ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN

Transcriptie

1 Auditing Richtlijnen en randvoorwaarden ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN Veel organisaties zien zich dezer dagen genoodzaakt hun strategie te herzien en de organisatieprocessen en -systemen aan te passen. Deze veranderingen worden vaak geïmplementeerd via programma s en projecten. Welke rol spelen auditor en controller bij dergelijke grote projecten? De auteur gaat in dit artikel op zoek naar de rol van de internal auditor hierbij, zijn onafhankelijke positie en naar hoe deze rol zich verhoudt tot die van de financieel controller. DOOR SAM HUIBERS Aan de hand van het zogenaamde lines of defense-model zal ik het verschil in de rolverdeling en verantwoordelijkheidsgebieden van de financieel controller en de internal auditor in perspectief zetten (zie figuur 1). Een eerste uitgangspunt is dat het management uiteindelijk primair verantwoordelijk is voor een project of programma, in de hoedanigheid van projectsponsor, stuurgroep en/of proceseigenaar. Taken kunnen worden gedelegeerd aan een projectmanager, die binnen de overeengekomen doelstellingen en tijdslijnen, met de beschikbaar gestelde middelen (zoals budget en mankracht), verantwoording aflegt aan de opdrachtgever c.q. stuurgroep. In het lines of defense-model is de eerste lijn aangeduid als first line of defense. Het lijnmanagement en de projectmanager zijn daarbij in de eerste plaats verantwoordelijk voor het treffen van adequate beheersmaatregelen, zoals het invullen van de quality assurance-rol in de projectinrichting, met de daarbij behorende processen. De financieel controller kan daarbij een essentiële rol vervullen in de directe ondersteuning van de projectmanager, bijvoorbeeld aan de hand van het opzetten van een goede financiële projectinrichting en het bewaken van de projectbudgetten. Daarnaast kan de financieel controller een businesspartnerrol hebben om de opdrachtgever van het project te ondersteunen bij het opstellen van de businesscase en het monitoren van de realisatie ervan. De internal auditor zou terug houdend moeten zijn met deelname aan stuurgroepbijeenkomsten De tweede lijn in het model (second line of defense) zijn ondersteunende afdelingen op het gebied van governancegerelateerde werkzaamheden, zoals de afdelingen Compliance, Risk Assessment en Internal Control. In veel ondernemingen bestaan hiervoor geen separate afdelingen en kan de controller een belangrijke bijdrage leveren vanuit zijn inhoudelijke competenties en kennis van de businessprocessen. Zo kan hij bijvoorbeeld een internal-control design maken (met geautoma- OKTOBER _FC 0509_bw.indd :46:21

2 Organisatie [III-DEP] Organisatieniveau Programma/projectniveau 1 e line of defense 2 e line of defense 3 e line of defense 1 Vaststellen governancestructuur, rollen en inrichting lines of defense [DEP 3.1] Lijnmanagement Projectmanagement Risk Compliance Internal Control Portfolio Programma s Projecten IT audit Internal audit (IA) Financiële audit 2 Toewijzen rollen aan afgevaardigden van verschillende governance departments [DEP 3.2] Figuur 1 Lines of defense-model tiseerde beheersmaatregelen, procedures, autorisaties, etc.) in een business process redesign-project. In deze ondersteunende rol aan de opdrachtgever of projectmanager kan ook business control als een tweede line of defense worden beschouwd. Internal audit is de derde line of defense en biedt aanvullende zekerheid over de activiteiten van de eerste en tweede lijn. Hierna ga ik in op de vraag hoe de internal auditor toegevoegde waarde kan hebben in projecten en een proactieve rol kan vervullen zonder zijn onafhankelijke positie uit het oog te verliezen. Om het model te complementeren kan de externe auditor als een vierde line of defense worden beschouwd. Rol internal auditor in projecten Vraag van de business controller aan de internal auditor in een bespreking over de projectinrichting van een groot managementinformatievoorzieningsproject: Wat kan internal audit nu betekenen in dit project, behalve dat we achteraf te horen krijgen dat we de beheersmaatregelen in het rapportageproces anders hadden moeten inrichten en we een jaar verder zijn? Oorspronkelijk richtte de rol van de internal auditor zich op de betrouwbaarheid van de financiële rapportage. Medio jaren tachtig ontstond een trend naar de uitbreiding van de reikwijdte van de activiteiten gericht op de effectiviteit van de interne operationele processen, al dan niet financieel van aard. De Angelsaksische managementbenadering van de jaren negentig, gericht op het integreren van de internal audit-functie in de organisatie, werd de volgende stap in de ontwikkeling van de internal audit-functie. Dit brengt ons bij de vraag: Welke rollen kan de internal auditor op basis van deze ontwikkelingen vervullen in projecten? Het Institute of Internal Auditors (IIA, 2007) definieert internal auditing als (...) an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. In deze definitie komt zowel de assurance-kant als de adviesrol naar voren. Enerzijds geeft de internal auditor vanuit zijn assurance-rol een objectieve beoordeling over het functioneren van het audit-onderzoeksobject op basis van verzameld bewijsmateriaal; anderzijds kan de internal auditor op verzoek van het management advies uitbrengen over mogelijke oplossingsrichtingen. 8 OKTOBER _FC 0509_bw.indd :46:21

3 Assurance Reviews na go-live QA-projectresultaten QA-project-review Adviserend Advieur (inhoudelijk) QA-advies projectman QA-advies programmaman Klankbordrol Coach en trainer Proactieve expertiserol QA-programma-review Verantwoording project Projectcoördinatie Participerend Documentatie-controls Proactieve QA-partner Bepalen risicoaversie Opleggen project-process Managen van risico s Implementeren oplossingen Verantwoording resultaten Geen rol Natuurlijke rol van de internal auditor Gelegitimeerde rol internal auditor met randvoorwaarden Geen rol voor internal auditor Assurance Adviserend/ Participerend Figuur 2 Rollen van de internal auditor in projecten Type projectenrollen Voorbeelden van projectrollen Omschrijving Assurance-rol QA-programma/projectreviews Reviews in verschillende fases van het project o.a.: - initiële projectfase - project mijlpalen - moment vóór go-live ( business readiness -review ) - na go-live ( post-implementation- reviews ). Adviserende rol Figuur 3 QA-projectresultaten (deliverables) Review na go-live QA-adviseur voor programma- en projectmanagement Advies (inhoudelijk) Klankbordrol Coach/trainer Toelichting bij rollen van de internal auditor in projecten. Review op de kwaliteit en documentatie van de projectresultaten (deliverables). Oordeel over de effectiviteit van de integratie van de projectresultaten (bijv. internal control design) in de organisatie. Advies aan projectmanagement met betrekking tot projectinrichting en risicomanagementmethodologie. Optreden als adviseur in een afgebakende rol door het beantwoorden van vragen en het aandragen van mogelijke alternatieven zonder directe betrokkenheid te hebben in de besluitvorming en/of realisatie. Het stellen van vragen ter reflectie. Het optreden in een coachende rol en faciliteren van trainingen met betrekking tot specifieke competentie gebieden van de auditor zoals risicomanagement. Participerende rol Proactieve expertiserol Beschikken over specifieke kennis bijvoorbeeld op het gebied van beheersingsmaatregelen en IT-beveiliging. Deze kennis actief inbrengen door alternatieve oplossingen aan te dragen en het formuleren van aanbevelingen. Project/process-coördinatie Coördinatie van projectmatige activiteiten. Documentatie van beheersmaatregelen Ondersteunen van documentatie van beheersmaatregelen. Proactieve QA-partnerrol QA-partner die niet alleen helpt risico s te identificeren, maar deze ook vertaalt in concrete businessissues met behorende aanbevelingen. OKTOBER _FC 0509_bw.indd :46:22

4 Met de toenemende vraag van het management naar de diensten van de internal auditor is de vraag hoe hij zijn traditionele assurance-rol kan verbreden naar een meer adviserende rol als een proactieve partner in projecten, zonder daarbij zijn onafhankelijke positie in het gedrang te laten komen. In mijn referaat over de rol van de internal auditor in projecten (Huibers, 2008) categoriseer ik de rollen van de internal auditor in projecten in vier soorten rollen (zie figuur 2). Hiervoor heb ik gebruikgemaakt van een analogie van basisrollen van een position paper van het Institute of Internal Auditors (IIA, 2004). Op basis daarvan heb ik de rollen van de internal auditor in projecten ingedeeld in vier categorieën: 1. de assurance-rol: bijvoorbeeld project reviews, milestone reviews en post go-live reviews. Dit is de natuurlijke, traditionele rol van de internal auditor; 2. de adviserende rol: adviserende rollen zijn rollen die kunnen worden vervuld met randvoorwaarden; 3. de participerende rol: participerende rollen die eveneens onder voorbehoud (met randvoorwaarden) kunnen worden vervuld; 4. rol die de auditor niet kan vervullen in projecten: bijvoorbeeld het bepalen van de risicoaversie (risk appetite) of het actief managen van deze projectrisico s. De belangrijkste randvoorwaarde om de onafhankelijkheid van de internal auditor te waarborgen is dat hij geen managementverantwoordelijkheid neemt. Dit geldt voor alle onderdelen van het project, vanaf het moment van het bepalen van de risicoaversie van het project tot aan het implementeren van de resultaten in de bestaande organisatie. Voorbeelden bij de typen rollen van de internal auditor in projecten vindt u in figuur 2 en een nadere toelichting in figuur 3. De vraag blijft op welke wijze de internal auditor deze proactieve businesspartnerrol van het management en de controllerrol kan vervullen, zonder dat hij daarbij zijn onafhankelijke positie verliest. In de volgende paragraaf ga ik hier nader op in. Raamwerk richtlijnen en randvoorwaarden Het raamwerk richtlijnen en randvoorwaarden beschrijft hoe de internal auditor in staat kan worden gesteld om potentieel conflicterende rollen, zoals de assurance- en de adviesrol, te vervullen (zie ook figuur 4). Het raamwerk bestaat uit vier kwadranten waarvan elk kwadrant een ander perspectief geeft: 1. richtlijnen vanuit het Instituut van Internal Auditors (IIA); 2. de afdelingsstructuur van de internal audit-dienst; 3. de uitwisselbaarheid van rollen met andere ondersteunende functies zoals business control; en 4. project governance-raamwerken. Elk kwadrant beschrijft twee niveaus: 1. richtlijnen op organisatieniveau, die van toepassing zijn op een organisatiebrede context; 2. richtlijnen op individueel programma- en projectniveau, waarbij het portfolioniveau de link is tussen de organisatiedoelen en programma/project doelstellingen. In kwadrant 3 ga ik bijvoorbeeld in op de toenemende focus op risicomanagement en bewustwording van het belang van het treffen van effectieve beheersmaatregelen. Als gevolg daarvan biedt het ontstaan van governance-ondersteunende afdelingen zoals Risk Management, Internal Control en Business Control een mogelijkheid om eventueel conflicterende rollen in een project onder te brengen bij verschillende afdelingen. De eerste stap is om met het executive management de rollen en verantwoordelijkheden op organisatieniveau helder en eenduidig te definiëren en vast te leggen in de governancestructuur. Op programma- en projectniveau kunnen vervolgens mogelijk conflicterende rollen worden belegd bij verschillende functies, om mogelijke tegengestelde belangen te voorkomen. Om een concreet voorbeeld te geven: business control is betrokken bij het opstellen van beheersmaatregelen in het rapportageproces, zoals het opstellen van procedures voor de financiële consolidatie, waarbij Internal Audit in een adviserende rol de volledigheid van de beheersmaatregelen evalueert. In dit voorbeeld richt Internal Audit zich vooral op de balans tussen preventieve maatregelen (systeem-controls) en reactieve maatregelen (corrigeren van cijfers op basis van door de proceseigenaar opgestelde procedures). De overeenkomst tussen alle kwadranten van het raamwerk is de noodzaak van het opstellen, formaliseren en communiceren van de overeengekomen verantwoordelijkheden op alle niveaus in de organisatie om een eenduidig begrip ervan te garanderen: ~ op organisatieniveau: een heldere definitie van de governance-structuur, goedgekeurd door het executive management, met vastlegging van rollen en verantwoordelijkheden in charters, gedragsrichtlijnen en beleidsrichtlijnen geeft een duidelijke richting voor de randvoorwaarden op projectniveau (bijvoorbeeld: wat is het doel van de afdeling Business Control en wat zijn de activiteiten van Internal Audit zoals vastgelegd in het audit charter?); ~ op programma- en projectniveau: de rollen en verantwoordelijkheden moeten consistent zijn met de corporate procedures, gedocumenteerd en vastgelegd in het project charter en goedgekeurd door de opdrachtgever en/of stuurgroep. In het referaat (Huibers, 2008; online te vinden in de Kluwer database) beargumenteer ik verder, onder andere door gebruik te maken van invalshoeken uit de psychologie en de organisatietheorie (groepsbesluitvormingsprocessen), dat de internal auditor terughoudend zou moeten zijn met deelname 10 OKTOBER _FC 0509_bw.indd :46:22

5 aan stuurgroepbijeenkomsten, zelfs als lid zonder stemrechten. Het doel van het referaat is voornamelijk het geven van een praktisch toepasbaar overzicht van mogelijke rollen en richtlijnen voor het uitvoeren van deze rollen met betrekking tot de rol van auditors in projecten. Naast de richtlijnen van het IIA en uitgebreid literatuuronderzoek heb ik de roltypering van de internal auditor en het raamwerk met richtlijnen getoetst door middel van interviews met hoofden audit, Chief Audit Executives (CAE s), van een aantal grote Nederlandse multinationals. De gemeenschappelijke visie is dat de echte toegevoegde waarde van de internal auditor is om vanaf het begin op een proactieve wijze betrokken te zijn bij het project. Dit hoeft zeker niet tegenstrijdig te zijn met de onafhankelijke positie van de internal auditor. Integendeel, een van de executives maakte de volgende opmerking: Voor de positionering van de internal auditor in de organisatie is dit een kans, in plaats van een bedreiging. Literatuur ~ Het Instituut van Internal Auditors Nederland, De Internal Auditor in Nederland, Position Paper Update 2008, Naarden, ~ Huibers, S.C.J., The Role(s) of the Internal Auditor in Projects, referaat Amsterdam Business School, Universiteit van Amsterdam, Executive Master of Internal Auditing, juli ~ Molenkamp, A., Internal Auditprofessie bewijst haar bestaansrecht, Finance Control april ~ The Institute of Internal Auditors, The Role of Internal Audit in Enterprise-wide Risk Management, position paper, ~ The Institute of Internal Auditors, The Professional Practices Framework, The IIA Research Foundation, maart Drs. Sam Huibers EMIA RO, is als Audit Manager werkzaam bij de afdeling Group Internal Audit van Heineken N.V. Eerder bekleedde hij in het bedrijfsleven diverse internationale functies in finance control, advies en projectmanagement en was hij als onderzoeker verbonden aan de Universiteit van Maastricht. Hij is tevens lid van een vaktechnische werkgroep van het Instituut van Internal Auditors (IIA). Dit artikel is gebaseerd op het referaat van drs. S.C.J. Huibers EMIA RO met als titel The Role(s) of the Internal Auditor in Projects, Consultative auditing in projects: contradictus in terminus?, referaat Amsterdam Business School, Executive Master of Internal Auditing, Universiteit van Amsterdam, juli Het referaat is in de originele Engelstalige versie volledig en integraal opgenomen in de database van Kluwer en online beschikbaar ( Rubriek 4, Auditing. Hier vindt u ook meer uitleg en verwijzingen bij over dit onderwerp en een toelichting op randvoorwaarden en op rollen die niet door de internal auditor mogen worden vervuld. Organisatie I IIA richtlijnen II Internal audit IIA Attribute and performance standards Aard van de activiteiten helder en eenduidig gedefinieerd [IIA 1.1] Auditor onafhankelijkheid [IIA 1.2] III Andere governance-afdelingen [IIA] Heldere verantwoordelijkheden in governance op organisatieniveau [DEP 3.1] Vaststellen van uitwisselbare rollen op projectniveau [DEP 3.2] [DEP] Richtlijnen en randvoorwaarden Portfolio Programma s Projecten Functiescheiding Indeling IA afdeling op basis van aard activiteiten [AUD 2.1] Indeling IA afdeling op basis van expertisegebieden [AUD 2.2] Functiescheiding op projectniveau [AUD 2.3] [AUD] IV Project-governance Primaire verantwoordelijkheid in lijnorganisatie [PRO 4.1] Onafhankelijke rol naar de stuurgroep [PRO 4.2] Introduceren standaard(audit)- projectmethodologie [PRO 4.3] [AUD] Figuur 4 Samenvatting raamwerk van richtlijnen en voorwaarden OKTOBER _FC 0509_bw.indd :46:22