• Home
• Het KADplus-model
  • Overview KAD+
  • Strategic Control
  • Managerial Control
    • Besturingsprincipes
    • Bedrijfsprocessen en topstructuur
    • Resultaatgebieden
  • Operational Control
    • Productmodule
    • Procesmodule
      • Procesbeheersing
      • Procesinrichting
    • Structuurmodule
    • Effectiviteit en efficiency beheersing
• Management Control Auditing
  • Wat is Management Control?
  • Wat is Management Control Auditing (MCA)?
  • Eisen aan auditmodellen
• Toepassingen
  • Proces-audit
• Tools
• Verdiepingen
  • Systeemleer
  • Balanced Business Scorcard
  • Do wells
• Auteurs
• ACS
• Contact
• Bestellen
• Links

Proces-audit

Bij de uitvoering van de proces-audit zijn de volgende stappen te onderscheiden:

1. het voorbereiden van de audit;
2. procesanalyse;
3. structuuranalyse.
   

1.Voorbereiden audit

Belangrijk element van de voorbereiding is het afbakenen van de audit. Dit betreft het in kaart brengen van het audit-object. In het kader van een proces-audit dienen hiertoe de volgende aspecten te worden vastgesteld:

• de doelstellingen van het audit-object, die tot uiting komen in de KSF’en en normen die aan het product worden gesteld;
• de overige beheerskaders die gelden voor het proces (de object-specifieke beheerskaders);
• de systeemgrens, dat wil zeggen:
• de invoer (datgene dat in het proces wordt verwerkt);
• de doorvoer (het proces van onderzoek); 
• de uitvoer (het product);
• de relevante ondersteuning (die kritisch is voor het realiseren van de doelen).
  

Wij achten het van belang met de opdrachtgever te bespreken of er aspecten zijn die niet behoeven te worden meegenomen, dan wel of er aspecten zijn die bijzondere aandacht behoeven.

Op basis van bovenstaande aspecten kan de aanpak van de audit nader worden ingevuld (de te interviewen personen, waarnemingen, documentanalyses, te hanteren technieken, e.d.). Het geheel wordt beschreven in een plan van aanpak of werkprogramma, dat wordt besproken met en moet worden vastgesteld door de opdrachtgever.

Met de genoemde aspecten is het gehele
kader voor de audit vastgesteld.

De audit zelf richt zich vervolgens op de kwaliteit van de beheersmaatregelen die zeker moeten stellen dat de productnormen worden gerealiseerd, overeenkomstig de beheerskaders die door het hogere management zijn vastgesteld.

       
                
                                                                       Figuur 5.4: Kader van de audit

Bij de beoordeling van de beheersmaatregelen maken we een onderscheid tussen de procesanalyse en de structuuranalyse. Beide analyses worden, vanwege hun onderlinge samenhang, gelijktijdig uitgevoerd. Omdat beide analyses zich richten op verschillende aspecten, worden ze hierna wel apart beschreven.

TERUG NAAR TOP

2. Procesanalyse

Bij de procesanalyse wordt gebruik gemaakt van de procesmodule van het KAD-model, waarmee wordt gekeken naar het totstandkomingsproces van het product ofwel naar de activiteiten die er voor moeten zorgen dat (continu) het gewenste product wordt gerealiseerd.

De analyse van het proces bestaat binnen het KAD+-model uit twee onderdelen:

• De inrichting van het proces: de uitvoerende stappen van het proces en de onderlinge relaties daartussen (waarmee de invoer van het proces wordt verwerkt tot het product). In deze analyse is de vraag in hoeverre deze inrichting optimaal is in het licht van de gestelde doelstellingen.
• Het management of de beheersing van het proces: de activiteiten die moeten waarborgen dat het proces op de juiste wijze wordt uitgevoerd, zodanig dat, ondanks verstoringen en afwijkingen van de normale gang van zaken, continu de gewenste producten of diensten worden opgeleverd. Met andere woorden, beschikt de organisatie over adequate beheersmaatregelen?

Binnen de procesanalyse worden de volgende stappen onderscheiden:

1. analyseren procesinrichting;
2. vaststellen regelbehoeften van het proces, op basis van de aard van de productnormen en de aard van het proces (‘beheerssjabloon’);
3. analyseren getroffen beheersmaatregelen.

Deze stappen hoeven niet persé volgtijdelijk te worden uitgevoerd.

Analyse procesinrichting

Deze analyse beziet de inrichting van het operationele proces ofwel de opzet, samenhang en verdeling van de processtappen. Het doel is om vast te stellen in welke mate de procesgang is afgestemd op de doelstellingen van de organisatie en de productnormen.
Het is zinvol hiermee te starten omdat op deze wijze een goed inzicht wordt verkregen in de loop van het proces en de wijze van uitvoering daarvan. Deze kennis heeft de auditor ook nodig om een goede gesprekspartner te zijn voor degenen die hij zal gaan interviewen.
Bij de beoordeling van de procesinrichting kan een onderscheid worden gemaakt tussen een ‘procedurele’ beoordeling en een ‘inhoudelijke’ beoordeling. Deze richten zich respectievelijk op vragen als ‘Is de procesinrichting vastgelegd en voor iedereen duidelijk?’ en ‘Is de procesinrichting adequaat gezien de doelstellingen?’. Het laatste vereist criteria ten aanzien van de keuze van de procesgang. Deze criteria zijn te ontlenen aan diverse theorieën. Zo kan voor de beoordeling van de betrouwbaarheidsdoelstelling worden aangesloten bij de leer van administratieve organisatie en interne controle, terwijl voor de tijdigheidsdoelstelling gebruik kan worden gemaakt van logistieke principes.

Ten aanzien van de analyse van de procesinrichting is voor de auditor nog een waarschuwing op zijn plaats. Dergelijke analyses leiden in de praktijk snel tot het bekijken van zowel de opzet (de uitvoerende stappen) als van de performance (de uitkomsten van het proces). Voorbeelden hiervan zijn een achterstandenanalyse, een foutenanalyse en analyse van de doorlooptijden, wachttijden en bewerkingstijden.
Dergelijke analyses helpen echter niet bij het beoordelen van het beheerssysteem zelf, maar zijn meer gericht op het zoeken naar mogelijke verbeteringen in de (effectiviteit en efficiëntie van de) uitvoering van het proces zelf. Hoewel dit zinvol kan zijn, valt dit, indien de audit is gedefinieerd als een onderzoek naar de kwaliteit van de beheersmaatregelen, buiten de scope van het onderzoek zoals afgesproken met de opdrachtgever.

Analyse procesmanagement

Bij de analyse van het procesmanagement wordt gebruik gemaakt van het normatieve beheersmodel van KAD+, dat in hoofdstuk 2 is beschreven.
Op basis van dit model:

1. wordt de gewenste situatie in kaart gebracht;
2. wordt de feitelijke situatie in kaart gebracht;
3. worden op basis van de verschillen tussen beide conclusies getrokken over de kwaliteit van de beheersing en aangegeven waar verbeteringen moeten worden doorgevoerd.

Gewenste situatie

De gewenste situatie beschrijft de mate waarin de diverse soorten beheersmaatregelen aanwezig moeten zijn om het betreffende proces goed te kunnen beheersen. Dit wordt bepaald door de regelbehoeften van het proces. Zoals in hoofdstuk 2 is beschreven zijn deze regelbehoeften met name afhankelijk van de aard van de productnormen en de aard van het proces.

De productnormen zijn reeds vastgesteld bij de afbakening van het proces waarop de audit zich zal richten. De aard van het proces kan worden vastgesteld door te kijken naar de (mate van) variatie die in de procesgang optreedt. De volgende vragen zijn hierbij behulpzaam:

• is er sprake van een standaard product of wordt het product afgestemd op de wensen van een klant?
• zijn er verschillen in de uit te voeren activiteiten (processtappen), de daarvoor benodigde tijd of degenen die de activiteiten uit moeten voeren (specialisten)?
• zijn er fluctuaties in het werkaanbod?
  

Vervolgens kunnen de zogenaamde ‘beheerssjablonen’ voor het proces worden opgesteld, waarmee het relatieve belang van de diverse soorten beheersmaatregelen wordt aangegeven. Hierbij geldt dat de sjablonen voor de productnormen en de aard van het proces als het ware moeten worden gecombineerd. Immers beide hebben betrekking op hetzelfde proces en dezelfde productnormen. Dit betekent dat de sjablonen per productnorm nader worden bepaald op basis van de aard van het proces.
Zo is in de ideale situatie voor de productnorm betrouwbaarheid geen flexibiliteit in het proces aanwezig (en dus geen maatregelen in het kader van de doorvoerregeling vooruit). Een samengesteld of maatwerk proces, waarbij verschillende producten worden geleverd of de producten worden afgestemd op de wensen van de klant vereist echter wel enige doorvoerregeling vooruit (DRV). Wanneer de productnorm en aard van het proces even zwaar worden gewogen resulteert een sjabloon voor de doelstelling betrouwbaarheid waar de DRV-functie wel aanwezig is.

Figuur 5.5: Het vaststellen van de beheerssjablonen

TERUG NAAR TOP

Bovenstaande ‘sjablonen’ beschrijven de ‘soll-situatie’ en bieden de auditor een hulpmiddel om deze vervolgens te vergelijken met de feitelijk aangetroffen beheersmaatregelen. Daarmee wordt een goede basis gecreëerd voor het oordeel over de kwaliteit van de beheersing (en aanbevelingen om deze zonodig te verbeteren).

Bestaande situatie

De bestaande situatie wordt in kaart gebracht door per productnorm de diverse getroffen maatregelen te inventariseren. Hierbij wordt het volgende schema gebruikt.

Figuur 5.6: Schema voor inventarisatie beheersmaatregelen

Naast het bestuderen van documentatie is het voor het inventariseren van de maatregelen met name van belang te spreken met het management dat verantwoordelijk is voor het proces.
Een belangrijk aandachtspunt bij het onderkennen van de diverse soorten maatregelen is dat deze soorten verschillen naar de functie die zij hebben bij de beheersing van het proces. Het gaat dus niet zozeer om het moment waarop de beheersactiviteiten worden uitgevoerd of door wie. Steeds is de vraag waartoe de activiteit wordt uitgevoerd of wat het doel is van de controle. Het antwoord op deze vraag kan worden afgeleid uit de vraag wat men doet als niet wordt voldaan aan de norm.
Ter verduidelijking en als hulpmiddel zijn in bijlage 2 een aantal vragen opgenomen die de auditor kan stellen bij het inventariseren van de getroffen beheersmaatregelen.

Vergelijking bestaande en gewenste situatie

Nadat zowel de bestaande als de gewenste situatie in kaart zijn gebracht, kunnen deze met elkaar worden vergeleken. Deze beoordeling richt zich op de volgende aspecten:

• de aanwezigheid van de diverse soorten maatregelen, die op grond van de ‘sjablonen’ verwacht mogen worden;
• de mate waarin deze kunnen functioneren. Hiertoe dient sprake te zijn van de aanwezigheid van: 
• metingen (informatie); 
• operationele normen; 
• ingreepmogelijkheden, dat wil zeggen mogelijkheden om mogelijke verstoringen op te kunnen vangen en bij te sturen als dreigt dat de doelstellingen niet zullen worden gerealiseerd.
  Dit punt vraagt in de interviews enige bijzondere aandacht. Soms heeft een organisatie geavanceerde systemen om de metingen te kunnen verrichten en zijn nauwkeurige normen vastgesteld, maar zijn er geen mogelijkheden om bij te sturen als de afwijkingen worden gesignaleerd. Indien dus alleen wordt gevraagd naar de beschikbare informatie en de uitgevoerde analyses en controles om de doelstellingen te bewaken, zou de conclusie worden getrokken dat de beheersmaatregelen in orde zijn, terwijl de feitelijke beheersmogelijkheden toch te wensen over laten.
• de effectiviteit en de efficiëntie van de maatregelen.

Opzet en werking

Bovenstaande beoordeling is met name gericht op de opzet van de beheersmaatregelen. Tevens kan worden gekeken of zij in de praktijk ook daadwerkelijk functioneren (de beoordeling van de werking).
Om dit vast te stellen kan enerzijds worden gekeken naar de feitelijke uitvoering en anderzijds naar de resultaten van het proces. Immers als de beheersmaatregelen goed functioneren, worden de beoogde resultaten bereikt.

Het eerste betreft een vorm van compliance-audit, waarbij wordt gekeken of de afspraken en richtlijnen ten aanzien van de beheersmaatregelen inderdaad worden nagekomen. Dit kan bijvoorbeeld via vragen aan de betreffende medewerkers, observatie of een dossieronderzoek.
Het tweede, het bekijken van de resultaten, betreft in feite het uitvoeren van een performance-audit, ter ondersteuning van de beoordeling van de werking van het systeem. Voorbeelden van analyses in dit kader zijn een achterstandenanalyse, een foutenanalyse en een analyse van de doorlooptijden, wachttijden en bewerkingstijden.
Wij menen dat de auditor terughoudend moet zijn in het zelf verzamelen van dat soort gegevens en in het uitvoeren van dergelijke analyses. Een management control audit richt zich immers primair op het systeem (van beheersing). De analyses gericht op de werking van het systeem moeten worden uitgevoerd na en in aanvulling op de analyse van de opzet van de beheersmaatregelen. Immers als de opzet niet goed is, is het weinig zinvol nog te kijken naar het functioneren daarvan. Als de opzet wel goed is, betekent dit dat gebruik kan worden gemaakt van de gegevens die door de organisatie zelf zijn verzameld (in het kader van de bestaande beheersmaatregelen).

TERUG NAAR TOP

3. Structuuranalyse

Zoals vermeld, wordt de structuuranalyse parallel aan de procesanalyse uitgevoerd.
Bij de structuuranalyse wordt gebruik gemaakt van de structuurmodule van het KAD-model. Daarbij wordt gekeken naar de diverse structuurelementen van het audit-object. Onderscheiden worden:

• de organisatie- of taakstructuur; 
• de personele structuur; 
• de informatiestructuur.

Net als ten aanzien van de procesinrichting is opgemerkt, geldt hierbij dat bepaald dient te worden of de beoordeling zich beperkt tot ‘procedurele’ aspecten of verder gaat door ook te kijken naar de ‘inhoudelijke’ juistheid van de diverse structuuraspecten.

Taakstructuur

Centraal in de structuuranalyse staat de wijze waarop de taken, verantwoordelijkheden en bevoegdheden zijn verdeeld.
Bij de beoordeling van de taakstructuur kan een onderscheid worden gemaakt naar:

• De structurering van de uitvoering van het proces.
  Hoewel de taakverdeling ten aanzien van de uitvoerende activiteiten, net zoals de procesinrichting, niet direct betrekking heeft op de (operationele) beheersing van het proces, zien wij dit als belangrijke ‘business control’. De keuze hiervan vormt namelijk een belangrijke factor bij het al dan niet optimaal realiseren van de doelstellingen.
  
  Uitgangspunt bij de analyse is dat alle structuurvormen voor- en nadelen hebben en dat de optimale structuur dus afhankelijk is van de specifieke situatie. Deze situatie wordt met name gevormd door de doelstellingen en productnormen en de kenmerken van het product, het proces en de productiemiddelen. Verder moet de structuur passen bij de besturingsfilosofie van de organisatie. In bijlage 3 is een overzicht opgenomen van de voor- en nadelen van de basisstructuren, te weten de functionele en de productgerichte structuur en is tevens aangegeven welke factoren pleiten voor de keuze van de functionele respectievelijk productgerichte structuur.
  
• De structurering van de beheersing van het proces.
  Dit betreft met name de allocatie van de beheersmaatregelen (voor de diverse KSF’en) en de daarbinnen te onderkennen elementen. De analyse hiervan sluit aan op de bij de procesanalyse beschreven beoordeling van de effectiviteit en efficiëntie van de beheersmaatregelen zelf. Zoals daar is aangegeven, geldt hierbij als uitgangspunt dat een vergaande taakverdeling de effectiviteit en efficiëntie van de beheersing kan verminderen, maar tegelijkertijd risico’s met zich mee kan brengen ten aanzien van de juistheid.
  

Daarbij wordt opgemerkt dat de taakstructuur niet alleen beoordeeld kan worden in het licht van de doelstellingen van de organisatie, maar ook op het punt van de motivatie van medewerkers. Zo kan een verregaande taakverdeling negatieve consequenties hebben voor de motivatie en daarmee indirect de realisatie van de doelstellingen negatief beïnvloeden.

Informatiestructuur

Bij de beoordeling van de informatiestructuur staat de vraag centraal of de informatie en (de functionaliteiten van de) informatiesystemen aansluiten bij de kenmerken van de procesuitvoering, de procesbeheersing en de organisatiestructuur.
In het verlengde daarvan ligt de vraag naar de continuïteit, exclusiviteit en betrouwbaarheid van de informatievoorziening zelf. Eigenlijk wordt daarmee een ander audit-object gekozen dan het proces waarin de informatie die door die systemen wordt gegenereerd wordt gebruikt. In de praktijk wordt dit veelal buiten de scope van de betreffende audit gehouden of vormt het een nadere verdieping daarvan als het proces van informatievoorziening kritiek is voor het succes van het betreffende audit-object. In dat geval wordt een IT-auditor in het auditteam opgenomen.

Personele structuur

Bij de personele structuur staat de vraag centraal of de bezetting adequaat is gezien de doelstellingen, proceskenmerken en organisatiestructuur. Daarbij gaat het zowel om de kwantitatieve als kwalitatieve bezetting. Voor de kwalitatieve bezetting wordt gekeken naar de opleiding en ervaring van de medewerkers. Ten aanzien van de kwantitatieve bezetting wordt gekeken of er voldoende capaciteit is om de taken uit voeren en of er voldoende waarborgen zijn om de continuïteit daarvan te verzekeren. Hierbij is de vraag of fluctuaties in het werkaanbod en het verlies aan capaciteit (door bijvoorbeeld ziekte) kunnen worden opgevangen, bijvoorbeeld doordat medewerkers van andere afdelingen kunnen worden ingezet of snel uitzendkrachten kunnen worden aangetrokken en ingezet.
Hiermee is de totale procesaudit beschreven. Het geheel is in de vorm van een stappenplan samengevat.

TERUG NAAR TOP