwoord ondernemen. Daarnaast verzorgt hij opleidingen voor preventieadviseurs en milieuprofessionals aan de Universiteit Antwerpen en de Katholieke Universiteit Leuven. Hij publiceert regelmatig op het gebied van kwaliteit, milieu, mvo, veiligheidsmanagement en risicobeoordeling.

Maximale waarden halen uit interne audits. Auteur: Jan Dillen. VMN media, Zeist 2022.

Meld je aan voor onze nieuwsbrief, dan ontvang je onze nieuwste artikelen en blijf je op de hoogte van onze activiteiten.