Van Operat ional naar Managem ent Cont rol Audit ing?

Transcriptie

1 Van Operat ional naar Managem ent Cont rol Audit ing? L. Paape RA RO CIA en R.W.A. de Korte RA RE RO CIA (*) Oktober 1999 Operational Auditing heeft zich in N ederland in de afgelopen zes jaar ont w ikkeld van een strom ing die leidde tot een verbreding van het aandachtsveld van voornam elijk accountants tot een eigen vakgebied. Een jong vakgebied w elisw aar, m et nog vele m ogelijkheden om tot w asdom te kom en. De universitaire opleidingen tot Register Operational audit or ( RO) en het verschijnen van N ederlandstalige Paape (links) en De Korte: Ruil de term operational auditing in voor management control auditing. literatuur hebben rijkelijk aan de ont w ikkeling bijgedragen. Deze universit aire opleidinge n en de VERAcursus m et gelijkluidende naam, m ogen zich verheugen in een ruim e belangstelling en voorzien in die zin in een behoefte. Discussies over de inhoud van het vakgebied en het werkveld van de Operational auditor met collega s en studenten geven aan dat er grote verschillen zijn in de invulling die auditafdelingen in de praktijk geven aan Operational Audit. De term wordt reeds gehanteerd zodra wordt gekeken naar de naleving van procedures en de conclusie niet uitsluitend wordt gebruikt voor de controle van financiele verantwoordingen. Door de toevoeging Managementkundige benadering proberen we vanuit de opleidingen aan te geven dat bij een meer volwassen vorm van Operational auditing de bedrijfsdoelstelling als basis dient voor de beoordeling van de kwaliteit van de procesbeheersing en de effectiviteit van de beheersmaatregelen. De spraakverwarring die het gevolg is van de grote verschillen in de definiëring van Operational auditing is hinderlijk en staat naar onze mening de verdere ontwikkeling van het vakgebied in de weg. Vanuit een korte historische schets van het ontstaan van het vak zullen we enkele definities van Operational Auditing behandelen. Vervolgens geven we aan welke ontwikkelingen zich naar onze mening voordoen die rechtvaardigen dat Operational Auditing haar vleugels nog verder uitstrekt dan nu reeds het geval is. Aan het slot stellen we een nieuwe definitie voor met een daarbij passende nieuwe naam van het vakgebied: Management Control Auditing.

2 Korte historie Over de reden van de opkomst van Operational auditing bestaat nog geen consensus. In veel Nederlandse literatuur lees je dat de decentralisatietendens en het fenomeen integraal management ertoe hebben geleid dat het hoogste management van een organisatie de behoefte kreeg aan een toetsende functie om vast te stellen of het decentrale management met de nieuw verworven bevoegdheden geen rare dingen uithaalde. Hoewel de opkomst in het Nederlandse bedrijfsleven inderdaad lijkt samen te vallen met deze managementtrends is dat naar onze mening slechts een deel van het verhaal. In Angelsaksische landen bestond deze figuur al langer, zich presenterend als Internal Auditor. Los van de decentralisatie tendens hebben managers behoefte aan een onafhankelijk oordeel over het functioneren van de organisatie als geheel. Afhankelijk van de door dit management gehanteerde stijl varieerde de functie van de Internal auditor van controleur (naleving van procedures) tot onderzoeker en adviseur (gericht op verbetermogelijkheden). Met name in grote organisaties verlangde de complexiteit van de besturing en beheersing een aanvullend instrument. Het is dan ook niet vreemd dat juist in de grote ondernemingen als Shell en Unilever Operational Auditing al een leven achter zich heeft. Daar evolueerde de Interne Accountantsdienst als eerste naar een Internal Audit afdeling die zich bij voorkeur richtte op Operational Auditing. Bij andere Nederlandse ondernemingen waar de interne accountants met het intern certificeren van financiële verantwoordingen een belangrijke bijdrage leveren aan de financial control en de totstandkoming van de jaarrekening, was de ontwikkeling van het vakgebied Operational Auditing relatief beperkt. Weinig anders dan we constateren bij de grotere accountantskantoren zien we vervolgens de motivatie om toegevoegde waarde te bieden aan het management, waaruit een verbreding van de scope van de (financial) audit en een toename van het aantal kwaliteitsaspecten (effectiviteit naast betrouwbaarheid) in de audit voortvloeien. Waar interne accountantsdiensten de financial audit afstonden aan de externe accountant ontstaan (als uitersten) twee varianten die beiden de term Operational Audit hanteren: de auditafdeling verricht onderzoek naar procesbeheersing vanuit de managementkundige benadering of; de werkzaamheden die eerder als interim controle werden verricht worden uitgebreid met het doel een basis te leggen voor de certificering door de externe accountant en tegelijkertijd op financieel gebied enige meerwaarde voor het management te creëren door te adviseren over de financiële beheersing in een breder perspectief dan de jaarrekening. Naast Interne Accountantsdiensten zijn er ook andere dienstaanbieders zoals consultants - op de markt die Operational Audits uitvoeren. Uiteindelijk leidde de wens om Operational auditing vanuit de managementkundige benadering duidelijker te

3 onderscheiden van andere vormen van Operational auditing, tot de instelling van een register voor Operational Auditors (RO), bijgehouden door een beroepsvereniging, de Vereniging voor Operational Auditors (VRO) Definitie van het vakgebied In de context van de definitie is het wenselijk als startpunt te kiezen voor de managementcyclus. In deze cyclus is de Evaluatie te splitsen in Evaluatie van de inrichting en Evaluatie van de uitvoering. Beide evaluaties dienen door het management zelf te worden uitgevoerd. Belangrijk is dat het management zich realiseert dat evalueren en het op grond daarvan bijsturen een noodzakelijke activiteit is die niet kan en mag worden uitbesteed. In de praktijk constateren we maar al te vaak dat veel organisaties de evaluatiefase onvoldoende vorm hebben gegeven zodat niet wordt geleerd van gemaakte fouten en bijsturing achterwege blijft. We zullen hierna vaststellen dat dat nu juist een belangrijke voorwaarde is voor het lange termijn succes van een organisatie. In veel literatuur wordt audit gepositioneerd IN de managementcyclus en derhalve gesuggereerd dat de auditor deze werkzaamheden uitvoert. Ons inziens is dat een misvatting. Auditors dienen er voor te waken niet (met enige regelmaat) in die rol te worden geplaatst. De rol van de auditor is immers vast te stellen dat de volledige managementcyclus wordt beheerst. De evaluatie dient plaats te vinden door de proces- of inrichtingsverantwoordelijke met als doel, indien nodig, aanpassingen in de inrichting of uitvoering door te voeren. Dit ogenschijnlijke nuanceverschil heeft tot gevolg dat in de zelfde literatuur wordt gesteld dat de (Management)controller, verantwoordelijk voor de inrichting, bij het uitvoeren van de evaluatie de operational auditfunctie zou vervullen. Naar onze mening dienen de controlewerkzaamheden van de controller in deze situatie te worden gezien als zelfcontrole. De auditor (in het MKB segment wellicht extern in te huren), zal met een second opinion de beoogde additionele zekerheid moeten verschaffen. We richten onze blik nu op twee gangbare definities van Operational Auditing. De eerste luidt als volgt: een periodieke, onafhankelijke doorlichting van een organisatie-eenheid of een proces waarbij aan de hand van een aantal relevante factoren systematisch een oordeel kan worden gegeven over een breed scala van aspecten van de bedrijfsvoering. Hierdoor kan op discontinue wijze met behulp van normen de opzet, het bestaan en de werking van de interne organisatie worden getoetst aan de geformuleerde doelstellingen. (1)

4 Deze definitie is het langst in omloop en heeft naar ons gevoel op basis van de praktijk enkele bezwaren. In de eerste plaats is.een aantal relevante factoren niet duidelijk en heeft dit ook weinig invulling gekregen. In de tweede plaats blijken de normen voor de interne organisatie niet of nauwelijks voorhanden. Dat is geen verwijt aan de opstellers van de definitie, conform de leer dient een auditor de beschikking te hebben over een norm. Is er geen norm dan is een audit, in de zin van het vergelijken van de Ist - met de Soll -situatie, niet mogelijk. In de praktijk blijkt veelal dat deze normen in samenspraak met het management vastgesteld kunnen worden. In de derde plaats worden de doelstellingen als uitgangspunt genomen en spreekt uit de definitie niet de noodzaak dat achteraf nog een cross check wordt uitgevoerd die dient vast te stellen of de doelen nog wel juist zijn. Uiteraard is dat een managementtaak maar om een aantal redenen dient de auditor zich een mening te vormen over de totstandkoming, formulering en onderlinge verhouding van de gestelde doelen: in de praktijk blijken doelen veelal onvoldoende helder te zijn uitgewerkt en niet te voldoen aan het acroniem SMART (2) waardoor de operationalisering problematisch wordt; het tot stand komen van doelen is een proces waarin inconsistenties en foutieve interpretaties een groot effect hebben op de uitkomst Dit proces is met veel toegevoegde waarde te auditen. De inhoudelijke verantwoordelijkheid voor de doelen zelf blijft bij het management; een verwijt dat auditors vaak terecht wordt gemaakt (3) is dat zij bezig zijn organisaties auditable te maken en de eigenlijke zaak uit het oog verliezen. Auditors kunnen door de doelen als (vaststaand) uitgangspunt te nemen meewerken aan het volharden in het volgen van de verkeerde koers met uiteindelijk schipbreuk (lees discontinuïteit) als gevolg. Het gedachtengoed van de lerende organisatie krijgt daarmee geen aandacht. Een tweede definitie luidt als volgt: het onderzoek naar de kwaliteit (effectiviteit en efficiëntie) van de beheersmaatregelen die zeker moeten stellen dat de doelstellingen van de organisatie zullen worden gerealiseerd, overeenkomstig de uitgangspunten en randvoorwaarden die door het topmanagement zijn geformuleerd. (4) De toevoeging van de auteurs willen we u niet onthouden: De doelstellingen van een operational audit zijn: het bieden van zekerheid; steeds betere beheersing; continue organisatieverbetering (de lerende organisatie)". Ook zij kiezen de doelstellingen als uitgangspunt, maar zij brengen een toekomstperspectief aan door zullen toe te voegen aan de definitie. Verder brengen zij het perspectief van de lerende organisatie in als doelstelling van een operational audit. Hierover later meer. Zij spreken expliciet over de kwaliteit (effectiviteit en efficiency) van de beheersmaatregelen, waarbij wij er vanuit

5 gaan dat onder beheersmaatregelen tevens de stuurmaatregelen begrepen zijn. Naar onze mening is de tweede definitie te prefereren boven de eerste. Het feit dat ons vak ook te maken heeft met voortschrijdend inzicht is hiermee ook duidelijk. De tweede definitie is ruwweg vijf jaar later gepubliceerd. We hechten er nog waarde aan topmanagement te schrijven als (top)management aangezien we van mening zijn dat afhankelijk van het kritisch gehalte van de bedrijfsprocessen alle managementlagen als opdrachtgever kunnen optreden. Ontw erp van een m anagem ent control systeem De manager die zijn organisatie inricht in lijn met de op de organisatiedoelstelling gebaseerde kritieke succesfactoren zal tevens behoefte hebben aan stuur- en beheersingsmechanismen. Het geheel van stuur en beheersmaatregelen omschrijven we als het Management Control Systeem (MCS) van een organisatie. Een schema waarmee is aan te geven waar Operational Auditors tijdens hun audit een oordeel over moeten geven is het model van Simons (1995): Merk op dat in dit schema de Strategy weliswaar centraal staat maar geen statisch element is (zie hierna). De Beliefs systems zijn vooral bedoeld om de visie, de missie, de cultuur en de normen en waarden vorm te geven. Boundary systems zijn het geheel van ge- en verboden. De Diagnostic control systems zijn hetgeen we gemakshalve willen omschrijven met de administratieve organisatie zoals wij die kennen op basis van de boeken van Starreveld. De Interactive control systems zijn de systemen die het lerend vermogen van de organisatie veilig dienen te stellen. Simons heeft het dan over de interactie tussen de diverse managementniveaus en ook met de omgeving waarbij continu de vraag aan de orde is of de organisatie nog op de juiste koers ligt en of dus de strategy nog valide is. De internal controls zijn in zijn ogen de maatregelen die de betrouwbaarheid van de informatie dienen te garanderen en dit ligt dicht aan tegen ons begrip interne controle. Het lerend vermogen verdient nog wat aandacht. De Geus (5) heeft op basis van zijn onderzoek aangetoond dat ondernemingen die een lange levensduur hebben met name uitblinken in het hebben van een hoog adaptief vermogen. Dit betekent dat zij zeer goed in staat zijn zich aan te passen aan veranderende omstandigheden. In

6 termen van Simons hebben zij goed ontwikkelde interactive control systems. Deze systemen vereisen, wat ook wel wordt aangeduid met, double loop learning. Kloot (1997) schrijft, zich beroepend op onderzoek van Argyris inzake de lerende organisatie, dat 'double loop learning'in tegenstelling tot 'single loop learning'specifieke kenmerken van een management control systeem vereist: accounting informatie dient vrijelijk en frequent beschikbaar te zijn; performance measurement systemen moeten zich richten op horizontale control structuren met minder aandacht voor verticaal op de hiërarchie gebaseerde control structuren. Dit laatste is in veel organisaties nog nauwelijks ontwikkeld, performance measurement is veelal gericht op de hiërarchieke lijn. Immers, managers worden verantwoordelijk gesteld voor het behalen van resultaten en zij dragen veelal verantwoordelijkheid voor een organisatorische eenheid in plaats van voor een proces. Het concept van de 'balanced scorecard'leidt er gelukkig toe dat ook de focus op processen gericht wordt; daarmee samenhangende beloningssystemen dienen creativiteit en het nemen van risico's te bevorderen. Ook hier is de praktijk veelal wezenlijk anders; participatieve besluitvorming is wenselijk; training en ontwikkeling van personeel dient gericht te zijn op participatie en 'empowerment'; strategische planning dient vervangen te worden door 'contingency planning'waarin alle medewerkers worden betrokken en flexibiliteit en creativiteit wordt gestimuleerd; het belang van hoge kwaliteit en de ontwikkeling van een gemeenschappelijk stelsel van normen en waarden en een gemeenschappelijke visie dient onderkend te zijn. Wellicht wat verder kijkend dan naar de dagelijkse praktijk dienen dergelijke vereisten onderdeel van een onderzoek naar de kwaliteit van een MCS te zijn. Een schema waarmee de samenstellende delen van een MCS worden weergegeven is het schema van Rotch (1993). Uit dit schema blijkt dat bijvoorbeeld Leadership Style, Strategy, Performance Measurement en Motivation (cultuur?!) onderwerp van een audit van een MCS zouden moeten zijn. N aar een nieuw e definitie. Het management nu verlangt zekerheid dat het MCS goed functioneert en wenst daarover met een zekere frequentie te worden geïnformeerd. Modern opgeleide Operational Auditors kunnen daar een belangrijke rol in vervullen. In onderstaand schema voorzien we de auditor van een camera en brengen hem in een geostationaire baan om de Management Control cycle.

7 De auditfunctie ziet als het ware toe op het functioneren van de managementcyclus in zijn geheel, kijkt vanaf een metaniveau toe, cirkelt in een baan rondom de cyclus en maakt daar dus geen deel van uit. Zij maakt foto s of liever een film van de cyclus, trekt op grond daarvan conclusies en geeft adviezen ter verbetering. Alle elementen van de cyclus vormen dus in principe een mogelijk subject van een dergelijke audit. Een nieuwe definitie zou dan ook als volgt kunnen luiden: Een objectief onderzoek naar het functioneren van het Management Control Systeem van een organisatie, gericht op de realisatie van de strategie van de organisatie, met als oogmerk het geven van additionele zekerheid en waar nuttig het geven van adviezen ter verbetering. Deze definitie vraagt om een specifiekere aanduiding van de auditvorm dan het te pas en te onpas gehanteerde Operational Auditing. Het gebruik van dit begrip kent de volgende bezwaren: de associatie met het beoordelen van de operatie of processen op de werkvloer ligt te zeer op de loer en daarmee wordt ten onrechte een beperking verondersteld; Anthony (6) heeft in zijn klassieke werk inzake Management Control de laag Operational/Task Control teveel in de hoek gedrukt van de controle op de uitvoering; het begrip Operational is slecht gedefinieerd en is zeker niet eenduidig. Het wordt in ons land gebruikt voor een scala aan audit werkzaamheden variërend van performance audits, procesaudits en compliance audits tot management consultancy werkzaamheden; de uitbreiding van de taak van auditors om op grond van de wens van het management een mening te geven over de werking van het gehele MCS verdraagt zich niet met dit begrip. Een duidelijker aanduiding dan de toevoeging managementkundige benadering aan de verzamelnaam Operational audit kan de verwachtingskloof dichten. Het voorstel laat zich raden: ruil de term Operational Auditing in voor Management Control Auditing (MCA). Het voordeel is dat deze definitie beter aangeeft waarop een onderzoek betrekking heeft. De Registercontroller maakt in de praktijk al gebruik van de term Management Controller. De combinatie brengt de natuurlijke band tussen Auditor en Controller tot uitdrukking.

8 MCA sluit ook beter aan bij de nieuwe definitie voor Internal Auditing, na een enkele jaren durende wereldwijde studie gepubliceerd door het Institute of Internal Auditors Inc. uit de USA.: An objective assurance and consulting activity that is independently managed within an organization and guided by a philosophy of adding value to improve the operations of the organization. It assists an organisation in accomplishing its objectives by bringing a systematic and disciplined approach to evaluate and improve the effectiveness of the organisation s risk management, control and governance processes. (7) Tot slot Het zal duidelijk zijn dat als we de voorgestelde definitie in zijn volle omvang willen waarmaken dit consequenties zal hebben, met name voor de opleiding, de samenstelling van een auditfunctie (multidisciplinair) en de samenwerking binnen de organisaties met managers, controllers en andere functionarissen. Het zal bijdragen aan de discussies die gevoerd worden rondom Corporate Governance, het al of niet doen van publieke uitspraken daarover en de eventuele certificering van dergelijke uitspraken. Immers, het systeem van Corporate Governance is in grote mate synoniem met een Management Control Systeem. De enige inperking zal dan betrekking hebben op de wijze waarop met de stakeholders wordt omgegaan en gecommuniceerd. Auditing heeft de toekomst, mits we in weten te spelen op de behoeften die het management heeft. Daartoe dienen we de taal van het management te spreken, eenduidige definities te hanteren en ons te focussen op het realiseren van de doelstellingen die het management zich stelt. En ook dit stellen van doelen willen we zien als te auditen proces. We hebben nog een lange weg te gaan. Het is een weg die vele kuilen en oneffenheden kent maar tegelijkertijd grote uitdagingen brengt. Uitdagingen, die een toekomstig Management Control Auditor ongetwijfeld graag aangaat. Overige literatuur Kloot, L., (1997), Organizational Learning and Management Control Systems: responding to environmental change, Management Accounting Research, no. 8 Rotch, W., (1993), Management Control Systems: One view of Components and Their

9 Interdependence, British Journal of Management, vol. 4, nr. 3, pp Simons, R., (1995), Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal, Harvard Business School Press, Boston Dit artikel is een bewerking van het artikel: OA =>MCSA!?! Over de toekomst van Operational Auditing uit Hoe goed is een woord op zijn tijd de Jubileum bundel 25 jaar VERA. Noten (*) Leen Paape is Partner bij PricewaterhouseCoopers voor Strategic Risk Services en Integrity & Compliance Risk Management en Program Director van de postdoctorale Internal/Operational Auditopleiding aan de Erasmusuniversiteit Rotterdam. Ronald W.A. de Korte is verbonden aan de Erasmus Universiteit te Rotterdam als postdoctorale docent en aan ACS te Driebergen als auditconsultant (1) Driessen A.J.G., J.W.van der Kerk en A. Molenkamp, Operational auditing, een managementkundige benadering, Kluwer Bedrijfsinformatie, Deventer, 1993 (2) Specific Measurable Attainable Result-oriented Time based. (3) Power M., The Audit society, Rituals of Verification, Oxford University press, New York, 1997 (4) Groesz M., P.A. Hartog en J.H.M. Otten, Operational Auditing in het MKB, Kluwer Bedrijfsinformatie, Deventer, (5) Geus A.P. de, Levende ondernemingen: de sleutel tot ontwikkeling, Holland/Belgium Management Review, nr. 54, pagina s 7-12, (6) Anthony R.N., The management Control Function, The Harvard Business School Press, Boston, (7) The Competency Framework for Internal Auditing: IIA Inc., Altamonte Springs, 1999.