Risicobeheersing door controle en auditing: Ga diep!

Effectief risico's beheersen doe je in de diepte: door controle en audit, in drie lijnen. Hoe en waarom?

Door San Emmen & Wim Pauw

Auditing is het controleren van een organisatie, proces, systeem, boekhouding door een onafhankelijke deskundige met als doel het verschaffen van (additionele) zekerheid aan de opdrachtgever of derden, in sommige gevallen zelfs het maatschappelijke verkeer. De uitvoerenden (auditors) zijn specialisten zoals accountants en auditors. Er worden verschillende vormen van auditing onderscheiden, zoals: operational audits ofwel proces audit, IT audits, financial audits of accountantscontroles. Forensische audits ofwel fraudeonderzoeken, kwaliteitsaudits enzovoort. En dan bestaan er ook nog interne en externe audits. Zie jij het bos nog door al de bomen?
 
Waar komen al die audits vandaan? Een korte historische schets.
 
De Romeinen en audit
Tijdens de Romeinse republiek (van 509 tot 29 v.Chr.), voordat er keizers kwamen, kenden de Romeinen geen staatsposterijen. Berichten werden via persoonlijke boodschappers bezorgd. Dat systeem was erg instabiel en kwetsbaar. Zo maakte Julius Caesar zich er regelmatig kwaad over dat hij eerder aankwam dan zijn boodschappers die hij vooruitgestuurd had. 

Ook hadden deze boodschappers de taak om decreten voor alle onderdanen door het gehele rijk mondeling om te roepen en af te kondigen op bijvoorbeeld de marktpleinen. Het aantal mensen dat kon lezen en schrijven was zeer beperkt. Daarom moesten boodschappen mondeling worden overgebracht. Caesar wilde er zeker van zijn dat ze dan wel de juiste boodschap overbrachten en niet aan eigen interpretaties deden. Daarom zond hij auditors mee (luisteraars) die de tekst van Caesar ook uit hun hoofd kenden en konden ingrijpen als het nodig was.
 
De middeleeuwen en assurance
Uitgebreidere documentatie is er terug te vinden van het verschaffen van zekerheid. In het boek: Midieval market morality staat het volgende gedocumenteerd over onder andere de 'market of Ipswitch':
 
"Medieval society had several formal instruments to establish levels of probity, such as taking office, oaths and guilds or burgess membership. Also, the use of a mark as a means of supervision developed associations with reputation an identification."
"The early fourteenth-century custumal of Ipswich provides evidence that authorities understood the crucial part of reputation played in the marketplace. … The need for reputation trust and prestige was therefore important for trading succes, social standing and the extension of credit."
 
Rond het jaar 1200 zijn er dus reeds gedocumenteerde vormen van 'formele instrumenten' om de mate van rechtschapenheid en oprechtheid (probity) aan te tonen, zoals het zweren van een eed of lidmaatschap van een gilde. Uit stukken van het begin veertiende eeuw blijkt zelfs dat autoriteiten 'reputatie en mate van vertrouwen' belangrijke waarden vonden en zelfs met zegels en 'keuringsstempels' werkten om daarmee de kwaliteit voor de afnemers te waarborgen.
 
In voorgaande voorbeeld zien we dat een onderzoek naar zekerheid voor de afnemers ook kan resulteren in minder omzet voor de leverancier wanneer hij bijvoorbeeld onvoldoende kwaliteit levert. Audits of controles ten behoeve van zekerheid of rechtschapenheid kunnen dus op meerdere manieren worden uitgevoerd en op allerlei verschillende, soms hele extreme, manieren uitpakken.
 
De Sovjet Unie en controle
De eerste president van de Sovjet Unie, Vladimir Iljitsj Lenin, had te maken met veel tegenstand. Hij richtte de KGB op, de geheime dienst, om tegenstanders op te sporen en uit te schakelen. In zijn openingsspeech sprak hij: Vertrouwen is goed, controle is beter! Op deze manier ontwikkelde hij een totalitair systeem en vergrootte hij zijn macht op basis van wantrouwen. 
Uiteindelijk controleerde iedereen elkaar, was het luisteren bij de Romeinen afluisteren geworden en was het vertrouwen ver te zoeken. 
 
Van oudsher blijkt er behoefte aan zekerheid, betrouwbaarheid en controle binnen maatschappijen in de breedste zin van de betekenis van dat woord. Mensen en organisaties willen hun risico’s beperken. Ceasar wilde dat zijn onderdanen de boodschap juist ontvingen en Lenin dulde geen tegenstand. In het grote Romeinse Rijk en in de Sovjet Unie konden de leiders niet zelf onderzoeken welke risico’s ze liepen en lieten dat over aan auditors of de KGB. Zulke controlemechanismen werken echter alleen als ze betrouwbaar zijn. 
 
Zekerheid en betrouwbaarheid in de moderne tijd
Behoefte aan zekerheid geldt nadrukkelijk ook op het gebied van betrouwbare financiële verantwoording van (handels)maatschappijen. Een organisatie wil zekerheid over de opbrengsten. Zijn die volledig? Maar ook over de kosten. Zijn die juist? Daarmee werd de behoefte aan een onafhankelijke functie die deze zekerheid zou kunnen geven, gevoed. En die zekerheid is van belang voor alle stakeholders van organisaties, in het bijzonder aandeelhouders.
   
Internal control en Internal audit
Al vroeg in de geschiedenis is de fundering gelegd voor wat in sommige managementboeken de controletoren wordt genoemd. Het management van een organisatie heeft behoefte aan zekerheid, dat het zijn risico’s beheerst en daardoor betrouwbaar is voor de stakeholders. 

Een belangrijk inrichtingsprincipe voor zo’n controletoren zijn de 3-lines of defense. Dit model wordt wereldwijd veel gebruikt binnen met name de financiële secter is eenvoudig en effectief: een lijnmanager controleert zijn medewerkers inhoudelijk. Binnen grote organisaties zijn natuurlijk diverse lijnmanagers. Grote organisaties hebben daarnaast vaak een afdeling Control die over de lijnmanagers heen ‘eerstelijns’ controles uitvoert. In het verleden waren dat vaak financiële controles, gericht op besturing en beheersing in financiële zin. Maar tegenwoordig voeren Control-afdelingen procescontroles in de breedte uit. Samen met afdelingen als Risico- en Compliancemanagement vormen zij de ‘tweede lijn’. Daarnaast moeten organisaties verantwoording afleggen aan stakeholders. Denk aan jaarverslagen en milieurapportages. 
 
Nu hoor ik je zeggen: “papier is geduldig”. 
Dat klopt! En hiervan hebben we de laatste decennia helaas voldoende foute voorbeelden gezien. 
 
Om de betrouwbaarheid van dit soort rapportages te vergroten, worden onafhankelijke auditors en accountants gevraagd om zekerheid (assurance) te geven bij deze rapportages. In de praktijk zie je vaak, dat deze externe bureaus binnen de organisatie zelf worden ondersteund door interne auditafdelingen. Zij samen vormen de derde lijn.
 
Op deze manier zijn organisaties in staat om effectief hun risico’s te beheersen. En verantwoording af te leggen over hun resultaten. 

San Emmen 
(Universitair Docent en Vaktechnisch (audit) adviseur Ministerie van Financiën)

Wim Pauw
(Universitair Docent, trainer, adviseur en partner bij Gilde van Adviseurs)

Gerelateerde artikelen