Auditen van gedrag: hoe te navigeren

Falende beheersing en grote successen vinden hun oorsprong zelden in het ontbreken of juist aanwezig zijn van regels. Maar wel in menselijk gedrag. Logischerwijs zijn cultuur en gedrag als beheersingsvraagstuk al jaren onderwerp van gesprek. Toch bleef het onderzoeken ervan lange tijd aan de randen van het internal auditvak hangen. Te vaag, te soft en moeilijk te objectiveren. Dat beeld is inmiddels gekanteld.

Die ontwikkeling wordt versterkt door externe prikkels. De Nederlandse Corporate Governance Code (2025) benoemt cultuur expliciet als verantwoordelijkheid van het bestuur. Schandalen in zowel de publieke als private sector laten zien dat ‘papieren beheersing’ onvoldoende bescherming biedt. Ook onderzoeken tonen aan dat de wijze waarop we met elkaar omgaan in een organisatie van groot belang is voor de uiteindelijke resultaten. Zo kwam uit een onderzoek van Google in 2015 (Project Aristotle) psychologische veiligheid als belangrijkste factor voor teamsucces naar voren.

Waarom cultuur en gedrag niet langer omzeild kunnen worden

Gedrag vormt de basis waarop alle andere teamdynamieken steunen. Zonder psychologische veiligheid komen andere factoren, waaronder bijvoorbeeld structuur en duidelijkheid over verantwoordelijkheden en bevoegdheden, niet goed tot hun recht. En met de introductie van het IIA Organizational Behavior Topical Requirement wordt gedrag formeel gepositioneerd als alomvertegenwoordigd en belangrijk risicogebied.

Tegelijkertijd opereren auditors in een gevarieerd landschap van organisatieculturen en actuele kennisbehoeften. Wat in de ene organisatie werkt, kan in de andere juist contraproductief zijn. Dit artikel verkent dat landschap en laat zien wat dit betekent voor het auditen van cultuur en gedrag. Niet als nieuw kunstje, maar als volwassen onderdeel van het auditvak.

Het gevarieerde landschap van beheersculturen

Organisaties verschillen fundamenteel in hoe zij worden aangestuurd en beheerst. Er bestaat een sterk gevarieerd landschap van beheersculturen. Zo beschouwd kunnen we de diverse beheersculturen plotten op een continuüm. Aan de ene kant van dit continuüm vinden we organisaties met een sterk formele, hiërarchische beheerscultuur. Deze organisaties zijn vaak gebaseerd op Tayloriaanse principes: duidelijke taakverdeling, centrale besluitvorming, uitgebreide procedures en strakke controlemechanismen. Het onderliggende mensbeeld is dat medewerkers vooral gestuurd moeten worden via regels, toezicht en sancties. Gedrag wordt beheerst door naleving af te dwingen.

Auditen van cultuur en gedrag zonder oog voor de dominante beheerscultuur leidt al snel tot verkeerde scoping en normenkaders

Aan de andere kant van het continuüm staan organisaties die sterk leunen op vertrouwen, professionele autonomie en zelfordening. In deze zogenoemde high-trustorganisaties ligt de nadruk op richtinggevende waarden, intrinsieke motivatie en stimulerend leiderschap. Hier worden minder regels gehanteerd, niet omdat beheersing onbelangrijk is, maar omdat men gelooft dat gewenst gedrag beter wordt geborgd door eigenaarschap dan door controle.

De meeste (afdelingen binnen) organisaties bevinden zich ergens tussen deze uitersten. Crises, incidenten of externe druk kunnen leiden tot een tijdelijke verschuiving richting meer regels en controle. Groei of innovatieambities kunnen juist ruimte vragen om meer vertrouwen te creëren in de professionaliteit van de medewerkers. Voor de internal auditor is deze variatie cruciaal. Auditen van cultuur en gedrag zonder oog voor de dominante beheerscultuur leidt al snel tot verkeerde scoping en normenkaders. En daarmee tot misinterpretaties of weerstand.

Mensbeeld, sturingsfilosofie en gedrag

Achter elke beheerscultuur schuilt een impliciet mensbeeld. Klassiek wordt hierbij verwezen naar Theorie X en Theorie Y (McGregor, 1960). Theorie X veronderstelt dat mensen van nature ongemotiveerd zijn en gestuurd moeten worden. Theorie Y gaat ervan uit dat mensen verantwoordelijkheid willen nemen, mits zij daartoe de ruimte krijgen. Dit mensbeeld vertaalt zich in verschillende sturingsstrategieën (zie tabel 1):
­

• Regelstrategieën – Gericht op het voorkomen van ongewenst gedrag via voorschriften, toezicht en sancties.
• Gevolgen- of stimuleringsstrategieën – Gericht op het bevorderen van gewenst gedrag via feedback, beloning en voorbeeldgedrag.

Voor auditors betekent dit dat gedrag nooit los kan worden gezien van het gekozen sturingsmodel. Een audit die uitsluitend kijkt naar formele controls in een high-trustorganisatie mist de kern. Omgekeerd kan een open cultuuronderzoek in een sterk gereguleerde organisatie juist weerstand oproepen of als naïef worden ervaren.

Wat auditen we eigenlijk bij cultuur en gedrag?

Een belangrijke stap is helder krijgen wat precies de kennisbehoefte en daarmee het object van onderzoek is. In de praktijk zijn drie invalshoeken te onderscheiden. We lichten ze hieronder een voor een toe.

1. Audits gericht op waarborgen van gewenst gedrag
Deze audits richten zich op de opzet en werking van beheersmaatregelen die gedrag moeten sturen. Denk aan gedragscodes, integriteitsbeleid, meldkanalen, training en voorbeeldgedrag van leiderschap. De vraag is wel: ondersteunen deze maatregelen het gewenste gedrag of werken zij vooral symbolisch? En richten zij zich op het waarborgen van gewenst gedrag, of eigenlijk meer op het voorkomen van ongewenst gedrag?

Deze benadering sluit goed aan bij de reguliere, op de beheersing gerichte insteek van assuranceopdrachten van internal auditors. De Organizational Behavior Topical Requirement hanteert deze invalshoek. Het benadert gedrag als risico dat gemanaged moet worden.

Vos en Hartog (Audit Magazine, pag. 6) gebruiken deze benadering in het auditen van compliance en integriteit door te kijken naar de nalevings- dan wel stimuleringsstrategie van de organisatie (zie tabel 1). En ook organizational behavior management (OBM) (zie kader) en het veelgebruikte soft-controlmodel van Kaptein (KPMG) kent deze insteek: ‘Naarmate de acht cultuurdimensies meer ontwikkeld en verankerd zijn in een organisatie, zullen medewerkers zich meer gewenst gedragen en zal tegelijkertijd minder ongewenst gedrag plaatsvinden.’

Organizational behavior management

Organizational behavior management (OBM) is te omschrijven als ‘gedragsmanagement’ binnen organisaties. Het is een wetenschappelijk onderbouwde methode die gedragsverandering in organisaties op een praktische en meetbare manier realiseert. OBM is een voorbeeld van de stimuleringsstrategie. Niet door meer regels, maar door het systematisch versterken van gewenst gedrag wordt beheersing gerealiseerd. OBM is bekend om zijn effectiviteit in het realiseren van duurzame gedragsverandering, waardoor prestaties en werkplezier stijgen. Het legt de nadruk op wat mensen echt doen en versterkt positief gedrag door het toepassen van positieve consequenties. Daardoor raken medewerkers meer gemotiveerd.

De Organizational Behavior Topical Requirement richt zich op:
– menselijk gedrag binnen organisaties;
– cultuur, motivatie, ethiek en leiderschap;
– het beïnvloeden hiervan door governance, risk management en control.

OBM sluit hier inhoudelijk sterk op aan. En biedt een operationele verdieping van het vrij abstracte begrip organizational behavior binnen interne audits.

2. Audits gericht op het gedrag zelf
Hier ligt de focus op hoe mensen zich daadwerkelijk gedragen in de praktijk. Instrumenten zoals cultuur- of leiderschapsmetingen brengen gedrag en gedragspatronen in kaart. Vertonen medewerkers inderdaad het gewenste gedrag, hoe wordt er samengewerkt, hoe worden besluiten genomen en hoe veilig voelen medewerkers zich om zich uit te spreken?

Een bekend model in dit kader is het concurrerende waardenmodel van Quinn (1999), en het daarop gebaseerde organizational culture assessment instrument (OCAI) en management skills assessment instrument (MSAI) om de cultuur- en leiderschapsstijl te meten.  De IIA-publicatie over psychologische veiligheid (2024) beschrijft diverse modellen die een auditor kan gebruiken om de gedragskenmerken van managers en medewerkers die horen bij een psychologisch veilige werkomgeving te onderzoeken.

IIA biedt met de integrated people process audit (IPPA) een toolbox waarin een groot aantal gedragsaspecten is uitgewerkt in criteria, interviewvragen en observatie-instrumenten. Hiermee kunnen de voor de organisatie relevante gedragsaspecten relatief eenvoudig geïntegreerd worden in een audit. Belangrijk is te onderkennen dat dit gedrag in een breder kader wordt geplaatst, zoals het ondersteunen van de strategie, het realiseren van procesdoelen of waarborgen dat bepaalde hard controls goed werken.

3. Audits gericht op onderliggende overtuigingen en aannames
De meest diepgaande vorm is de zogeheten behavioral audit (Audit Magazine). Hierbij onderzoekt de auditor niet alleen zichtbaar gedrag, maar vooral de overtuigingen, normen en aannames die dat gedrag verklaren (zie figuur 1). Waarom wordt in deze organisatie risico vermeden? Waarom worden dilemma’s niet besproken? Waarom is tegenspraak lastig?

Deze benadering is, anders dan de voorgaande invalshoeken, inductief van aard en daarmee in sterkere mate kwalitatief en contextgevoelig. Daarbij worden vooral de specifieke omstandigheden bepalend voor het feitelijke gedrag meegenomen in de audit. Zij vraagt dan ook andere competenties dan klassieke audits, maar biedt juist daardoor diep inzicht in de werking – of het falen – van beheersing.

Wanneer kies je welke benadering?

Bij alle invalshoeken geldt dat deze waardevolle inzichten leveren, maar vragen om een zorgvuldige duiding. Metingen zijn over het algemeen geen oordeel op zich, maar een startpunt voor het gesprek. En in de praktijk kan ook een combinatie van deze drie invalshoeken effectief zijn. De keuze voor een auditbenadering hangt af van meerdere factoren. Natuurlijk allereerst van:
­

• De trigger van de audit: een belangrijke vraag is of de audit wordt uitgevoerd naar aanleiding van een incident of preventief is (en dus wordt uitgevoerd omdat het belang en risico van het object groot is).
• De specifieke kennisbehoefte van bestuur of senior management: over welk object wil men wat weten; en met welke diepgang?

Maar ook van:

• de dominante beheerscultuur van de organisatie;
• de ontwikkelfase van de internal auditfunctie wat betreft het auditen van gedrag en cultuur.

Een beslisboom kan hierbij helpen (zie figuur 2). Over het algemeen passen bij een preventieve audit de invalshoeken ‘beheersing’ of ‘gedrag zelf’. Bij een incident, waarbij wordt gekeken naar de oorzaken is de invalshoek gericht op de kwaliteit van de beheersing of in de aan het gedrag onderliggende waarden en overtuigingen. Dat laatste pleit voor een behavioral audit. Met name bij een audit naar de beheersing is het vervolgens essentieel te kijken naar de beheerscultuur, omdat deze bepalend is voor het te hanteren normenkader. Bij een inductief onderzoek naar de overtuigingen wordt een dergelijk normenkader niet vooraf opgesteld.

In organisaties met een sterke regelcultuur en recente incidenten ligt een meer deductieve, modelgedreven aanpak voor de hand. In organisaties die sterk leunen op professionele autonomie kan juist een open, gedragsgerichte benadering meer opleveren.

De beslisboom is van toepassing op zowel thematische audits waarbij bijvoorbeeld organisatiebreed het thema wordt onderzocht, als op audits waarin cultuur en gedrag als onderdeel zijn opgenomen. Belangrijk is dat auditors deze keuze expliciet maken en kunnen onderbouwen. Dat geldt temeer nu vereisten in de Organizational Behavior Topical Requirement ‘mandatory’ zijn indien het gedrag wordt geaudit, maar deze ruimte laten voor gemotiveerde afwijking.

De rol en competenties van de auditor

Het auditen van cultuur en gedrag vraagt geen totaal nieuwe competenties, maar wel een andere invulling ervan. De auditor verschuift ook vaak van toetser naar duider, van checklistgedreven naar gesprekspartner (zie figuur 3).

Cruciale competenties zijn onder meer:

• gedragskundig inzicht en sensitiviteit;
• sterke interview- en observatievaardigheden;
• het vermogen om patronen te herkennen in kwalitatieve data;
• narratief en inzichtgevend rapporteren;
• lef om ongemakkelijke onderwerpen bespreekbaar te maken.

Essentieel is het creëren van psychologische veiligheid. Zonder vertrouwen geen openheid, en zonder openheid geen betrouwbare auditinformatie. ‘Het moet je gegund worden’ is hier geen soft statement, maar een randvoorwaarde voor kwaliteit. De IIA-publicatie over psychologische veiligheid (2024) geeft concrete handvatten om een psychologisch veilige omgeving binnen de audit te creëren.

Van soft topic naar scherp auditinstrument

Auditen van cultuur en gedrag is geen modieuze uitbreiding van het auditdomein, maar een logisch antwoord op de complexiteit van moderne organisaties. In een wereld waarin regels nooit alle situaties kunnen voorspellen, is gedrag de sleutel tot effectieve beheersing. Het gevarieerde landschap van beheersculturen vraagt van auditors dat zij contextgevoelig werken, bewuste keuzen maken in aanpak en hun rol durven te herijken. Niet elke organisatie vraagt om dezelfde audit, maar elke organisatie vraagt om begrip van hoe gedrag wordt gestuurd.

De kernboodschap is daarmee helder: het auditen van cultuur en gedrag gaat niet over zachte onderwerpen, maar over harde risico’s met een menselijke oorsprong. De auditor die dat begrijpt en durft te adresseren, vergroot niet alleen zijn relevantie, maar ook de waarde van internal audit voor bestuur en toezicht.