STATUS VAN INTERNAL AUDIT IN SURINAME (III)
Oscar Kajansie[1]
Arie Molenkamp
Inleiding
Dit is het laatste artikel in een serie van drie over de resultaten van een onderzoek naar de ontwikkeling van de internal auditfunctie in Suriname. Een cruciale fase in die ontwikkeling is de transitie van een interne controle afdeling naar een internal auditfunctie; een onderwerp dat in het eerste artikel van de serie centraal stond. In de tweede aflevering werd vooral ingegaan op de barrières die zich tijdens het transitieproces kunnen manifesteren. In dat verband kwam aan de orde dat zowel leiders van ondernemingen als externe toezichthouders nog maar beperkt op de hoogte zijn van de betekenis van internal audit voor kwaliteit van sturing en beheersing van de organisatie. Dit laatste artikel gaat vooral in op de positie, de rol en de houding van de internal auditor bij het omvormingsproces naar een professionele, onafhankelijke internal auditfunctie. Behandeld wordt dat juist de internal auditor moet bevorderen dat bij de keuze van de onderzoeksobjecten het uitgangspunt van het 3LoD-model wordt gehanteerd. Dat betekent dat het auditjaarplan een resultante is van het risicoanalyseproces dat binnen de managementlijn plaatsvindt. Beschreven wordt dat uit het onderzoek naar voren kwam dat de internal auditor niet of nauwelijks op deze basis functioneert; hij voert vooral interne controle werkzaamheden of zelfs financial audits uit. Behandeld wordt dat de internal auditor ook sterk afhankelijk is van wie de rol van opdrachtgever vervult. Met enkele conclusies wordt dit artikel en daarmee de gehele artikelreeks afgesloten.
Hoe stevig staat de internal auditor in zijn schoenen?
De derde partij die, naast ondernemingsleiding en toezichthouders, een belangrijke positie inneemt bij het wel of niet slagen van de transitie naar een internal auditfunctie is de internal auditor zelf. Tenslotte kan deze professional met een spagaatpositie worden geconfronteerd. Enerzijds lonkt bijvoorbeeld de uitdaging om voor de directie of het auditcomité de op ondernemingsrisico’s gebaseerde onderzoeken te gaan uitvoeren. Anderzijds kan diezelfde directie blijven aandringen op het uitvoeren van interne controle werkzaamheden of opdracht geven de performance van processen te onderzoeken. Dat laatste betekent dat van auditors, wel of niet expliciet, wordt verwacht dat zij de controle op de efficiency, de effectiviteit en de rechtmatigheid van de bedrijfsvoering verrichten. Als zich dan ook nog bij tijd en wijle onregelmatigheden voordoen op het gebied van misbruik, oneigenlijk gebruik en fraude dan is het voor de directie veelal zonneklaar dat de internal auditor gehouden is om ook daar bijstand te verlenen en inspecties uit te voeren. Natuurlijk zijn juist auditors ook voor deze taken geëquipeerd; het gevaar dreigt echter, ook in de Surinaamse praktijk, dat deze werkzaamheden een structureel karakter krijgen. Met het bekende effect dat de onafhankelijke, objectieve, managerial, riskbased auditfunctie niet van de grond komt. De ontwikkeling van de organisatie naar een hoger niveau van volwassenheid is daarmee, zoals hiervoor gesteld, ook in het geding.
Wij zijn de laatsten om te stellen dat ook de internal auditor hier niet zelf debet aan is; vooral door het niet doordringend aan de orde stellen van stagnerende groeisituaties.
De competenties van de internal auditor
Het bovenstaande impliceert dat de internal auditfunctie over de kwaliteiten moet beschikken, die nodig zijn om de beoogde onderzoeken zowel qua ervaring als qua kennis tot een goed einde te brengen.
Als de auditfunctie zich (nog) focust op de performance van de bedrijfsvoering, dan is inhoudelijke kennis nodig over (financiële) producten, inrichting van processen, eigenschappen van intern transport, valkuilen bij valutatransacties en bijvoorbeeld werkinstructies bij het invullen van risicokaarten.
Indien de auditfunctie als volwaardig derde lijns managementinstrument is ingezet, dan dient de auditfunctie te zijn toegerust om succesvol onderzoeken uit te voeren op terreinen als strategievorming, projectinrichting, communicatie, organisatieverandering, organisatiestructurering en de toepassing van innovatie.
Afgezien van de rol die audit in een specifieke situatie vervult, zal men te allen tijde over de kennis en ervaring moeten beschikken op gebieden als informatievoorziening, risicoanalyse, compliance, doelstellingsrealisatie en informatietechnologie. Dat geldt ook voor de wijze van opereren. Het gaat dan om houdings- en gedragseigenschappen die de auditor in staat stellen om op een overtuigende wijze op alle organisatieniveaus te kunnen communiceren en te rapporteren. In het bijzonder zal hij in staat moeten zijn om oplossingsgericht interventies te plegen en managers te confronteren met, indien aan de orde, een inconsequente handelwijze en willekeurig gedrag.
Opdrachtgeverschap
Een van de belangrijkste oorzaken dat de auditfunctie niet van acquit komt heeft als achtergrond dat de opdracht gevende instantie nog immer het hoofd boekhouding, dan wel de controller of de chief financial officer (CFO) is. Om daadwerkelijk onafhankelijk onderzoek te kunnen uitvoeren naar onderzoeksobjecten die op basis van risicoanalyse tot stand zijn gekomen, is het noodzakelijk dat de directievoorzitter of chief executive officer (CEO) de directe opdrachtgever is. Daarbij dient het inschatten van risico’s, een taak die veelal nog door de auditafdeling zelf wordt uitgevoerd, expliciet bij het management te worden belegd. Dat laatste betekent dat afdelingshoofden over de door hen geïnventariseerde en gewogen risico’s, bijvoorbeeld in de vorm van in control statements (ICS), verslag uitbrengen aan hun directeuren. Op concernniveau vindt consolidatie plaats naar een organisatie breed risicoplan. Dit risicoplan vormt de basis waarop het auditcomité een auditjaarplan kan laten samenstellen.
Vervolgens kunnen de internal auditors in opdracht van de directievoorzitter, conform het 3LoD-model, op een onafhankelijke wijze die objecten aan een onderzoek onderwerpen, waarvan het management zelf heeft vastgesteld dat het met dat object samenhangend risico een dergelijk onderzoek rechtvaardigt.
Organisatiegedrag en de betekenisvolle rol van internal auditing
De vraag dient zich uiteindelijk nog aan of het niveau waarop internal auditing interventies pleegt moet zijn afgestemd op of zich moet conformeren aan de heersende organisatiecultuur.
In het algemeen zal het zo zijn dat er over de wijze waarop de organisatieleden met elkaar omgaan een level of understanding moet zijn. Dat is nodig om de communicatie tussen de organisatieleden onderling, maar ook met de omgeving, op een eenduidige en voor iedereen herkenbare en werkbare wijze te laten plaatsvinden. Het is de hoogste leiding die verantwoordelijk is voor deze grondhouding of toonzetting in de organisatie. Dat houdt vooral in dat managers het beoogde gedrag zowel in woord, in een gedragscode bijvoorbeeld, als in feitelijke uitspraken en gedragingen, bewust in de praktijk moeten brengen.
Het is vooral de internal auditor die, daartoe uitgenodigd door de ondernemingsleiding, het management kan helpen bij het doorvoeren van een andere leiderschapsstijl, verandering van organisatiegedrag of een cultuuromslag. Vervolgens zal auditmanagement zo goed mogelijk in die rol moeten volharden. Dat dient dan te gebeuren in het besef dat de leiding van de organisatie om haar moverende reden andere plannen probeert te realiseren; dan wel uitgaat van een eigen gepercipieerde auditwerkelijkheid. Bovenal heeft de bestuurder, als mens, de natuurlijke neiging om terug te vallen op “oud gedrag” en de auditor bijvoorbeeld in de rol van inspecteur dwingen. Met andere woorden van de auditor mag worden verwacht dat hij met veel geduld, een grote inzet, een professionele houding en beargumenteerde overtuigingskracht probeert om zijn auditmissie te realiseren.
Zou blijken dat de wijze van leidinggeven in de organisatie gekenmerkt wordt door een concept van centrale besluitvorming, hiërarchisch gedrag en een zekere willekeur waar het de interventies en de feedback acties van de leiding betreft, dan dient de auditor zich af te vragen of de functie van een onafhankelijke kritische blik niet contraproductief werkt. Met andere woorden het juiste moment om een internal auditfunctie te institutionaliseren is nog niet aangebroken.
Afsluiting
Met dit artikel willen we een bijdrage leveren aan de gedachtevorming over een brede vestiging van het fenomeen internal auditing binnen organisaties en instellingen te Suriname. De totstandkoming van internal auditing is veelal een resultante van een noodzakelijk transformatieproces in het karakter van toetsende activiteiten. Gaat het traditioneel om verbijzonderde interne of financiële controles op de transactieverwerking; de transformatie beoogt om een onafhankelijke, objectieve en proactieve onderzoeksfunctie in het leven te roepen. Een functie die zich vooral gaat richten op de kwaliteit van de inrichting van de organisatie, zodanig dat uitspraken kunnen worden gedaan over de mate waarin de organisatiedoelstellingen kunnen worden gehaald.
We kunnen stellen dat organisaties waarvan wij kennis hebben genomen zich voorgenomen hebben die transitie op enig moment in gang te zetten, maar dat vooralsnog niet hebben gedaan; de heersende organisatiecultuur, de houding van toezichthouders, de kennis over en ervaring met verandermanagement vormen belemmeringen om de daadwerkelijke transitie in gang te zetten.
Daarnaast zijn er organisaties die de eerste stappen in de richting van een internal auditfunctie wel hebben gezet en het veranderingsproces naar behoren lijken te beheersen.
In zeer beperkte mate is er sprake van een internal auditfunctie die conform het three lines of defence-model is ingericht en als zodanig functioneert.
In het algemeen kan wel worden gesteld dat een substantieel deel van de binnen organisaties beschikbare internal auditcapaciteit nog immer lijkt te worden aangewend om vraagstukken op het gebied van interne controle en bijzondere onderzoeken het hoofd te bieden.
Met andere woorden: er is voor veel organisaties nog een weg te gaan om over een onafhankelijke internal auditfunctie te kunnen beschikken.
[1] Oscar Kajansie is senior internal auditor te GRC (kajansie@hotmail.com)
Arie Molenkamp is organisatieadviseur, auteur en trainer (www.publicauditing.nl)