Inleiding
Over het opnemen van advies in een audit rapport bestaan uiteenlopende meningen. Aan de ene kant zijn er de 'hardliners' die vinden dat een assurance onderzoek zich niet leent voor het geven van advies en aan de andere kant zijn er de 'consultants' die vinden dat het geven van advies het mooiste is wat er is in het leven van de auditor. In dit blogje geef ik wat persoonlijke inzichten over de voors en tegens en hoop ik dat dit bijdraagt aan jouw keuze om advies te geven of juist niet.
Met de komst van de Global Internal Audit Standards (GIAS) is het onderscheid tussen assurance en advies nog explicieter geworden: internal audit levert in de kern onafhankelijke assurance en kan aanvullend adviesdiensten leveren, mits dit transparant is, past binnen het mandaat en de onafhankelijkheid niet aantast12. Dat maakt de vraag "moet ik eigenlijk wel advies geven in mijn auditrapport?" alleen maar relevanter.
Wat zeggen de GIAS over advies?
De nieuwe GIAS sturen sterk op een helder mandaat voor internal audit (charter), onafhankelijke positie en duidelijke verwachtingen over soorten opdrachten: assurance, advies of een combinatie123. Dat betekent praktisch: vooraf met bestuur en auditcommissie afspreken óf en hoe jij adviseert, en dat vervolgens consequent doen.
In de geest van de GIAS hoort het geven van advies vooral thuis in "consulting services" of "adviesdiensten": opdrachten waarbij management expliciet om jouw hulp vraagt, jij duidelijk maakt dat je geen formele assurance afgeeft en je alert blijft op je toekomstige onafhankelijkheid124. Het vanzelfsprekend meeschrijven van adviezen bij elke bevinding past daar minder goed bij – tenzij je charter en je stakeholders dat bewust zo hebben ingericht1.
Waarom advies vaak niet werkt: inzichten uit communicatiewetenschap
Er zijn nogal wat internal auditors die advies geven in hun audit rapport omdat ze denken dat dat 'moet', want: dat deden ze altijd al zo. Of, ze denken dat dat van ze verwacht wordt zonder eerst die verwachting gechecked te hebben bij die gewaardeerde collega's die het rapport ontvangen en geacht worden er ook nog wat mee te doen. Mijn tip van de dag: denk goed na of je wel advies moet of zelfs wil geven. In veel gevallen is het beter van niet, en daar zijn communicatiewetenschappelijke en psychologische redenen voor.
Uit de communicatiewetenschap kennen we het begrip psychological reactance: zodra mensen het gevoel hebben dat hun vrijheid of autonomie wordt ingeperkt ("jij moet nu dit doen"), ontstaat er een automatische tegenreactie56. Hoe competenter en autonomer iemand zichzelf ziet, hoe sneller goedbedoeld advies wordt ervaren als betuttelend of bevoogdend – en dus wordt afgewezen, óók als de inhoud klopt7. Bij professionals en bestuurders is die autonome beroepsidentiteit sterk, waardoor ongevraagd advies in een auditrapport zich bijna vanzelf vertaalt in weerstand in plaats van beweging.
Daarnaast laat Self-Determination Theory zien dat duurzame motivatie vooral ontstaat als drie psychologische basisbehoeften worden vervuld: autonomie (zelf keuzes kunnen maken), competentie (je bekwaam voelen) en verbondenheid (je serieus genomen voelen in de relatie)8910. Advies dat wordt ervaren als "voorschrift van de auditor" ondergraaft precies autonomie en competentie, terwijl een scherp normenkader, goede bevindingen en ruimte om zélf oplossingen te kiezen die behoeften juist versterken811.
Tot slot: onderzoek naar de zogeheten intention–action gap laat zien dat er vaak een flink gat zit tussen "weten" en "doen": mensen hebben prima intenties, maar komen in de praktijk niet in beweging121314. Bij professionals is het probleem meestal niet dat ze het advies niet kennen, maar dat de omgeving, prioriteiten of routines het lastig maken om ernaar te handelen1314. Als internal auditor voeg je dan meer waarde toe door helder te maken wáár het schuurt en management te helpen condities te creëren waarin hun eigen goede voornemens uitvoerbaar worden, dan door nóg een lijstje maatregelen aan het rapport toe te voegen13.
Uit de praktijk: redenen om géén advies te geven
1. Wie ben jij dan wel helemaal? Of: het komt belerend over...
Als ik als auditor advies ga geven aan een goedbetaalde directeur die verantwoordelijk is voor de beheersing van zijn risico's, dan is het misschien beter dat die directeur maar naar huis gaat en ik zijn (waarschijnlijk beter betaalde) werk ga doen. Want dat is toch wat iedere directeur hoort te doen? Zijn risico's beheersen door het implementeren van maatregelen? Voor meer is hij waarschijnlijk niet verantwoordelijk toch?
Psychologisch gezien raken adviezen aan de autonomie van professionals: zodra iemand ervaart dat zijn handelingsvrijheid wordt ingeperkt, ontstaat psychological reactance – de neiging om weerstand te bieden, zelfs tegen op zichzelf zinnig advies56. Juist hoogopgeleide professionals en bestuurders hebben een sterk zelfbeeld als competente beslisser, waardoor goedbedoelde adviezen al snel als betuttelend of bevoogdend worden ervaren7.
2. (Weer) wie ben jij dan wel helemaal? Of (weer): het komt belerend over...
Ja dit is de 2e keer maar nu met een andere belangrijke reden: de adviezen leveren veelal gedoe, wrijving en gezeur op. Het levert vertraging op want heel veel uren gaan op aan het afstemmen van de adviezen.
Figure 1: Vergelijking urenverdeling: ideale audit (groen) versus audits met budgetoverschrijding (rood)
Ik teken regelmatig bij mijn klanten waar men problemen heeft met continue budgetoverschrijding van internal audits het bovenstaande plaatje: de groene lijn toont een ideale urenverdeling tijdens een audit (de meeste uren in de voorbereiding en uitvoering, de afronding liefst binnen een dag) en de urenverdeling van audits die over het budget heen gaan (rood). Het blijkt dat, bij audits die zwaar over budget heen gaan, het vooral komt door oeverloos overleg en afstemming over de adviezen.
Bij de meeste van mijn klanten werken gelukkig directeuren die het niet leuk vinden dat opeens blijkt dat ze hun zaakjes niet op orde hebben. En het helemaal niet leuk vinden als een wijsneuzige auditor ook nog eens zout op de wond gaat strooien door te vertellen wat ze moeten doen. Dat weten ze veelal zelf wel. Bij die klanten stopten we acuut met advies geven en raad eens: uren bleven binnen budget en de beoordelingen van de directeuren/managers schoten omhoog.
3. Het 'heurt' niet zo (en zeker niet volgens de hardliners)
Internal Auditors voeren onderzoek uit naar de kwaliteit van interne beheersing in een organisatie. Althans iets soortgelijks. Ook wel te typeren als een probleemgericht onderzoek. Het onderzoek heeft dan als doel om vast te stellen dat die interne beheersing voldoet. Eigenlijk om vast te stellen of er een 'probleem' is. Dus als het niet voldoet, wat doe je dan? Juist: zeggen dat het niet goed is. En laat ze zelf de boel fixen. Dan kan de auditor een tijdje later wel weer vaststellen of het inderdaad gefixt is!
Vanuit de GIAS ligt de primaire focus van internal audit op het bieden van assurance: het vergroten van het vertrouwen van stakeholders in governance, risicomanagement en interne beheersing12. Advies hoort daar conceptueel niet bij, tenzij het expliciet als aparte adviesdienst is gepositioneerd14.
4. Je weet de oorzaak helemaal niet
Alle adviezen waar je geen onderzoek hebt gedaan naar de oorzaak (en geloof mij, dat is heel wat anders dan een onderzoek met de vraag: "is er een probleem?") slaan de plank mis. Ofwel de kans is groot dat het nergens op slaat, ofwel je wordt gebruikt door de organisatie om een richting op te gaan die hen welgevallig is maar niet de oorzaak wegneemt.
Stel je ziet dat ergens functiescheiding ontbreekt of het ontwerp van een IT systeem is niet goed. Wat is dan de oorzaak? Geen budget? Incompetentie? Hoge werkdruk? Mijn advies (oei wat zeg ik nu?) is: blijf zoveel mogelijk weg van oorzakenanalyses zonder onderzoek dat dat kan onderbouwen.
Communicatiewetenschap en gedragspsychologie laten zien dat mensen advies vooral negeren als het geen aansluiting heeft bij hun eigen probleemdefinitie1516. Als jij de "oplossing" presenteert zonder dat de professional zich herkent in de analyse van de oorzaak, dan wordt jouw advies in het beste geval beleefd aangehoord en daarna genegeerd.
5. Het beste advies is een goed normenkader
Als je een goede audit uitvoert, heb je een degelijke risico analyse gemaakt en is duidelijk wat per risico de belangrijkste controls zijn. In de bijlage van je rapport zit hopelijk ook het normenkader met per control een score of aanduiding of het goed of niet goed is (of er tussenin). Dan is het enige zinvolle advies wat je nog kunt geven: "los de bevindingen op, zie bijlage".
6. Als ze advies nodig hebben, dan vragen ze er wel om
Stel jezelf constructief en meehelpend op en het wordt heus wel aan je gevraagd als ze er niet uitkomen. Zet gewoon in je rapport dat je bereid bent om te helpen, als je je daar prettig bij voelt.
Onderzoek naar adviesgedrag laat ook zien dat mensen een duidelijk verschil ervaren tussen "ongevraagd" en "gevraagd" advies: gevraagd advies wordt eerder als steunend en competentieversterkend gezien, ongevraagd advies triggert juist vaker defensiviteit en afstand17. Door in je rapport expliciet je bereidheid tot meedenken te benoemen, maar de keuze bij hen te laten, versterk je hun gevoel van regie en daarmee de kans dat ze je later wél uitnodigen.
7. Het kost tijd en geld
Tijd en geld die je kunt besteden aan het geven van assurance of het doen van ander onderzoek. De meeste adviezen zijn open deuren, in het slechtste geval wordt er helemaal niets mee gedaan. Het ergste is als een extern ingehuurde auditor per sé adviezen wil geven. Vraag in plaats daarvan gewoon of ze een uurtje langs willen komen om te praten over wat er moet gebeuren. Beter dan een flinke tijd te besteden aan een adviesparagraaf met alle discussies eromheen.
Gezien de intention–action gap is het probleem vaak niet dat professionals niet weten wát er moet gebeuren, maar dat ze moeite hebben om het daadwerkelijk te doen1213. Een lijstje adviezen lost dat niet op – een goed gesprek misschien wel.
Wanneer past advies wél bij GIAS?
Vanuit de GIAS past advies goed wanneer:
- het expliciet als adviesopdracht is afgesproken (in het charter of per opdracht),
- het doel is om management te helpen hun eigen keuzes beter te onderbouwen,
- en je onafhankelijkheid in toekomstige audits niet wordt ondermijnd124.
In zo'n context kan een kort, scherp advies in of naast het rapport wél waarde toevoegen – bijvoorbeeld bij complexe verandertrajecten of hardnekkige cultuur- of gedragsvraagstukken waar de vraag niet is "is er een probleem?", maar "wat zijn scenario's om hiermee om te gaan?"2.
Uit de praktijk: redenen om juist wél advies te geven in een rapport
Natuurlijk zijn er genoeg redenen om juist wél advies te geven in een rapport. Hier zijn er een paar:
8. Ze vragen er om!
Niets is mooier als je mensen kunt helpen en helemaal mooi is het als ze je hulp waarderen! Doe dat dan ook en ga er volledig voor. Het komt ook bij mij wel eens voor dat mij gevraagd wordt om een advies. Bijvoorbeeld bij een aanhoudend probleem (vaak iets met cultuur of gedrag) of een enorme uitdaging waar iedereen in de details zit en niemand het overzicht meer heeft. Of omdat je als Internal Auditor nu eenmaal als enige zo'n beetje alles overziet in een organisatie. Prima redenen om wel advies te geven!
In GIAS-termen beweeg je hier dus tijdelijk richting een meer adviserende rol, mits dat vooraf is afgestemd en transparant is richting bestuur en auditcommissie12. Self-Determination Theory laat zien dat gevraagd advies de autonomie en competentie van de ontvanger versterkt in plaats van ondermijnt89.
9. Men verwacht het van je
Pas daarvoor op. 'Men' is vaak 'de organisatie' en de kans is groot dat het een ingesleten verwachting is, ontstaan in een ver verleden. Ga dan de dialoog aan met bestuur en b.v. auditcommissie of ze die dure audit uren daar wel aan willen besteden. Want: advies geven = minder tijd voor assurance en onderzoek. Dat hoeft geen probleem te zijn, maar doe het dan goed. Dus ook door het vast te leggen in het Charter, waarna je vervolgens mooie adviezen kunt gaan formuleren.
Dit sluit perfect aan bij de GIAS-eis om een helder charter te hebben waarin staat wat de internal auditfunctie wel en niet doet12. Transparantie voorkomt verwarring en beschermt je onafhankelijkheid.
10. Advies geven is het leukste onderdeel van het werk van de internal auditor
Tsja. Dat is voor mij niet zo'n sterke reden, de lol zit 'm voor mij juist in het auditen en de toegevoegde waarde in het geven van assurance. Dus voor mij hoeft het niet zo (dat was ondertussen wel duidelijk denk ik). Maar niemand is hetzelfde dus als het je blij maakt, ga vooral je gang maar let alsjeblieft wel goed op reden 1 t/m 7.
Slotwoord
Er zijn vast nog wel meer voors en tegens te bedenken over het geven van advies, nog los van de vraag wat een advies nu eigenlijk inhoudt. Eigenlijk alles aan dit onderwerp is persoons- en organisatie afhankelijk.
Met de GIAS in de hand is de kern voor mij: wees radicaal helder over je rol. Ben je hier vooral om assurance te geven, houd je dan bij een stevig normenkader, scherpe bevindingen en duidelijke conclusies12. Wil je (of moet je) óók adviseren, zorg dan dat dit expliciet zo is afgesproken, dat je onafhankelijkheid geborgd blijft en dat je advies de autonomie en professionaliteit van je gesprekspartner ondersteunt in plaats van ondermijnt158.
Professionals weten doorgaans heel goed wat er ongeveer moet gebeuren; wat ze nodig hebben is een scherp beeld van de risico's, ruimte om zelf te kiezen en – als ze erom vragen – een sparringpartner die meedenkt zonder de regie over te nemen5817.
Doe wat voor jou en je organisatie werkt, maar denk er goed over na. Ik hoop dat mijn blogje tot nadenken zet en ik ben erg benieuwd hoe je volgende audit rapport er uit ziet! Uiteraard sta ik open voor een levendige discussie of feedback op deze blog.
Referenties
[1] The IIA. (2024). Global Internal Audit Standards. https://www.theiia.org/en/standards/2024-standards/global-internal-audit-standards/
[2] The IIA Nederland. (2024). Global Internal Audit Standards – Dutch version. https://www.theiia.org/globalassets/site/standards/editable-versions/global-internal-audit-standards-dutch.pdf
[3] IIA Nederland. (2025). Effectuering GIAS. https://www.iia.nl/nieuws/effectuering-gias
[4] Wolters Kluwer. (2024). Overview of the new Global Internal Audit Standards 2024. https://www.wolterskluwer.com/en/expert-insights/new-global-internal-audit-standards-overview
[5] Psychology Fanatic. (2025). Reactance Theory Explained: A Psychological Perspective. https://psychologyfanatic.com/reactance-theory/
[6] PsychoTricks. (2025). Psychological Reactance. https://psychotricks.com/reactance/
[7] CiteSeerX. Reactance, autonomy and paths to persuasion. https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=0e8c3f1d3daefe96ecb2a7c9a3fb8f856f81584e
[8] Verywell Mind. (2013). How Self-Determination Theory Explains Motivation. https://www.verywellmind.com/what-is-self-determination-theory-2795387
[9] ScienceDirect. (2017). Self-Determination Theory. https://www.sciencedirect.com/topics/social-sciences/self-determination-theory
[10] RCCS. (2026). Autonomy, Competence, and Relatedness: Understanding the Three Universal Needs of Self-Determination. https://www.rccs.org.uk/post/autonomy-competence-and-relatedness-understanding-the-three-universal-needs-of-self-determination
[11] Ryan, R. M., & Deci, E. L. (2000). Self-Determination Theory and the Facilitation of Intrinsic Motivation. https://selfdeterminationtheory.org/SDT/documents/2000_RyanDeci_SDT.pdf
[12] Concepts. (2025). Intention-Action Gap. https://concepts.dsebastien.net/concept/intention-action-gap/
[13] Think Insights. (2022). Intention-Action Gap. https://thinkinsights.net/consulting/intention-action-gap/
[14] The Decision Lab. (2021). Intention-Action Gap. https://thedecisionlab.com/reference-guide/psychology/intention-action-gap
[15] Sue Behavioural Design. (2026). Waarom informeren niet werkt (en wat wel). https://www.suebehaviouraldesign.com/nl/blog/waarom-informeren-niet-werkt/
[16] John Vrakking. (2023). Waarom je communicatie mogelijk niet werkt. https://johnvrakking.nl/kennis/de-belangrijkste-reden-dat-jouw-communicatie-niet-werkt
[17] OR-ondersteuning. Mag ik je geen advies geven? https://or-ondersteuning.nl/boek-recensies/mag-ik-je-geen-advies-geven/