Deze blog schreef ik ruim voordat de coronacrisis in volle omvang toesloeg. Op een regenachtige zondagmiddag ergens in januari 2020. Inmiddels is het tijdsbeeld totaal veranderd. We schrijven 17 april 2020. Ik ben moe, mijn team is moe. Dit is en was het meest bizarre ‘busy season’ in 25 jaar auditing. Er is geen vergelijk. Er is maar één modus; audits laten doorlopen, volledig online, anticiperen, verandering omarmen, doorduwen en luisterend oor zijn voor team en cliënten. Geen romantiek, geen positieve verhalen, een rol in de achtergrond.
Mijn observaties rondom het thema interne beheersing vormden een wat creatief bruggetje naar die ene vraag die mij regelmatig wordt gesteld, door studenten die controlerend accountant willen worden: waarom is de rol van controlerend accountant eigenlijk zo waardevol? Een paar maanden geleden had ik daar nog wat enthousiaste ideeën over.
Een tweede vraag die regelmatig wordt gesteld is de vraag waarom we al 25 jaar ‘achteraf’ met data-analyse een groot deel van de audits uitvoeren. Vraag 1 loopt over in deel 2, een brug verder. Maar deel 1 van dit tweeluik begint bij de afronding van een evaluatie van risico-analyse en de beoordeling van interne beheersing (IB) van een audit, een paar weken geleden.
Gedurende de evaluatie liep de frustratie hoog op in mijn team. “Je ziet (opnieuw) geen (verbeter) ontwikkelingen bij de organisatie die je controleert, je voelt de desinteresse voor het onderwerp bij je cliënt, je hoofd maalt.” Ofwel, je team sputtert, maar hé “… we willen ‘het’ wel oplossen, maar hoe nu verder?”
Wat is ‘het’? Wat is ‘het’ dat ik wil oplossen? Denk aan het Audit Risk Model, ook bij ons de basis onder onze aanpak. Ik kreeg recent nog mee dat dit Audit Risk Model wel heel erg 1.0 is. Dat zal wel, maar sinds 1997 zijn er 1001 proefschriften geschreven met voor- en tegenstanders. De basis is wat mij betreft prima. Het is een denkmodel.
In control
BV Nederland en interne controle, een niet gelukkig huwelijk. Dat is al heel lang zo. Wopke is er ook van overtuigd, het gaat om de keten. BV Nederland roept dat ze in control is, denkt dat ze in control is, raden van commissarissen en advies worden geportretteerd als de helden rondom het in control houden van ondernemingen. Maar ik zie in het veld weinig tot geen control, laat staan in control. Een belangrijk onderdeel van het Audit Risk Model is eigenlijk continue (grotendeels) afwezig: interne beheersing.
In midden en groot BV Nederland is wel veel aandacht voor andere aspecten van ondernemerschap: verkoop, productontwikkeling, talentontwikkeling, zichtbaarheid op socials, etc. En nu dus overleven, Covid-19. De komende maanden zullen in het teken staan van een reboot van de business. Wat mij betreft heel logisch. Een zeer belangrijk aspect blijft echter al heel lang onderbelicht: effectieve interne beheersing als fundament onder goed ondernemerschap. Nogmaals, van structurele aard. Nu ook.
Soms, als ik naar huis rijd, de dag laat bezinken, vind ik het wonderlijk dat er überhaupt nog geld wordt verdiend en niet veel meer bedrijven omvallen door totale wanorde en interne chaos. Het basisfundament, het interne beheersing systeem, een basisvoorwaarde voor succesvol ondernemerschap, is vaak zeer wankel of zelfs niet bestaand. Een uitzondering daargelaten, de zeldzame parels, de witte raven, cfo’s of ondernemers met het juiste besef en mindset rondom interne beheersing.
IT-systemen anno 2020 praten niet met elkaar, in IT-systemen staan controls uit, of zitten geen toereikende ‘(data) controls’ opgesloten. Managementrapportages zijn kleurrijk, omvangrijk, maar veelal gebaseerd op drijfzand. Zelden sluiten rapportages aan op brondata.
Ik ken organisaties die sturen met 50 KPI’s , waarvan niemand meer weet wat ze eigenlijk met die 50 KPI’s aan moeten. Snel overboord en terug naar de basis, zeg ik dan. Excel is de verbanddoos, de pleister, de oplossing voor data/ informatiemanagement voor dummies.
Interne procedures bestaan alleen (nog) op papier, er is bijna nooit sprake van échte interne controle embedded in de dagelijkse processen. Geen ad hoc interne controle, laat staan continuous monitoring. Geen tijd, geen zin, onbelangrijk, desinteresse, focus op overleven, ondernemen, vooruitkijken.
Er zijn weinig tot geen organisaties die actief bezig zijn met iets dat lijkt op risicoanalyse, of zelf actief bezig zijn met fraude-assessments. Als ik vraag naar kritische gesprekken tussen interne toezichthouders, bestuur en aandeelhouders, dan zijn dat niet de gesprekken waar de vonken van afvliegen. Alleen in internationale settings zie ik nog iets van control, afgedwongen door compliance regelgeving, opgelegde GRC-checks; omdat het moet.
Ik hoor niemand in de politiek of vertegenwoordigers van BV Nederland hier eens een eerlijk verhaal over houden. Samen sterk in de keten. Sure. Wij in het veld, de auditors, die zich staande moeten houden in het Interne Beheersing Slagveld 0.0, ja, wij staan in de schijnwerpers. Love it!
Compenseren
Het is een wonder dat er nog zoveel goedkeurende controleverklaringen worden afgegeven, en dat wonder kunnen we negatief of positief benaderen. In mijn naïviteit, in mijn verhaal naar mijn team op kantoor toe, kies ik voor de positieve insteek. De lijn tussen positief en vervallen in negativisme is een ‘dunne’ lijn. Deze lijn bewaken, over ‘het’ praten, met het team, met de cliënt, dat maakt de dagen zo leuk, dat maakt ons beroep zo waardevol.
Ik noem het ‘het’: de compensatiemodus. Ons detectierisico managen. Dat is ‘het’. Detailcontroles (COS 500) en gegevensgerichte cijferanalyses (COS 520). Je gaat in de compensatiemodus, je acteert als auditor voortdurende in de compensatiemodus. We compenseren Interne Beheersing 0.0. Zo zijn wij auditors. Die onzekerheid vanuit interne beheersing gaan we compenseren. Zo zijn wij opgegroeid. We weten niet beter. Dit is waar we goed in zijn. We willen de IB-gaten dichtlopen. Het wordt zelden gezien, noch gewaardeerd. Geen probleem, ik vind het leuk, ik krijg er energie van.
We kunnen in de theorie systeemgericht controleren, of we kunnen gegevensgericht controleren. De lat halen van systeemgericht controleren wordt steeds moeilijker, bijna onmogelijk. We compenseren dit door steeds meer te bewegen naar gegevensgericht controleren. De één met een sample van 300. De ander met een hip data-script. Sommigen met beide.
‘Het’ lossen we als auditors op door significante processen, risico’s en posten in de jaarrekening, met behulp van gegevensgerichte werkzaamheden te onderzoeken, als stofzuigers op zoek naar aansluiting, naar iets wat we begrijpen of kunnen valideren. Complete geld- en goederen- en/of dienstenbewegingen worden ‘opnieuw’ opgebouwd door reperformance, door SOLL-posities op te bouwen en te toetsen aan de werkelijkheid.
Verschillenanalyse na verschillenanalyse wordt ingezet om de ruis op transactieniveau op te ruimen. Via visualisaties en stories of the audit worden auditbevindingen en afwijkingen via dashboards en portals gedeeld met de cliënt. Prachtig, dat maakt ons beroep zo mooi; kennisdelen, inzichten teruggeven. Waar is de keten? Met de hoop dat het dan goed is en er een bewustzijnszaadje rondom het belang van de kwaliteit van IB gaat groeien! Het is de waardevolle kant van ons beroep.
Overstijgen
Nog mooier is het als ‘compenseren’ naar ‘overstijgen’ gaat. Als we onze cliënten in de relatie van ‘ongeïnteresseerd’ in interne beheersing zien ontwikkelen naar iets wat op ongoing monitoring lijkt. Als er dialogen ontstaan over werking interne beheersing, ITGC-plots aandacht krijgen, scherper intern wordt meegekeken en er follow up naar aanleiding van auditbevindingen ontstaat.
Zulke ontwikkelingen geven je als auditteam vleugels. XTC voor de auditrelatie. Deze hoogtepunten zijn zeldzaam, maar ze bestaan zeker.
Ontoereikende IB is niet het enige aspect dat we ‘compenseren’. We compenseren gebrek aan kennis rondom het inrichten en opstellen van een jaarrekening. Hoewel volksstammen accountants in BV Nederland aan de slag zijn als financieel directeur, cfo of toezichthouder, blijft de jaarrekening elk jaar een onderwerp waar nog heel veel energie en tijd in gaat zitten. Het blijft een bijzonder fenomeen. Het controleobject zelf rammelt vaak aan alle kanten. We compenseren dit met checklists, reviews, kennisdelen en een glimlach.
Dit valt allemaal niet te definiëren in termen van kwaliteit. Laat iedereen daar maar een mening over hebben, mij boeit het allang niet meer. Iedereen heeft zijn eigen kwaliteitsambities. Dat mag voor de één een dossier zijn met voor elke significante post een deelwaarneming van 300, voor de ander een bottom-up aanpak met inzet van DA, process mining en statistiek. Maakt niets uit. Elk kantoor, elke cliënt heeft een eigen smaak. Voor jonge mensen in het beroep valt er genoeg te kiezen.
Van compenseren naar overstijgen is de kern van mijn betoog, rondom de vraag waarom ons beroep zo waardevol is. De keten sterker maken! Het is mijn drive om maandagochtend vrolijk uit mijn bed te stappen, ook in de #lockdown. Wat mij betreft ook de sleutel om nieuwe talenten aan ons beroep te verbinden. Daar hebben we geen commissies of meer regels voor nodig, maar gewoon onszelf. Dat is waar we met elkaar goed in zijn. Draag het uit!
Tweeluik deel 2: over slimme data-analyses in de systemen ingepast, aan de voorkant. Komt die ontwikkeling? Kunnen we dan minder compenseren en terug naar iets meer systeemgericht controleren?
