Operational auditing

Operational auditing of Management Control Auditing is het uitvoeren van een onderzoek naar het functioneren van het Management Control Systeem van een organisatie (oftewel de bestuurlijke beheersorganisatie).

Daarbij wordt gekeken naar de inrichting en aansturing van de organisatie maar ook naar de opzet en kwaliteit van allocatie-, informatie-, communicatie- en controlesystemen. Dit houdt in dat de risico's in kaart zijn gebracht en dat daarvoor voldoende beheersmaatregelen zijn getroffen. Bij beheersmaatregelen kan gedacht worden aan functiescheiding, kaders & richtlijnen, AO-procedures, etc. Operational auditors doen onderzoek (interviews en dossieronderzoek) in de organisatie om te achterhalen in hoeverre dit geregeld is en rapporteren de resultaten vervolgens aan het management. Er wordt dus gerapporteerd in hoeverre de manager in opzet 'zijn zaken op orde' heeft. Daarmee is Operational Auditing verwant aan Corporate Performance Management.

Een ander aspect van operational auditing is het controleren van de naleving van richtlijnen en procedures zoals die door de organisatie zijn opgesteld (dus de werking). Om deze naleving te controleren, worden (operational) auditors aangesteld, die uit naam van het management controleren of de regels worden opgevolgd.

Auditinstrumenten

Bij een audit wordt altijd gebruikgemaakt van een normenkader. Hiermee wordt bedoeld een voorbeeld/richtlijn van hoe je de beheersing moet inrichten als je het goed wilt doen. Hiervoor kunnen de auditors gebruikmaken van een normenkader dat ze zelf op basis van hun kennis opstellen en vervolgens afstemmen met de manager (zodat deze het er ook eens mee is). Of een auditor maakt gebruik van een standaard normenkader.

Voor elk onderwerp zijn er veel verschillende standaard normenkaders. Enkele belangrijke zijn:

• COSO
• INK-managementmodel
• KADplus-model
• ISO (9001, 14001, 20000, 27001, etc.)
• Sarbanes-Oxley-wet / Turnbull Code
• Code Tabaksblat
• CobiT

Als een normenkader op maat gewenst is, kan gebruik worden gemaakt van het volgende model:

• Object-oriented quality and risk management model (OQRM)

Soorten auditors

Accountants zijn (financial) auditors die processen controleren met als hoofddoel te onderzoeken of de procesbeheersing bijdraagt aan een betrouwbare financiële verantwoording (waaronder de jaarrekening). Auditors die processen beoordelen op de mate waarin ze bijdragen aan het realiseren van de ondernemingsdoelstelling worden operational auditors genoemd. Behalve over de beheersing van primaire of ondersteunende processen kan een goed opgeleide operational auditor zich ook een oordeel vormen over lastig te definiëren zaken als het leervermogen van een organisatie, veranderbereidheid in projectsituaties, integriteit van handelen van management of medewerkers et cetera. Een minderheid van de operational auditors is tevens accountant of IT-auditor. Auditors hebben vaak een specialisme. De EDP (of IT-)auditor is voornamelijk gericht op IT-onderwerpen; de financial auditor is meer gericht op de financiële processen (tot en met de administratie en jaarrekening) maar moet daarbij vaak gebruikmaken van het werk van bijvoorbeeld een IT-auditor. Verder zijn er auditors die zich richten op de naleving van regels op het gebied van kwaliteit, veiligheid, milieu, arbo etcetera.

Voorbeelden van specialismen van auditors:

• Financial auditors
• EDP-auditors (IT-auditors)
• Kwaliteitsauditors
• Milieu-auditors
• Forensic-auditors
• SHE-auditors (SHE = Safety, Health & Environment)

De gehanteerde terminologie is zeer divers en door de snelle ontwikkeling ook snel achterhaald.

Beroepsorganisatie

In Nederland bestaan postinitiële master opleidingen op het gebied van operational auditing:

• EMIA, Executive Master of Internal Auditing, Universiteit van Amsterdam
• Executive Master of Internal/Operational Auditing, Erasmus Universiteit

Na afronding van de Executive Master en bij voldoende werkervaring kan men zich inschrijven in het register om de beroepskwalificatie Register Operational-Auditor te mogen voeren: RO achter de naam. De beroepsorganisatie is inmiddels gefuseerd met het IIA Nederland. Register Operational-Auditors zijn veelal ook gecertifieerd als IT-auditor: RE, registeraccountant: RA, Certified Internal Auditor: CIA of Certified Information Systems Auditor: CISA.

Er bestaan ook diverse post-HBO-opleidingen en cursussen op het gebied van operational auditing.