De Nieuwe publieke managementletter belicht kwetsbaarheden in de keten (NBA) en is meer dan een update in het signaleringswerk van de beroepsorganisatie. Hij vormt een publieke reflectie op een ontwikkeling die ik in recente columns al heb gesignaleerd: de traditionele grenzen van de accountantscontrole zijn knellend klein geworden in een wereld waar data, processen en risico’s steeds meer buiten de eigen organisatie plaatsvinden, in de keten.
Het mooie en tegelijk wrange is dat de beroepsorganisatie dit nu expliciet onder woorden brengt op een manier die naadloos lijkt aan te sluiten op de vraagstukken die ik de afgelopen maanden heb geadresseerd, zowel in mijn column over ketenassurance als in mijn FD-essay over het tempo van accountant en economie.
De kern van de nieuwe publieke managementletter (PML) draait om één heldere constatering: organisaties werken steeds meer in digitale, uitbestede, geïntegreerde ketens. Die ketens creëren risico’s die klassieke assurancevormen niet vangen.
Dat is geen kleine constatering het is een fundamentele verschuiving. Het duidt erop dat de NBA, NOREA en IIA Nederland erkennen wat velen in het veld al voelen: assurance die stopt aan de grenzen van de rechtspersoon geeft geen adequaat beeld meer van risico’s die continu door ketens bewegen.
Dit is precies wat ik in mijn column “Ketenassurance: lessen uit ESG voor innovatie in de audit” betoogde:
“zekerheid moet niet stoppen bij de rechtspersoon, maar de gehele transactiestroom volgen, want daar ontstaan risico’s en waardecreatie.”
Die column koppelde deze noodzaak niet alleen aan technologische trends, maar aan de essentie van betrouwbaarheid in een realtime economie waarin data niet stilstaan en waar risico’s aan de randen van juridische grenzen ontstaan.
Van momentopname naar real-time relevantie
In mijn essay in het FD pleitte ik er bovendien voor dat de traditionele controleverklaring steeds minder aansluit bij het tempo waarin organisaties functioneren. In de praktijk verandert alles continu; processen, data, koppelingen en toch geven we een oordeelsverklaring af alsof er een stabiel momentbeeld is dat voldoende zegt over verleden én toekomst.
De PML zegt het veel concreter: traditionele governance-instrumenten en assurance-vormen bieden onvoldoende houvast in de hedendaagse ketenrealiteit.
Dat is precies de spanning waar veel accountants dagelijks tegenaan lopen:
- de realiteit van bedrijfsvoering is dynamisch, ketens overspannen juridische grenzen, en risico’s circuleren sneller dan welke accountantscontrolecyclus ooit kan bijhouden;
- de assuranceframeworks zijn grotendeels ontworpen voor een wereld van’snapshot’-assurance;
- governance blijft lastig als die governance buiten je eigen juridische silo ligt.
Er is een mismatch tussen wat organisaties nodig hebben; doorlopende, relevante zekerheid over wat er werkelijk gebeurt en wat accountants momenteel leveren. De NBA erkent nu openlijk wat velen stilletjes al dachten: een momentopname is onvoldoende.
Wat de PML toevoegt (en waarom dat belangrijk is)
De PML gaat verder dan alleen het constateren van een uitdaging.
Hij biedt concreet:
- zes signalen richting bestuurders en toezichthouders om ketenrisico’s bestuurlijk te adresseren;
- een expliciete oproep aan accountants, IT-auditors en internal auditors om grenzen van traditionele assurance te herijken en expliciet te communiceren;
- handelingsperspectieven zoals het in kaart brengen van kritieke afhankelijkheden en realistische ketenoefeningen met strategische leveranciers.
Deze concrete handelingsperspectieven zijn gelukkig geen academisch abstractiegeweld. Uit de academische wereld rondom mijn ketenassurance pleidooi heb ik overigens weinig tot geen reactie gehad. Ze handreikingen in de PML zijn praktisch, en ze appelleren aan wat ik in mijn column omschreef als assurance op maat:
“ zekerheid die aansluit op de informatiebehoefte van gebruikers, in plaats van één generiek oordeel voor iedereen.”
Het verhaal is niet: weg met de controleverklaring. Maar wel: de controleverklaring moet onderdeel worden van een breder stelsel van relevantie en betrouwbaarheid.
Nieuwe accenten: governance, samenwerking, realisme
Wat de PML ook benadrukt en wat ik zelf slechts impliciet aansneed is een noodzakelijke bestuurlijke verantwoordelijkheid voor ketenrisico’s. Het zegt: bestuurders en commissarissen moeten niet alleen toezien op hun eigen kubus, maar op de keten als geheel.
Dat element is belangrijk, want het plaatst assurance niet langer alleen op het bordje van auditors. Want ketenrisico’s worden niet opgelost doordat een accountant een diepgaander testwerk uitvoert. Ze worden opgelost doordat:
- Bestuurders risico’s expliciet adresseren op bestuursniveau – buiten de klassieke assurancebox;
- Governancestructuren ketenbreed zijn ingericht inclusief contracten, service levels en escalation paths;
- Auditprofessionals samenwerken; tussen externe audit, IT-audit en internal audit.
Deze governancefocus kunnen we niet genoeg benadrukken. Want zonder bestuurlijke aandacht zijn ketenrisico’s niet alleen technisch lastig, maar ook politiek en juridisch weerbarstig.
De logica van de praktijk
Jarenlang hebben we in discussies rond ESG gezien wat er gebeurt als je assurance wil opschalen over grenzen het leidt tot complexiteit, kosten, datastandaardisatievraagstukken en governancefricties. Datzelfde zien we bij ketenassurance.
Maar de logica van de praktijk is ook onverbiddelijk:
- ja, het is moeilijk; (mijn hemel; dit heb ik nu zo vaak gehoord; ondertussen vliegen we naar Mars)
- ja, het vraagt om technologie, data-architecturen en duidelijke definities;
- ja, het vraagt om samenwerking en governance;
- maar het kan en het moet, als we relevant willen blijven in een digitale, ketengeïntegreerde economie.
Dat is precies wat de PML in feitelijke richtlijnen vertaalt: niet alleen wat het probleem is, maar wat je er concreet aan kunt doen.
Kritische vragen die nog openstaan
Natuurlijk blijft er ruimte voor kritische vragen. De PML is een excellent signaal, maar:
- hoe verhouden deze publieksgerichte signalen zich tot bestaande controle- en assurance-standaarden?
- wat betekent dit voor de rolverdeling tussen externe accountant en internal auditors?
- hoe verdeel je aansprakelijkheid, verantwoordelijkheid en verzekerbaarheid in ketens met meerdere spelers?
- hoe waarborg je proportionaliteit in ketens die variëren van multinationals tot mkb-leveranciers?
Deze vragen gaan veel verder dan wat elke PML kan bevatten, maar ze zijn essentieel als we de transitie van klassieke assurance naar ketenassurance werkelijk willen vormgeven.
Conclusie: van signaal naar actie
De nieuwe publieke managementletter is niet alleen een bevestiging van wat velen al voelen: ze markeert een verschuiving in de institutionele taal van de NBA. Waar we vroeger vooral signaleerden wat niet werkt, zegt de beroepsorganisatie nu expliciet waar het wel op aankomt : governance, ketenrisico’s, samenwerking, real-time inzichten. Groot compliment naar de auteurs.
Voor het vak is dit een welkome erkenning van wat we in de praktijk al wisten: die ene jaarlijkse controleverklaring is te klein voor een wereld die steeds meer draait op ketens en data.
De vraag is niet langer of we moeten evolueren, maar hoe snel en hoe verstandig we dat doen. De PML geeft richting. De discussie, de experimenten en de praktijkvoorbeelden moeten volgen.
En daartussen ligt een kans — voor het vak, voor bestuurders, voor toezichthouders en vooral voor de maatschappij die zekerheid wil hebben in een complexer maar ook meer verbonden economisch landschap.
