Het Strategisch Audit Model

SAM verbetert de effectiviteit en efficiency: risico's worden eerder onderkend, de mix van audits en quick scans maakt onderzoek sneller en goedkoper, meerjarige planning van "geintegreerde audits" verlaagt de kosten en verbetert tegelijk het produkt, het gebruik van eerdere onderzoeksresultaten voorkomt onnodig onderzoek.

De organisatie wil doelen realiseren binnen de gestelde kaders en tegelijk de organisatie geschikt houden of maken voor plannen in de toekomst. Het managementcontrolsysteem (MCS) helpt het management bij de daarvoor benodigde sturing.


Risicomanagement is een onderdeel van dat MCS en auditing is gericht op het reduceren van in dat kader gesignaleerde onzekerheden. Het Strategisch Audit Model, SAM, doet dat laatste effectief en efficient. Er is een brede trend om risicogestuurd te auditen.


Naast vele pluspunten zijn daar grote nadelen, zelfs risico’s aan verbonden. Nadeel van zuiver risicogericht auditen is dat dit onder druk van de aktualiteit (periodetargets, incidenten etc.) neigt naar overaccentuering van de korte termijn. Verder dat dit uitgaat van bestaande beelden, ook nog eens deelwaarnemingen, waardoor “emerging risks” mogelijk niet tijdig worden waargenomen. Er blijven bovendien kansen voor grotere effectiviteit en efficiency liggen.


Een auditdienst heeft meestal maar een beperkte auditcapaciteit en het is logisch dat die in ieder geval op de meest kritieke punten wordt ingezet. Een risicoanalyse helpt om die te identificeren. Bekende risico’s worden dus wel aangepakt. Een risicoanalyse is echter een momentopname, vaak door een beperkte groep mensen en vaak ook zonder integraal en diepgaand onderzoek. Dat is niet erg, als men zich de beperkingen maar realiseert.


Dan kan het echter wel gebeuren dat een aandachtsgebied of organisatieonderdeel jarenlang niet aan nader onderzoek wordt onderworpen. Er bestaat dan dus geen zekerheid of daar risico’s zijn en of daar tijdig signalen over worden opgevangen. Een voorbeeld hiervan is het risico van integriteitsschendingen; grote cultuurproblemen hebben vaak een klein begin. Het zijn juist strategische onderwerpen, van een lange adem, als organisatieontwikkeling en cultuur die zo onterecht onderbelicht kunnen blijven.


Het accent op de korte termijn heeft ook invloed op de werkwijze van de auditor. Vaak een scherp afgebakend focus van onderzoek op “het risico” en bijvoorkeur met een korte doorlooptijd. Denkbaar is dat andere werkwijzen efficienter en effectiever zijn. Het model SAM (zie figuur 1 en 2 op www.controlforum.nl) ondersteunt de risicoreductie met auditing langs drie lijnen.
1. Indien het management dit op basis van een risicoanalyse wenselijk vindt.
2. Indien het management dit wenselijk vindt naar aanleiding van een incident in de planuitvoering.
3. Met periodieke preventieve doorlichting van organisatie en processen. SAM handhaaft de risicoanalyse en eventueel daaruitvoortvoeiende audits, maar vult deze aan met vier elementen.


1. Auditing van incidenten in de uitvoering. Dit helpt beelden – het bestaande beeld was mischien wel juist, maar is nu mogelijk toch veranderd- versneld bij te stellen.
2. Periodieke preventieve doorlichting met quick scans (kortdurig globaal onderzoek). Dit is gericht op het tijdig signaleren van nieuwe risico’s (en uiteraard ook optimalisering van processen). Een quick scan kan eventueel nog leiden tot een audit.
3. SAM richt zich primair op onderdeelsoverstijgende elementen (ketens, processen, systemen, infrastructuur etc.) en secundair op organisatie’s en organisatieonderdelen, dit vanuit de veronderstelling dat risco’s bij het eerste onderdeel bijna per definitie grote impact kunnen hebben en dat aanpak van die risico’s veel risico’s tegelijk bij het tweede onderdeel wegneemt.
4. De audits en quick scans worden in een meerjarige planning ondergebracht (figuur 2) om de volgende redenen: – door de lange planningsrange neemt de kans toe dat alle relevante onderwerpen periodiek aan bod komen i.p.v. alleen de toprisico’s.


In feite dus brede organisatiedoorlichting; die kans wordt vergroot door de intensieve inzet van de efficiente kortdurende quick scan; – door de langere planningsrange wordt het beter mogelijk verschillende audits te verenigen in één audit waardoor het produkt aan kwaliteit kan winnen en ook de efficiency toeneemt (bijvoorbeeld een audit naar organisatie en een audit naar ict, gelet op inhoudelijke dwarsverbanden of simpelweg op te interviewen personen, combineren in één audit); – door een database met auditresultaten (incl. afgesproken maatregelen) uit het verleden te gebruiken als referentiekader en tegelijk de houdbaarheidsdatum van die resultaten te expliciteren treedt efficiencywinst op.


SAM is er primair op gericht risico’s tijdig “uit de lucht te halen”. Door het preventieve element zal het aantal risico’s op termijn echter afnemen. Risico’s worden namelijk eerder onderkend en de oorzaken waar mogelijk weggenomen.

Drs. J. van Dooren
Dit artikel is op persoonlijke titel geschreven