Internal audit: van bankzitter tot sterspeler
Sommige trends ontwikkelen zich minder snel dan je zou denken en blijven lang hangen in het stadium van grote belofte. Maar als ze dan eenmaal doorbreken, dan is er ook echt sprake van een diepgewortelde verandering.
Dat lijkt ook het geval ten aanzien van de ontwikkeling van internal audit. Al decennialang wordt er gesproken over ‘nieuwe ontwikkelingen’ rond dat vakgebied: Internal auditors ontwikkelen zich van politieagent tot adviseur die tijdens de ontwikkeling van belangrijke programma's en projecten meeloopt en adviseert; Internal auditors gaan steeds meer doen aan risk based auditing en richten zich daarmee op de controls en risico's die er echt toe doen voor de organisatie; Internal audit doet steeds meer aan operational audit in plaats van alleen maar de financiële audit (reporting control); Internal auditors ontwikkelen zich steeds meer tot een sparring partner voor het (hogere) management.
Een lezer die wat ingevoerd is in het vak kent deze ‘nieuwe ontwikkelingen’ vast wel. Als we de vakliteratuur van de afgelopen 20 jaar op een rijtje zouden zetten, dan zou er maar één conclusie mogelijk zijn: er heeft een revolutie plaatsgevonden in het vak. Toch voelt het in de praktijk niet echt of alle routines zijn veranderd en of alles op zijn kop is gegaan. Als we heel eerlijk zijn is er eigenlijk niet zo heel veel revolutie geweest. En dat is opmerkelijk, want de omgeving verandert wel ingrijpend.
Als we kritisch naar het vak kijken, dan is de conclusie toch dat internal audit bij veel organisaties - ondanks alle mooie woorden over de toegevoegde waarde - eigenlijk wordt gezien als een moetje. Dat kan twee oorzaken hebben: Internal Audit heeft ofwel te weinig te bieden, of is slecht in de marketing van zichzelf.
Of is er nog een derde oorzaak? Heeft internal audit gewoon wat tijd nodig om te rijpen voordat iedereen in de gaten krijgt dat het toch wel heel nuttig is en handig is? Ik ben een optimist en ik denk dat laatste.
Ik zie om me heen dat juist nu veel organisaties zich op de één of andere manier ‘opeens’ gaan realiseren dat internal audit toch nuttige dingen kan doen voor de organisatie. Je ziet dat de typische internal auditor verandert. Het vak is ook veel ‘cooler’ dan in het verleden. Je hoort nu allemaal stakeholders zeggen dat internal audit daadwerkelijk wordt gezien als belangrijk onderdeel van het corporate governance bouwwerk. Denk aan vrij recente uitspraken van de VEB en aan de AFM met haar onderzoek onder commissarissen.
Steeds meer organisaties starten tegenwoordig bovendien een auditfunctie en het lijkt erop dat bij die start ook meteen risicomanagement als belangrijk onderwerp binnen internal audit wordt meegenomen. Er wordt vaak pragmatisch en op een efficiënte manier gestart met tegelijkertijd tweede en derde lijns-activiteiten.
Organisaties houden niet meer krampachtig vast aan het scheiden van functies maar starten gewoon met zowel internal audit als met risicomanagement en houden vervolgens rekening met een paar dingen die je in die combinatie beter niet kunt doen, zoals assurance geven over het risk management proces.
Internal auditors helpen daadwerkelijk ondernemingen met het (aantoonbaar) in control komen, door vaker het voortouw te nemen in ondersteuning op gebied van risicomanagement. Internal Audit lijkt vaker naar de echt belangrijke issues te kijken, zoals cyber en IT-security, grote projecten, productontwikkeling, overnames en cultuur en gedrag.
Internal audit is daarmee misschien een laatbloeier. Lange tijd was het een grote belofte die toch vaak op de reservebank plaatsnam. Maar dat verandert in rap tempo. Internal audit is een sterspeler aan het worden.
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...