Ga diep!

Effectief risico's beheersen doe je in de diepte: door controle en audit, in drie lijnen. Hoe en waarom?

Een serie blogs over risicomanagement.

Auditing is het controleren van een organisatie, proces, systeem, boekhouding door een onafhankelijke deskundige met als doel het verschaffen van (additionele) zekerheid aan de opdrachtgever of derden, in sommige gevallen zelfs het maatschappelijke verkeer.

De uitvoerenden (auditors) zijn specialisten zoals accountants en auditors. Er worden verschillende vormen van auditing onderscheiden, zoals: operational audits ofwel proces audit, IT audits, financial audits of accountantscontroles. Forensische audits ofwel fraudeonderzoeken, kwaliteitsaudits enzovoort. En dan bestaan er ook nog interne en externe audits.

Door San Emmen en Wim Pauw. Emmen is Vaktechnisch (audit) adviseur bij het Ministerie van Financiën. Pauw is partner bij Gilde van Adviseurs en trainer. Beide zijn ook universitair docent.

Zie jij het bos nog door al de bomen?

Dat bos is gegroeid door de eeuwen heen. Laten we daarom eerst eens naar die voorgeschiedenis kijken.

De Romeinen en audit

Tijdens de Romeinse republiek (van 509 tot 29 v.Chr.), voordat er keizers kwamen, kenden de Romeinen geen staatsposterijen. Berichten werden via persoonlijke boodschappers bezorgd. Dat systeem was erg instabiel en kwetsbaar. Zo maakte Julius Caesar zich er regelmatig kwaad over dat hij eerder aankwam dan zijn boodschappers die hij vooruitgestuurd had.

Ook hadden deze boodschappers de taak om decreten voor alle onderdanen door het gehele rijk mondeling om te roepen en af te kondigen op bijvoorbeeld de marktpleinen. Het aantal mensen dat kon lezen en schrijven was zeer beperkt. Daarom moesten boodschappen mondeling worden overgebracht. Caesar wilde er zeker van zijn dat ze dan wel de juiste boodschap overbrachten en niet aan eigen interpretaties deden. Daarom zond hij auditors mee (luisteraars) die de tekst van Caesar ook uit hun hoofd kenden en konden ingrijpen als het nodig was.

De Middeleeuwen en assurance

Uitgebreidere documentatie is er terug te vinden van het verschaffen van zekerheid. In het boek Medieval Market morality staat het volgende gedocumenteerd over onder andere de 'market of Ipswitch':

"Medieval society had several formal instruments to establish levels of probity, such as taking office, oaths and guilds or burgess membership. Also, the use of a mark as a means of supervision developed associations with reputation an identification."

"The early fourteenth-century custumal of Ipswich provides evidence that authorities understood the crucial part of reputation played in the marketplace." "The need for reputation trust and prestige was therefore important for trading succes, social standing and the extension of credit."

Rond het jaar 1200 zijn er dus reeds gedocumenteerde vormen van 'formele instrumenten' om de mate van rechtschapenheid en oprechtheid (probity) aan te tonen, zoals het zweren van een eed of lidmaatschap van een gilde. Uit stukken van het begin veertiende eeuw blijkt zelfs dat autoriteiten 'reputatie en mate van vertrouwen' belangrijke waarden vonden en zelfs met zegels en 'keuringsstempels' werkten om daarmee de kwaliteit voor de afnemers te waarborgen.

In voorgaande voorbeeld zien we dat een onderzoek naar zekerheid voor de afnemers ook kan resulteren in minder omzet voor de leverancier wanneer hij bijvoorbeeld onvoldoende kwaliteit levert. Audits of controles ten behoeve van zekerheid of rechtschapenheid kunnen dus op meerdere manieren worden uitgevoerd en op allerlei verschillende, soms hele extreme, manieren uitpakken.

De Sovjet Unie en controle

De eerste president van de Sovjet Unie, Vladimir Iljitsj Lenin, had te maken met veel tegenstand. Hij richtte de KGB op, de geheime dienst, om tegenstanders op te sporen en uit te schakelen. In zijn openingsspeech sprak hij: Vertrouwen is goed, controle is beter! Op deze manier ontwikkelde hij een totalitair systeem en vergrootte hij zijn macht op basis van wantrouwen.

Uiteindelijk controleerde iedereen elkaar, was het luisteren bij de Romeinen afluisteren geworden, en was het vertrouwen ver te zoeken.

Van oudsher blijkt er behoefte aan zekerheid, betrouwbaarheid en controle binnen maatschappijen in de breedste zin van de betekenis van dat woord. Mensen en organisaties willen hun risico’s beperken. Ceasar wilde dat zijn onderdanen de boodschap juist ontvingen en Lenin dulde geen tegenstand. In het grote Romeinse Rijk en in de Sovjet Unie konden de leiders niet zelf onderzoeken welke risico's ze liepen en lieten dat over aan auditors of de KGB. Zulke controlemechanismen werken echter alleen als ze betrouwbaar zijn.

Zekerheid en Betrouwbaarheid in de moderne tijd

Behoefte aan zekerheid geldt nadrukkelijk ook op het gebied van betrouwbare financiële verantwoording van (handels)maatschappijen. Een organisatie wil zekerheid over de opbrengsten. Zijn die volledig? Maar ook over de kosten. Zijn die juist? Daarmee werd de behoefte aan een onafhankelijke functie die deze zekerheid zou kunnen geven, gevoed. En die zekerheid is van belang voor alle stakeholders van organisaties, in het bijzonder aandeelhouders.

Internal control en Internal audit

Al vroeg in de geschiedenis is de fundering gelegd voor wat in sommige managementboeken de controletoren wordt genoemd. Het management van een organisatie heeft behoefte aan zekerheid, dat het zijn risico’s beheerst en daardoor betrouwbaar is voor de stakeholders.

Een belangrijk inrichtingsprincipe voor zo’n controletoren zijn de 3-lines of defense. Dit model wordt wereldwijd veel gebruikt binnen - met name in de financiële sector, is eenvoudig en effectief: een lijnmanager controleert zijn medewerkers inhoudelijk. Binnen grote organisaties zijn natuurlijk diverse lijnmanagers. Grote organisaties hebben daarnaast vaak een afdeling Control die over de lijnmanagers heen 'eerstelijns' controles uitvoert. In het verleden waren dat vaak financiële controles, gericht op besturing en beheersing in financiële zin. Maar tegenwoordig voeren controlafdelingen procescontroles in de breedte uit. Samen met afdelingen als risico- en compliancemanagement vormen zij de 'tweede lijn'. Daarnaast moeten organisaties verantwoording afleggen aan stakeholders. Denk aan jaarverslagen en milieurapportages.

"Maar … papier is geduldig"

Dat klopt! En hiervan hebben we de laatste decennia helaas voldoende foute voorbeelden gezien.

Om de betrouwbaarheid van dit soort rapportages te vergroten, worden onafhankelijke auditors en accountants gevraagd om zekerheid (assurance) te geven bij deze rapportages. In de praktijk zie je vaak, dat deze externe bureaus binnen de organisatie zelf worden ondersteund door interne auditafdelingen. Zij samen vormen de derde lijn.

Op deze manier zijn organisaties in staat om effectief hun risico’s te beheersen. En verantwoording af te leggen over hun resultaten.

De blogs in deze serie:

Voorkom verrassingen met Risk Management

Wil je onaangename verrassingen voorkomen? Wil je het gevoerde beleid inzake risicomanagement beter verantwoorden? Wil je aan de toegenomen regelgeving blijven voldoen? Dan is de cursus Enterprise Risk Management (inclusief 4 E-learning modules) onmisbaar.

Boek nu & ontvang 4 gratis E-learning modules

(foto: Stefan Steinbauer, Unsplash)