Auditslagen in de lucht
Het veranderen van slecht functionerende systeemlandschappen met als doel operationele kosten te drukken wordt voor een bedrijf eerst noodzaak als het in een vechtmarkt terechtkomt. Daarom komen we veel IT-migratieprogramma’s in de markt tegen.
Het zijn niet mijn woorden, maar die van Wouter Haasloop Werner. Die bezigt hij in een publicatie, hier op accountantweek.nl, over datamigratie – of gaat het stuk over iets anders?
Hoewel enigszins behept met een achtergrond op gebieden als IT, systeemleer en organisatiekunde meen ik toch te moeten zwijgen over bovenstaande passage.
Wel moet mij de gevleugelde uitspraak van een studievriend van het hart. “Vertrouw op eigen IT-kunnen en hoed u voor software-houses; zij zullen uw bedrijf te gronde richten”.
Waar ik echter beslist niet over kan en mag zwijgen is de titel van het artikel, te weten; “Interne en externe auditor bij datamigratie: samenwerking loont”.
Zoals ik ook moet reageren op de mengelmoes aan gebezigde audittermen, op boude uitspraken over het wezen van externe accountancy en over dat van internal auditing.
Het centrale thema van het artikel lijkt, afgezien van de beweringen over datamigratie, een pleidooi te zijn voor de samenwerking tussen interne en externe auditfunctionarissen. Hoewel zo’n pleidooi sowieso uit het oogpunt van beider onafhankelijkheid moet worden bestreden, liggen er ook verkeerde aannames over de werkzaamheden van de verschillende beroepsgroepen aan ten grondslag. Bijvoorbeeld de bij de auteur kennelijk gewortelde veronderstelling dat accountants en internal auditors verantwoordelijk zouden zijn voor het functioneren van de feitelijke bedrijfsvoering.
In de beperkte ruimte die deze column biedt is natuurlijk geen plaats voor het schetsen van de ontwikkelingen die zich de afgelopen dertig jaar op het gebied van management control hebben voorgedaan. Als reactie op het artikel van Haasloop Werner dus geen uitgebreide verhandeling over de besturing van bedrijven en instellingen en de betekenis van control- en auditfuncties daarbij. Ik ga in op de volgende uitspraken.
“Samenwerking tussen interne en externe auditor…”.
Als hier gedoeld wordt op de internal auditor en de externe accountant dan gaat deze uitspraak in tegen alle regels over onafhankelijkheid, opdrachtgeverschap en moraliteit. De externe accountant bericht het maatschappelijk verkeer vanuit zijn onafhankelijke positie over de rechtmatigheid van het door het bedrijf gevoerde financiële beleid; de internal auditor daarentegen ondersteunt de ondernemingsleiding bij het verkrijgen van meer zekerheid over de mate waarin de ondernemingsdoelstellingen zullen worden gehaald. De belangentegenstelling tussen de externe accountant (die de (cijfer)verantwoording controleert) en de internal auditor (die de interne beheersing toetst) verhindert het gezamenlijk optrekken. Een intensieve samenwerking zou de geloofwaardigheid van beide functies ernstig op de proef zou stellen.
Als de auteur met interne audit echter de controlerende interne accountant bedoelt, dan is er sprake van een ander misverstand. Het voert ons terug naar het vorige millennium; toen bestonden er nog interne accountantsdiensten. De afstemming van werkzaamheden tussen beide accountants ging daarbij vooral over de financiële procesvoering en de jaarrekening. Deze periode van een-tweetjes tussen de extern accountant en zijn interne collega, een samenwerking die bestuurders en controllers vaak een doorn in het oog was, ligt, zoals gezegd, gelukkig ver achter ons.
“Bij het reduceren van IT-kosten kan de accountant/auditor vaak een zinvolle rol spelen. Het management heeft behoefte aan comfort of de basis van zijn bedrijfsvoering en stuurinformatie na de migraties nog even betrouwbaar is als daarvoor…”.
Mogelijk heeft Haasloop Werner hier wel een punt als hij bedoelt te stellen dat de internal auditor het management de zekerheid kan verschaffen dat na de transitie, de aangepaste regels, de ge-upgrade informatiesystemen en de nieuwe procedures ook daadwerkelijk binnen de heringerichte stuur- en beheersingsactiviteiten zijn verankerd en op een juiste wijze worden geïnterpreteerd.
Ik heb echter het vermoeden dat de auteur dat niet bedoelt. Uit de tekst valt ook af te leiden dat de internal auditor zich zou moeten uitspreken over de werkelijke inhoud van de rapportages. En dat kan natuurlijk niet. Dat is bij uitstek een taak die het management en de controller regarderen. De controller, die overigens in het betoog van Haasloop Werner niet voorkomt, is immers de functionaris die verantwoordelijk is voor de inhoudelijke kwaliteit van de bedrijfsvoering en voor de maatregelen die er op het gebied van (verbijzonderde) interne controle moeten worden getroffen.
Blijft over het vermoeden dat de auteur slechts de financiële processen op het oog heeft. Dan is de externe accountant natuurlijk wel de instantie die de betrouwbaarheid en de rechtmatigheid van de informatievertrekking vaststelt. In die zin levert de extern accountant indirect inderdaad feedback op de kwaliteit van de uitgevoerde transitie; alleen dat is achteraf en omvat de financiële component. Daarbij komt dat een organisatie natuurlijk niet afhankelijk zou mogen zijn van een externe controlerende partij om achteraf haar in control situatie te laten vaststellen…
“De auditor die zich mede-eigenaar voelt van het transitievraagstuk en wil meehelpen om het gewenste doel te bereiken. Ik pleit er dan ook voor om interne auditors intensief en vroegtijdig te betrekken bij datamigraties…”.
De internal auditor is over het algemeen zeer betrokken bij en op de hoogte van wat zich op het gebied van strategieontwikkeling, planuitvoering en bedrijfsvoering afspeelt; het aanspreken op betrokkenheid is dus geen issue. Enig eigenaar is uitsluitend de resultaatverantwoordelijke manager of projectleider; die is immers verantwoordelijk voor al die activiteiten, die nodig zijn om de met de ondernemingsleiding overeengekomen (veranderings-) doelstellingen te bereiken. Conform het model van de “three lines of defence” is het “slechts” de taak van de internal auditor om onafhankelijk onderzoek te doen naar de inrichting van de interne beheersing. In het geval van het transitietraject is het denkbaar dat de internal auditor, op basis van een uitgevoerde risicoanalyse, opdracht heeft gekregen om te onderzoeken of het transitieproject conform de afspraken is ingericht. Bij het daadwerkelijk participeren in het project zou de onafhankelijkheid van de internal auditor al spoedig in het geding zijn.
“Om het risico te beperken dat de interne auditor te weinig ervaren of kritisch zou zijn, stel ik voor dat deze wordt begeleid door een externe auditor, bij voorkeur de huisaccountant…” en “Het zou de externe auditor sieren als deze op basis van haar expertise ook als adviseur zou optreden, bijvoorbeeld door interne auditors te helpen …”.
Voor commentaar op deze passages verwijs ik naar de alinea over samenwerking hierboven. Maar ook naar de regelgeving dat een controlerend accountant niet tegelijkertijd ook als adviseur voor het zelfde bedrijf mag optreden. Die maatschappelijke discussie kan toch niemand hebben gemist?
In bovenstaand commentaar op het artikel “Interne en externe auditor bij datamigratie: samenwerking loont” heb ik mij beperkt tot korte reacties op enkele specifieke uitspraken. De gefragmenteerde opbouw van het artikel van Haasloop Werner bood mij ook nauwelijks andere mogelijkheden.
Desondanks hoop ik dat mijn boodschap bij lezers van het gewraakte artikel is overgekomen en dat Haasloop Werner er nu “Vast van overtuigd is dat internal auditors uitstekend in staat zijn om interim-managers te helpen, die schrijven over bedrijfskundige vraagstukken; samenwerking loont”.
Arie Molenkamp RO (http://www.publicauditing.nl/) is zelfstandig gevestigd als organisatieadviseur, auteur, opleider en coach. Eerder was hij directeur bij KPMG Management Consulting.