De meeste adviezen in auditrapporten worden niet opgepakt. Dat weet iedereen, en toch blijven auditors ze schrijven. De vraag is niet óf je advies geeft, maar wanneer het de moeite waard is.
Moet je advies geven in een auditrapport? Het antwoord is minder vanzelfsprekend dan het lijkt. Sommige auditors zijn er fel op tegen, anderen beschouwen het als de kern van hun werk. Beide kampen hebben gelijk.
Met de komst van de Global Internal Audit Standards (GIAS) is het onderscheid tussen assurance en advies explicieter geworden: internal audit levert in de kern onafhankelijke assurance en kan aanvullend adviesdiensten leveren, mits dit transparant gebeurt, past binnen het mandaat en de onafhankelijkheid niet aantast12. Dat maakt de vraag "moet ik eigenlijk wel advies geven in mijn auditrapport?" des te scherper.
Wat zeggen de GIAS over advies?
De nieuwe GIAS sturen op een helder mandaat voor internal audit (charter), een onafhankelijke positie en duidelijke verwachtingen over soorten opdrachten: assurance, advies of een combinatie123. Concreet betekent dat: vooraf met bestuur en auditcommissie afspreken óf en hoe je adviseert, en dat vervolgens consequent doen.
Binnen de GIAS hoort advies geven primair bij "consulting services" of "adviesdiensten": opdrachten waarin management expliciet om jouw hulp vraagt, jij helder maakt dat je geen formele assurance afgeeft, en je bewaakt dat je toekomstige onafhankelijkheid intact blijft124. Standaard adviezen meeschrijven bij elke bevinding past daar slecht bij, tenzij je charter en je stakeholders dat bewust zo hebben ingericht1.
Wel of niet adviseren? In één oogopslag
Wél: als advies expliciet is afgesproken in charter of opdracht, als management er zelf om vraagt, als het hun eigen keuzes onderbouwt, en zolang je onafhankelijkheid voor latere audits geborgd blijft.
Niet: ongevraagd bij elke bevinding, zonder onderzoek naar de oorzaak, omdat 'het zo hoort', of als het tijd wegneemt van assurance.
Waarom advies vaak niet werkt: inzichten uit communicatiewetenschap
Veel internal auditors schrijven advies in hun rapport omdat ze denken dat het 'moet'. Zo ging het altijd al. Of ze nemen aan dat het verwacht wordt, zonder die verwachting ooit te toetsen bij de collega's die het rapport ontvangen en er daadwerkelijk mee aan de slag moeten. Mijn tip: denk goed na of je wel advies moet of zelfs wíl geven. In veel gevallen is het beter van niet. Daar zijn stevige communicatiewetenschappelijke en psychologische redenen voor.
De communicatiewetenschap kent het begrip psychological reactance: zodra mensen het gevoel krijgen dat hun vrijheid of autonomie wordt ingeperkt ("jij moet nu dit doen"), ontstaat er een automatische tegenreactie56. Hoe competenter en autonomer iemand zichzelf vindt, hoe sneller goedbedoeld advies overkomt als betuttelend of bevoogdend. Het wordt afgewezen, ook als de inhoud klopt7. Professionals en bestuurders hebben een sterke autonome beroepsidentiteit. Ongevraagd advies in een auditrapport vertaalt zich bij hen bijna vanzelf in weerstand in plaats van beweging.
Self-Determination Theory laat zien dat duurzame motivatie ontstaat als drie psychologische basisbehoeften worden vervuld: autonomie (zelf keuzes maken), competentie (je bekwaam voelen) en verbondenheid (je serieus genomen voelen in de relatie)8910. Advies dat overkomt als "voorschrift van de auditor" ondergraaft precies autonomie en competentie. Een scherp normenkader, goede bevindingen en ruimte om zélf oplossingen te kiezen versterken die behoeften juist811.
Onderzoek naar de intention–action gap bevestigt wat ervaren auditors allang weten: tussen weten en doen gaapt een kloof. Professionals hebben uitstekende intenties, maar komen niet in beweging121314. Het probleem is zelden onbekendheid met het advies. De omgeving, prioriteiten of routines blokkeren de uitvoering1314. Je voegt als internal auditor meer waarde toe door helder te maken wáár het schuurt en management te helpen condities te scheppen waarin hun eigen goede voornemens uitvoerbaar worden, dan door nóg een lijstje maatregelen aan het rapport toe te voegen13.
Uit de praktijk: redenen om géén advies te geven
1. Wie ben jij dan wel helemaal? Of: het komt belerend over...
Als ik als auditor advies ga geven aan een goedbetaalde directeur die verantwoordelijk is voor de beheersing van zijn risico's, kan die directeur beter naar huis gaan zodat ik zijn werk overneem. Want dat is toch precies wat een directeur hoort te doen? Risico's beheersen door maatregelen te implementeren? Veel meer verantwoordelijkheid heeft hij niet.
Psychologisch raken adviezen aan de autonomie van professionals: zodra iemand ervaart dat zijn handelingsvrijheid wordt ingeperkt, ontstaat psychological reactance, de neiging om weerstand te bieden tegen op zichzelf zinnig advies56. Hoogopgeleide professionals en bestuurders hebben een sterk zelfbeeld als competente beslisser. Goedbedoelde adviezen worden daardoor snel als betuttelend ervaren7.
2. (Weer) wie ben jij dan wel helemaal? Of (weer): het komt belerend over...
Ja, dit is de tweede keer, maar nu om een andere reden: adviezen leveren gedoe, wrijving en gezeur op. Ze veroorzaken vertraging, want er gaan enorm veel uren zitten in het afstemmen ervan.
Figuur 1: Vergelijking urenverdeling: ideale audit (groen) versus audits met budgetoverschrijding (rood)
Bij klanten met structurele budgetoverschrijding op internal audits teken ik regelmatig dit plaatje. De groene lijn toont de ideale urenverdeling: het meeste werk zit in voorbereiding en uitvoering, de afronding is binnen een dag klaar. De rode lijn toont wat er gebeurt bij audits die over budget gaan. De boosdoener? Eindeloos overleg en afstemming over de adviezen.
Bij de meeste van mijn klanten werken directeuren die het bepaald niet waarderen als opeens blijkt dat ze hun zaakjes niet op orde hebben. En al helemaal niet als een wijsneuzige auditor ook nog zout in de wond gaat strooien door te vertellen wat ze moeten doen. Dat weten ze zelf wel. Bij die klanten zijn we acuut gestopt met advies geven. Het resultaat: uren bleven binnen budget en de beoordelingen van directeuren en managers schoten omhoog.
3. Het 'heurt' niet zo (en zeker niet volgens de hardliners)
Internal auditors onderzoeken de kwaliteit van interne beheersing in een organisatie. Het is probleemgericht onderzoek: voldoet de beheersing, ja of nee. Voldoet het niet? Dan constateer je dat. Laat de organisatie zelf de boel fixen. De auditor kan een tijdje later prima vaststellen of dat inderdaad is gebeurd.
De GIAS is hier helder: internal audit draait om assurance. Het doel is stakeholders meer vertrouwen geven in governance, risicomanagement en interne beheersing12. Advies valt daar niet onder, tenzij het expliciet als aparte adviesdienst is gepositioneerd14.
4. Je weet de oorzaak helemaal niet
Elk advies waarvoor je geen onderzoek hebt gedaan naar de oorzaak is kansloos. En dat is iets fundamenteel anders dan een onderzoek met de vraag "is er een probleem?". Zonder die onderbouwing is de kans groot dat je advies nergens op slaat, of erger: dat de organisatie je gebruikt om een richting in te slaan die hen goed uitkomt maar de oorzaak niet wegneemt.
Stel, je constateert dat functiescheiding ontbreekt of dat het ontwerp van een IT-systeem niet deugt. Wat is de oorzaak? Geen budget? Incompetentie? Hoge werkdruk? Mijn advies (oei, wat zeg ik nu?): blijf zoveel mogelijk weg van oorzakenanalyses zonder onderzoek dat die kan onderbouwen.
Communicatiewetenschap en gedragspsychologie laten hier geen ruimte voor twijfel: mensen negeren advies dat niet aansluit bij hun eigen probleemdefinitie1516. Presenteer jij de "oplossing" zonder dat de ander zich herkent in jouw analyse van de oorzaak, dan wordt het beleefd aangehoord en vervolgens genegeerd.
5. Het beste advies is een goed normenkader
Als je een goede audit uitvoert, heb je een degelijke risicoanalyse gemaakt en is duidelijk wat per risico de belangrijkste controls zijn. In de bijlage van je rapport zit hopelijk ook het normenkader met per control een score of aanduiding of het goed of niet goed is (of er tussenin). Dan is het enige zinvolle advies dat je nog kunt geven: "los de bevindingen op, zie bijlage".
6. Als ze advies nodig hebben, dan vragen ze er wel om
Stel je constructief en meehelpend op. Het wordt heus wel aan je gevraagd als ze er niet uitkomen. Zet in je rapport dat je bereid bent om te helpen, als je je daar prettig bij voelt.
Onderzoek naar adviesgedrag laat zien dat mensen een duidelijk verschil ervaren tussen ongevraagd en gevraagd advies: gevraagd advies wordt eerder als steunend en competentieversterkend gezien, terwijl ongevraagd advies juist defensiviteit en afstand oproept17. Door in je rapport expliciet je bereidheid tot meedenken te benoemen, maar de keuze bij de ander te laten, versterk je hun gevoel van regie. En daarmee de kans dat ze je later wél uitnodigen.
7. Het kost tijd en geld
Dat kost tijd en geld die je ook aan assurance of ander onderzoek kunt besteden. De meeste adviezen zijn open deuren; in het slechtste geval wordt er helemaal niets mee gedaan. Nog erger is als een extern ingehuurde auditor per se adviezen wil geven. Vraag in plaats daarvan gewoon of ze een uurtje langs willen komen om te praten over wat er moet gebeuren. Dat werkt beter dan een flinke tijd besteden aan een adviesparagraaf met alle discussies eromheen.
De intention–action gap laat zien dat het probleem zelden kennis is. Professionals weten doorgaans wát er moet gebeuren, maar krijgen het niet voor elkaar1213. Een lijstje adviezen verandert daar niets aan. Een goed gesprek mogelijk wel.
Wanneer past advies wél bij GIAS?
Vanuit de GIAS past advies goed wanneer:
- het expliciet als adviesopdracht is afgesproken (in het charter of per opdracht),
- het doel is om management te helpen hun eigen keuzes beter te onderbouwen,
- en je onafhankelijkheid in toekomstige audits niet wordt ondermijnd124.
In die context kan een kort, scherp advies in of naast het rapport wél waarde toevoegen. Denk aan complexe verandertrajecten of hardnekkige cultuur- en gedragsvraagstukken waar de vraag niet is "is er een probleem?", maar "wat zijn scenario's om hiermee om te gaan?"2.
Uit de praktijk: redenen om juist wél advies te geven in een rapport
Er zijn genoeg redenen om juist wél advies te geven in een rapport. Een paar:
8. Ze vragen er om!
Weinig dingen zijn zo bevredigend als mensen écht verder helpen, zeker wanneer ze die hulp ook waarderen. Dus als je de kans krijgt: grijp hem. Ook ik krijg regelmatig adviesvragen. Soms over een hardnekkig probleem, vaak cultuur- of gedragsgerelateerd. Soms over een complexe uitdaging waar iedereen in de details verdwaald is en niemand meer overzicht heeft. Of simpelweg omdat je als internal auditor een van de weinigen bent die dwars door de hele organisatie heen kijkt. Stuk voor stuk goede redenen om wél advies te geven.
In GIAS-termen schuif je dan tijdelijk op richting een adviserende rol, op voorwaarde dat dit vooraf is afgestemd en transparant is naar bestuur en auditcommissie12. Self-Determination Theory bevestigt dat gevraagd advies de autonomie en competentie van de ontvanger versterkt in plaats van ondermijnt89.
9. Men verwacht het van je
Wees hier scherp op. 'Men' is vaak 'de organisatie', en grote kans dat het een ingesleten verwachting is die ooit ergens is ontstaan en nooit meer is heroverwogen. Ga het gesprek aan met bestuur en auditcommissie: willen ze die dure audit-uren hier werkelijk aan besteden? Advies geven betekent minder tijd voor assurance en onderzoek. Dat hoeft geen probleem te zijn, maar regel het dan goed. Leg het vast in het Charter en formuleer vervolgens adviezen waar de organisatie echt iets aan heeft.
Dit sluit direct aan bij de GIAS-eis om een helder charter te hebben waarin staat wat de internal auditfunctie wel en niet doet12. Transparantie voorkomt verwarring en beschermt je onafhankelijkheid.
10. Advies geven is het leukste onderdeel van het werk van de internal auditor
Ik vind dat geen sterk argument. De lol zit in het auditen zelf, de toegevoegde waarde in het geven van assurance. Voor mij hoeft het dus niet, dat was ondertussen wel duidelijk. Maar niemand is hetzelfde. Als het je blij maakt: ga je gang. Let dan wel goed op reden 1 t/m 7.
Slotwoord
Er zijn vast meer voors en tegens te bedenken over het geven van advies, los van de vraag wat een advies nu eigenlijk inhoudt. Vrijwel alles aan dit onderwerp is persoons- en organisatieafhankelijk.
Met de GIAS in de hand komt het voor mij hierop neer: wees radicaal helder over je rol. Geef je assurance, houd je dan bij een stevig normenkader, scherpe bevindingen en duidelijke conclusies12. Wil je (of moet je) ook adviseren, zorg dan dat dit expliciet is afgesproken, dat je onafhankelijkheid geborgd blijft en dat je advies de autonomie en professionaliteit van je gesprekspartner versterkt in plaats van ondermijnt158.
Professionals weten doorgaans heel goed wat er moet gebeuren. Wat ze nodig hebben is een scherp beeld van de risico's, ruimte om zelf te kiezen en, als ze erom vragen, een sparringpartner die meedenkt zonder de regie over te nemen5817.
Doe wat werkt voor jou en je organisatie, maar maak er een bewuste keuze van. Ik hoop dat dit artikel aanzet tot nadenken. Ik ben benieuwd hoe je volgende auditrapport eruitziet. Reacties zijn welkom.
Hoe kan Audirium u helpen?
De grens tussen bevinding en advies is dunner dan hij lijkt. Audirium helpt uw auditfunctie die grens bewust te trekken en te verdedigen richting management en auditcomité.
- Rapportage coaching — toon, structuur en adviesdiepte kalibreren op uw organisatie en doelgroep
- Peer review van rapporten — externe beoordeling op helderheid, onafhankelijkheid, bruikbaarheid en of de toon adviserend of betuttelend overkomt
- GIAS rapportage-eisen — afstemming op Standaarden 14.4–15.1 (communicatie en definitieve bevindingen)
Wilt u weten hoe Audirium uw auditrapportage scherper en effectiever maakt? Neem contact op →
Referenties
[1] The IIA. (2024). Global Internal Audit Standards. https://www.theiia.org/en/standards/2024-standards/global-internal-audit-standards/
[2] The IIA Nederland. (2024). Global Internal Audit Standards – Dutch version. https://www.theiia.org/globalassets/site/standards/editable-versions/global-internal-audit-standards-dutch.pdf
[3] IIA Nederland. (2025). Effectuering GIAS. https://www.iia.nl/nieuws/effectuering-gias
[4] Wolters Kluwer. (2024). Overview of the new Global Internal Audit Standards 2024. https://www.wolterskluwer.com/en/expert-insights/new-global-internal-audit-standards-overview
[5] Psychology Fanatic. (2025). Reactance Theory Explained: A Psychological Perspective. https://psychologyfanatic.com/reactance-theory/
[6] PsychoTricks. (2025). Psychological Reactance. https://psychotricks.com/reactance/
[7] CiteSeerX. Reactance, autonomy and paths to persuasion. https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=0e8c3f1d3daefe96ecb2a7c9a3fb8f856f81584e
[8] Verywell Mind. (2013). How Self-Determination Theory Explains Motivation. https://www.verywellmind.com/what-is-self-determination-theory-2795387
[9] ScienceDirect. (2017). Self-Determination Theory. https://www.sciencedirect.com/topics/social-sciences/self-determination-theory
[10] RCCS. (2026). Autonomy, Competence, and Relatedness: Understanding the Three Universal Needs of Self-Determination. https://www.rccs.org.uk/post/autonomy-competence-and-relatedness-understanding-the-three-universal-needs-of-self-determination
[11] Ryan, R. M., & Deci, E. L. (2000). Self-Determination Theory and the Facilitation of Intrinsic Motivation. https://selfdeterminationtheory.org/SDT/documents/2000_RyanDeci_SDT.pdf
[12] Concepts. (2025). Intention-Action Gap. https://concepts.dsebastien.net/concept/intention-action-gap/
[13] Think Insights. (2022). Intention-Action Gap. https://thinkinsights.net/consulting/intention-action-gap/
[14] The Decision Lab. (2021). Intention-Action Gap. https://thedecisionlab.com/reference-guide/psychology/intention-action-gap
[15] Sue Behavioural Design. (2026). Waarom informeren niet werkt (en wat wel). https://www.suebehaviouraldesign.com/nl/blog/waarom-informeren-niet-werkt/
[16] John Vrakking. (2023). Waarom je communicatie mogelijk niet werkt. https://johnvrakking.nl/kennis/de-belangrijkste-reden-dat-jouw-communicatie-niet-werkt
[17] OR-ondersteuning. Mag ik je geen advies geven? https://or-ondersteuning.nl/boek-recensies/mag-ik-je-geen-advies-geven/